Interaktywne ćwiczenie purple-team. Wybierz rolę RED (atak) albo BLUE (obrona) i działaj z każdego punktu topologii. System liczy wynik obrony wg zasady evidence-first: każda detekcja ma dowód, atak bez detekcji = GAP. Mapowanie na MITRE ATT&CK.
Wybierz węzeł na mapie, aby zobaczyć dostępne akcje dla aktualnej roli.
Kliknij węzeł, żeby zagrać.
Wzmocnienie węzła (kontrola BLUE) obniża szansę powodzenia ataku i włącza monitoring (detekcję). Węzeł z aktywnym monitoringiem wykrywa próby ataku i generuje dowód; bez monitoringu — próba trafia do GAP.
| Punkt (węzeł) | Przykładowy wektor RED (ATT&CK) | Kontrola BLUE | Playbook ipIII |
|---|---|---|---|
| Email Gateway | Phishing — T1566 | DMARC/DKIM, sandbox, FIDO2 | phishing |
| VPN / Edge | Exploit public-facing — T1190 | Patch SLA, MFA, geoblok | podatności |
| Tożsamość / AD | Valid accounts — T1078 | PAM, rotacja, impossible travel | ransomware |
| Endpoint | Ingress tool / loader — T1105 | EDR/XDR, allowlisting | ransomware |
| Baza danych | Exfiltration — T1041 | DLP, szyfrowanie, tokenizacja | wyciek danych |
| Backup / Punkt Zero | Inhibit recovery — T1490 | Immutable 3-2-1-1-0, offline | ciągłość |
| Agent AI | Prompt injection / hijack | Tool firewall, sandbox, human approval | agent hijack |
| SIEM / SOC | Impair defenses — T1562 | Redundancja logów, alerty, immutability | response board |
Symulator jest szkieletem dydaktycznym; scenariusze i prawdopodobieństwa są uproszczone i oznaczone SYMULACJA. Prawdziwe metryki cwiczenia zbiera Exercise Board.