Pyramid of Pain(痛みのピラミッド)
Pyramid of Pain(痛みのピラミッド) とは何ですか?
Pyramid of Pain(痛みのピラミッド)David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。
Pyramid of Pain は、David Bianco が 2013 年に提唱したモデルで、侵害指標(IoC)を「攻撃者がそれを変更するコスト」の観点で下から上に並べます。下から順に、ハッシュ値(取るに足らない)、IP アドレス(容易)、ドメイン名(単純)、ネットワーク・ホストアーティファクト(厄介)、ツール(挑戦的)、TTP——戦術・技術・手順(困難)。下層の指標を検知してもすぐにローテーションされるため効果は短命で、一方ツールや TTP の検知は攻撃者にオペレーションそのものの再設計を強います。本モデルは検知プログラムの評価、シグネチャ偏重から振る舞い分析へのシフトの根拠、そして「個別 IP やハッシュのブロックよりも TTP ベース検知(Sigma ルール、EDR の振る舞い)が持続可能」と経営層に説明する際に広く用いられます。
● 例
- 01
過去サンプルのハッシュだけに頼らず、Kerberoasting の振る舞いに対する Sigma ルールを書く。
- 02
ある攻撃者が独自のインメモリローダー(ツール)を複数のキャンペーンで使い回している様子を追跡する。
● よくある質問
Pyramid of Pain(痛みのピラミッド) とは何ですか?
David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Pyramid of Pain(痛みのピラミッド) とはどういう意味ですか?
David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。
Pyramid of Pain(痛みのピラミッド) からどのように防御しますか?
Pyramid of Pain(痛みのピラミッド) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。