Кто такой Threat Hunter и чем он занимается
Threat Hunter — специалист по проактивному поиску скрытых угроз, которые уже находятся внутри инфраструктуры организации, но не были обнаружены автоматическими средствами защиты. Ключевое слово — проактивный. Он не ждёт алерта от SIEM или EDR. Вместо этого формирует гипотезу о том, как потенциальный атакующий мог действовать в конкретной среде, — и идёт проверять её в данных. Это принципиально иной способ мышления по сравнению со всем остальным Blue Team.
Традиционные средства защиты — антивирусы, IDS/IPS, правила корреляции в SIEM — работают по одному принципу: ждут известного сигнала. Атака создаёт аномалию, правило срабатывает, аналитик реагирует. Но что происходит, когда атакующий достаточно умён, чтобы не оставлять известных сигнатур? Когда он месяцами живёт внутри сети, использует легитимные системные инструменты, двигается медленно и осторожно, не пересекая заранее настроенных порогов? Именно для таких случаев существует Threat Hunting.
По данным исследований, среднее время пребывания атакующего в корпоративной сети до обнаружения составляет от нескольких недель до нескольких месяцев. За это время злоумышленник успевает закрепиться, распространиться по сети и получить доступ к критичным данным. Threat Hunting — это способ радикально сократить это окно, не дожидаясь, пока атакующий сам допустит заметную ошибку. Организации, внедрившие зрелую практику хантинга, обнаруживают инциденты в разы быстрее тех, кто ограничивается реактивным мониторингом.
💡 Threat Hunting — не замена SIEM и EDR, а дополнительный уровень защиты. Он закрывает слепые зоны автоматики: атаки класса APT, технику living-off-the-land, медленный lateral movement без видимых аномалий. Внедрять хантинг имеет смысл только после того, как базовый мониторинг уже выстроен.
Чем Threat Hunter отличается от SOC-аналитика
SOC-аналитик первой и второй линии работает с потоком входящих алертов в режиме реального времени: его цель — как можно быстрее обработать сигнал, классифицировать его и либо закрыть как ложное срабатывание, либо эскалировать. Это реактивная работа в условиях жёстких SLA и высокой нагрузки. Threat Hunter существует в принципиально другом временном масштабе и логике.
Threat Hunter может потратить несколько дней или даже недель на проверку одной гипотезы, исследуя данные за последние месяцы. У него нет очереди алертов — есть набор вопросов, которые он задаёт инфраструктуре. Он ищет не конкретные индикаторы компрометации, а поведенческие паттерны, которые выбиваются из нормы. Чтобы их увидеть, нужно хорошо знать, как «нормально» выглядит эта же инфраструктура — а это приходит только с опытом работы внутри неё.
Место Threat Hunter в экосистеме Blue Team
Blue Team — это всё, что связано с защитой: мониторинг, обнаружение, реагирование, форензика. Threat Hunter занимает в этой экосистеме особое место между SOC и Threat Intelligence. Он потребляет данные от обоих направлений — использует TI для формирования гипотез и данные SOC для их проверки — и передаёт результаты обратно: новые индикаторы компрометации возвращаются в TI, а выявленные поведенческие паттерны становятся основой для новых правил обнаружения.
Это делает Threat Hunter ценнейшим звеном в цепочке: он не просто ищет угрозы, но системно повышает зрелость всей защитной инфраструктуры. Каждая завершённая охота — это потенциально новое правило детекции, новый IoC в базе TI, закрытая слепая зона в мониторинге. Инвестиция в одного хорошего Threat Hunter окупается многократно.
Как работает проактивная охота на угрозы
Threat Hunting — не стихийный процесс и не «смотрю логи в поисках чего-нибудь странного». У него есть чёткая структура, измеримые характеристики зрелости и воспроизводимая методология. Именно это отличает профессиональный хантинг от интуитивного поиска, которым занимаются опытные SOC-аналитики в свободное время.
Модель зрелости Threat Hunting (Hunting Maturity Model, HMM) описывает пять уровней готовности организации — от HMM0 до HMM4. На нулевом организация полностью зависит от автоматических алертов и не имеет возможностей для самостоятельного поиска. На первом уровне ведётся ситуативный поиск на основе индикаторов компрометации. На втором — охота строится на основе TTP и гипотез. Третий и четвёртый уровни — это автоматизация процедур хантинга и создание собственной базы знаний об угрозах, характерных именно для данной организации. Большинство российских компаний сейчас находятся на уровне HMM0–HMM1.
Гипотеза как основа каждой охоты
Каждая охота начинается с гипотезы — конкретного, проверяемого предположения о том, что именно и где именно может происходить. Хорошая гипотеза не звучит как «проверим, нет ли чего подозрительного». Она звучит как: «Атакующий, использующий технику T1059.001 (PowerShell), мог создать scheduled task для persistence на рабочих станциях финансового отдела в период с января по март». Это конкретно, привязано к данным и проверяемо.
Источники для формирования гипотез: отчёты об угрозах от вендоров и CERT-организаций, данные Threat Intelligence о конкретных группировках, результаты пентестов — векторы, которые сработали в контролируемых условиях, и опыт предыдущих охот. Правильно сформулированная гипотеза сразу указывает на нужные источники данных и экономит дни работы.
Пять этапов цикла Threat Hunting
1. Формирование гипотезы. Отправная точка. Аналитик изучает актуальные отчёты об угрозах, данные TI, результаты предыдущих расследований — и формулирует конкретное предположение.
2. Определение источников данных. Какие данные нужны для проверки? Логи аутентификации, трафик, данные EDR, DNS-запросы, журналы процессов? Этот шаг часто обнажает пробелы в видимости — когда нужных данных попросту нет в системе.
3. Поиск и анализ. Активная фаза охоты. Аналитик работает с SIEM и EDR, строит поисковые запросы, ищет аномалии, сравнивает с baseline-поведением. Цель — не совпадение с известной сигнатурой, а поведение, которое выбивается из нормы.
4. Реагирование. Если гипотеза подтверждается — все данные передаются в процесс реагирования на инциденты. Threat Hunter фиксирует доказательства, строит хронологию событий и передаёт эстафету IR-команде.
5. Документирование и улучшение. Независимо от исхода — результаты фиксируются. Новые IoC попадают в TI-базу. Паттерны поведения становятся правилами обнаружения. Слепые зоны в мониторинге — задачами для инфраструктурной команды. Каждая охота делает всю систему защиты чуть умнее.
💡 Охота, которая не нашла ничего — тоже ценный результат. Она документирует отсутствие конкретного вектора атаки в инфраструктуре и даёт обоснованное заключение: «данный TTP не наблюдался». Это измеримое свидетельство уровня защиты, а не провал.
MITRE ATT&CK в работе Threat Hunter
MITRE ATT&CK — главный рабочий инструмент Threat Hunter при построении гипотез. Матрица описывает реальные тактики, техники и процедуры (TTP), задокументированные на основе анализа реальных атак. Для хантера это не справочник, а карта охотничьих угодий: каждая ячейка — потенциальная гипотеза для проверки.
Практическое применение выглядит так: аналитик берёт конкретную технику — например, T1003 (OS Credential Dumping) — и задаётся вопросом: есть ли в нашей инфраструктуре следы применения этой техники? Какие процессы должны были запускаться? Какие файлы создаваться? Какой сетевой трафик генерироваться? Ответы превращаются в поисковые запросы в SIEM или EDR. Если ничего не найдено — техника «закрыта». Если найдено что-то аномальное — начинается расследование.
Знать ATT&CK формально недостаточно. Threat Hunter должен понимать матрицу на уровне не только тактик, но и конкретных техник и их процедурных вариаций (sub-techniques). Финансовые организации атакуются группировками с одним набором TTP, промышленные предприятия — другими. Грамотное применение данных Threat Intelligence позволяет сузить фокус и приоритизировать гипотезы вместо попыток охватить все 200+ техник матрицы сразу.
💡 ATT&CK Navigator — бесплатный инструмент MITRE, позволяющий визуализировать покрытие матрицы и отмечать техники, которые уже проверены в охотничьих сессиях. Это удобный способ отслеживать зрелость практики хантинга и планировать следующие охоты.
Инструменты Threat Hunter
Threat Hunter работает с теми же инструментами, что и весь арсенал Blue Team — но использует их иначе. Не для обработки входящих алертов, а для самостоятельного формирования поисковых запросов и анализа данных без заранее определённого триггера.
Телеметрия и источники данных
Качество охоты напрямую зависит от полноты телеметрии. Без данных нет видимости, без видимости нет охоты. Минимальный набор источников для эффективного хантинга:
- Windows Event Logs с расширенным аудитом — базовое логирование Windows сильно расширяется через Sysmon: детальные данные о запуске процессов, сетевых соединениях, создании файлов, изменениях реестра. Именно здесь видны характерные следы living-off-the-land атак.
- Сетевой трафик — полный PCAP или flow-данные (Netflow/IPFIX). Без сетевой телеметрии практически невозможно обнаружить lateral movement и C2-коммуникации.
- Данные EDR — поведенческая телеметрия процессов в реальном времени и за исторический период. Ключевой источник для обнаружения аномалий на endpoint.
- DNS-логи — включая запросы от всех endpoint. Обнаружение DNS-туннелирования и C2 через DNS невозможно без этого источника.
- Логи аутентификации и Active Directory — аномалии в паттернах входа, создание учётных записей, изменения привилегий. Первичный источник при расследовании credential-based атак.
Основные платформы и инструменты анализа
SIEM (Splunk, QRadar, Elastic SIEM, MaxPatrol SIEM) — основная рабочая среда. Threat Hunter пишет сложные поисковые запросы, строит корреляции между разными источниками данных, анализирует временные паттерны. Понимание архитектуры SIEM на уровне запросов — обязательный навык.
EDR-платформы (CrowdStrike Falcon, Microsoft Defender for Endpoint, Carbon Black) — доступ к поведенческой телеметрии endpoint в реальном времени и за исторический период. Позволяют видеть дерево процессов, подключения к сети, загрузку модулей и другие поведенческие артефакты.
Velociraptor — open-source платформа для удалённого сбора форензик-данных и выполнения поисковых запросов на тысячах endpoint одновременно. Именно он позволяет Threat Hunter за несколько минут проверить гипотезу на всей инфраструктуре, а не на отдельных машинах вручную.
Платформы Threat Intelligence (MISP, OpenCTI, коммерческие TI-фиды) — контекст для формирования гипотез и обогащение обнаруженных артефактов. Без актуальных TI-данных охота превращается в поиск вслепую.
YARA — язык написания сигнатур для обнаружения вредоносного кода. Threat Hunter использует готовые правила из репозиториев и пишет собственные под конкретные кампании атакующих.
💡 Sysmon — бесплатный инструмент от Microsoft SysInternals, который радикально расширяет стандартное логирование Windows. Для Threat Hunter это один из ценнейших источников данных: именно здесь видны характерные следы living-off-the-land техник, которые стандартный аудит не фиксирует.
Навыки и знания Threat Hunter
Threat Hunter — одна из наиболее требовательных позиций в Blue Team. Это не роль для начинающего: работодатели, как правило, ждут от кандидата нескольких лет практики в SOC или смежных направлениях. Причина проста: охота требует глубокого понимания как атакующих техник, так и нормального поведения конкретных систем — это знание накапливается только с опытом.
Операционные системы. Глубокое знание Windows на уровне ядра: артефакты реестра, Prefetch, Event Log, LNK-файлы, NTFS-журналы ($MFT, $LogFile, $UsnJrnl), механизмы аутентификации (NTLM, Kerberos). Linux: syslog, auth.log, cron, bash_history, особенности процессной модели. Оба — на уровне «понимаю, почему это работает», а не «знаю, как запустить команду».
Сети и протоколы. TCP/IP, DNS, HTTP/S, SMB, Kerberos, LDAP — на уровне понимания нормального и аномального трафика. Умение читать PCAP и строить запросы в Wireshark / Zeek. Понимание техник сетевой разведки, lateral movement и C2-коммуникаций.
Тактики атакующих. Рабочее знание MITRE ATT&CK — не формальное перечисление тактик, а понимание конкретных техник, их артефактов и методов обнаружения. Желательно базовое знакомство с реверс-инжинирингом и анализом вредоносного ПО — хотя бы на уровне понимания поведения малвари без глубокого дизассемблирования.
Программирование. Python — обязательно: написание парсеров данных, автоматизация поисковых запросов, работа с API SIEM и TI-платформ. PowerShell — для работы в Windows-инфраструктуре. SQL — для работы с данными в аналитических платформах.
Аналитические навыки. Критическое мышление и умение работать с неопределённостью — это основа профессии. Способность генерировать структурированные гипотезы, отсеивать шум от сигнала, не делать поспешных выводов. И — что часто недооценивают — умение объяснять технические находки нетехнической аудитории. Threat Hunter, который не может донести суть своих находок до CISO или руководства, теряет половину своей ценности для организации.
Сертификаты. GIAC GCIH, GCFE, GREM — международно признанные и наиболее ценимые в профессиональном сообществе. SANS FOR508 (Advanced Incident Response, Threat Hunting and Digital Forensics) — один из лучших курсов в мире именно по хантингу. Certified Threat Intelligence Analyst (CTIA) — как дополнение к TI-базе.
Карьера: грейды, зарплата и пути входа
Threat Hunter — высокооплачиваемая специализация с устойчивым дефицитом кадров на российском рынке. Найти человека, который одинаково хорошо понимает атакующие техники, умеет строить сложные SIEM-запросы и выстраивать аналитические гипотезы — крайне сложно. Рынок это отражает в зарплатах.
Junior Threat Hunter — первые 1–2 года в роли, как правило, с SOC-бэкграундом. Участие в охотах под руководством senior-специалиста, самостоятельная работа с типовыми гипотезами, базовое написание SIEM-запросов. Зарплата в Москве: 150 000–220 000 руб./мес.
Middle Threat Hunter — 2–4 года опыта. Самостоятельное ведение полного цикла охоты, разработка новых гипотез на основе TI, написание YARA-правил, участие в формировании детекшн-контента для SIEM. Зарплата: 250 000–380 000 руб./мес.
Senior Threat Hunter / Team Lead — разработка методологии хантинга для организации, формирование охотничьих программ, взаимодействие с TI-командой и Detection Engineering, менторинг. Зарплата: от 380 000 руб./мес., в крупных банках, вендорах и MSSP — до 500 000 руб./мес. и выше.
Наиболее высокооплачиваемые позиции — в финансовом секторе, крупных технологических компаниях и у вендоров ИБ, которые формируют собственные аналитические команды. MSSP (Managed Security Service Provider) — хорошая точка входа: здесь можно за короткое время получить опыт хантинга в разнородных инфраструктурах десятков разных клиентов.
Пути входа в профессию
Из SOC-аналитика. Самый распространённый и органичный путь. SOC Tier 2–3 работает со сложными инцидентами, строит корреляции, пишет правила — это прямая база для перехода в хантинг. Добавьте изучение MITRE ATT&CK на уровне техник, практику на CTF-платформах (CyberDefenders, Blue Team Labs Online) и первые самостоятельные охоты в рабочей инфраструктуре — и профиль Junior Threat Hunter готов.
Из пентестинга. Альтернативный путь с сильным преимуществом: глубокое понимание атакующих техник — именно то, чего часто не хватает классическим SOC-аналитикам. Не хватает знания защитной инфраструктуры и навыков работы с SIEM/EDR. Путь: изучить Blue Team инструментарий → освоить написание детекшн-правил → перейти в хантинг.
С нуля из несмежной сферы. Реалистично, но требует 2–3 лет системного обучения. Минимальный стек: CompTIA Security+ → курс по SOC-анализу → 1–2 года практики в SOC → специализация в хантинге. Без реального опыта в SOC попасть напрямую в Threat Hunter практически невозможно.
💡 Типичный карьерный путь: SOC Tier 1–2 (1–2 года) → SOC Tier 2–3 с фокусом на расследование сложных инцидентов (ещё 1–2 года) → Junior Threat Hunter. Ускорить переход помогают: публичные write-up'ы по CTF на CyberDefenders, участие в bug bounty и вклад в открытые детекшн-репозитории (Sigma rules).
Где учиться Threat Hunting в России
Специализированных программ по Threat Hunting в России становится больше, но их по-прежнему немного. Ниже — курсы, которые дают именно хантинг-методологию, а не просто общую Blue Team подготовку.
Специализированные курсы по Threat Hunting
INSECA
Практический курс по поиску киберугроз Threat Hunting
Практический курс по проактивному поиску угроз: построение гипотез по MITRE ATT&CK, работа с телеметрией endpoint и сети, разбор реальных охотничьих сценариев. Акцент на лабораторную практику — 70% программы составляют практические задания на тренировочной платформе.
Kaspersky Expert Training
Security Operations and Threat Hunting
Комплексная программа, охватывающая операционную безопасность и проактивный поиск угроз: от построения процессов мониторинга до методологии хантинга и работы с инструментами анализа. Подходит специалистам с опытом в SOC или Blue Team.
F6
Проактивный поиск киберугроз
Курс по методологии проактивного обнаружения угроз в корпоративной инфраструктуре: работа с источниками данных, построение и проверка гипотез, применение фреймворка MITRE ATT&CK в реальных охотничьих сценариях. Уровень — Middle/Senior.