// Suradnja i unapređenje
Purple Team — spona između napada i odbrane
Purple Team nije poseban tim sam po sebi — to je metodologija suradnje između Red i Blue tima koja osigurava da napadačke simulacije direktno poboljšavaju odbrambene sposobnosti organizacije.
Tradicionalno, Red i Blue Team rade nezavisno: Red tim napadne, napiše izvještaj, Blue tim dobije izvještaj i pokušava popraviti stvari. Purple Team pristup mijenja ovo — Red i Blue rade istovremeno i zajedno. Red tim izvodi napad dok Blue tim posmatra vlastite alate i pokušava ga detektovati. Ako detekcija ne uspije, zajedno rade na kreiranju novih detection pravila. Ovaj ciklus se ponavlja dok svaka tehnika iz MITRE ATT&CK frameworka ne bude pokrivena adekvatnom detekcijom. Rezultat je mjerljivo poboljšanje detection coverage-a.
Purple Team pretvara pojedinačne sigurnosne testove u kontinuirani proces poboljšanja — svaka vježba direktno gradi novu odbrambenu sposobnost.
Misija, Vizija, Koncept
Misija
Misija
Osigurati da svaka napadačka simulacija direktno rezultira mjerljivim poboljšanjem odbrambenih sposobnosti — bez gubitka između Red i Blue strane.
Vizija
Vizija
Standardizovati Purple Team metodologiju kao obavezan dio sigurnosnog programa svake organizacije koja teži zrelom sigurnosnom posturu.
Koncept
Koncept
Purple Team sesije vode se po MITRE ATT&CK framework-u — svaka tehnika se testira, mjeri detekcija i dokumentuju nova pravila, formirajući kontinuirani ciklus poboljšanja.
Infrastruktura
| Komponenta | Opis i namjena |
|---|---|
| Atomic Red Team | Biblioteka gotovih testova bazirana na MITRE ATT&CK — lako pokretanje simuliranih napada |
| CALDERA (MITRE) | Automatizovana platforma za Purple Team vježbe i adversary emulation |
| Vectr.io | Praćenje i mjerenje rezultata Purple Team sesija — koji napadi su detektovani |
| SIEM + SOAR | Wazuh / ELK za praćenje detekcija i kreiranje detection pravila u realnom vremenu |
| Sigma Rules | Standardizovani format za pisanje detection pravila — prenosivi između SIEM platformi |
| Cobalt Strike / Sliver C2 | C2 framework koji Red Team koristi tokom sesija — transparentno, s punim pristupom Blue timu |
Hardware
1
Planiranje TTP-a
odabir napadačkih tehnika iz MITRE ATT&CK frameworka
2
Izvođenje napada (Red)
transparent i kontrolisano
3
Analiza detekcije (Blue)
provjera SIEM/EDR/mrežnih alata
4
Kreiranje detection pravila
Sigma/YARA/Suricata pravila
5
Validacija i ponavljanje
potvrda da nova pravila rade
Software
FREE
Atomic Red Team
Microsoft biblioteka MITRE ATT&CK testova za simulaciju napada
FREE
CALDERA (MITRE)
Automatizovana adversary emulation platforma
FREE
Vectr.io
Tracking i mjerenje Purple Team sesija i detection coverage
FREE
Sigma HQ
Standardizovani detection rules format — prenosivi između SIEM platformi
~5.500€/god
Cobalt Strike
C2 framework za transparent Red Team operacije u Purple sesijama