Purple Teaming

Wat is Purple Teaming?

Purple Teaming is de gestructureerde samenwerking tussen aanvallers (red team) en verdedigers (blue team) met als doel de detectie- en responscapaciteiten van een organisatie structureel te verbeteren. Waar traditioneel red teaming werkt als een verborgen aanval die achteraf wordt geëvalueerd, werken bij purple teaming beide teams real-time samen: het red team voert een aanvalstechniek uit, het blue team controleert of de aanval wordt gedetecteerd, en samen verbeteren ze de detectieregels op basis van de bevindingen.

Het verschil met een penetratietest is fundamenteel. Een pentest zoekt kwetsbaarheden in systemen en rapporteert die. Purple teaming test of jouw detectiesystemen aanvallen herkennen en of jouw verdedigingsteam adequaat reageert. Het resultaat is niet een lijst kwetsbaarheden maar een concrete verbetering in detectiedekking, gestructureerd rond het MITRE ATT&CK framework.

Na een purple team exercise weet je precies welk percentage van de relevante aanvalstechnieken je detecteert, en welke gaten er nog zijn. Dit maakt de waarde van de exercise meetbaar en aantoonbaar — ook voor bestuurders en toezichthouders. Purple teaming is relevant voor organisaties die al beschikken over een SOC, SIEM of EDR. Het is de logische volgende stap na penetratietests en red teaming.

Waarom Purple Teaming onmisbaar is

Je kunt pas verbeteren wat je meet. Dit principe ligt ten grondslag aan de waarde van purple teaming, maar de urgentie wordt onderstreept door concrete dreigingscijfers. De gemiddelde tijd om een breach te detecteren en beheersen is 241 dagen — bijna een jaar dat een aanvaller ongestoord kan opereren in een netwerk (Bron: IBM Cost of a Data Breach Report 2024). Purple teaming helpt deze tijd drastisch te verkorten door detectielacunes systematisch te identificeren en te dichten.

Een concreet voorbeeld illustreert het probleem. Het Purple Perspective 2026 rapport van Security Risk Advisors laat zien dat SharePoint bulk downloads in 70% van de gevallen werden gelogd, maar slechts in 24% van de gevallen een alert genereerden. Dit is het typische detectiegap: de data is aanwezig in het systeem maar de detectieregels zijn niet geconfigureerd om er een alert op te genereren. Purple teaming is de methode die dit soort blinde vlekken systematisch blootlegt.

De schaal van het probleem is aanzienlijk. ENISA analyseerde in de periode juli 2024 tot juni 2025 meer dan 4.875 cyberincidenten in de EU. Van alle bevestigde breaches betrof 44% ransomware en had 60% een menselijk element (Bron: ENISA Threat Landscape 2024). Dreigingen zijn divers, sectorspecifiek en evolueren voortdurend. Statische detectieregels die eenmalig worden geconfigureerd en daarna niet worden getest, raken snel verouderd ten opzichte van actuele aanvalstechnieken.

Purple teaming biedt een structureel antwoord: door 2–4 keer per jaar exercises uit te voeren op basis van actuele threat intelligence, worden detectiecapaciteiten continu gevalideerd en verbeterd. Organisaties die deze frequentie aanhouden, behalen significant betere resultaten dan organisaties die eenmalig testen. De investering in betere detectie is ook een directe risicoreductie: met een gemiddelde datalekschade van USD 4,44 miljoen is elke dag snellere detectie waardevol.

Voor organisaties die al investeren in een MDR-dienst of een intern SOC, biedt purple teaming de validatie dat die investering ook daadwerkelijk werkt. Je betaalt voor detectie — purple teaming bewijst of je er ook voor krijgt.

Hoe werkt Purple Teaming? Het proces in vijf fasen

Een purple team exercise doorloopt vijf fasen, van intake tot implementatie. De totale doorlooptijd varieert van drie tot acht weken afhankelijk van de omvang.

Fase 1 — Intake en scopebepaling (1–2 weken): In de eerste fase bepaal je welke dreigingen, systemen en ATT&CK-technieken worden getest. Welke aanvalstechnieken zijn het meest relevant voor jouw sector? Welke systemen zijn kritiek? Hoe ver mag het red team gaan? De scope wordt afgestemd met stakeholders, inclusief de IT-beheerders en het SOC-team dat tijdens de exercise actief betrokken is.

Fase 2 — Threat intelligence en planning (1–2 weken): Op basis van actuele threat intelligence worden aanvalsscenario's geselecteerd die aansluiten bij de dreigingen voor jouw sector. Een financiële instelling krijgt andere scenario's dan een productiebedrijf. De ATT&CK-technieken worden geprioriteerd op basis van relevantie en huidige detectiedekking.

Fase 3 — Uitvoering: aanval en detectie (3–10 dagen): Dit is de kern van de exercise. Het red team voert aanvalstechnieken uit, het blue team probeert deze real-time te detecteren. Na elke techniek volgt een directe evaluatie: werd de aanval gedetecteerd? Was het alert tijdig? Was de respons adequaat? De samenwerking is open — het red team deelt wat het doet, zodat het blue team exact kan analyseren waarom een aanval wel of niet werd gedetecteerd.

Fase 4 — Analyse en detection engineering (1–2 weken): De detectiegaps worden geanalyseerd en nieuwe detectieregels worden gebouwd en getest. Dit is de fase waar de echte waarde wordt gecreëerd: niet alleen weten waar de gaten zitten, maar ze ook dichten. Detection engineering vereist specifieke expertise in SIEM-regelontwerp en EDR-configuratie.

Fase 5 — Rapportage en roadmap (1 week): De resultaten worden gerapporteerd met een ATT&CK-heatmap die de detectiedekking voor en na de exercise visualiseert. Een concreet verbeterplan bepaalt de prioriteiten voor de volgende exercise. Dit rapport is ook bruikbaar als compliance-bewijs voor NIS2-audits.

Het MITRE ATT&CK framework als basis

MITRE ATT&CK is de internationale standaard voor het categoriseren van aanvalstechnieken. Het framework beschrijft meer dan 200 technieken verdeeld over tactische categorieën: van initiële toegang en privilege escalation tot lateral movement, data-exfiltratie en impact. In 8.300+ purple team exercises zijn deze technieken getest en gevalideerd als representatief voor reële aanvallen.

Voor purple teaming biedt ATT&CK drie voordelen. Ten eerste gemeenschappelijke taal: red team en blue team spreken dezelfde taal, wat de samenwerking tijdens de exercise vergemakkelijkt. Ten tweede meetbaarheid: de ATT&CK-heatmap maakt detectiedekking zichtbaar als percentage per techniekecategorie. Ten derde prioritering: niet alle 200+ technieken zijn even relevant voor elke organisatie; threat intelligence bepaalt welke technieken het meest relevant zijn voor jouw sector en dreigingsprofiel.

Een praktisch startpunt voor MKB is een gerichte exercise op de 20–30 meest relevante ATT&CK-technieken voor de sector. Dit geeft direct inzicht in de detectiegaps zonder de investering van een volledig programma dat alle technieken dekt. Naarmate de maturiteit groeit, wordt de scope uitgebreid naar meer technieken en complexere scenario's.

Het framework evolueert mee met het dreigingslandschap. MITRE voegt regelmatig nieuwe technieken toe op basis van actuele aanvallen, wat purple teaming permanent relevant maakt. Een exercise van 12 maanden geleden dekt mogelijk niet de technieken die vandaag worden gebruikt door de meest actieve dreigingsactoren in jouw sector.

Wat kost Purple Teaming in Nederland?

Purple teaming kent drie prijsniveaus afhankelijk van de omvang en frequentie van de exercises. De investering is aanzienlijk maar moet worden afgezet tegen de waarde van betere detectie en de kosten van een gemiste aanval.

Een basis exercise van drie dagen gericht op 20–30 ATT&CK-technieken kost EUR 12.500–25.000. Dit is het instapmodel voor MKB-organisaties die voor het eerst structureel hun detectiecapaciteiten willen testen. De scope is bewust beperkt tot de meest relevante technieken, wat directe inzichten oplevert zonder een groot tijdsbeslag.

Een standaard exercise van één tot twee weken met 50+ technieken en custom scenario's kost EUR 25.000–50.000. Dit model past bij middelgroot MKB met een functionerend SOC of SIEM dat de detectiedekking over een bredere set technieken wil valideren en verbeteren.

Een programmatisch model van vier exercises per jaar kost EUR 50.000–100.000 per jaar. Dit is het model voor organisaties met een hoog dreigingsniveau of strikte compliance-vereisten, waarbij continue validatie van detectiecapaciteiten essentieel is. De frequentie van 2–4 exercises per jaar is de aanbevolen maatstaf voor meetbare en duurzame verbetering.

Ter vergelijking: een penetratietest kost EUR 5.000–25.000 voor het MKB en een red team exercise kost EUR 25.000–75.000. Purple teaming zit daartussenin qua investering maar biedt een fundamenteel andere waardepropositie: niet kwetsbaarheden vinden maar detectiecapaciteiten aantoonbaar verbeteren. De combinatie van alle drie vormen een compleet offensief testprogramma.

Selectiecriteria: tien vragen voor je purple team aanbieder

De kwaliteit van een purple team exercise hangt sterk af van de aanbieder. Niet elke leverancier die zichzelf "purple team" noemt, voert ook daadwerkelijk geïntegreerde red-blue oefeningen uit met detection engineering als uitkomst. Stel deze tien vragen bij de selectie:

1. Werkt het team met het MITRE ATT&CK framework als basis? ATT&CK is de industriestandaard; aanbieders die dit niet gebruiken, bieden geen objectief meetbare resultaten.

2. Worden detectieregels daadwerkelijk verbeterd tijdens de exercise? Een exercise die alleen detectiegaps identificeert maar ze niet dicht, levert beperkte operationele waarde op.

3. Wat is de ervaring met jouw SIEM/EDR-platform? Detection engineering is platformspecifiek. Een aanbieder zonder ervaring met jouw specifieke SIEM kan geen effectieve detectieregels bouwen.

4. Hoeveel purple team exercises heeft het team uitgevoerd? Ervaring is cruciaal; vraag naar referenties in vergelijkbare sectoren en van vergelijkbare omvang.

5. Hoe worden resultaten gerapporteerd en gemeten? Eis een ATT&CK-heatmap met kwantitatieve detectiedekking voor en na de exercise.

6. Is threat intelligence onderdeel van de scope? Sectorspecifieke threat intelligence maakt de technieken die worden getest relevant voor jouw werkelijke dreigingsprofiel.

7. Bieden ze ook detection engineering als vervolgstap? Het bouwen van nieuwe detectieregels is de meest waardevolle fase; controleer of dit in de scope zit of apart wordt aangeboden.

8. Wat is de samenstelling van het team? Een dedicated red team en blue team met separate expertise is beter dan één team dat beide rollen speelt.

9. Hoe lang duurt de exercise en wat is inbegrepen? Vraag een gedetailleerde breakdownvan de uren per fase om de werkelijke waarde te beoordelen.

10. Kunnen ze referenties geven van MKB-organisaties? Purple teaming voor enterprise is anders dan voor MKB; relevante referenties zijn specifiek voor jouw omvang en sector.

Veelgemaakte fouten bij Purple Teaming

Vijf fouten komen structureel voor bij organisaties die voor het eerst met purple teaming beginnen. Ze vermijden bespaart aanzienlijke kosten en teleurstelling.

Purple teaming zonder SOC of SIEM is de meest fundamentele fout. Purple teaming test detectiecapaciteiten — als er geen detectieinfrastructuur is om te testen, is er niets om te verbeteren. Begin eerst met het opbouwen van basisbeveiligingsinfrastructuur: een werkende SIEM, EDR en een team dat alerts monitort. Pas daarna is purple teaming zinvol.

Eenmalig testen en klaar mist het punt van purple teaming. Dreigingen evolueren continu; detectieregels die vandaag werken, zijn over zes maanden mogelijk verouderd. Organisaties die 2–4 keer per jaar testen behalen significant betere resultaten dan organisaties die eenmalig testen. Purple teaming is een programma, geen project.

Alleen focussen op aanvallen, niet op detectie is een conceptuele vergissing. Het doel van purple teaming is niet om zwakheden te vinden — dat doet een pentest. Het doel is detectie- en responscapaciteiten te verbeteren. Focus op de blue team kant: wat werd gedetecteerd, hoe snel, en wat was de kwaliteit van de respons?

Resultaten niet implementeren maakt de exercise waardeloos. Een purple team exercise levert concrete verbeterpunten op: nieuwe detectieregels, geconfigureerde alerts, verbeterde respons-playbooks. Als deze niet worden geïmplementeerd, is de investering verspild. Plan de implementatiefase voor de exercise begint.

Te brede scope leidt tot een oppervlakkige exercise die weinig diepgang heeft. Begin gericht op de 20–30 meest relevante ATT&CK-technieken voor jouw sector, niet op alle 200+ beschikbare technieken. Diepgang op een beperkte scope levert meer waarde dan breedte zonder diepgang.

Compliance: NIS2, TIBER-NL en DORA

De Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) vereist dat organisaties passende maatregelen treffen en deze regelmatig evalueren (Bron: NCSC / Digitale Overheid). Purple teaming is een effectieve manier om aan te tonen dat detectiecapaciteiten zijn getoetst en verbeterd. De ATT&CK-heatmap en het rapportage document zijn direct bruikbaar als compliance-bewijs voor toezichthouders.

De boetes voor non-compliance zijn significant: tot EUR 10 miljoen of 2% van de omzet voor essentiële entiteiten, en bestuurders zijn persoonlijk aansprakelijk (Bron: Ponemon Institute). Dit maakt het testen van detectiecapaciteiten niet langer optioneel voor organisaties die onder NIS2 vallen. Een NIS2 compliance traject kan helpen om purple teaming te positioneren binnen de bredere compliancestrategie.

Voor financiële instellingen zijn de vereisten nog specifieker. Het TIBER-NL framework, beheerd door de Nederlandsche Bank, verplicht threat intelligence-based red teaming voor systeemrelevante financiële instellingen. Purple teaming is het afsluitende onderdeel van een TIBER-test: na de aanvalsfase volgt de geïntegreerde evaluatie van detectie en respons die het purple team element vormt. DORA vereist vergelijkbare tests voor de bredere financiële sector, ook voor kleinere instellingen die niet onder TIBER-NL vallen.

Voor organisaties die ISO 27001 nastrevenof al gecertificeerd zijn, biedt purple teaming aantoonbaar bewijs van continue verbetering van beveiligingsmaatregelen — een kernvereiste van de norm. Zie ook onze gids over ISO 27001 implementatiebegeleiding voor de bredere context.

Purple Teaming vs. Red Teaming vs. Penetratietest

De drie vormen van offensief testen worden regelmatig door elkaar gebruikt maar hebben fundamenteel verschillende doelstellingen, werkwijzen en uitkomsten. De keuze hangt af van de maturiteit van de beveiligingsorganisatie en de specifieke vraag die beantwoord moet worden.

Een penetratietest zoekt kwetsbaarheden in systemen en applicaties. Het blue team is niet betrokken. De output is een kwetsbaarhedenrapport met bevindingen en aanbevelingen. Kosten voor het MKB: EUR 5.000–25.000, frequentie 1–2 keer per jaar. Dit is het startpunt voor organisaties die nog niet systematisch testen.

Red teaming simuleert een realistische aanval van begin tot eind, waarbij het blue team onwetend is. Het doel is te zien hoe ver een aanvaller kan komen, niet om alle kwetsbaarheden te vinden. De output is een aanvalsrapport dat laat zien wat een echte aanvaller had kunnen bereiken. Kosten voor het MKB: EUR 25.000–75.000, frequentie 1 keer per jaar. Dit is voor organisaties met een volwassen beveiligingsorganisatie die hun werkelijke weerbaarheid willen testen. Lees meer in onze gids over Red Teaming.

Purple teaming werkt met samenwerking tussen red en blue team. Het doel is detectie verbeteren, niet aanvallen vinden. De output is een detectie-heatmap en verbeterde detectieregels. Kosten voor het MKB: EUR 12.500–50.000, frequentie 2–4 keer per jaar. Dit is voor organisaties die al een werkende detectieinfrastructuur hebben en die aantoonbaar willen verbeteren.

De drie vormen vullen elkaar aan en vormen samen een compleet offensief testprogramma. Een volwassen organisatie combineert reguliere penetratietests, jaarlijkse red team exercises en meerdere purple team exercises per jaar. Voor MKB dat begint met offensief testen, is de volgorde: eerst een penetratietest, dan detectie-infrastructuur opbouwen, dan purple teaming.

Trends 2025–2026: Purple Teaming wordt standaard

Drie ontwikkelingen bepalen de richting van purple teaming in 2025 en 2026.

MITRE ATT&CK als universele standaard. Purple teaming wordt steeds meer gestructureerd rond ATT&CK voor objectieve, vergelijkbare resultaten. Dit maakt het mogelijk om detectiedekking te benchmarken over de tijd en tussen organisaties. Aanbieders die ATT&CK niet gebruiken, raken achter op de marktstandaard.

Continuous BAS plus Purple Team. Breach and Attack Simulation (BAS) tools bieden continue, geautomatiseerde validatie van detectiecapaciteiten tussen handmatige purple team exercises in. BAS simuleert automatisch ATT&CK-technieken en rapporteert welke wel en niet worden gedetecteerd. Dit vult handmatige exercises aan: BAS voor continue monitoring, purple team voor diepgaande validatie en detection engineering. De combinatie wordt de nieuwe standaard voor maturere organisaties. Dit sluit aan op SOAR als automatiseringslaag in de detectie- en responsinfrastructuur.

MKB-toegankelijkheid groeit. Korte, gerichte exercises van 3–5 dagen maken purple teaming betaalbaar voor MKB-organisaties. De markt beweegt weg van langdurige, dure engagements naar modulaire oefeningen die kunnen worden gestapeld. Dit democratiseert purple teaming als discipline — het is niet langer exclusief voor grote organisaties met grote budgetten. Voor organisaties die nog niet klaar zijn voor purple teaming maar wel hun detectie willen versterken, biedt Threat Hunting as a Service een complementaire aanpak.

Aan de slag: vijf stappen om te beginnen

Purple teaming begint niet met het inhuren van een aanbieder maar met een eerlijke beoordeling van de eigen detectieinfrastructuur. Volg deze vijf stappen om te bepalen of en hoe je met purple teaming begint.

Stap 1 — Check je basis: Heb je een werkende SOC, SIEM of EDR? Als die er niet is, investeer dan eerst in detectie-infrastructuur. Purple teaming zonder detectiecapaciteiten is zinloos.

Stap 2 — Bepaal je focus: Welke dreigingen zijn het meest relevant voor jouw sector? Ransomware, supply chain aanvallen, phishing-gedreven compromittering? Threat intelligence bepaalt welke ATT&CK-technieken worden getest.

Stap 3 — Start klein: Een gerichte exercise van drie dagen op de 20–30 meest relevante ATT&CK-technieken geeft direct inzicht in de detectiegaps. Beperk de scope om diepgang te garanderen.

Stap 4 — Implementeer verbeteringen: Bouw en test detectieregels op basis van de resultaten. Plan de implementatiefase voor de exercise begint, anders worden de aanbevelingen niet omgezet in actie.

Stap 5 — Herhaal: Plan 2–4 exercises per jaar voor structurele verbetering. Dreigingen evolueren; detectiecapaciteiten moeten meegroeien. Na elke exercise is de ATT&CK-heatmap het startpunt voor de volgende.

Veelgestelde vragen over Purple Teaming

Is purple teaming geschikt voor het MKB?

Ja, mits de organisatie al beschikt over een werkende SIEM of EDR. Voor MKB is een gerichte exercise van drie dagen op de 20–30 meest relevante ATT&CK-technieken een betaalbaar startpunt (EUR 12.500–25.000). Zonder detectie-infrastructuur is purple teaming echter zinloos — begin dan eerst met het opbouwen van een SIEM of EDR.

Wat is het verschil tussen purple teaming en een penetratietest?

Een penetratietest zoekt kwetsbaarheden in systemen en rapporteert die. Purple teaming test of jouw detectiesystemen aanvallen herkennen en of jouw team adequaat reageert. De output verschilt: een pentest levert een kwetsbaarhedenrapport, purple teaming levert verbeterde detectieregels en een ATT&CK-heatmap. Beide zijn complementair in een compleet testprogramma.

Hoe vaak moet je purple team exercises uitvoeren?

De aanbevolen frequentie is 2–4 keer per jaar. Dreigingen evolueren continu en detectieregels die eenmalig worden geconfigureerd, raken snel verouderd. Organisaties die deze frequentie aanhouden, behalen significant betere detectieprestaties dan organisaties die eenmalig testen. Begin met één exercise per jaar en bouw op naar hogere frequentie naarmate de maturiteit groeit.

Hoe verhoudt purple teaming zich tot NIS2-compliance?

Purple teaming is een effectieve manier om aan te tonen dat detectiecapaciteiten zijn getoetst en verbeterd, zoals vereist door de Cyberbeveiligingswet. De ATT&CK-heatmap en het rapportage document zijn direct bruikbaar als compliance-bewijs. Boetes voor non-compliance lopen op tot EUR 10 miljoen; het testen van detectiecapaciteiten is voor NIS2-entiteiten niet langer optioneel (Bron: Ponemon Institute). Een NIS2 compliance traject kan de relatie tussen purple teaming en compliancevereisten verder verduidelijken.

Wat heb ik nodig voordat ik met purple teaming begin?

Een werkende detectie-infrastructuur is de minimumvereiste: een SIEM die logs verzamelt en analyseert, een EDR die endpoint-activiteit monitort, en een team (intern of extern via een MDR) dat alerts behandelt. Zonder deze basis zijn er geen detectiecapaciteiten om te testen en te verbeteren. Een security audit kan helpen om de huidige maturiteit te beoordelen en de gap te bepalen voordat je met purple teaming begint.

Wat is het verschil tussen purple teaming en red teaming?

Bij red teaming werkt het aanvalsteam in het geheim — het verdedigingsteam weet niet wanneer de aanval plaatsvindt en probeert het zelf te detecteren. Bij purple teaming werken beide teams samen: het red team deelt wat het doet, het blue team analyseert de detectie, en samen verbeteren ze de detectieregels. Red teaming test de werkelijke weerbaarheid; purple teaming verbetert de detectiecapaciteiten structureel. Lees meer in onze vergelijkende gids over Red Teaming.