Purple Teaming on variaatio Red Teaming -tietoturvatestauksesta, jossa nimenmukaisesti punainen ja sininen puoli, eli hyökkäyssimulaation toteuttaja ja projektin tilaajan puolustava tiimi toimivat yhdessä.
Tarkoituksena on hyödyntää Red Teaming -toteuttajien ajantasoista ammattitaitoa siinä, millaisia hyökkäyksiä kyberpuolustuksen täytyisi kyetä havaitsemaan. Isoin ero on siinä, että puolustavan osapuolen tietoturvavalvonta on nimenomaan tietoinen tapahtuvasta harjoituksesta ja siihen kuuluvista simuloiduista hyökkäyksistä. Näin voidaan arvioida yhdessä, reagoiko tietoturvavalvonta hyökkäystoimiin oikealla tavalla.
Testaukselle on annettu viraallinen rooli myös finanssialalle tarkoitetussa TIBER-EU -testauskehikossa.
Purple Teaming TIBER-FI ja TIBER-EU -testauksessa
Purple Teaming -harjoitukset ovat osa TIBER-FI ja TIBER-EU-testauskehikkoa projektin varsinaisen hyökkäysvaiheen jälkeen. Tarkoituksena on yhteistyössä asiakkaan kyberpuolustuksen kanssa käydä läpi, millaisia löydöksiä projektista on tehty, ja varmentaa ovatko ne asiakasorganisaation kannalta relevantteja.
Ennen Purple Team -harjoitusta molemmat osapuolet (Red Team ja Blue Team) ovat koostaneet oman raporttinsa. Purple Team tulisi TIBER-EU -kehyksen mukaan aloittaa 10 viikon sisällä Red Teamin hyökkäyssimulaation päättymisestä.
Harjoituksessa voidaan myös käydä läpi sellaisia skenaarioita, joita hyökkäävä Red Team ei ehtinyt toteuttaa. Harjoitus antaa mahdollisuuden analysoida ja kokeilla, olisivatko ne vaaraksi kohteelle. Yhteistuumin voidaan myös miettiä, onko joitakin muita lähestymistapoja, joita Red Team ei ollut vielä harkinnut, mutta joissa nähdään mahdollisia riskejä.
Purple Teaming -testauksen hyödyt
Oppimisen tehostaminen – Red ja Blue Teamit kokoontuvat jälkiarviointiin, jossa käydään läpi hyökkäykset, puolustusmekanismit ja havaitut haavoittuvuudet.
Havaintojen validointi – Varmistetaan, että kaikki löydökset ovat paikkansapitäviä ja relevantteja organisaation toimintaympäristölle.
Korjaavien toimenpiteiden priorisointi – Yhteistyössä määritellään kriittisimmät korjaustoimenpiteet havaittujen haavoittuvuuksien pohjalta.
Hyvässä Purple Team -harjoituksessa yhdistyy ajantasainen uhkatieto ja riittävä resursointi, jossa myös Blue Teamilla on hyvin aikaa osallistua harjoitukseen.
Harjoituksia voi toteuttaa kertaluontoisena toteutuksena tai toistuvina palveluina, joissa tehdään harjoitus sprinttinä esimerkiksi puolivuosittain. Uhkakuvat muuttuvat nopeasti, joten säännöllinen harjoittelu on tärkeää ja kasvattaa hyötyä, jota merkittävästä investoinnista tietoturvavalvontaan saadaan.
Laadukas Purple Team -harjoittelu parantaa tietoturvavalvonnan havainnointikykyä ja reagointinopeutta, kun mahdollisten uhkaajien toiminnasta ollaan paremmin tietoisia. Samalla koko organisaatio saa kehitystä ja oppia jatkon varalta tietoturvan ylläpitämiseen.