Pirâmide da Dor (Pyramid of Pain)
O que é Pirâmide da Dor (Pyramid of Pain)?
Pirâmide da Dor (Pyramid of Pain)Modelo de David Bianco que ordena os indicadores de compromisso pelo custo que representam para o atacante quando são detetados ou bloqueados.
A Pyramid of Pain, apresentada por David Bianco em 2013, ordena os indicadores de compromisso (IoCs) do mais trivial ao mais caro de alterar pelo adversário. De baixo para cima: hashes (triviais), endereços IP (fáceis), domínios (simples), artefactos de rede e de host (incómodos), ferramentas (desafiantes) e TTPs — tactics, techniques and procedures (difíceis). Detetar indicadores baixos traz valor efémero porque os atacantes rodam-nos rapidamente; detetar ferramentas e TTPs obriga-os a redesenhar operações. O modelo é amplamente usado para avaliar programas de deteção, priorizar analítica comportamental face a assinaturas e explicar à liderança porque investir em deteção baseada em TTP (regras Sigma, comportamento EDR) é mais sustentável do que bloquear IPs ou hashes isolados.
● Exemplos
- 01
Escrever uma regra Sigma para o comportamento de kerberoasting em vez de depender apenas de hashes de amostras passadas.
- 02
Acompanhar a reutilização por um adversário de um loader em memória próprio (ferramenta) em várias campanhas.
● Perguntas frequentes
O que é Pirâmide da Dor (Pyramid of Pain)?
Modelo de David Bianco que ordena os indicadores de compromisso pelo custo que representam para o atacante quando são detetados ou bloqueados. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Pirâmide da Dor (Pyramid of Pain)?
Modelo de David Bianco que ordena os indicadores de compromisso pelo custo que representam para o atacante quando são detetados ou bloqueados.
Como se defender contra Pirâmide da Dor (Pyramid of Pain)?
As defesas contra Pirâmide da Dor (Pyramid of Pain) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.