Investiu num SOC, num SIEM e em EDR, mas tem a certeza de que detetam o ataque que interessa? A maioria das organizações só descobre as falhas de deteção durante um incidente real. Nós descobrimo-las antes, num exercício controlado.
Âmbito e métricas definidos com a sua equipa no arranque do exercício.
Porque testar o seu SOC
Um SOC que nunca foi testado é uma suposição, não uma garantia. As deteções falham em silêncio, uma regra mal afinada, um log que não chega ao SIEM, um alerta que ninguém escala. Só um ataque simulado revela o que está mesmo a funcionar.
Pontos cegos de deteção
Técnicas comuns de atacantes que passam sem gerar um único alerta.
Alertas que não escalam
O SIEM regista, mas o alerta perde-se no ruído e ninguém responde.
Tempos por medir
Não sabe quanto tempo passa entre o ataque, a deteção e a resposta.
Cobertura desconhecida
Não há mapa de que táticas do ATT&CK está, e não está, a cobrir.
Playbooks por validar
Os procedimentos de resposta existem no papel, mas nunca foram exercitados.
Exigência regulatória
A NIS2 e os clientes pedem provas de deteção e resposta eficazes.
O que é um exercício Purple Team
No Purple Team, a equipa ofensiva (red) e a equipa defensiva (blue) trabalham lado a lado, e não uma contra a outra. Executamos técnicas de ataque reais, uma a uma, enquanto a sua equipa observa o que o SOC deteta, e afinamos as deteções em tempo real. O objetivo não é “ganhar”: é fechar lacunas e sair com um SOC mensuravelmente melhor.
O que validamos
Testamos toda a cadeia de deteção e resposta, das fontes de dados aos procedimentos humanos:
Como medimos a eficácia
Em vez de uma opinião, entregamos números. Para cada tática do ATT&CK, medimos que percentagem das técnicas executadas foi detetada, antes e depois da afinação feita no exercício.
Purple Team não é um pentest
São serviços complementares, com objetivos diferentes. O Teste de Exploração e o Red Team medem se o atacante entra; o Purple Team mede se o seu SOC repara que ele entrou.
| Red Team clássico | Validação de SOC (Purple Team) | |
|---|---|---|
| Objetivo | Atingir um alvo sem ser apanhado | Medir e melhorar a deteção e a resposta |
| Postura | Adversarial e furtivo | Colaborativo e transparente |
| Foco | O caminho até ao objetivo | A cobertura de deteção, técnica a técnica |
| Equipa do cliente | Não sabe que está a ser testada | Participa e aprende durante o exercício |
| Resultado | Prova de que a intrusão é possível | Deteções afinadas e métricas MTTD/MTTR |
| Quando escolher | Validar a resiliência global | Rentabilizar o investimento em SOC/SIEM/EDR |
Como decorre o serviço
- 1 Fase 1
Âmbito e modelação de ameaças
- ▸ Definição de objetivos e regras de envolvimento
- ▸ Seleção de cenários relevantes para o seu setor
- ▸ Mapeamento inicial ao MITRE ATT&CK
- 2 Fase 2
Execução colaborativa
- ▸ Execução das técnicas, uma a uma, com a sua equipa
- ▸ Registo do que é detetado, alertado e escalado
- ▸ Afinação de regras de deteção em tempo real
- 3 Fase 3
Medição e análise
- ▸ Cálculo de cobertura de deteção por tática
- ▸ Medição de MTTD e MTTR
- ▸ Identificação de lacunas e causas-raiz
- 4 Fase 4
Relatório, melhorias e reteste
- ▸ Relatório executivo e técnico com matriz ATT&CK
- ▸ Recomendações de deteção e playbooks melhorados
- ▸ Reteste das lacunas críticas para confirmar o ganho
Exercício controlado
Descubra as falhas de deteção antes que um atacante o faça.
Red e blue lado a lado, cada técnica medida e afinada, o seu SOC sai do exercício mensuravelmente mais forte.
O que recebe
Relatório executivo e técnico
Resultados claros para a gestão e detalhe acionável para a equipa.
Matriz MITRE ATT&CK
Mapa visual do que o seu SOC deteta, e onde estão os pontos cegos.
Métricas MTTD e MTTR
Tempos reais de deteção e resposta, com base de comparação futura.
Regras de deteção afinadas
Deteções novas e melhoradas para o seu SIEM e EDR.
Playbooks reforçados
Procedimentos de resposta testados e revistos no exercício.
Sessão de transferência
Capacitação da sua equipa para manter e evoluir as deteções.
Depois do exercício, a evolução contínua pode ser assegurada pela nossa Monitorização e Resposta a Incidentes, ou integrada na estratégia do seu CISO as a Service.
Perguntas frequentes
Preciso de ter um SOC próprio para fazer este serviço?
Idealmente valida-se um SOC já em funcionamento, interno ou subcontratado. Se ainda não tem capacidade de deteção e resposta, faz mais sentido começar pela nossa Monitorização; o Purple Team entra depois, para validar e afinar.
O exercício é perigoso para os meus sistemas de produção?
Não. As técnicas são executadas de forma controlada, com regras de envolvimento acordadas e salvaguardas definidas. O objetivo é gerar deteções, não causar impacto, e a sua equipa acompanha tudo em tempo real.
Qual é a diferença para um pentest ou um Red Team?
Um pentest procura vulnerabilidades e um Red Team testa se consegue atingir um objetivo sem ser detetado. O Purple Team foca-se em medir e melhorar a capacidade de deteção e resposta do seu SOC, de forma colaborativa e transparente.
Como é que isto ajuda com a NIS2?
A NIS2 exige capacidades eficazes de deteção, tratamento e reporte de incidentes. Um exercício Purple Team produz evidência objetiva dessas capacidades, cobertura de deteção, tempos de resposta e melhorias implementadas, útil para auditorias e para a administração.
Trabalham com o meu SIEM e EDR atuais?
Sim. O exercício é agnóstico à tecnologia: trabalhamos com as ferramentas que já tem (SIEM, EDR/XDR, ferramentas de log) e entregamos regras e melhorias aplicáveis a esse ambiente.
Com que frequência se deve repetir?
A deteção degrada-se com o tempo, à medida que a infraestrutura e as ameaças mudam. Muitas organizações repetem o exercício periodicamente, por exemplo, uma a duas vezes por ano, ou após mudanças significativas no ambiente.
Interessado neste serviço?
Entre em contacto e a nossa equipa responde em menos de 24 horas.