Purple Team: o caminho entre ofensiva e defensiva (e o ROI real)
TL;DR
Purple Team é um exercício colaborativo onde Red Team executa ataques abertamente enquanto Blue Team observa, ajusta detecções em tempo real e aprende. Custa 40-60% de um Red Team tradicional, entrega ganho de detecção mensurável em semanas (em vez de meses), e deixa capacidade interna duradoura. É a melhor compra para empresa que tem SOC funcional mas baixa cobertura de TTPs avançadas.
Red Team é caro, demorado e político. Pentest é rápido e barato, mas não testa detecção. Purple Team senta no meio: é exercício colaborativo, onde ataque e defesa trabalham juntos abertamente, com objetivo único de melhorar a detecção da empresa o mais rápido possível.
Em 2026, Purple Team virou o "segundo passo" preferido de empresas que já fizeram pentest mas ainda não justificam Red Team. O motivo é simples: ROI mensurável em semanas.
O que é Purple Team (a versão honesta)
Purple Team Exercise é uma operação curta e intensa (5 a 15 dias úteis) onde:
- Define-se uma lista de TTPs específicas a serem testadas — geralmente mapeadas no MITRE ATT&CK, focando em técnicas relevantes para a indústria da empresa
- Red Team executa cada TTP de forma controlada, em janela combinada
- Blue Team observa em tempo real: a detecção disparou? Quanto tempo levou? O alerta chegou onde deveria?
- Para cada gap, ajusta-se a detecção (regra de SIEM, custom rule no EDR, query no XDR) e re-testa imediatamente
- Ao final, gera-se um mapa de cobertura de detecção antes-e-depois
A diferença para Red Team: não há stealth, não há objetivo final, não há "vencedor". Todo mundo sabe o que está acontecendo, em tempo real. O objetivo é educacional e operacional, não adversarial.
Por que o ROI é maior que o Red Team puro
Red Team responde a pergunta "fui detectado?" — em geral, no primeiro Red Team, a resposta é não. Aí gera-se um relatório, gera-se um plano de melhoria de 12 meses, e os ajustes vão sendo feitos lentamente.
Purple Team já entra com a premissa "vamos detectar e ajustar agora". Em 10 dias, você tem:
- 30-50 TTPs testadas e calibradas
- Diff de cobertura de detecção (antes: 18%, depois: 67%)
- Regras de detecção novas no seu próprio SIEM, codadas pelo seu time com supervisão
- Runbook por TTP testada
- Treinamento prático real do seu Blue Team
Tudo isso por 40-60% do custo de um Red Team equivalente. Em valor por R$ investido, Purple Team é frequentemente a compra de maior retorno do programa.
Quanto custa no Brasil em 2026
- Purple Team focado (1 cenário, 5 dias): R$ 60-100 mil
- Purple Team standard (3 cenários, 10 dias): R$ 120-200 mil
- Purple Team extensivo (5+ cenários, 15 dias): R$ 220-320 mil
Para comparação: um Red Team mediano custa R$ 300-500 mil — veja quanto custa um Red Team no Brasil.
Quando Purple Team é a coisa certa
Se você reconhece sua empresa em pelo menos 3 dos sinais abaixo, Purple Team é provavelmente sua próxima compra:
- SOC operacional há 6-18 meses, ainda calibrando regras
- Stack de detecção com SIEM + EDR, mas dashboard mostra cobertura abaixo de 40% de TTPs do ATT&CK
- Time interno com 2-6 analistas que precisa de prática real
- Já fez 1-2 pentests no último ano
- Não tem orçamento ou maturidade política para Red Team ainda
- Quer mostrar evolução mensurável de cobertura de detecção em 60-90 dias para o board
Quando NÃO é a coisa certa
- Sem SOC funcionando: Purple Team com SOC inexistente vira workshop ao vivo, e não exercício. Faça pentest e contrate MDR antes.
- Time interno indisponível: o valor maior é o aprendizado do Blue Team. Se ninguém pode dedicar 5-10 dias úteis, o exercício rende menos da metade.
- SIEM/EDR muito imaturos: se a stack ainda não está consolidada, codar regras novas vai gerar dívida — espere a stack estabilizar.
A estrutura prática de um Purple Team de 10 dias
Dia 1-2: Planejamento
- Workshop de scoping: quais TTPs testar, baseadas em CTI relevante para sua indústria
- Definição de janelas, ambientes, contatos, papéis
- Setup de canal de comunicação dedicado (Slack/Teams privado)
- Baseline da cobertura atual de detecção
Dia 3-8: Execução
- 2-3 sessões diárias de 90-120 min, cada uma cobrindo 2-4 TTPs
- Red Team executa, Blue Team observa SIEM/EDR em tempo real
- Em cada TTP: identifica gap → codifica regra nova → re-testa → confirma cobertura
- Documentação live no canal
Dia 9-10: Consolidação
- Mapa de cobertura antes/depois (gráfico de calor MITRE ATT&CK)
- Lista de regras criadas com código-fonte
- Runbook por TTP testada
- Recomendações de próximas TTPs para próximo ciclo
- Apresentação executiva (2h)
Métricas que sobrevivem ao board
Quando o CFO pergunta "por que pagamos R$ 150 mil para isso?", essas são as métricas que vão na resposta:
- Cobertura ATT&CK antes/depois: de 22% para 64%, traduzido em técnicas que o SOC agora detecta automaticamente
- Mean Time To Detection (MTTD) por TTP: baseline médio era 4 horas, agora é 11 minutos para o subset testado — leia MTTD e MTTR para o board
- Regras codadas in-house: número absoluto + percentual em produção 30 dias depois
- Carga horária dedicada do time interno: 80h × 4 pessoas = 320h de treinamento prático real
- Custo por TTP coberta: R$ 150 mil dividido por ~40 TTPs novas = R$ 3.750/TTP. Compare com cursos avulsos ou contratação de analista sênior.
O cuidado contratual mais importante
Purple Team com fornecedor que também opera seu SOC é conflito de interesse: o time vai inconscientemente evitar mostrar suas próprias falhas de calibração. Contrate fornecedor independente. Se sua MDR é da empresa X, contrate Purple Team da empresa Y. Isso vale tanto quanto vale para Red Team.
Como encaixar no calendário anual
Recomendação prática para empresa em estágio 2 de maturidade:
- Q1: Pentest dirigido aos sistemas críticos
- Q2: Purple Team focado (1 cenário) — ajustar gaps mais óbvios
- Q3: Pentest novamente, agora no que mudou no ano
- Q4: Purple Team standard (3 cenários) — mostrar evolução ao board
Custo total: ~R$ 250-350 mil/ano. Mais barato que um Red Team enterprise único, e com resultado operacional muito mais imediato.
Conclusão
Purple Team é o segredo mal guardado dos programas de segurança que evoluem rápido. Custa menos que Red Team, entrega valor mais rápido que Red Team, treina o time interno enquanto melhora a detecção. Não substitui Red Team — em empresa madura, os dois coexistem. Mas para a empresa que está saindo do estágio 1 para o 2, é frequentemente a melhor compra de cibersegurança do ano.
Para entender quando dar o próximo passo e contratar Red Team de verdade, veja o guia completo do decisor.