Tradycyjny podział na zespoły ofensywne i defensywne w cyberbezpieczeństwie przez lata stanowił fundament strategii ochrony organizacji. Red Team atakował, Blue Team bronił, a między nimi często istniała przepaść komunikacyjna. Wyniki testów penetracyjnych trafiały do raportu, który lądował w szufladzie, a zespół SOC nie dowiadywał się, jakie techniki ataków zostały użyte. Ten model — choć wciąż wartościowy — coraz częściej okazuje się niewystarczający wobec rosnącej złożoności zagrożeń. Odpowiedzią na te ograniczenia jest Purple Team — podejście, które łączy najlepsze cechy obu zespołów w skoordynowany cykl doskonalenia bezpieczeństwa.
Red Team — ofensywna strona bezpieczeństwa
Red Team to zespół specjalistów, których zadaniem jest symulowanie rzeczywistych ataków na infrastrukturę, aplikacje i procesy organizacji. W przeciwieństwie do klasycznych testów penetracyjnych, Red Team działa w sposób zbliżony do prawdziwego atakującego — wykorzystuje zaawansowane techniki, socjotechnikę, phishing, a nawet fizyczne próby dostępu do pomieszczeń.
Kluczowe metodologie Red Team
Testy penetracyjne stanowią najbardziej podstawową formę ofensywnego testowania. Pentester w określonym zakresie i czasie próbuje znaleźć i wyeksploitować podatności w systemach, aplikacjach webowych, sieciach lub urządzeniach mobilnych. Wynikiem jest raport z listą podatności i rekomendacjami naprawczymi.
Adversary emulation idzie o krok dalej — polega na odtwarzaniu taktyk, technik i procedur (TTP) konkretnych grup APT (Advanced Persistent Threat). Zespół Red Team korzysta z frameworku MITRE ATT&CK, aby zasymulować atak np. grupy APT29 (Cozy Bear) lub FIN7, i sprawdzić, czy organizacja jest w stanie wykryć i powstrzymać takie zagrożenie.
Assumed breach to scenariusz, w którym Red Team zaczyna od pozycji już wewnątrz sieci — np. z dostępem do jednej stacji roboczej. Pozwala to skupić się na testowaniu detekcji lateral movement, eskalacji uprawnień i exfiltracji danych.
Narzędzia Red Team
Arsenał Red Team obejmuje zarówno narzędzia open source (Metasploit, Cobalt Strike, BloodHound, Mimikatz, Burp Suite), jak i autorskie exploity oraz customowe implants C2 (Command & Control). Ważnym elementem jest również OSINT — białowywiadowcze zbieranie informacji o organizacji przed rozpoczęciem ataku.
Blue Team — defensywna tarcza organizacji
Blue Team to zespół odpowiedzialny za obronę organizacji przed zagrożeniami — zarówno realnymi atakami, jak i symulowanymi próbami Red Team. To właśnie Blue Team stanowi pierwszą linię obrony i codziennie monitoruje bezpieczeństwo środowiska IT.
Filary pracy Blue Team
Security Operations Center (SOC) to serce operacji Blue Team. Analitycy SOC monitorują alerty z systemów bezpieczeństwa w trybie 24/7, klasyfikują incydenty i eskalują zagrożenia. SOC działa w modelu wielowarstwowym — od Tier 1 (triage) przez Tier 2 (analiza) do Tier 3 (threat hunting i forensics).
SIEM (Security Information and Event Management) to platforma agregująca logi z dziesiątek lub setek źródeł — firewalli, serwerów, endpointów, aplikacji. SIEM koreluje zdarzenia i generuje alerty na podstawie reguł detekcji. Popularne rozwiązania to Splunk, Microsoft Sentinel, Elastic Security i QRadar.
Incident Response to zestaw procedur reagowania na incydenty bezpieczeństwa. Blue Team stosuje modele takie jak NIST SP 800-61 lub SANS PICERL, które definiują kroki od przygotowania, przez identyfikację, ograniczanie, eliminację, odzyskiwanie, aż po wyciąganie wniosków.
Threat Hunting to proaktywne poszukiwanie zagrożeń, które ominęły automatyczne systemy detekcji. Analitycy formułują hipotezy na temat potencjalnych ataków i weryfikują je, przeszukując logi i telemetrię.
Wyzwania Blue Team
Największym wyzwaniem Blue Team jest ogromna liczba alertów — duże organizacje generują tysiące dziennie, z czego większość to fałszywe alarmy (false positives). Alert fatigue prowadzi do sytuacji, w której prawdziwy atak może zostać przeoczony w szumie informacyjnym. Kolejnym problemem jest luka kompetencyjna — wielu analityków SOC ma doświadczenie wyłącznie defensywne i nie rozumie perspektywy atakującego.
Purple Team — synergia ofensywy i defensywy
Purple Team nie jest osobnym, trzecim zespołem — to model współpracy, w którym Red Team i Blue Team pracują razem w skoordynowany sposób. Kolor fioletowy symbolizuje połączenie czerwonego (atak) i niebieskiego (obrona), a celem jest maksymalizacja wartości, jaką organizacja czerpie z testów bezpieczeństwa.
Jak działa Purple Team w praktyce?
W tradycyjnym modelu Red Team przeprowadza atak, pisze raport, a Blue Team dopiero po tygodniach dowiaduje się o wynikach. W modelu Purple Team przebieg wygląda inaczej:
- Planowanie wspólne — oba zespoły ustalają cele, zakres i scenariusze ataków. Red Team ujawnia, jakie techniki zamierza zastosować (np. konkretne TTP z MITRE ATT&CK).
- Wykonanie z obserwacją — Red Team przeprowadza atak, a Blue Team w czasie rzeczywistym obserwuje, czy systemy detekcji reagują prawidłowo.
- Natychmiastowa walidacja — jeśli atak nie został wykryty, oba zespoły wspólnie analizują, dlaczego detekcja zawiodła, i tworzą nowe reguły SIEM lub EDR.
- Iteracja — poprawione reguły detekcji są testowane od razu, w tym samym cyklu. Red Team powtarza atak, Blue Team weryfikuje skuteczność nowej detekcji.
Framework MITRE ATT&CK jako język wspólny
MITRE ATT&CK stanowi fundament Purple Team Operations. Ten framework kataloguje setki technik ataku pogrupowanych w taktyki (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Exfiltration, Command and Control, Impact). Dzięki niemu oba zespoły posługują się wspólnym, precyzyjnym językiem.
Red Team wybiera techniki do zasymulowania (np. T1059.001 — PowerShell), Blue Team przygotowuje reguły detekcji dla tych technik, a po teście obie strony mapują wyniki na macierz ATT&CK, tworząc tzw. heatmapę pokrycia detekcji. Organizacja zyskuje obiektywny obraz swoich zdolności detekcyjnych — wie, które techniki wykrywa, a gdzie ma luki.
Tabela porównawcza: Red Team vs Blue Team vs Purple Team
| Aspekt | Red Team | Blue Team | Purple Team |
|---|---|---|---|
| Cel | Znaleźć podatności i ścieżki ataku | Wykryć i powstrzymać zagrożenia | Wspólnie poprawić detekcję i reakcję |
| Podejście | Ofensywne — symulacja ataków | Defensywne — monitoring i obrona | Kolaboracyjne — atak + obrona razem |
| Metody | Pentest, adversary emulation, socjotechnika | SOC, SIEM, incident response, threat hunting | Skoordynowane testy z natychmiastowym feedbackiem |
| Narzędzia | Metasploit, Cobalt Strike, Burp Suite | Splunk, Microsoft Sentinel, EDR | MITRE ATT&CK, Atomic Red Team, Vectr |
| Wynik | Raport z podatnościami | Alerty, raporty incydentów | Zmapowana macierz detekcji, nowe reguły |
| Komunikacja | Wyniki po zakończeniu testu | Reaktywna — po wykryciu incydentu | Ciągła — w trakcie i po teście |
| Perspektywa czasowa | Punktowa (tygodnie) | Ciągła (24/7) | Cykliczna (regularne sesje) |
Kiedy organizacja potrzebuje Purple Team?
Nie każda organizacja musi od razu wdrażać Purple Team. Jeśli firma dopiero buduje SOC i nie ma jeszcze dojrzałych procesów detekcji, priorytetem powinno być wzmocnienie Blue Team. Jednak Purple Team staje się niezbędny, gdy:
- Testy penetracyjne nie przekładają się na poprawę bezpieczeństwa — raporty są tworzone, ale podatności wracają w kolejnych testach, bo Blue Team nie wie, jak skutecznie wdrożyć detekcję.
- SOC tonie w alertach, ale nie wykrywa realnych zagrożeń — systemy generują tysiące alertów dziennie, ale brakuje reguł dla zaawansowanych technik ataku.
- Organizacja chce zmierzyć dojrzałość detekcji — Purple Team pozwala obiektywnie ocenić, jaki procent technik z MITRE ATT&CK jest wykrywany.
- Regulacje wymagają zaawansowanych testów — sektory takie jak finanse (TIBER-EU, DORA) czy infrastruktura krytyczna coraz częściej wymagają testów zbliżonych do Purple Team.
- Zespoły bezpieczeństwa pracują w silosach — Red i Blue Team nie dzielą się wiedzą, co prowadzi do powtarzalnych błędów.
Jak zacząć — umiejętności, certyfikaty i szkolenia
Wdrożenie Purple Team wymaga, aby specjaliści po obu stronach rozumieli perspektywę drugiego zespołu. Ofensywni testerzy powinni znać mechanizmy detekcji (jak działa SIEM, jakie logi są zbierane), a analitycy SOC powinni rozumieć techniki ataków.
Certyfikaty przydatne w Purple Team
Strona ofensywna:
- OSCP (Offensive Security Certified Professional) — praktyczny certyfikat pentestingu
- GPEN (GIAC Penetration Tester) — testy penetracyjne
- CRTO (Certified Red Team Operator) — adversary simulation z Cobalt Strike
Strona defensywna:
- GCIH (GIAC Certified Incident Handler) — reagowanie na incydenty
- GCDA (GIAC Certified Detection Analyst) — tworzenie reguł detekcji
- BTL1/BTL2 (Blue Team Level) — praktyczne umiejętności Blue Team
Purple Team:
- GXPN (GIAC Exploit Researcher and Advanced Penetration Tester)
- CPTS (Certified Penetration Testing Specialist) z modułami detekcji
Narzędzia do samodzielnego ćwiczenia
Warto zacząć od narzędzi open source, takich jak Atomic Red Team (biblioteka testów odwzorowujących techniki MITRE ATT&CK), Vectr (platforma do śledzenia wyników Purple Team) czy Caldera (framework MITRE do automatycznej emulacji adversary).
Szkolenie Purple Team Operations w EITT
Jeśli chcesz zdobyć praktyczne umiejętności łączenia kompetencji ofensywnych i defensywnych, EITT oferuje szkolenie Purple Team Operations — współpraca Red i Blue Team. Program obejmuje planowanie i prowadzenie sesji Purple Team, mapowanie wyników na MITRE ATT&CK, tworzenie reguł detekcji na podstawie symulowanych ataków oraz budowanie procesu ciągłego doskonalenia bezpieczeństwa.
Szkolenie jest skierowane zarówno do pentesterów, którzy chcą zrozumieć stronę defensywną, jak i do analityków SOC, którzy chcą lepiej poznać techniki atakujących. Sprawdź pełny program i najbliższe terminy na stronie szkolenia.