MITRE ATT&CK framework'ünü temel alan purple team operasyonları, Microsoft, Google ve büyük finansal kurumların güvenlik ekipleri tarafından red ve blue team kapasitelerini entegre biçimde geliştirmenin en etkin yöntemi olarak benimsenmektedir.
Purple Team Saldırı Simülasyonu Nedir?
Purple team, saldırı (red) ve savunma (blue) ekiplerinin aynı anda işbirliği yaparak gerçek tehdit senaryolarını test ettiği bir güvenlik çalışmasıdır. Purple team hizmeti, yalnızca açık bulmakla kalmaz; tespit kapasitesini ve müdahale süreçlerini de eş zamanlı iyileştirir.
Purple Team Ücretini Etkileyen Faktörler
Purple team projelerinde ücret, çalıştırılacak senaryo sayısına, kullanılacak teknik ve taktik çeşitliliğine (MITRE ATT&CK taktikleri) ve kurumun mevcut güvenlik altyapısına göre şekillenir.
1. Senaryo Sayısı ve Karmaşıklığı
Her senaryo belirli bir MITRE ATT&CK tekniğini simüle eder. Birkaç temel senaryo içeren mini purple team çalışması ile onlarca tekniği kapsayan kapsamlı bir simülasyon arasındaki fiyat farkı önemlidir.
2. Mevcut Savunma Altyapısı Olgunluğu
Kurumun SIEM, EDR ve log yönetimi altyapısı ne kadar olgunsa purple team çalışması o kadar verimli yürür. Altyapı yetersizse önce blue team danışmanlığı ile zemin hazırlanması önerilir; bu durum toplam proje maliyetini etkiler.
3. Simülasyon Kapsamı: Ağ, Uygulama veya Bulut?
Sadece ağ katmanını kapsayan senaryolar ile uygulama, kimlik yönetimi ve bulut ortamlarını içeren geniş kapsamlı simülasyonlar farklı süre ve kaynak gerektirir.
4. Raporlama ve Aksiyon Planı Detayı
Temel bulgular raporunun ötesinde MITRE ATT&CK haritalı detaylı teknik analiz, yönetici özeti ve önceliklendirme yol haritası gibi ek teslimatlar maliyet üzerinde belirleyici bir rol oynar.
Kurum Büyüklüğüne Göre Tahmini Süre Tablosu
Kurum Büyüklüğü | Senaryo Kapsamı | Tahmini Süre |
|---|---|---|
KOBİ | 5-10 temel MITRE tekniği, ağ ve endpoint odaklı | 1-2 hafta |
Orta Ölçekli | 15-25 teknik, uygulama ve kimlik dahil | 2-4 hafta |
Büyük Kurum | 30+ teknik, bulut ve hibrit ortam dahil, sürekli döngü | 4-8 hafta ve sonrası |
Purple Team ile Red Team Arasındaki Fark
Geleneksel red team operasyonları savunma ekibinden bağımsız olarak gerçekleştirilir ve sonuçlar daha sonra raporlanır. Purple team'de ise saldırı ve savunma eş zamanlı çalışarak öğrenme döngüsünü hızlandırır; bu nedenle maliyet-etkinlik açısından özellikle kurumsal yapılar için cazip bir seçenektir.
Secunnix Purple Team Yaklaşımı
Secunnix purple team çalışmalarında MITRE ATT&CK matrisini referans alarak senaryo kütüphanesi oluşturur, her tekniği gerçek ortamda dener ve blue team'in tespit/müdahale performansını ölçeriz. Simülasyon sonunda kurumun güvenlik açıklarını ve tespit yetersizliklerini MITRE teknikleriyle haritalı olarak teslim ederiz.
Kurumunuza özel purple team simülasyonu için iletişime geçin ve teklif alın.
Sık Sorulan Sorular
Purple team çalışmasına kimler katılmalı?
Kurumun SOC analistleri, güvenlik mühendisleri ve olay müdahale ekibi aktif olarak simülasyona dahil edilmelidir. Bu katılım, öğrenme etkisini maksimuma çıkarır.
Purple team ne sıklıkla yapılmalı?
Yılda en az bir kez yapılması önerilir. Ancak yüksek tehdit ortamlarında veya büyük altyapı değişikliklerinin ardından ek simülasyonlar planlanmalıdır.
Purple team için önce red team çalışması şart mı?
Zorunlu değil, ancak önerilir. Daha önce yapılmış bir sızma testi veya red team bulguları, senaryo tasarımına değerli girdi sağlar.
Bulut ortamları purple team kapsamına dahil edilebilir mi?
Evet. AWS, Azure ve GCP gibi bulut platformlarına yönelik MITRE ATT&CK Cloud Matrix teknikleri de simülasyona entegre edilebilir.
Purple team ile ISO 27001 sertifikasyonu desteklenebilir mi?
Evet. Purple team çalışmalarından elde edilen MITRE haritalı bulgular ve iyileştirme kanıtları, ISO 27001 sürekli iyileştirme ve iç denetim gerekliliklerini destekler.
