A Pirâmide da Dor no contexto da Cibersegurança

No cenário atual de cibersegurança, proteger as organizações contra ameaças requer mais do que apenas monitorar alertas e bloquear IPs suspeitos. É necessário entender como dificultar a vida dos agentes maliciosos de maneira estratégica e eficiente. Nesse contexto, surge o conceito da Pirâmide da Dor — um modelo desenvolvido por David Bianco que ajuda equipes de segurança a focarem em ações de defesa que realmente “doem” no atacante, tornando cada movimento malintencionado mais complexo, arriscado e caro de executar.

Neste artigo, vamos explorar como a Pirâmide da Dor pode ser aplicada para priorizar a detecção de indicadores de comprometimento (IoCs) e aumentar a resiliência da sua defesa, com exemplos práticos que mostram o impacto de cada nível no esforço de resposta a incidentes.

O conceito da "Pirâmide da Dor" ou Pain Pyramid é utilizado na cibersegurança para demonstrar o nível de dificuldade em detectar e combater diferentes tipos de indicadores de comprometimento (IoCs - Indicators of Compromise). Esse modelo ajuda a priorizar os esforços de defesa e resposta a incidentes, analisando o quão doloroso (ou difícil) é para um atacante mudar suas técnicas, táticas ou ferramentas diante de uma ação de defesa.

Estrutura da Pirâmide da Dor

A pirâmide é dividida em 06 níveis que vão do mais fácil ao mais difícil de atuar, considerando a perspectiva de um atacante. Vamos a cada um desses níveis com exemplos:

1. Hash Values (Hashes de Arquivos)

• Definição: Representam a identidade digital de um arquivo (SHA-256, MD5, etc.).
• Exemplo: Você detecta que o arquivo malicioso "malware.exe" possui o hash e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855.
• Utilidade: É trivial para um atacante modificar um hash ao alterar pequenas partes do código ou recompilar o arquivo. Portanto, bloquear hashes é a ação de menor impacto para um atacante e, consequentemente, oferece uma defesa fraca e facilmente contornável.

2. IP Addresses (Endereços IP)

• Definição: Representam os endereços de comunicação dos servidores utilizados pelo atacante.
• Exemplo: Um C2 (Command and Control) do atacante se conecta a partir do IP 192.168.1.100.
• Utilidade: Bloquear IPs pode impedir a comunicação com servidores maliciosos. No entanto, é relativamente fácil para um atacante mudar o IP, por isso esse é um nível de defesa que também pode ser contornado com certa facilidade.

3. Domain Names (Domínios)

• Definição: Nomes de domínio usados pelos atacantes para hospedar servidores ou páginas maliciosas.
• Exemplo: O domínio malicious-site.com é usado para phishing.
• Utilidade: Bloquear domínios é um pouco mais difícil de contornar, já que envolve custos e a logística de registrar novos domínios. No entanto, ainda é uma ação que um atacante pode mudar rapidamente, adquirindo novos domínios ou usando domínios gerados automaticamente (DGAs).

4.1 Network Artifacts (Artefatos de Rede)

• Definição: Artefatos como padrões de comunicação, URI paths, headers HTTP específicos, entre outros.
• Exemplo: Um padrão de comunicação onde sempre há uma requisição POST para /admin/login.php.
• Utilidade: Alterar artefatos de rede já implica em mudanças no comportamento do malware ou das ferramentas utilizadas, e isso é mais difícil de modificar sem causar instabilidade ou atrair atenção. Defesas baseadas em artefatos de rede são mais resistentes.

4.2 Host Artifacts (Artefatos do Host)

• Definição: Artefatos no sistema alvo, como chaves de registro, processos executados, arquivos temporários gerados, etc.
• Exemplo: O malware cria um arquivo .tmp específico no diretório C:\Windows\Temp\ sempre que é executado.
• Utilidade: Modificar artefatos do host geralmente implica alterações no código do malware ou em seu comportamento, o que é mais trabalhoso. A detecção por artefatos do host exige maior esforço para ser contornada pelo atacante.

5. Tools (Ferramentas)

• Definição: Ferramentas específicas utilizadas pelos atacantes, como Cobalt Strike, Metasploit, Mimikatz, etc.
• Exemplo: O atacante utiliza Mimikatz para extrair hashes de senhas na memória.
• Utilidade: Mudar a ferramenta em uso pode afetar toda a operação de ataque, sendo bastante custoso para o atacante, pois envolve adquirir novas ferramentas ou desenvolver alternativas próprias.

6. Tactics, Techniques, and Procedures (TTPs - Táticas, Técnicas e Procedimentos)

• Definição: Descrevem o “como” um ataque é executado. Isso inclui a maneira como os atacantes ganham acesso inicial, movimento lateral, exfiltração de dados, etc.
• Exemplo: Um atacante pode usar phishing (tática) com anexo malicioso em PDF (técnica) e, após acesso, utilizar RDP para se mover lateralmente (procedimento).
• Utilidade: Mudar TTPs significa alterar fundamentalmente a estratégia de ataque. Isso requer muito mais esforço, pois muitas vezes os atacantes seguem um modus operandi que é difícil de modificar sem comprometer a eficácia ou aumentar os custos e tempo de desenvolvimento do ataque.

Utilidade na Cibersegurança

A Pirâmide da Dor é útil para orientar equipes de segurança na definição de estratégias de defesa. Em vez de focar apenas em bloquear hashes ou IPs, que são facilmente mutáveis, os defensores podem priorizar a detecção e mitigação de técnicas mais robustas e custosas para os atacantes modificarem, como artefatos de rede ou TTPs.

Exemplo Prático: Aplicando a Pirâmide da Dor

Imagine que sua equipe de segurança detecta um ataque de phishing com um payload malicioso. Ao analisar o incidente, você identifica:

1. O hash do arquivo executável (Hash Values).
2. O domínio e IP utilizados para hospedar o payload (Domain Names e IP Addresses).
3. O artefato do host que o malware cria (Host Artifacts).
4. A técnica utilizada para escalar privilégios no sistema (TTPs).

Com a Pirâmide da Dor, em vez de simplesmente bloquear o hash e IP, que são fáceis de modificar, você decide criar uma regra de detecção baseada no artefato criado no host e em como o malware tenta escalar privilégios. Isso força o atacante a modificar substancialmente seu malware, o que requer tempo, recursos e aumenta o risco de ser detectado em outras fases.

Conclusão

A Pirâmide da Dor é um modelo estratégico que permite às equipes de segurança focar seus esforços em indicadores que realmente afetam as operações adversárias, dificultando suas atividades e forçando-os a gastar mais tempo e recursos. Ao priorizar a detecção e mitigação nos níveis superiores da pirâmide — como TTPs e ferramentas —, as defesas se tornam mais eficazes, reduzindo as chances de sucesso dos ataques. Essa abordagem não apenas aumenta a resiliência do ambiente, mas também eleva o custo e a complexidade para os atacantes, tornando as defesas mais proativas e assertivas.