Przejdź do głównej treści

Kiedy przekonanie, że „na pewno to wykryjemy”, nie wystarczy: powtórka z TTX i TTP dla nowoczesnych centrów operacyjnych SOC

30 kwietnia 2026 r.
Andrew Heller

Większość organizacji nadal prezentuje się pewnie, gdy mowa o gotowości cybernetycznej. Polityki są zatwierdzane, narzędzia wdrażane, a coroczne symulacje sprawiają wrażenie dobrze skoordynowanych działań. Jednak gdy te same zespoły są poddawane próbie w realistycznych ćwiczeniach, trafność podejmowanych decyzji gwałtownie spada, a opanowanie sytuacji często zajmuje dni, a nie godziny

Dla liderów IT i kierowników centrów operacyjnych SOC prawdziwym zagrożeniem jest rozbieżność między przekonaniami a rzeczywistością. Problem jest prosty: ćwiczenia symulacyjne (TTX) i testy techniczne (odtwarzanie procedur TTP, purple teaming i red teaming) zazwyczaj odbywają się równolegle, podlegają różnym podmiotom odpowiedzialnym, mają odmienne cele i nie opierają się na wspólnych danych. W rezultacie wszyscy muszą polegać na domysłach, gdy trzeba reagować na incydenty w ściśle określonych terminach wynikających z dyrektywy NIS2, rozporządzenia RODO, umów i wymagań klientów

Zespół ds. doradztwa w zakresie ofensywnego cyberbezpieczeństwa firmy Damovo (Lares) opracował 6-etapową metodologię integracji ataków (Adversarial Integration Methodology), która w sposób celowy łączy ćwiczenia TTX oraz odtwarzanie rzeczywistych taktyk, technik i procedur (TTP) w jedną, zamkniętą pętlę. Cel jest prosty: zastąpić przekonanie „myślimy, że byśmy to wykryli” dowodami potwierdzającymi, w jaki sposób Twoja organizacja faktycznie wykrywa, eskaluje i zgłasza krytyczne ataki.

Luka w gotowości: kiedy założenia zderzają się z rzeczywistością

W teorii większość organizacji uważa, że jest w stanie wykrywać poważne incydenty, ograniczać ich skutki i przywracać normalne funkcjonowanie. Jednak w niezależnych testach porównawczych trafność decyzji podejmowanych podczas realistycznych ćwiczeń spada do zaledwie ułamka tego, czego oczekują kierownictwo, a średni czas opanowania sytuacji rutynowo przekracza 24 godziny. Stanowi to poważny problem w europejskim kontekście, gdzie czas na zgłoszenie incydentu liczy się obecnie w godzinach, a nie w dniach.

Klasyczne scenariusze są częścią problemu. Ujawniają one luki w kadrze i procesach – niejasne ścieżki eskalacji, nieprecyzyjny podział odpowiedzialności, brakujące etapy regulacyjne – ale opierają się na założeniach technicznych, które nigdy nie zostały zweryfikowane. Uczestnicy z przekonaniem twierdzą, że „zapora sieciowa to zablokuje”, „EDR na pewno wygeneruje alert” lub „SOC zauważyłoby to w ciągu dziesięciu minut”, a ćwiczenie toczy się dalej.

Z drugiej strony wiele purple team programów inżynierii wykrywania nadal skupia się na pokryciu ramowego. Zespoły grają w „bingo MITRE ATT&CK”, przechodząc przez jak najwięcej technik, nie wiążąc ich jednak z konkretnymi zagrożeniami biznesowymi, punktami decyzyjnymi ani obowiązkami sprawozdawczymi.

W rezultacie powstaje pozorne poczucie gotowości, w którym żadne z tych rozwiązań nie daje odpowiedzi na jedyne pytanie, które ma znaczenie dla kierowników działów IT i SOC: „Czy w przypadku tego ataku, w tym środowisku, jesteśmy w stanie go wykryć, podjąć odpowiednie działania i wykazać, że postąpiliśmy właściwie w odpowiednim czasie?”.

Dlaczego samo TTX nie wystarczy liderom działów IT i SOC

Z operacyjnego punktu widzenia tradycyjne programy typu „tabletop” mają trzy główne słabe punkty.

  • Brak danych telemetrycznych: Systemy Tabletop generują notatki i zadania do wykonania, a nie pliki dziennika, alerty ani dane dotyczące czasu, które mogą zasilać systemy wykrywania.
  • Niezweryfikowane założenia: Inżynierowie są zmuszeni zgadywać, jak zachowałyby się systemy EDR, SIEM, tożsamości, OT i chmury, ponieważ nikt faktycznie nie przeprowadza ataku.
  • Brak powiązania z planem rozwoju narzędzi: Bez konkretnych dowodów trudno jest ustalić priorytety zmian w logowaniu, dostosowywaniu reguł lub pracach nad architekturą, które mogłyby znacząco poprawić czas odpowiedzi.

Sytuację dodatkowo pogarszają terminy określone w przepisach. Zgodnie z dyrektywą NIS2 zgłoszenie incydentu może wymagać przekazania wstępnego ostrzeżenia w ciągu 24 godzin oraz bardziej szczegółowych informacji w ciągu 72 godzin, podczas gdy RODO nakłada własny 72-godzinny termin na zgłoszenie naruszenia ochrony danych osobowych. Jeśli wyniki analizy TTX nie są powiązane z tym, co faktycznie wykrywają stosowane narzędzia i jak szybko to wykrywają, kierownictwo w praktyce ryzykuje niedotrzymaniem tych terminów.

Przedstawiamy 6-etapową metodologię integracji opartą na podejściu kontradyktoryjnym firmy Damovo

Aby wypełnić tę lukę, zespół Damovo ds. doradztwa w zakresie ofensywnego cyberbezpieczeństwa (Lares) stosuje 6-etapową metodologię integracji opartą na symulacji ataku, która rozpoczyna się od jednego realistycznego scenariusza zagrożenia i obejmuje cały proces – od dyskusji teoretycznej po odtworzenie taktyk, procedur i technik (TTP) w warunkach rzeczywistych oraz ponowne testy.

W skrócie, sześć kroków to:

  1. Zacznij od zagrożenia, które naprawdę ma znaczenie dla Twojej firmy.
  2.  Stwórz tabelę, która uwzględnia wszystkie założenia – i wszystkie terminy.
  3. Przekształć tę historię w podręcznik taktyk i procedur dla scenariusza konfrontacyjnego.
  4. Odtwórz procedury TTP w swoim środowisku.
  5. Porównaj dane telemetryczne z założeniami teoretycznymi.
  6. Napraw, dostosuj i sprawdź, czy nastąpiła poprawa.

Każdy etap został zaprojektowany tak, aby kierownictwo IT, kierownicy SOC, specjaliści ds. ryzyka, prawnicy i specjaliści ds. komunikacji opierali się na tych samych informacjach i tych samych dowodach, zamiast korzystać z odrębnych procedur i prezentacji.

Krok 1: Zacznij od zagrożenia, które naprawdę ma znaczenie dla Twojej firmy

Wszystko zaczyna się od realistycznego scenariusza, który mógłby rzeczywiście zakłócić funkcjonowanie Twojej organizacji – a nie tylko od abstrakcyjnego „oprogramowania ransomware gdzieś w sieci”. Scenariusz ten opiera się na:

  • Wewnętrzne dane wywiadowcze dotyczące cyberzagrożeń oraz historia incydentów.
  • Wymiana informacji dotyczących poszczególnych sektorów (na przykład w ramach grup ISAC) oraz aktualne raporty dotyczące zagrożeń.
  • Informacje od działów prawnych, ds. ryzyka i zaopatrzenia dotyczące kluczowych dostawców oraz narażenia na ryzyko związane z podmiotami zewnętrznymi.

 

Przykłady obejmują naruszenie bezpieczeństwa u kluczowego dostawcy usług SaaS, prowadzące do eskalacji uprawnień w chmurze w jednostce biznesowej o kluczowym znaczeniu dla przychodów, ukierunkowane ataki phishingowe powodujące naruszenie tożsamości w hybrydowej usłudze Active Directory i dzierżawcach chmury, a także wyciek danych za pośrednictwem zatwierdzonych narzędzi do współpracy wykorzystywanych przez zespoły obsługujące klientów.

Jeśli kierownicy ds. inżynierii lub właściciele aplikacji nie wierzą, że taki scenariusz może się wydarzyć, przestaną się angażować; ten pierwszy krok gwarantuje, że dostrzegą oni swoje systemy i obowiązki w tej historii.

Krok 2: Przeprowadź symulację, która uwzględni wszystkie założenia

Po opracowaniu scenariusza kolejnym krokiem będzie ukierunkowane ćwiczenie symulacyjne z udziałem działów IT, bezpieczeństwa, operacyjnego, prawnego i komunikacji. Celem jest poddanie organizacji sytuacji testowej, w której równolegle biegnie kilka terminów regulacyjnych i umownych, a nie tylko przećwiczenie ogólnego planu działania.

Obejmuje to terminy wczesnego ostrzegania i powiadamiania przewidziane w dyrektywie NIS2, wymóg zgłoszenia naruszenia w ciągu 70 godzin wynikający z RODO oraz wszelkie klauzule dotyczące powiadamiania charakterystyczne dla danej branży lub wynikające z umów. Facylitatorzy zaznaczają te elementy na scenariuszu i na każdym etapie pytają, kto jest odpowiedzialny za klasyfikację, kto z kim się kontaktuje oraz kiedy należy rozpocząć powiadamianie, nawet jeśli przyczyna źródłowa nie jest jeszcze jasna.

Co najważniejsze dla kierowników działów IT i SOC, każde stwierdzenie techniczne staje się wyraźnym założeniem: „dowiedzielibyśmy się o tym w ciągu godziny”, „system SIEM skojarzyłby te zdarzenia”, „analizy IAM zasygnalizowałyby to zachowanie” lub „moglibyśmy odizolować dotknięte systemy przed powiadomieniem odpowiednich organów”. Założenia te są zapisywane wraz z datą i godziną; stają się hipotezami, które zostaną zweryfikowane w etapie 3 i 4.

Krok 3: Przełóż tę historię na podręcznik taktyk, metod i procedur (TTP) stosowanych przez przeciwnika

Po opracowaniu planu działania inżynierowie ofensywni z firmy Damovo przekładają tę koncepcję na konkretny, praktyczny podręcznik taktyk i procedur (TTP) przeznaczony do wykorzystania podczas ćwiczeń na klawiaturze. Zakres ćwiczeń jest ściśle dostosowany do danego scenariusza, zamiast próbować przećwiczyć każdą technikę w ramach jednego schematu.

Na przykład w przypadku scenariusza naruszenia bezpieczeństwa tożsamości w chmurze podręcznik postępowania może zawierać:

  • Konkretne sposoby kradzieży danych uwierzytelniających i ponownego wykorzystania tokenów w odniesieniu do dostawcy usług tożsamości w chmurze lub platformy SaaS.
  • Techniki „wykorzystywania dostępnych zasobów” z wykorzystaniem istniejących narzędzi administracyjnych, możliwości tworzenia skryptów oraz zatwierdzonych usług.
  • Ścieżki wycieku danych poprzez korzystane przez Państwa usługi przechowywania danych w chmurze, systemy poczty elektronicznej lub aplikacje do współpracy.

 

Na każdym etapie tego procesu zespoły ds. architektury IT i SOC pozostają zaangażowane, dzięki czemu scenariusz odzwierciedla rzeczywiste mechanizmy kontroli, możliwości rejestrowania zdarzeń oraz ograniczenia związane z zarządzaniem zmianami. Zapobiega to sytuacji, w której testy skupiałyby się na atakach, na które Twoje środowisko nie jest narażone, lub na mechanizmach kontroli, których w rzeczywistości nie stosujesz w środowisku produkcyjnym.

Krok 4: Odtwórz procedury TTP w swoim środowisku

Następnie przeprowadzana jest kontrolowana symulacja purple team z wykorzystaniem opracowanego scenariusza w środowisku produkcyjnym lub zbliżonym do produkcyjnego. Na tym etapie założenia sformułowane podczas symulacji teoretycznej zastępowane są rzeczywistymi zachowaniami obserwowanymi za pomocą narzędzi i przez zespoły.

Na tym etapie zespół ds. doradztwa w zakresie ofensywnego cyberbezpieczeństwa firmy Damovo (Lares) współpracuje z Państwa centrum operacyjnym SOC oraz zespołami IT w celu uzyskania trzech kluczowych wyników:

  • Rzeczywistość wykonania: które etapy ataku zakończyły się sukcesem, które zostały zablokowane, a które wykryto tylko częściowo.
  • Zakres telemetrii: zdarzenia i alerty z EDR/XDR, SIEM, platform tożsamości, logów w chmurze i kontroli sieciowych, a także luki w widoczności, w których brakuje oczekiwanych danych lub są one opóźnione.
  • Wyniki pomiarów: rzeczywisty średni czas wykrycia (MTTD) i średni czas reakcji (MTTR) w poszczególnych zespołach i warstwach.

 

Lares określa to jako sprawdzenie „nerwów” organizacji: wszystkiego, co znajduje się pomiędzy naciśnięciami klawiszy przez atakującego a panelami kontrolnymi. Dla kierowników SOC jest to moment, w którym reguły wykrywania i scenariusze reagowania są w końcu testowane w odniesieniu do konkretnych zachowań, które firma omówiła w kroku 2.

Krok 5: Porównaj dane telemetryczne z założeniami teoretycznymi

W piątym etapie metodologia ujawnia rzeczywiste braki w zakresie gotowości. Harmonogram i decyzje podjęte podczas symulacji są zestawiane z danymi uzyskanymi z odtworzenia przebiegu operacji (TTP).

Typowe objawy to:

  • Kierownictwo założyło, że „wykryjemy to w ciągu 30 minut”; dane telemetryczne wskazują jednak, że pierwszy istotny alert pojawił się dopiero po 90 minutach, ponieważ logi w chmurze były opóźnione lub niekompletne.
  • W opisie systemu napisano, że „system SIEM będzie korelował te zdarzenia”; w rzeczywistości poszczególne wpisy w dzienniku były obecne, ale reguły korelacji nigdy nie zostały uruchomione, więc aktywność ta zlała się z szumem tła.
  • W planie przewidziano, że system IAM lub UEBA zasygnalizuje nietypowe użycie tokenu; w trakcie odtwarzania zdarzenia nie wygenerowano żadnego alertu, ponieważ dla tego dostawcy lub dzierżawcy nie włączono funkcji analitycznych.

 

Dzięki temu Damovo pomaga w pomiarze takich wskaźników, jak wskaźnik trafności założeń (jaki procent założeń technicznych TTX okazał się prawidłowy), wskaźnik dokładności wykrywania (stosunek sygnału do szumu dla testowanych zachowań) oraz wskaźnik skuteczności działań naprawczych (ile zidentyfikowanych luk udało się skutecznie usunąć podczas ponownych testów). Wskaźniki te dają kierownictwu IT i menedżerom SOC znacznie bardziej konkretne dane do raportowania niż ogólne oceny „dojrzałości”.

Krok 6: Napraw, dostosuj i sprawdź, czy nastąpiła poprawa

Ostatni etap pozwala przełożyć wszystkie te spostrzeżenia na wymierny postęp. Damovo współpracuje z Państwa zespołami, aby ustalić priorytety działań naprawczych w oparciu o ryzyko, wymogi regulacyjne i nakład pracy związany z wdrożeniem, a następnie weryfikuje wprowadzone zmiany poprzez ukierunkowane ponowne testy.

Do typowych ulepszeń należą:

  • Wypełnianie luk w rejestrowaniu danych i ujednolicanie telemetrii w platformach chmurowych, SaaS, sieciowych i tożsamościowych.
  • Dostosowywanie lub tworzenie reguł korelacji w systemie SIEM, zasad EDR/XDR oraz analiz IAM, które pozwalają wykrywać konkretnie powtarzające się zachowania.
  • Dostosowanie procedur dotyczących klasyfikacji zdarzeń, eskalacji i komunikacji w celu wyeliminowania wąskich gardeł ujawnionych podczas symulacji.

 

Następnie ponownie uruchamia się odpowiednie fragmenty scenariusza TTP, aby sprawdzić, czy wskaźniki MTTD i MTTR uległy poprawie oraz czy działania, które wcześniej były pomijane, są teraz niezawodnie wykrywane. Dla kierownictwa działu IT stanowi to przegląd sytuacji „przed i po” dla każdego scenariusza: oto, co zakładaliśmy, co zaobserwowaliśmy, co zmieniliśmy oraz o ile szybciej i niezawodniej możemy teraz reagować.

Jak to wygląda w praktyce: naruszenie bezpieczeństwa tożsamości w chmurze

Rozważmy scenariusz, który obecnie budzi obawy wielu organizacji: naruszenie bezpieczeństwa kluczowego dostawcy usług SaaS prowadzące do eskalacji uprawnień w chmurze.

  • Krok 1: Dane wywiadowcze dotyczące zagrożeń wskazują na aktywne ryzyko związane z łańcuchem dostaw w odniesieniu do dostawcy usług uwierzytelniających.
  • W kroku 2 w scenariuszu zakłada się, że system analityczny IAM wykryje nietypowe użycie tokenu, a centrum operacyjne SOC zidentyfikuje sprawcę w ciągu piętnastu minut, podczas gdy liczniki czasu dotyczące wczesnego ostrzegania w ramach NIS2 oraz sprawozdawczości zgodnie z RODO już działają.
  • W kroku 3 inżynierowie opracowują podręcznik TTP poświęcony kradzieży danych uwierzytelniających w chmurze oraz ścieżkom ponownego wykorzystania tokenów, dostosowany do Twojego środowiska.
  • Krok 4: purple team kradzieży tokenu. System EDR nie wykrywa ruchu odbywającego się wyłącznie w chmurze, a reguły SIEM nie uruchamiają się, ponieważ logi w chmurze są nieprawidłowo skonfigurowane.
  • W kroku 5 staje się jasne, że założenie dotyczące piętnastominutowego opanowania sytuacji było całkowicie nierealne w świetle dostępnych danych telemetrycznych; nie wygenerowano żadnego alarmu.
  • W kroku 6 poprawiono rejestrowanie, wdrożono wyszukiwanie korelacji w systemie IAM i ponownie uruchomiono scenariusz. Tym razem centrum SOC wykryło i zneutralizowało zagrożenie w ciągu dwunastu minut, potwierdzając tym samym swoje możliwości.

To właśnie tego rodzaju konkretna, poparta dowodami argumentacja ułatwia uzasadnienie działań w zakresie inżynierii wykrywania, inwestycji w systemy rejestrowania danych oraz zmian procesowych zarówno przed wewnętrznymi interesariuszami, jak i organami regulacyjnymi.

W jaki sposób Damovo może pomóc

Dzięki usługom Damovo Security Services opartym na platformie Lares organizacje mogą wdrożyć tę 6-etapową metodologię integracji z uwzględnieniem scenariuszy ataku we własnych środowiskach w ramach ciągłego programu weryfikacji, a nie tylko jednorazowego projektu.

Współpracując z Państwa zespołami IT i SOC, firma Damovo może pomóc Państwu w:

  • Opracuj realistyczne scenariusze uwzględniające potencjalne zagrożenia, które odzwierciedlają Twoje otoczenie i ryzyko związane z przepisami.
  • Stosuj schematy działania, które generują sprawdzalne hipotezy i protokoły decyzji, a nie ogólne listy zadań.
  • Przeprowadź ukierunkowane odtworzenie procedur TTP w celu zweryfikowania skuteczności wykrywania i reagowania w tych scenariuszach.
  • Oceń lukę w gotowości za pomocą wskaźników zrozumiałych dla zarządów, audytorów i organów regulacyjnych.

Stwórz powtarzalny cykl działań naprawczych i ponownych testów, który z czasem przyczyni się do poprawy wyników.

Niech Twój następny stół stanie się dowodem

Jeśli planujesz kolejne ćwiczenia symulacyjne, to jest to idealny moment, aby nadać im charakter wykraczający poza zwykłe warsztaty. Łącząc ćwiczenia symulacyjne (TTX) z analizą przebiegu (TTP) w ramach ustrukturyzowanego, sześciostopniowego cyklu, możesz przejść od hipotez i prezentacji slajdów do danych pomiarowych, harmonogramów i sprawdzonych usprawnień.

Kolejny krok: porozmawiaj z zespołem ds. obsługi klienta Damovo lub skontaktuj się bezpośrednio z zespołem Lares, aby dowiedzieć się, w jaki sposób możemy pomóc Ci wdrożyć 6-etapową metodologię integracji opartą na podejściu kontradyktoryjnym w Twojej organizacji.

Porozmawiaj z naszymi ekspertami
Dołącz do ponad 10 000 innych osób na liście mailingowej Damovo, aby otrzymywać najnowsze informacje i ekskluzywne treści.
Zapisz się teraz