K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / civilization / red-team

Red Team — metodyka ofensywna dla obrońców

Warstwa CIVILIZATION opisuje, jak myśli atakujący, żeby obrona mogła to wykryć i zatrzymać. To nie jest arsenał — to model taktyk (ATT&CK), łańcuch zabójczy (Kill Chain) i pętla purple team, spięte 1:1 z playbookami obronnymi ipIII. Wszystko na poziomie governance dla blue teamu banku (systemowo istotnej instytucji finansowej).

exercise-log · staging · NOINDEX. Ta strona to dziennik ćwiczenia (purple team), nie operacja na realnym celu. Cała treść jest oznaczona SYMULACJA i ma charakter metodyczny/edukacyjny dla obrońców. ZAKRES: opisujemy taktyki, techniki i procedury (TTP) na poziomie identyfikatorów i detekcjinie dostarczamy działających payloadów, exploitów, narzędzi ofensywnych ani instrukcji ataku na realny system. Brak podpisanego Rules of Engagement = brak zgody = brak działania na żywym celu. Strona: robots: noindex,nofollow.
Znaj czerwoną stronę, żeby wzmocnić niebieską. Każda technika ma wpisaną detekcję i playbook.

Red team w tym portalu istnieje wyłącznie po to, by walidować obronę. Nie mierzymy „ilu ludzi da się zhakować" — mierzymy, ile technik przeciwnika blue team wykryje, zatrzyma i naprawi. To jest purple teaming: atak i obrona przy jednym stole, z jednym logiem.

PĘTLA PURPLE: ATTACKDETECTRESPONDIMPROVEODPORNOŚĆ

Zasada kanoniczna: RÓJ ≠ REJESTR

Rozdzielamy modelowany potencjał od realnej mocy wykonawczej — tak samo jak reszta portalu rozdziela twierdzenie od dowodu.

Roster ofensywny DANE

W rejestrze (ledger) modelujemy 50 000 specjalistów i profili TTP. To struktura danych/roster, nie żywe agenty. Status: DANE.

Doktryna orkiestracji ROADMAP

Docelowo 5k–10k agentów na cykl i 15× metaGO jako model rojenia. To kierunek, nie stan bieżący. Status: ROADMAP.

Rój wykonawczy LIVE

Realna infra: ok. 16 równolegle, do 1000 na workflow. To liczy się w ćwiczeniu. Status: LIVE. (Analogia: 233 aktywnych LIVE vs 52 549 w rejestrze DANE.)

Zaproszona kohorta PUBLIC_CLAIM

Do ćwiczenia zaproszono ~50 zawodowych pentesterów partnera (systemowo istotnej instytucji finansowej), anonimowo. Status: PUBLIC_CLAIM / PLANNED — bez podpisanego RoE nie nazywamy podmiotu.

MITRE ATT&CK Enterprise — 14 taktyk SYMULACJA

Kręgosłup metodyki to macierz ATT&CK. Poniżej 14 taktyk (kolejność łańcucha), przykładowy identyfikator techniki oraz mapowanie na to, co wykrywa blue team i który playbook ipIII obsługuje reakcję. Identyfikatory technik podajemy jako referencję taktyczną — nie jako instrukcję wykonania.

#Taktyka ATT&CKPrzykład techniki (ID)Sygnał detekcji (blue)Playbook ipIII
1Reconnaissance (TA0043)Active Scanning T1595Anomalie skanów, OSINT na ekspozycję, alerty WAF/IDSPodatności
2Resource Development (TA0042)Acquire Infrastructure T1583Typosquat domen, świeże certy, threat intelPhishing
3Initial Access (TA0001)Phishing T1566, Valid Accounts T1078Anomalie logowań, egzekwowanie MFA, filtr pocztyPhishing
4Execution (TA0002)Command & Scripting T1059EDR na procesy potomne, allow-listing, telemetriaPodatności
5Persistence (TA0003)Scheduled Task T1053, Accounts T1136Audyt kont, monitor zadań, integralność autostartuAgent Security
6Privilege Escalation (TA0004)Exploitation for PrivEsc T1068Anomalie uprawnień, PAM, detekcja nadużyć tokenówPodatności
7Defense Evasion (TA0005)Impair Defenses T1562Alert wyłączenia logów/EDR, integralność SIEMEvidence Board
8Credential Access (TA0006)Brute Force T1110, OS Cred Dumping T1003Lockout, detekcja dostępu do LSASS, honeytokenyWyciek danych
9Discovery (TA0007)Account Discovery T1087Nietypowe zapytania AD/LDAP, honeypotyAgent Security
10Lateral Movement (TA0008)Remote Services T1021Anomalie ruchu wschód-zachód, mikrosegmentacjaRansomware
11Collection (TA0009)Data from Repositories T1213DLP, monitoring dostępu do repo/plikówWyciek danych
12Command & Control (TA0011)Application Layer Protocol T1071Beaconing, analiza DNS, reputacja C2DDoS / sieć
13Exfiltration (TA0010)Exfil Over C2 Channel T1041Wolumen wyjściowy, DLP, egress filteringWyciek danych
14Impact (TA0040)Data Encrypted for Impact T1486Masowe zmiany plików, kopie/DR, canary filesCiągłość

ATT&CK® to znak towarowy The MITRE Corporation. Identyfikatory podane jako standard odniesienia; mapowanie na playbooki jest własne.

Warstwa AI/agentowa — ATLAS & TTP dla agentów SYMULACJA

Dla systemów AI klasyczna macierz nie wystarcza. Uzupełniamy ją o taktyki właściwe agentom (odniesienie: MITRE ATLAS). To domena L2 portalu.

Prompt injection SYMULACJA

Wstrzyknięcie instrukcji przez treść/kanał zewnętrzny. Detekcja: walidacja wejścia, izolacja kontekstu, guardraile. → Playbook prompt injection

Agent hijack SYMULACJA

Przejęcie łańcucha narzędzi / tożsamości agenta. Detekcja: least-privilege tooling, human-in-the-loop dla P0/P1, audyt akcji. → Playbook agent hijack

Data / model poisoning SYMULACJA

Zatrucie danych treningowych lub RAG. Detekcja: prowenansja danych, walidacja źródeł, monitoring dryfu. → Agent Security

Cyber Kill Chain — 7 faz SYMULACJA

Model Lockheed Martin uzupełnia ATT&CK: pokazuje przebieg intruzji jako sekwencję, gdzie każde ogniwo daje szansę przerwania łańcucha (defense-in-depth).

1 Recon2 Weaponization3 Delivery4 Exploitation5 Installation6 C27 Actions on Objectives

1 · Recon

Zbieranie informacji o celu. Kontra: minimalizacja ekspozycji, monitoring OSINT, deception.

2 · Weaponization

Przygotowanie ładunku (poza celem). Kontra: threat intel, sygnatury, sandbox.

3 · Delivery

Dostarczenie (poczta, web, USB, supply chain). Kontra: filtr poczty, WAF, kontrola nośników.

4 · Exploitation

Wykorzystanie podatności. Kontra: patching, hardening, EDR.

5 · Installation

Utrwalenie dostępu. Kontra: allow-listing, integralność, audyt kont.

6 · Command & Control

Kanał sterowania. Kontra: egress filtering, analiza DNS/beacon, segmentacja.

7 · Actions on Objectives

Realizacja celu (exfil, szyfrowanie). Kontra: DLP, kopie/DR, plan ciągłości.

Purple teaming — pętla ATTACK → DETECT → RESPOND → IMPROVE SYMULACJA

Sednem ćwiczenia nie jest „wygrana" red teamu, lecz zamknięcie pętli uczenia obrony. Każdy przebieg produkuje dowody do Evidence Board i aktualizuje playbooki.

1 · ATTACK. Red team emuluje wybraną technikę ATT&CK w zakresie RoE. Log: technika, czas, wektor. Status wpisu: SYMULACJA / exercise-log.
2 · DETECT. Blue team weryfikuje, czy SIEM/EDR/telemetria wygenerowały sygnał. Metryka: wykryto TAK/NIE, czas do wykrycia (TTD).
3 · RESPOND. Uruchomienie właściwego playbooka ipIII. Metryka: MTTA / MTTC, poprawność kroków, human-in-the-loop dla P0/P1.
4 · IMPROVE. Luka wykrycia → nowa reguła detekcji, korekta playbooka, retest. Zamknięcie wymaga dowodu naprawy (claim ≤ proof).

Mapowanie TTP na grupy A–L SYMULACJA

Kanon danych portalu grupuje wektory w grupy A–L z priorytetami P0–P3 i flagami regulacyjnymi. Poniżej TTP mapowane na te grupy — to spina red team z modelem incydentów ipIII.

GrupaDomena TTPTaktyki ATT&CKPriorytetFlagi
ADostęp początkowy / phishingTA0001, TA0042P1NIS2KSC
BRansomware / impactTA0008, TA0040P0NIS2KSC
CKradzież poświadczeń / tożsamośćTA0006, TA0004P0GDPR
DExfiltracja / wyciek danychTA0009, TA0010P0GDPRNIS2
ESupply chain / third-partyTA0042, TA0001P1NIS2
FDDoS / dostępnośćTA0011, TA0040P1NIS2KSC
GPrompt injection (AI)ATLASP1AI_ACT
HAgent hijack (AI)ATLASP0AI_ACT
IData/model poisoning (AI)ATLASP1AI_ACTGDPR
JPersistence / evasionTA0003, TA0005P2KSC
KSocjotechnika / awarenessTA0001P2NIS2
LCiągłość / DR / PQCTA0040P1NIS2KSC

Standardy i ramy odniesienia

MITRE ATT&CK

Wspólny język taktyk i technik. Baza mapowania detekcji i emulacji przeciwnika.

MITRE ATLAS

Rozszerzenie ATT&CK o zagrożenia systemów AI/ML — warstwa L2 portalu.

Cyber Kill Chain

Model 7 faz intruzji (Lockheed Martin) do defense-in-depth.

Purple teaming / BAS

Breach & Attack Simulation jako zautomatyzowana, powtarzalna walidacja detekcji.

TIBER-EU / DORA TLPT

Ramy threat-led dla sektora finansowego — szczegóły na stronie Pentest.

Tabletop

Ćwiczenia sztabowe decyzyjne bez ingerencji w produkcję — komplementarne do BAS.

Granica etyczna. Red team w K0NSULT to instrument obrony. Nie publikujemy działających exploitów, payloadów ani technik omijania detekcji dla celów złośliwych. Emulacja przeciwnika odbywa się wyłącznie w granicach podpisanego RoE, w środowisku ćwiczenia, z pełnym logiem. Dowód > narracja: skuteczność mierzymy wykryciem i naprawą po stronie blue, nie „sukcesem" po stronie red.
Przypomnienie zakresu. Wszystkie scenariusze na tej stronie: SYMULACJA / exercise-log. Roster 50 000 = DANE (rejestr), nie żywe agenty. Rój wykonawczy = LIVE (~16 równolegle / do 1000 na workflow). Kohorta ~50 pentesterów = PUBLIC_CLAIM / PLANNED, anonimowo, bez nazwy podmiotu. Doktryna 5k–10k/cykl, 15× metaGO = ROADMAP.