Lun. Lug 22nd, 2024
    pyramid of painI sei livelli della Pyramid of Pain

    La Pyramid of Pain, creata da David J. Bianco nel 2013, rappresenta un modello concettuale fondamentale nel campo della cybersecurity. Questa piramide aiuta i professionisti della sicurezza a classificare e contrastare efficacemente le minacce informatiche, organizzando gli indicatori di compromissione (IoC) in sei diversi livelli​​​​.

    Questo semplice diagramma mostra la relazione tra i tipi di indicatori che si possono utilizzare per rilevare le attività di un attaccante e la quantità di “sofferenze” che gli si causerebbe nel momento in cui si nega la visibilità su tali indicatori.

    I Livelli della Pyramid of Pain

    Partendo dal basso verso l’alto, la piramide include i seguenti livelli:

    1. Valori Hash: I valori hash, come SHA-1 e MD5, sono considerati i più semplici IoC e si trovano alla base della piramide. Sono facili da cambiare per gli attaccanti, quindi offrono un basso livello di “dolore” se scoperti​​.
    2. Indirizzi IP: Gli indirizzi IP, sebbene un po’ più difficili da gestire rispetto ai valori hash, sono ancora relativamente semplici da cambiare per un attaccante​​.
    3. Nomi di Dominio: I nomi di dominio sono più complessi da modificare rispetto agli indirizzi IP e richiedono più sforzi da parte degli aggressori per essere gestiti​​.
    4. Artifatti di Rete/Host: Questi includono strumenti specifici o metodi di attacco utilizzati dagli aggressori. Cambiarli richiede più tempo e sforzo, aumentando così il loro “dolore”​​.
    5. Strumenti: Gli strumenti usati dagli aggressori, come malware o software di hacking, possono essere difficili e costosi da sviluppare e modificare​​.
    6. TTP (Tattiche, Tecniche e Procedure): Le TTP rappresentano le strategie specifiche utilizzate dagli aggressori. Modificare le TTP richiede un notevole sforzo e può avere un impatto significativo sulla loro efficacia​​.

    Applicazione Pratica della Pyramid of Pain

    La Pyramid of Pain non è solo teorica; ha applicazioni pratiche significative nella cybersecurity.
    Per esempio, se un attaccante usa malware per infettare un endpoint, un difensore saprà che dovrà usare più dei soli valori hash per rilevare tale comportamento, poiché gli attaccanti possono semplicemente ricompilare il malware rendendo inutile il valore hash originale (Livello 1, “Trivial”).
    Allo stesso modo, l’uso di blacklist di indirizzi IP, blocchi CIDR o range ASN per interrompere la comunicazione di rete malevola può essere facilmente eluso dagli attaccanti spostando la loro infrastruttura di Command and Control (C2) ​(Livello 2, “Easy”).

    L’uso nella Cyber Threat Intelligence

    La Pyramid of Pain permette l’uso efficace della Cyber Threat Intelligence (CTI) nelle operazioni di Threat Detection. Essa fornisce un elenco di priorità ascendente di indicatori contro cui applicare i controlli di sicurezza. Ad esempio, i valori hash, gli indirizzi IP e i domini sono accessibili tramite feed di micro threat intelligence o feed di threat intelligence commerciali. Tuttavia, solo i programmi di sicurezza più resilienti incorporeranno la capacità di rilevare e prevenire le TTP, che descrivono e aiutano a prevedere il comportamento futuro degli attaccanti. Le TTP degli attaccanti possono essere acquisite tramite report di threat intelligence strategica, feed come STIX/STIX2 e framework come MITRE ATT&CK​​.

    Conclusione

    La Pyramid of Pain fornisce una guida per rendere più difficile e costosa la vita agli attaccanti, spingendoli verso tecniche e strumenti più avanzati e meno facilmente rilevabili. Concentrandosi su IoC più elevati nella piramide, le aziende e le organizzazioni possono aumentare significativamente l’efficacia delle loro strategie di cybersecurity e della loro CTI.