K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / breach-simulator

Synthetic Breach Simulator (F10) — bezpieczne ćwiczenie generujące evidence-pack

Kontrolowana, w pełni syntetyczna symulacja typowych scenariuszy incydentu (phishing, ransomware, data-breach, supply-chain, prompt-injection, agent-hijack), której celem jest przećwiczenie reakcji zespołu blue-team i wygenerowanie uporządkowanego pakietu dowodowego. Symulator opisuje wyłącznie przebieg zdarzenia od strony obrony — nie zawiera payloadów, narzędzi ani instrukcji przeprowadzenia ataku. Wszystkie dane są syntetyczne. Status: ROADMAP.

Bezpieczeństwo przede wszystkim. To narzędzie obronne (blue-team / GRC). Symuluje wyłącznie skutki i sygnały zdarzenia bezpieczeństwa po stronie obrony po to, by zespół przećwiczył wykrycie, triage i domknięcie — nie odtwarza sposobu przeprowadzenia ataku. Nie generuje i nie zawiera: payloadów, exploitów, złośliwych plików, poleceń, adresów C2 ani kroków umożliwiających realizację incydentu. Wszystkie artefakty (adresy, konta, hasze, logi) są syntetyczne i nie odnoszą się do rzeczywistych systemów. Nie wykonuje żadnych działań na infrastrukturze — nie skanuje, nie wysyła, nie modyfikuje.
6 scenariuszy syntetycznych → 1 uporządkowany evidence-pack.

Symulator odtwarza oś czasu incydentu (co widzi obrona, w jakiej kolejności, jakie sygnały pojawiają się w logach) i na tej podstawie buduje pakiet dowodowy zgodny z resztą orchestratora: manifest, znaczniki czasu, hasz integralności i chain-of-custody. Efekt to materiał do ćwiczeń, tabletop i oceny gotowości zespołu — bez dotykania systemów produkcyjnych.

PRZEPŁYW: wybór scenariuszasynteza osi czasusygnały & artefakty (syntetyczne)evidence-pack (hash + chain-of-custody)debrief & lessons-learned

Scenariusze syntetyczne

Każdy scenariusz opisuje perspektywę obrony: jakie sygnały się pojawiają i jakie decyzje powinien podjąć zespół. Kolumna Cel ćwiczenia = kompetencja blue-team, którą scenariusz sprawdza. Zero treści o charakterze napastniczym. Data weryfikacji: 2026-07-05.

ScenariuszCo symuluje (defensywnie)Sygnały do wykryciaCel ćwiczenia
Phishing social Zgłoszenie od pracownika o podejrzanej wiadomości i syntetyczny wpis w logu bramy pocztowej — bez treści samej wiadomości. Sygnał z filtra poczty, zgłoszenie użytkownika, anomalia logowania na koncie syntetycznym. Triage zgłoszenia, izolacja konta, komunikat do organizacji, próg eskalacji.
Ransomware availability Nagły wzrost operacji na plikach i alert z EDR w środowisku testowym — opis skutku, nie mechanizmu szyfrowania. Alert EDR, spadek dostępności usługi, anomalia I/O w metrykach syntetycznych. Procedura odcięcia, decyzja o odtworzeniu z backupu, uruchomienie komunikacji kryzysowej.
Data-breach confidentiality Sygnał o nietypowym wolumenie eksportu danych z konta serwisowego (dane syntetyczne) i pytanie o obowiązki notyfikacyjne. Anomalia DLP, nietypowy transfer, dostęp poza godzinami do zbioru testowego. Ocena zakresu, kwalifikacja obowiązku zgłoszenia (RODO / DORA — wsparcie decyzji), zabezpieczenie dowodów.
Supply-chain 3rd-party Powiadomienie o podatności w zależności zewnętrznej i syntetyczny wpis w SBOM — bez kodu i bez sposobu wykorzystania. Wpis w feedzie podatności, dopasowanie do SBOM, alert od dostawcy. Ocena ekspozycji, priorytetyzacja łatania, komunikacja z dostawcą i interesariuszami.
Prompt-injection AI Opis sytuacji, w której komponent AI otrzymuje treść próbującą zmienić jego zachowanie — opis kategorii ryzyka, nie treść wstrzyknięcia. Odchylenie od oczekiwanego zachowania modelu, wpis w logu guardraili, sygnał moderacji. Weryfikacja warstw ochronnych, procedura odcięcia komponentu AI, przegląd guardraili.
Agent-hijack AI-agent Syntetyczny sygnał, że agent wykonuje działania poza zakładanym zakresem uprawnień — perspektywa nadzoru, nie metoda przejęcia. Działanie poza politykami, wywołanie narzędzia poza whitelistą, anomalia w audit-logu agenta. Kill-switch agenta, przegląd uprawnień i zakresu, wzmocnienie nadzoru human-in-the-loop.

Co trafia do evidence-pack

Oś czasu incydentu

Uporządkowana sekwencja zdarzeń widzianych przez obronę, ze znacznikami czasu. Materiał do rekonstrukcji reakcji i pomiaru czasów (detekcja → triage → domknięcie).

Artefakty syntetyczne

Przykładowe wpisy logów, alerty i metadane — wszystkie oznaczone jako syntetyczne, bez odniesień do realnych systemów, kont czy adresów.

Integralność

Manifest pakietu z haszem sha256 i chain-of-custody, spójny z resztą orchestratora. Ćwiczenie generuje weryfikowalny artefakt, nie luźne notatki.

Debrief & lessons-learned

Szablon podsumowania: co wykryto, co zadziałało, gdzie były luki procesowe, jakie kroki naprawcze. Wejście do playbooków i planu ćwiczeń.

Etapy ćwiczenia

1 · Wybór scenariusza i zakresu. Zespół wybiera jeden z 6 scenariuszy oraz poziom trudności. Zakres jest ograniczony do środowiska ćwiczeniowego — nic nie dotyka systemów produkcyjnych.
2 · Synteza osi czasu. Symulator generuje uporządkowaną sekwencję sygnałów obronnych z syntetycznymi artefaktami. Brak jakichkolwiek treści umożliwiających przeprowadzenie ataku.
3 · Reakcja zespołu. Blue-team przechodzi triage, decyzje eskalacyjne i domknięcie, dokumentując kroki. Symulator rejestruje przebieg jako materiał dowodowy ćwiczenia.
4 · Evidence-pack. Pakiet (oś czasu + artefakty syntetyczne + manifest z haszem + chain-of-custody) zostaje zbudowany do przeglądu i weryfikacji na /verify.
5 · Debrief. Podsumowanie lessons-learned zasila playbooki i plan kolejnych ćwiczeń. Wnioski o charakterze incydentowym można odnotować przez /ai-incident.

Stan realizacji — uczciwie

6
Scenariuszy w projekcie
phishing · ransomware · data-breach · supply-chain · prompt-injection · agent-hijack
ROADMAP
Status funkcji
specyfikacja i model danych; brak dowodu kod+test+endpoint
100%
Dane syntetyczne
zero danych realnych, zero payloadów
LIVE
Format evidence-pack
manifest+hash+chain-of-custody istnieje w orchestratorze
Co jest już LIVE, a co ROADMAP. Format pakietu dowodowego (manifest, sha256, chain-of-custody) oraz weryfikacja na /verify działają dziś w orchestratorze i mają dowody. Sam Synthetic Breach Simulator (F10) jest na etapie ROADMAP — mamy specyfikację scenariuszy i model danych, ale nie ma jeszcze dowodu w postaci kodu, testu i endpointu. Zgodnie z doktryną claim ≤ proof nie prezentujemy tej funkcji jako gotowej.

Czego ta strona NIE oznacza

To nie jest narzędzie do ataku ani generator treści ataku. Symulator nie dostarcza payloadów, exploitów, poleceń ani żadnych materiałów umożliwiających przeprowadzenie incydentu. Odtwarza wyłącznie perspektywę obrony na zdarzeniach syntetycznych, po to by wzmocnić wykrywanie i reakcję.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Ćwiczenie sprawdza gotowość procesów i zespołu; nie orzeka o odporności systemów. Wnioski są wsparciem decyzji dla właścicieli ryzyka, a nie orzeczeniem o poziomie bezpieczeństwa.
Granica etyczna i prawna. Synthetic Breach Simulator jest narzędziem obrony i ćwiczeń (GRC / blue-team). Nie wykonuje nieautoryzowanych działań, skanów ani jakichkolwiek operacji na systemach. Kwalifikacje obowiązków (RODO / DORA / NIS2 / AI Act) pojawiające się w scenariuszach to wsparcie decyzji, nie porada prawna. Ćwiczenia o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement.

Powiązane: gotowe scenariusze reakcji → /playbooks · zgłoszenie i rejestr zdarzeń AI → /ai-incident · weryfikacja pakietu dowodowego → /verify.