Resumo:
- Red team e blue team são abordagens indispensáveis, mas quando operam de forma isolada, criam um gap que nenhum dos dois consegue fechar sozinho.
- Purple team é a abordagem que integra o lado ofensivo e o lado defensivo em ciclos contínuos de ataque, detecção e melhoria. Não é um terceiro time, mas uma metodologia colaborativa.
- TTPs (Táticas, Técnicas e Procedimentos) são o ‘como’ documentado de um ataque. O framework MITRE ATT&CK cataloga essas técnicas com base em observações reais.
- Em um exercício de purple team, o red team executa TTPs selecionadas do MITRE ATT&CK enquanto o blue team verifica em tempo real sua capacidade de detectá-las.
- Purple team faz sentido para organizações que já têm blue team ou SOC estruturado.
- A Vantico realiza Emulação de Adversários com fluxo completo: planejamento, execução, persistência e exfiltração, com relatório técnico por fase.
Imagine dois times que trabalham para o mesmo objetivo, proteger a organização, mas raramente se encontram.
O red team ataca, documenta o que encontrou e entrega um relatório semanas depois. Por outro lado, o blue team recebe o relatório, tenta corrigir o que está ao seu alcance e volta ao monitoramento rotineiro.
Porém, nenhum dos dois sabe, com precisão, se as correções implementadas resistiriam a um novo ataque usando as mesmas técnicas.
Esse cenário é mais comum do que parece, e é exatamente o problema que o purple team foi criado para resolver. Em um cenário de ameaças onde atacantes reais operam com TTPs documentados, persistentes e progressivos, defesas que nunca foram validadas contra técnicas reais são defesas que podem falhar no momento que mais importa.
Neste artigo, iremos explicar o que é purple team, como ele integra red team e blue team, o papel do framework MITRE ATT&CK nessa abordagem e quando essa metodologia faz sentido para a sua organização.
O que é Red Team?
Red team é o time ofensivo responsável por simular o comportamento de atacantes reais para identificar vulnerabilidades antes que sejam exploradas.
Diferentemente de um pentest tradicional, que é mais focado em um ativo ou aplicação específica, o red team opera com escopo aberto, sem roteiro predefinido, replicando a forma como um adversário real agiria contra a organização.
Um exercício de red team cobre o fluxo completo de um ataque:
- Reconhecimento: coleta de informações sobre a organização e seus sistemas
- Acesso inicial: exploração de um vetor de entrada
- Persistência: manutenção do acesso sem detecção
- Movimentação lateral: progressão dentro do ambiente para alcançar ativos de maior valor
- Exfiltração: extração de dados ou simulação de impacto
O objetivo é ir além das falhas técnicas e descobrir se a defesa consegue detectar e responder ao ataque enquanto ele acontece.
O que é Blue Team?
Blue team é o time defensivo responsável por monitorar, detectar, investigar e responder a incidentes em tempo real.
Suas ferramentas típicas incluem SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), sistemas de correlação de alertas e playbooks de resposta a incidentes.
A limitação central do blue team quando opera isolado é a mesma que compromete qualquer defesa nunca testada: sem ser confrontado regularmente com técnicas reais e atuais, o time desenvolve uma falsa sensação de maturidade.
Por exemplo: regras de detecção construídas para o contexto de ameaças de dois anos atrás não reconhecem técnicas mais recentes, ou playbooks de resposta que nunca foram executados no ambiente real e falham nos momentos críticos.
A pergunta que o blue team raramente consegue responder com dados é: nossas defesas realmente funcionam contra o que atacantes reais usariam contra nós hoje?
Qual a diferença entre Red Team e Blue Team?
A diferença está no objetivo, na metodologia e no que cada time entrega. A tabela abaixo resume os pontos principais:
| Aspecto | Red Team | Blue Team |
| Postura | Ofensiva | Defensiva |
| Objetivo | Encontrar e explorar vulnerabilidades reais | Detectar, investigar e responder a ameaças |
| Abordagem | Ataque com escopo aberto, sem roteiro fixo | Monitoramento contínuo e resposta a alertas |
| Ferramentas típicas | Frameworks de exploração e OSINT | SIEM, EDR, IDS/IPS, threat intelligence |
| Entregável principal | Relatório de vulnerabilidades e vetores de ataque | Logs de detecção, alertas, relatórios de resposta |
| Limitação | Não valida se a defesa detectou ou respondeu | Não sabe se suas detecções resistem a ataques reais |
O que é Purple Team?
Purple team é uma abordagem colaborativa e estruturada que integra as operações ofensivas do red team com as capacidades defensivas do blue team em ciclos contínuos de ataque, detecção, análise e melhoria.
Não é um terceiro time independente, mas uma metodologia que coloca os dois times para trabalharem juntos.
Agora, ao invés de o red team atacar em silêncio, entregar um relatório semanas depois e o blue team tentar corrigir retrospectivamente o que foi encontrado, no purple team os dois times compartilham contexto em tempo real durante o exercício.
O fluxo funciona assim: o red team executa uma técnica específica de ataque e o blue team verifica, imediatamente, se seus controles detectaram a ação. Se não detectaram, analisam juntos por que a detecção falhou e fazem os ajustes. Então o red team executa a próxima técnica e o ciclo se repete.
Cada interação produz uma defesa mais calibrada contra ameaças reais e específicas ao perfil da empresa.
O que são TTPs e qual o papel do MITRE ATT&CK?
TTPs são as Táticas, Técnicas e Procedimentos que atacantes reais utilizam. Cada um desses termos tem um significado:
- Tática é o objetivo de alto nível que o atacante quer alcançar, como obter acesso inicial ao ambiente ou mover-se lateralmente dentro dele.
- Técnica é o método específico utilizado para alcançar esse objetivo, como enviar um e-mail de spear phishing com um anexo malicioso.
- E procedimento é a implementação concreta observada em campo, ou seja, como um grupo de ameaça específico executou aquela técnica em um ataque documentado.
Já o MITRE ATT&CK é a base de conhecimento global que cataloga esses comportamentos com base em observações reais de ataques. Mantido pela organização MITRE e disponível gratuitamente, é considerado o padrão de ouro da indústria para documentar e organizar o conhecimento sobre comportamento adversarial.
A matriz Enterprise, a mais relevante para a maioria das organizações, organiza 14 táticas sequenciais, de Reconhecimento até Impacto, com centenas de técnicas e subtécnicas mapeadas por grupo de ameaça, setor e plataforma.
No contexto do purple team, o MITRE ATT&CK funciona como o mapa do exercício.
O red team seleciona técnicas específicas da matriz que são relevantes para o perfil de ameaça do cliente, por exemplo, técnicas historicamente utilizadas por grupos que atacam o setor financeiro ou de saúde, e as executa de forma controlada. O blue team verifica sua capacidade de detecção técnica por técnica. O que eles geram é um mapa preciso de onde as defesas da organização estão alinhadas e onde existem pontos cegos contra ameaças reais e documentadas.
Como funciona um exercício de Purple Team?
Um exercício de purple team bem estruturado segue um fluxo definido, do planejamento à entrega do relatório por fase. Veja como funciona:
Etapa 1: Definição de escopo e perfil de ameaça
O exercício começa com a definição do objetivo: o que a organização quer testar? Sua capacidade de detectar acesso inicial via phishing? Sua visibilidade sobre movimentação lateral no ambiente Active Directory? Sua resposta a tentativas de exfiltração de dados?
O perfil de ameaça é construído com base em inteligência, ou seja, quais grupos de ameaça historicamente atacam aquele setor especificamente, quais TTPs eles utilizam e quais superfícies de ataque são mais exploradas.
Etapa 2: Seleção das TTPs via MITRE ATT&CK
Com o perfil de ameaça definido, o red team seleciona as técnicas específicas a simular a partir da matriz MITRE ATT&CK. A seleção é orientada por relevância, até porque não faz sentido testar técnicas que um atacante do perfil identificado raramente utilizaria.
O exercício é desenhado para ser realista, não abrangente.
Etapa 3: Execução com compartilhamento em tempo real
O red team executa as técnicas selecionadas de forma controlada, em sequência lógica que replica o fluxo de um ataque real: acesso inicial, estabelecimento de persistência, movimentação lateral, coleta de dados e exfiltração simulada.
Em paralelo, o blue team monitora ativamente seus sistemas e registra o que detectou, quando detectou e como respondeu. O compartilhamento de contexto acontece em tempo real, o que significa que quando o red team executa uma técnica, o blue team sabe qual técnica foi executada e verifica se seus alertas dispararam.
Etapa 4: Análise e ajuste das defesas
Para cada técnica executada, os dois times analisam juntos o resultado: a detecção funcionou? Em quanto tempo? O alerta foi categorizado corretamente? Se a detecção falhou, por quê?
Os controles são ajustados durante o próprio exercício, não após a entrega do relatório.
Etapa 5: Relatório por fase
Ao final, o relatório documenta os artefatos coletados em cada fase, as táticas bem-sucedidas, as falhas de detecção identificadas e as recomendações práticas para cada lacuna encontrada.
O entregável é um mapa profundo de maturidade defensiva contra TTPs reais, com ações específicas para elevar a capacidade de detecção e resposta da organização.
Qual a diferença entre Purple Team e Pentest?
É uma das perguntas mais frequentes, e a resposta é muito importante para quem está decidindo qual abordagem faz mais sentido para o momento atual da organização.
| Aspecto | Pentest | Purple Team |
| Foco | Encontrar vulnerabilidades em ativos específicos | Testar e melhorar a capacidade de detecção e resposta |
| Escopo | Aplicação, rede ou ambiente definido | Postura defensiva geral contra um perfil de ameaça |
| Duração | Pontual, geralmente algumas semanas | Contínuo |
| Interação com defesa | Red team opera sem coordenação com blue team | Red e blue team operam juntos em tempo real |
| Base de referência | Vulnerabilidades conhecidas e técnicas de exploração | TTPs documentados no MITRE ATT&CK |
| Entregável | Relatório de vulnerabilidades e recomendações de correção | Mapa de maturidade defensiva e ajuste de controles |
| Maturidade necessária | Qualquer nível, indicado o mais cedo possível | Blue team ou SOC estruturado com ferramentas básicas |
Resumindo: pentest e purple team não se substituem, mas se complementam. O pentest encontra as vulnerabilidades que precisam ser corrigidas, enquanto o purple team valida se as correções e os controles de detecção funcionam contra as técnicas que atacantes reais usariam.
Organizações com maturidade em segurança fazem os dois.
Quando a empresa deve adotar o Purple Team?
Purple team faz sentido quando a organização reúne ao menos três condições: tem um SOC ou blue team operacional com ferramentas básicas de detecção ativas, já realizou ao menos um ciclo de pentest e implementou as correções recomendadas, e quer ir além da identificação de vulnerabilidades para validar sua capacidade real de detectar e responder a ataques.
Setores com perfil de ameaça elevado, como financeiro, saúde, infraestrutura crítica e tecnologia, têm especial benefício em adotar essa abordagem, pela especificidade dos grupos de ameaça que os atacam e pela maturidade regulatória exigida.
Por outro lado, o purple team sem blue team estruturado é ineficaz.
Portanto, se a organização não tem ferramentas de detecção ativas e um time capaz de analisar alertas em tempo real, o exercício não produz o ciclo de melhoria que é sua razão de existir.
Nesses casos, o investimento mais produtivo é estruturar as capacidades defensivas básicas e realizar pentests para identificar e corrigir as vulnerabilidades mais críticas, antes de avançar para a validação dessas defesas via purple team.
O purple team mal dimensionado para o nível de maturidade da empresa gera frustração nos dois lados: o red team executa técnicas que nenhum controle detecta, o blue team não consegue analisar os resultados em tempo real e o exercício se transforma em um pentest com mais cerimônia e menos resultado.
Purple Team e Emulação de Adversários: como a Vantico executa
Na Vantico, o purple team é executado por meio da Emulação de Adversários, a metodologia que sustenta essa abordagem.
Isso significa que, ao invés de simular técnicas genéricas, o Red Team da Vantico replica o comportamento completo de grupos de ameaça específicos, utilizando as mesmas TTPs documentadas no MITRE ATT&CK que esses adversários usam em ataques reais.
O exercício segue um fluxo contínuo de planejamento, execução, persistência e exfiltração, simulando um ataque coordenado e multidisciplinar contra o ambiente do cliente. Após cada fase, a Vantico entrega um relatório com os artefatos coletados, as táticas bem-sucedidas, as falhas de detecção identificadas e recomendações práticas para fechar cada lacuna.
Os resultados são acompanhados em tempo real pela plataforma da Vantico, com comunicação direta com os testers durante todo o processo. Conheça o serviço de Emulação de Adversários da Vantico.
Este artigo nos mostrou que red team e blue team são indispensáveis, mas o gap pode ser um problema.
O purple team fecha esse gap transformando o ataque controlado em aprendizado defensivo imediato.
Com ele, além de um ambiente com menos vulnerabilidades, você tem também uma equipe de segurança que sabe, com dados, o que consegue detectar, em quanto tempo e onde estão os pontos cegos contra as ameaças mais relevantes para o seu setor.
O Red Team da Vantico realiza Emulação de Adversários com TTPs documentados no MITRE ATT&CK, simulando o comportamento completo de atacantes reais contra o ambiente da sua organização.
Cenários personalizados, fluxo contínuo e relatório técnico por fase.
Descubra se suas defesas resistiriam a um ataque real clicando aqui.
Perguntas frequentes sobre Purple Team
O que é purple team em cibersegurança?
Purple team é uma abordagem colaborativa que integra as operações ofensivas do red team com as capacidades defensivas do blue team em ciclos contínuos de ataque, detecção e melhoria.
Não é um time independente, é uma metodologia que coloca os dois times para trabalharem juntos, com o objetivo de calibrar as defesas da organização contra TTPs reais e documentados.
Qual a diferença entre red team, blue team e purple team?
Red team é o time ofensivo que simula ataques reais. Blue team é o time defensivo que monitora e responde a ameaças. E o purple team é a abordagem que integra os dois em ciclos contínuos: enquanto o red team executa técnicas de ataque, o blue team verifica em tempo real sua capacidade de detectá-las e ajusta seus controles durante o exercício.
O que são TTPs em segurança ofensiva?
TTPs são as Táticas, Técnicas e Procedimentos utilizados por atacantes reais. Tática é o objetivo de alto nível (ex: acesso inicial), técnica é o método utilizado para alcançá-lo (ex: spear phishing) e procedimento é a implementação específica observada em campo. O framework MITRE ATT&CK cataloga esses comportamentos com base em ataques documentados.
O que é o framework MITRE ATT&CK e como ele é usado no purple team?
O MITRE ATT&CK é uma base de conhecimento global, aberta e gratuita, que cataloga táticas, técnicas e procedimentos de atacantes reais com base em observações de campo.
No purple team, ele funciona como o mapa do exercício: o red team seleciona técnicas específicas da matriz relevantes para o perfil de ameaça do cliente e as executa de forma controlada, enquanto o blue team verifica sua capacidade de detecção técnica por técnica.
Purple team é o mesmo que emulação de adversários?
São conceitos relacionados mas com distinção importante. Purple team é a abordagem metodológica que integra red e blue team. Emulação de adversários é a metodologia de execução: simular o comportamento completo de um grupo de ameaça específico, com TTPs documentados, ao invés de técnicas genéricas.
Quando faz sentido contratar um exercício de purple team?
Purple team faz sentido quando a organização já tem um SOC ou blue team operacional com ferramentas básicas de detecção ativas, já realizou ao menos um ciclo de pentest e implementou as correções recomendadas, e quer validar se suas defesas resistem a TTPs reais.
Sem blue team estruturado, o exercício não produz o ciclo de melhoria que é sua principal função.
Qual a diferença entre purple team e pentest?
O pentest é focado em encontrar vulnerabilidades em ativos específicos, operando de forma pontual e sem coordenação com a defesa. Já o purple team é focado em testar e melhorar a capacidade de detecção e resposta da organização, operando em ciclos contínuos com red team e blue team trabalhando juntos em tempo real.
Os dois são complementares: o pentest identifica as vulnerabilidades enquanto o purple team valida se as defesas conseguem detectar as técnicas usadas para explorá-las.
Quais empresas brasileiras oferecem serviços de purple team?
A Vantico é uma empresa brasileira de segurança ofensiva que oferece Emulação de Adversários, a metodologia que sustenta o purple team. Com um Red Team certificado em OSCP, CEH, eWPTX e CRTP, a Vantico realiza simulações baseadas em TTPs documentados no MITRE ATT&CK, com fluxo completo de ataque e relatório técnico por fase.
Saiba mais aqui.
