Security Lab

threat hunting

Поиск киберугроз (охота на угрозы, threat hunting) — это проактивный поиск в сетях, конечных точках и массивах данных с целью обнаружения вредоносных, подозрительных или рискованных действий, которые не удалось обнаружить с помощью существующих решений безопасности.

Поиск угроз традиционно является ручным процессом, в котором аналитик безопасности просеивает различные данные, используя собственные знания и навыки работы с сетью для создания гипотез о потенциальных угрозах, таких как, например, боковое перемещение субъектов угроз, но не ограничиваясь этим. Для повышения эффективности и результативности поиск угроз может быть частично автоматизирован, или автоматизирован с помощью машин. В этом случае аналитик применяет программное обеспечение, использующее машинное обучение и аналитику поведения пользователей и объектов (UEBA -user and entity behavior analytics) для выявления потенциальных рисков. Далее проводится расследование этих потенциальных рисков, в ходе которого аналитик отслеживает подозрительное поведение в сети. Таким образом, охота — это итеративный процесс, то есть он должен постоянно повторяться, начиная с гипотезы.

Модель зрелости угроз (Hunting Maturity Model, HMM) — это простая модель для оценки возможностей организации по поиску угроз.

Институт SANS определяет модель зрелости поиска угроз следующим образом:

Начальный (HMM0 — Initial) - На этом уровне организации используют автоматизированные решения оповещения, такие как антивирусное программное обеспечение, SIEM или IDS, для обнаружения вредоносной деятельности в корпоративной сети. Рутинный сбор данных практически отсутствует.

Минимальный (HMM1 — Minimal) - Подобно HMM0, организации по-прежнему в значительной степени полагаются на автоматическое оповещение при выполнении процесса реагирования на инциденты. Но в отличие от HMM0, этот уровень предполагает умеренный или высокий уровень рутинного сбора данных, которые организации передают в свои центральные узлы, такие как SIEM.

Процедурный (HMM2 — Procedural) - На уровне зрелости 2 организация следует процедурам анализа, созданными другими. Она имеет высокий или очень высокий уровень рутинного сбора данных.

Инновационный (HMM3 — Innovative) - На третьем уровне зрелости организация создает и публикует собственные процедуры анализа данных. Она имеет высокий или очень высокий уровень рутинного сбора данных.

Передовой (HMM4 — Leading) - На уровне зрелости 4 организация автоматизирует большинство успешных процедур анализа данных. Имеет высокий или очень высокий уровень рутинного сбора данных.


Threat Hunting: потеря кадров стала главной проблемой ИБ-специалистов

Исследование показывает, как изменилась эффективность программ поиска угроз за год.

PT NAD еженедельно выявляет около 3000 попыток проникновения в инфраструктуру «Генбанка»

Треть этих атак имеют высокий уровень опасности

Positive Technologies представила новую версию песочницы

В PT Sandbox 4.0 расширены возможности для проактивного поиска угроз.