The Pyramid of Pain

The pyramid of pain(고통의 피라미드)

고통의 피라미드

Pyramid of Pain (PoP) 는 위협 탐지 방어 작업에서 사이버 위협을 효과적으로  잘 표현하기 위해 사용하는 모델이다

IOC(Indicators of Compromise)(침해지표) 형태를 6단계로 구분한 형태로

인텔리전스의 유용성을 측정하고 인시던트 대응과 위협 탐지에 중점을 둔다.. 

즉 보안 체계를 잘 구축하여 공격자를 Tough! 한 단계까지 이끌어 가는 것이고 상위 단계로 갈수록 IOC를 분석하기 어려운 단계이다.  

 

Types of Indicators (지표의 종류 ) 

1. Trivial (사소함 ) - Hash Values 

 파일 hash 값(SHA1,MD5 ... )을 기반으로 멀웨어 샘플을 검색 또는 연관된 파일에 대한 고유한 참조를 제공 

 

2. Easy (쉬움 ) - IP Addresses 

IP 주소는 공격에 출처를 나타내는 지표 중 기본. 물론 프록시 서비스를 이용하여 IP 세탁을 하고 들어올수도 있다. 

 

3.Simple (간단함) - Domain Names 

 도메인 이름 (예 : naver.com)  자체 또는 하위 도메인 이름(예: cafe.naver.com) 일수도 있다 

 

4. Annoying (번거로움) - Network/ Host Artifacts

  network artifacts는 악의적인 사용자와 정상적인 사용자를 구분하는 활동 

  host artifacts는 악의적인 활동을 식별하여 정상적인 활동으로부터 구분하는 호스트에서 공격 활동으로 인해 발생하는 옵저버블 

 

5. Challenging (어려움) - Tools

Tool은 공격자가 사용하는 여러가지 종류의 소프트웨어인데 기존 코드 및 소프트웨어를 상호작용하기위해 소프트웨어와 함께 제공되는 일종의 소프트웨어 일수도 있다. 또한 소프트웨어 자체에는 악의적이지 않을수도 있지만 

특정 사용, 시간대, 사용 위치 등 전체적인 흐름을 읽어서 악의적이거나 의심스러울수도 있다. 

 

6.  Tough (더 어려움) - TTPs

전술 , 기술, 절차는 피라미드 상단으로 공격자가 타겟의 정보수집 부터 데이터 유출까지 모든 단계가 포함 된다.