Entry № 993
痛苦金字塔
痛苦金字塔 是什么?
痛苦金字塔David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。
痛苦金字塔(Pyramid of Pain)由 David Bianco 于 2013 年提出,从攻击者修改成本由低到高排列各类入侵指标(IoC):哈希值(微不足道)、IP 地址(容易)、域名(简单)、网络与主机产物(令人讨厌)、工具(具有挑战)、TTP——战术、技术与程序(困难)。检测底层指标的价值短暂,因为攻击者很快就会更换;而检测工具与 TTP 则会迫使他们重新设计行动。该模型常用于评估检测项目、推动行为分析优先于纯特征匹配,并向管理层解释为什么投资基于 TTP 的检测(如 Sigma 规则、EDR 行为)比拦截个别 IP 或哈希更可持续。
● 示例
- 01
为 Kerberoasting 行为编写 Sigma 规则,而不是仅依赖历史样本的哈希。
- 02
跟踪某个攻击者在多个活动中重复使用其自研内存加载器(工具)的情况。
● 常见问题
痛苦金字塔 是什么?
David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。 它属于网络安全的 防御与运营 分类。
痛苦金字塔 是什么意思?
David Bianco 提出的模型,按攻击者更换某类 IoC 所付出的代价对其进行分级。
如何防御 痛苦金字塔?
针对 痛苦金字塔 的防御通常结合技术控制与运营实践,详见上方完整定义。