Il red teaming, noto anche come "simulazione avversaria", è un esercizio in cui un gruppo di esperti utilizza le TTP di criminali informatici reali per lanciare un attacco simulato contro un sistema informatico.

A differenza dei pen test, il red teaming è una valutazione di sicurezza che utilizza un team avversario. Il "red team" sfrutta attivamente i vettori di attacco (senza causare danni reali) per vedere fino a dove sono in grado di spingersi. Spesso il red team si trova a dover affrontare un "blue team" composto da ingegneri della sicurezza, che ha il compito di fermare l'attacco. Questa tecnica offre all'organizzazione la possibilità di testare sul campo le proprie procedure di risposta agli incidenti .

Per la conduzione di questo tipo di esercitazioni, le aziende possono avvalersi di un red team interno oppure utilizzare una società esterna. Per mettere alla prova le difese tecniche e il livello di attenzione dei dipendenti, il red team può impiegare una serie di tattiche. I metodi più comuni usati dai red team sono i finti attacchi ransomware, phishing e altre simulazioni di ingegneria sociale e persino tecniche di violazione on-site come il tailgating.

A seconda della quantità di informazioni in loro possesso, i red team possono condurre diversi tipi di test. In un test white-box, il red team ha una vista completa e trasparente sulla struttura interna e sul codice sorgente del sistema target. In un test black box, il red team non dispone di queste informazioni e deve entrare dall'esterno, proprio come gli hacker del mondo reale. In un test gray-box, il red team può avere alcune conoscenze di base del sistema target, come ad esempio gli intervalli IP per i dispositivi di rete, ma non molto altro.