"Threat hunting, это не ответ на сработавшее предупреждение и не автоматический обход логов по расписанию. Это активный процесс целенаправленного поиска скрытых угроз в инфраструктуре, которые уже могли обойти периметр и не вызывают срабатывание сигнатур. Его цель — найти то, что тебя ещё не нашло."

Что такое threat hunting?

Проактивная безопасность строится не только на брандмауэрах, антивирусах и системах обнаружения вторжений. Эти инструменты эффективны против известных паттернов, но современные угрозы, особенно целевые, часто действуют так, чтобы оставаться незамеченными для автоматики. Угроза может месяцами находиться внутри сети, медленно собирая данные, и активировать инцидент лишь на финальной стадии атаки.

Threat hunting призван заполнить этот пробел. Это методология, основанная на гипотезах: охотник за угрозами не ждёт алертов, а самостоятельно формулирует предположения о возможных векторах атаки и проверяет их, исследуя артефакты системы и сети.

Чем Threat Hunting отличается от мониторинга SOC?

Чтобы понять суть процесса, нужно чётко отделить его от рутинной работы SOC.

• SOC и мониторинг (Reactive): Работают с уже сформированными инцидентами. Они реагируют на события — алерты от систем, запросы пользователей, сообщения о сбоях. Их задача — классифицировать инцидент, оценить ущерб, локализовать и ликвидировать. Их движущая сила — внешний триггер.
• Threat Hunting (Proactive): Цикл начинается не с алерта, а с гипотезы. Охотник может задаться вопросом: «А что, если в нашей среде появится вредоносное ПО, использующее легитимные утилиты для выполнения команд?» или «Допустим, злоумышленник получил доступ к одной учётной записи администратора, как он будет пытаться повысить привилегии?». Далее он ищет подтверждения или опровержения этой гипотезы, анализируя данные.

Мониторинг отвечает на вопрос «Что случилось?». Threat hunting отвечает на вопрос «А точно ничего не случилось?».

Ключевые принципы и подходы к охоте

Охота, это системный процесс, который можно вести по разным методологиям. Три основных подхода:

1. Охота на основе гипотез (Hypothesis-Driven)

Самый распространённый подход. Гипотезы формируются на основе тактик, техник и процедур известных злоумышленников, данных разведки угроз, анализа свежих уязвимостей. Примеры гипотез:

• «Атакующий может использовать уязвимость в веб-приложении для запуска несанкционированных процессов на сервере».
• «В нашей среде может присутствовать вредоносное ПО, которое добывает криптовалюту и маскируется под системный процесс».

  2. Охота на основе индикаторов компрометации (IOC-Driven)

  В этом подходе отправной точкой служат конкретные индикаторы: хэши вредоносных файлов, подозрительные IP-адреса, доменные имена. Охотник ищет присутствие этих IOC в исторических данных, чтобы выявить факты компрометации, которые могли быть пропущены ранее. Метод менее творческий, но точный.

3. Охота на основе анализа аномалий и базовых линий (Baselining & Anomaly Detection)

Здесь фокус смещается с внешних угроз на внутреннюю среду. Формируется понимание «нормального» состояния сети: типичные порты, время активности пользователей, объёмы трафика между сегментами. Любое долговременное отклонение от этой картины становится поводом для глубокого расследования.

Какие артефакты и данные исследует охотник?

Эффективный threat hunting невозможен без доступа к качественным данным. Ключевые источники информации:

• Логи конечных точек (Endpoint logs): Логи процессов (создание, родительские процессы), работы с реестром, сетевых подключений, авторизации.
• Сетевые данные (Network data): Netflow, пакетные данные (PCAP), данные о DNS-запросах, журналы брандмауэров и прокси-серверов.
• Логи безопасности хостов и инфраструктуры: Журналы событий Windows (Security, System, Application), логи аутентификации Linux (/var/log/auth.log), журналы веб-серверов.
• Данные о производительности системы: Нестандартное потребление CPU, памяти, дискового ввода-вывода.
• Информация из облачной инфраструктуры: Логи активности в виртуальных сетях, журналы управления облачными ресурсами, логи доступа к объектам хранения.

Роль Threat Hunting в контексте российских регуляторных требований

Хотя в 152-ФЗ или прямых требованиях ФСТЭК нет прямого термина «threat hunting», его философия и практики напрямую работают на выполнение ряда обязательств.

• Непрерывный контроль безопасности (ФСТЭК): Проактивный поиск угроз соответствует духу требований о постоянном мониторинге и обнаружении инцидентов. Это не просто периодическая проверка, а методичный анализ.
• Глубина реагирования на инциденты: Приказ ФСТЭК № 239 требует не только фиксации инцидента, но и выявления причин и условий его возникновения. Охота позволяет находить неявные следы атаки, которые приведут к пониманию её полного жизненного цикла, что критично для отчёта.
• Анализ защищённости: Процесс охоты часто выявляет не только фактические компрометации, но и слабые места в конфигурации, избыточные привилегии, нежелательное ПО — всё это объекты для устранения в рамках работы по повышению защищённости.
• Обоснованность мер защиты: Найденные в ходе охоты TTP реальных или потенциальных злоумышленников позволяют точечно настраивать системы защиты и корректировать правила мониторинга, делая их более эффективными и обоснованными.

Кто занимается Threat Hunting и какие навыки нужны?

Охотник за угрозами, это обычно не отдельная должность в команде, а роль или специализация аналитика высокого уровня. Требуемый набор навыков междисциплинарен:

• Глубокое понимание операционных систем: Знание внутреннего устройства Windows, Linux, их логов, процессов, служб.
• Сетевая экспертиза: Понимание протоколов, моделей OSI/TCP-IP, умение читать Netflow и PCAP.
• Знание тактик, техник и процедур злоумышленников: Опыт работы с базами знаний, такими как MITRE ATT&CK, которые классифицируют поведение атакующих.
• Навыки работы с данными и аналитикой: Умение формулировать запросы в SIEM-системах, использовать аналитические платформы, работать с большими массивами неструктурированных данных.
• Критическое мышление и любопытство: Способность строить логические цепочки, ставить под сомнение «нормальность» происходящего и идти вглубь.

Развитие инцидента от гипотезы до обнаружения

Процесс редко выглядит как моментальное открытие. Чаще это путь по цепочке мелких артефактов.

1. Гипотеза: «Злоумышленник мог получить доступ к рабочей станции пользователя через фишинговое письмо».
2. Поиск по косвенным признакам: Охотник начинает искать не сам вирус, а следы его возможных действий. Например, анализирует процессы, запускаемые из временных каталогов или из-под учётных записей обычных пользователей, но имеющие необычные сетевые подключения.
3. Обнаружение странного процесса: Находит процесс powershell.exe, запущенный из папки %temp% и производящий множественные DNS-запросы к доменам со случайными именами.
4. Обогащение данных: Проверяет хэш файла, из которого запущен процесс, в базе репутаций. Ищет связь процесса с другими аномалиями на других хостах.
5. Триггер инцидента: Обнаруженный артефакт становится основанием для создания инцидента в системе управления. Начинается классическое реагирование: изоляция хоста, сбор доказательств, устранение.

Без проактивного поиска этот процесс powershell.exe мог бы продолжать работу, не вызывая критических сигнатурных срабатываний.

Что делает охоту эффективной, а что её убивает?

Слагаемые успеха:

• Качественные и полные данные: Без логов и данных для анализа охота превращается в гадание.
• Поддержка руководства и вменяемый мандат: Процесс требует времени и не всегда даёт быстрый измеримый результат.
• Интеграция в общий цикл безопасности: Находки охоты должны автоматически превращаться в новые правила для SIEM/SOAR, корректировки конфигураций, обновления баз IOC.
• Обучение и обмен знаниями: Регулярное изучение новых TTP, разбор реальных кейсов.

Что мешает:

• «Охота» как обход логов по шаблонному чек-листу без формирования реальных гипотез.
• Отсутствие доступа к необходимым данным или их низкое качество (не везде включено логирование, короткий срок хранения).
• Ожидание моментальных высокоэффектных «попаданий» после каждой гипотезы.
• Отсутствие обратной связи — найденные слабые места годами не исправляются.

Threat hunting, это не одноразовая акция и не инструмент. Это культура безопасности, которая фокусируется на поиске того, что остальные системы не видят. Он переводит команду защиты из режима реагирования в состояние постоянного исследования собственной инфраструктуры. Внедрение такой практики, даже в урезанном виде, кардинально повышает шансы обнаружить целевую атаку не на стадии утечки данных, а на ранних этапах её жизненного цикла, минимизируя ущерб.