Warstwa CIVILIZATION opisuje, jak myśli atakujący, żeby obrona mogła to wykryć i zatrzymać. To nie jest arsenał — to model taktyk (ATT&CK), łańcuch zabójczy (Kill Chain) i pętla purple team, spięte 1:1 z playbookami obronnymi ipIII. Wszystko na poziomie governance dla blue teamu banku (systemowo istotnej instytucji finansowej).
Rules of Engagement = brak zgody = brak działania na żywym celu. Strona: robots: noindex,nofollow.
Red team w tym portalu istnieje wyłącznie po to, by walidować obronę. Nie mierzymy „ilu ludzi da się zhakować" — mierzymy, ile technik przeciwnika blue team wykryje, zatrzyma i naprawi. To jest purple teaming: atak i obrona przy jednym stole, z jednym logiem.
Rozdzielamy modelowany potencjał od realnej mocy wykonawczej — tak samo jak reszta portalu rozdziela twierdzenie od dowodu.
W rejestrze (ledger) modelujemy 50 000 specjalistów i profili TTP. To struktura danych/roster, nie żywe agenty. Status: DANE.
Docelowo 5k–10k agentów na cykl i 15× metaGO jako model rojenia. To kierunek, nie stan bieżący. Status: ROADMAP.
Realna infra: ok. 16 równolegle, do 1000 na workflow. To liczy się w ćwiczeniu. Status: LIVE. (Analogia: 233 aktywnych LIVE vs 52 549 w rejestrze DANE.)
Do ćwiczenia zaproszono ~50 zawodowych pentesterów partnera (systemowo istotnej instytucji finansowej), anonimowo. Status: PUBLIC_CLAIM / PLANNED — bez podpisanego RoE nie nazywamy podmiotu.
Kręgosłup metodyki to macierz ATT&CK. Poniżej 14 taktyk (kolejność łańcucha), przykładowy identyfikator techniki oraz mapowanie na to, co wykrywa blue team i który playbook ipIII obsługuje reakcję. Identyfikatory technik podajemy jako referencję taktyczną — nie jako instrukcję wykonania.
| # | Taktyka ATT&CK | Przykład techniki (ID) | Sygnał detekcji (blue) | Playbook ipIII |
|---|---|---|---|---|
| 1 | Reconnaissance (TA0043) | Active Scanning T1595 | Anomalie skanów, OSINT na ekspozycję, alerty WAF/IDS | Podatności |
| 2 | Resource Development (TA0042) | Acquire Infrastructure T1583 | Typosquat domen, świeże certy, threat intel | Phishing |
| 3 | Initial Access (TA0001) | Phishing T1566, Valid Accounts T1078 | Anomalie logowań, egzekwowanie MFA, filtr poczty | Phishing |
| 4 | Execution (TA0002) | Command & Scripting T1059 | EDR na procesy potomne, allow-listing, telemetria | Podatności |
| 5 | Persistence (TA0003) | Scheduled Task T1053, Accounts T1136 | Audyt kont, monitor zadań, integralność autostartu | Agent Security |
| 6 | Privilege Escalation (TA0004) | Exploitation for PrivEsc T1068 | Anomalie uprawnień, PAM, detekcja nadużyć tokenów | Podatności |
| 7 | Defense Evasion (TA0005) | Impair Defenses T1562 | Alert wyłączenia logów/EDR, integralność SIEM | Evidence Board |
| 8 | Credential Access (TA0006) | Brute Force T1110, OS Cred Dumping T1003 | Lockout, detekcja dostępu do LSASS, honeytokeny | Wyciek danych |
| 9 | Discovery (TA0007) | Account Discovery T1087 | Nietypowe zapytania AD/LDAP, honeypoty | Agent Security |
| 10 | Lateral Movement (TA0008) | Remote Services T1021 | Anomalie ruchu wschód-zachód, mikrosegmentacja | Ransomware |
| 11 | Collection (TA0009) | Data from Repositories T1213 | DLP, monitoring dostępu do repo/plików | Wyciek danych |
| 12 | Command & Control (TA0011) | Application Layer Protocol T1071 | Beaconing, analiza DNS, reputacja C2 | DDoS / sieć |
| 13 | Exfiltration (TA0010) | Exfil Over C2 Channel T1041 | Wolumen wyjściowy, DLP, egress filtering | Wyciek danych |
| 14 | Impact (TA0040) | Data Encrypted for Impact T1486 | Masowe zmiany plików, kopie/DR, canary files | Ciągłość |
ATT&CK® to znak towarowy The MITRE Corporation. Identyfikatory podane jako standard odniesienia; mapowanie na playbooki jest własne.
Dla systemów AI klasyczna macierz nie wystarcza. Uzupełniamy ją o taktyki właściwe agentom (odniesienie: MITRE ATLAS). To domena L2 portalu.
Wstrzyknięcie instrukcji przez treść/kanał zewnętrzny. Detekcja: walidacja wejścia, izolacja kontekstu, guardraile. → Playbook prompt injection
Przejęcie łańcucha narzędzi / tożsamości agenta. Detekcja: least-privilege tooling, human-in-the-loop dla P0/P1, audyt akcji. → Playbook agent hijack
Zatrucie danych treningowych lub RAG. Detekcja: prowenansja danych, walidacja źródeł, monitoring dryfu. → Agent Security
Model Lockheed Martin uzupełnia ATT&CK: pokazuje przebieg intruzji jako sekwencję, gdzie każde ogniwo daje szansę przerwania łańcucha (defense-in-depth).
Zbieranie informacji o celu. Kontra: minimalizacja ekspozycji, monitoring OSINT, deception.
Przygotowanie ładunku (poza celem). Kontra: threat intel, sygnatury, sandbox.
Dostarczenie (poczta, web, USB, supply chain). Kontra: filtr poczty, WAF, kontrola nośników.
Wykorzystanie podatności. Kontra: patching, hardening, EDR.
Utrwalenie dostępu. Kontra: allow-listing, integralność, audyt kont.
Kanał sterowania. Kontra: egress filtering, analiza DNS/beacon, segmentacja.
Realizacja celu (exfil, szyfrowanie). Kontra: DLP, kopie/DR, plan ciągłości.
Sednem ćwiczenia nie jest „wygrana" red teamu, lecz zamknięcie pętli uczenia obrony. Każdy przebieg produkuje dowody do Evidence Board i aktualizuje playbooki.
Kanon danych portalu grupuje wektory w grupy A–L z priorytetami P0–P3 i flagami regulacyjnymi. Poniżej TTP mapowane na te grupy — to spina red team z modelem incydentów ipIII.
| Grupa | Domena TTP | Taktyki ATT&CK | Priorytet | Flagi |
|---|---|---|---|---|
| A | Dostęp początkowy / phishing | TA0001, TA0042 | P1 | NIS2KSC |
| B | Ransomware / impact | TA0008, TA0040 | P0 | NIS2KSC |
| C | Kradzież poświadczeń / tożsamość | TA0006, TA0004 | P0 | GDPR |
| D | Exfiltracja / wyciek danych | TA0009, TA0010 | P0 | GDPRNIS2 |
| E | Supply chain / third-party | TA0042, TA0001 | P1 | NIS2 |
| F | DDoS / dostępność | TA0011, TA0040 | P1 | NIS2KSC |
| G | Prompt injection (AI) | ATLAS | P1 | AI_ACT |
| H | Agent hijack (AI) | ATLAS | P0 | AI_ACT |
| I | Data/model poisoning (AI) | ATLAS | P1 | AI_ACTGDPR |
| J | Persistence / evasion | TA0003, TA0005 | P2 | KSC |
| K | Socjotechnika / awareness | TA0001 | P2 | NIS2 |
| L | Ciągłość / DR / PQC | TA0040 | P1 | NIS2KSC |
Wspólny język taktyk i technik. Baza mapowania detekcji i emulacji przeciwnika.
Rozszerzenie ATT&CK o zagrożenia systemów AI/ML — warstwa L2 portalu.
Model 7 faz intruzji (Lockheed Martin) do defense-in-depth.
Breach & Attack Simulation jako zautomatyzowana, powtarzalna walidacja detekcji.
Ramy threat-led dla sektora finansowego — szczegóły na stronie Pentest.
Ćwiczenia sztabowe decyzyjne bez ingerencji w produkcję — komplementarne do BAS.