Pyramid of Pain
Qu'est-ce que Pyramid of Pain ?
Pyramid of PainModèle de David Bianco classant les indicateurs de compromission selon le coût qu'il représente pour l'attaquant lorsqu'ils sont détectés ou bloqués.
La Pyramid of Pain, présentée par David Bianco en 2013, classe les indicateurs de compromission (IoCs) du moins coûteux au plus coûteux à modifier pour l'attaquant. De bas en haut : hashes (triviaux), adresses IP (faciles), noms de domaine (simples), artefacts réseau et hôte (gênants), outils (difficiles) et TTPs — tactics, techniques and procedures (très difficiles). Détecter les indicateurs bas n'apporte qu'une valeur éphémère car ils sont rapidement renouvelés ; détecter outils et TTPs force l'adversaire à refondre ses opérations. Le modèle est largement utilisé pour évaluer un programme de détection, prioriser l'analyse comportementale sur les signatures, et expliquer aux dirigeants pourquoi investir dans la détection TTP (règles Sigma, comportement EDR) offre une défense plus durable que le blocage d'IP ou de hashes individuels.
● Exemples
- 01
Écrire une règle Sigma pour le comportement de kerberoasting plutôt que de se reposer uniquement sur les hashes de samples passés.
- 02
Suivre la réutilisation par un adversaire d'un loader maison en mémoire (outil) sur plusieurs campagnes.
● Questions fréquentes
Qu'est-ce que Pyramid of Pain ?
Modèle de David Bianco classant les indicateurs de compromission selon le coût qu'il représente pour l'attaquant lorsqu'ils sont détectés ou bloqués. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Pyramid of Pain ?
Modèle de David Bianco classant les indicateurs de compromission selon le coût qu'il représente pour l'attaquant lorsqu'ils sont détectés ou bloqués.
Comment fonctionne Pyramid of Pain ?
La Pyramid of Pain, présentée par David Bianco en 2013, classe les indicateurs de compromission (IoCs) du moins coûteux au plus coûteux à modifier pour l'attaquant. De bas en haut : hashes (triviaux), adresses IP (faciles), noms de domaine (simples), artefacts réseau et hôte (gênants), outils (difficiles) et TTPs — tactics, techniques and procedures (très difficiles). Détecter les indicateurs bas n'apporte qu'une valeur éphémère car ils sont rapidement renouvelés ; détecter outils et TTPs force l'adversaire à refondre ses opérations. Le modèle est largement utilisé pour évaluer un programme de détection, prioriser l'analyse comportementale sur les signatures, et expliquer aux dirigeants pourquoi investir dans la détection TTP (règles Sigma, comportement EDR) offre une défense plus durable que le blocage d'IP ou de hashes individuels.
Comment se défendre contre Pyramid of Pain ?
Les défenses contre Pyramid of Pain combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
- defense-ops№ 1131
Tactiques, Techniques et Procédures (TTP)
Description en couches de la manière dont un acteur opère : tactiques (le pourquoi), techniques (le comment) et procédures (la mise en œuvre concrète).
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- defense-ops№ 1041
Regle Sigma
Signature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
- defense-ops№ 266
Renseignement sur les Menaces (CTI)
Connaissance fondée sur des preuves au sujet des adversaires, de leurs motivations et de leurs méthodes, utilisée pour orienter les décisions défensives et prioriser les contrôles.