® 
Purple Team
Definicio
El purple teaming és un exercici col·laboratiu en el qual el red team ofensiu i el blue team defensiu treballen junts per provar i millorar els controls de seguretat. Combina atac i defensa.
El purple teaming es un exercici col-laboratiu on l'equip d'atac (red team) i l'equip de defensa (blue team) treballen junts per millorar la postura de seguretat d'una organitzacio. En lloc d'enfrontar-se, ambdos equips comparteixen coneixement en temps real sobre atacs i deteccio.
Com funciona el purple teaming?
En un exercici tradicional de red teaming, el blue team no sap quan ni com atacara el red team. En el purple teaming, ambdos equips col-laboren deliberadament. El red team executa tecniques d'atac basades en el framework MITRE ATT&CK mentre el blue team observa en temps real i prova si els seus sistemes de deteccio detecten l'atac. Si una tecnica no es detectada, ambdos equips treballen junts per desenvolupar regles de deteccio.
Diferencia amb red teaming i blue teaming
El red teaming simula un atac realista per provar la resiliencia general. El blue teaming es l'operacio defensiva diaria del SOC. El purple teaming combina ambdues disciplines amb l'objectiu principal de millorar la capacitat de deteccio.
Impacte per a les organitzacions
Moltes organitzacions inverteixen en tecnologia de deteccio pero no proven suficientment si realment detecta els atacs esperats. El purple teaming tanca aquesta bretxa validant sistematicament quines tecniques MITRE ATT&CK es detecten i quines no. NIS2 exigeix que les organitzacions provin regularment l'efectivitat de les seves mesures de seguretat. DORA exigeix proves avancades de resiliencia per a institucions financeres.
Proteccio
El purple teaming lliura resultats concrets i mesurables: una matriu de tecniques MITRE ATT&CK provades amb l'estat de deteccio per a cadascuna. Per a cada tecnica no detectada es desenvolupen noves regles de deteccio.
Com ajuda DEFION
DEFION ofereix Purple Teaming com a part dels seus serveis d'Adaptive Threat Detection. Red teamers experimentats i analistes SOC treballen amb l'equip de seguretat intern per millorar sistematicament la capacitat de deteccio.