Purple Teaming na Prática: Guia Completo

O que é Purple Teaming

Purple Teaming é uma abordagem colaborativa de testes de segurança onde atacantes (red team) e defensores (blue team) trabalham juntos em tempo real. O nome vem da combinação das cores: vermelho (red) + azul (blue) = roxo (purple).

O objetivo não é "ganhar" (red comprometer ou blue detectar), mas maximizar o aprendizado e a melhoria dos controles de segurança.

Purple vs Red vs Blue

Aspecto	Red Team	Blue Team	Purple Team
Objetivo	Comprometer alvos	Detectar e responder	Melhorar detecção
Modo	Adversarial	Defensivo	Colaborativo
Compartilha info?	Não (stealth)	N/A	Sim, em tempo real
Duração típica	Semanas	Contínuo	Dias (por exercício)
Output	Relatório de comprometimento	Alertas e resposta	Detecções melhoradas

Benefícios do Purple Teaming

1. Aprendizado acelerado

Blue team vê exatamente como cada técnica aparece nos logs, em tempo real. Não precisa esperar semanas pelo relatório do red team.

2. Feedback loop imediato

Se uma técnica não foi detectada, a regra pode ser criada ou ajustada na hora. O ciclo de melhoria é de minutos, não semanas.

3. Eficiência

Em um dia de purple team, é possível testar e melhorar detecção de dezenas de técnicas. Red team tradicional pode levar semanas para o mesmo resultado.

4. Conhecimento compartilhado

Red team entende as limitações reais de detecção. Blue team entende como atacantes pensam e operam. Ambos melhoram.

5. Documentação

Cada exercício gera documentação de técnicas testadas, artefatos gerados, detecções que funcionaram/falharam.

Metodologia de Exercício

Fase 1: Planejamento

• Definir escopo: quais técnicas ATT&CK testar?
• Priorizar baseado em: threat intel, gaps de cobertura, riscos do negócio
• Preparar ambiente: máquinas de teste, usuários, acessos
• Definir participantes: red team, blue team, facilitador
• Agendar: sessões de 2-4 horas funcionam bem

Fase 2: Execução

Para cada técnica:

1. Red anuncia: "Vou executar T1059.001 - PowerShell"
2. Blue prepara: Abre SIEM, dashboards relevantes
3. Red executa: Roda a técnica no ambiente de teste
4. Blue observa: O que apareceu? Houve alerta? Quais logs?
5. Discussão: Por que detectou/não detectou? O que melhorar?
6. Ação: Criar/ajustar detecção se necessário
7. Re-teste: Red executa novamente para validar nova detecção
8. Documentar: Resultado, artefatos, detecções criadas

Fase 3: Pós-exercício

• Consolidar documentação
• Atualizar matriz de cobertura ATT&CK
• Criar tickets para melhorias que requerem mais trabalho
• Compartilhar learnings com time amplo
• Planejar próximo exercício baseado em gaps identificados

Ferramentas para Purple Teaming

Execução de técnicas

• Atomic Red Team: Biblioteca de testes atômicos por técnica ATT&CK. Perfeito para purple team - testes pequenos e focados.
• MITRE Caldera: Plataforma de adversary emulation automatizada
• Infection Monkey: Simulação de propagação e movimentação lateral
• Sliver/Cobalt Strike: C2 frameworks para emulação realista

Tracking e documentação

• ATT&CK Navigator: Visualizar cobertura de técnicas
• Vectr: Plataforma para tracking de purple team exercises
• PlexTrac: Documentação de testes e findings

Exemplo: Atomic Red Team

Executar teste para T1059.001 (PowerShell):

Métricas de Sucesso

Métricas de cobertura

• Técnicas testadas: Número de técnicas ATT&CK exercitadas
• Detection rate: % de técnicas detectadas antes vs depois
• Cobertura ATT&CK: % de técnicas relevantes com detecção

Métricas de melhoria

• Detecções criadas: Novas regras resultantes do exercício
• Detecções melhoradas: Regras existentes ajustadas
• Tempo para detecção: MTTD antes vs depois

Métricas de processo

• Exercícios realizados: Frequência de purple team
• Participação: Engajamento de red e blue
• Follow-up: % de ações completadas pós-exercício

Perguntas Frequentes

O que é Purple Teaming?

Purple Teaming é uma abordagem colaborativa onde red team (atacantes) e blue team (defensores) trabalham juntos em tempo real. Diferente de red team tradicional onde o objetivo é passar despercebido, no purple team o red executa técnicas e o blue observa, ajustando detecções imediatamente.

Qual a diferença entre Purple Team e Red Team?

Red Team tradicional opera em modo adversarial - tenta comprometer sem ser detectado. Purple Team é colaborativo - red e blue trabalham juntos, compartilhando informações em tempo real. Red Team testa se você detecta; Purple Team ensina como detectar.

Preciso de red team interno para purple teaming?

Não necessariamente. Purple team pode ser feito com: consultorias externas de red team, ferramentas automatizadas (Atomic Red Team, Caldera), ou até mesmo o próprio blue team executando técnicas documentadas. O importante é ter alguém executando e alguém observando a detecção.

Conclusão

Purple Teaming é a forma mais eficiente de melhorar capacidades de detecção. Ao combinar a expertise ofensiva do red team com o conhecimento defensivo do blue team em um exercício colaborativo, organizações aceleram dramaticamente sua maturidade de segurança.

Comece simples: selecione 5-10 técnicas prioritárias, use Atomic Red Team para executar, e trabalhe junto com o SOC para melhorar detecções. Um dia de purple team pode gerar mais melhorias de detecção que semanas de operação normal.