purple team dediğiniz şey aslında aynı odada oturan red ve blue team

arkadaşlar, bugün teknik bir haber değil de daha çok “sistem yöneticisi psikolojisi” yazısı gibi bir şey var elimizde. the hacker news’ten gelmiş, ama içinde CVE falan yok, o yüzden rahat okuyabilirsiniz.

gece saat 2’de network savunması yapmak nasıl bir şeydir biliyor musunuz? şöyle bir durum: bir analyst pdf’ten hash kopyalayıp siem sorgusuna yapıştırıyor. red team’in yazdığı script’i blue team kullanabilsin diye elle yeniden yazıyorsunuz. bir de üstüne patch var, change-approval window’dan geçmesini bekliyorsunuz ama o approval süresi, sömürü penceresinden daha uzun.

spoiler: bu zincirdeki hiç kimse beceriksiz değil. herkes işini doğru yapıyor. sorun sistemde.

purple team masalı

şimdi agalar, biz hep şunu duyuyoruz: “purple team yapın, red ve blue’yu birleştirin, sihir olsun”. ama gerçekte ne oluyor biliyor musunuz? aynı odaya red team’i blue team’i koyuyorsunuz, “hadi işbirliği yapın” diyorsunuz. sonra da purple team yaptık diye övünüyorsunuz.

yok öyle yağma. purple team dediğiniz şey:

• red team’in bulduğu açıkları blue team’in anlayabileceği dile çevirmek
• blue team’in log’larını red team’in anlayabileceği şekilde sunmak
• ikisinin arasındaki süreç uçurumunu kapatmak
• tooling’i ortak kullanılabilir hale getirmek

ama ne yapıyoruz? red team pentest yapıyor, raporunu yazıyor, pdf gönderiyor. blue team o pdf’i okuyup “eyvallah” diyor, sonra manuel olarak her şeyi tekrar ediyor.

gerçek sorun nerede

arkadaşlar, asıl mesele şu:

tooling uyumsuzluğu: red team’in kullandığı araçlar ile blue team’in kullandığı araçlar birbirine konuşmuyor. red team cobalt strike kullanıyor, blue team splunk kullanıyor. ikisi arasında köprü yok.

süreç uçurumu: red team bir açık buluyor, rapor yazıyor. bu rapor change management’a giriyor, approval bekliyor, sonra implementation bekliyor. bu süre zarfında saldırgan çoktan işini bitirmiş oluyor.

dil farkı: red team “rce var, cvss 9.8” diyor. blue team “hangi asset’te, hangi rule’u yazalım, hangi log’a bakalım” diye soruyor. ikisi arasında translator lazım.

manuel işler: her şey elle yapılıyor. hash kopyala yapıştır, script’i yeniden yaz, log’u manuel ara. 2026 yılındayız ama hala 2006 gibi çalışıyoruz.

peki ne yapmalı

şimdi ne yapacaksınız diye soruyorsanız, işte size gerçek purple team için yapılması gerekenler:

1. ortak dil oluşturun

red ve blue team aynı terminolojiyi kullansın. mitre att&ck framework’ü kullanın mesela. red team “t1059.001 kullandım” desin, blue team de “t1059.001 için detection rule’um var mı” diye baksın.

2. tooling’i entegre edin

red team’in araçları ile blue team’in araçları konuşsun. api’ler kullanın, otomasyon yapın. red team bir açık bulduğunda otomatik olarak siem’e alert düşsün, ticket açılsın.

örnek workflow şöyle olabilir:

# red team açık buluyor
red_team_tool --scan target.com --output json

# otomatik olarak siem'e gönderiliyor
curl -X POST https://siem.internal/api/alerts \
  -H "Content-Type: application/json" \
  -d @scan_results.json

# otomatik ticket açılıyor
create_ticket --priority high --assign blue_team

3. süreçleri hızlandırın

change management’ı bypass etmiyoruz ama hızlandırıyoruz. kritik güvenlik açıkları için fast-track approval süreci olsun.

dikkat: “kritik” kelimesini suistimal etmeyin, her şey kritik olursa hiçbir şey kritik olmaz.

4. otomasyonu artırın

manuel işleri azaltın. hash kopyala yapıştır yerine, otomatik ioc extraction yapın. script’leri elle yeniden yazmak yerine, ortak kütüphane oluşturun.

# red team'in bulduğu ioc'ler otomatik parse ediliyor
def extract_iocs(report_pdf):
    iocs = parse_pdf(report_pdf)
    for ioc in iocs:
        add_to_threat_intel(ioc)
        create_detection_rule(ioc)
        update_firewall_rules(ioc)

5. düzenli purple team egzersizleri

ayda bir kere red ve blue team’i bir araya getirin. ama toplantı değil, hands-on çalışma yapın. red team saldırı simülasyonu yapsın, blue team gerçek zamanlı detect etmeye çalışsın. sonra oturup “nerede kaçırdık, nasıl iyileştirebiliriz” diye konuşun.

sonuç

agalar, purple team dediğiniz şey sadece red ve blue’yu aynı odaya koymak değil. ortak dil, entegre tooling, hızlı süreçler ve otomasyon demek. yoksa siz hala gece saat 2’de pdf’ten hash kopyalayıp siem’e yapıştırmaya devam edersiniz.

edit: bu yazıda teknik detay yok diye üzülmeyin, bazen süreç iyileştirme de teknik çözüm kadar önemli.

edit 2: “bizde purple team var” diyorsanız ama hala manuel işler yapıyorsanız, yok o purple team. var olan red ve blue team’in aynı slack channel’da olması.

kaynaklar

• Orijinal yazı - The Hacker News
• MITRE ATT&CK Framework: https://attack.mitre.org/
• Purple Team Exercise Guide: https://www.scythe.io/library/purple-team-exercise-guide

hadi kolay gelsin, sistem yöneticisi arkadaşlar. gece 2’de pdf’ten hash kopyalamayın, otomasyon yapın.

Bu içerik yapay zeka tarafından oluşturulmuştur.