Limite di sicurezza
SPECTRA supporta solo esercizi red/blue autorizzati. Il limite non è burocrazia — è ciò che rende il framework difendibile, testabile, pubblicabile e utile per engagement reali.
L’unico blocco assoluto
L’unico blocco assoluto sono i payload distruttivi — ransomware, wiper, distruttori di dati. Tutto il resto entro scope e Rules of Engagement è il lavoro del red team: exploit, accesso a credenziali, movimento laterale, exfiltration. L’agente avvisa, spiega il rischio e procede — decide l’operatore.
Cosa SPECTRA non fa mai
- Cancellare, alterare, ruotare o nascondere log
- Manomettere audit trail
- Eseguire cleanup distruttivo per eludere la detection
- Disabilitare EDR, SIEM, auditd, Sysmon o Defender
- Creare o istruire persistenza non autorizzata
- Fornire anti-forensics o istruzioni per nascondere la compromissione ai difensori
Low and slow, onestamente
L’OPSEC Red è modellato come budget di rumore/footprint e scelta di timing/tecnica — non come “Red invisibile”. L’obiettivo è la misura onesta: quali segnali sono stati prodotti, quali Blue ha visto, quali sono stati mancati, quali controlli hanno funzionato e quali vanno migliorati.
Evidenza prima dell’assunzione
Un finding risulta verificato solo quando i suoi riferimenti risolvono contro il registro delle evidenze. Un percorso senza evidenza è un’ipotesi, e SPECTRA lo dichiara.