Активный поиск угроз (охота на угрозы, threat hunting) — это процесс проактивного обнаружения вредоносной деятельности в компьютерных сетях.
Цель охоты на угрозы — обнаружение кибератак, не поддающихся выявлению традиционными средствами защиты, такими как брандмауэры или системы антивирусного мониторинга. Для этого проводится ручной или машинный поиск и анализ индикаторов компрометации (IoC).
Активный поиск угроз позволяет на ранней стадии выявлять новые и сложные угрозы и рассматривается как дополнение к имеющейся защите информационных систем организации, а не как ее замена. От традиционных методов защиты threat hunting отличает именно проактивность.
Как происходит активный поиск угроз
Поскольку проникновение в систему может произойти в любой момент, охота на угрозы — это непрерывный процесс. Он состоит из двух шагов:
- Формулирование гипотезы. На этом этапе специалисты строят предположения о том, где следует искать угрозы. Источником информации для выдвижения гипотезы могут служить как внутренние данные компании (сведения о состоянии IT-инфраструктуры, результаты тестов на проникновение и так далее), так и внешние (тактики и техники Mitre Att&ck, отчеты разведки киберугроз, новости безопасности и так далее). Например, если в свежем отчете приводится анализ ранее неизвестного вредоносного ПО, можно предположить, что этот зловред мог проникнуть в инфраструктуру компании.
- Проверка гипотезы. После того как гипотеза сформулирована, ее тестируют. Например, анализируют данные с конечных точек на предмет наличия индикаторов компрометации, связанных с новым вредоносным ПО.
Если гипотеза подтвердилась, компания может принять необходимые меры. Кроме того, информацию, полученную в ходе поиска угроз, можно использовать для формирования новых гипотез и улучшения защитных систем, например для обновления правил фильтрации трафика.
Hunting Maturity Model
Модель HMM (Hunting Maturity Model, «модель зрелости активного поиска угроз») — это система оценки готовности бизнеса к применению проактивного поиска угроз. В зависимости от того, какими инструментами и методами владеет организация, выделяют пять уровней зрелости компании:
- Начальный (HMM0 — Initial) — компания полагается преимущественно на традиционные системы безопасности. При этом собирается минимум информации с ключевых элементов IT-инфраструктуры.
- Минимальный (HMM1 — Minimal) — аналитики регулярно собирают информацию из IT-инфраструктуры и используют данные киберразведки.
- Процедурный (HMM2 — Procedural) — организация использует стандартные сценарии активного поиска угроз. На этом уровне ИБ-специалисты собирают и анализируют большой объем данных, но не разрабатывают собственные процедуры поиска угроз.
- Инновационный (HMM3 — Innovative) — специалисты собирают и анализируют большой объем данных, разрабатывают собственные методы поиска угроз, внедряют и используют их на регулярной основе.
- Передовой (HMM4 — Leading) — специалисты не только разрабатывают методы поиска и анализа угроз, но и автоматизируют их. Благодаря этому выявляется больше угроз, а аналитики могут сосредоточиться на совершенствовании системы их обнаружения и защиты организации в целом.