1. De Kleuren van Security
In de Enterprise wereld (grote bedrijven en overheden) is cybersecurity verdeeld in twee kampen:
🔵 Blue Team (Verdedigers): De analisten en engineers die het netwerk bewaken, systemen beveiligen, en actief jagen (Threat Hunting) op hackers die mogelijk al binnen zijn.
2. Het SOC (Security Operations Center)
Het zenuwcentrum van het Blue Team is het SOC. Dit is vaak letterlijk een donkere kamer vol met schermen (net als in de film). Het SOC draait 24/7. Analisten kijken naar inkomende waarschuwingen (Alerts) vanuit het hele bedrijfsnetwerk.
3. De Magie van SIEM
Hoe weet het SOC dat er iemand is ingebroken? Via een SIEM (Security Information and Event Management) systeem. (Bijv. Splunk of Microsoft Sentinel).
Een SIEM verzamelt letterlijk álle logs van álle computers, firewalls en servers in het bedrijf. De SIEM correleert deze data automatisch.
Bijvoorbeeld:
- Om 03:00 logt de CEO in vanuit Rusland. (Gek, want hij is in Nederland).
- Om 03:01 opent de CEO powershell op de server.
- Om 03:02 wordt er plotseling 10 Gigabyte aan data naar een Dropbox link gestuurd.
De SIEM trekt een conclusie uit deze drie losse gebeurtenissen, slaat groot alarm, en de Blue Team analist wordt wakker gebeld.
4. Purple Teaming
In het verleden spraken Red en Blue nooit met elkaar. Het Red Team hackte het bedrijf, schreef een boos rapport, en liet het Blue Team huilend achter. Dat bleek niet effectief.
Tegenwoordig doen bedrijven aan Purple Teaming. (Rood + Blauw = Paars). Hierbij werken de hackers en de verdedigers samen.
De Red Teamer lanceert een specifieke aanval. Hij loopt daarna naar de Blue Teamer en vraagt: "Zag je dat?". Als het antwoord "nee" is, gaan ze samen de SIEM en de firewalls anders configureren, totdat de aanval wel gedetecteerd wordt.