Pirâmide da Dor (Pyramid of Pain)
O que é Pirâmide da Dor (Pyramid of Pain)?
Pirâmide da Dor (Pyramid of Pain)Modelo de David Bianco que ordena os indicadores de compromisso pelo custo que representam para o atacante quando são detetados ou bloqueados.
A Pyramid of Pain, apresentada por David Bianco em 2013, ordena os indicadores de compromisso (IoCs) do mais trivial ao mais caro de alterar pelo adversário. De baixo para cima: hashes (triviais), endereços IP (fáceis), domínios (simples), artefactos de rede e de host (incómodos), ferramentas (desafiantes) e TTPs — tactics, techniques and procedures (difíceis). Detetar indicadores baixos traz valor efémero porque os atacantes rodam-nos rapidamente; detetar ferramentas e TTPs obriga-os a redesenhar operações. O modelo é amplamente usado para avaliar programas de deteção, priorizar analítica comportamental face a assinaturas e explicar à liderança porque investir em deteção baseada em TTP (regras Sigma, comportamento EDR) é mais sustentável do que bloquear IPs ou hashes isolados.
● Exemplos
- 01
Escrever uma regra Sigma para o comportamento de kerberoasting em vez de depender apenas de hashes de amostras passadas.
- 02
Acompanhar a reutilização por um adversário de um loader em memória próprio (ferramenta) em várias campanhas.
● Perguntas frequentes
O que é Pirâmide da Dor (Pyramid of Pain)?
Modelo de David Bianco que ordena os indicadores de compromisso pelo custo que representam para o atacante quando são detetados ou bloqueados. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Pirâmide da Dor (Pyramid of Pain)?
Modelo de David Bianco que ordena os indicadores de compromisso pelo custo que representam para o atacante quando são detetados ou bloqueados.
Como funciona Pirâmide da Dor (Pyramid of Pain)?
A Pyramid of Pain, apresentada por David Bianco em 2013, ordena os indicadores de compromisso (IoCs) do mais trivial ao mais caro de alterar pelo adversário. De baixo para cima: hashes (triviais), endereços IP (fáceis), domínios (simples), artefactos de rede e de host (incómodos), ferramentas (desafiantes) e TTPs — tactics, techniques and procedures (difíceis). Detetar indicadores baixos traz valor efémero porque os atacantes rodam-nos rapidamente; detetar ferramentas e TTPs obriga-os a redesenhar operações. O modelo é amplamente usado para avaliar programas de deteção, priorizar analítica comportamental face a assinaturas e explicar à liderança porque investir em deteção baseada em TTP (regras Sigma, comportamento EDR) é mais sustentável do que bloquear IPs ou hashes isolados.
Como se defender contra Pirâmide da Dor (Pyramid of Pain)?
As defesas contra Pirâmide da Dor (Pyramid of Pain) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- defense-ops№ 527
Indicador de Comprometimento (IoC)
Artefato observável — como hash, IP, domínio, URL ou chave de registro — que indica que um sistema foi ou está sendo comprometido.
- defense-ops№ 1131
Táticas, Técnicas e Procedimentos (TTPs)
Descrição em camadas de como um ator de ameaça opera: táticas (o porquê), técnicas (o como) e procedimentos (a implementação específica).
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- defense-ops№ 1041
Regra Sigma
Assinatura de deteccao agnostica de fornecedor, em YAML, voltada a eventos de log que pode ser convertida em queries de SIEM, EDR ou XDR.
- defense-ops№ 266
Inteligência de Ameaças Cibernéticas (CTI)
Conhecimento baseado em evidências sobre adversários, suas motivações e métodos, utilizado para informar decisões defensivas e priorizar controles.