Red Team, Blue Team, Purple Team: Farklar ve Kullanım Senaryoları
Siber güvenlik ekiplerinin rengi kariyerleri ve bütçeleri kadar kimliklerini de belirliyor. Red attack, blue defend, purple ise kesişim. Her birinin rolünü ve ne zaman hangisinin gerektiğini anlatıyoruz.
Red Team: Saldırgan Perspektifi
Red team kuruma gerçek saldırgan gibi davranan ekiptir. Amaç: 'bir saldırgan ne yapardı?' sorusunu somut olarak yanıtlamak. Phishing kampanyası, fiziksel erişim denemeleri, lateral movement, domain admin ele geçirme, veri sızdırma. Savunma detection'ını ve response'ını test eder.
Red team ≠ pentest. Pentest kapsamı dar (bir uygulama, bir ağ). Red team kapsamı tüm organizasyon, belirsiz kurallar. Red team projesi 3-8 hafta sürer, ₺150.000-500.000 arası fiyatlandırılır. Kurumsal (bankalar, büyük şirketler) için uygun.
Blue Team: Savunma ve Olay Müdahale
Blue team SOC (Security Operations Center), incident response ekibi, threat hunting uzmanları. 7/24 sistem izleme, anomali tespiti, saldırı analizi, olay müdahale. MITRE ATT&CK framework'ü ile saldırı tekniklerini haritalar, detection kuralları yazar.
Tools: SIEM (Splunk, Elastic SIEM), EDR (CrowdStrike, SentinelOne), threat intelligence platformları. Blue team günlük 1000-5000 alarm inceler, %1-5'i gerçek olay. Alert fatigue gerçek problem — prioritization kritik.
Purple Team: İşbirliği ve Bilgi Akışı
Purple team red + blue kombinasyonu, salt bir başka ekip değil bir metodoloji. Red saldırır, blue aynı anda izler, her iki taraf gözlemlerini paylaşır. Red: 'bu TTP ile girdim', Blue: 'detection'ı kaçırdık, hangi log'a bakabilirdik?'.
Purple team engagement'ları 2-4 hafta, workshop tarzı. Red team gerçek saldırı simülasyonu yapar ama blue'ya izleme fırsatı verir. Sonunda detection coverage matrisi, yeni SIEM kuralları, runbook güncellemeleri teslim edilir. En yüksek ROI — tek başına red veya blue'dan fazla.
Hangi Senaryoda Hangisi?
Başlangıç seviye (SOC'siz KOBİ): önce temel güvenlik kontrolleri (vulnerability scanning, SIEM entry seviye). Blue team kapasitesi yok, red team prematüre. İlk 1-2 yıl temel güvenlik olgunluğuna odaklanın.
Orta seviye (SOC var, 1-2 yıl deneyimli): purple team engagement yılda 1-2 kez — detection gap'leri kapatır. Kurumsal / regüle sektör (banka, telekom, sağlık): yılda 1 red team, sürekli blue, çeyrek dönemlik purple. Red team olmadan 'gerçek saldırıda ne olur' bilinemez.
Projeniz veya denetim ihtiyacınız için VefaSec'le konuşun.
Diyarbakır merkezli ekibimiz; kurumsal müşterilere uçtan uca yazılım geliştirme, sızma testi ve siber güvenlik danışmanlığı hizmetleri sunar. Keşif görüşmesi ücretsiz, bağlayıcı değil.