痛苦金字塔
痛苦金字塔 是什么?
痛苦金字塔David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。
痛苦金字塔(Pyramid of Pain)由 David Bianco 于 2013 年提出,从攻击者修改成本由低到高排列各类入侵指标(IoC):哈希值(微不足道)、IP 地址(容易)、域名(简单)、网络与主机产物(令人讨厌)、工具(具有挑战)、TTP——战术、技术与程序(困难)。检测底层指标的价值短暂,因为攻击者很快就会更换;而检测工具与 TTP 则会迫使他们重新设计行动。该模型常用于评估检测项目、推动行为分析优先于纯特征匹配,并向管理层解释为什么投资基于 TTP 的检测(如 Sigma 规则、EDR 行为)比拦截个别 IP 或哈希更可持续。
● 示例
- 01
为 Kerberoasting 行为编写 Sigma 规则,而不是仅依赖历史样本的哈希。
- 02
跟踪某个攻击者在多个活动中重复使用其自研内存加载器(工具)的情况。
● 常见问题
痛苦金字塔 是什么?
David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。 它属于网络安全的 防御与运营 分类。
痛苦金字塔 是什么意思?
David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。
痛苦金字塔 是如何工作的?
痛苦金字塔(Pyramid of Pain)由 David Bianco 于 2013 年提出,从攻击者修改成本由低到高排列各类入侵指标(IoC):哈希值(微不足道)、IP 地址(容易)、域名(简单)、网络与主机产物(令人讨厌)、工具(具有挑战)、TTP——战术、技术与程序(困难)。检测底层指标的价值短暂,因为攻击者很快就会更换;而检测工具与 TTP 则会迫使他们重新设计行动。该模型常用于评估检测项目、推动行为分析优先于纯特征匹配,并向管理层解释为什么投资基于 TTP 的检测(如 Sigma 规则、EDR 行为)比拦截个别 IP 或哈希更可持续。
如何防御 痛苦金字塔?
针对 痛苦金字塔 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 1041
Sigma 规则
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
- defense-ops№ 266
网络威胁情报(CTI)
基于证据的对手知识体系,涵盖其动机和手法,用于支持防御决策并优先安排控制措施。