Threat Hunting (Охота за угрозами)

21 января, 2026, 17:56

Threat Hunting (Охота за угрозами) — это проактивный и итеративный процесс поиска скрытых, ранее не обнаруженных киберугроз, компрометаций и злонамеренной активности в информационной среде организации, который выходит за рамки работы автоматических систем мониторинга и оповещения (SIEM, EDR). В основе охоты лежит гипотеза, выдвинутая аналитиком на основе опыта, разведданных об угрозах (Threat Intelligence) или анализа данных, и последующая проверка этой гипотезы путём целенаправленного исследования данных телеметрии.

Возможности и ключевые этапы процесса Threat Hunting:

  • Формулирование гипотезы (Hypothesis): Аналитик задаёт направление поиска на основе:
    • Threat Intelligence: Актуальные тактики, техники и процедуры (TTP) конкретных APT-групп, новые векторы атак.
    • Аномалии в данных: Необычные паттерны в логах, которые не вызвали автоматического алерта, но кажутся подозрительными.
    • Знание среды: Понимание наиболее критичных активов компании и их типичного поведения.
    • Готовая модель (Kill Chain, MITRE ATT&CK): Поиск признаков атаки на определённом этапе (например, «ищем признаки выполнения кода из реестра»).
  • Сбор и анализ данных (Data Collection & Investigation): Охотник запрашивает и анализирует соответствующие данные из различных источников:
    • Логи конечных точек (EDR/XDR): Процессы, сетевые подключения, автозагрузка.
    • Сетевые логи (Netflow, пакеты): Аномальные соединения, трафик на нестандартные порты.
    • Логи идентификации (Active Directory, IAM): Неудачные попытки входа, аномальная активность учётных записей.
    • Логи облачных сред.
  • Выявление тактик и индикаторов (TTP & IOC Identification): В ходе поиска охотник выявляет конкретные индикаторы компрометации (IOC) и, что более важно, тактики злоумышленника (TTP), что позволяет понять цель и методы атаки.
  • Обогащение и автоматизация (Enrichment & Automation): Успешные находки формализуются в новые правила корреляции, запросы для автоматического поиска (например, в SIEM) или сценарии реагирования в SOAR, тем самым повышая уровень зрелости защиты организации и сокращая время обнаружения аналогичных угроз в будущем.
  • Документирование и обратная связь (Documentation & Feedback): Все этапы охоты, результаты (как положительные, так и отрицательные) и рекомендации фиксируются для создания институциональной памяти и обучения других аналитиков.

Угрозоохота не является заменой автоматизированным системам защиты (SIEM, EDR), а дополняет их, выявляя сложные, целенаправленные атаки (APT), которые используют легитимные инструменты (LOLBins) и не оставляют простых сигнатур. Это процесс, требующий высокой экспертизы, глубокого понимания внутренней среды и проактивного мышления. Регулярная охота за угрозами — признак зрелого Security Operations Center (SOC) и критический компонент стратегии киберустойчивости (Cyber Resilience), так как позволяет обнаруживать угрозы на ранних стадиях, до нанесения существенного ущерба.

Атака через подрядчика: базовый минимум для предотвращения утечки

Упоминания