Centrum sterowania ćwiczeniem symulowanym: red cell odgrywa scenariusze BAS, blue cell wykrywa i reaguje, purple cell mierzy skuteczność. Każda detekcja ma nieść dowód — bez dowodu nie liczy się jako wykrycie. To tablica dyżurna ćwiczenia, nie panel realnego incydentu.
noindex,nofollow — nie jest indeksowana. Wszystkie rundy poniżej to SYMULACJA na danych ćwiczebnych: brak realnego celu, brak działających payloadów, brak instrukcji ataku. Treść ograniczona do poziomu metodyki i governance dla obrońców (MITRE ATT&CK jako identyfikatory technik, Cyber Kill Chain jako fazy). Ćwiczenie ruszy dopiero po podpisanym RoE — patrz Rules of Engagement.
W tym ćwiczeniu wygrywa obrona, która wykryła technikę i potrafi to udowodnić (log SIEM, alert EDR, hash artefaktu, zrzut telemetrii). Detekcja bez dowodu = status GAP i nie wchodzi do scoringu. Ta sama waluta zaufania co w całym portalu: claim ≤ proof.
Kohorta zaproszona: ~50 pentesterów partnera (systemowo istotnej instytucji finansowej), anonimowo. Status PUBLIC_CLAIM / PLANNED — nazwa podmiotu ujawniana dopiero po podpisanym RoE.
Modelowany rejestr: 52 549 specjalistów w ledgerze (status DANE) — to rejestr, nie żywe agenty. Wykonawczo LIVE: 233 aktywne w oknie ćwiczenia. Zasada: RÓJ ≠ REJESTR.
Doktryna „5k/10k agentów na cykl, 15× metaGO" to ROADMAP. Realna infra wykonawcza: ok. 16 równolegle, do 1000 na workflow — status LIVE.
White (kontrola/arbiter), Red (ofensywa symulowana), Blue (detekcja/reakcja), Purple (pomiar i korelacja). Deconfliction i eskalacja wg RoE.
Breach & Attack Simulation — pięć ścieżek ćwiczebnych. Każda mapuje na taktykę MITRE ATT&CK i wskazuje playbook obronny K0NSULT. Opis wyłącznie na poziomie fazy i celu detekcji — bez wektorów wykonawczych.
Taktyki: Initial Access (TA0001) · technika rodziny Phishing (T1566). Cel ćwiczenia: detekcja anomalii poczty i klik-telemetrii.
Taktyki: Execution (TA0002) → Impact (TA0040) · rodzina Data Encrypted for Impact (T1486). Cel: wykrycie loadera przed detonacją, izolacja hosta.
Taktyki: Collection (TA0009) → Exfiltration (TA0010) · Exfiltration Over C2 (T1041). Cel: DLP, anomalie wolumenu wychodzącego, korelacja tożsamości.
Warstwa L2 (AI). Cel: wykrycie manipulacji instrukcją agenta bankowego, walidacja guardrail i human-in-the-loop.
Warstwa L2 (AI). Cel: detekcja przejęcia sesji/tożsamości agenta, odcięcie uprawnień, dowód z audit log agenta.
AI / Agent Security · Evidence Board · Dashboard · Banking demo
Runda · faza kill-chain · technika ATT&CK · wektor (ogólny) · akcja red · detekcja blue · MTTD (czas do wykrycia) · MTTR (czas do reakcji) · dowód · status. Wiersze z klasą hit i wypełnionym dowodem zliczają się do scoringu. Dane ćwiczebne, brak realnego celu.
| # | Faza (Kill Chain) | ATT&CK | Wektor | Akcja red | Detekcja blue | MTTD | MTTR | Dowód | Status |
|---|---|---|---|---|---|---|---|---|---|
| R1 | Delivery | T1566 | BAS-01 phishing | wysyłka wabika (sym.) | reguła anty-phishing + sandbox URL | 14 min | 9 min | log SIEM #A1 | WYKRYTO |
| R2 | Exploitation | T1204 | BAS-01 klik | uruchomienie (sym.) | EDR: podejrzany proces potomny | 21 min | 17 min | alert EDR #E7 | WYKRYTO |
| R3 | Installation | T1486 | BAS-02 loader | staging ładunku (sym.) | EDR: zapis masowy + honeypot pliki | 8 min | 6 min | hash SHA-256 #H3 | WYKRYTO |
| R4 | C2 | T1071 | BAS-02 beacon | kanał sterujący (sym.) | — | — | — | GAP — pominięto | |
| R5 | Actions | T1041 | BAS-03 eksfiltracja | transfer wychodzący (sym.) | DLP + anomalia wolumenu netflow | 33 min | 25 min | netflow #N9 | WYKRYTO |
| R6 | Actions (AI) | L2 / T1566-adj | BAS-04 prompt inj. | wstrzyknięcie instrukcji (sym.) | guardrail agenta zgłasza anomalię | 41 min | — | brak audit log | WYKRYTO bez dowodu |
| R7 | Priv. Escalation (AI) | L2 hijack | BAS-05 agent hijack | przejęcie sesji (sym.) | audit log agenta + anomalia uprawnień | 12 min | 10 min | agent audit #G2 | WYKRYTO |
| R8 | Persistence | T1053 | BAS-02 zadanie | mechanizm trwałości (sym.) | — | — | — | GAP — pominięto |
Wynik wyliczany inline z widocznych wierszy powyżej. „Skuteczna detekcja" = wykryto i dołączono dowód (evidence-first). Detekcja bez dowodu nie liczy się jako sukces.
| Metryka | Co dowodzi | Źródło dowodu | Status |
|---|---|---|---|
| Pokrycie detekcji | ile technik red cell zostało zauważonych | tablica rund, kolumna detekcja blue | SYMULACJA |
| Detekcja z dowodem | że wykrycie jest weryfikowalne, nie deklaratywne | log SIEM / alert EDR / hash / audit log | SYMULACJA |
| MTTD | szybkość zauważenia (mediana/średnia) | znacznik czasu telemetrii | SYMULACJA |
| MTTR | szybkość reakcji/kontrbudowania | ticket reakcji, log akcji blue | SYMULACJA |
| Zamknięcia bez GAP | że każda runda ma domknięcie dowodowe | Evidence Board, brak statusu GAP | SYMULACJA |
| Zgodność z playbookami | że reakcja szła po zdefiniowanej procedurze | mapowanie runda → playbook obronny | SYMULACJA |