Skip to content

Erklären Sie die Pyramid of Pain und wie sie bestimmt, wo Sie den Erkennungsaufwand investieren.

Kurzantwort

Die Pyramid of Pain ordnet Indikatortypen danach, wie aufwendig es für einen Angreifer ist, sie zu ändern, sobald Sie darauf erkennen. Hashes sind trivial zu verändern (unten), dann IP-Adressen, Domainnamen, Netzwerk-/Host-Artefakte, Werkzeuge und schließlich TTPs an der Spitze — die ein Angreifer nur ändern kann, indem er sein Verhalten grundlegend umrüstet. Auf höheren Ebenen zu erkennen verursacht mehr «Schmerz» und ist dauerhafter, daher investieren reife Programme den Erkennungsaufwand eher in Verhalten und TTPs als nur in IOCs.

Die Pyramid of Pain, eingeführt von David Bianco, ist ein Modell, um darüber nachzudenken, auf welche Arten von Indikatoren es sich lohnt zu erkennen. Ihre Kernerkenntnis: Nicht alle Indikatoren sind gleich, denn sie unterscheiden sich enorm darin, wie schwer es für einen Angreifer ist, sie auszutauschen, sobald Sie anfangen, sie zu blockieren.

Die Ebenen, von unten nach oben

  • Hash-Werte — trivial. Ein einziges geändertes Byte erzeugt einen neuen Hash; Angreifer kompilieren ständig neu.
  • IP-Adressen — einfach. In Minuten durch Hosting-Anbieter, VPNs oder Proxys rotieren.
  • Domainnamen — etwas schwieriger, aber billig mit DGAs und Massenregistrierung.
  • Netzwerk-/Host-Artefakte — lästig. User-Agent-Strings, Registry-Schlüssel, Dateipfade, die das Werkzeug hinterlässt.
  • Werkzeuge — anspruchsvoll. Einen Angreifer zu zwingen, ein neues Werkzeug zu finden oder zu bauen, kostet echten Aufwand.
  • TTPs — die Spitze. Taktiken, Techniken und Verfahren spiegeln wider, wie ein Angreifer vorgeht; sie zu ändern bedeutet, sein Handwerk neu zu erlernen.

Warum Höhe gleich Schmerz ist

Wenn Sie einen Hash blockieren, baut der Angreifer in Sekunden neu auf, und Sie haben wenig erreicht. Wenn Sie ein Verhalten erkennen — etwa Credential Dumping über LSASS-Zugriffsmuster — muss er eine neue Methode erfinden, um dasselbe Ziel zu erreichen, was teuer und langsam ist. Erkennung an der Spitze der Pyramide ist dauerhaft; an der Basis ist sie brüchig und verrauscht.

Praktische Konsequenz

Nutzen Sie IOC-Feeds, aber hören Sie da nicht auf. Verwenden Sie Ihren Detection-Engineering-Aufwand darauf, verhaltens- und TTP-basierte Regeln zu schreiben, die auf ATT&CK abgebildet sind.

Warum das wichtig ist

Interviewer nutzen dies, um Analysten, die flüchtigen IOCs nachjagen, von jenen zu unterscheiden, die verstehen, dass dauerhafte Erkennung auf das Verhalten des Angreifers zielt.

Wahrscheinliche Anschlussfragen

  • Warum gelten Datei-Hashes als der schwächste Indikator zum Erkennen?
  • Nennen Sie ein Beispiel für eine Erkennung auf TTP-Ebene im Vergleich zu einer auf IOC-Ebene.
  • Wie verändert die Pyramide, wie Sie Threat-Intel-Feeds nutzen?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.