Jouw Paarse team is niet paars, het is gewoon rood en blauw in dezelfde kamer

Cyberbeveiliging

Het verdedigen van een netwerk om 02.00 uur ziet er ongeveer zo uit: een analist kopieert en plakt een hash uit een pdf in een SIEM-query. Een rood teamscript wordt met de hand herschreven zodat het blauwe team het kan gebruiken. Een patch die wacht op een goedkeuringsperiode voor wijzigingen die langer duurt dan de exploitatieperiode zelf.

Niemand in die keten is incompetent. Ieder mens doet zijn werk correct. Het probleem is het systeem, de workflows en de rommelige overdrachten.

De klok van de aanvaller is daarentegen bijna verdwenen.

In 2024 bedroeg de gemiddelde tijd tussen de publicatie van een CVE en een werkende exploit 56 dagen. In 2025 was dit gekrompen tot 23 dagen. Tot nu toe bedraagt ​​deze in 2026 ongeveer 10 uur verdeeld over 3.532 CVE-exploitparen van CISA KEV, VulnCheck KEV en ExploitDB.

Het kleine goede nieuws is dat de klok van de verdediger in uren is versneld. Het echt slechte nieuws is dat de klok van de aanvaller er met een sprong voorbij is gegaan en nu binnen enkele seconden loopt. Het komt niet eens in de buurt van een eerlijk gevecht.

Al tien jaar lang heeft de beveiligingsindustrie een naam voor de praktijk die deze kloof zou moeten dichten: paars samenspel. Het is het juiste antwoord. Het was gewoon niet praktisch, tot nu toe.

Wat Purple Teaming eigenlijk is

Paars teaming is eenvoudig van opzet.

Rood vindt de paden die een aanvaller zou volgen. Blauw valideert of detecties brand en preventie standhouden. Ze herhalen. De rode output wordt de blauwe input. De uitvoer van blauw wordt de volgende invoer van rood. De lus scherpt de houding van uw organisatie continu aan in plaats van één keer per kwartaal.

Dat is het idee, en nogmaals, het is een solide idee. De uitvoering is waar het helaas allemaal uit elkaar valt.

Drie redenen waarom traditioneel paars teaming niet is geoperationaliseerd

Reden 1: Menselijk paars team zorgt voor te veel wrijving.

Bijna niemand loopt paars teaming als een echte lus. De teams praten niet vaak genoeg; en als ze dat wel doen, worden mensen meegesleurd in lange vergaderingen, gedetailleerde rapporten, langdurige autopsie en familie-noodsituaties. Het knelpunt is bijna altijd menselijk, in de meest gewone zin van het woord.

Kijk eens waar de uren van verdedigers daadwerkelijk naartoe gaan.

  • Niet binnen de EDR – deze schoot.
  • Niet binnen de SIEM; het correleerde.
  • Niet in de scanner – deze had de CVE.

De responstijd neemt af tijdens het transport. Het ongelezen Slack-bericht. De gekopieerde hash. De pdf is ter beoordeling per e-mail verzonden. Het ticket wacht op oogbollen of goedkeuring. Het rode teamscript wordt met de hand opnieuw opgebouwd voor het blauwe team. Dit is de spaghetti-overdracht. Zodra u de inefficiënties en faalpunten ziet, kunt u deze niet meer ongedaan maken.

Reden 2: Het orkestreren van teams en tools is het echte knelpunt

Het netwerkteam is eigenaar van firewalls. Het SOC verbruikt waarschuwingen. Rode loopoefeningen. Blauw bouwt detecties op. VM achtervolgt CVE’s. IT-ops past patches toe.

Elke groep hanteert een of meer instrumenten; elk hulpmiddel zendt een artefact uit (een bevinding, een waarschuwing, een rapport, een ticket) dat wordt opgepakt, opnieuw geïnterpreteerd en overgedragen. Wat deze teams gezamenlijk produceren is bedoeld als een dienst: een voortdurend gevalideerde beveiligingshouding. In werkelijkheid is het meestal een door de jury opgetuigde puinhoop, aan elkaar gelijmd door overbelaste mensen die om middernacht met blauwe ogen Jira intypen.

Paars teamwerk is dus grotendeels ambitieus gebleven. Een cool idee in leveranciersdecks. Misschien een kwartaaloefening. Bijna nooit operationeel. Zeker niet operationeel genoeg.

Reden 3: Traditionele paarse teams kunnen de door AI aangedreven tegenstanders niet bijhouden

Dit is wat er is veranderd. Aanvallers kregen een LLM. De verdedigers zijn nog een Jira-ticket aan het invullen.

Voor de meeste organisaties is alleen al het goedkeuringsproces voor wijzigingen duurt nu langer dan de exploitatieperiode.

Een door AI ondersteunde aanvaller kan binnen 73 seconden een systeem in gevaar brengen. Een verdediger die de standaard overdrachtsketen tussen SOC, rode en blauwe teams en IT doorloopt, heeft doorgaans minimaal 24 uur nodig om een ​​oplossing te implementeren.

Een driemaandelijkse paarse teamoefening, of zelfs een maandelijkse, is geen lus meer, het is een vakje dat moet worden aangevinkt. een momentopname van een strijd die al heeft plaatsgevonden, en meestal een oefening in nutteloosheid.

Maak kennis met Autonoom Paars Teaming

Dezelfde technologie die de klok van de aanvaller comprimeert, kan die van de verdediger comprimeren.

Het goede nieuws is dat autonoom paars teaming van nature precies het soort workflow is waar AI goed in is: een strakke, goed gedefinieerde lus tussen twee gespecialiseerde functies, waarbij het knelpunt altijd de menselijke overdracht en kennisoverdracht is geweest en niet zozeer het werk zelf.

Wanneer autonome agenten de overdrachten uitvoeren, wordt de lus uiteindelijk gesloten op machinesnelheid.

  • De bevindingen van Rood worden automatisch de tests van Blauw.
  • De gaten van blauw worden de volgende oefening van rood.
  • Geen koffiepauzes, geen kinderen thuis van school, geen vakantieverstoringen.

Het systeem dat mensen al tien jaar beschrijven, kan nu eindelijk functioneren als een doorlopende methodologie, en niet als een kalendergebeurtenis.

Dit is geen ‘AI voor beveiliging’ in de zin die de meeste leveranciers het afgelopen jaar hebben gepitcht: genereer een YARA-regel, vat een waarschuwing samen, stel een ticket op. Dat zijn taakautomatiseringen. Nuttig en stapsgewijs nuttig. Maar echte autonomie is iets anders: een agent die de hele lus end-to-end uitvoert, waarbij elke stap controleerbaar is, zodat u deze kunt overschrijven, opnieuw afstemmen of terugdraaien.

En het is een wijzerplaat, geen klif. Het crawlen is handmatig. De wandeling wordt gepland met AI-assistentie. De uitvoering is end-to-end, met alleen menselijke beoordeling waar dat nodig is.

Hoe autonoom paars teaming er in de praktijk uitziet: BAS, geautomatiseerde pentest en AI-aangedreven mobilisatie

Om effectief te zijn, vereist autonoom paars teaming drie componenten die als één systeem werken in plaats van afzonderlijke tools:

Geautomatiseerde penetratietesten is de vraag van rood die voortdurend wordt beantwoord: kan een aanvaller de kroonjuwelen in jouw omgeving bereiken, gegeven de huidige blootstellingen en huidige controles?

Inbraak- en aanvalsimulatie (BAS) is het antwoord van Blue: heeft de firewall het geblokkeerd, heeft de EDR het opgevangen, is de SIEM-regel geactiveerd, heeft het antwoord zich afgespeeld zoals het runbook zegt dat het zou moeten?

Door AI aangedreven mobilisatie is het deel dat vroeger een mens was die Jira intypte, nu gerund door een keten van gespecialiseerde agenten. Er komt een CISA-waarschuwing binnen. Een CTI-agent verrijkt het ten opzichte van uw omgeving. Een baseliner-agent besluit dat de dreiging relevant is en haalt de huidige situatie uit BAS-, pentest- en blootstellingsgegevens. Rode en blauwe agenten voeren de simulatie en validatie parallel uit. Een mobilisatieagent implementeert automatisch oplossingen met een laag risico, opent kaartjes voor de gematigde oplossingen en markeert de rest voor menselijke beoordeling. Een verslaggever schrijft één uitvoerende visie voor leiderschap en één technische visie voor het SOC.

Geen analisten in de keten. Elke stap is nog steeds zichtbaar in de operatorconsole. Geen zwarte doos, alleen geen mensen op de Jira-stoel.

De output is niet 50.000 CVE’s gerangschikt op CVSS. Het is één doorlopende actiewachtrij in rood en blauw: wat is er vandaag de dag daadwerkelijk te exploiteren, tegen uw feitelijke controles in, en wat u eraan kunt doen voordat het exploitatievenster wordt gesloten.

Dat is paars teaming, niet alleen automatisering. Het is de lus waar de industrie van heeft gedroomd, die eindelijk het tempo kan halen dat door AI-aangedreven bedreigingen nu nodig is.

Zie het draaien in een echte onderneming

Een continue lus is het juiste antwoord. Maar ‘continu’ impliceert nog steeds dat een mens het tempo volgt. Wanneer aanvallers op machinesnelheid opereren, is de kloof die er toe doet niet tussen zien en detecteren; het gaat om het snel genoeg detecteren en bewijzen dat een AI-aangedreven tegenstander er niet als eerste achter komt.

Dit is waar de validatie van continu naar autonoom gaat: AI-agenten lezen de waarschuwing, verkennen de test, voeren de simulatie uit, pushen de oplossing en schrijven het rapport, terwijl het SOC zich richt op het grote geheel en idealiter wat broodnodige slaap inhaalt.

We zullen precies uitpakken hoe dit eruit ziet – de architectuur, de agentische workflows, de operationele realiteit van het runnen hiervan binnen een echte onderneming – op de Autonome Validatie Summit op 12 en 14 meigehost door Frost & Sullivan en met beoefenaars van Kraft Heinz, Hacker Valley en Glow Financial Services, naast Picus CTO Volkan Erturk.

Zie het in actie op de top →

Let op: dit artikel is geschreven door Sıla Özeren Hacioğlubeveiligingsonderzoeksingenieur bij Picus Security.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Fake OpenAI Privacy Filter Repo bereikt nummer 1 op het gebied van knuffelen en trekt 244.000 downloads

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]