K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / CIVILIZATION / engagement

Rules of Engagement + rubryka oceny

Kontrakt ćwiczenia atak/obrona: zakres, autoryzacja, bezpieczeństwo, komunikacja i kryteria sukcesu. Bez podpisanego RoE żadne działanie ofensywne — nawet symulowane na uzgodnionym celu — nie startuje. To dokument governance, nie zaproszenie do ataku.

EXERCISE-LOG · STAGING · NOINDEX. Dokument roboczy ćwiczenia w środowisku demonstracyjnym, noindex,nofollow. Ćwiczenie ma status SYMULACJA / PLANNED. RoE nie jest jeszcze podpisany — status GAP. Do czasu podpisu i pisemnej autoryzacji obu stron nie wykonuje się żadnej akcji ofensywnej ani symulowanej. Nazwa podmiotu partnera pozostaje anonimowa (systemowo istotnej instytucji finansowej) do momentu podpisania RoE — brak podpisu = brak dowodu = brak nazwy.
Podpis PRZED działaniem. Bez RoE = brak autoryzacji = brak ćwiczenia.

Kohorta partnera: ~50 pentesterów systemowo istotnej instytucji finansowej, zaproszenie anonimowe, status PUBLIC_CLAIM / PLANNED. Po stronie K0NSULT: modelowany roster 52 549 w rejestrze (status DANE, ledger — nie żywe agenty) oraz wykonawczy rój ograniczony realną infrastrukturą, status LIVE. Zasada kanoniczna: RÓJ ≠ REJESTR.

ŚCIEŻKA: RoE draftPRZEGLĄD PRAWNYPODPIS OBU STRONDECONFLICTIONOKNO CZASOWEĆWICZENIERAPORTCORRECTIVE ACTIONS

1 · Cel ćwiczenia

2 · Zakres (scope)

IN SCOPE uzgodnione

Wyłącznie systemy/segmenty wymienione imiennie w podpisanym RoE. Ćwiczebne konta i dane. Scenariusze BAS-01..05 z warstw L1/L2. Okno czasowe zdefiniowane w §6.

OUT OF SCOPE zakaz

Systemy produkcyjne z realnymi danymi klientów, płatności LIVE, infrastruktura stron trzecich, dostawcy, DoS/DDoS destrukcyjny, fizyczny dostęp, socjotechnika wobec osób spoza zgody, eksfiltracja realnych danych osobowych.

Warunki brzegowe

Zakaz działań mogących spowodować niedostępność usług klientom. Zakaz modyfikacji/kasowania danych. Wszystkie artefakty ćwiczebne oznaczone i usuwalne. Kill-switch po stronie White cell.

3 · Safe harbor / autoryzacja pisemna

Warunek konieczny. RoE musi być podpisany przez upoważnionych przedstawicieli obu stron przed jakimkolwiek działaniem. Dopóki brak podpisu — status całości to GAP, a jakiekolwiek działanie ofensywne jest nieautoryzowane i zakazane. Safe harbor obejmuje wyłącznie działania w granicach podpisanego zakresu i okna czasowego. Wyjście poza zakres unieważnia ochronę i uruchamia natychmiastowy stop.
Element autoryzacjiWymógStatus
Pisemny RoE (podpis obu stron)przed startem, wersjonowanyGAP — brak podpisu
Autoryzacja właściciela systemówimienna zgoda na celGAP
Zakres i wyłączenia (§2)zatwierdzone i podpisaneDRAFT
Klauzula safe harborw treści RoEDRAFT
Zgoda RODO/DPIA na dane ćwiczebnebrak realnych danych osobowychDRAFT
Ubezpieczenie / odpowiedzialnośćuzgodnione w kontrakcieDRAFT

4 · Deconfliction

5 · Kanały komunikacji

Kanał główny

Dedykowany, szyfrowany kanał ćwiczenia (out-of-band względem testowanych systemów). Log rozmów zachowany jako dowód.

Kanał eskalacji

Bezpośrednia linia White ↔ liderzy stron. Uruchamiany przy przekroczeniu zakresu lub incydencie realnym.

Kanał techniczny

Wymiana telemetrii/dowodów purple ↔ blue. Zasilanie Evidence Board i Exercise Board.

6 · Okno czasowe

7 · Role — komórki ćwiczenia (cells)

CellRolaOdpowiedzialność
Whitekontrola / arbiterautoryzacja, deconfliction, kill-switch, rejestr działań, arbitraż sporów, zgodność z RoE
Redofensywa symulowanarealizacja scenariuszy BAS w granicach zakresu; wyłącznie metodyka/TTP w izolowanym środowisku
Bluedetekcja / reakcjawykrywanie, dochodzenie, kontrbudowanie, dostarczanie dowodu każdej detekcji
Purplepomiar / korelacjałączenie akcji red z detekcją blue, scoring, MTTD/MTTR, raport, lessons learned

8 · Zasady eskalacji

  1. Stop-the-exercise: każda strona może zażądać natychmiastowego wstrzymania (słowo-klucz). White potwierdza w <5 min.
  2. Przekroczenie zakresu: automatyczny stop, przegląd, decyzja o wznowieniu tylko po korekcie i akceptacji.
  3. Incydent realny: ćwiczenie zamrożone, przełączenie na produkcyjny playbook reagowania.
  4. Wpływ na klientów/produkcję: bezwarunkowy stop, priorytet przywrócenia usług nad kontynuacją ćwiczenia.

9 · Kryteria sukcesu — rubryka oceny

Rubryka mierzy udowodnioną skuteczność obrony. Wynik z Exercise Board zasila kolumnę „miara".

KryteriumWagaPróg A (wzorowy)Próg C (do korekty)Miara / dowód
Pokrycie detekcji (ATT&CK)25%≥ 90% technik wykrytych50–69%tablica rund + telemetria
MTTD (czas do wykrycia)20%mediana ≤ 15 min P0≤ 60 minznaczniki czasu SIEM/EDR
MTTR (czas do reakcji)20%mediana ≤ 20 min P0≤ 90 minticket + log akcji blue
Kompletność dowodów20%100% detekcji z dowodem≥ 60%Evidence Board
Brak GAP w zamknięciach10%0 zamknięć bez dowodu≤ 2rejestr zamknięć
Zgodność z playbookami5%reakcja wg proceduryczęściowamapowanie runda → playbook

10 · Jak K0NSULT „się wykazuje" (metryka → dowód)

DeklaracjaDowód wymaganyStatus
„Wykryliśmy technikę X"log SIEM / alert EDR z sygnaturą i czasemSYMULACJA
„Zareagowaliśmy w Y min"ticket reakcji + timestamp akcji containmentSYMULACJA
„Zamknęliśmy incydent"dowód naprawy (patch/izolacja/rotacja) — bez GAPSYMULACJA
„Roster 50 000 specjalistów"ledger rejestru — DANE, nie żywe agentyDANE
„Rój wykonawczy działa"ok. 16 równolegle / do 1000 na workflow — realna infraLIVE
„5k/10k agentów na cykl, 15× metaGO"doktryna orkiestracji, nie stan bieżącyROADMAP
„Zaproszono ~50 pentesterów partnera"RoE podpisany — dopiero wtedy nazwa i liczba potwierdzonePLANNED

11 · Po ćwiczeniu

Raport

Hotwash w 24 h + raport pełny: przebieg rund, scoring, MTTD/MTTR, mapa pokrycia ATT&CK, wykaz GAP z dowodem.

Lessons learned

Wnioski blue/red/purple, luki telemetrii, brakujące reguły detekcji, słabe punkty procedur.

Corrective actions

Lista działań naprawczych z właścicielem, terminem i kryterium domknięcia dowodowego. Retest wybranych GAP.

Czyszczenie

Usunięcie artefaktów ćwiczebnych, rotacja kont testowych, potwierdzenie przywrócenia stanu wyjściowego.

12 · Checklist gotowości

[ ] RoE podpisany przez obie strony GAP
[ ] Autoryzacja właściciela systemów (imienna) GAP
[ ] Zakres in/out potwierdzony i wersjonowany DRAFT
[ ] Safe harbor w treści RoE DRAFT
[ ] Sygnał deconfliction ustalony DRAFT
[ ] Okno czasowe + blackout windows uzgodnione DRAFT
[ ] Kanały komunikacji (główny/eskalacja/techniczny) uruchomione DRAFT
[ ] Role cell (White/Red/Blue/Purple) obsadzone DRAFT
[ ] Rubryka oceny zaakceptowana przez obie strony DRAFT
[ ] Środowisko izolowane + kill-switch przetestowany DRAFT
[ ] Zgoda RODO/DPIA (brak realnych danych osobowych) DRAFT
Zasada nadrzędna. Ćwiczenie nie rusza z otwartym GAP w checklist gotowości — tak jak portal nie zamyka incydentu bez dowodu. Nazwa podmiotu partnera pojawi się dopiero po podpisanym RoE; do tego czasu obowiązuje anonimowość (systemowo istotnej instytucji finansowej). To nie formalność — to ta sama waluta zaufania: claim ≤ proof.
Powiązania. Metodyka opiera się na uznanych ramach: TIBER-EU, DORA TLPT (threat-led penetration testing), PTES, OWASP WSTG/Top10, MITRE ATT&CK, Cyber Kill Chain, tabletop/BAS. Powiązane strony: Red team · Pentest · Exercise Board · Agent Security · Compliance · Banking demo · Evidence Board.