Articles
Feb 17, 2026

Purple Team suradnja koja jača obranu

Kako Purple Team unapređuje detekciju

Purple Team suradnja koja jača obranu

Purple Team: suradnja koja jača obranu

U mnogim organizacijama sigurnost se promatra kroz podjelu na dvije suprotstavljene strane. S jedne strane je Red Team – oni koji pokušavaju probiti obranu, simulirati napad i pronaći slabosti. S druge strane je Blue Team – oni koji brane sustav, reagiraju na alarme i upravljaju incidentima.

Na papiru ta podjela ima smisla, no u praksi često dovodi do tihe, ali opasne dinamike: Red Team “pobjeđuje” ako pronađe ranjivost, Blue Team “pobjeđuje” ako detektira napad. Rezultati su dokumentirani nalazi i zatvorene stavke na papiru, ali bez jasnog dokaza da su detekcijske i obrambene sposobnosti stvarno unaprijeđene. Upravo iz tog razloga nastao je koncept Purple Teaminga.

Purple Team nije nova boja na organizacijskom dijagramu. On je promjena načina razmišljanja o testiranju obrane. Umjesto suprotstavljanja, Purple Team uvodi suradnju. Umjesto “uhvatili smo vas”, fokus je na “kako ovo zajedno možemo detektirati bolje”. U svijetu u kojem napadači neprestano prilagođavaju taktike, takav pristup postaje ključan.

Što je zapravo Purple Team

Purple Team nije treći, odvojeni tim. To je model rada gdje Red i Blue timovi surađuju, s jasnim ciljem: unaprijediti sposobnost detekcije i odgovora na napade.

U klasičnom Red Team testu, simulirani “napadač“ pokušava ostati neprimijećen. Blue Team saznaje rezultate tek na kraju, kroz izvještaj. Problem s tim pristupom je što se uči retroaktivno, tek kada je test gotov.

Purple Team mijenja dinamiku. Testiranje se provodi uz koordinaciju i komunikaciju između timova. Kada Red Team simulira određenu tehniku, Blue Team istovremeno analizira telemetriju, traži detekcijui prilagođava pravila. Fokus nije na skrivanju, nego na učenju.

Zašto klasični Red vs Blue model više nije dovoljan

Klasični model ima svoje mjesto. Realistična, “blind” testiranja važna su za procjenu stvarne otpornosti organizacije. No ona imaju ograničenje: često pokazuju što ne radi, ali ne objašnjavaju zašto.

Blue Team može dobiti izvještaj koji kaže da lateralno kretanje nije detektirano. No bez dublje analize teško je razumjeti je li problem u:

  • nedostatku telemetrije
  • loše konfiguriranom EDR-u
  • nedovoljnoj korelaciji
  • preopterećenju alarmima
  • ili nejasnim playbookovima

Purple Teaming omogućuje da se ta pitanja postave dok je scenarij još u tijeku. Umjesto post mortem analize, učenje se događa u realnom vremenu.

Kako Purple Team funkcionira u praksi

U praksi, Purple Teaming se obično odvija kroz strukturirane scenarije temeljene na poznatim napadačkim tehnikama. Umjesto općenitog testiranja, fokus je na konkretnim taktikama – primjerice credential access, lateral movement ili persistence.

Proces može izgledati ovako

  1. Definira se scenarij i cilj.
  2. Red Team simulira određenu tehniku.
  3. Blue Team prati telemetriju i pokušava detektirati aktivnost.
  4. Analizira se gdje je detekcija uspjela, a gdje nije.
  5. Pravila i konfiguracije se prilagođavaju.
  6. Scenarij se ponavlja kako bi se potvrdilo poboljšanje.

Ovaj ciklus transformira sigurnost iz statičnog sustava pravila u dinamičan proces prilagodbe.

Ključne prednosti Purple Teaminga
1. Brže poboljšanje detekcija

Umjesto čekanja na stvarni incident ili godišnji penetration test, organizacija kontinuirano testira i unapređuje detekcijske mehanizme. Svaka simulirana tehnika postaje prilika za učenje i optimizaciju.

2. Realno razumijevanje vlastitih slabosti

Teorijski “coverage” na papiru ne znači da će tehnika biti detektirana u stvarnosti. Purple Team pokazuje razliku između očekivanog i stvarnog.

3. Smanjenje lažnog osjećaja sigurnosti

Mnoge organizacije vjeruju da su sigurne jer imaju moderne alate. Purple Teaming testira tu pretpostavku. Ako se tehnika može provesti bez detekcije, problem nije u napadaču, nego u obrani.

4. Jačanje suradnje

Jedna od najvećih, ali često zanemarenih koristi je poboljšanje odnosa između timova. Umjesto percepcije “mi protiv njih”, razvija se kultura zajedničkog cilja. To mijenja način na koji se sigurnost percipira unutar organizacije.

Purple Team i MITRE ATT&CK

Jedan od najčešćih okvira za Purple Team aktivnosti je MITRE ATT&CK. Umjesto apstraktnih testova, scenariji se mapiraju na konkretne tehnike i taktike.

To omogućuje:

  • strukturirano planiranje testova
  • jasnu komunikaciju između timova
  • mjerenje pokrivenosti detekcija
  • praćenje napretka kroz vrijeme

No važno je naglasiti da ATT&CK nije cilj sam po sebi. On je alat za strukturiranje učenja, a ne “checklist” za certifikaciju sigurnosti.

Tipične pogreške u implementaciji Purple Teaminga

Iako koncept zvuči jednostavno, implementacija često nailazi na prepreke.

1. Fokus na demonstraciju, a ne poboljšanje

Ako je cilj testiranja pokazati da je obrana dobra, Purple Team gubi smisao. Cilj je pronaći slabosti i unaprijediti sustav,a ne potvrditi postojeće stanje.

2. Nedostatak mjerenja

Bez jasnih metrika: vremena detekcije, vremena reakcije, pokrivenosti tehnika – teško je procijeniti napredak. Purple Teaming mora imati mjerljive ciljeve.

3. Ograničavanje na tehnički sloj

Sigurnost nije samo tehnologija. Purple Team može otkriti da je detekcija tehnički uspješna, ali da reakcija kasni zbog organizacijskih faktora: nedostatka jasnih odgovornosti ili sporih odluka.

Purple Team kao dio sigurnosne zrelosti

Organizacije često pitaju kako znati jesu li “zrele” u sigurnosnom smislu. Jedan od pokazatelja je sposobnost kontinuiranog testiranja i prilagodbe.

Purple Teaming je indikator te zrelosti. On pokazuje da organizacija:

  • razumije da alati nisu dovoljni
  • želi testirati pretpostavke
  • ulaže u kontinuirano poboljšanje

To je razlika između reaktivne i adaptivne obrane.

Zašto je sada pravi trenutak

Moderni napadi postaju sve sofisticiraniji, ali i sve suptilniji. Living off the Land tehnike, lateralno kretanje i zloupotreba legitimnih identiteta zahtijevaju obranu koja se može prilagođavati. Purple Teaming upravo to omogućuje.

Umjesto čekanja na stvarni incident kao “test”, organizacija sama preuzima inicijativu i simulira scenarije koji bi se mogli dogoditi. U svijetu u kojem savršena detekcija ne postoji, kontinuirano testiranje postaje nužnost.

Zaključak

Purple Team nije trend niti marketinški izraz. On je odgovor na realnost moderne obrane: napadači uče brzo, a obrana mora učiti brže.

Suradnja između Red i Blue timova transformira sigurnost iz statičnog skupa pravila u dinamičan sustav učenja. Umjesto da se uspjeh mjeri time je li napad probio obranu, mjeri se sposobnošću organizacije da unaprijedi svoje detekcije i procese.

U konačnici, Purple Teaming ne služi tome da pokaže koliko smo sigurni, nego koliko brzo možemo postati sigurniji.

 

Recent posts

Lateralno kretanje u modernim napadima

Articles
Feb 11, 2026

Notepad++ kompromitacija updatea

Advisory
Feb 3, 2026

Living off the Land i moderna obrana

Articles
Jan 28, 2026
// Newsletter //

Prijava na newsletter

Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.

Thanks for joining our newsletter.
Oops! Something went wrong.
Subscribe To Our Weekly Newsletter - Cybersecurity X Webflow Template

Relevatne teme

Pogledaj sve objave
Lateralno kretanje u modernim napadima

Lateralno kretanje u modernim napadima

Kako napadač širi pristup mrežom

Articles
Feb 11, 2026
Notepad++ kompromitacija updatea

Notepad++ kompromitacija updatea

Napad na Notepad++ update mehanizam 2026

Advisory
Feb 3, 2026