Waarom je blue team blind is en hoe red teaming dat aantoont
Je hebt een firewall. Antivirus. SIEM. Misschien zelfs een SOC. Alles lijkt onder controle. Maar zie je ook wat je mist?
Veel organisaties investeren fors in cybersecurity. Toch blijft één vraag onderbelicht: werkt je detectie en respons écht – als het erop aankomt?
Wij voeren regelmatig realistische aanvalssimulaties uit. En telkens weer blijkt: het blue team (de verdedigende kant) denkt alles te zien, maar mist cruciale signalen.
Precies wat een aanvaller nodig heeft.
Van zicht
Je kent het vast:
- “We loggen alles.”
- “Ons SIEM detecteert afwijkingen.”
- “We krijgen alerts bij verdachte inlogpogingen.”
In theorie klopt dat. Maar in de praktijk blijkt keer op keer:
- Blue teams leggen geen verband tussen losse events
- Ze missen context bij ogenschijnlijk onschuldige acties
- Ze herkennen afwijkend gedrag niet als dreiging
- Ze hebben te weinig tijd of focus om signalen goed te beoordelen
De meeste organisaties hebben hun technische set-up op orde. Maar wat ontbreekt, is een realistische test: wat doet je blue team als een aanvaller stilletjes binnenkomt en zich gedraagt als een slimme, onzichtbare dreiging?
Red teaming zien?
Een red team oefening simuleert een aanval zoals een echte aanvaller dat doe. Zonder dat je team weet wanneer of hoe. Denk aan:
- Openbare data (OSINT) om gerichte phishingcampagnes op te zetten
- Een vergeten account als stille toegangspoort
- Lateral movement via RDP, PowerShell of WMI
- Privilege escalation naar domein admin
- Data-exfiltratie via legitieme processen
Wat blijkt? Het blue team:
- Mist de initiële toegang of ziet het als false positive
- Detecteert geen laterale beweging
- Herkent privilege escalatie niet
- Reageert niet of te laat
Gevolg: de aanval slaagt. Ongemerkt. Net als in de echte wereld.
Dit ertoe doet
Volgens het IBM Cost of a Data Breach Report 2023 zit een aanvaller gemiddeld 204 dagen onopgemerkt in een netwerk. In die tijd:
- Worden backdoors geplaatst
- Wordt data gestolen
- Worden herstelopties gesaboteerd
Zonder detectie heeft preventie weinig waarde. Alleen red teaming toont of je verdediging werkt, niet alleen op papier, maar in de praktijk.
Kun je doen?
- Train je IT-team op realistische aanvalsscenario’s
- Plan een red team oefening die techniek, detectie én respons test
- Werk met een partij die gecontroleerd aanvalt, en je inzicht geeft in wat je echt ziet en mist
Onze dochterorganisatie RedTeam simuleert aanvallen zoals échte aanvallers dat doen: stealth, doelgericht en met oog voor impact. Daarna weet je precies waar je staat. En waar nog risico zit.
Om het te testen?
Denk je dat jouw organisatie aanvallers tijdig detecteert of hoop je dat vooral? Laten we samen kijken waar je staat. Eén gesprek maakt al verschil.