BLOG

Threat hunting – proaktywna strategia cyberbezpieczeństwa firmy

null
4Prime IT Security
12/02/2025
Threat hunting

Threat hunting to proaktywne poszukiwanie zagrożeń, które ominęły automatyczne mechanizmy bezpieczeństwa, takie jak EDR, NDR czy NGFW. Jest szczególnie skuteczny przeciwko zaawansowanym technikom ataków (np. LOLBiny), opartym na legalnych narzędziach i zachowaniach trudnych do wykrycia sygnaturowo.

Skuteczny threat hunting opiera się na połączeniu Cyber Threat Intelligence (CTI), analizy telemetrycznej oraz wiedzy o taktykach i technikach ataków (MITRE ATT&CK). Jego efektem jest nie tylko wczesne wykrywanie incydentów, ale też budowa lepszych reguł detekcji (detection engineering), które wzmacniają całą architekturę bezpieczeństwa. W dojrzałych organizacjach proces ten realizują zespoły SOC, łącząc hunting, CTI i detekcję w spójny, ciągły model ochrony.

Hakerzy stale udoskonalają swoje techniki, aby nie dać się wykryć systemom monitorowania bezpieczeństwa typu EDR, NGFW, czy NDR. Wykorzystują w tym celu np. LOLBiny – legalne pliki, procesy systemowe czy zewnętrzne aplikacje, co sprawia, że przeprowadzane przez nich ataki są trudne do zidentyfikowania.

Proaktywne działania, takie jak threat hunting, umożliwiają wykrywanie nieznanych wcześniej zagrożeń, które ominęły nasze zabezpieczenia oraz pozwalają na tworzenie skutecznych reguł detekcji (detection engineering), co w rezultacie wzmacnia architekturę bezpieczeństwa w organizacji.

W artykule wyjaśnimy, czym jest threat hunting i jak pomaga wzmacniać bezpieczeństwo organizacji.

Czym jest threat hunting?

Threat hunting („polowanie na zagrożenia”) to wyszukiwanie złośliwej aktywności w systemach, która nie została wykryta przez automatyczne mechanizmy detekcji. Pozwala na zmitygowanie zagrożeń na wczesnym etapie cyber kill chain, zanim zaczną wyrządzać faktyczne, poważne szkody.

Threat hunterzy wykorzystują w swojej pracy różne źródła informacji, które można podzielić na:

  • wewnętrzne – obejmujące systemy monitorujące ruch sieciowy, logi z serwerów i urządzeń końcowych, oraz firmowe skrzynki mailowe, które mogą zawierać phishing.

  • zewnętrzne – to przede wszystkim trendy i badania branżowe, raporty, artykuły, posty publikowane w mediach społecznościowych oraz informacje o nowych narzędziach i metodach stosowanych przez hakerów. W tropieniu tych zagrożeń ogromną rolę odgrywa zaawansowana wiedza z obszaru Cyber Threat Intelligence (CTI), która pozwala definiować wskaźniki naruszenia bezpieczeństwa, a także wykrywać popularne taktyki, techniki i procedury stosowane przez cyberprzestępców.

Czym się różni threat hunting od threat intelligence i detection engineering

Pojęcia threat hunting, threat intelligence i detection engineering bywają ze sobą mylone.

Threat hunting polega na manualnym wyszukiwaniu zagrożeń, które zostały pominięte przez automatyczne środki bezpieczeństwa lub które nie są objęte istniejącymi zabezpieczeniami.

Cyber threat intelligence (CTI) koncentruje się natomiast na gromadzeniu, analizowaniu, dystrybucji i wymianie informacji pomiędzy ekspertami cybersecurity o potencjalnych zagrożeniach w branży. Można powiedzieć, że CTI zasila działania podejmowane w ramach threat huntingu.

Z threat huntingiem i threat intelligence ściśle łączy się detection engineering, czyli automatyczne wykrywanie zagrożeń w czasie rzeczywistym tworzone na podstawie własnych detekcji w systemach. Podczas gdy threat hunting opiera się na poszukiwaniu zagrożeń, które już znajdują się w systemach organizacji, detekcja służy do wykrywania tych samych zagrożeń w przyszłości na wczesnym etapie, a czasem nawet im zapobiegania.

Nie ma więc skutecznego threat huntingu bez threat intelligence, a bez dobrze funkcjonującego threat huntingu trudno mówić o efektywnym detection engineering. Wszystkie te obszary muszą działać razem, aby tworzyć spójny i skuteczny system cyberbezpieczeństwa.

Rodzaje threat huntingu

Wyróżniamy 3 najpopularniejsze podejścia do threat huntingu:

  1. Intel-based hunting (oparty na danych wywiadowczych)

Ten typ threat huntingu opiera się na wskaźnikach zagrożeń (Indicators of Compromise - IoC) pochodzących z danych zgromadzonych przez threat intelligence (CTI). Threat hunterzy bazują głównie na systemach EDR, NDR i SIEM. Po wykryciu tego typu wskaźników, specjaliści badają aktywność sieciową przed i po alercie, aby zweryfikować potencjalne zagrożenie.

  1. Hypothesis-based hunting (oparty na hipotezach)

To threat hunting bazujący na znanych wskaźnikach ataku (Indicators of Attack - IoA), które określone są m.in. w matrycy MITRE ATT&CK. Polega na analizie czy przestępcy wykorzystują konkretne techniki, taktyki i procedury do uzyskania dostępu do sieci. Jeśli wzorzec zachowania cyberprzestępcy zostanie zidentyfikowany, analitycy monitorują aktywność, aby zmitygować zagrożenie.

  1. Custom hunting (dostosowany do organizacji)

To podejście bierze pod uwagę specyfikę organizacji, wcześniejsze incydenty bezpieczeństwa, uwarunkowania geopolityczne, a także ukierunkowane ataki czy alerty z systemów ochrony. Może łączyć ze sobą elementy huntingu opartego na threat intelligence oraz huntingu bazującego na hipotezach, gdzie specjaliści dopasowują strategię do unikalnych zagrożeń, z jakimi mierzy się firma.

Proces threat huntingu w zespołach SOC

Zaawansowane zespoły SOC stosują procesy CTI, threat hunting i detection engineering w celu wsparcia jego głównej funkcjonalności (monitorowania systemów, analizowania zdarzeń, wykrywania i reagowania na incydenty). Korzystają na tym głownie klienci SOCa: informacja o podejrzanej aktywności u jednej firmy i skutecznie przeprowadzony threat hunting pozwalają analitykom sprawdzić, czy podobne zagrożenie występuje również w innych obsługiwanych organizacjach.

Threat hunting w zespołach SOC zaczyna się od postawienia hipotezy na podstawie:

a. informacji uzyskanych w ramach threat intelligence (“Ostatnio na rynku głośno o technice ataku BYOVD. Czy któryś z naszych klientów też został zaatakowany w ten sposób i tego nie wykryliśmy?”)

b. podejrzanej aktywności w systemie klienta (“Czy dany atak faktycznie ma miejsce czy jest to false positive?”)

c. informacji o incydencie u jednego z klientów (“Czy reszta naszych klientów również została zaatakowana w ten sposób?”)

Threat hunterzy w zespole SOC potwierdzają lub obalają hipotezy, tworząc reguły detekcji z wykorzystaniem dostępnych źródeł danych, takich jak telemetria systemów klasy EDR. Na podstawie wyników wyciągają wnioski, eliminują fałszywe alarmy i optymalizują zapytania.

Proces threat huntingu w SOC360:

  1. Formułowanie hipotez na podstawie informacji uzyskanych w ramach procesu CTI.

  2. Ustalanie zestawów danych i opracowywanie zapytań w celu weryfikacji możliwości wystąpienia zdarzeń w środowiskach klientów.

  3. Analiza wyników zapytań:

    a. Eliminacja fałszywych alarmów.

    b. Tuning zapytań.

Opisane wyżej procesy wymagają czasu oraz wnikliwej ekspertyzy. Dlatego rola Security Operation Center (SOC), który dysponuje ofertą CTI, threat huntingu i detection engineering jest nieoceniona – szeroka wiedza i doświadczenie analityków zdobyte na podstawie weryfikowania ogromnych ilości danych z różnych organizacji, pozwala na opracowywanie skutecznych reguł detekcji zagrożeń, precyzyjne wskazywanie źródeł danych i identyfikowanie nowych technik ataków, zanim te zaszkodzą organizacji.

Zainwestuj w SOCa, który w sposób holistyczny zadba o bezpieczeństwo Twojej firmy. Skontaktuj się z nami i dowiedź się więcej o naszej ofercie.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.

Autor tekstu:
null
4Prime IT Security

Czytaj również

Cyber Threat Intelligence

SOC

Threat Intelligence

Czym jest Cyber Threat Intelligence i jak wspiera organizacje w ochronie przed zagrożeniami

DFIR

SOC

DFIR: Proces informatyki śledczej i reagowania na incydenty

Attack Surface Management

Exposure Management

Attack Surface Management – czyli jak zarządzać podatnościami w Twojej firmie

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.