K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / CIVILIZATION / attack-sim

Exercise Board — purple team (atak ⇄ obrona)

Centrum sterowania ćwiczeniem symulowanym: red cell odgrywa scenariusze BAS, blue cell wykrywa i reaguje, purple cell mierzy skuteczność. Każda detekcja ma nieść dowód — bez dowodu nie liczy się jako wykrycie. To tablica dyżurna ćwiczenia, nie panel realnego incydentu.

EXERCISE-LOG · STAGING · NOINDEX. Ta strona to dziennik ćwiczenia (exercise-log) w środowisku demonstracyjnym. Oznaczona noindex,nofollow — nie jest indeksowana. Wszystkie rundy poniżej to SYMULACJA na danych ćwiczebnych: brak realnego celu, brak działających payloadów, brak instrukcji ataku. Treść ograniczona do poziomu metodyki i governance dla obrońców (MITRE ATT&CK jako identyfikatory technik, Cyber Kill Chain jako fazy). Ćwiczenie ruszy dopiero po podpisanym RoE — patrz Rules of Engagement.
K0NSULT „wykazuje się" dowodem, nie hałasem.

W tym ćwiczeniu wygrywa obrona, która wykryła technikę i potrafi to udowodnić (log SIEM, alert EDR, hash artefaktu, zrzut telemetrii). Detekcja bez dowodu = status GAP i nie wchodzi do scoringu. Ta sama waluta zaufania co w całym portalu: claim ≤ proof.

PĘTLA: SCENARIUSZ BASAKCJA REDTELEMETRIADETEKCJA BLUEDOWÓDREAKCJAWALIDACJASCORING

Struktura ćwiczenia

Zakres i status RoE

Kohorta zaproszona: ~50 pentesterów partnera (systemowo istotnej instytucji finansowej), anonimowo. Status PUBLIC_CLAIM / PLANNED — nazwa podmiotu ujawniana dopiero po podpisanym RoE.

Roster K0NSULT DANE

Modelowany rejestr: 52 549 specjalistów w ledgerze (status DANE) — to rejestr, nie żywe agenty. Wykonawczo LIVE: 233 aktywne w oknie ćwiczenia. Zasada: RÓJ ≠ REJESTR.

Orkiestracja ROADMAP

Doktryna „5k/10k agentów na cykl, 15× metaGO" to ROADMAP. Realna infra wykonawcza: ok. 16 równolegle, do 1000 na workflow — status LIVE.

Komórki (cells)

White (kontrola/arbiter), Red (ofensywa symulowana), Blue (detekcja/reakcja), Purple (pomiar i korelacja). Deconfliction i eskalacja wg RoE.

Scenariusze BAS SYMULACJA

Breach & Attack Simulation — pięć ścieżek ćwiczebnych. Każda mapuje na taktykę MITRE ATT&CK i wskazuje playbook obronny K0NSULT. Opis wyłącznie na poziomie fazy i celu detekcji — bez wektorów wykonawczych.

BAS-01 · Phishing pod bank P1

Taktyki: Initial Access (TA0001) · technika rodziny Phishing (T1566). Cel ćwiczenia: detekcja anomalii poczty i klik-telemetrii.

→ Playbook: Phishing

BAS-02 · Ransomware loader P0

Taktyki: Execution (TA0002) → Impact (TA0040) · rodzina Data Encrypted for Impact (T1486). Cel: wykrycie loadera przed detonacją, izolacja hosta.

→ Playbook: Ransomware

BAS-03 · Eksfiltracja danych P0

Taktyki: Collection (TA0009) → Exfiltration (TA0010) · Exfiltration Over C2 (T1041). Cel: DLP, anomalie wolumenu wychodzącego, korelacja tożsamości.

→ Playbook: Wyciek danych

BAS-04 · Prompt injection na agenta P1

Warstwa L2 (AI). Cel: wykrycie manipulacji instrukcją agenta bankowego, walidacja guardrail i human-in-the-loop.

→ Playbook: Prompt injection

BAS-05 · Agent hijack P0

Warstwa L2 (AI). Cel: detekcja przejęcia sesji/tożsamości agenta, odcięcie uprawnień, dowód z audit log agenta.

→ Playbook: Agent hijack

Tablica rund — exercise-log SYMULACJA

Runda · faza kill-chain · technika ATT&CK · wektor (ogólny) · akcja red · detekcja blue · MTTD (czas do wykrycia) · MTTR (czas do reakcji) · dowód · status. Wiersze z klasą hit i wypełnionym dowodem zliczają się do scoringu. Dane ćwiczebne, brak realnego celu.

#Faza (Kill Chain)ATT&CKWektorAkcja redDetekcja blueMTTDMTTRDowódStatus
R1DeliveryT1566BAS-01 phishingwysyłka wabika (sym.)reguła anty-phishing + sandbox URL14 min9 minlog SIEM #A1WYKRYTO
R2ExploitationT1204BAS-01 klikuruchomienie (sym.)EDR: podejrzany proces potomny21 min17 minalert EDR #E7WYKRYTO
R3InstallationT1486BAS-02 loaderstaging ładunku (sym.)EDR: zapis masowy + honeypot pliki8 min6 minhash SHA-256 #H3WYKRYTO
R4C2T1071BAS-02 beaconkanał sterujący (sym.)GAP — pominięto
R5ActionsT1041BAS-03 eksfiltracjatransfer wychodzący (sym.)DLP + anomalia wolumenu netflow33 min25 minnetflow #N9WYKRYTO
R6Actions (AI)L2 / T1566-adjBAS-04 prompt inj.wstrzyknięcie instrukcji (sym.)guardrail agenta zgłasza anomalię41 minbrak audit logWYKRYTO bez dowodu
R7Priv. Escalation (AI)L2 hijackBAS-05 agent hijackprzejęcie sesji (sym.)audit log agenta + anomalia uprawnień12 min10 minagent audit #G2WYKRYTO
R8PersistenceT1053BAS-02 zadaniemechanizm trwałości (sym.)GAP — pominięto

Scoring obrony liczony z tablicy

Wynik wyliczany inline z widocznych wierszy powyżej. „Skuteczna detekcja" = wykryto i dołączono dowód (evidence-first). Detekcja bez dowodu nie liczy się jako sukces.

Pokrycie detekcji
rundy wykryte / wszystkie
Detekcja z dowodem
evidence-first · liczy się do wyniku
Średni MTTD
czas do wykrycia (wykryte)
Średni MTTR
czas do reakcji (z reakcją)
Rundy GAP
niewykryte lub bez dowodu
Ocena wykazania
jak K0NSULT „wykazuje się"
Legenda scoringu. A (≥90% z dowodem) — obrona udowodniona, wzorcowe wykazanie. B (70–89%) — solidne, pojedyncze luki dowodowe. C (50–69%) — częściowe, wymaga korekt. D (<50%) — istotne GAP-y, ćwiczenie ujawnia braki telemetrii. Ocena mierzy udowodnioną detekcję, nie deklarowaną.

Jak K0NSULT „wykazuje się" (evidence-first)

MetrykaCo dowodziŹródło dowoduStatus
Pokrycie detekcjiile technik red cell zostało zauważonychtablica rund, kolumna detekcja blueSYMULACJA
Detekcja z dowodemże wykrycie jest weryfikowalne, nie deklaratywnelog SIEM / alert EDR / hash / audit logSYMULACJA
MTTDszybkość zauważenia (mediana/średnia)znacznik czasu telemetriiSYMULACJA
MTTRszybkość reakcji/kontrbudowaniaticket reakcji, log akcji blueSYMULACJA
Zamknięcia bez GAPże każda runda ma domknięcie dowodoweEvidence Board, brak statusu GAPSYMULACJA
Zgodność z playbookamiże reakcja szła po zdefiniowanej procedurzemapowanie runda → playbook obronnySYMULACJA
Granice treści. Kolumna „wektor" i „akcja red" opisują wyłącznie fazę i cel detekcji — nie zawierają payloadów, poleceń ani konfiguracji narzędzi ofensywnych. To materiał dla obrońców (blue/purple). Pełne TTP wykonawcze pozostają poza portalem i wyłącznie w autoryzowanym, izolowanym środowisku ćwiczebnym po podpisaniu RoE.
Zasada nadrzędna ćwiczenia. Runda „wykryta bez dowodu" (jak R6) jest traktowana jako GAP — bo obrona, która nie potrafi udowodnić detekcji przed audytem/regulatorem, w praktyce jej nie ma. To ta sama dyscyplina, którą portal stosuje do incydentów: claim ≤ proof.