Red team kontra blue team: ćwiczenia cyber-obrony dla organizacji wojskowych

Autor: Zespół inżynierów Corvus Intelligence · O zespole →

4 czerwca 2026 9 min czytania

Każdy dowódca cyber w końcu staje przed tym samym niewygodnym pytaniem po audycie bezpieczeństwa: gdyby adversarz państwowy działał w waszych sieciach przez ostatnie sześć miesięcy, czy analitycy SOC by go wykryli? Uczciwa odpowiedź dla większości organizacji wojskowych brzmi: prawdopodobnie nie — nie dlatego, że obrońcy są niekompetentni, ale dlatego, że sklasyfikowane sieci są złożone, wymagania dotyczące ciągłości operacyjnej ograniczają agresywne narzędzia obronne, a techniki aktorów zagrożeń ewoluowały daleko poza to, co samo wykrywanie oparte na sygnaturach może wychwycić. Ćwiczenia red team/blue team istnieją po to, by odpowiedzieć na to pytanie, zanim zrobi to adversarz. Są jednymi z najbardziej opłacalnych inwestycji, jakie może poczynić wojskowa organizacja cyber — i jednymi z najgorzej realizowanych, gdy brakuje dyscypliny planowania.

Artykuł ten obejmuje pełny łuk wojskowego ćwiczenia cyber: dlaczego sieci obronne stawiają unikalne wyzwania, jak ustrukturyzować typy ćwiczeń wzdłuż kontinuum dojrzałości, jak obsadzać i ograniczać role red i blue team, jakiej infrastruktury technicznej wymaga skuteczne ćwiczenie oraz jak wydobyć użyteczne ulepszenia z przeglądu po działaniu. Wielodomenowa platforma ćwiczeń WARG wspiera integrację zdarzeń domeny cyber w szersze planowanie wspólnych ćwiczeń — zdolność omówiona w ostatniej sekcji.

Dlaczego wojskowe ćwiczenia cyber różnią się od komercyjnych

Zasady testowania red team/blue team mają zastosowanie w różnych sektorach, ale sieci wojskowe wprowadzają ograniczenia i wymagania, które nie mają komercyjnego odpowiednika. Zrozumienie tych różnic jest warunkiem koniecznym do zaprojektowania ćwiczenia, które produkuje użyteczne dane szkoleniowe, a nie inscenizowaną demonstrację.

Architektura sklasyfikowanej sieci. Sieci wojskowe obejmują wiele poziomów klasyfikacji — od niesklasyfikowanych systemów administracyjnych przez enklawy tajne i wyższe — a granice między nimi są same w sobie celami o wysokiej wartości. Red team emulujący zaawansowane trwałe zagrożenie nie próbuje po prostu eksfiltrować danych; może próbować transferu między domenami, który wykorzystuje błędnie skonfigurowaną diodę danych lub słabo zaimplementowane rozwiązanie cross-domain. Ćwiczenia operujące wyłącznie na niesklasyfikowanych poligonach mogą przeoczyć najbardziej operacyjnie istotne ścieżki ataku.

Wymagania dotyczące ciągłości operacyjnej. Komercyjny tester penetracyjny może wyłączyć aplikację webową na godzinę bez katastrofalnych konsekwencji. Red team operujący w sieci wspierającej aktywne dowodzenie i kontrolę nie może przerywać ruchu operacyjnego bez wpływu na misję, który wykracza daleko poza ćwiczenie. To ograniczenie wymusza kompromis: ćwiczenia w sieciach zbliżonych do produkcyjnych są bardziej realistyczne, ale niosą rzeczywiste ryzyko operacyjne; ćwiczenia na izolowanych poligonach cyber są bezpieczniejsze, ale mogą nie ujawnić rzeczywistych luk defensywnych w systemach operacyjnych. Doświadczeni projektanci ćwiczeń rozwiązują to podejściem warstwowym — ćwiczenia na izolowanych poligonach do walidacji technik, ćwiczenia o ograniczonym zakresie w środowiskach zbliżonych do produkcyjnych do realistycznego testowania środowiskowego.

OPSEC podczas samego ćwiczenia. Istnienie ćwiczenia red team jest operacyjnie wrażliwą informacją. Adversarz, który dowie się, że jednostka prowadzi wewnętrzne testy, może dostosować czas działania, by uniknąć okna ćwiczenia, lub może próbować wmieszać prawdziwą działalność intruzyjną w szum ćwiczenia. Planowanie ćwiczenia i komunikacja powinna być obsługiwana na odpowiednich poziomach klasyfikacji, a krąg personelu znającego harmonogram ćwiczenia powinien być minimalizowany — szczególnie spośród personelu blue team, którego szkolenie wykrywania wymaga prawdziwej niepewności co do tego, czy obserwowana działalność jest generowana przez ćwiczenie czy realna.

Uprawnienia prawne dla technik ofensywnych. Operatorzy red team używający ofensywnych narzędzi cyber przeciwko sieciom wojskowym wymagają wyraźnej pisemnej autoryzacji, która nie istnieje domyślnie. Ustawa Computer Fraud and Abuse Act w Stanach Zjednoczonych i równoważne przepisy w krajach sojuszniczych tworzą odpowiedzialność karną za nieautoryzowany dostęp do komputera, niezależnie od przynależności aktora. Ustanowienie właściwej autoryzacji prawnej — dokumentów autoryzacji dowódczej, zasad zaangażowania i listów gwarancyjnych — przed rozpoczęciem jakiejkolwiek działalności red team nie jest biurokratycznym obciążeniem; jest podstawą, która sprawia, że ćwiczenie jest prawnie uzasadnione.

Typy ćwiczeń wzdłuż kontinuum dojrzałości

Wojskowe ćwiczenia cyber obejmują zakres od niskokosztowych dyskusji tabelowych po pełne symulacje live-fire na dedykowanej infrastrukturze poligonowej. Organizacje o różnych poziomach dojrzałości korzystają z różnych typów ćwiczeń, a progresja od tabelowego do live-fire jest sama w sobie ustrukturyzowaną ścieżką rozwoju.

Ćwiczenia tabelowe gromadzą zespół reagowania na incydenty w celu omówienia scenariusza bez żywej działalności technicznej. Facylitator przedstawia scenariusz — „otrzymałeś alert, że endpoint w sieci dowodzenia zainicjował nietypowy wzorzec zapytań DNS wychodzących; co robisz?" — i zespół omawia swój proces reagowania. Ćwiczenia tabelowe są niedrogie, nie wymagają infrastruktury technicznej i są bardzo skuteczne w ujawnianiu luk procesowych: brakujące procedury eskalacji, niezdefiniowane role, niejasności w podejmowaniu decyzji i awarie komunikacji między SOC a dowódcą incydentu. Nie produkują danych o tym, czy narzędzia wykrywania faktycznie działają, ale ujawniają, czy zespół wie, jak je używać.

Pełne ćwiczenia symulacyjne obejmują ludzki red team aktywnie operujący przeciwko środowisku docelowemu, podczas gdy blue team broni się w czasie rzeczywistym. Red team używa prawdziwych ofensywnych narzędzi i technik; blue team używa swoich operacyjnych narzędzi wykrywania i reagowania. Ćwiczenia te są szkoleniem o najwyższej wierności, krótkim od odpowiedzi na rzeczywiste włamania, i są jedynym typem ćwiczenia, który produkuje realistyczne wskaźniki MTTD i MTTR. Wymagają największego planowania, największej infrastruktury technicznej i najbardziej rygorystycznej dokumentacji autoryzacji prawnej.

Live-fire na sieciach poligonowych wykorzystuje dedykowany poligon cyber — izolowane środowisko sieciowe odzwierciedlające architekturę produkcyjną bez przenoszenia ruchu operacyjnego — jako środowisko ćwiczenia. Takie podejście zachowuje ciągłość operacyjną, pozwalając red team używać pełnego spektrum autoryzowanych technik, w tym tych, które spowodowałyby zakłócenie usług w sieci produkcyjnej. Poligony cyber mogą być on-premise, hostowane w chmurze lub zapewniane przez organizacje szkoleniowe na poziomie krajowym. Inwestycja w infrastrukturę poligonową jest znaczna, ale amortyzowalna w wielu ćwiczeniach rocznie.

Ćwiczenia koalicyjne (w stylu CWIX) obejmują wiele krajów sojuszniczych operujących razem we wspólnym środowisku ćwiczeniowym. Model Cyber Warfare Interoperability eXercise (CWIX) pozwala uczestniczącym narodom testować nie tylko swoje wewnętrzne zdolności obronne, ale także zdolność do dzielenia się analizą zagrożeń i koordynowania reagowania na incydenty przez granice narodowe i organizacyjne. Ćwiczenia te ujawniają luki w interoperacyjności — niezgodne systemy zgłoszeń, niezgodne formaty udostępniania wskaźników, bariery językowe i terminologiczne w reagowaniu na incydenty w wysokim tempie — których wewnętrzne ćwiczenia nie mogą ujawnić.

Kluczowa obserwacja: Najczęstszym błędem w wojskowych programach ćwiczeń cyber jest próba przeprowadzenia ćwiczenia live red team przed ustanowieniem fundamentu tabelowego i procesowego. Blue team, który nigdy nie omówił swoich procedur reagowania na incydenty w ćwiczeniu tabelowym, spędzi ćwiczenie na żywo odkrywając luki procesowe zamiast szkolić umiejętności wykrywania i reagowania. Progresja dojrzałości — najpierw tabelowe, potem symulacja, na końcu live-fire — nie jest opcjonalna.

Struktura red team i emulacja aktora zagrożeń

Wartość ćwiczenia red team jest wprost proporcjonalna do tego, jak dokładnie red team emuluje rzeczywiste zagrożenie. Red team, który używa technik sprzed pięciu lat lub operuje bardziej hałaśliwie niż prawdziwy APT z powodu braku warsztatu do subtelności, produkuje dane szkoleniowe, które nie przygotowują blue team na zagrożenie, z którym rzeczywiście się zmierzy. Skuteczne wojskowe red teamy są zbudowane wokół emulacji konkretnego aktora zagrożeń, a nie generycznych testów penetracyjnych.

Dla sieci wojskowych w kontekście NATO i Five Eyes najbardziej operacyjnie istotne aktory zagrożeń to grupy państwowe z udokumentowaną zdolnością włamania do sieci wojskowych. APT28 (Fancy Bear, przypisywany jednostce GRU 26165) ma udokumentowaną historię atakowania sieci wojskowych i rządowych przy użyciu spear-phishingu, kradzieży danych uwierzytelniających i technik living-off-the-land, które minimalizują ślad widoczny dla wykrywania endpoint. APT29 (Cozy Bear, przypisywany SVR) działa z dłuższym czasem przebywania i bardziej cierpliwym tempem operacyjnym, często utrzymując dostęp przez miesiące przed realizacją celu misji. Red teamy emulujące tych aktorów powinny operować z ich udokumentowanych podręczników TTP, używając MITRE ATT&CK jako ramy organizacyjnej.

Techniki living-off-the-land (LotL) są szczególnie ważne do emulacji, ponieważ reprezentują wyzwanie wykrywania, które pokonuje większość obron opartych na sygnaturach. Red team, który używa wyłącznie frameworków exploitów open-source, generuje alerty, które każdy komercyjny produkt EDR wychwyci; red team, który używa wbudowanych narzędzi administracyjnych Windows (PowerShell, WMI, PsExec, zaplanowane zadania) do wykonywania ruchu bocznego, operuje w tym samym sposób odpornym na wykrywanie co zaawansowany aktor państwowy. Zdolność blue team do odróżnienia złośliwego użycia legalnych narzędzi od rutynowej działalności administracyjnej jest podstawową kompetencją, którą dobrze zaprojektowane ćwiczenie rozwija.

Infrastruktura command and control (C2) powinna być budowana celowo dla ćwiczenia, a nie ponownie używać komercyjnych frameworków testów penetracyjnych, które są intensywnie sygnowane przez produkty bezpieczeństwa sieciowego. Tunelowanie DNS, beaconing HTTPS do infrastruktury domain-fronted i ukryte kanały przez dozwolone protokoły (ICMP, legalne API przechowywania w chmurze) reprezentują techniki C2, których używają operacyjne red teamy. Opcje narzędzi obejmują CALDERA do automatycznego wykonania TTP i Cobalt Strike lub Havoc do ręcznych operacji C2 przez operatorów red team z odpowiednim szkoleniem i autoryzacją.

Role blue team i struktura SOC podczas ćwiczenia

Blue team nie jest jednorodną grupą podczas ćwiczenia cyber — składa się z odrębnych ról, które muszą koordynować się pod presją czasową. Ćwiczenia, które nie definiują tych ról wyraźnie, produkują zdezorientowane odpowiedzi, gdzie wielu analityków duplikuje pracę lub krytyczne decyzje czekają na autorytet, o którym nikt nie wie, że go posiada.

Analitycy SOC (poziom 1 i 2) są warstwą wykrywania. Ich cel szkolenia ćwiczeniowego polega na dokładnym klasyfikowaniu alertów, szybkim eskalowaniu potwierdzonej podejrzanej aktywności i nieodrzucaniu prawdziwych wskaźników kompromitacji jako fałszywych alarmów. Ćwiczenie powinno generować realistyczny wolumen alertów — nie tylko działalność red team, ale symulowany szum tła z rutynowych zdarzeń sieciowych — aby szkolić analityków w warunkach przybliżonych do obciążenia operacyjnego.

Dowódca incydentu posiada uprawnienia decyzyjne podczas zadeklarowanego incydentu. Jego cel szkolenia ćwiczeniowego polega na podejmowaniu właściwych decyzji klasyfikacyjnych przy niekompletnych informacjach: kiedy uruchomić procedury powstrzymywania, które spowodują zakłócenie usług, kiedy pozwolić na dalszą działalność adversarialną w celach zbierania wywiadu i kiedy eskalować do autorytetu dowódczego. Dowódcy incydentów, którzy nigdy nie ćwiczyli tych decyzji w symulowanym środowisku, niezawodnie podejmują suboptymalnych decyzji pod obciążeniem kognitywnym prawdziwego incydentu.

Zespół kryminalistyczny rekonstruuje harmonogramy ataków po powstrzymaniu. Ich cel szkolenia ćwiczeniowego polega na sporządzeniu dokładnego harmonogramu na podstawie dostępnych danych dziennika w zdefiniowanym przedziale czasowym. Jakość rekonstrukcji kryminalistycznej — czy prawidłowo identyfikują wektor wstępnego dostępu, pełny zakres ruchu bocznego i dane, do których uzyskano dostęp — jest bezpośrednią miarą zdolności organizacji do przeprowadzenia remediacji po incydencie, a nie tylko zamknięcia biletu incydentu.

Kluczowa obserwacja: Rola dowódcy incydentu jest najbardziej niedoszkolowaną pozycją w większości wojskowych struktur SOC. Analitycy SOC otrzymują regularne szkolenia techniczne; dowódcy incydentów rzadko ćwiczą podejmowanie decyzji pod symulowaną presją incydentową. Ćwiczenie cyber, które jednocześnie obsadza wszystkie trzy role blue team — analityk, dowódca incydentu, kryminalistyka — produkuje znacznie więcej wartości szkoleniowej niż takie, które skupia się wyłącznie na warstwie wykrywania.

Purple team dla ciągłego doskonalenia

Tradycyjny model adversarialny red-vs-blue produkuje wynik binarny: albo blue team wykrył technikę, albo nie. Purple teaming modyfikuje ten model, aby produkować ciągłe, kolaboracyjne doskonalenie zamiast pojedynczego zdarzenia pomiarowego. W ćwiczeniu purple team, członkowie red i blue team pracują razem — red team wykonuje konkretną technikę, blue team próbuje ją wykryć, a oba zespoły natychmiast omawiają, jakie dane dziennika zostały wygenerowane, jaka reguła wykrywania by ją wychwycił i jakie zmiany są potrzebne w stosie wykrywania. Ten proces jest iterowany w całym katalogu TTP.

Purple teaming nie zastępuje adversarialnych ćwiczeń red team — wartość szkoleniowa operowania w prawdziwej niepewności bez wiedzy, jakie techniki zostaną użyte, jest niezastąpiona dla rozwoju blue team. Purple teaming to uzupełnienie, które buduje zdolności inżynierii wykrywania szybciej niż same ćwiczenia adversarialne. Harmonogram dla większości organizacji wojskowych powinien być: adversarialne ćwiczenie red team rocznie, warsztaty purple team kwartalnie, ciągła automatyczna emulacja adversarialna przy użyciu CALDERA w sieciach poligonowych jako stała działalność w tle.

Infrastruktura techniczna do wojskowych ćwiczeń cyber

Wymaganie infrastruktury technicznej dla wojskowego ćwiczenia cyber skaluje się z typem ćwiczenia. Ćwiczenia tabelowe wymagają tylko sali konferencyjnej i dokumentu ze scenariuszem. Pełne ćwiczenia symulacyjne na izolowanym poligonie cyber wymagają infrastruktury sieciowej, platform wirtualizacji, agregacji rejestrowania i narzędzi, które reprezentują znaczną, ale jednorazową inwestycję.

Poligon cyber powinien odzwierciedlać architekturę sieci produkcyjnej jak najdokładniej — te same wersje systemu operacyjnego, ten sam model segmentacji sieci, te same narzędzia bezpieczeństwa — ponieważ luki wykrywania, które istnieją na poligonie, prawie na pewno istnieją w sieci produkcyjnej. Poligony zbudowane na ogólnych szablonach, a nie klonach produkcyjnych, produkują wyniki ćwiczeń, które nie przekładają się na operacyjne ulepszenia obronne. Poligony cyber hostowane w chmurze (Azure Government, AWS GovCloud) znacznie obniżyły koszt infrastruktury wdrożenia poligonu, ale wysiłek konfiguracji dokładnego modelowania architektury produkcyjnej pozostaje znaczny.

Narzędzia do symulacji ataków dla red team powinny obejmować: CALDERA do automatycznego wykonania TTP i łańcuchowania scenariuszy; Atomic Red Team do walidacji indywidualnej techniki przeciwko stosowi wykrywania; oraz odpowiednie frameworki C2 autoryzowane dla zakresu ćwiczenia. MITRE ATT&CK Navigator zapewnia wizualną mapę pokrycia — nakładającą techniki uwzględnione w scenariuszu ćwiczenia na techniki z potwierdzonym pokryciem wykrywania — która jest najbardziej użytecznym artefaktem planowania zarówno do projektowania scenariuszy red team, jak i śledzenia remediacji po ćwiczeniu.

Konfiguracja rejestrowania i SIEM jest najczęstszym punktem awarii infrastruktury ćwiczenia. Ćwiczenia, które nie generują użytecznych danych wykrywania, ponieważ źródła dzienników nie zasilały SIEM lub okresy przechowywania były zbyt krótkie do obsługi kryminalistycznej rekonstrukcji po ćwiczeniu, nie produkują wartości szkoleniowej niezależnie od tego, jak dobrze red team wykonał swoje zadanie. Sprawdź pokrycie źródeł dzienników przed rozpoczęciem ćwiczenia, a nie po.

Ocenianie i wskaźniki: mierzenie tego, co ważne

Średni czas wykrycia (MTTD) — przedział od wykonania techniki red team do potwierdzonego alertu blue team — jest głównym ilościowym wskaźnikiem wojskowego ćwiczenia cyber. Jest obliczany per technika, a nie jako jeden średni dla całego ćwiczenia, ponieważ blue team z doskonałym wykrywaniem sieciowym i słabym wykrywaniem endpoint będzie wykazywać bardzo różne wartości MTTD w spektrum technik. Podział per technika jest tym, co napędza ukierunkowaną remediację zamiast ogólnej rekomendacji „poprawy wykrywania".

Średni czas reagowania (MTTR) — od potwierdzonego alertu do zakończonego działania powstrzymującego — mierzy skuteczność procesu reagowania na incydenty, a nie stosu wykrywania. Wysokie MTTD i niskie MTTR wskazuje na problem z inżynierią wykrywania. Niskie MTTD i wysokie MTTR wskazuje na problem procesowy lub kadrowy. Oba wskaźniki są niezbędne do rozróżnienia rodzaju wymaganej remediacji.

Symulacja eksfiltracji danych zapewnia wskaźnik wpływu na misję. Red team próbuje eksfiltrować syntetyczny zestaw danych (pliki zastępcze oznakowane klasyfikacją i typem danych docelowych, ale niezawierające prawdziwej wrażliwej treści), a ćwiczenie ocenia, czy eksfiltracja została wykryta i zapobieżona, wykryta po fakcie lub całkowicie niewykryta. Ten wskaźnik łączy ćwiczenie techniczne z operacyjną konsekwencją, którą rozumieją starsi dowódcy: gdyby był to prawdziwy adversarz, co by zabrał?

Wskaźnik pokrycia — odsetek technik red team, które wygenerowały jakiekolwiek wykrycie, niezależnie od MTTD — jest wskaźnikiem kompletności inżynierii wykrywania. Wskaźnik pokrycia poniżej 60% wskazuje, że stos wykrywania ma znaczące martwe pola, które zaawansowany adversarz może swobodnie wykorzystywać. Organizacje używające frameworku MITRE ATT&CK jako podstawy planowania ćwiczeń powinny śledzić pokrycie na tle pełnej macierzy technik, a nie tylko na tle technik uwzględnionych w konkretnym scenariuszu ćwiczenia.

Metodologia przeglądu po działaniu

Przegląd po działaniu jest miejscem, gdzie realizowana jest wartość szkoleniowa ćwiczenia. Ćwiczenie, które nie produkuje ustrukturyzowanego AAR, nie produkuje trwałej poprawy postawy obronnej niezależnie od tego, jak dobrze poszło wykonanie techniczne. Organizacje wojskowe, które stosują tę samą dyscyplinę AAR do ćwiczeń cyber co do ćwiczeń kinetycznych, zamykają luki obronne; te, które przeprowadzają krótki debriefing i wracają do rutynowych operacji, nie.

AAR ćwiczenia cyber powinien rekonstruować kompletny harmonogram z obu perspektyw jednocześnie: każda akcja red team z jej dokładnym znacznikiem czasu oraz każde zdarzenie wykrywania lub niewykrywania blue team w odpowiednim czasie. Nakładanie tych harmonogramów ujawnia wizualnie luki wykrywania — przedziały, podczas których red team aktywnie operował i generował dane dziennika, które blue team albo nie widział, albo nie sklasyfikował, albo nie eskalował. Dla każdej luki AAR identyfikuje konkretną przyczynę: brakująca reguła wykrywania, brakujące źródło dziennika, alert odrzucony jako fałszywy alarm lub alert wygenerowany, ale proces reagowania zawiódł.

Każda zidentyfikowana luka musi stać się śledzonym zadaniem remediacyjnym z właścicielem i terminem. Organizacje, które generują długie listy ustaleń AAR bez przypisywania właścicieli i śledzenia zamknięcia, nie poprawiły swojej postawy obronnej — udokumentowały ją. Proces śledzenia remediacji jest mechanizmem przekształcającym ustalenia ćwiczenia w operacyjne ulepszenia bezpieczeństwa. Uzupełniające ćwiczenie tabelowe lub sesja purple team w ciągu 90 dni od głównego ćwiczenia powinny zweryfikować, czy krytyczne remediacje zostały wdrożone, zanim luki zidentyfikowane w ćwiczeniu zdążą być wykorzystane przez rzeczywistego adversarza.

Planowanie ćwiczeń cyber na skalę — integrowanie zdarzeń szkoleniowych domeny cyber w wielodomenowe ćwiczenia wspólne — korzysta z platform zarządzania ćwiczeniami, które koordynują scenariusze, uczestników i dane po działaniu w różnych domenach. Platforma WARG wspiera tę wielodomenową zdolność planowania ćwiczeń, umożliwiając planowanie, obsadzanie i debriefing zdarzeń ćwiczenia cyber w ramach tych samych ram planowania co zdarzenia szkolenia domeny kinetycznej. Powiązane materiały: ćwiczenia wojskowe na żywo kontra AI wargaming oraz oprogramowanie do przeglądów po działaniu dla szkoleń wojskowych.

Kluczowa obserwacja: Najczęstszą przyczyną stagnacji postawy obronnej w wojskowych organizacjach SOC jest niepowodzenie w zamknięciu pętli między ustaleniami ćwiczenia a weryfikacją remediacji. AAR, który produkuje listę ustaleń bez śledzonych właścicieli i uzupełniającej walidacji, jest dokumentem administracyjnym, a nie wynikiem szkoleniowym. Program ćwiczeń jest tak wartościowy, jak dyscyplina remediacji, która za nim podąża.

Zintegruj ćwiczenia cyber ze swoim wspólnym programem szkoleniowym

Budujemy wielodomenowe platformy planowania ćwiczeń dla organizacji obronnych — od projektowania scenariuszy poligonów cyber po integrację wspólnego przeglądu po działaniu.

Platforma WARG → Zarezerwuj briefing

Ta analiza została przygotowana przez inżynierów Corvus Intelligence, którzy budują oprogramowanie misji krytycznych dla organizacji obronnych i rządowych. Poznaj nasz zespół →

Często zadawane pytania

Jak często organizacje wojskowe powinny przeprowadzać ćwiczenia cyber red team?

Większość wojskowych ram bezpieczeństwa zaleca co najmniej jedno pełne ćwiczenie red team/blue team rocznie dla każdej misji krytycznej enklawy sieciowej, z tabelowymi ćwiczeniami przeprowadzanymi co kwartał. Sieci wysokiego priorytetu wspierające operacyjne dowodzenie i kontrolę wymagają częstszych testów — półrocznych ćwiczeń na żywo uzupełnionych ciągłą automatyczną emulacją adversarialną przy użyciu narzędzi takich jak CALDERA. Częstotliwość powinna być skalowana z wrażliwością przetwarzanych danych i operacyjnym skutkiem skutecznego włamania. Organizacje, które nie mogą utrzymać wewnętrznej zdolności red team, powinny priorytetowo traktować co najmniej jedno roczne zewnętrzne zaangażowanie red team wspierane przez umownego dostawcę emulacji zagrożeń.

Jak jednostka wojskowa może uzyskać zdolność red team bez zatrudniania wewnętrznego?

Dla organizacji, które nie mogą zatrudnić stałego wewnętrznego red team, istnieje kilka opcji. Po pierwsze, agencje obrony cybernetycznej na poziomie krajowym — CYBERCOM w USA, jednostki powiązane z NCSC w krajach sojuszniczych — zapewniają wsparcie red team podległym dowództwom w ramach systemu zadaniowego. Po drugie, umowni dostawcy emulacji zagrożeń posiadają wymagane poświadczenia bezpieczeństwa i mogą działać przeciwko tajnym enklawom na podstawie odpowiednich umów o uprawnieniach prawnych. Po trzecie, ćwiczenia koalicyjne takie jak CWIX i Locked Shields pozwalają jednostkom uczestniczyć w wielonarodowych ćwiczeniach cyber, gdzie funkcja red team jest centralnie zarządzana. Po czwarte, platformy automatycznej emulacji adversarialnej takie jak CALDERA mogą służyć jako stałe niskobudżetowe uzupełnienie red team między ćwiczeniami na żywo, prowadząc ciągłe ataki oparte na scenariuszach przeciwko izolowanym sieciom poligonowym bez potrzeby stałego ludzkiego red team.

Jakie ramy prawne regulują operacje red team przeciwko sieciom wojskowym?

Operacje red team przeciwko sieciom wojskowym wymagają wyraźnej pisemnej autoryzacji przed rozpoczęciem jakiejkolwiek działalności. W Stanach Zjednoczonych wynika to z wyjątków ustawy Computer Fraud and Abuse Act dla autoryzowanych testów, w połączeniu z uprawnieniami dowódczymi przyznanymi poprzez rozkazy operacyjne lub konkretny dokument autoryzacji testowej. Operacje członków NATO są dodatkowo regulowane przez obowiązującą SOFA (Status of Forces Agreement), gdy zaangażowany jest personel wielonarodowy. Kluczowe dokumenty to: dokument zasad zaangażowania określający, które systemy są w zakresie i jakie techniki ataku są autoryzowane; list gwarancyjny podpisany przez odpowiedniego dowódcę, który operatorzy red team noszą podczas ćwiczenia; oraz mechanizm dekonfliktacji z wszelkimi trwającymi operacjami obronnymi, aby zapobiec uruchomieniu prawdziwej reakcji na incydent. Niepowodzenie w ustanowieniu tych uprawnień przed rozpoczęciem ćwiczenia jest najczęstszą ekspozycją prawną w wojskowych programach red team.

Jaka jest różnica między ćwiczeniem red team a testem penetracyjnym w kontekście wojskowym?

Test penetracyjny to ograniczona technicznie ocena: testerzy otrzymują zdefiniowany cel, zdefiniowany harmonogram i zdefiniowany cel — zazwyczaj znalezienie podatności w konkretnym systemie. Jest to działalność audytowa, a nie ćwiczenie szkoleniowe. Ćwiczenie red team to symulacja adversarialna: red team otrzymuje cele misji i działa ze szeroką swobodą w zakresie stosowania dowolnej techniki, której użyłby prawdziwy aktor zagrożeń, w tym inżynierii społecznej, prób fizycznego dostępu i symulacji ataku na łańcuch dostaw. Dla organizacji wojskowych ćwiczenie red team jest podstawowym pojazdem szkoleniowym — szkoli blue team do wykrywania i reagowania na realistyczne zachowanie adversarialne, natomiast test penetracyjny szkoli administratorów systemu do łatania konkretnych podatności. Oba są niezbędne; żadne nie zastępuje drugiego.

Jak mierzyć sukces w wojskowym ćwiczeniu cyber-obrony?

Głównymi ilościowymi wskaźnikami są średni czas wykrycia (MTTD) — przedział od momentu, gdy red team ustanawia swój pierwszy przyczółek, do momentu, gdy blue team generuje potwierdzony alert — oraz średni czas reakcji (MTTR) — przedział od potwierdzonego alertu do zakończonego działania powstrzymującego. Wskaźniki drugorzędne obejmują odsetek technik red team, które wygenerowały jakiekolwiek wykrycie (wskaźnik pokrycia), wskaźnik fałszywych alarmów podczas okna ćwiczenia oraz czy red team osiągnął swój cel misji przed wyproszeniem. Jakościowe wskaźniki z przeglądu po działaniu rejestrują jakość decyzji: czy dowódca incydentu prawidłowo sklasyfikował zagrożenie, czy podjęto właściwe decyzje eskalacyjne i czy harmonogram kryminalistyczny został dokładnie zrekonstruowany po ćwiczeniu? Blue team, który szybko powstrzymuje red team, ale błędnie identyfikuje wektor ataku, nie spełnił kluczowego celu szkoleniowego, nawet jeśli jego MTTR jest doskonały.