Purple Team Assessment
Klasyczny pentest znajduje podatności, ale nie sprawdza czy Twój SOC je widzi. Purple Team łączy symulację ataków z weryfikacją detekcji — dla każdej techniki MITRE ATT&CK sprawdzamy: czy SIEM/EDR wygenerował alert? Czy SOC zareagował? Wynik: konkretne reguły detekcji, nie tylko raport z podatnościami.
Czym jest Purple Team Assessment?
Purple Team Assessment to ćwiczenie bezpieczeństwa łączące Red Team (symulacja ataków) z Blue Team (obrona) w jednym skoordynowanym procesie. Zamiast testować obronę w izolacji, Red i Blue Team współpracują w czasie rzeczywistym — atakujący wykonują techniki MITRE ATT&CK, a obrońcy weryfikują detekcję i response. Wynik: zmapowane luki w detekcji i konkretne reguły do wdrożenia.
Pentest znajduje dziury, ale nie sprawdza czy Twój SOC je widzi
Testuj detekcję, nie tylko obronę — Purple Team zamyka luki
Symulacja ataków
Red Team wykonuje techniki MITRE ATT&CK w kontrolowany sposób
Weryfikacja detekcji
Blue Team sprawdza: czy alert został wygenerowany?
Naprawa na żywo
Reguły detekcji tworzone i testowane w czasie rzeczywistym
Czym jest Purple Team Assessment?
Purple Team Assessment to ćwiczenie bezpieczeństwa łączące Red Team (symulacja ataków) i Blue Team (obrona) w jednym skoordynowanym procesie. Red Team wykonuje techniki MITRE ATT&CK, a Blue Team weryfikuje w czasie rzeczywistym, czy SIEM/EDR je wykrył.
| Atrybut | Wartość |
|---|---|
| Framework | MITRE ATT&CK |
| Zakres | 30-80 technik ATT&CK |
| Czas | 2-4 tygodnie |
| Deliverable | Mapa pokrycia ATT&CK + reguły detekcji |
Klasyczny pentest znajduje podatności. Red Team testuje obronę. Purple Team idzie dalej — testuje detekcję i naprawia luki na żywo.
Pentest nie sprawdza czy SOC widzi atak
Masz SOC, SIEM, EDR — ale czy widzą wszystko? 68% technik ataków pozostaje niewidocznych dla SOC bez Purple Team. Pentest powie “można się włamać tu i tu”, ale nie powie “Twój SIEM nie widzi lateral movement przez PsExec”.
Bez Purple Team:
- Nie wiesz, które techniki ataków SOC/SIEM nie wykrywa
- Reguły detekcji mogą mieć luki — nikt ich nie testował
- Blue Team nie wie, jak wyglądają prawdziwe ataki
- Inwestycja w SOC/SIEM bez walidacji efektywności
Red + Blue = Purple — współpraca, nie konfrontacja
W Purple Team Assessment Red Team i Blue Team pracują razem, nie przeciwko sobie. Dla każdej techniki ATT&CK:
- Red wykonuje technikę w kontrolowany sposób
- Blue weryfikuje — czy alert się pojawił?
- Jeśli nie — wspólnie tworzą regułę detekcji
- Re-test — Red powtarza, Blue potwierdza detekcję
Co dostajesz:
- Mapa pokrycia MITRE ATT&CK: co SIEM/EDR widzi, czego nie
- Gotowe reguły detekcji: Sigma/Splunk/KQL na zidentyfikowane luki
- Plan doskonalenia: priorytetyzacja luk wg ryzyka
- Szkolenie Blue Team: nauka od Red Team w czasie rzeczywistym
- Metryki: ATT&CK coverage przed i po Purple Team
Przebieg sesji Purple Team
Każda sesja Purple Team jest precyzyjnie zaplanowana i oparta na frameworku MITRE ATT&CK z uwzględnieniem threat intelligence specyficznego dla branży klienta.
Threat profiling — przed rozpoczęciem ćwiczenia analizujemy profile grup APT aktywnych w sektorze klienta (np. dla sektora finansowego: FIN7, Carbanak; dla energetyki: Sandworm, Dragonfly). Na tej podstawie wybieramy 30-80 technik ATT&CK pokrywających pełny łańcuch ataku: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection i Exfiltration.
Sesje wykonawcze trwają 4-8 godzin i przebiegają w cyklu iteracyjnym. Red Team wykorzystuje narzędzia takie jak Cobalt Strike, Mythic C2, Impacket, Rubeus i Mimikatz do odtworzenia technik w kontrolowanym środowisku. Blue Team monitoruje w czasie rzeczywistym logi z SIEM (Splunk, Microsoft Sentinel, QRadar), EDR (CrowdStrike, SentinelOne, Microsoft Defender) i NDR. Dla każdej techniki dokumentujemy wynik: wykryta / częściowo wykryta / niewykryta.
Remediation na żywo — gdy Blue Team nie wykrywa techniki, wspólnie z Red Team budujemy regułę detekcji. Dostarczamy reguły w formatach: Sigma (uniwersalny), SPL (Splunk), KQL (Microsoft Sentinel) i AQL (QRadar). Red Team powtarza technikę, potwierdzając skuteczność nowej reguły. Dzięki temu organizacja wychodzi z Purple Team z natychmiast wdrożonymi poprawkami, a nie tylko raportem.
Raport końcowy zawiera macierz pokrycia MITRE ATT&CK Navigator z wizualizacją stanu przed i po ćwiczeniu, wszystkie dostarczone reguły detekcji oraz priorytetyzowany plan doskonalenia dla technik wymagających zmian architektonicznych.
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Masz SOC (własny lub outsourcowany) i chcesz przetestować detekcję
- Inwestujesz w SIEM/EDR i chcesz zmierzyć ROI
- Chcesz mapę pokrycia MITRE ATT&CK swojej organizacji
- Blue Team potrzebuje treningu z realnymi technikami ataków
- Przygotowujesz się do Red Team i chcesz najpierw naprawić detekcję
Skontaktuj się z opiekunem
Porozmawiaj o Purple Team Assessment z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Przygotowanie
Definicja scope, wybór technik ATT&CK, onboarding do SIEM/EDR
Threat profiling
Wybór scenariuszy ataków na podstawie TI dla branży klienta
Wykonanie
Red wykonuje technikę → Blue weryfikuje detekcję → wspólna analiza
Gap remediation
Tworzenie reguł detekcji dla luk, tuning alertów
Raport i retesting
Mapa pokrycia ATT&CK, reguły detekcji, plan doskonalenia
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Mapa luk detekcji
Wiesz dokładnie czego SOC/SIEM nie widzi
Reguły detekcji
Gotowe reguły Sigma/Splunk na zidentyfikowane luki
Mierzalny postęp
ATT&CK coverage: przed i po Purple Team
Rozwój zespołu
Blue Team uczy się od Red Team w czasie rzeczywistym
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Purple teaming — jak połączyć ofensywne i defensywne testy bezpieczeństwa dla lepszej ochrony
Purple teaming łączy Red Team i Blue Team. Poznaj metodologię MITRE ATT&CK i dowiedz się, jak współpraca obu zespołów wzmacnia program bezpieczeństwa organizacji.
Czytaj więcej →Wskaźniki kompromitacji (IoC) vs anomalie: Jak wykrywać ataki na wczesnym etapie?
Wykrywanie cyberataków to jak praca detektywa. Czasem znajdujesz konkretne dowody zbrodni – odciski palców czy narzędzia (wskaźniki IoC). Czasem jednak musisz zauważyć coś, co po prostu
Czytaj więcej →Red Team, Blue Team, Purple Team: Jak symulacje ataków wzmacniają cyberodporność firmy?
Wyobraź sobie sparing bokserski: jeden zawodnik atakuje (Red Team), drugi się broni (Blue Team). A teraz wyobraź sobie, że po każdej rundzie obaj siadają razem z trenerem (Purple Team), aby przeanalizować każdy cios i każdą gardę. Purple Teaming to rewolucja w testowaniu bezpieczeństwa, która zamien
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Purple Team Assessment.
Czym Purple Team różni się od Red Team?
Red Team testuje w izolacji — atakuje i sprawdza co uda się przełamać. Purple Team to współpraca: Red wykonuje technikę, Blue weryfikuje detekcję, wspólnie naprawiają luki. Red Team daje raport z podatnościami, Purple Team daje mapę pokrycia detekcji.
Czy potrzebujemy własny Blue Team?
Idealnie tak — wtedy Purple Team szkoli Twój zespół. Jeśli nie masz Blue Team, nFlo dostarcza obie strony. Rekomendujemy Purple Team dla firm z SOC (własnym lub outsourcowanym).
Ile trwa Purple Team Assessment?
Typowy Purple Team to 2-4 tygodnie: 1 tydzień przygotowania, 1-2 tygodnie wykonania (sesje po 4-8h), 1 tydzień raportowania. Liczba technik ATT&CK: 30-80 w zależności od scope.
Jaki jest wynik Purple Team?
Mapa pokrycia MITRE ATT&CK (co SIEM/EDR widzi, czego nie widzi), gotowe reguły detekcji (Sigma/Splunk/KQL), plan doskonalenia detekcji priorytetyzowany wg ryzyka.