Koncept Vyhledávání hrozeb u Pyramidy bolesti (v angličtině vytvořený Davidem Biancem) popisuje reálnou účinnost způsobů, kterými se detektivové a počítačoví experti (tzv. Blue teameři) snaží zamezit útokům. Název reflektuje “míru bolesti”, kterou prožijí samotní škůdci, když jim tyto různé obranné postupy odeberete a zablokujete.

Tato pyramida má zhruba 6 odlišných pater, od těch nejméně bolavých z pohledu útočníka, po ty naprosto devastující a nejtěžší na blokaci:

1. Hash hodnoty (Nejmenší bolest pro útočníka - Trivial)

Tím, že jako administrátor zablokujete na firewallu nějaké staré MD5 nebo SHA256 hashe určitého Malwaru, neděláte pro útočníka velkou bariéru. Hash lze totiž změnit přidáním jediného znaku (nebo mezerou) do infikovaného souboru, čímž útočník rázem všechnu detekci obejde.

2. IP Adresy (Nízká bolest - Easy)

Zablokovat útočníkovu IP adresu už vyžaduje jeho miniaturní aktivitu v nápravě. Často musí změnit proxy, zakoupit novou VPS, či resetovat síť, ale pořád jej to zdrží nanejvýš minuty až hodiny.

3. Názvy domén (Střední bolest - Simple)

Zde už pro útočníka vyvstává problém. I když najde nový server, pro založení nové skryté domény (třeba secure-login-apple-update.cz), musí utratit další peníze, registrovat ji a počkat na propagaci. Zablokováním mu znemožníte např. provozovat celou probíhající phishingovou kampaň.

4. Nástroje a sítě na pozadí (Zásadní bolest - Annoying/Challenging)

Sítě, skrze které malware odesílá data po infikování, případně zablokování konkrétního typu stahovaného .exe souboru napříč společností. Útočník musí v takovém případě vytvořit zcela nový nebo modifikovat stávající škodlivý program a přenastavit spojení.

5. Samotné nástroje (Velká bolest - Challenging)

Pokud bezpečnostní analytik zablokuje unikátní způsob balení malwaru, či odhalí, jaký software přesně hacker používá (např. Meterpreter a jeho custom podpis v paměti RAM), hacker ztrácí cenný osobní nástroj. Bude se muset začít učit operovat s něčím jiným z internetu, nebo si to nově naprogramovat sám.

6. TTPs (Maximální bolest - Tough)

TTP představují “Tactics, Techniques, and Procedures”, aneb útočníkův modus operandi (způsob myšlení a fungování). Útočník spoléhající na krádež Windows Hashů může vyměnit IP adresu, vyměnit server a dokonce i stáhnout nový nástroj, pokud mu ho detekujete. Dokud má ale volné pole provádět stejnou techniku. Když ale opravíte díru a detekujete samotnou taktickou sekvenci (jeho TTP), nezbývá mu než překopat celou svou základní filozofii, což znamená učit se měsíce naprosto novým druhům ofenzivy, ne-li raději úplně od útoku opustit.