A Pirâmide da Dor na prática: Usando Inteligência Cibernética para maximizar o impacto contra adversários

Sandson Costa 22 de abril de 2025 8 minutos de leitura Segurança E Defesa Ataques E Exploração Inteligência E Análise Maturidade De Segurança Threat Hunting Engenharia De Detecção Segurança Exploração Detecção De Ameaças Threat Intelligence Análise De Ameaças IOC TTP Regras De Detecção Indicadores De Comprometimento
A Pirâmide da Dor oferece uma abordagem estratégica para enfrentar adversários cibernéticos ao focar em TTPs (táticas, técnicas e procedimentos) em vez de apenas indicadores simples.
Nesta página
A Pirâmide da Dor na prática: Usando Inteligência Cibernética para maximizar o impacto contra adversários

1. Introdução

É muito provável que você já tenha ouvido inúmeras vezes sobre a Pirâmide da Dor (Pyramid of Pain). Talvez tenha lido algo no LinkedIn, visto em uma palestra ou escutado sobre o tema em alguma conversa técnica… enfim… O meu objetivo aqui não é repetir o que já foi dito em dezenas de artigos, mas trazer uma perspectiva realmente técnica da coisa, mostrando como cada nível da pirâmide pode ser aplicado na prática, especialmente no contexto de análise de ameaças e inteligência cibernética.

A Pirâmide da Dor, criada por David J. Bianco, é mais do que uma simples categorização de indicadores de ameaça, quando usada de forma estratégica, ela permite que analistas e organizações aumentem significativamente o custo operacional dos atacantes, forçando-os a mudar não apenas artefatos superficiais, mas suas táticas, técnicas e procedimentos (TTPs). Isso é claramente ilustrado no exemplo abaixo:

Figura 1. Ator de ameaça lança nota pública em seu blog informando alterações em sua estrutura graças às ações de pesquisas de profissionais da área.

Então, neste artigo, vamos entender como aplicar objetivamente a Pirâmide da Dor e o por que nosso foco não deve centrar apenas em identificar indicadores, mas em responder a eles de forma eficaz e eficiente. Em contextos de operações de inteligência cibernética, threat hunting e defesa proativa, nem todos os indicadores tem o mesmo peso, alguns deles são muito mais valiosos do que outros e causam mais dor.

2. Entendendo a estrutura da Pirâmide

Figura 2. Exemplo de como é a Pirâmide da Dor.
Foto/reprodução: David J. Bianco

Hash Values

  • Exemplos: MD5, SHA1, SHA256 de artefatos.
  • Impacto: Muito baixo.
  • Dificuldade de mudança: Muito fácil.
  • Descrição: O hash do artefato é a identidade digital do artefato e pode ser alterado facilmente ao recompilar o binário, incluindo um espaço a mais, por exemplo.

IP Addresses

  • Exemplos: IPs de servidores de C2.
  • Impacto: Baixo.
  • Dificuldade de mudança: Fácil.
  • Descrição: Atacantes podem mudar rapidamente de IP, usar proxies ou serviços de hospedagem diferentes.

Domain Names

  • Exemplos: Domínios usados para phishing, uso em DNS ou C2.
  • Impacto: Moderado.
  • Dificuldade de mudança: Moderado.
  • Descrição: Registrar um novo domínio é barato e rápido, mas ainda exige algum trabalho e logística. Ou caso tenham em mãos a posse de algum site comprometido, por exemplo.

Network/Host Artifacts

  • Exemplos: Strings específicas em binários, caminhos de instalação incomuns, headers de pacotes anormais.
  • Impacto: Moderado a alto
  • Dificuldade de mudança: Difícil
  • Descrição: Requer que o atacante altere partes do seu malware ou infraestrutura, como por exemplo, alterar a pasta de entrega da payload, alterar o header de requisição da infra do C2 ou URI de comando.

Tools

  • Exemplos: Uso de ferramentas como Mimikatz, Cobalt Strike ou scripts personalizados.
  • Impacto: Alto
  • Dificuldade de mudança: Muito difícil
  • Descrição: Mudar ou reescrever ferramentas implica esforço técnico considerável e pode comprometer a eficácia do ataque. Ter que reescrever a ferramenta ou desenvolver novas alternativas para evitar assinaturas já conhecidas do sofware é custoso.

TTPs

  • Exemplos: Um atacante pode usar phishing (tática) com anexo malicioso em PDF (técnica) e, após acesso, utilizar RDP para se mover lateralmente (procedimento).
  • Impacto: Extremamente alto
  • Dificuldade de mudança: Extremamente difícil
  • Descrição: Mudar TTPs significa alterar fundamentalmente a estratégia de ataque. Isso requer muito mais esforço, pois muitas vezes os atacantes seguem um modus operandi que é difícil de modificar sem comprometer a eficácia ou aumentar os custos e tempo de desenvolvimento do ataque.

3. A Pirâmide da Dor dói mais para quem?

A Pirâmide da Dor é chamada assim porque ela representa a “dor” que você causa ao atacante quando detecta e bloqueia diferentes tipos de indicadores. David J. Bianco explica em seu blog que, “O objetivo de detectar indicadores é responder a eles e, uma vez que você possa respondê-los com rapidez suficiente, você negou ao adversário o uso desses indicadores quando ele estiver atacando você.

Para o atacante, quanto mais alto o nível do indicador detectado (ex: TTPs), maior a dor e o esforço necessário para adaptar sua operação.

Para o defensor, lidar com indicadores do topo da pirâmide é mais complexo, pois exige mais capacidade analítica, contexto, e maturidade técnica.

Em outras palavras, a pirâmide causa mais dor ao atacante quanto mais alto for o nível do indicador detectado. Para o defensor, também exige mais esforço e capacidade quanto mais alto na pirâmide ele opera, ou seja, quanto mais você sobe a pirâmide, mais custoso fica para os dois lados: Pro atacante fica mais difícil mudar TTPs do que mudar um hash. Pro defensor fica mais difícil detectar e responder a TTPs do que a um IP.

Isso pode parecer ruim ou um paradoxo: Quanto mais alto subimos na pirâmide, mais difícil também fica para nós defensores!? Mas é justamente aí que está a estratégia. Quanto maior o esforço do nosso lado, maior o impacto e o custo imposto ao adversário, pois uma vez que identificamos os TTPs, a partir dali teremos novas ideias e estratégias para mapear outras hipóteses, que é onde entre o perfil de um Threat Hunter.

Leia também!
Threat Hunting investigação além dos IOCs
Dentre as diversas abordagens em investigações de Threat Hunting, existe uma em que a análise pode ser conduzida com base em feeds de inteligência. Alguns desses feeds são mais específicos e costumam compartilhar, além de indicadores, pesquisas aprofundadas sobre malwares, atores de ameaça, incidentes cibernéticos, entre outros dados relevantes. São exemplos, a Cisco Talos e a Trend Micro, que oferecem conteúdos ricos para apoiar investigações mais estratégicas.
Weldon Araújo Weldon Araújo
Threat Hunting investigação além dos IOCs

4. Por que a Pirâmide da Dor é importante?

A Pirâmide da Dor ensina que, para causar impacto real no adversário, não basta bloquear IPs ou hashes isolados. Defensores mais eficazes focam em identificar padrões de comportamento e técnicas — aspectos muito mais difíceis para os atacantes modificarem rapidamente.

Assim, ao investir em caçadas e detecções que buscam TTPs, estamos:

  • Tornando as operações inimigas mais caras.
  • Aumentando o tempo e o esforço necessário para eles retornarem.
  • Reduzindo as chances de ataques sucessivos semelhantes.

Em resumo, atacar o topo da pirâmide significa elevar o custo para o atacante — e isso é um dos pilares centrais da defesa cibernética moderna.

5. Aplicação estratégica da Pirâmide da Dor

5.1. Foco em TTPs e não apenas em IOCs básicos

  • Problema comum: Organizações muitas vezes baseiam sua defesa na coleta de indicadores voláteis como hashes, IPs ou domínios.
  • Solução: Caçar e detectar TTPs.
  • Exemplo prático: Em uma campanha de ransomware como Conti, focar na detecção do padrão de execução do Cobalt Strike é mais eficaz do que simplesmente bloquear IPs usados pelo C2.
  • TTP detectada: Uso de rundll32.exe para carregar payloads criptografados.
  • Resposta baseada na pirâmide: Criar regras de detecção que monitoram o comportamento de rundll32.exe com parâmetros anômalos, independentemente do hash do DLL.
  • Benefício: Atacante precisa modificar o seu modo de operar e não apenas mudar de hash/IP.

5.2. Coleta e análise de Inteligência Cibernética

A qualidade da inteligência influencia diretamente quão alto podemos atingir na pirâmide.

  • Boas práticas: Correlacionar alertas de EDR/XDR para identificar padrões de movimentação lateral, persistência, evasão. Utilizar frameworks como MITRE ATT&CK para mapear as TTPs observadas.
  • Exemplo prático: Um adversário persistente (APT29) é detectado usando Golden Ticket Attack (T1558.001).
  • Análise: Em vez de focar no hash da ferramenta usada (mimikatz.exe), caçamos a criação de tickets Kerberos anômalos no ambiente.

5.3. Compartilhamento de Inteligência de Ameaças

Organizações que produzem inteligência e compartilham não apenas IOCs, mas TTPs, aumentam o custo para o atacante em escala, pois existe a possibilidade de identificar ataques iniciais em curso, observar lacunas que carecem de novas defesas ou novas regras. Ou seja, quanto mais cedo e mais amplo for o escopo de TTPs observadas e produzidas, mais ineficaz e caro se torna para o agente de ameaça a incursão no objetivo final de ataque.

Nesse cenário, se não possui equipe dedicada, contratar serviços de terceiros, como um MSSP, por exemplo, pode contribuir para sua operação de segurança.

Leia também!
Threat Hunting Baseado em Superfícies de Ataque Uma Abordagem Estratégica
O cyber threat hunting é uma atividade de investigação cibernética que pode ser motivada por diversos fatores. Em operações mais maduras, é comum que, antes de iniciar uma investigação, sejam obtidos triggers. Esses triggers podem ser provenientes de feeds de inteligência, atividades de gestão de vulnerabilidades, relatórios de pentest, respostas a incidentes, entre outras fontes.
Weldon Araújo Weldon Araújo
Threat Hunting Baseado em Superfícies de Ataque Uma Abordagem Estratégica

5.4. Treinamento e conscientização de usuários

Ensinar as equipes de segurança e os usuários finais sobre as táticas, técnicas e procedimentos usados por atacantes pode ajudar a mitigar o risco de comprometimento, uma força de trabalho informada é uma camada crítica de defesa.

6. Conclusão

A Pirâmide da Dor é um modelo estratégico e não apenas uma teoria visual, ela permite as equipes de segurança focar seus esforços em indicadores que realmente afetam as operações adversárias, dificultando suas atividades e forçando-os a gastar mais tempo e recursos. Subir na pirâmide, focando na identificação e mitigação de TTPs, transforma uma postura defensiva reativa em uma totalmente ofensiva: forçamos o atacante a gastar mais tempo, recursos e a se expor mais para tentar nos atingir novamente. Em um mundo onde as ameaças evoluem constantemente, nossa defesa (e hipóteses baseadas em TTPs) também precisa evoluir, atacando onde mais dói.

7. Referências

sábado, 31 de maio de 2025 terça-feira, 22 de abril de 2025
Author
Sandson Costa

Sandson Costa

Sou um profissional focado em garantir precisão e atenção aos detalhes, com forte capacidade para executar tarefas estruturadas e aderir a normas e regulamentos. Tenho experiência em planejamento estratégico, buscando sempre a eficiência e objetividade, especialmente em situações críticas. Acredito na importância de uma liderança colaborativa e focada em resultados, contribuindo para o sucesso de pequenas equipes e projetos.
Qual a diferença entre vulnerabilidade e falha de segurança?
Exploração de um ClickFix: Rastreando o que um Fake CAPTCHA faz
Regra de Detecção não é Caso de Uso: Entenda de uma vez por todas
Regra de Detecção não é Caso de Uso: Entenda de uma vez por todas
Técnicas de Recon em Windows e Linux: Casos de Uso para Red Team, Blue Team e Threat Hunting
Técnicas de Recon em Windows e Linux: Casos de Uso para Red Team, Blue Team e Threat Hunting
CVE-2025-26633: Como simular e identificar o ataque MSC EvilTwin
CVE-2025-26633: Como simular e identificar o ataque MSC EvilTwin
Exploração de um ClickFix: Rastreando o que um Fake CAPTCHA faz
Exploração de um ClickFix: Rastreando o que um Fake CAPTCHA faz
Análise minuciosa de ofuscação PowerShell: De um script caótico ao
Análise minuciosa de ofuscação PowerShell: De um script caótico ao "Start-Process calc.exe"
Aurora e Sigma Rules: Melhorando a eficiência e visibilidade na detecção de ameaças em Windows
Aurora e Sigma Rules: Melhorando a eficiência e visibilidade na detecção de ameaças em Windows
Como o Threat Hunting pode contribuir no processo de maturidade de uma empresa - Um Caso de Uso prático
Como o Threat Hunting pode contribuir no processo de maturidade de uma empresa - Um Caso de Uso prático
IDN Homograph Attack: Definição, conceitos e demonstração prática
IDN Homograph Attack: Definição, conceitos e demonstração prática
Como bloquear extensões de navegadores para proteger sua empresa
Como bloquear extensões de navegadores para proteger sua empresa
Phishing: A engenhosa arma dos cibercriminosos
Phishing: A engenhosa arma dos cibercriminosos