Expliquez la Pyramid of Pain et comment elle façonne l'endroit où vous investissez l'effort de détection.
Réponse courte
La Pyramid of Pain classe les types d'indicateurs selon le coût pour un attaquant de les modifier une fois que vous détectez dessus. Les hashs sont triviaux à altérer (en bas), puis les adresses IP, les noms de domaine, les artefacts réseau/hôte, les outils, et enfin les TTP au sommet — qu'un attaquant ne peut changer qu'en réoutillant fondamentalement son comportement. Détecter aux niveaux supérieurs cause plus de « douleur » et est plus durable, donc les programmes matures investissent l'effort de détection vers les comportements et les TTP plutôt que les seuls IOC.
La Pyramid of Pain, introduite par David Bianco, est un modèle pour réfléchir aux types d'indicateurs sur lesquels il vaut la peine de détecter. Son idée centrale : tous les indicateurs ne se valent pas, car ils diffèrent énormément quant à la difficulté pour un adversaire de les remplacer une fois que vous commencez à les bloquer.
Les niveaux, de bas en haut
- Valeurs de hash — triviales. Un seul octet modifié produit un nouveau hash ; les attaquants recompilent sans cesse.
- Adresses IP — faciles. Faire tourner les hébergeurs, VPN ou proxys en quelques minutes.
- Noms de domaine — un peu plus difficiles, mais peu coûteux avec les DGA et l'enregistrement en masse.
- Artefacts réseau/hôte — agaçants. Chaînes user-agent, clés de registre, chemins de fichiers que l'outillage laisse derrière lui.
- Outils — ardus. Forcer un attaquant à trouver ou construire un nouvel outil coûte un effort réel.
- TTP — le sommet. Les tactiques, techniques et procédures reflètent comment opère un adversaire ; les changer signifie réapprendre son métier.
Pourquoi la hauteur égale la douleur
Si vous bloquez un hash, l'attaquant reconstruit en quelques secondes et vous n'avez pas accompli grand-chose. Si vous détectez un comportement — disons, le vol d'identifiants via les motifs d'accès à LSASS — il doit inventer une nouvelle façon d'atteindre le même but, ce qui est coûteux et lent. La détection au sommet de la pyramide est durable ; au bas, elle est fragile et bruyante.
Implication pratique
Consommez les flux d'IOC, mais ne vous arrêtez pas là. Consacrez votre effort d'ingénierie de détection à écrire des règles basées sur le comportement et les TTP, mappées sur ATT&CK.
Pourquoi c'est important
Les recruteurs s'en servent pour distinguer les analystes qui poursuivent des IOC éphémères de ceux qui comprennent que la détection durable cible le comportement de l'attaquant.
Questions de suivi probables
- Pourquoi les hashs de fichiers sont-ils considérés comme l'indicateur le plus faible à détecter ?
- Donnez un exemple de détection au niveau TTP par opposition au niveau IOC.
- Comment la pyramide change-t-elle votre manière de consommer les flux de threat intel ?