Поиск киберугроз (охота на угрозы, threat hunting) — это проактивный поиск в сетях, конечных точках и массивах данных с целью обнаружения вредоносных, подозрительных или рискованных действий, которые не удалось обнаружить с помощью существующих решений безопасности.
Поиск угроз традиционно является ручным процессом, в котором аналитик безопасности просеивает различные данные, используя собственные знания и навыки работы с сетью для создания гипотез о потенциальных угрозах, таких как, например, боковое перемещение субъектов угроз, но не ограничиваясь этим. Для повышения эффективности и результативности поиск угроз может быть частично автоматизирован, или автоматизирован с помощью машин. В этом случае аналитик применяет программное обеспечение, использующее машинное обучение и аналитику поведения пользователей и объектов (UEBA -user and entity behavior analytics) для выявления потенциальных рисков. Далее проводится расследование этих потенциальных рисков, в ходе которого аналитик отслеживает подозрительное поведение в сети. Таким образом, охота — это итеративный процесс, то есть он должен постоянно повторяться, начиная с гипотезы.
Модель зрелости угроз (Hunting Maturity Model, HMM) — это простая модель для оценки возможностей организации по поиску угроз.
Институт SANS определяет модель зрелости поиска угроз следующим образом:
Начальный (HMM0 — Initial) - На этом уровне организации используют автоматизированные решения оповещения, такие как антивирусное программное обеспечение, SIEM или IDS, для обнаружения вредоносной деятельности в корпоративной сети. Рутинный сбор данных практически отсутствует.
Минимальный (HMM1 — Minimal) - Подобно HMM0, организации по-прежнему в значительной степени полагаются на автоматическое оповещение при выполнении процесса реагирования на инциденты. Но в отличие от HMM0, этот уровень предполагает умеренный или высокий уровень рутинного сбора данных, которые организации передают в свои центральные узлы, такие как SIEM.
Процедурный (HMM2 — Procedural) - На уровне зрелости 2 организация следует процедурам анализа, созданными другими. Она имеет высокий или очень высокий уровень рутинного сбора данных.
Инновационный (HMM3 — Innovative) - На третьем уровне зрелости организация создает и публикует собственные процедуры анализа данных. Она имеет высокий или очень высокий уровень рутинного сбора данных.
Передовой (HMM4 — Leading) - На уровне зрелости 4 организация автоматизирует большинство успешных процедур анализа данных. Имеет высокий или очень высокий уровень рутинного сбора данных.