Purple Teaming ist ein neuer Ansatz im Bereich Sicherheitstests, den man als „kollaborative Red Team Tests“ beschreiben könnte. Normale Red Team Assessments sind stark auf die Realität ausgelegt: Üblicherweise weiß das Blue Team bzw. die IT-Abteilung der Firma mit Ausnahme des Teamleiters/Managers nichts von einem Red Teaming, um die Realität der Angriffssimulation zu bewahren. Beim Purple Teaming hingegen weiß das angegriffene Team, dass es angegriffen wird, und arbeitet eng mit den Angreifern zusammen. Das Red Team verkörpern hierbei die simulierten Angreifer, während das Blue Team die Verteidiger darstellen. Dies kann entweder ein dediziertes, permanentes Blue Team in der Firma, die IT- und Administrationsabteilung, ein internes oder externes SOC oder die IT-Sicherheitsabteilung sein.
Red Teaming zielt vor allem darauf ab, Unternehmen einer möglichst realistischen Angriffssimulation zu unterziehen.
Bei Purple Team-Übungen hingegen steht nicht die Realität im Vordergrund, sondern die möglichst schnelle und möglichst starke Verbesserung aller Fähigkeiten und Möglichkeiten der Verteidigung, also des Blue Teams. Im Laufe eines Purple Team Engagements spielt das Red Team verschiedene Phasen eines Hacker-Angriffs durch und erhöht dabei schrittweise den Härte- und Fähigkeitsgrad der Angriffe. Dabei wird überprüft, welche Angriffe durch das Blue Team erkannt, welche blockiert und welche weder erkannt noch blockiert wurden. Bei letzteren hilft das Red Team dem Blue Team dabei zu ermitteln, warum diese nicht erkannt oder blockiert wurden, und es werden Maßnahmen ausgearbeitet, wie in Zukunft solche Angriffsschritte verhindert werden können. So wird nach und nach mit steigendem Schwierigkeitsgrad der Angriffe durch das Red Team und durch das Nachjustieren der Verteidigungsmaßnahmen des Blue Teams die Verteidigungskraft der Firma auf ein maximales Niveau gegen möglichst viele verschiedene Angriffstechniken angehoben.
