Kontrakt ćwiczenia atak/obrona: zakres, autoryzacja, bezpieczeństwo, komunikacja i kryteria sukcesu. Bez podpisanego RoE żadne działanie ofensywne — nawet symulowane na uzgodnionym celu — nie startuje. To dokument governance, nie zaproszenie do ataku.
noindex,nofollow. Ćwiczenie ma status SYMULACJA / PLANNED. RoE nie jest jeszcze podpisany — status GAP. Do czasu podpisu i pisemnej autoryzacji obu stron nie wykonuje się żadnej akcji ofensywnej ani symulowanej. Nazwa podmiotu partnera pozostaje anonimowa (systemowo istotnej instytucji finansowej) do momentu podpisania RoE — brak podpisu = brak dowodu = brak nazwy.
Kohorta partnera: ~50 pentesterów systemowo istotnej instytucji finansowej, zaproszenie anonimowe, status PUBLIC_CLAIM / PLANNED. Po stronie K0NSULT: modelowany roster 52 549 w rejestrze (status DANE, ledger — nie żywe agenty) oraz wykonawczy rój ograniczony realną infrastrukturą, status LIVE. Zasada kanoniczna: RÓJ ≠ REJESTR.
Wyłącznie systemy/segmenty wymienione imiennie w podpisanym RoE. Ćwiczebne konta i dane. Scenariusze BAS-01..05 z warstw L1/L2. Okno czasowe zdefiniowane w §6.
Systemy produkcyjne z realnymi danymi klientów, płatności LIVE, infrastruktura stron trzecich, dostawcy, DoS/DDoS destrukcyjny, fizyczny dostęp, socjotechnika wobec osób spoza zgody, eksfiltracja realnych danych osobowych.
Zakaz działań mogących spowodować niedostępność usług klientom. Zakaz modyfikacji/kasowania danych. Wszystkie artefakty ćwiczebne oznaczone i usuwalne. Kill-switch po stronie White cell.
| Element autoryzacji | Wymóg | Status |
|---|---|---|
| Pisemny RoE (podpis obu stron) | przed startem, wersjonowany | GAP — brak podpisu |
| Autoryzacja właściciela systemów | imienna zgoda na cel | GAP |
| Zakres i wyłączenia (§2) | zatwierdzone i podpisane | DRAFT |
| Klauzula safe harbor | w treści RoE | DRAFT |
| Zgoda RODO/DPIA na dane ćwiczebne | brak realnych danych osobowych | DRAFT |
| Ubezpieczenie / odpowiedzialność | uzgodnione w kontrakcie | DRAFT |
Dedykowany, szyfrowany kanał ćwiczenia (out-of-band względem testowanych systemów). Log rozmów zachowany jako dowód.
Bezpośrednia linia White ↔ liderzy stron. Uruchamiany przy przekroczeniu zakresu lub incydencie realnym.
Wymiana telemetrii/dowodów purple ↔ blue. Zasilanie Evidence Board i Exercise Board.
| Cell | Rola | Odpowiedzialność |
|---|---|---|
| White | kontrola / arbiter | autoryzacja, deconfliction, kill-switch, rejestr działań, arbitraż sporów, zgodność z RoE |
| Red | ofensywa symulowana | realizacja scenariuszy BAS w granicach zakresu; wyłącznie metodyka/TTP w izolowanym środowisku |
| Blue | detekcja / reakcja | wykrywanie, dochodzenie, kontrbudowanie, dostarczanie dowodu każdej detekcji |
| Purple | pomiar / korelacja | łączenie akcji red z detekcją blue, scoring, MTTD/MTTR, raport, lessons learned |
Rubryka mierzy udowodnioną skuteczność obrony. Wynik z Exercise Board zasila kolumnę „miara".
| Kryterium | Waga | Próg A (wzorowy) | Próg C (do korekty) | Miara / dowód |
|---|---|---|---|---|
| Pokrycie detekcji (ATT&CK) | 25% | ≥ 90% technik wykrytych | 50–69% | tablica rund + telemetria |
| MTTD (czas do wykrycia) | 20% | mediana ≤ 15 min P0 | ≤ 60 min | znaczniki czasu SIEM/EDR |
| MTTR (czas do reakcji) | 20% | mediana ≤ 20 min P0 | ≤ 90 min | ticket + log akcji blue |
| Kompletność dowodów | 20% | 100% detekcji z dowodem | ≥ 60% | Evidence Board |
| Brak GAP w zamknięciach | 10% | 0 zamknięć bez dowodu | ≤ 2 | rejestr zamknięć |
| Zgodność z playbookami | 5% | reakcja wg procedury | częściowa | mapowanie runda → playbook |
| Deklaracja | Dowód wymagany | Status |
|---|---|---|
| „Wykryliśmy technikę X" | log SIEM / alert EDR z sygnaturą i czasem | SYMULACJA |
| „Zareagowaliśmy w Y min" | ticket reakcji + timestamp akcji containment | SYMULACJA |
| „Zamknęliśmy incydent" | dowód naprawy (patch/izolacja/rotacja) — bez GAP | SYMULACJA |
| „Roster 50 000 specjalistów" | ledger rejestru — DANE, nie żywe agenty | DANE |
| „Rój wykonawczy działa" | ok. 16 równolegle / do 1000 na workflow — realna infra | LIVE |
| „5k/10k agentów na cykl, 15× metaGO" | doktryna orkiestracji, nie stan bieżący | ROADMAP |
| „Zaproszono ~50 pentesterów partnera" | RoE podpisany — dopiero wtedy nazwa i liczba potwierdzone | PLANNED |
Hotwash w 24 h + raport pełny: przebieg rund, scoring, MTTD/MTTR, mapa pokrycia ATT&CK, wykaz GAP z dowodem.
Wnioski blue/red/purple, luki telemetrii, brakujące reguły detekcji, słabe punkty procedur.
Lista działań naprawczych z właścicielem, terminem i kryterium domknięcia dowodowego. Retest wybranych GAP.
Usunięcie artefaktów ćwiczebnych, rotacja kont testowych, potwierdzenie przywrócenia stanu wyjściowego.