Red team vs blue team: cyberdefenseoefeningen uitvoeren voor militaire organisaties

Door Corvus Intelligence Engineering Team · Over het team →

4 juni 2026 9 min lezen

Elke cybercommandant krijgt uiteindelijk te maken met dezelfde ongemakkelijke vraag na een beveiligingsaudit: als een natiestaat-tegenstander de afgelopen zes maanden in uw netwerken had geopereerd, zouden uw SOC-analisten hem dan hebben ontdekt? Het eerlijke antwoord is voor de meeste militaire organisaties waarschijnlijk nee — niet omdat de verdedigers incompetent zijn, maar omdat gerubriceerde netwerken complex zijn, operationele continuïteitsvereisten agressieve defensieve tooling beperken, en de werkwijze van dreigingsactoren ver is uitgegroeid boven wat uitsluitend op handtekeningen gebaseerde detectie kan opvangen. Red team/blue team-oefeningen bestaan om die vraag te beantwoorden voordat een tegenstander dat doet. Ze zijn een van de meest rendabele investeringen die een militaire cyberorganisatie kan doen — en ook een van de slecht uitgevoerde wanneer de planningsdiscipline ontbreekt.

Dit artikel behandelt de volledige opzet van een militaire cyberoefening: waarom verdedigingsnetwerken unieke uitdagingen vormen, hoe de oefeningstypes langs een volwassenheidscontinu moeten worden gestructureerd, hoe de red en blue team-rollen worden bemand en afgebakend, welke technische infrastructuur een effectieve oefening vereist, en hoe bruikbare verbeteringen kunnen worden onttrokken aan de evaluatie achteraf. Het WARG multi-domein oefeningsplatform ondersteunt de integratie van cyberdomeingebeurtenissen in bredere gezamenlijke oefeningsplanning — een mogelijkheid die in het laatste gedeelte wordt onderzocht.

Waarom militaire cyberoefeningen verschillen van commerciële

De principes van red team/blue team-testen zijn van toepassing in alle sectoren, maar militaire netwerken introduceren beperkingen en vereisten die geen commercieel equivalent hebben. Het begrijpen van deze onderscheiden is een vereiste voor het ontwerpen van een oefening die nuttige trainingsgegevens produceert in plaats van een gescript optreden.

Gerubriceerde netwerkarchitectuur. Militaire netwerken omvatten meerdere rubricersniveaus — van niet-gerubriceerde administratieve systemen tot geheime en daarboven gelegen enclaves — en de grenzen daartussen zijn zelf hoogwaardige doelwitten. Een red team dat een geavanceerde aanhoudende dreiging emuleert, probeert niet simpelweg gegevens te exfiltreren; het kan proberen domeinoverschrijdende overdracht uit te voeren die gebruikmaakt van een verkeerd geconfigureerde data-diode of een slecht geïmplementeerde cross-domain solution. Oefeningen die uitsluitend op niet-gerubriceerde bereiken opereren, kunnen de meest operationeel relevante aanvalspaden missen.

Operationele continuïteitsvereisten. Een commerciële penetratietesters kan een webapplicatie een uur platleggen zonder catastrofale gevolgen. Een red team dat opereert op een netwerk dat actief commando en controle ondersteunt, kan het operationele verkeer niet onderbreken zonder missie-impact die ver buiten de oefening reikt. Deze beperking dwingt tot een afweging: oefeningen op productie-aangrenzende netwerken zijn realistischer maar brengen echte operationele risico's met zich mee; oefeningen op geïsoleerde cyberbereiken zijn veiliger maar kunnen de werkelijke defensieve hiaten in operationele systemen niet blootleggen. Ervaren oefeningsontwerpers lossen dit op met een gelaagde aanpak — geïsoleerde bereiksoefeningen voor techniekvalidatie, oefeningen met beperkte reikwijdte op productie-aangrenzende netwerken voor realistische omgevingstests.

OPSEC tijdens de oefening zelf. Het bestaan van een red team-oefening is operationeel gevoelige informatie. Een tegenstander die te weten komt dat een eenheid interne tests uitvoert, kan het tijdstip aanpassen om het oefenvenster te vermijden, of kan proberen echte inbraakactiviteiten te vermengen met oefeningsgerelateerd verkeer. Oefeningsplanning en communicatie moeten worden behandeld op het juiste rubricersniveau, en de kring van medewerkers die op de hoogte zijn van de oefeningtiming moet worden geminimaliseerd — met name blue team-medewerkers, wier detectietraining echte onzekerheid vereist over of geobserveerde activiteit door de oefening of door een echte actor is gegenereerd.

Juridische bevoegdheid voor offensieve technieken. Red team-operators die offensieve cybertools gebruiken tegen militaire netwerken vereisen expliciete schriftelijke toestemming die standaard niet bestaat. De Computer Fraud and Abuse Act in de Verenigde Staten, en gelijkwaardige wetgeving in bondgenootschappelijke landen, creëren strafrechtelijke aansprakelijkheid voor ongeautoriseerde computertoegang ongeacht de affiliatie van de actor. Het vaststellen van de juiste juridische bevoegdheid — commandomachtigingsdocumenten, reglementen van engagement en vrijwaringsdocumenten — voordat enige red team-activiteit begint, is geen bureaucratische last; het is de basis die de oefening juridisch verdedigbaar maakt.

Oefeningstypes langs het volwassenheidscontinu

Militaire cyberoefeningen variëren van goedkope tabletop-discussies tot volledige live-fire-simulaties op speciale bereikinfrastructuur. Organisaties op verschillende volwassenheidsniveaus profiteren van verschillende oefeningstypes, en de progressie van tabletop naar live-fire is zelf een gestructureerd ontwikkelpad.

Tabletop-oefeningen brengen het incidentresponsteam samen om een scenario door te lopen zonder enige live technische activiteit. De facilitator presenteert een scenario — "u heeft een melding ontvangen dat een eindpunt op het commandonetwerk een ongebruikelijk patroon van uitgaande DNS-query's heeft geïnitieerd; wat doet u?" — en het team bespreekt hun responsproces. Tabletops zijn goedkoop, vereisen geen technische infrastructuur en zijn zeer effectief in het blootleggen van procesmatige lacunes: ontbrekende escalatieprocedures, ongedefinieerde rollen, besluitvormingsambiguïteiten en communicatiestoringen tussen de SOC en de incidentcommandant. Ze produceren geen gegevens over of de detectietooling daadwerkelijk werkt, maar ze onthullen of het team weet hoe het moet worden gebruikt.

Volledige simulatieoefeningen omvatten een menselijk red team dat actief opereert tegen een doelomgeving terwijl het blue team in realtime verdedigt. Het red team gebruikt echte offensieve tools en technieken; het blue team gebruikt hun operationele detectie- en responstooling. Deze oefeningen zijn de hoogst-fidelity training beschikbaar buiten het reageren op een echte inbraak, en ze zijn het enige oefentype dat realistische MTTD- en MTTR-maatstaven produceert. Ze vereisen de meeste planning, de meeste technische infrastructuur en de meest rigoureuze juridische machtigingsdocumentatie.

Live-fire op bereiknetwerken gebruikt een speciaal cyberbereik — een geïsoleerde netwerkomgeving die de productie-architectuur weerspiegelt zonder operationeel verkeer te bevatten — als oefeningsomgeving. Deze aanpak behoudt de operationele continuïteit terwijl het red team het volledige spectrum van geautoriseerde technieken kan gebruiken, inclusief technieken die dienstonderbreking zouden veroorzaken op een productief netwerk. Cyberbereiken kunnen on-premise, in de cloud of aangeboden worden door nationale trainingsorganisaties.

Coalitie-oefeningen (CWIX-stijl) omvatten meerdere bondgenootschappelijke landen die samenwerken in een gedeelde oefeningsomgeving. Het Cyber Warfare Interoperability eXercise (CWIX)-model stelt deelnemende landen in staat niet alleen hun interne defensieve capaciteiten te testen, maar ook hun vermogen om dreigingsinformatie te delen en incidentrespons te coördineren over nationale en organisatorische grenzen heen. Deze oefeningen leggen interoperabiliteitslacunes bloot die interne oefeningen niet kunnen onthullen.

Belangrijk inzicht: De meest voorkomende mislukking in militaire cyberoefenprogramma's is het proberen van een live red team-oefening voordat de tabletop- en procesfundamenten zijn gelegd. Een blue team dat zijn incidentresponsprocedures nog nooit heeft doorlopen in een tabletop, zal een live oefening besteden aan het ontdekken van procesmatige lacunes in plaats van het trainen van detectie- en responsvaardigheden. De volwassenheidsprogressie — eerst tabletop, dan simulatie, dan live-fire — is niet optioneel.

Red team-structuur en dreigingsactoremulatie

De waarde van een red team-oefening is direct evenredig met hoe nauwkeurig het red team de werkelijke dreiging emuleert. Een red team dat technieken van vijf jaar geleden gebruikt, of dat lawaaiiger opereert dan een echte APT omdat het de vakmanschap mist om subtiel te zijn, produceert trainingsgegevens die het blue team niet voorbereiden op de dreiging waarmee ze werkelijk worden geconfronteerd. Effectieve militaire red teams zijn gestructureerd rond de emulatie van specifieke dreigingsactoren in plaats van generieke penetratietesting.

Voor militaire netwerken in de NATO- en Five Eyes-context zijn de meest operationeel relevante dreigingsactoren natiestatengroepen met aangetoonde inbraakcapaciteit in militaire netwerken. APT28 (Fancy Bear, toegeschreven aan GRU-eenheid 26165) heeft een gedocumenteerde staat van dienst op het gebied van aanvallen op militaire en overheidnetwerken met behulp van spear-phishing, diefstal van inloggegevens en living-off-the-land-technieken die de zichtbare voetafdruk op endpointdetectie minimaliseren. APT29 (Cozy Bear, toegeschreven aan SVR) opereert met een langere verblijftijd en een geduldiger operationeel tempo, waarbij vaak maandenlang toegang wordt gehandhaafd voordat de missioneringsdoelstelling wordt uitgevoerd. Red teams die deze actoren emuleren, moeten werken vanuit hun gedocumenteerde TTP-draaiboeken, met MITRE ATT&CK als organisatorisch kader.

Living-off-the-land (LotL)-technieken zijn bijzonder belangrijk om te emuleren omdat ze de detectie-uitdaging vertegenwoordigen die de meeste op handtekeningen gebaseerde verdedigingen verslaat. Een red team dat uitsluitend open-source exploitframeworks gebruikt, genereert meldingen die elk commercieel EDR-product zal onderscheppen; een red team dat ingebouwde Windows-beheerhulpmiddelen (PowerShell, WMI, PsExec, geplande taken) gebruikt voor laterale beweging, opereert op dezelfde detectieresistente manier als een geavanceerde natiestaat-actor. Het vermogen van het blue team om kwaadaardig gebruik van legitieme tools te onderscheiden van routinematige beheerwerkzaamheden is de kerncompetentie die een goed ontworpen oefening ontwikkelt.

Command and control (C2)-infrastructuur moet speciaal worden gebouwd voor de oefening in plaats van commerciële penetratietestframeworks te hergebruiken die zwaar gesigneerd zijn door netwerkbeveiligingsproducten. DNS-tunneling, HTTPS-beaconing naar domain-fronted infrastructuur en verborgen kanalen via toegestane protocollen (ICMP, legitieme cloudopslag-API's) vertegenwoordigen de C2-technieken die operationele red teams gebruiken. Toolingopties omvatten CALDERA voor geautomatiseerde TTP-uitvoering en Cobalt Strike of Havoc voor handmatige C2-operaties door red team-operators met de juiste training en autorisatie.

Blue team-rollen en SOC-structuur tijdens een oefening

Het blue team is geen homogene groep tijdens een cyberoefening — het bestaat uit afzonderlijke rollen die onder tijdsdruk moeten coördineren. Oefeningen die deze rollen niet expliciet definiëren, produceren verwarde reacties waarbij meerdere analisten werk dupliceren of kritieke beslissingen wachten op een bevoegdheid die niemand weet dat zij bezitten.

SOC-analisten (Tier 1 en 2) zijn de detectielaag. Hun oefeningstrainingsdoelstelling is het nauwkeurig triëren van meldingen, het snel escaleren van bevestigde verdachte activiteit en het niet afwijzen van echte indicatoren van compromis als fout-positieven. De oefening moet een realistisch meldingsvolume genereren — niet alleen red team-activiteit maar ook gesimuleerd achtergrondlawaai van routinematige netwerkgebeurtenissen — om analisten te trainen onder omstandigheden die de operationele belasting benaderen.

De incidentcommandant heeft beslissingsbevoegdheid tijdens een gedeclareerd incident. Hun oefeningstrainingsdoelstelling is het nemen van juiste triage-beslissingen op basis van onvolledige informatie: wanneer inperkingsprocedures moeten worden ingeroepen die serviceonderbreking veroorzaken, wanneer adversariale activiteit kan worden voortgezet voor informatieverzamelingsdoeleinden, en wanneer moet worden geëscaleerd naar commandobevoegdheid. Incidentcommandanten die deze beslissingen nooit in een gesimuleerde omgeving hebben geoefend, nemen betrouwbaar suboptimale keuzes onder de cognitieve belasting van een echte incident.

Het forensisch team reconstrueert aanvalstijdlijnen na inperking. Hun oefeningstrainingsdoelstelling is het produceren van een nauwkeurige tijdlijn uit beschikbare loggegevens binnen een gedefinieerde tijdshorizon. De kwaliteit van de forensische reconstructie — of ze de initiële toegangsvector correct identificeren, de volledige reikwijdte van de laterale beweging en de gegevens waartoe toegang is verkregen — is een directe maatstaf voor het vermogen van de organisatie om post-incidentremediatie uit te voeren in plaats van simpelweg het incidentticket te sluiten.

Belangrijk inzicht: De incidentcommandantrol is de minst getrainde positie in de meeste militaire SOC-structuren. SOC-analisten ontvangen regelmatige technische training; incidentcommandanten oefenen zelden besluitvorming onder gesimuleerde incidentdruk. Een cyberoefening die alle drie de blue team-rollen tegelijkertijd uitvoert — analist, incidentcommandant, forensisch medewerker — produceert veel meer trainingswaarde dan een oefening die uitsluitend gericht is op de detectielaag.

Purple team voor continue verbetering

Het traditionele red-vs-blue adversariale model produceert een binaire uitkomst: het blue team heeft de techniek gedetecteerd of niet. Purple teaming past dit model aan om continue, collaboratieve verbetering te produceren in plaats van één meetgebeurtenis. In een purple team-oefening werken red en blue team-leden samen — het red team voert een specifieke techniek uit, het blue team probeert deze te detecteren, en beide teams bespreken onmiddellijk welke loggegevens werden gegenereerd, welke detectieregel deze zou vangen en welke wijzigingen in de detectiestack nodig zijn. Dit proces wordt herhaald over de volledige TTP-catalogus.

Purple teaming vervangt adversariale red team-oefeningen niet — de trainingswaarde van opereren onder echte onzekerheid zonder te weten welke technieken zullen worden gebruikt, is onvervangbaar voor blue team-ontwikkeling. Purple teaming is een aanvulling die detectie-engineeringcapaciteit sneller opbouwt dan adversariale oefeningen alleen. Het ritme voor de meeste militaire organisaties moet zijn: jaarlijkse adversariale red team-oefening, driemaandelijkse purple team-workshops, continue geautomatiseerde adversariale emulatie met CALDERA op bereiknetwerken als een permanente achtergrondactiviteit.

Technische infrastructuur voor militaire cyberoefeningen

De vereiste technische infrastructuur voor een militaire cyberoefening schaalt met het oefentype. Tabletop-oefeningen vereisen alleen een vergaderruimte en een scenariodocument. Volledige simulatieoefeningen op een geïsoleerd cyberbereik vereisen netwerkinfrastructuur, virtualisatieplatforms, logaggregatie en tooling die een significante maar eenmalige investering vertegenwoordigen.

Het cyberbereik moet de productie-netwerkarchitectuur zo nauwkeurig mogelijk weerspiegelen — dezelfde besturingssysteemversies, hetzelfde netwerksegmentatiemodel, dezelfde beveiligingstooling — omdat detectiehiaten op het bereik vrijwel zeker ook op het productieve netwerk bestaan. Bereiken die zijn gebouwd op generieke sjablonen in plaats van productiekopieën produceren oefenresultaten die niet worden omgezet in operationele defensieve verbeteringen. Cloud-gehoste cyberbereiken (Azure Government, AWS GovCloud) hebben de infrastructuurkosten van bereikimplementatie aanzienlijk verlaagd, maar de configuratieinspanning van het nauwkeurig modelleren van de productie-architectuur blijft aanzienlijk.

Aanvalsimulatietooling voor het red team moet omvatten: CALDERA voor geautomatiseerde TTP-uitvoering en scenario-koppeling; Atomic Red Team voor validatie van individuele technieken tegen de detectiestack; en geschikte C2-frameworks die geautoriseerd zijn voor de oefeningsreikwijdte. De MITRE ATT&CK Navigator biedt een visuele dekkingskaart — waarbij wordt weergegeven welke technieken zijn opgenomen in het oefenscenario ten opzichte van welke technieken bevestigde detectiedekking hebben — wat het meest bruikbare planningsartefact is voor zowel het ontwerp van red team-scenario's als het bijhouden van remediatie na de oefening.

Logging- en SIEM-configuratie is het meest voorkomende infrastructuurprobleem bij oefeningen. Oefeningen die geen bruikbare detectiegegevens genereren omdat logbronnen niet aan de SIEM werden doorgevoerd, of omdat bewaarperioden te kort waren voor forensische reconstructie na de oefening, produceren geen trainingswaarde ongeacht hoe goed het red team heeft uitgevoerd. Verifieer logbrondekking voor de oefening begint, niet erna.

Scoring en maatstaven: meten wat belangrijk is

Gemiddelde detectietijd (MTTD) — het interval van red team-techniekuitvoering tot bevestigde blue team-melding — is de primaire kwantitatieve maatstaf voor een militaire cyberoefening. Het wordt berekend per techniek, niet als een enkel oefening-breed gemiddelde, omdat een blue team met uitstekende netwerkdetectie en slechte endpointdetectie zeer verschillende MTTD-waarden zal tonen over het technieksepctrum. De per-techniek-uitsplitsing is wat gerichte remediatie aanstuurt in plaats van een generieke aanbeveling voor "verbeterde detectie".

Gemiddelde reactietijd (MTTR) — van bevestigde melding tot voltooide inperkingsactie — meet de effectiviteit van het incidentresponsproces in plaats van de detectiestack. Hoge MTTD en lage MTTR wijst op een detectie-engineeringprobleem. Lage MTTD en hoge MTTR wijst op een proces- of personeelsprobleem. Beide maatstaven zijn noodzakelijk om het type vereiste remediatie te onderscheiden.

Simulatie van gegevensexfiltratie biedt een maatstaf voor missie-impact. Het red team probeert een synthetische dataset te exfiltreren (plaatshouderbestanden gelabeld met de rubricering en het gegevenstype van de doeldata, maar zonder echte gevoelige inhoud) en de oefening scoort of de exfiltratie werd gedetecteerd en voorkomen, achteraf gedetecteerd of geheel ongedetecteerd. Deze maatstaf verbindt de technische oefening met de operationele consequentie die hogere commandanten begrijpen: als dit een echte tegenstander was geweest, wat hadden ze dan meegenomen?

Dekkingsgraad — het percentage red team-technieken dat überhaupt enige detectie genereerde, ongeacht MTTD — is de maatstaf voor de volledigheid van detectie-engineering. Een dekkingsgraad onder de 60% geeft aan dat de detectiestack aanzienlijke blinde vlekken heeft die een geavanceerde tegenstander vrijelijk kan exploiteren. Organisaties die het MITRE ATT&CK-framework gebruiken als basis voor oefeningsplanning moeten de dekking bijhouden ten opzichte van de volledige techniekmatrix, niet alleen ten opzichte van de technieken die zijn opgenomen in een specifiek oefenscenario.

Methodologie voor de evaluatie achteraf

De evaluatie achteraf is waar de trainingswaarde van een oefening wordt gerealiseerd. Een oefening die geen gestructureerde evaluatie achteraf produceert, levert geen aanhoudende verbetering in defensieve houding op, ongeacht hoe goed de technische uitvoering verliep. Militaire organisaties die dezelfde evaluatiediscipline toepassen op cyberoefeningen als op kinetische trainingsoefeningen, sluiten defensieve lacunes; organisaties die een korte nabespreking houden en terugkeren naar routinematige operaties, doen dit niet.

De evaluatie achteraf van de cyberoefening moet de volledige tijdlijn vanuit beide perspectieven tegelijkertijd reconstrueren: elke red team-actie met zijn exacte tijdstempel, en elke blue team-detectie of niet-detectiegebeurtenis op het overeenkomstige tijdstip. Het overlappen van deze tijdlijnen maakt de detectiehiaten visueel zichtbaar — de intervallen waarin het red team actief opereerde en loggegevens genereerde die het blue team niet zag, niet trieerde of niet escaleerde. Voor elke hiaat identificeert de evaluatie de specifieke oorzaak: ontbrekende detectieregel, ontbrekende logbron, melding afgewezen als fout-positief, of melding gegenereerd maar responsproces mislukt.

Elke geïdentificeerde hiaat moet een bijgehouden remediatietaak worden met een eigenaar en een deadline. Organisaties die lange lijsten van bevindingen genereren zonder eigenaren toe te wijzen en sluiting bij te houden, hebben hun defensieve houding niet verbeterd — ze hebben deze gedocumenteerd. Het remediatievolgproces is het mechanisme dat oefeningsbevindingen omzet in operationele beveiligingsverbeteringen. Een vervolgstabletop of purple team-sessie binnen 90 dagen na de hoofdoefening moet valideren dat kritieke remediaties zijn geïmplementeerd voordat de in de oefening geïdentificeerde defensieve lacunes de tijd hebben gehad om door een werkelijke tegenstander te worden uitgebuit.

Het plannen van cyberoefeningen op schaal — het integreren van cyberdomeintrainingsgebeurtenissen in multi-domein gezamenlijke oefeningen — profiteert van oefeningsbeheerplatforms die scenario's, deelnemers en evaluatiegegevens na afloop coördineren over domeinen heen. Het WARG-platform ondersteunt deze multi-domein oefeningsplanningscapaciteit, waarmee cyberoefeningsgebeurtenissen kunnen worden gepland, bemand en geëvalueerd binnen hetzelfde planningskader als kinetisch domein-traningsgebeurtenissen. Gerelateerde lectuur: live militaire oefeningen vs AI-wargaming en software voor evaluatie achteraf bij militaire training.

Belangrijk inzicht: De meest voorkomende oorzaak van stagnerende defensieve houding in militaire SOC-organisaties is het niet sluiten van de cirkel tussen oefeningsbevindingen en remediatieverificatie. Een evaluatie achteraf die een lijst van bevindingen produceert zonder bijgehouden eigenaren en vervolgvalidatie is een administratief document, geen trainingresultaat. Het oefenprogramma is alleen zo waardevol als de remediat iediscipline die erop volgt.

Integreer cyberoefeningen in uw gezamenlijk trainingsprogramma

Wij bouwen multi-domein oefeningsplanningsplatforms voor defensieorganisaties — van ontwerp van cyberbereikscenario's tot integratie van gezamenlijke evaluaties achteraf.

WARG Platform → Boek een briefing

Deze analyse is opgesteld door Corvus Intelligence-engineers die missiekritieke software bouwen voor defensie- en overheidsorganisaties. Meer over ons team →

Veelgestelde vragen

Hoe vaak moeten militaire organisaties red team-cyberoefeningen uitvoeren?

De meeste defensiebeveiligingskaders bevelen minimaal één volledige red team/blue team-oefening per jaar aan voor elk missiekritiek netwerkenclve, met tabletop-oefeningen die elk kwartaal worden gehouden. Netwerken met hoge prioriteit die operationeel commando en controle ondersteunen, vereisen frequentere tests — halfjaarlijkse live-oefeningen aangevuld met continue geautomatiseerde adversariale emulatie met tools als CALDERA. De frequentie moet worden afgestemd op de gevoeligheid van de verwerkte gegevens en de operationele impact van een succesvolle inbraak. Organisaties die geen interne red team-capaciteit kunnen onderhouden, moeten ten minste één jaarlijkse externe red team-opdracht prioriteren die wordt ondersteund door een gecontracteerde leverancier voor dreigingsemulatie.

Hoe kan een militaire eenheid red team-capaciteit verwerven zonder intern personeel aan te nemen?

Er zijn verschillende opties voor organisaties die geen permanent intern red team kunnen bemannen. Ten eerste bieden nationale cyberdefensieagentschappen — CYBERCOM in de VS, NCSC-gelieerde eenheden in bondgenootschappelijke landen — red team-ondersteuning aan ondergeschikte commando's onder een taakverdeling. Ten tweede beschikken gecontracteerde leveranciers voor dreigingsemulatie over de vereiste veiligheidsmachtigingen en kunnen zij opereren tegen gerubriceerde enclaves onder de juiste juridische machtigingsovereenkomsten. Ten derde stellen coalitie-oefeningen zoals CWIX en Locked Shields eenheden in staat deel te nemen aan multinationale cyberoefeningen waarbij de red team-functie centraal wordt beheerd. Ten vierde kunnen geautomatiseerde platforms voor adversariale emulatie zoals CALDERA dienen als een continue, goedkope aanvulling op red teams tussen live-oefeningen door, waarbij continue aanvallen op basis van scenario's worden uitgevoerd tegen geïsoleerde bereiknetwerken zonder dat een permanent menselijk red team nodig is.

Welke juridische kaders zijn van toepassing op red team-operaties tegen militaire netwerken?

Red team-operaties tegen militaire netwerken vereisen expliciete schriftelijke toestemming voordat enige activiteit begint. In de Verenigde Staten vloeit dit voort uit de Computer Fraud and Abuse Act-vrijstellingen voor geautoriseerd testen, gecombineerd met de commandobevoegdheid die is verleend via operationele orders of een specifiek testmachtigingsdocument. NATO-lidstaatoperaties worden bovendien geregeld door de toepasselijke SOFA (Status of Forces Agreement) wanneer multinationaal personeel betrokken is. De kritieke documenten zijn: een reglement van engagement dat bepaalt welke systemen binnen het bereik vallen en welke aanvalstechnieken zijn toegestaan; een vrijwaringsdocument ondertekend door de bevoegde commandant dat red team-operators bij zich dragen tijdens de oefening; en een deconflictiemechanisme met lopende defensieve operaties om te voorkomen dat echte incidentrespons wordt getriggerd. Het niet vaststellen van deze bevoegdheden vóór de start van de oefening is de meest voorkomende juridische kwetsbaarheid in militaire red team-programma's.

Wat is het verschil tussen een red team-oefening en een penetratietest in een militaire context?

Een penetratietest is een afgebakende technische beoordeling: testers krijgen een gedefinieerd doelwit, een gedefinieerde tijdshorizon en een gedefinieerd doel — doorgaans het vinden van kwetsbaarheden in een specifiek systeem. Het is een auditactiviteit, geen trainingsoefening. Een red team-oefening is een adversariale simulatie: het red team krijgt missioneringsdoelstellingen en opereert met ruime vrijheid om elke techniek te gebruiken die een echte dreigingsactor zou gebruiken, inclusief social engineering, pogingen tot fysieke toegang en simulatie van aanvallen op de toeleveringsketen. Voor militaire organisaties is de red team-oefening het primaire trainingsvehikel — het traint het blue team om realistisch adversariaal gedrag te detecteren en erop te reageren, terwijl een penetratietest systeembeheerders traint om specifieke kwetsbaarheden te patchen. Beide zijn noodzakelijk; geen van beide vervangt de andere.

Hoe meet je succes in een militaire cyberdefensie-oefening?

De primaire kwantitatieve maatstaven zijn de gemiddelde detectietijd (MTTD) — het interval van het moment waarop het red team zijn eerste positie inneemt tot het moment waarop het blue team een bevestigde melding genereert — en de gemiddelde reactietijd (MTTR) — het interval van bevestigde melding tot voltooide inperkingsactie. Secundaire maatstaven omvatten het percentage red team-technieken dat überhaupt enige detectie genereerde (dekkingsgraad), de fout-positiefrate tijdens het oefenvenster en of het red team zijn opgegeven missioneringsdoelstelling bereikte voordat het werd verdreven. Kwalitatieve maatstaven uit de evaluatie achteraf meten de besluitkwaliteit: heeft de incidentcommandant de dreiging correct getrieerd, werden de juiste escalatiebeslissingen genomen en werd de forensische tijdlijn na afloop van de oefening nauwkeurig gereconstrueerd? Een blue team dat het red team snel inperkt maar de aanvalsvector verkeerd identificeert, heeft een kritieke trainingsdoelstelling niet gehaald, ook al is zijn MTTR uitstekend.