Журнал "Information Security/ Информационная безопасность" #5, 2025

12 • СПЕЦПРОЕКТ Что такое Threat Hunting? Threat Hunting (TH) – это проактивный итеративный процесс, в рамках которого специалисты формулируют гипотезы и исследуют данные, чтобы найти в них известные паттерны активности зло- умышленников и выявить новые. Процесс состоит из четырех этапов: 1. Создание гипотезы. 2. Исследование событий, подпадаю- щих под ее логику. 3. Выявление новых паттернов, а также тактик, техник и процедур (TTPs) зло- умышленников. 4. Совершенствование детектирующей логики и обогащение событий. Проактивность TH заключается в поиске событий, на которые не сработа- ли правила корреляции и средства защи- ты информации. В результате Threat Hunting позволяет: l создавать детектирующий контент; l обогащать данные Threat Intelligence (TI); l автоматизировать проверки гипотез; l выявлять атаки на раннем этапе. Идеи для поиска гипотез Новые идеи для формирования гипотез можно брать из материалов об уже слу- чившихся атаках (отчеты TI, DFIR и т. д.). Эти данные позволяют охотиться за тем, что фактически используют атакующие. Но подход, при котором мы исследуем только то, что уже было, оставляет нас позади злоумышленников. Поэтому мы также черпаем идеи для гипотез из исследований (как собственных, так и от наших коллег), анализа новых инстру- ментов и векторов эксплуатации. Отличия Threat Hunting от написания правил корреляции Threat Hunting позволяет более гибко подойти к поиску подозрительных дей- ствий: то, что не может быть реализова- но в качестве правил корреляции из-за большого количества ложноположитель- ных срабатываний, может быть учтено в процессе TH. Это позволяет эффек- тивно использовать ресурсы аналитиков, не сокращая зоны видимости SOC. В BI.ZONE мы используем подход, основанный на взаимодействии команд SOC, TI и EDR. Гипотезы формируются на основе актуального для компании ландшафта угроз, который описывает команда TI. Для проверки гипотез мы используем телеметрию BI.ZONE EDR. Если собираемых данных недостаточно для верификации, команда EDR обога- щает телеметрию нужными событиями. Это позволяет не только эффективно подтверждать гипотезы в рамках TH, но и создавать дополнительные правила корреляции. Для кого актуален Threat Hunting? На этот вопрос поможет ответить Hunt- ing Maturity Model, придуманная экспер- том по кибербезопасности Дэвидом Бьянко. Он выделил пять уровней зре- лости организаций. В зависимости от качества собираемых данных, исполь- зуемых инструментов, а также навыков аналитиков, можно понять, насколько актуален TH для конкретной компании. 1. Начальный уровень. Организации этого уровня опираются в основном на автоматизированные алерты СЗИ (IPS/IDS, AV). Телеметрия с хостов собирается на минимальном уровне, необходимом, чтобы отслеживать срабатывания СЗИ. Даже если такая компания озаботится Threat Hunting, возможность полноценно зани- маться им будет сильно ограничена. При таком уровне зрелости TH не нужен. 2. Минимальный уровень. В таких организациях также полагаются на авто- матизированные алерты при реагиро- вании, но уже регулярно собирают теле- метрию с различных источников, а также активно используют данные TI для при- нятия решений. Аналитики могут извлечь ключевые индикаторы из различных отчетов и провести поиск по историче- ским данным, чтобы выяснить, встреча- лись ли исследуемые угрозы в прошлом. Это первый уровень, на котором TH может быть актуален. 3. Процедурный уровень. Такие компании способны изучать и применять детектирующую логику, разработанную другими, и могут вносить в нее незначи- тельные изменения, но пока не способны самостоятельно создавать правила детектирования. Организации с этим уровнем зрелости обычно собирают большой объем данных с хостов. Анали- тики регулярно отсматривают телемет- рию на предмет срабатывания правил корреляции. Это наиболее распростра- ненный уровень, при котором в органи- зации активно занимаются TH. 4. Инновационный уровень. Вме- сто того чтобы полагаться на детекты, разработанные другими, организации на этом уровне, как правило, сами раз- рабатывают детектирующую логику. Ана- литики создают повторяемые процедуры, которые документируются и регулярно выполняются. На этом и следующем уровне можно говорить о полностью сформировавшемся процессе TH. 5. Лидирующий уровень. От пре- дыдущего уровня такие компании отличает автоматизация. Любой успешный хант превращается в автоматическое обнару- жение. Это позволяет аналитикам не повторять одни и те же запросы, а сосре- доточиться на улучшении существующих процессов TH или создании новых. Заключение Threat Hunting актуален для организа- ций, в которых есть зрелый SOC с нала- женными процессами глубокого анализа данных из разных источников. Проактивный поиск помогает выйти за рамки стандартных инструментов без- опасности: это способ выявить угрозы, которые сложно обнаружить автомати- зированными средствами. За счет посто- янных итераций, проверки гипотез и обогащения данными TI, Threat Hunting усиливает защиту и позволяет обнару- жить атаки еще до того, как они нанесут ощутимый ущерб. l От гипотезы к инсайту: пора ли внедрять Threat Hunting? омпания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена Threat Hunting – про- активному поиску угроз. К Владислав Бурцев, руководитель отдела анализа киберугроз в BI.ZONE Видео и другие статьи цикла: Фото: BI.ZONE Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcpqnQo