Когда защита превращается в игру: как «Пирамида боли» Дэвида Бьянко изменила наш взгляд на кибербезопасность
Иногда кибербезопасность кажется бесконечной гонкой: мы ставим защиту — хакеры находят лазейку.
Однажды наша команда наткнулась на идею, которая научила нас не просто реагировать на атаки, а заставлять атакующего страдать. Это — «Пирамида боли» Дэвида Бьянко.
Рассказываю, как она работает и как одна простая модель помогла нашей команде поймать то, что раньше ускользало.
Что такое "Пирамида боли"
Дэвид Бьянко, аналитик из Mandiant, в 2013 году предложил модель, которая показала, где действительно болит у хакера, когда его раскрывают. Все индикаторы угроз (IoC) выстраиваются в пирамиду — от лёгких до сложных для изменения.
Внизу — то, что можно поменять за минуты:
- IP-адреса — новый сервер, новая жизнь;
- Доменные имена — регистрируются десятками.
Выше идут:
- Артефакты в системе или сети,
- Инструменты (Tools),
- И на самой вершине вершине — TTPs (тактики, техники, процедуры).
Чем выше индикатор (уровень), тем больнее злоумышленнику, если вы его вычислили. Сменить IP легко, а изменить весь подход к атаке — дорого и долго.
Мой опыт: когда теория ожила на практике
Несколько лет назад я был членом команды Threat Hunting. Мы честно ловили хеши, блокировали IP, радовались, когда число срабатываний росло. Но радость длилась недолго: через неделю атаки возвращались — с другими адресами, слегка изменёнными файлами.
Тогда я вспомнил про «пирамиду боли» и предложил команде: «Хватит ловить хвосты. Надо смотреть на поведение».
Мы начали анализировать, что именно делают злоумышленники: какие процессы запускают, как двигаются внутри сети, какие команды выполняют. Построили правила, которые ловили не конкретный файл, а шаблон поведения.
Через месяц — результат.
Одна атака просто «сломалась» на середине пути. IP поменяли, но поведение выдало злоумышленников.
Вот тогда мы впервые поняли, что значит «доставить боль» в терминах Бьянко. Не уничтожить — а заставить изменить привычки.
Почему важно «причинять боль» правильно
В отчётах часто гордо пишут: «Мы заблокировали 50 тысяч IP». Но это как ловить рыбу сачком, пока вокруг буря. Настоящая победа — не в количестве блокировок, а в влиянии на противника.
Если он вынужден переписывать инструменты, менять тактику, адаптироваться — вы выиграли. Вы заставили его тратить время, деньги, внимание. А это — самые дорогие ресурсы атакующего.
Как использовать «пирамиду боли» на практике
- Автоматизируйте низ пирамиды
Пусть системы сами блокируют IP и хеши. Люди нужны там, где начинается аналитика.
- Соберите максимум телеметрии
Без логов, сетевых событий и поведения хостов не получится строить контекст.
- Ищите закономерности
Не конкретные вирусы, а цепочки действий, типичные для атак.
- Оценивайте “боль” противника
Если он просто сменил IP — вы не сделали ему больно. Если переписал инструменты — поздравляю, вы заставили его задуматься.
- Учитесь постоянно.
То, что сегодня вызывает боль, завтра может стать привычкой.
Финал
«Пирамида боли» — не модная теория, а способ мыслить стратегически.Не реагировать на атаки, а мешать им существовать.
Когда наша команда впервые применил её на практике, защита перестала быть гонкой вооружений. Она стала игрой — где выигрывает тот, кто понимает, что именно болит у противника.
И если вы работаете в кибербезопасности, задайте себе вопрос:
«Делаю ли я атакующему действительно больно?»
Ответ на него определит, насколько сильна ваша защита.
Спасибо за внимание
Подписывайтесь на наш канал в Дзене, чтобы не пропустить новые статьи и интересные материалы! Ваша подписка помогает нам делать для вас ещё больше интересных статей.
Подписывайтесь на наш Telegram-канал
#кибербезопасность #информационнаябезопасность #хакеры #пирамидаболи #дэвидбьянко #soc #threathunting #infosec #it #PyramidOfPain