Wie serieus werk wil maken van purple teaming intern, loopt vroeg of laat aan tegen de aanname dat zo’n oefening automatisch een extern bureau vereist. Die aanname is kostbaar en vaak onjuist. Een goed ontworpen purple team sessie bouwt interne capaciteit op, terwijl het inhuren van een externe red team een rapport oplevert dat zelden tot blijvende verbeteringen leidt. Dit artikel beschrijft hoe je met bestaande mensen, open standaarden en een paar dagen voorbereiding een werkbare oefening opzet die je SOC daadwerkelijk sterker maakt. Geen commercieel verhaal, geen vendor-tooling als verplichting, wel een operationele aanpak die in middelgrote tot grote Nederlandse organisaties haalbaar is.
Wat purple teaming intern werkelijk betekent
Een veelvoorkomend misverstand is dat purple teaming een apart team is dat je inhuurt of aanneemt. Dat is het niet. Het Purple Team Exercise Framework, oorspronkelijk ontwikkeld door Jorge Orchilles en breed gebruikt in de security-industrie, definieert het als een virtueel team: je bestaande red team functie, je blue team (SOC, hunt team, incident response) en een coordinator werken gezamenlijk aan een scenario. Het verschil met een klassieke pentest is fundamenteel: bij een purple team oefening weet de verdedigende kant precies wat er gebeurt en wanneer. Elke aanvalsstap wordt toegelicht, waarna er direct wordt gekeken of de detectie werkt en hoe de respons verloopt.
Die openheid maakt purple teaming intern juist effectief. Waar een zero-knowledge pentest meet of je een aanval kunt stoppen, meet purple teaming waarom detectie wel of niet werkt en welke aanpassing de volgende keer wel tot een succesvolle detectie leidt. Het doel is niet bewijzen dat een aanvaller binnen kan komen, maar structureel verbeteren wat je al hebt staan aan mensen, processen en tooling.
Waarom externe pentest-rapporten zelden tot verbetering leiden
De meeste securityleiders kennen het patroon. Een extern bureau voert een red team engagement uit, levert een lijvig rapport met bevindingen en verdwijnt weer. Het rapport verhuist naar een Sharepoint-folder. Drie maanden later is 20 procent van de bevindingen opgepakt, 50 procent staat in een ticketing-backlog en de resterende 30 procent wordt stilzwijgend vergeten. Ondertussen is het volgende budgetjaar begonnen en wacht een nieuwe pentest-opdracht.
Het probleem is niet dat externe red teams incompetent zijn. Het probleem is dat leerrendement grotendeels bij de aanvaller blijft. Bij een purple team oefening opzetten draai je die dynamiek om. Je eigen analisten zien real-time hoe een aanvalstechniek eruit ziet op hun eigen SIEM, welke logs wel en niet gegenereerd worden, en welke knop in hun detectietooling ze anders moeten zetten. Die kennis blijft in de organisatie. Dat is het fundamentele verschil met de klassieke red versus blue tegenstelling, en het is ook waarom scenario-gebaseerd trainen onder druk structureel meer oplevert dan theoretische cursussen.
De minimumbezetting voor purple teaming intern opzetten
Een veelgehoord bezwaar is dat een organisatie de mensen niet heeft om purple teaming intern te draaien. In de praktijk valt dat mee. De minimale bezetting bestaat uit vier rollen, die niet vier aparte personen hoeven te zijn. Je hebt een aanvallende rol nodig: iemand die TTP’s uit MITRE ATT&CK kan uitvoeren met tools als Atomic Red Team of Caldera. Dat is vaak een senior security engineer, een network specialist met affiniteit voor offensive security, of een cybersecurity-professional die zelf de mindset van een hacker heeft ontwikkeld.
Naast die aanvallende rol heb je twee tot drie blue team analisten nodig die de detectie draaien en actief meekijken tijdens de oefening. Tenslotte een coordinator, meestal de SOC manager of CISO zelf, die notulen maakt, actiepunten vastlegt en na afloop de lessons learned vertaalt naar verbeteringen. Als je organisatie beschikt over een cyber threat intelligence functie, voeg die dan toe. Zo niet, dan kun je publiek beschikbare threat intelligence rapporten gebruiken om de scope te bepalen.
Voor een eerste purple team oefening opzetten reserveer je idealiter twee dagen: een halve dag voorbereiding, een volle dag uitvoering, een halve dag voor lessons learned. Dat is overzichtelijk qua agenda-impact en levert genoeg tijd om zes tot tien TTP’s serieus door te lopen.
TTP-selectie: beginnen bij wat je realistisch tegenkomt
De grootste beginnersfout bij purple teaming intern is het kiezen van exotische aanvalstechnieken die indruk maken op bestuurders maar weinig te maken hebben met je feitelijke dreigingsbeeld. Een betere aanpak is pragmatisch: open het Red Canary Threat Detection Report, kies de top 10 meest voorkomende TTP’s van het afgelopen jaar en map die op je eigen omgeving. Dit rapport geeft per techniek ook aan welke detectie-regels je zou moeten hebben draaien.
Combineer die selectie met het MITRE ATT&CK framework voor gestructureerde uitvoering. Begin bij technieken die hoog in de kill chain zitten: initial access via phishing met malafide bijlage, execution via PowerShell, persistence via registry run keys. Dit zijn de bewegingen die je in bijna elk incident ziet. Als je SOC die niet detecteert, heeft het weinig zin om te testen of je een complexe living-off-the-land techniek herkent.
Voor Nederlandse organisaties is het aan te raden om recente dreigingsanalyses van het NCSC te raadplegen bij de scope-bepaling. De aanvallers die MKB-productiebedrijven, zorginstellingen en gemeenten treffen, gebruiken vaak dezelfde set technieken. Een realistische aanpak voor purple teaming intern richt zich op die set, niet op state-sponsored advanced persistent threat scenarios die voor jouw organisatie weinig relevant zijn.
De uitvoering: zo ziet een purple team dag eruit
Op de oefendag zit iedereen fysiek of digitaal bij elkaar. Het team volgt voor elke TTP hetzelfde ritme tijdens purple teaming intern. De coordinator kondigt de techniek aan en laat de red team functie uitleggen wat er gaat gebeuren. Voordat er iets wordt uitgevoerd, gaat het blue team hardop na welke detectieregel zou moeten afgaan, welke logbronnen de activiteit zouden moeten vangen en welke respons de playbook voorschrijft. Dit is het tabletop-moment.
Pas daarna voert de red team de techniek uit op een geprepareerd doelsysteem, bij voorkeur een productie-achtige omgeving die representatief is voor je echte infrastructuur. Tier 1 analisten kijken in hun SIEM of er een alert komt. Hunt team of tier 2 analisten gaan parallel op zoek in de logs. Incident response volgt de runbook alsof het een echt incident is. Na vijf tot vijftien minuten, afhankelijk van de complexiteit, wordt de resultaten besproken.
Hier ontstaat de waarde van purple teaming intern. Kwam de alert binnen? Zo nee, waarom niet? Ontbreekt de logbron, is de regel niet actief, of kijkt niemand naar dat dashboard? Werd de respons correct uitgevoerd volgens de incident response playbooks? Waar zat de vertraging? Elke TTP levert concrete verbeterpunten op: een regel bijstellen, een logbron toevoegen, een playbook aanscherpen, een analist trainen op een specifieke techniek.
Red blue team samenwerking vasthouden na de oefening
Een eenmalige ronde purple teaming intern levert direct waarde, maar de echte winst zit in de herhaling. De red blue team samenwerking die tijdens de oefening ontstaat, verdampt binnen weken als er geen structurele opvolging is. Organisaties die het goed doen, plannen vier tot zes purple team rondes per jaar, met telkens een andere set TTP’s en een andere focus.
Leg de bevindingen systematisch vast. Het open source platform VECTR wordt breed gebruikt om TTP-resultaten, detectie-status en verbeteracties bij te houden per oefening. Dat maakt trending mogelijk: na zes maanden zie je of je detection coverage daadwerkelijk groeit, welke technieken hardnekkig niet worden gezien, en waar je team nieuwe kennis nodig heeft. Die data-gedreven aanpak tilt red blue team samenwerking uit boven de anekdotische fase.
Belangrijk is ook dat je de inzichten koppelt aan opleiding. Als purple teaming intern herhaaldelijk laat zien dat tier 1 analisten bepaalde technieken niet herkennen, is dat geen tooling-probleem maar een kennisprobleem. Structurele opleiding via een praktijkgerichte opleiding waarin analisten scenario-gebaseerd leren werken onder druk, sluit de loop tussen oefening en capaciteitsopbouw. Zonder die koppeling blijf je dezelfde gaten ontdekken zonder ze permanent te dichten.
Wanneer purple teaming intern niet genoeg is
Eerlijk is eerlijk: er zijn situaties waarin een extern bureau waarde toevoegt. Voor geavanceerde adversary emulation met aangepaste malware, complexe social engineering campagnes of langdurige stealth red team engagements mist je eigen team doorgaans de tijd en specialistische expertise. Voor die gevallen is externe inhuur terecht. Maar die engagements zijn het topje. De basis, namelijk het testen en verbeteren van je standaard detectie tegen veelvoorkomende TTP’s, hoort intern gedraaid te worden.
Een slim volwassenheidsmodel werkt zo: je start met maandelijkse rondes van purple teaming intern op bekende TTP’s en huurt jaarlijks extern in voor scenario’s die intern niet haalbaar zijn. Dat combineert het leerrendement van interne oefeningen met het validatie-effect van een externe, onafhankelijke blik. Zo bouw je ook een eigen team dat het externe rapport bij de volgende iteratie zelf kan navolgen.
Purple teaming intern opzetten vraagt discipline, geen uitzonderlijk budget. De tools zijn open source, het framework is publiek beschikbaar, en de rollen kun je bezetten met mensen die je al in dienst hebt, mits ze de juiste training hebben gehad. Bij Trivian leiden we cybersecurity-professionals op met de hands-on vaardigheden die nodig zijn om red en blue team werk zelf te draaien en purple teaming intern structureel te maken. Bekijk hoe wij samenwerken met organisaties of plan een adviesgesprek om te bespreken hoe je interne oefencapaciteit versneld opbouwt.



