هرم درد (Pyramid of Pain) چارچوبی حیاتی در امنیت سایبری است که توسط متخصص امنیت، دیوید جی. بیانکو (David J. Bianco)، در سال ۲۰۱۳ میلادی ارائه شد. این مدل، انواع مختلف اندیکاتورهای نفوذ (IoCs) و رفتارهای مهاجمان را بر اساس اینکه تغییر دادن یا دور زدن آنها برای مهاجم چقدر دشوار و پرهزینه است، دستهبندی میکند. هدف اصلی هرم درد این است که تیمهای دفاعی را راهنمایی کند تا تلاشهای خود را بر روی شاخصهایی متمرکز کنند که بیشترین اختلال و “درد” را برای مهاجمان ایجاد میکند، به ویژه تاکتیکها، تکنیکها و رویهها (TTPs). سازمانهایی که بر تشخیص سطح TTPs تمرکز میکنند، تا ۶۰٪ کاهش در حملات موفق گزارش کردهاند.
هرم درد چیست؟
هرم درد یک مدل سلسله مراتبی است که اندیکاتورهای تهدید را بر اساس سختی و هزینه عملیاتی که مهاجم برای تغییر آنها متحمل میشود، دستهبندی میکند. در این مدل، هرچه شاخص مورد نظر در سطوح بالاتری از هرم قرار گیرد، زمان، منابع و تخصص بیشتری برای مهاجم نیاز است تا پس از شناسایی و مسدود شدن، عملیات خود را از سر گیرد.
تمرکز بر رفتار مهاجم—که در بالاترین سطح هرم قرار دارد—به جای صرفاً مسدود کردن شاخصهای ایستا، مستقیماً با شیوههای دفاع مبتنی بر تهدید (Threat-Informed Defense) و چارچوبهایی مانند MITRE ATT&CK همسو است.
اهمیت هرم درد برای CTEM و AEV
این مدل نقشی حیاتی در دفاع آگاهانه از تهدید دارد، به ویژه زمانی که سازمانها مدیریت مداوم مواجهه با تهدید (CTEM) و اعتبارسنجی مواجهه با دشمن (AEV) را برای تأیید وضعیت امنیتی خود به کار میبرند. تقریباً تمامی IoCهای سطح پایین گذرا هستند و بهمرور زمان ارزش خود را از دست میدهند؛ اما رفتار مهاجم (TTPs) یک استثنا است. با هدف قرار دادن شاخصهای بالاتر هرم، یک برنامه امنیتی ایجاد میشود که نه تنها ابزارهای مهاجم را شناسایی میکند، بلکه نحوه عملکرد آنها را بهطور بنیادی مختل میسازد.
شش لایه هرم درد: از حداقل تا حداکثر درد مهاجم
هرم درد شامل شش سطح (که از نظر میزان درد و هزینه عملیاتی مهاجم، از پایین به بالا افزایش مییابد) است:
| سطح هرم | نوع شاخص (Indicator Type) | درد برای مهاجم (Attacker Pain) | توضیح و مثال (Explanation & Example) | نحوه اعتبار سنجی با AEV |
|---|---|---|---|---|
| ۶. TTPs | تاکتیکها، تکنیکها و رویهها | بسیار بالا/سخت | رفتارهای بنیادی مهاجم مانند حرکت جانبی (Lateral Movement) یا استخراج داده (Data Exfiltration). تغییر TTPs نیازمند بازنگری کامل در روش عملیاتی است. | اجرای زنجیره کامل حمله (Attack Chain) مطابق با MITRE ATT&CK برای آزمایش وضعیت امنیتی کلی. |
| ۵. ابزارها (Tools) | نرمافزارها و فریمورکهای حمله | بالا/چالشبرانگیز | ابزارهای خاص مانند Mimikatz یا Cobalt Strike. مسدود شدن ابزارها مهاجم را مجبور به توسعه یا کسب ابزارهای سفارشی جدید میکند که زمانبر و پرهزینه است. | استفاده از ابزارهای رایج مهاجم در محیط آزمایشگاهی برای تأیید هشدارها. |
| ۴. مصنوعات (Artifacts) | الگوهای میزبان و شبکه | متوسط/آزاردهنده | شواهد باقیمانده در سیستمها (مانند کلیدهای رجیستری، مسیرهای فایل) یا الگوهای ترافیکی (مانند ساختارهای URI یا User-Agents غیرمعمول). تغییر این موارد مستلزم اصلاح روشهای ارتباطی یا ردپای مهاجم در سیستم است. | ایجاد فایلهای خوشخیم که رفتارهای بدافزاری را تقلید میکنند برای اعتبارسنجی EDR. |
| ۳. نامهای دامنه (Domain Names) | آدرسهای اینترنتی | ساده/متوسط | دامنههایی که برای سرورهای فرماندهی و کنترل (C2) استفاده میشوند. جایگزینی آنها پرهزینهتر از IPهاست، زیرا مستلزم ثبت دامنه جدید و بهروزرسانی بدافزار است. | آزمایش پروکسیهای وب و فیلترینگ DNS از طریق دامنههای مخرب. |
| ۲. آدرسهای IP | موقعیتهای شبکه | آسان/کم | آدرسهایی که مهاجم میتواند به سرعت با جابجایی سرورها یا استفاده از پراکسیها (Fast Flux) آنها را تغییر دهد. باعث اختلال موقت میشود. | شبیهسازی ارتباط با IPهای مخرب برای آزمایش فایروال و سیستمهای IPS. |
| ۱. مقادیر هش (Hash Values) | امضای فایلهای منحصر به فرد | بسیار پایین/ناچیز | امضای فایلها (مانند SHA1, MD5). مهاجم میتواند به راحتی با تغییر جزئی در کد، یک هش جدید تولید کند (Recompile). | استقرار فایلهای مخرب شناخته شده برای اعتبارسنجی قابلیتهای آنتیویروس (AV) و EDR. |
مثال برای سطوح پایین: (هشها و IPها)
اگر یک سازمان هش بدافزار مورد استفاده یک مهاجم را مسدود کند، مهاجم میتواند به سادگی بدافزار را دوباره کامپایل کرده و هش جدیدی ایجاد کند، که این کار بسیار آسان است. به عنوان مثال، هش اجرایی مورد استفاده WannaCry یک شاخص سطح پایین است. اگر زیرساخت فرماندهی و کنترل (C2) مهاجم توسط IP یا دامنه پرچمگذاری شود، او میتواند به سرور دیگری مهاجرت کند.
مثال برای سطوح بالا: (TTPs و Artifacts)
اگر تیم امنیتی، تکنیکهای رفتاری مهاجم را مختل کند (مثلاً حرکت جانبی از طریق WMI)، مهاجم مجبور است کل رویکرد خود را دوباره طراحی کند. این کار دردناکترین تغییر است.
مثال Artifacts: بدافزار باجگیر Snatch برای پایداری در محیط Windows Safe Mode یک کلید رجیستری خاص را تغییر میدهد: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service شناسایی و مسدود کردن این نوع مصنوع میزبان (Host Artifact) مهاجم را مجبور میکند تا ردپای خود را در سیستم هدف تغییر دهد، که زمانبر و آزاردهنده است.
استفاده از هرم درد در عملیات امنیتی (SOC و MDR)
هرم درد به تیمهای SOC (مرکز عملیات امنیتی) و مدافعان شبکه کمک میکند تا تلاشهای تشخیص و پیشگیری خود را متمرکز سازند.
۱. اولویتبندی در تشخیص (Detection Prioritization)
استفاده مؤثر از هرم درد مستلزم آن است که تیمهای امنیتی منابع خود را بهطور فزایندهای از مدیریت خودکار شاخصهای سطح پایین (مانند مسدودسازی خودکار هش و IP) به سمت تحلیل رفتار و TTPs سوق دهند. اتوماسیون میتواند ۸۰ تا ۹۰ درصد از IoCهای سطح پایین را مدیریت کند، و تحلیلگران انسانی را برای تحلیل عمیق TTPها آزاد میسازد.
۲. افزایش کارایی Threat Hunting
هرم درد استراتژیهای Threat Hunting را هدایت میکند تا به جای جستجو برای شاخصهای ایستا، بر روی رفتارهای ثابت و TTPهایی متمرکز شوند که تغییر دادن آنها برای مهاجم سختتر است. تمرکز بر TTPها میتواند منجر به ۳ برابر بهبود در نرخ کشف (Discovery Rates) شود.
۳. نقش MDR و AEV
راهکارهای Managed Detection and Response – MDR (مانند Quzara Cybertorch™) و اعتبارسنجی مواجهه با دشمن – AEV به طور خاص برای هدف قرار دادن لایههای سختتر هرم طراحی شدهاند. آنها با استفاده از شکار تهدید فعال (Proactive Threat Hunting) و تحلیل پیشرفته، الگوها و رفتارهایی که نشاندهنده تهدیدات پیشرفته (APTs) هستند را شناسایی میکنند.
۴. چارچوبهای تکمیلی (MITRE Summiting the Pyramid)
چارچوب اصلی دیوید جی. بیانکو، چالشهایی در خصوص سنجش استحکام (Robustness) و انعطافپذیری (Resilience) شاخصهای تشخیص داشت. برای رفع این محدودیت، پروژه صعود به قله هرم MITRE Engenuity (Summiting the Pyramid – STP) معرفی شد.
STP هرم را از یک مدل مفهومی به یک روششناسی کمیسازی برای استحکام تشخیص تبدیل میکند. این روششناسی، استحکام تجزیه و تحلیلها را بر اساس مقاومت آنها در برابر تکنیکهای فرار دشمن ارزیابی میکند.
- سطوح STP: از سطح ۱ (به راحتی قابل دور زدن) تا سطح ۵ (نیازمند تغییرات بنیادی TTP) دستهبندی میشود.
- STP همچنین لایههایی از سیستمعامل (Application, User-mode, Kernel-mode) را در نظر میگیرد که دادههای حسگر در آنها تولید میشود، و این امر امکان توسعه راهکارهای تشخیصی دقیقتر و مقاومتر را فراهم میکند.
نتیجهگیری: به حداکثر رساندن هزینه عملیاتی مهاجم
هرم درد یک مدل استراتژیک است که اهمیت هدف قرار دادن IoCهایی را که بیشترین اختلال را برای مهاجمان ایجاد میکنند، برجسته میسازد. با تمرکز بر TTPها، سازمانها میتوانند مقاومت و وضعیت امنیت سایبری خود را به طور قابل توجهی ارتقا دهند.
هدف نهایی این است که مهاجم مجبور شود کل رویکرد عملیاتی خود را بازنگری کند—فرآیندی که میتواند زمان و منابع زیادی (گاهی سالها) به او تحمیل کند. این تغییر تمرکز از مسدودسازی واکنشی شاخصها به سمت تشخیص رفتاری فعال، توازن امنیت سایبری را به نفع مدافعان تغییر میدهد.
 در امنیت سایبری: ۶ سطح طلایی برای نابودی حملات هکرها و کاهش ۶۰٪ تهدیدهای سایبری){kind=link}
بدون دیدگاه