Terug naar blog
    Red Teaming

    Wat is Red Teaming?

    Sectricity Security TeamOctober 30, 2025

    Red teaming is verschoven van een nichepraktijk binnen cybersecurity naar een onderwerp dat regelgevers actief op de agenda zetten. Dit artikel legt uit wat red teaming concreet inhoudt, welke zes technieken red teamers gebruiken, hoe een traject verloopt, drie concrete voorbeelden, en welke sectoren het als essentieel moeten beschouwen.

    Red TeamRed TeamingCybersecurityDORATIBER-EUAdversary Simulation

    Wat is Red Teaming? De meest realistische stresstest voor je cybersecurity

    Red teaming is in 2025 verschoven van een nichepraktijk binnen cybersecurity naar een onderwerp dat regelgevers, auditors en directies actief op de agenda zetten. Financiële entiteiten onder DORA moeten threat-led penetratietesten uitvoeren. Essentiële entiteiten onder NIS2 krijgen van auditors de vraag hoe ze hun detectiecapaciteit valideren. En bestuurders beginnen de ongemakkelijke vraag te stellen: als er morgen een echte aanvaller binnenwandelt, zouden we het dan zelfs maar opmerken?

    Dit artikel legt uit wat red teaming concreet inhoudt, welke zes technieken red teamers in echte opdrachten gebruiken, hoe een typisch traject verloopt, drie concrete voorbeelden van geslaagde aanvallen, en welke sectoren red teaming als essentieel moeten beschouwen in plaats van als optioneel.

    TL;DR

    Red teaming is een full-scope adversary simulation die test of je organisatie een echte aanval kan detecteren, indammen en herstellen. Het is geen duurdere pentest. Het is een ander type assessment dat mensen, processen en technologie samen op de proef stelt. Kernpunten:

    • Red teaming test detectie en respons, niet kwetsbaarhedenblootstelling.
    • Het gebruikt elke techniek die een echte aanvaller zou inzetten: phishing, fysieke toegang, OSINT, lateral movement.
    • Trajecten lopen typisch 4 tot 12 weken, eindigend wanneer doelen behaald zijn of de tijd op is.
    • Het is geschikt zodra je een gevestigde security baseline hebt en die wil valideren.
    • DORA TLPT en TIBER-EU maken red teaming een wettelijke vereiste voor significante financiële entiteiten.

    Red teaming in één paragraaf

    Red teaming is een doelgerichte simulatie waarbij een onafhankelijk team van ethische hackers optreedt als een echte tegenstander. Het team krijgt specifieke doelen mee zoals toegang tot klantgegevens, verstoring van een kritisch systeem, of het opzetten van persistente aanwezigheid op het netwerk. Ze hebben de vrijheid om elke combinatie van digitale, sociale en fysieke aanvalstechnieken te gebruiken. De oefening test niet alleen de technologie, maar de hele organisatie: mensen, processen, detectiecapaciteit, incident response en herstel.

    De simpelste vergelijking: red teaming verhoudt zich tot een pentest zoals een brandoefening zich verhoudt tot een rookmeldertest. Beide hebben waarde. Ze beantwoorden andere vragen.

    De 6 technieken die red teamers écht gebruiken

    Red teamers draaien geen geautomatiseerde scanners en noemen het een dag. Ze gebruiken dezelfde toolkit als een gemotiveerde aanvaller, vaak met meerdere technieken gecombineerd in één opdracht.

    1. Open-source intelligence (OSINT)

    Voor er ook maar één technische actie wordt ondernomen, brengen red teamers de doelorganisatie in kaart met openbaar beschikbare informatie. LinkedIn voor personeel en rapportagestructuur, bedrijfswebsites voor hints over de tech-stack, vacatures die interne tools verraden, GitHub voor gelekte credentials of configuratie, en DNS-recon voor de externe footprint. Eén vrijdagmiddag OSINT levert vaak meer op dan drie weken netwerkscanning.

    2. Spear phishing en vishing

    Gerichte phishing blijft de meest betrouwbare manier om initiële toegang te krijgen. Het red team bouwt een geloofwaardig pretext (vaak een nep-leveranciersmail, een nep-IT-helpdeskverzoek, of een nep-CEO-bericht), test dat op een kleine groep, verfijnt het, en stuurt het naar de bredere doellijst. Vishing (telefonische phishing) richt zich op specifieke rollen zoals helpdeskmedewerkers of finance staff met telefoongesprekken die misbruik maken van urgentie en autoriteit.

    3. Fysieke toegangspogingen

    Tailgating achter een werknemer een gebouw binnenwandelen, een USB drop op de parking achterlaten, zich voordoen als aannemer of leverancier, een rogue Wi-Fi access point in de buurt van het kantoor plaatsen. Fysieke aanvallen blijven schokkend effectief omdat het meeste security-budget naar de digitale perimeter gaat.

    4. Credential theft en lateral movement

    Eenmaal binnen op het netwerk, hebben red teamers zelden nieuwe kwetsbaarheden nodig. Ze oogsten credentials uit het geheugen, misbruiken zwakke service accounts, exploiteren verkeerd geconfigureerde Active Directory-rechten, en bewegen van een gecompromitteerde werkstation naar domain administrator-toegang in een paar uur. Veel omgevingen die jaarlijkse pentesten doorstaan vallen uit elkaar onder realistische lateral movement.

    5. Custom malware en command-and-control

    Om onopgemerkt te blijven, bouwen red teamers vaak custom payloads of passen ze bestaande tools aan om endpoint detection te omzeilen. Command-and-control (C2) frameworks zoals Cobalt Strike, Mythic of custom tooling staan persistente communicatie met gecompromitteerde hosts toe terwijl ze opgaan in legitiem netwerkverkeer.

    6. Detection evasion

    Doorheen het traject past het red team zich continu aan om geen alerts te triggeren. Ze bestuderen je security tools, leren welke acties SOC-analisten activeren, en passen hun aanpak aan. Het doel is niet om luid te zijn, maar om precies in kaart te brengen welke acties wel en niet gedetecteerd worden. De output is een detection coverage map die je via geen enkel ander type test kan krijgen.

    Hoe een red team traject verloopt: van OSINT tot exfiltratie

    Een typisch red team traject loopt 8 tot 10 weken. De fasen hieronder zijn sequentieel maar overlappen aanzienlijk in de praktijk. Een ervaren red team werkt simultaan aan intelligence gathering, initial access en post-exploitation wanneer de kans zich voordoet.

    Week 1 tot 2: Intelligence gathering

    OSINT, technische footprint analyse, profiling van werknemers, identificatie van afhankelijkheden van derden, en mapping van waarschijnlijke aanvalspaden. Tegen het einde van week 2 heeft het red team een gedetailleerd beeld van het doel, inclusief welke individuen interessant zijn voor phishing, welke technologieën in gebruik zijn, en waar de waarschijnlijke detectie-blind spots zitten.

    Week 3 tot 4: Initial access

    Phishing campagnes uitgerold, vishing calls geplaatst, fysieke toegangspogingen ondernomen indien in scope. Externe systemen onderzocht op misconfiguraties of niet-gepatchte kwetsbaarheden. De eerste foothold wordt meestal binnen dit venster behaald, vaak via één werknemer die op één link klikt of één bijlage uitvoert.

    Week 5 tot 6: Interne beweging en privilege escalation

    Vanuit de foothold inventariseert het red team het interne netwerk, oogst credentials, escaleert rechten en beweegt richting systemen met de afgesproken doelen. Active Directory misbruik, credential reuse en verkeerd geconfigureerde shares zijn de meest gangbare paden.

    Week 7 tot 8: Doelvervolging en exfiltratie simulatie

    Het red team krijgt toegang tot het doelobjectief, demonstreert de impact (zonder echte schade te veroorzaken) en simuleert exfiltratie van gevoelige data. Persistente toegang wordt opgezet om te testen of de organisatie langetermijn-aanwezigheid kan detecteren in plaats van alleen de initiële inbraak.

    Week 9: Detectie vergelijking en rapportage

    Na de operationele fase stelt het red team een complete attack narrative op en vergelijkt die met de logs van het blue team. Elke actie wordt gemapt: wat werd gedetecteerd, wat werd gemist, wat werd onderzocht en weggeklikt, en wat had gevangen kunnen worden maar niet werd opgemerkt.

    Week 10: Debrief en remediation roadmap

    Een gefaciliteerde sessie brengt red team, blue team en senior stakeholders samen. De debrief is waar het meest waardevolle leermoment plaatsvindt. Remediation prioriteiten worden gedefinieerd, detectieregels worden verbeterd, en de kloof tussen veronderstelde en gedemonstreerde security wordt gedicht.

    3 voorbeelden van hoe red team aanvallen slagen in de praktijk

    Deze voorbeelden zijn realistische composieten gebaseerd op patronen die we vaak zien over trajecten heen. Namen en specifieke details zijn geanonimiseerd, maar de technieken en uitkomsten weerspiegelen wat daadwerkelijk in het veld gebeurt.

    Voorbeeld 1: De inbraak van 4 dagen via een USB op de parking

    Een logistiek bedrijf in de Benelux had drie opeenvolgende jaarlijkse pentesten doorstaan. Het red team sloeg het netwerk volledig over. Ze drukten vijf USB-sticks met het bedrijfslogo en het label "Q3 Salarisreview - Vertrouwelijk". Op een maandagochtend lieten ze die achter op de personeelsparking. Tegen maandagnamiddag hadden twee werknemers de stick aangesloten. Tegen woensdag had het red team domain administrator-toegang. Tegen donderdag hadden ze exfiltratie van de klantendatabase gesimuleerd.

    Detectie: nul alerts getriggerd tot de debrief. De endpoint detection tool flagde de initiële USB-uitvoering, maar het alert verdween in een wachtrij van 2.000 dagelijkse meldingen en werd automatisch weggeklikt na 72 uur.

    Voorbeeld 2: De CFO-impersonatie die MFA omzeilde

    Een financiële dienstverlener had multifactor authenticatie op elk intern systeem. Het red team belde de IT-helpdesk en deed zich voor als de executive assistant van de CFO. Het verhaal: de CFO stond op een luchthaven met een dode telefoon en had dringend toegang nodig tot een board-document vóór een vergadering binnen 30 minuten. De helpdeskmedewerker, hulpzaam als hij was, reset de MFA-enrollment naar een nieuw toestel. Binnen 12 minuten had het red team toegang tot de e-mail en SharePoint van de CFO.

    Detectie: de MFA reset werd gelogd maar er was geen alert geconfigureerd voor executive accounts. Het patroon "helpdeskmedewerker overschrijft MFA enrollment buiten kantooruren" stond nergens op de SOC-alertlijst. Na het traject werd net die regel toegevoegd en triggert nu binnen 90 seconden.

    Voorbeeld 3: De leveranciersportaal die een achterdeur opende

    Een productiebedrijf had een geharde interne netwerkstructuur en een goed geconfigureerde perimeter. Het red team compromitteerde in plaats daarvan een kleine leverancier. De leverancier had legitieme toegang tot een vendor portal voor het indienen van facturen. Vanuit de gecompromitteerde leveranciersaccount uploadde het red team een kwaadaardige PDF die een kwetsbaarheid in de preview-functie van het portaal exploiteerde. Binnen 6 uur hadden ze code-uitvoering op de portal-server. Binnen 4 dagen hadden ze gepivoteerd naar het corporate netwerk.

    Detectie: niets flagde de leverancier-login omdat het kwam vanuit het normale IP-bereik van de leverancier. De PDF-exploit werd opgevangen door de antivirus op de portal-server, maar het alert ging naar een gedeelde inbox die niemand monitorde in het weekend.

    Voor welke sectoren is red teaming essentieel in 2026

    Financiële dienstverlening (DORA TLPT)

    Significante financiële entiteiten in de EU zijn verplicht Threat-Led Penetration Testing uit te voeren onder DORA. TLPT is een specifieke vorm van red teaming, uitgevoerd onder het TIBER-EU framework, door gecertificeerde aanbieders, met resultaten gerapporteerd aan de bevoegde autoriteit. Dit is geen optie.

    Gezondheidszorg en kritieke infrastructuur

    Ziekenhuizen, energieleveranciers, watermaatschappijen en transportoperatoren geclassificeerd als essentiële entiteiten onder NIS2 moeten aantonen dat hun risicobeheersmaatregelen effectief zijn. Red teaming is de meest geloofwaardige manier om dat bewijs aan een regelgever of auditor te leveren.

    Overheid en defensie

    Overheidsdepartementen en defensieleveranciers staan tegenover staatsgesponsorde dreigingsactoren die exact de technieken gebruiken die red teams simuleren. Voor deze organisaties is red teaming geen compliance-oefening, het is operationeel realisme. De dreiging is dagelijks, niet theoretisch.

    Grote ondernemingen buiten gereguleerde sectoren

    Elke organisatie met meer dan 1.000 werknemers, een volwassen security operations functie en gevoelig intellectueel eigendom of klantgegevens zou red teaming als periodieke oefening moeten behandelen. De investering is gerechtvaardigd zodra de basis-security baseline op orde is en de volgende vraag wordt: kunnen we een echte aanvaller daadwerkelijk detecteren?

    5 mythes over red teaming

    Mythe 1: Red teaming is gewoon een dure pentest

    Een pentest vindt kwetsbaarheden in een gedefinieerde scope. Een red team onderzoekt of je organisatie een echte aanval kan detecteren en erop reageren over alle aanvalsvectoren heen. Andere vraag, andere methode, andere output. Het kostenverschil weerspiegelt de diepte, niet een premium prijs voor dezelfde dienst.

    Mythe 2: Een red team moet altijd gevangen worden

    Ervaren red teams behalen hun doelstellingen in de grote meerderheid van trajecten. Dat is geen falen van de oefening. Het is de bevinding. De waarde komt uit het begrijpen van hoe het gebeurde en wat moet veranderen. Een organisatie die het red team in elke opdracht vroeg vangt, heeft ofwel werkelijk uitzonderlijke verdediging, ofwel werd de oefening te eng gescoped.

    Mythe 3: Je hebt een SOC van 50 mensen nodig voor red teaming zin heeft

    Je hebt een security baseline nodig (regelmatige pentesten, patch management, basic awareness training, logging op orde), niet een massale SOC. Een red team oefening op een kleine organisatie onthult welke investeringen de hoogste impact zouden hebben. Het is een van de meest efficiënte manieren om de volgende 12 maanden security-uitgaven te plannen.

    Mythe 4: Red teaming is te risicovol voor productieomgevingen

    Een professioneel red team werkt onder strikte rules of engagement, heeft emergency stop procedures, en rapporteert onmiddellijk als ze een echt incident in uitvoering tegenkomen. Het risico van een gecontroleerde red team oefening is veel lager dan het risico van een echte aanval die je niet zou detecteren.

    Mythe 5: AI-gedreven tools zullen red teamers vervangen

    Geautomatiseerde tools dekken bekende aanvalspatronen. Ze kunnen niet improviseren, geen pretext bouwen voor een phishing campagne die een specifieke helpdeskmedewerker zal geloven, of opmerken dat een zijdeur van het kantoor om 18u30 open staat. Red teaming combineert technische expertise met creativiteit en oordeel. Tools versterken red teamers; ze vervangen ze niet.

    Veelgestelde vragen

    Hoe verschilt red teaming van een pentest in één zin?

    Een pentest vindt kwetsbaarheden in gedefinieerde systemen; een red team onderzoekt of je hele organisatie een echte aanval kan detecteren en erop reageren.

    Wat kost een red team traject?

    Realistische prijzen voor een full-scope red team traject in de EU starten rond 60.000 euro en lopen op tot 200.000 euro of meer voor TIBER-EU TLPT trajecten met intelligence-voorbereiding. De belangrijkste drijvers zijn scope (alleen digitaal versus inclusief fysiek en social engineering), duur, en of externe threat intelligence inbegrepen is.

    Hoe vaak moet je een red team oefening doen?

    Voor de meeste organisaties biedt elke 18 tot 24 maanden voldoende tijd om bevindingen te remediëren en te zien of verbeteringen daadwerkelijk de detectiecapaciteit hebben veranderd. Financiële entiteiten onder DORA TLPT volgen de 3-jarige cyclus die het framework definieert. Jaarlijks red teamen heeft alleen zin voor zeer grote organisaties met continue security-investering.

    Welke certificeringen moeten red teamers hebben?

    Kijk naar OSCP en OSCE voor technische diepgang, GIAC GPEN of GXPN voor geavanceerde offensive skills, CRTO of CRTL specifiek voor red team methodologie, en CRTSE of equivalent voor senior practitioners. Voor TIBER-EU TLPT trajecten moet de aanbieder op de gecertificeerde lijst staan die door de bevoegde autoriteit wordt bijgehouden. Certificeringen zijn belangrijk, maar trajectrapporten zeggen meer. Vraag om geanonimiseerde voorbeelden van eerder werk.

    Kan een intern security team zijn eigen red team uitvoeren?

    Een intern red team kan externe testen aanvullen met continue adversary simulation. Maar een intern team dat de omgeving al kent, kan de unknown-unknown blind spots niet werkelijk testen. Externe red teams brengen frisse blik, geen organisatorische politiek, en de regelgevende geloofwaardigheid die auditors en directies verwachten. De meeste volwassen organisaties combineren beide.

    Gerelateerde diensten en bronnen

    Sectricity voert red team assessments uit in België, Nederland en het Verenigd Koninkrijk, met een combinatie van digitale exploitatie, social engineering en fysieke beveiligingstesten. Voor organisaties die starten met security-validatie is penetration testing het juiste startpunt. Wil je dieper ingaan op wanneer red teaming geschikt is? Onze red teaming uitvoeringsgids behandelt precies dat. We publiceren ook een social engineering assessment gids en een uitleg over hoe een hacker echt te werk gaat van OSINT tot pentesting. Voor DORA en NIS2 compliance, zie onze compliance pentesting service.