Threat Hunting (Охота за угрозами)

Threat Hunting (Охота за угрозами) — это проактивный и итеративный процесс поиска скрытых, ранее не обнаруженных киберугроз, компрометаций и злонамеренной активности в информационной среде организации, который выходит за рамки работы автоматических систем мониторинга и оповещения (SIEM, EDR). В основе охоты лежит гипотеза, выдвинутая аналитиком на основе опыта, разведданных об угрозах (Threat Intelligence) или анализа данных, и последующая проверка этой гипотезы путём целенаправленного исследования данных телеметрии.

Возможности и ключевые этапы процесса Threat Hunting:

• Формулирование гипотезы (Hypothesis): Аналитик задаёт направление поиска на основе:
  • Threat Intelligence: Актуальные тактики, техники и процедуры (TTP) конкретных APT-групп, новые векторы атак.
  • Аномалии в данных: Необычные паттерны в логах, которые не вызвали автоматического алерта, но кажутся подозрительными.
  • Знание среды: Понимание наиболее критичных активов компании и их типичного поведения.
  • Готовая модель (Kill Chain, MITRE ATT&CK): Поиск признаков атаки на определённом этапе (например, «ищем признаки выполнения кода из реестра»).
• Сбор и анализ данных (Data Collection & Investigation): Охотник запрашивает и анализирует соответствующие данные из различных источников:
  • Логи конечных точек (EDR/XDR): Процессы, сетевые подключения, автозагрузка.
  • Сетевые логи (Netflow, пакеты): Аномальные соединения, трафик на нестандартные порты.
  • Логи идентификации (Active Directory, IAM): Неудачные попытки входа, аномальная активность учётных записей.
  • Логи облачных сред.
• Выявление тактик и индикаторов (TTP & IOC Identification): В ходе поиска охотник выявляет конкретные индикаторы компрометации (IOC) и, что более важно, тактики злоумышленника (TTP), что позволяет понять цель и методы атаки.
• Обогащение и автоматизация (Enrichment & Automation): Успешные находки формализуются в новые правила корреляции, запросы для автоматического поиска (например, в SIEM) или сценарии реагирования в SOAR, тем самым повышая уровень зрелости защиты организации и сокращая время обнаружения аналогичных угроз в будущем.
• Документирование и обратная связь (Documentation & Feedback): Все этапы охоты, результаты (как положительные, так и отрицательные) и рекомендации фиксируются для создания институциональной памяти и обучения других аналитиков.

Угрозоохота не является заменой автоматизированным системам защиты (SIEM, EDR), а дополняет их, выявляя сложные, целенаправленные атаки (APT), которые используют легитимные инструменты (LOLBins) и не оставляют простых сигнатур. Это процесс, требующий высокой экспертизы, глубокого понимания внутренней среды и проактивного мышления. Регулярная охота за угрозами — признак зрелого Security Operations Center (SOC) и критический компонент стратегии киберустойчивости (Cyber Resilience), так как позволяет обнаруживать угрозы на ранних стадиях, до нанесения существенного ущерба.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Бюджет