Pyramid of Pain(痛みのピラミッド)
Pyramid of Pain(痛みのピラミッド) とは何ですか?
Pyramid of Pain(痛みのピラミッド)David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。
Pyramid of Pain は、David Bianco が 2013 年に提唱したモデルで、侵害指標(IoC)を「攻撃者がそれを変更するコスト」の観点で下から上に並べます。下から順に、ハッシュ値(取るに足らない)、IP アドレス(容易)、ドメイン名(単純)、ネットワーク・ホストアーティファクト(厄介)、ツール(挑戦的)、TTP——戦術・技術・手順(困難)。下層の指標を検知してもすぐにローテーションされるため効果は短命で、一方ツールや TTP の検知は攻撃者にオペレーションそのものの再設計を強います。本モデルは検知プログラムの評価、シグネチャ偏重から振る舞い分析へのシフトの根拠、そして「個別 IP やハッシュのブロックよりも TTP ベース検知(Sigma ルール、EDR の振る舞い)が持続可能」と経営層に説明する際に広く用いられます。
● 例
- 01
過去サンプルのハッシュだけに頼らず、Kerberoasting の振る舞いに対する Sigma ルールを書く。
- 02
ある攻撃者が独自のインメモリローダー(ツール)を複数のキャンペーンで使い回している様子を追跡する。
● よくある質問
Pyramid of Pain(痛みのピラミッド) とは何ですか?
David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Pyramid of Pain(痛みのピラミッド) とはどういう意味ですか?
David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。
Pyramid of Pain(痛みのピラミッド) はどのように機能しますか?
Pyramid of Pain は、David Bianco が 2013 年に提唱したモデルで、侵害指標(IoC)を「攻撃者がそれを変更するコスト」の観点で下から上に並べます。下から順に、ハッシュ値(取るに足らない)、IP アドレス(容易)、ドメイン名(単純)、ネットワーク・ホストアーティファクト(厄介)、ツール(挑戦的)、TTP——戦術・技術・手順(困難)。下層の指標を検知してもすぐにローテーションされるため効果は短命で、一方ツールや TTP の検知は攻撃者にオペレーションそのものの再設計を強います。本モデルは検知プログラムの評価、シグネチャ偏重から振る舞い分析へのシフトの根拠、そして「個別 IP やハッシュのブロックよりも TTP ベース検知(Sigma ルール、EDR の振る舞い)が持続可能」と経営層に説明する際に広く用いられます。
Pyramid of Pain(痛みのピラミッド) からどのように防御しますか?
Pyramid of Pain(痛みのピラミッド) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- defense-ops№ 527
侵害指標(IoC)
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
- defense-ops№ 1131
戦術・技術・手順(TTPs)
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 1041
Sigma ルール
ベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
- defense-ops№ 266
サイバー脅威インテリジェンス(CTI)
攻撃者・その動機・手口に関する証拠に基づく知見を体系化し、防御判断や統制の優先順位付けに活用する取り組み。