Red Team Engagement
Het verschil tussen een pentest en een Red Team Engagement
Een pentest is een technische kwetsbaarhedenanalyse binnen een afgebakende scope. Waardevol — maar het geeft geen antwoord op de vraag: "Als een gerichte aanvaller ons echt wil raken, kunnen wij hem dan stoppen?"
Een Red Team Engagement geeft wél dat antwoord. Wij simuleren een Advanced Persistent Threat: een geduldig, doelgericht aanvalsscenario waarbij wij alle tactieken mogen inzetten die een echte tegenstander ook gebruikt.
Wat DEFION Red Teaming u concreet oplevert
Onze Red Team-specialisten combineren technische diepgang met operationele realisme:
✔ Dreigingsprofiel-afgestemd scenario — Welke aanvallers bedreigen uw sector? Welke tactieken gebruiken zij?
✔ Technische infiltratie — Misbruik van kwetsbaarheden in infrastructuur, applicaties, cloud en OT
✔ Social engineering — Gerichte spear phishing, impersonatie, pretext-calls naar uw medewerkers
✔ Fysieke of hybride toegang — Waar passend: badge-cloning, tailgating, gecombineerde fysieke/digitale aanvallen
✔ Persistentie en lateral movement — Wij verankeren ons en bewegen door uw omgeving zoals een echte aanvaller
✔ Detectie- en responstest — Wij meten hoe snel en effectief uw SOC, IT en management reageren
✔ Geen aankondiging — Uw operationeel team weet niet wanneer het begint; wij variëren timing en tactiek
✔ Technische én bestuurlijke debrief — Operationele inzichten voor uw security-team plus strategische samenvatting voor directie
Welk type Red Team past bij uw organisatie en wensen?
Red Teaming is geen enkelvoudige dienst. Het type hangt af van uw sector, wettelijke verplichtingen, organisatievolwassenheid en leerdoelen. DEFION voert alle onderstaande varianten uit.
Full Red Team Engagement
Geen aankondiging aan het operationele team. Geen beperkte scope. Geen hints. Onze Red Teamers bepalen zelf tactiek, timing en aanvalsvector — binnen de afgesproken spelregels. Van initiële verkenning en OSINT tot social engineering, technische infiltratie, laterale beweging en doelbereik. Uw SOC weet niet wanneer het begint. Uw CISO weet pas achteraf hoe ver wij kwamen.
Geschikt voor: organisaties met een volwassen en operationeel SOC die hun detectiecapabiliteit willen valideren onder maximaal realistische omstandigheden.
Doorlooptijd: 6–16 weken afhankelijk van scope.
Bounded Red Team Engagement
Gerichte aanvalssimulatie binnen een vooraf bepaald domein — externe aanvalsvectoren, phishing en social engineering, cloud-omgeving, of een specifieke leveranciersketen.
Nuttig wanneer operationele continuïteit geen volledige vrijheid toelaat, of wanneer u één specifiek aanvalsoppervlak grondig wilt testen zonder de rest van de organisatie te belasten.
Geschikt voor: organisaties die doelgericht een blinde vlek willen adresseren, of die nog niet klaar zijn voor een ongebonden engagement.
Doorlooptijd: 3–8 weken.
Purple Team Engagement
Aanval en verdediging in één gecombineerde oefening. Onze Red Teamers voeren technieken uit terwijl uw security-team live meekijkt, detectieregels aanpast en respons-procedures valideert. Elke techniek wordt direct vertaald naar een detectiegat of een verbeterde SIEM-regel.
Minder realistisch dan een ongebonden Red Team Engagement — maar maximaal leerzaam.
OT Red Teaming
Aanvalssimulatie gericht op industriële systemen, SCADA, ICS en operationele technologie — zonder risico voor productiecontinuïteit.
De meeste Red Team-aanbieders stoppen bij de IT-grens. DEFION kan industriële omgevingen volledig in scope nemen, inclusief aanvalsscenario's die de IT/OT-convergentie benutten: van kantoornetwerk naar productievloer, van remote access naar besturingslogica. Wij kennen de specifieke dreigingsactoren die het op OT-omgevingen voorzien en de tactieken die zij werkelijk gebruiken.
Geschikt voor: maakindustrie, energie, transport, water, kritieke infrastructuur — elke organisatie waarbij een succesvolle aanval op OT-systemen productie, veiligheid of continuïteit in gevaar brengt.
Doorlooptijd: 8–20 weken afhankelijk van scope en OT-complexiteit.
DNB Advanced Red Teaming (ART)
Het DNB ART-framework is een intelligence-led red team methodology voor organisaties onder DNB-toezicht die nog niet aan de volledige TIBER-cyclus toe zijn. ART 2.0 is een gestructureerde tussenstap: zwaarder dan een standaard red team engagement, lichter in governance dan TIBER.
Een ART-exercitie verloopt via een vaste fasering: voorbereiding, threat intelligence, red team uitvoering op basis van intelligence-led aanvalsscenario's, en een verplichte purple team closure-fase.
Het ART-framework wordt ook ingezet buiten de financiële sector — voor ziekenhuizen en zorginstellingen onder Z-CERT-coördinatie (het zogenoemde ZORRO-framework) en voor andere kritieke infrastructuuroperators.
Geschikt voor: financiële instellingen en andere organisaties onder DNB-toezicht die hun offensief testprogramma willen opbouwen richting TIBER of TLPT, en kritieke infrastructuursectoren die een ART-equivalente test wensen.
Doorlooptijd: 11–22 weken.
TIBER-EU / TIBER-NL
Het Europese framework voor threat intelligence-based ethical red teaming van financiële instellingen, gecoördineerd door de ECB en in Nederland uitgevoerd onder DNB-toezicht. TIBER combineert een onafhankelijke Threat Intelligence Provider (TIP) met een Red Team Provider (RTP) in een gecontroleerde test van uw productieomgeving — inclusief critical functions en critical third-party providers.
TIBER-NL is in februari 2025 bijgewerkt om volledig te aligneren met de DORA TLPT-standaarden. Een succesvol afgeronde TIBER-test kan dienen als TLPT-bewijs onder DORA, mits uitgevoerd conform de geldende RTS.
Geschikt voor: banken, betaalinstellingen, pensioenfondsen, verzekeraars en andere financiële instellingen onder DNB- of AFM-toezicht.
Doorlooptijd: 9–14 maanden.
TLPT — DORA Article 26
Threat-Led Penetration Testing is per 17 januari 2025 een wettelijke verplichting voor significante financiële entiteiten onder DORA. De Regulatory Technical Standards zijn van kracht per 8 juli 2025 (EU 2025/1190). Elke drie jaar een volledige TLPT-cyclus — of vaker op aanwijzing van de bevoegde autoriteit.
DEFION begeleidt u door het volledige TLPT-traject: scope-bepaling in afstemming met de bevoegde autoriteit, coördinatie met de Threat Intelligence Provider, uitvoering van de red team test op productiesystemen, verplichte purple team afsluiting, en oplevering van het testrapport conform de RTS-vereisten.
Geschikt voor: financiële instellingen aangemerkt als significant onder DORA (Article 26) — banken, betaalinstellingen, beleggingsondernemingen, verzekeraars.
Doorlooptijd: 9–14 maanden.
Hoe een Red Team Engagement verloopt
1. Doeldefinitie & scope
Wij bepalen samen scenario, doelstellingen ("kroonjuwelen"), scope, risicotolerantie en juridische randvoorwaarden. Wie mag het weten? Welke systemen zijn off-limits?
2. Threat modeling & aanvalsplanning
Wij analyseren uw sector, het actuele dreigingslandschap en OSINT over uw organisatie. Voor intelligence-led engagements levert de Threat Intelligence-fase specifieke aanvalsscenario's op basis van uw werkelijke dreigingsprofiel.
3. Uitvoering
Ons Red Team voert het scenario uit. Uw operationeel team weet niet wanneer het begint of welke vorm het aanneemt. Wij variëren tactieken en timing om realisme te maximaliseren.
4. Monitoring & logging
Alle acties worden vastgelegd met exacte tijdstempel, zodat wij tijdens de debrief exact kunnen reconstrueren wat er gedaan is, wanneer het werd gedetecteerd (of niet) en wat de reactie was.
5. Debrief & verbeterplan
- Technische debrief: Welke technieken werkten? Waar werd u gestopt? Wat miste uw SOC?
- Purple team closure: Replay van aanvalstechnieken, live verbetering van detectieregels (verplicht bij ART en TLPT)
- Bestuurlijke samenvatting: Strategische kwetsbaarheden en aanbevelingen voor directie en CISO
Waarom DEFION?
OT-expertise die de meeste aanbieders missen
De meeste Red Team-aanbieders stoppen bij de IT-grens. Wij nemen OT-omgevingen, SCADA-systemen en industriële netwerken volledig in scope — met de kennis en voorzichtigheid die dat vereist.
Verbonden met detectie
Onze Red Teamers kennen de detectie-kant ook. Zij weten welke technieken moderne EDR en SOC-tooling herkent — en welke niet. Dat maakt bevindingen meer actionable.
20 jaar fieldwork als fundament
DEFION voert zowel red team operations als incident response uit. Onze aanvallers weten ook wat er daadwerkelijk gebeurt als een echte aanvaller in uw omgeving zit — en wat de schade is als detectie uitblijft.
Eén partner voor het volledige spectrum
Na een Red Team Engagement kunt u bij DEFION terecht voor pentesting, MDR, DFIR en strategisch advies. Geen handoff naar een andere leverancier.
Voor welke organisaties is Red Teaming geschikt?
- Organisaties met een bestaand en operationeel SOC die detectiecapabiliteit willen valideren
- Sectoren met verhoogd dreigingsniveau: kritieke infrastructuur, financieel, overheid, maakindustrie, OT
- Organisaties die wettelijk verplicht zijn tot een offensieve test (TIBER, DORA TLPT, ART)
- Organisaties waar continuïteit en reputatie afhangen van digitale weerbaarheid
- OT-omgevingen waarbij een aanval op industriële systemen productie of veiligheid in gevaar brengt
"Wij waren onder de indruk van de openheid en expertise van DEFION. De samenwerking voelt als naast ons, niet tegenover ons - gericht op hetzelfde doel." Opdrachtgever NIS2 en OT-omgeving
"Dankzij DEFION profiteren we van up-to-date kennis over hedendaagse beveiligingsdreigingen en manieren om risico's te voorkomen. We hebben gemoedsrust in de wetenschap dat we 24/7 volledig worden ondersteund door hun team."
Jeroen van Stokkum ICT-manager
![[object Object]](https://assets.defion.security/api/assets/images/l7GY2Z9ip58BiQ5Bckyaz6f4Kz3KdM-w2000.webp?t=3840)
“De sector en de partners waarmee we samenwerken hanteren hoge beveiligingsnormen. Het beschermen van de privacy van individuen in de beelden en de gevoeligheid van de informatie die de drones verzamelen, zoals over objecten in kritieke infrastructuur, vereist dat onze beveiliging onfeilbaar is. Met Defion werken we samen met een professionele partner die ons op het juiste niveau kan ondersteunen. De samenwerking past ook perfect binnen onze strategie om betrouwbare en veilige dronetechnologie aan Europese klanten te leveren.”
Benjamin van der Hilst Medeoprichter & CEO
“Nieuwe eisen vanuit NIS2 voor OT-systemen vergroten de focus op beveiliging. Met DEFION weten we dat we de juiste expertise in huis hebben om onze systemen veilig te houden. De samenwerking was gemakkelijk en prettig; de specialisten zaten echt naast ons in plaats van tegenover ons. Dankzij hun openheid en expertise werken we samen aan hetzelfde doel: optimale beveiliging. Dit geeft ons het vertrouwen om de toekomst tegemoet te treden.”
Alexander OdijkTeammanager
“Als je kijkt waar we tien jaar geleden stonden, hebben we enorme vooruitgang geboekt. Het gevoel van controle is groter. Met Security Assurance en MDR hebben we processen en controlemechanismen opgezet die ons in staat stellen de impact van een mogelijke aanval te beperken. De samenwerking dient ook als een constante herinnering om de focus op beveiliging te behouden en de juiste prioriteiten op dat gebied te stellen. Het houdt ons alert en scherp. Bovendien zijn de specialisten van Defion zeer technisch onderlegd en gepassioneerd over hun vakgebied. Dat blijkt duidelijk uit hun diensten.”
Gerco VermeerDevelopment Manager
Veelgestelde vragen
Wat is het verschil tussen ART, TIBER en TLPT?
TIBER-NL is het volledigste framework — een DNB-gesuperviseerde test voor financiële instellingen met een onafhankelijke Threat Intelligence Provider. TLPT is de DORA-verplichting (Art. 26) die TIBER als uitvoeringsstandaard gebruikt. ART is een lichtere, modulaire variant van DNB voor organisaties die nog niet aan de volledige TIBER-cyclus toe zijn — ook inzetbaar buiten de financiële sector, zoals in de zorgsector (ZORRO-framework, begeleid door Z-CERT).
Moeten wij ons operationele team waarschuwen?
Nee — en bij voorkeur niet. Een general awareness ("er komt op enig moment een test") is acceptabel. Timing of vorm niet; dat ondermijnt het scenario. Management en juridische afdeling zijn op de hoogte. Uw SOC en operationeel team niet.
Kan Red Teaming onze productieomgeving in gevaar brengen?
Wij bespreken altijd vooraf de specifieke risico's en randvoorwaarden. Voor OT-omgevingen werken wij met expliciete veiligheidsprotocollen en escalatiepaden. Veiligheid en productiecontinuïteit staan voorop.
Hoe lang duurt een Red Team Engagement?
Van 3 weken (bounded) tot 14 maanden (TIBER/TLPT). Zie de vergelijkingstabel. Tijdens de intake geven wij een concrete schatting op basis van uw scope.
Wat als ons team de Red Teamers detecteert?
Dat is het beste scenario. Wij verhogen dan de complexiteit en proberen andere aanvalsvectoren. Detectie is het doel — en de eerste stap naar échte weerbaarheid.
Wat kost een Red Team Engagement?
Dit varieert sterk op basis van scope, duur en het gekozen model. Een scopegesprek is kosteloos. Wij geven een concrete indicatie binnen één werkdag.
