Что такое Threat Hunting и почему это важно

Обычно специалисты по информационной безопасности (ИБ) все свои силы направляют на предотвращение инцидентов. Они конструируют средства защиты информации и используют триггерный подход к мониторингу инфраструктуры. Данный подход подразумевает отслеживание алертов (триггеров), поступающих со средств защиты. Таким образом специалисты по ИБ стараются помешать злоумышленникам скомпрометировать их сеть и добраться до секретных документов / баз данных / прочей важной информации, какая бы она ни была.

Однако оказывается, что этот подход работает не так хорошо, как хотелось бы. Злоумышленники, терпеливые и изобретательные, могут проникнуть практически в любую организацию. Это подтверждает статистика компании Positive Technologies:

То есть становится понятно, что стандартного подхода к защите информации недостаточно.

В ситуации, когда триггерный подход не спасает, может помочь процесс Threat Hunting (сокращённо — TH), или «поиск угроз». Эта концепция предполагает, что инфраструктура уже взломана и необходимо найти следы компрометации. Допущение атаки означает, что необходимо принять вполне реальную возможность того, что злоумышленники уже находятся в ваших сетях и системах, независимо от защиты и способности (или неспособности) их обнаружить базовыми средствами защиты. Не существует программ, которые на 100% защищены от уязвимостей, и точно так же мало тех, кто может с твёрдой уверенностью сказать, что в его сети нет и никогда не было злоумышленников.

Если вы не видите нарушителей или средства защиты информации не предупредили вас об их присутствии, это не значит, что их нет. Отсутствие алертов означает лишь то, что механизмы защиты не обнаружили вторжения, и при поиске угроз ваша основная цель — это самому найти «что-то» и не ждать, пока СЗИ оповестит вас. Вы в принципе не работаете с алертами, приходящими от СЗИ. В основе процесса заключён проактивный подход, когда вы не сидите сложа руки и не ждёте стука в дверь, а активно ищете признаки возможного присутствия злоумышленников или их присутствия в недавнем прошлом.

Прервёмся ненадолго, чтобы упомянуть о таком термине, как dwell time.

Это очень важный показатель. Ведь если время пребывания злоумышленника в сети сокращается, это значит, что у него меньше времени, чтобы достигнуть целей атаки, и нанесённый ущерб будет меньше. В свою очередь, это позволяет снизить затраты организации на устранение последствий компрометации и восстановление инфраструктуры.

Согласно исследованию компании Mandiant, за десять лет показатель dwell time сократился до 10 дней в 2025 году против 243 в 2012-м.

Из этого можно заключить, что за последние годы обнаружение становится всё более оптимизированным, а возможности обнаружения улучшились и позволяют выявлять действия злоумышленника в инфраструктуре на ранних этапах жизненного цикла атаки. В том числе и благодаря Threat Hunting.

А что же делать тем организациям, которые продолжают сталкиваться со вторжениями? Компаниям, в которых проникновения долгое время остаются незамеченными? С подобными ситуациями сталкивались 17% организаций, в которых были выявлены следы деятельности APT-группировок, зачастую находившихся в сетях компаний-жертв достаточно длительное время (больше года на момент анализа), не выдавая себя. Одного ответа на всех быть не может, но в целом рекомендации такие:

• пересмотреть ландшафт угроз;
• переопределить приоритеты в детектировании;
• посмотреть под другим углом на инфраструктуру и значимые активы;
• внедрить процесс TH c проактивным подходом к обнаружению угроз. Этот курс даст базу и инструменты, чтобы запустить эти изменения.

С философией и пользой охоты за киберугрозами определились. А что нужно для того, чтобы её реализовать?

Поиск угроз — это поиск аномальной активности в сети и на хостах, которая может быть признаком компрометации, вторжения или утечки данных.

Вы ищете аномалии — то, что обычно не происходит. Для эффективного решения этой задачи необходимы инструменты, позволяющие получить подробную информацию о происходящем в сетевой и хостовой телеметрии. Это такие инструменты, как, например, EDR, NTA, SIEM, WAF и др. Помимо инструментов, также важно знание тактик и техник атакующих и умение отличать легитимное поведение от потенциально вредоносного.

Хотя концепция охоты за угрозами не нова, многие компании ещё не внедрили TH или находятся на начальной стадии внедрения. Однако проведённые опросы показывают, что таких организаций становится всё меньше. Более 90% опрошенных специалистов ИБ ждут результатов от процесса поиска киберугроз в виде выявления сложных, таргетированных атак или выявления инцидентов, не обнаруженных во время предыдущей работы, либо подтверждения того, что таковых инцидентов не было. При этом больше 60% признаются, что не хватает квалифицированных специалистов для внедрения и организации самого процесса TH.