Червона команда проти синьої: проведення кіберзахисних навчань для військових організацій

Автор: Команда інженерів Corvus Intelligence · Про команду →

4 червня 2026 9 хв читання

Кожен кіберкомандир зрештою стикається з одним і тим самим незручним питанням після аудиту безпеки: якби державний супротивник діяв у ваших мережах протягом останніх шести місяців, чи виявили б це аналітики SOC? Чесна відповідь для більшості військових організацій — мабуть, ні. Не тому, що захисники некомпетентні, а тому, що секретні мережі є складними, вимоги до безперервності операцій обмежують агресивний захисний інструментарій, а тактика суб'єктів загроз еволюціонувала далеко за межі того, що може виявити виявлення на основі сигнатур. Навчання «червона/синя команда» існують для того, щоб відповісти на це питання до того, як це зробить супротивник. Вони є одними з найбільш окупних інвестицій, які може зробити військова кіберорганізація, — і серед тих, що виконуються найгірше, коли відсутня дисципліна планування.

Ця стаття охоплює повну дугу військових кіберзаходів: чому мережі оборони представляють унікальні виклики, як структурувати типи навчань уздовж континууму зрілості, як укомплектовуються та визначаються ролі червоної та синьої команд, яка технічна інфраструктура потрібна для ефективних навчань та як витягувати дієві покращення з аналізу після навчань. Багатодоменна платформа навчань WARG підтримує інтеграцію подій кіберсфери у ширше спільне планування навчань — можливість, розглянута в останньому розділі.

Чому військові кіберзаходи відрізняються від комерційних

Принципи тестування «червона/синя команда» застосовуються в різних секторах, але військові мережі вносять обмеження та вимоги, які не мають комерційних аналогів. Розуміння цих відмінностей є передумовою для розробки навчань, які виробляють корисні навчальні дані, а не постановочну виставу.

Архітектура секретних мереж. Військові мережі охоплюють кілька рівнів класифікації — від нерозсекречених адміністративних систем до секретних і вищих анклавів, — і межі між ними самі є цілями високої цінності. Червона команда, що емулює стійку загрозу підвищеного рівня, не просто намагається витягти дані; вона може намагатися здійснити міждоменну передачу, використовуючи неправильно налаштований діод даних або погано реалізоване міждоменне рішення. Навчання, що проводяться лише на нерозсекречених полігонах, можуть пропустити найбільш оперативно релевантні шляхи атаки.

Вимоги до безперервності операцій. Комерційний тестувальник на проникнення може вивести з ладу веб-додаток на годину без катастрофічних наслідків. Червона команда, що діє в мережі, яка підтримує активне командування та управління, не може переривати оперативний трафік без впливу на місію, що виходить далеко за межі навчань. Це обмеження змушує йти на компроміс: навчання на мережах, суміжних з виробничими, є більш реалістичними, але несуть справжній оперативний ризик; навчання на ізольованих кіберполігонах є безпечнішими, але можуть не виявити фактичних захисних прогалин в оперативних системах. Досвідчені розробники навчань вирішують це за допомогою багаторівневого підходу — навчання на ізольованих полігонах для перевірки технік, навчання з обмеженою сферою дії на виробничо-суміжних мережах для реалістичного тестування середовища.

OPSEC під час самих навчань. Сам факт проведення навчань з червоною командою є оперативно чутливою інформацією. Супротивник, який дізнається, що підрозділ проводить внутрішнє тестування, може скоригувати терміни, щоб уникнути навчального вікна, або може намагатися злитися з реальною діяльністю з вторгнення у навчальний шум. Планування навчань та комунікації мають оброблятися на відповідних рівнях класифікації, а коло персоналу, обізнаного про терміни навчань, слід мінімізувати — особливо серед персоналу синьої команди, навчання якої з виявлення вимагає справжньої невизначеності щодо того, чи є спостережувана активність результатом навчань чи реальною.

Правові повноваження для наступальних технік. Оператори червоної команди, які використовують наступальні кіберінструменти проти військових мереж, потребують явних письмових повноважень, які за умовчанням не існують. Закон про комп'ютерне шахрайство та зловживання у Сполучених Штатах та аналогічні статути в союзних країнах створюють кримінальну відповідальність за несанкціонований доступ до комп'ютерів незалежно від приналежності суб'єкта. Встановлення належних правових повноважень — командних документів авторизації, правил взаємодії та листів «звільнення з-під варти» — до початку будь-якої діяльності червоної команди є не бюрократичними витратами; це базовий рівень, що робить навчання юридично обґрунтованими.

Типи навчань уздовж континууму зрілості

Військові кіберзаходи варіюються від низьковитратних настільних обговорень до повноцінних симуляцій «живого вогню» на виділеній полігонній інфраструктурі. Організації на різних рівнях зрілості отримують користь від різних типів навчань, і прогресія від настільних до навчань «живого вогню» сама по собі є структурованим шляхом розвитку.

Настільні навчання збирають команду реагування на інциденти для опрацювання сценарію без будь-якої живої технічної активності. Фасилітатор представляє сценарій — «ви отримали оповіщення про те, що кінцева точка командної мережі ініціювала незвичайний шаблон вихідних DNS-запитів; що ви робите?» — і команда обговорює свій процес реагування. Настільні навчання є недорогими, не потребують технічної інфраструктури та є дуже ефективними для виявлення прогалин у процесах: відсутніх процедур ескалації, невизначених ролей, неоднозначностей у прийнятті рішень та комунікаційних збоїв між SOC і командиром інциденту. Вони не дають даних про те, чи дійсно працює інструментарій виявлення, але розкривають, чи знає команда, як ним користуватися.

Навчання з повною симуляцією передбачають активну роботу людської червоної команди проти цільового середовища, тоді як синя команда захищається в режимі реального часу. Червона команда використовує реальні наступальні інструменти та техніки; синя команда використовує оперативний інструментарій виявлення та реагування. Ці навчання є найбільш точним тренуванням, доступним без реагування на справжнє вторгнення, і вони є єдиним типом навчань, що виробляє реалістичні показники MTTD та MTTR. Вони вимагають найбільшого планування, найбільшої технічної інфраструктури та найбільш суворої документації правових повноважень.

«Живий вогонь» на полігонних мережах використовує виділений кіберполігон — ізольоване мережеве середовище, що відображає виробничу архітектуру без оперативного трафіку, — як середовище для навчань. Цей підхід зберігає безперервність операцій, водночас дозволяючи червоній команді використовувати повний спектр авторизованих технік, включаючи ті, які спричинили б перебої в роботі сервісів у виробничій мережі. Кіберполігони можуть бути на місці, розміщені в хмарі або надані організаціями навчання національного рівня. Інвестиції в полігонну інфраструктуру є значними, але амортизованими протягом багатьох навчань на рік.

Коаліційні навчання (у стилі CWIX) включають кілька союзних країн, що діють разом у спільному навчальному середовищі. Модель Навчань з кібервійськової сумісності (CWIX) дозволяє країнам-учасницям перевіряти не лише свої внутрішні захисні можливості, але й здатність ділитися розвідкою загроз та координувати реагування на інциденти через національні та організаційні межі. Ці навчання виявляють прогалини в сумісності — несумісні системи управління квитками, несумісні формати обміну індикаторами, мовні та термінологічні бар'єри при реагуванні на інциденти у режимі високого темпу, — які не можуть виявити внутрішні навчання.

Ключова думка: Найпоширенішою помилкою у програмах військових кіберзаходів є спроба провести живі навчання з червоною командою до встановлення настільної та процесної основи. Синя команда, яка ніколи не опрацьовувала свої процедури реагування на інциденти на настільних навчаннях, витратить живі навчання на виявлення прогалин у процесах, а не на тренування навичок виявлення та реагування. Прогресія зрілості — спочатку настільні навчання, потім симуляція, потім живий вогонь — не є необов'язковою.

Структура червоної команди та емуляція суб'єктів загроз

Цінність навчань з червоною командою прямо пропорційна точності, з якою червона команда емулює реальну загрозу. Червона команда, що використовує техніки п'ятирічної давності або діє більш гучно, ніж реальна APT, бо їй бракує майстерності бути непомітною, виробляє навчальні дані, які не готують синю команду до загрози, з якою вона насправді стикається. Ефективні військові червоні команди побудовані навколо емуляції конкретних суб'єктів загроз, а не загального тестування на проникнення.

Для військових мереж у контексті NATO та «П'яти очей» найбільш оперативно релевантними суб'єктами загроз є державні угруповання із задокументованими можливостями вторгнення до військових мереж. APT28 (Fancy Bear, приписується підрозділу ГРУ 26165) має задокументовану історію атак на військові та урядові мережі з використанням спір-фішингу, крадіжки облікових даних та технік «живлення від землі», що мінімізують слід, видимий для виявлення на кінцевих точках. APT29 (Cozy Bear, приписується СВР) діє з довшим часом перебування та більш терплячим оперативним темпом, часто підтримуючи доступ протягом місяців до виконання своєї місійної цілі. Червоні команди, що емулюють цих суб'єктів, повинні діяти за їхніми задокументованими ігровими книгами TTP, використовуючи MITRE ATT&CK як організуючу структуру.

Техніки «живлення від землі» (LotL) є особливо важливими для емуляції, оскільки вони представляють виклик виявлення, що перемагає більшість захистів на основі сигнатур. Червона команда, що використовує лише фреймворки з відкритим кодом, генерує оповіщення, які будь-який комерційний EDR виявить; червона команда, що використовує вбудовані адміністративні інструменти Windows (PowerShell, WMI, PsExec, заплановані завдання) для бічного переміщення, діє так само, уникаючи виявлення, як витончений державний суб'єкт. Здатність синьої команди відрізняти зловмисне використання легітимних інструментів від рутинної адміністративної активності є основною компетенцією, яку розвивають добре розроблені навчання.

Інфраструктура командування та управління (C2) повинна бути побудована спеціально для навчань, а не перевикористовувати комерційні фреймворки тестування на проникнення, які мережеві продукти безпеки широко сигнатурують. DNS-тунелювання, HTTPS-маяківництво до інфраструктури з перенаправленням домену та приховані канали через дозволені протоколи (ICMP, легітимні API хмарного сховища) представляють техніки C2, які використовують оперативні червоні команди. Варіанти інструментарію включають CALDERA для автоматизованого виконання TTP та Cobalt Strike або Havoc для ручних C2-операцій операторами червоної команди з відповідною підготовкою та авторизацією.

Ролі синьої команди та структура SOC під час навчань

Синя команда не є однорідною групою під час кіберзаходів — вона складається з різних ролей, які повинні координуватися під тиском часу. Навчання, що не визначають ці ролі явно, виробляють хаотичні відповіді, де кілька аналітиків дублюють роботу або критичні рішення чекають на орган, якого ніхто не знає, що він у нього є.

Аналітики SOC (Рівні 1 та 2) є рівнем виявлення. Їхня навчальна мета в рамках навчань полягає у точній класифікації оповіщень, оперативній ескалації підтвердженої підозрілої активності та уникненні відхилення справжніх індикаторів компрометації як хибнопозитивних. Навчання повинні генерувати реалістичний обсяг оповіщень — не лише активність червоної команди, але й симульований фоновий шум від рутинних мережевих подій, — щоб навчати аналітиків в умовах, що наближаються до оперативного навантаження.

Командир інциденту має повноваження приймати рішення під час оголошеного інциденту. Його навчальна мета полягає у прийнятті правильних рішень щодо класифікації за неповної інформації: коли застосовувати процедури стримування, що спричинять перебої в роботі сервісів, коли дозволити продовження активності супротивника з метою збору розвідки та коли ескалювати до командного органу. Командири інцидентів, які ніколи не відпрацьовували ці рішення в симульованому середовищі, неодмінно приймають субоптимальні рішення під когнітивним навантаженням реального інциденту.

Команда криміналістів відновлює хронологію атак після стримування. Її навчальна мета полягає у виробленні точної хронології з наявних журнальних даних у визначені часові рамки. Якість криміналістичної реконструкції — чи правильно вони визначають початковий вектор доступу, повний обсяг бічного переміщення та дані, до яких був отриманий доступ, — є прямим виміром здатності організації проводити усунення наслідків після інциденту, а не просто закривати квиток інциденту.

Ключова думка: Роль командира інциденту є найменш навченою позицією в більшості структур військового SOC. Аналітики SOC проходять регулярне технічне навчання; командири інцидентів рідко практикують прийняття рішень під симульованим тиском інциденту. Кіберзаходи, що одночасно задіюють всі три ролі синьої команди — аналітик, командир інциденту, криміналісти, — виробляють набагато більшу навчальну цінність, ніж ті, що зосереджуються виключно на рівні виявлення.

Пурпурна команда для безперервного вдосконалення

Традиційна змагальна модель «червоні проти синіх» виробляє бінарний результат: або синя команда виявила техніку, або ні. Робота пурпурної команди змінює цю модель для виробництва безперервного спільного вдосконалення, а не одноразового вимірювального заходу. У навчаннях пурпурної команди члени червоної та синьої команд працюють разом — червона команда виконує конкретну техніку, синя команда намагається її виявити, і обидві команди негайно обговорюють, які журнальні дані були сформовані, яке правило виявлення могло б її виявити та які зміни потрібні в стеку виявлення. Цей процес повторюється по всьому каталогу TTP.

Робота пурпурної команди не замінює змагальні навчання з червоною командою — навчальна цінність роботи в умовах справжньої невизначеності, не знаючи, які техніки будуть використані, є незамінною для розвитку синьої команди. Пурпурна команда є доповненням, що швидше розвиває можливості інженерії виявлення, ніж лише змагальні навчання. Темп для більшості військових організацій повинен бути таким: щорічні змагальні навчання з червоною командою, щоквартальні семінари пурпурної команди, безперервна автоматизована емуляція дій супротивника за допомогою CALDERA на полігонних мережах як постійна фонова активність.

Технічна інфраструктура для військових кіберзаходів

Вимоги до технічної інфраструктури для військових кіберзаходів масштабуються залежно від типу навчань. Настільні навчання вимагають лише конференц-зали та документа зі сценарієм. Навчання з повною симуляцією на ізольованому кіберполігоні вимагають мережевої інфраструктури, платформ віртуалізації, агрегації журналів та інструментарію, що є значними, але одноразовими інвестиціями.

Кіберполігон повинен максимально точно відображати виробничу мережеву архітектуру — ті самі версії операційних систем, ту саму модель мережевої сегментації, той самий інструментарій безпеки, — оскільки прогалини в виявленні, які існують на полігоні, майже напевно існують і у виробничій мережі. Полігони, побудовані на загальних шаблонах, а не на клонах виробничого середовища, виробляють результати навчань, які не переносяться на оперативні оборонні покращення. Хмарно-розміщені кіберполігони (Azure Government, AWS GovCloud) суттєво знизили інфраструктурні витрати на розгортання полігонів, але зусилля з конфігурації для точного моделювання виробничої архітектури залишаються значними.

Інструментарій симуляції атак для червоної команди повинен включати: CALDERA для автоматизованого виконання TTP та ланцюжків сценаріїв; Atomic Red Team для перевірки окремих технік проти стеку виявлення; та відповідні фреймворки C2, авторизовані для сфери навчань. MITRE ATT&CK Navigator надає візуальну карту охоплення — накладаючи, які техніки включені в сценарій навчань, на техніки з підтвердженим охопленням виявлення, — що є найбільш корисним артефактом планування як для розробки сценаріїв червоної команди, так і для відстеження усунення після навчань.

Конфігурація журналювання та SIEM є найпоширенішою точкою відмови інфраструктури навчань. Навчання, що не виробляють корисних даних виявлення через те, що джерела журналів не подавали дані до SIEM або через те, що терміни зберігання були занадто короткими для підтримки криміналістичної реконструкції після навчань, не виробляють навчальної цінності незалежно від того, наскільки добре виконала червона команда. Перевірте охоплення джерел журналів до початку навчань, а не після.

Оцінка та показники: вимірювання того, що важливо

Середній час виявлення (MTTD) — інтервал від виконання техніки червоної команди до підтвердженого оповіщення синьої команди — є основним кількісним показником для військових кіберзаходів. Він обчислюється за технікою, а не як єдине середнє за навчаннями, оскільки синя команда з відмінним мережевим виявленням та слабким виявленням на кінцевих точках покаже дуже різні значення MTTD у спектрі технік. Розбивка за технікою є тим, що спрямовує цільове усунення, а не загальну рекомендацію «покращити виявлення».

Середній час реагування (MTTR) — від підтвердженого оповіщення до завершення дії з ізоляції — вимірює ефективність процесу реагування на інцидент, а не стек виявлення. Високий MTTD та низький MTTR вказує на проблему інженерії виявлення. Низький MTTD та високий MTTR вказує на проблему процесу або укомплектованості. Обидва показники необхідні для розрізнення типу необхідного усунення.

Симуляція витоку даних надає показник впливу на місію. Червона команда намагається витягти синтетичний набір даних (файли-замінники з позначкою класифікації та типу даних цільових даних, але без реального чутливого вмісту), і навчання оцінюють, чи витік був виявлений і попереджений, виявлений постфактум або зовсім не виявлений. Цей показник пов'язує технічні навчання з оперативними наслідками, які розуміють старші командири: якби це був справжній супротивник, що б він забрав?

Коефіцієнт охоплення — відсоток технік червоної команди, які взагалі спричинили будь-яке виявлення, незалежно від MTTD, — є показником повноти інженерії виявлення. Коефіцієнт охоплення нижче 60% вказує на те, що стек виявлення має значні сліпі зони, якими витончений супротивник може вільно користуватися. Організації, що використовують фреймворк MITRE ATT&CK як основу планування навчань, повинні відстежувати охоплення відносно повної матриці технік, а не лише відносно технік, включених у конкретний сценарій навчань.

Методологія аналізу після навчань

Аналіз після навчань — це місце, де реалізується навчальна цінність навчань. Навчання, що не виробляють структурованого аналізу після навчань, не виробляють стійкого покращення оборонної позиції незалежно від того, наскільки добре пройшло технічне виконання. Військові організації, що застосовують ту саму дисципліну аналізу після навчань до кіберзаходів, що й до кінетичних навчань, закривають оборонні прогалини; ті, що проводять коротку розборку і повертаються до рутинних операцій, — ні.

Аналіз після кіберзаходів повинен одночасно відновлювати повну хронологію з обох перспектив: кожну дію червоної команди з точною часовою позначкою та кожну подію виявлення або невиявлення синьої команди у відповідний час. Накладення цих хронологій наочно виявляє прогалини виявлення — інтервали, протягом яких червона команда активно діяла та генерувала журнальні дані, які синя команда або не бачила, або не класифікувала, або не ескалювала. Для кожної прогалини аналіз після навчань визначає конкретну причину: відсутнє правило виявлення, відсутнє джерело журналів, оповіщення відхилено як хибнопозитивне або оповіщення згенеровано, але процес реагування не спрацював.

Кожна виявлена прогалина повинна стати відслідковуваним завданням з усунення з відповідальним та кінцевим терміном. Організації, що генерують довгі списки результатів аналізу після навчань без призначення відповідальних та відстеження закриття, не покращили свою оборонну позицію — вони задокументували її. Процес відстеження усунення є механізмом, що перетворює результати навчань на оперативні покращення безпеки. Подальший настільний або семінар пурпурної команди протягом 90 днів після основних навчань повинен підтвердити, що критичні виправлення реалізовані, до того як оборонні прогалини, виявлені в навчаннях, отримають шанс бути використаними справжнім супротивником.

Планування кіберзаходів у масштабі — інтеграція навчальних подій кіберсфери у багатодоменні спільні навчання — отримує переваги від платформ управління навчаннями, що координують сценарії, учасників та дані аналізу після навчань між доменами. Платформа WARG підтримує цю можливість планування багатодоменних навчань, дозволяючи подіям кіберзаходів плануватись, укомплектовуватись персоналом та аналізуватись у тому самому планувальному фреймворку, що й навчальні події кінетичного домену. Пов'язане читання: живі військові навчання проти AI-варгеймінгу та програмне забезпечення для аналізу після навчань у військовому навчанні.

Ключова думка: Найпоширенішою причиною стагнуючої оборонної позиції у військових організаціях SOC є нездатність замкнути цикл між результатами навчань та перевіркою усунення. Аналіз після навчань, що виробляє список результатів без відслідковуваних відповідальних та подальшої перевірки, є адміністративним документом, а не навчальним результатом. Програма навчань є цінною лише настільки, наскільки цінною є дисципліна усунення, що за нею слідує.

Інтегруйте кіберзаходи у свою спільну програму навчань

Ми будуємо багатодоменні платформи планування навчань для оборонних організацій — від розробки сценаріїв кіберполігону до інтеграції спільного аналізу після навчань.

Платформа WARG → Замовити брифінг

Цей аналіз підготовлено інженерами Corvus Intelligence, які розробляють критично важливе програмне забезпечення для оборонних та урядових організацій. Дізнайтесь про нашу команду →

Часті запитання

Як часто військові організації повинні проводити кіберзаходи з червоною командою?

Більшість фреймворків безпеки у сфері оборони рекомендують проводити щонайменше одне повноцінне навчання «червона/синя команда» на рік для кожного критично важливого мережевого сегмента, а між ними — щоквартальні настільні навчання. Мережі високого пріоритету, що підтримують оперативне командування та управління, потребують більш частого тестування — піврічних живих навчань, доповнених безперервною автоматизованою емуляцією дій супротивника за допомогою таких інструментів, як CALDERA. Частота повинна відповідати чутливості оброблюваних даних та оперативному впливу успішного вторгнення. Організації, які не можуть підтримувати внутрішній потенціал червоної команди, повинні пріоритизувати щонайменше одне щорічне зовнішнє залучення червоної команди за підтримки контрактного постачальника емуляції загроз.

Як військовий підрозділ може отримати можливості червоної команди без внутрішнього найму?

Для організацій, які не можуть укомплектувати постійну внутрішню червону команду, існує кілька варіантів. По-перше, агентства кіберзахисту національного рівня — CYBERCOM у США, підрозділи, афілійовані з NCSC, у союзних країнах — надають підтримку червоної команди підпорядкованим командуванням у рамках системи завдань. По-друге, контрактні постачальники емуляції загроз мають необхідні допуски безпеки та можуть діяти проти секретних анклавів за наявності належних угод про правові повноваження. По-третє, коаліційні навчання, такі як CWIX і Locked Shields, дозволяють підрозділам брати участь у багатонаціональних кіберзаходах, де функція червоної команди управляється централізовано. По-четверте, платформи автоматизованої емуляції дій супротивника, такі як CALDERA, можуть слугувати постійним низьковитратним доповненням до червоної команди між живими навчаннями, безперервно запускаючи сценарно-орієнтовані атаки на ізольовані мережі полігонів без необхідності утримання постійної людської червоної команди.

Які правові рамки регулюють операції червоної команди проти військових мереж?

Операції червоної команди проти військових мереж вимагають явних письмових повноважень до початку будь-якої діяльності. У Сполучених Штатах це випливає з виключень Закону про комп'ютерне шахрайство та зловживання для авторизованого тестування в поєднанні з командними повноваженнями, наданими через оперативні накази або конкретний документ авторизації тестування. Операції членів NATO додатково регулюються відповідною Угодою про статус збройних сил (SOFA), коли залучений багатонаціональний персонал. Критичними документами є: документ про правила взаємодії, що визначає, які системи перебувають у сфері дії та які методи атаки дозволені; лист «звільнення з-під варти», підписаний відповідним командиром, який оператори червоної команди носять під час навчань; та механізм деконфліктації з будь-якими поточними оборонними операціями для запобігання спрацьовуванню справжнього реагування на інциденти. Нездатність встановити ці повноваження до початку навчань є найпоширенішою правовою проблемою у програмах військової червоної команди.

У чому різниця між навчанням з червоною командою та тестуванням на проникнення у військовому контексті?

Тест на проникнення — це обмежена технічна оцінка: тестувальники отримують визначену ціль, визначені часові рамки та визначену мету — як правило, знайти вразливості в конкретній системі. Це аудиторська діяльність, а не навчання. Навчання з червоною командою — це симуляція дій супротивника: червоній команді ставляться місійні цілі та надається широка свобода дій для використання будь-яких технік, які застосовував би реальний суб'єкт загрози, включаючи соціальну інженерію, спроби фізичного доступу та симуляцію атаки на ланцюг постачання. Для військових організацій навчання з червоною командою є основним навчальним засобом — воно навчає синю команду виявляти реалістичну поведінку супротивника та реагувати на неї, тоді як тест на проникнення навчає системних адміністраторів усувати конкретні вразливості. Обидва необхідні; жоден не замінює інший.

Як виміряти успіх військових кіберзахисних навчань?

Основними кількісними показниками є середній час виявлення (MTTD) — інтервал від моменту, коли червона команда отримує перший плацдарм, до моменту, коли синя команда генерує підтверджене оповіщення, — та середній час реагування (MTTR) — інтервал від підтвердженого оповіщення до завершення дій з ізоляції. Вторинні показники включають відсоток технік червоної команди, які взагалі спричинили виявлення (коефіцієнт охоплення), рівень хибнопозитивних результатів під час навчань та те, чи досягла червона команда своєї заявленої місійної цілі до того, як її виявили. Якісні показники з аналізу після навчань відображають якість прийнятих рішень: чи правильно командир інциденту класифікував загрозу, чи були прийняті правильні рішення щодо ескалації та чи була хронологія криміналістики точно відновлена після навчань? Синя команда, яка швидко нейтралізує червону, але неправильно визначає вектор атаки, провалила критичну навчальну мету, навіть якщо її MTTR є відмінним.