Red Teaming

Wat is red teaming?

Red teaming is een realistische simulatie van een cyberaanval waarbij ethical hackers proberen je organisatie binnen te dringen via technische, fysieke en social engineering aanvalsvectoren. Het doel is niet zoveel mogelijk kwetsbaarheden vinden, maar testen of je organisatie een gerichte aanval kan detecteren, stoppen en erop reageren.

Bij een red team engagement opereert het aanvalsteam in het geheim. Je eigen beveiligingsteam — het blue team — weet niet dat er getest wordt. De aanvallen zijn gebaseerd op actuele dreigingsinformatie (threat intelligence) en de scope omvat mensen, processen en technologie. Het red team probeert ongemerkt een specifiek doel te bereiken: toegang tot financiële administratie, klantdata, productienetwerken of andere kroonjuwelen.

Het kernverschil met een penetratietest is fundamenteel. Een pentest beantwoordt de vraag "waar zitten onze gaten?" Red teaming beantwoordt de vraag "kunnen we een aanvaller detecteren en stoppen voordat die bij onze kroonjuwelen komt?" Een pentest zoekt CVE's in een afgebakend systeem. Een red team test de volledige organisatorische weerbaarheid: technologie, mensen en processen tegelijk, net als een echte aanvaller.

Red teaming is de meest geavanceerde vorm van offensief testen en bouwt voort op eerder uitgevoerde penetratietests. Het is de logische volgende stap voor organisaties die al een basisniveau van beveiligingsmaatregelen hebben en willen weten of die maatregelen ook werken onder realistische aanvalscondities.

Waarom red teaming onmisbaar is

Pentests vinden kwetsbaarheden in systemen. Red teaming test of je hele organisatie — mensen, processen en technologie — in staat is een gerichte aanval te detecteren en af te slaan. Dat is een fundamenteel ander niveau van inzicht dat met geen andere testmethode te verkrijgen is.

De Nederlandse dreigingscijfers onderbouwen de urgentie. 92% van Nederlandse organisaties is getroffen door cyberaanvallen. 40% van alle aanvallen op Nederlandse organisaties begint met social engineering — precies de vector die reguliere pentests niet testen. En cyberaanvallen stegen in Q1 2025 met 53% ten opzichte van het jaar ervoor. Ransomware-aanvallen nemen naar verwachting nog 40% toe tegen 2026 (Bron: ENISA Threat Landscape 2024). In dit dreigingslandschap is het niet de vraag óf jouw organisatie wordt aangevallen, maar wanneer.

Red teaming laat zien waar detectie en respons falen. Een pentest vertelt je dat een deur open staat. Red teaming vertelt je dat een aanvaller 3 weken lang ongemerkt door je netwerk bewoog, bij je financiële data kwam, en dat niemand het zag. Dit is informatie die je met geen andere testmethode krijgt.

De business case is overtuigend. Onderzoek van het Ponemon Institute toont dat elke EUR 1 geïnvesteerd in red teaming gemiddeld EUR 6,40 bespaart aan voorkomen breach-kosten. Voor een middelgroot bedrijf met 500 medewerkers en EUR 50 miljoen omzet ziet de conservatieve berekening er zo uit: de investering in red team, remediatie en hertest bedraagt EUR 100.000 per jaar. De vermeden breach-kosten (5% kans op datalek van EUR 6 miljoen) bedragen EUR 300 (Bron: IBM Cost of a Data Breach Report 2024).000. De lagere cyberverzekeringspremie (15%) levert EUR 22.500 op. De ROI op jaarbasis is daarmee 3,2x — conservatief.

Een bijkomend voordeel: aantoonbare security testing leidt tot 12–18% lagere cyberverzekeringspremies. Cyberverzekeraars waarderen actief risicobeheer en red teaming is een van de sterkste signalen dat een organisatie haar weerbaarheid serieus neemt. Combineer red teaming met een adequate cyberverzekering voor een complete risicobeheerstrategie.

De NotPetya-casus uit 2017 illustreert wat er misloopt zonder responstests. Farmaciegigant Merck raakte getroffen door NotPetya-malware met een schade van meer dan USD 1,4 miljard. Het bedrijf had technische beveiligingsmaatregelen, maar de detectie en respons waren niet getest op een aanval van deze schaal. De malware verspreidde zich in minder dan 2 minuten door het hele netwerk. Een voorafgaande red team exercise had dit scenario kunnen identificeren en de responsprocessen kunnen verbeteren.

Hoe werkt het? Het proces stap voor stap

Een red team engagement volgt een gestructureerd proces van zes fasen, met een totale doorlooptijd van 4–12 weken afhankelijk van scope en omvang.

Fase 1 — Scoping en voorbereiding (1–2 weken): Doelen vastleggen, scope bepalen (welke systemen, locaties, medewerkers), rules of engagement opstellen en het dreigingsmodel definiëren. Cruciaal is de bepaling van de "kroonjuwelen": welke assets moet het red team proberen te bereiken? Dit kunnen specifieke bestanden, systemen, financiële gegevens of klantdata zijn. Hoe specifieker de opdracht, hoe waardevoller de bevindingen.

Fase 2 — Threat intelligence (2–4 weken): Analyse van het dreigingslandschap specifiek voor jouw sector en organisatie. Welke dreigingsgroepen vallen organisaties zoals de jouwe aan? Welke technieken gebruiken ze? Welke aanvalsvectoren zijn het meest relevant? Deze fase bepaalt de scenario's voor de test. Bij TIBER/TLPT-trajecten wordt dit door een onafhankelijke externe TI-provider uitgevoerd.

Fase 3 — Aanvalsontwikkeling (1–2 weken): Het red team ontwikkelt aanvalsscenario's op basis van de threat intelligence. Dit omvat het opzetten van aanvalsinfrastructuur, het ontwikkelen van custom tooling en het voorbereiden van social engineering campagnes. Generieke tools zijn voor geavanceerde detectiesystemen herkenbaar; goede red teams gebruiken custom tooling die specifiek is ontwikkeld voor de omgeving.

Fase 4 — Actieve test (4–8 weken): Het red team voert de aanvallen uit. Dit kan bestaan uit phishing-campagnes, fysieke toegangspogingen, exploitatie van externe systemen, lateral movement door het netwerk en pogingen om bij de kroonjuwelen te komen. Het blue team weet niet dat er getest wordt en reageert op aanvallen als ware het een echte dreiging.

Fase 5 — Rapportage (1–2 weken): Een narratief rapport met het volledige aanvalspad, gedetecteerde en ongedetecteerde acties, detectiegaten en concrete aanbevelingen. Geen lijst van CVE's maar een verhaal: "zo kwamen we binnen, dit zagen jullie wel, dit niet." Dit rapport is de basis voor remediatie en voor compliance-bewijs.

Fase 6 — Purple team sessie (1 week): De gezamenlijke debriefing met het red team en het blue team is het meest waardevolle onderdeel van het hele traject. Het red team laat zien wat ze deden, het blue team laat zien wat ze zagen — of niet. Samen ontwikkelen jullie verbeterde detectieregels en responsprocedures. Het overslaan van deze sessie betekent het primaire leereffect missen. Dit sluit nauw aan op purple teaming als structurele vervolgstap.

Een praktische vuistregel: reserveer minimaal 50% extra budget bovenop de testkosten voor remediatie. Een test van EUR 40.000 betekent EUR 20.000+ voor het verhelpen van de bevindingen. Zonder remediatiebudget is een rapport vol bevindingen slechts papier.

TIBER-NL als referentiekader

TIBER-NL (Threat Intelligence Based Ethical Red Teaming) is het Nederlandse framework voor red teaming, ontwikkeld door De Nederlandsche Bank in 2016. Het is verplicht voor financiële instellingen onder DNB-toezicht, maar het vierfasenmodel is ook voor andere organisaties een nuttig referentiekader voor kwalitatief hoogwaardig red teaming.

Het TIBER-NL proces doorloopt vier fasen. De voorbereidingsfase duurt 2–4 weken en omvat scope, governance, samenstelling van het Control Team en selectie van de Threat Intelligence Provider (TIP) en Red Team Provider (RTP). De threat intelligence-fase duurt 4–6 weken en resulteert in een TTI-rapport door een onafhankelijke TI-provider, op basis waarvan aanvalsscenario's worden gedefinieerd. De red team testfase duurt 6–12 weken en bestaat uit realistische aanvallen op productiesystemen inclusief mensen, processen en IT. De afsluiting duurt 2–4 weken en omvat debriefing, purple team sessie, remediatieplan en eindrapportage.

De scheiding tussen TI-provider en red team provider is een kwaliteitswaarborg: de dreiging wordt objectief vastgesteld door een partij zonder belang bij de uitvoering. TIBER-certificering van een red team provider is een kwaliteitskeurmerk dat ook buiten de financiële sector relevant is als indicator van methodologische volwassenheid.

Wat kost red teaming in Nederland?

De kosten van red teaming hangen af van scope, doorlooptijd en het aantal aanvalsvectoren. De indicatieve kosten voor het MKB in Nederland zijn gebaseerd op marktdata van Nederlandse aanbieders.

Voor MKB met 50–250 medewerkers bedragen de kosten EUR 15.000–35.000 voor een beperkt red team engagement met 1–2 aanvalsscenario's, gericht op de meest relevante aanvalsvectoren. Voor MKB met 250–500 medewerkers kosten standaard red team engagements met meerdere vectoren inclusief fysiek en social engineering EUR 35.000–65.000. Enterprise-organisaties boven de 500 medewerkers werken doorgaans met trajecten vanaf EUR 65.000, met volledige ATT&CK-dekking en langere doorlooptijden.

De dagtarieven op de Nederlandse markt reflecteren de schaarse expertise. Junior red team operators rekenen EUR 1.000–1.200 per dag. Medior operators EUR 1.200–1.500. Senior operators EUR 1.500–1.800. Lead/Principal niveau EUR 1.800–2.200 per dag. Het gemiddelde pentest dagtarief in de EU ligt rond EUR 1.400; red team specialisten zitten doorgaans iets hoger vanwege de bredere skillset die technische exploitatie, sociale manipulatie én fysieke penetratie combineert.

Naast de directe testkosten zijn er verborgen kostenposten die je in de planning moet meenemen. Interne tijd voor het Control Team bedraagt 40–80 uur voor coördinatie, governance en debriefing. Remediatie na bevindingen kost 50–100% van de testkosten. Hertest en validatie van de remediatie kost EUR 5.000–15.000. Juridisch advies voor de rules of engagement kost EUR 2.000–5.000.

Een waarschuwing: een vaste prijs zonder voorafgaand scopinggesprek is een rode vlag. Een serieuze red team provider geeft pas een prijs na een scopinggesprek waarin de omgeving wordt begrepen. De prijs moet gebaseerd zijn op het aantal aanvalsvectoren, de omvang van de omgeving en de gewenste diepgang.

Selectiecriteria en red flags bij het kiezen van een red team provider

De keuze voor een red team provider bepaalt de waarde van het hele traject. Gebruik deze selectiecriteria om kwaliteit te onderscheiden van oppervlakkige aanbieders.

Ervaring in jouw sector is het eerste criterium. Een red team dat jouw branche kent, test relevante aanvalsscenario's in plaats van generieke aanvallen. Vraag expliciet naar eerdere trajecten in jouw sector en laat concrete voorbeelden delen.

TIBER/ART-certificering is bewijs van kwaliteit en ervaring met gestructureerde red team trajecten. Ook buiten de financiële sector is dit relevant als kwaliteitsindicator.

Combinatie offensief en detection engineering onderscheidt de beste red teams. Ze helpen niet alleen bij het vinden van gaten maar ook bij het verbeteren van detectie — de purple team sessie is standaard inbegrepen.

Scope: technisch, fysiek en social engineering. Een red team dat alleen technisch test, mist 40% van het aanvalsoppervlak. 40% van aanvallen op Nederlandse organisaties begint met social engineering. Eis dat alle drie de vectoren in scope zijn.

Multidisciplinair team met technische hackers, social engineers én fysieke penetratietesters is het minimum voor een volwaardige red team exercise.

Threat intelligence capaciteit — eigen TI-team of een gevestigd partnerschap met een TI-provider — is essentieel voor sectorspecifieke, relevante aanvalsscenario's.

De rode vlaggen zijn even belangrijk als de selectiecriteria: geen referenties (serieuze providers delen altijd geanonimiseerde referenties), vaste prijs zonder scoping, geen purple team sessie inbegrepen, scope beperkt tot alleen technisch testen, geen threat intelligence als basis voor de scenario's, en geen duidelijk remediatieadvies in het rapport.

Stel bij de selectie ook deze tien vragen: hoeveel red team engagements in jouw sector in de afgelopen 2 jaar? Zijn ze TIBER- of ART-gecertificeerd? Hoe bepalen ze de aanvalsscenario's? Welke aanvalsvectoren dekken ze? Is een purple team sessie standaard inbegrepen? Hoe waarborgen ze geheimhouding richting het blue team? Kunnen ze referenties delen van vergelijkbare organisaties? Wat is hun aanpak als ze tijdens de test een actief incident ontdekken? Hoe ziet het rapport eruit? En bieden ze hertest aan na remediatie?

Veelgemaakte fouten bij red teaming

Zeven fouten komen structureel voor bij organisaties die red teaming inzetten. Ze voorkomen bespaart aanzienlijk op kosten en teleurstelling.

Red teaming zonder security maturity is de meest fundamentele fout. Red teaming heeft alleen waarde als de organisatie voldoende volwassen is: zonder SOC (intern of extern), incident response plan en eerdere pentests besteed je EUR 50.000+ aan bevindingen die een EUR 10.000 pentest ook had ontdekt. Begin met penetratietests, bouw detectie op, en doe daarna red teaming.

Vage opdrachtomschrijving levert oppervlakkige resultaten. "Test onze beveiliging" is te vaag. Goed is: "Probeer ongedetecteerd toegang te krijgen tot onze financiële administratie via external attack surface, social engineering en fysieke toegang." Hoe specifieker de opdracht, hoe waardevoller de bevindingen.

Blue team niet betrokken bij debriefing. De purple team sessie na afloop is het meest waardevolle onderdeel van het traject. Het red team laat zien wat ze deden, het blue team laat zien wat ze zagen — of niet. Deze sessie overslaan betekent het primaire leereffect missen.

Eenmalig testen mist het punt van red teaming. Red teaming zonder opvolging is weggegooid geld. De cyclus is: test, bevindingen, remediatieplan, implementatie, hertest. Zonder hertest weet je over een jaar nog steeds niet of de problemen zijn verholpen.

Scope alleen technisch beperkt de test tot een fractie van het werkelijke aanvalsoppervlak. 40% van aanvallen begint met social engineering. Een red team dat alleen firewalls en servers test, mist het hele menselijke aanvalsoppervlak.

Geen threat intelligence als basis leidt tot willekeurige scenario's. Met TI test je scenario's die relevant zijn voor jouw sector en dreigingslandschap. Het verschil: generiek "we proberen binnen te komen" versus "we simuleren de aanvalstechnieken van de groepen die jouw sector actief aanvallen."

Te weinig remediatiebudget. Reserveer minimaal 50% van het testbudget extra voor remediatie. Een test van EUR 60.000 betekent EUR 30.000+ voor het verhelpen van bevindingen. Zonder dat budget krijg je een rapport vol rode vlaggen dat in een la verdwijnt.

Compliance: NIS2 en DORA

De Cyberbeveiligingswet (NIS2) verwacht dat organisaties passende maatregelen treffen en deze regelmatig testen (Bron: NCSC / Digitale Overheid). Red teaming is een van de sterkste manieren om aan te tonen dat beveiligingsmaatregelen daadwerkelijk effectief zijn, niet alleen op papier. De inwerkingtreding in Q2 2026 voor essentiële en belangrijke entiteiten maakt proactief handelen urgent.

Voor financiële instellingen is DORA de relevante regelgeving. DORA Artikel 26 schrijft een TLPT (Threat-Led Penetration Testing) verplichting voor aangewezen financiële instellingen, elke drie jaar. TLPT is de DORA-equivalent van TIBER: red teaming op basis van threat intelligence, met een onafhankelijke TI-provider. Red teaming is voor aangewezen financiële instellingen daarmee geen optie maar een wettelijke verplichting.

Een NIS2 compliance traject kan helpen om red teaming te positioneren als onderdeel van de bredere compliancestrategie. Organisaties die ook ISO 27001 nastreven, kunnen red teaming inzetten als bewijs van continue beveiligingstests — een kernvereiste van de norm. Zie ook onze gids over ISO 27001 implementatiebegeleiding voor de bredere context.

Het red team rapport is direct bruikbaar als compliance-bewijs: het toont aan welke aanvalsvectoren zijn getest, wat werd gevonden, en welke remediatiestappen zijn genomen. Dit is het type documentatie dat toezichthouders verwachten bij een audit of incident onderzoek.

Red teaming vs. penetratietest vs. purple teaming

De drie vormen van offensief testen vullen elkaar aan maar hebben fundamenteel verschillende doelstellingen. De keuze hangt af van de maturiteit van de beveiligingsorganisatie en de specifieke vraag.

Een penetratietest zoekt zoveel mogelijk kwetsbaarheden binnen een afgebakende scope (netwerk, applicatie, API). Het blue team weet ervan. De vectoren zijn technisch: scan, exploit. Doorlooptijd 1–4 weken. Output: lijst kwetsbaarheden met risicoclassificatie. Kosten MKB: EUR 5.000–25.000. Frequentie: 1–2 keer per jaar. Dit is het startpunt voor elke beveiligingsorganisatie.

Red teaming test of de organisatie een realistische aanval detecteert en stopt. Het blue team weet niet dat er getest wordt. Scope: technisch, fysiek en social engineering. Doorlooptijd 4–12 weken. Output: narratief aanvalspad met detectiegaten en aanbevelingen. Kosten MKB: EUR 15.000–65.000. Frequentie: 1 keer per jaar. Dit is voor organisaties met bestaande beveiligingsinfrastructuur die werkelijke weerbaarheid willen testen.

Purple teaming werkt met samenwerking tussen red en blue team om detectie structureel te verbeteren. Scope: afgesproken ATT&CK-technieken. Doorlooptijd 2–6 weken. Output: verbeterde detectieregels en responsprocedures. Kosten MKB: EUR 12.500–50.000. Frequentie: 2–4 keer per jaar. Dit is de vervolgstap voor organisaties die hun detectiecapaciteiten meetbaar willen verbeteren. Lees meer in onze gids over Purple Teaming.

Red teaming vindt 3,2 keer meer aanvalspaden dan een pentest alleen — omdat het de volledige aanvalsoppervlakte test, inclusief het menselijke en fysieke component dat pentests missen.

Trends 2025–2026

Drie ontwikkelingen bepalen de richting van red teaming in 2025 en 2026 voor de Nederlandse markt.

AI-gedreven aanvalsscenario's. Red teams gebruiken toenemend AI voor het genereren van overtuigende phishing-content, het automatiseren van verkenningsactiviteiten en het sneller ontwikkelen van custom tooling. Dit reflecteert de realiteit: echte aanvallers gebruiken dezelfde tools. Red team exercises die geen AI-gestuurde aanvallen simuleren, testen niet meer het werkelijke dreigingslandschap van 2025.

Supply chain en third-party focus. Na een reeks spraakmakende supply chain-aanvallen wordt het testen van third-party risico's een standaard onderdeel van red team engagements. Het red team probeert binnen te komen via leveranciers, SaaS-integraties en managed service providers — precies de vector die bij grote aanvallen succesvol bleek. Dit sluit aan op de ketenbeveiliging die NIS2 vereist.

Democratisering voor het MKB. Kortere, gefocuste red team engagements van 2–3 weken maken red teaming bereikbaar voor organisaties die eerder niet het budget hadden voor een volledig traject. De combinatie van gerichtere scoping, cloud-gebaseerde aanvalsinfrastructuur en modulaire aanpak drukt de kosten zonder in te leveren op kwaliteit. Een security audit kan helpen om de maturiteit te bepalen voordat een red team engagement wordt gestart.

Voor organisaties die nog niet klaar zijn voor red teaming maar al wel detectiecapaciteiten willen opbouwen, biedt Incident Response voorbereiding een complementaire aanpak: zorg dat het responsproces staat voordat je test hoe het werkt onder aanvalscondities.

Veelgestelde vragen over Red Teaming

Is red teaming geschikt voor het MKB?

Ja, mits de organisatie voldoende beveiligingsmaturiteit heeft: eerdere penetratietests, een functionerende detectie-infrastructuur (SIEM of EDR) en een incident response plan. Zonder die basis besteed je budget aan bevindingen die een pentest ook had opgeleverd voor een fractie van de kosten. Voor MKB met 50–250 medewerkers zijn gefocuste red team engagements beschikbaar vanaf EUR 15.000.

Hoe verschilt red teaming van een penetratietest?

Een penetratietest zoekt kwetsbaarheden in afgebakende systemen. Red teaming test of je organisatie een realistische, holistische aanval kan detecteren en stoppen. Red teaming omvat technische aanvallen, social engineering en fysieke toegangspogingen. Het blue team weet niet dat er getest wordt. Red teaming vindt 3,2 keer meer aanvalspaden dan een pentest alleen.

Hoe lang duurt een red team engagement?

Een volledig red team engagement duurt 4–12 weken, afhankelijk van scope en omvang. De actieve testfase duurt 4–8 weken. Inclusief scoping, threat intelligence, aanvalsontwikkeling, rapportage en de purple team sessie kom je op 8–16 weken totale doorlooptijd. Kortere gefocuste engagements van 2–4 weken zijn mogelijk bij een beperkte scope.

Wat is het TIBER-NL framework en is het verplicht?

TIBER-NL is het Nederlandse red teaming framework van De Nederlandsche Bank, verplicht voor financiële instellingen onder DNB-toezicht. Het vierfasenmodel — voorbereiding, threat intelligence, red team test, afsluiting — is ook buiten de financiële sector een nuttig referentiekader. DORA schrijft een vergelijkbare verplichting (TLPT) voor aangewezen financiële instellingen in de EU, elke drie jaar.

Hoeveel budget moet ik reserveren voor remediatie?

Reserveer minimaal 50% van de testkosten extra voor remediatie. Een red team engagement van EUR 40.000 betekent EUR 20.000+ voor het verhelpen van bevindingen, plus EUR 5.000–15.000 voor hertest en validatie. Zonder remediatiebudget is een rapport vol bevindingen slechts papier — de bevindingen worden niet verholpen en de investering levert geen beveiligingsverbetering op.

Hoe weet ik of mijn organisatie klaar is voor red teaming?

De minimumvereisten zijn: eerdere penetratietests uitgevoerd en bevindingen verholpen, een functionerende detectie-infrastructuur (SIEM of EDR), een incident response plan, en een intern team of externe partij die 24/7 alerts kan behandelen. Een security audit of risicoanalyse kan objectief bepalen of de organisatie de maturiteit heeft om maximale waarde uit een red team engagement te halen.