Pyramid of Pain
Что такое Pyramid of Pain?
Pyramid of PainМодель Дэвида Бианко, ранжирующая индикаторы компрометации по тому, насколько «болезненно» противнику, когда защитники их обнаруживают или блокируют.
Pyramid of Pain, представленная Дэвидом Бианко в 2013 году, ранжирует индикаторы компрометации (IoC) от тривиальных до самых затратных для смены атакующим. Снизу вверх: хэши (тривиально), IP-адреса (легко), домены (просто), сетевые и хостовые артефакты (раздражающе), инструменты (сложно) и TTP — тактики, техники и процедуры (по-настоящему трудно). Обнаружение нижних уровней даёт короткий эффект, так как противник быстро их меняет; детектирование инструментов и TTP заставляет его перестраивать всю операцию. Модель широко применяется для оценки программ детектирования, обоснования приоритета поведенческой аналитики перед сигнатурами и объяснения руководству, почему инвестиции в TTP-детект (Sigma-правила, поведение EDR) дают более устойчивую защиту, чем блокировка отдельных IP и хэшей.
● Примеры
- 01
Написание Sigma-правила на поведение kerberoasting вместо опоры исключительно на хэши прошлых образцов.
- 02
Отслеживание повторного использования атакующим собственного in-memory-загрузчика (инструмента) в нескольких кампаниях.
● Частые вопросы
Что такое Pyramid of Pain?
Модель Дэвида Бианко, ранжирующая индикаторы компрометации по тому, насколько «болезненно» противнику, когда защитники их обнаруживают или блокируют. Относится к категории Защита и операции в кибербезопасности.
Что означает Pyramid of Pain?
Модель Дэвида Бианко, ранжирующая индикаторы компрометации по тому, насколько «болезненно» противнику, когда защитники их обнаруживают или блокируют.
Как работает Pyramid of Pain?
Pyramid of Pain, представленная Дэвидом Бианко в 2013 году, ранжирует индикаторы компрометации (IoC) от тривиальных до самых затратных для смены атакующим. Снизу вверх: хэши (тривиально), IP-адреса (легко), домены (просто), сетевые и хостовые артефакты (раздражающе), инструменты (сложно) и TTP — тактики, техники и процедуры (по-настоящему трудно). Обнаружение нижних уровней даёт короткий эффект, так как противник быстро их меняет; детектирование инструментов и TTP заставляет его перестраивать всю операцию. Модель широко применяется для оценки программ детектирования, обоснования приоритета поведенческой аналитики перед сигнатурами и объяснения руководству, почему инвестиции в TTP-детект (Sigma-правила, поведение EDR) дают более устойчивую защиту, чем блокировка отдельных IP и хэшей.
Как защититься от Pyramid of Pain?
Защита от Pyramid of Pain обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
- defense-ops№ 1131
Тактики, техники и процедуры (TTP)
Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 1041
Правило Sigma
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
- defense-ops№ 266
Киберразведка угроз (CTI)
Основанное на доказательствах знание о противниках, их мотивах и методах, используемое для принятия защитных решений и приоритизации мер контроля.