Pyramid of Pain
Was ist Pyramid of Pain?
Pyramid of PainModell von David Bianco, das Indicators of Compromise danach einstuft, wie schmerzhaft ihre Erkennung oder Sperrung für Angreifer ist.
Die Pyramid of Pain, 2013 von David Bianco vorgestellt, ordnet Indicators of Compromise (IoCs) danach, wie aufwendig sie für Angreifer zu ändern sind. Von unten nach oben: Hashes (trivial), IP-Adressen (einfach), Domains (überschaubar), Netzwerk- und Host-Artefakte (lästig), Tools (anspruchsvoll) und TTPs – Tactics, Techniques and Procedures (richtig hart). Erkennungen auf unteren Ebenen verlieren schnell an Wert, weil Angreifer dort schnell rotieren; das Detektieren von Tools und TTPs zwingt sie zu echtem Umbau ihrer Operationen. Das Modell wird breit eingesetzt, um Detection-Programme zu bewerten, Behaviour Analytics gegenüber reinen Signaturen zu priorisieren und Leitungsebenen zu erklären, warum Investitionen in TTP-basierte Detection (Sigma-Regeln, EDR-Verhalten) nachhaltiger sind.
● Beispiele
- 01
Eine Sigma-Regel für Kerberoasting-Verhalten schreiben, statt nur Hashes alter Samples zu blocken.
- 02
Die Wiederverwendung eines eigenen In-Memory-Loaders (Tool) durch einen Angreifer über mehrere Kampagnen verfolgen.
● Häufige Fragen
Was ist Pyramid of Pain?
Modell von David Bianco, das Indicators of Compromise danach einstuft, wie schmerzhaft ihre Erkennung oder Sperrung für Angreifer ist. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Pyramid of Pain?
Modell von David Bianco, das Indicators of Compromise danach einstuft, wie schmerzhaft ihre Erkennung oder Sperrung für Angreifer ist.
Wie funktioniert Pyramid of Pain?
Die Pyramid of Pain, 2013 von David Bianco vorgestellt, ordnet Indicators of Compromise (IoCs) danach, wie aufwendig sie für Angreifer zu ändern sind. Von unten nach oben: Hashes (trivial), IP-Adressen (einfach), Domains (überschaubar), Netzwerk- und Host-Artefakte (lästig), Tools (anspruchsvoll) und TTPs – Tactics, Techniques and Procedures (richtig hart). Erkennungen auf unteren Ebenen verlieren schnell an Wert, weil Angreifer dort schnell rotieren; das Detektieren von Tools und TTPs zwingt sie zu echtem Umbau ihrer Operationen. Das Modell wird breit eingesetzt, um Detection-Programme zu bewerten, Behaviour Analytics gegenüber reinen Signaturen zu priorisieren und Leitungsebenen zu erklären, warum Investitionen in TTP-basierte Detection (Sigma-Regeln, EDR-Verhalten) nachhaltiger sind.
Wie schützt man sich gegen Pyramid of Pain?
Schutzmaßnahmen gegen Pyramid of Pain kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- defense-ops№ 527
Indicator of Compromise (IoC)
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
- defense-ops№ 1131
Tactics, Techniques and Procedures (TTPs)
Geschichtete Beschreibung der Arbeitsweise eines Bedrohungsakteurs: Taktiken (das Warum), Techniken (das Wie) und Procedures (die konkrete Umsetzung).
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 1041
Sigma-Regel
Eine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
- defense-ops№ 266
Cyber Threat Intelligence (CTI)
Evidenzbasiertes Wissen über Angreifer, ihre Motivationen und Methoden, das defensive Entscheidungen unterstützt und Kontrollen priorisiert.