Adaptive Threat Detection

La teva detecció només val
el que has provat.

El Purple Teaming uneix atac i defensa. L'equip vermell simula mentre l'equip blau aprèn. Cada sessió millora mesurablement la teva cobertura MITRE ATT&CK.

Contacta amb nosaltres Línia d'incidents 24/7

Què és el Purple Teaming?

El Purple Teaming uneix atac i defensa en una col·laboració estructurada. L'equip vermell executa tècniques d'atac mentre l'equip blau observa en temps real, aprèn i millora la detecció. L'objectiu no és puntuar, sinó millorar junts. On el Red Teaming prova les teves defenses, el Purple Teaming les millora directament. Cada tècnica simulada va seguida de la pregunta: ho hem vist?, i si no, com ens assegurem de veure-ho la propera vegada?

El Servei

Detecció que millora amb cada sessió

Les sessions s'estructuren al voltant de MITRE ATT&CK. Per a cada tàctica i tècnica, s'avalua i millora la cobertura de detecció actual. Després d'un exercici de Purple Team, saps exactament quines tècniques d'atac detectes i quines no, i has pres passos concrets per tancar les bretxes.

Les regles de detecció s'ajusten i validen en el moment. Quan una tècnica no es detecta, l'equip blau crea una regla durant la sessió. L'equip vermell torna a provar immediatament. El resultat és una millora mesurable en la cobertura MITRE ATT&CK, documentada abans i després.

El Purple Teaming és més eficaç com a programa recurrent. El panorama d'amenaces canvia, el teu entorn canvia, i el Purple Teaming manté la detecció actualitzada. Cada sessió es basa en l'anterior, tancant bretxes i ampliant la cobertura a noves tècniques.

El Problema

Regles de detecció que mai han estat provades

La majoria de les regles de detecció s'escriuen una vegada i mai es verifiquen. Poden semblar correctes en teoria però fallen a la pràctica davant tècniques d'atac reals.

  • Una regla SIEM que mai ha estat disparada per una tècnica d'atac real pot tenir errors lògics, bretxes de dades o problemes de configuració que significarin que fallarà exactament quan més es necessiti.
  • Els equips blaus que només veuen la seva pròpia perspectiva no poden anticipar com es comportaran els atacants al seu entorn. L'exposició a tècniques d'atac reals, fins i tot en un entorn controlat, construeix intuïció que cap curs de formació pot replicar.
  • Un exercici de Red Team et diu què està trencat. Sense un procés de millora estructurada, aquestes troballes queden en un informe. El Purple Teaming converteix les troballes en millor detecció immediatament, a la mateixa sessió.
Abast

Què es cobreix en una sessió de Purple Team

Tècniques d'atac simulades mapejades amb MITRE ATT&CK
Avaluació de detecció en temps real per tècnica
Desenvolupament i validació de regles de detecció
Transferència de coneixement i coaching de l'equip blau
Millora de la cobertura MITRE ATT&CK
Validació de procediments de resposta a incidents
Mapa de calor de cobertura abans i després
Full de ruta per a sessions posteriors
Metodologia

Com DEFION dirigeix les sessions de Purple Team

01

Planificació

Selecció de tècniques MITRE ATT&CK a provar basant-se en el teu perfil d'amenaça i bretxes de detecció actuals.

02

Simulació d'atac

L'equip vermell executa tècniques a l'entorn de producció usant les mateixes eines i mètodes que els actors d'amenaces reals.

03

Avaluació de detecció

L'equip blau avalua si la tècnica va ser detectada, visible en logs o completament ignorada.

04

Ajust en directe

Per a deteccions perdudes, les regles es creen o ajusten en el moment i es tornen a provar immediatament.

05

Documentació

Registre de resultats, regles millorades, bretxes restants i documentació de transferència de coneixement.

06

Planificació de seguiment

Programació de la sessió següent basant-se en bretxes obertes i noves tècniques a abordar.

Què Reps

Lliurables

  • Mapa de calor MITRE ATT&CK: abans i després
  • Regles de detecció noves i millorades, validades durant la sessió
  • Per tècnica: estat de detecció, anàlisi de bretxes i remediació
  • Documentació de transferència de coneixement de l'equip blau
  • Full de ruta per a sessions posteriors
  • Resum executiu de la millora de la cobertura de detecció
Per a Qui

Quines organitzacions es beneficien del Purple Teaming?

El Purple Teaming és més eficaç per a organitzacions amb un SOC o equip de seguretat intern que vol millorar contínuament la qualitat de la detecció.

  • Organitzacions amb un SOC que volen millorar la qualitat de la detecció
  • Empreses que volen ampliar sistemàticament la seva cobertura MITRE ATT&CK
  • Equips de seguretat que volen aprendre des de la perspectiva de l'atacant
  • Organitzacions que segueixen un compromís de Red Team i volen convertir les troballes en millor detecció
  • Equips que integren un cicle de millora contínua en el seu programa de seguretat
Preguntes Freqüents

FAQ

Quina és la diferència entre Purple Teaming i Red Teaming?
El Red Teaming és una simulació d'atac realista on l'equip blau no sap que hi ha una prova en curs. Mesura la capacitat de detecció. El Purple Teaming és un exercici col·laboratiu on els equips vermell i blau treballen junts en directe per millorar la detecció. El Red Teaming prova; el Purple Teaming millora.
Quant dura una sessió de Purple Team?
Típicament de 2 a 5 dies per sessió. La durada depèn del nombre de tècniques a provar i la profunditat desitjada. Un programa estructurat consta de múltiples sessions a l'any, cobrint progressivament més del marc MITRE ATT&CK.
Necessita experiència el nostre equip blau?
El Purple Teaming és valuós en qualsevol nivell d'experiència. Per a equips menys experimentats és una excel·lent oportunitat d'aprenentatge. Per a equips amb experiència és l'oportunitat de refinar la detecció contra atacs realistes.
Quines tècniques es proven?
La selecció es basa en el panorama d'amenaces per al teu sector i organització. Típicament es proven de 10 a 20 tècniques MITRE ATT&CK per sessió, des de l'accés inicial fins a l'exfiltració. L'equip vermell utilitza els mateixos TTPs que els actors d'amenaces reals que se sap que apunten al teu sector.
Es pot fer el Purple Teaming de forma remota?
Sí. Moltes sessions de Purple Team es realitzen de forma remota amb comunicació en temps real mitjançant videoconferència. Les activitats de l'equip vermell ocorren mitjançant accés remot a l'entorn. La naturalesa col·laborativa es tradueix bé en formats remots.
Validació de Controls de Seguretat

Més informació →
Detecció d'Amenaces Gestionada

Més informació →
Caça d'Amenaces Gestionada

Més informació →

Preparat per construir una detecció
que realment capturi els atacants?

Explica'ns la teva maduresa de detecció actual. Dissenyem un programa de Purple Team que tanca les teves bretxes específiques.

Contacta amb nosaltres Línia d'incidents 24/7