Threat Hunting в Blue Team: проактивный поиск угроз
Что такое Threat Hunting и зачем он нужен
Традиционные средства защиты — антивирусы, IDS/IPS, SIEM с правилами корреляции — работают по одному принципу: ждут известного сигнала тревоги. Атакующий создаёт аномалию, правило срабатывает, аналитик реагирует. Но что происходит, когда атакующий достаточно умён, чтобы не оставлять известных сигнатур? Когда он месяцами живёт внутри инфраструктуры, используя легитимные инструменты, двигаясь медленно и осторожно? Именно для таких случаев и существует Threat Hunting.
Threat Hunting — это проактивный и итеративный процесс поиска скрытых угроз, которые уже находятся внутри периметра организации, но не были обнаружены автоматическими средствами защиты. Ключевое слово здесь — проактивный. Threat Hunter не ждёт алерта. Он формирует гипотезу о том, как потенциальный атакующий мог действовать в конкретной инфраструктуре, — и идёт проверять эту гипотезу в данных. Иногда подтверждает её и находит реальный инцидент. Чаще — не находит ничего, но это тоже ценный результат: он говорит о том, что конкретный вектор атаки не реализован, и это можно задокументировать.
По данным исследований, среднее время пребывания атакующего в корпоративной сети (dwell time) до обнаружения составляет от нескольких недель до нескольких месяцев. За это время злоумышленник успевает закрепиться, распространиться по сети и получить доступ к критичным данным. Threat Hunting — это способ радикально сократить это окно, не дожидаясь, пока атакующий сам совершит заметную ошибку.
💡 Threat Hunting — не замена SIEM и EDR. Это дополнительный слой защиты для организаций, которые уже выстроили базовый мониторинг и хотят обнаруживать угрозы, которые автоматика пропускает.
Разница между реактивной защитой и проактивной охотой
Реактивная защита строится на правилах: если событие X произошло — сгенерировать алерт. Это необходимо, но недостаточно. Атаки класса APT (Advanced Persistent Threat) специально разработаны так, чтобы избежать срабатывания правил: использовать легитимные системные инструменты (living off the land), маскироваться под нормальный трафик, действовать в рамках допустимых порогов. Detection Engineering расширяет покрытие правил, но всегда отстаёт от новых техник атак.
Threat Hunting переворачивает логику: вместо «ждать сигнала» — «активно искать признаки». Это требует другого мышления, других навыков и другого временного горизонта. SOC-аналитик первой линии работает с потоком алертов в реальном времени. Threat Hunter может тратить несколько дней на проверку одной гипотезы, исследуя данные за последние месяцы. Это принципиально иная работа — аналитическая, исследовательская, с высокой степенью неопределённости.
Где Threat Hunting находится в экосистеме Blue Team
Blue Team — это всё, что связано с защитой: мониторинг, обнаружение, реагирование, форензика. Threat Hunting занимает в этой экосистеме особое место: он находится между SOC (реактивный мониторинг) и Threat Intelligence (стратегический анализ угроз). Threat Hunter потребляет данные от обоих направлений — использует TI для формирования гипотез и данные SOC для их проверки — и передаёт результаты обратно: новые индикаторы компрометации возвращаются в TI, а новые паттерны поведения становятся основой для новых детекшн-правил.
Принципы: на чём строится охота на угрозы
Threat Hunting — не стихийный процесс. У него есть структура, принципы и измеримые характеристики зрелости. Три базовых принципа, без которых охота превращается в хаотичный просмотр логов: предположение о компрометации, гипотезный подход и итеративность.
Гипотеза как отправная точка
Каждая охота начинается с гипотезы — конкретного предположения о том, что именно и где именно может происходить. Хорошая гипотеза не звучит как «проверим, нет ли чего подозрительного в логах». Она звучит как: «Атакующий группы APT29, использующей технику T1059.001 (PowerShell), мог создать scheduled task для persistence на рабочих станциях финансового отдела в период с марта по апрель». Это конкретно, проверяемо и привязано к реальным данным об угрозах.
Источники для формирования гипотез разнообразны. Отчёты об угрозах от вендоров и CERT-организаций — описание актуальных кампаний и используемых техник. Данные Threat Intelligence — индикаторы и TTP конкретных группировок. Результаты пентеста — векторы, которые удалось эксплуатировать в контролируемых условиях. Собственный опыт предыдущих охот — паттерны, которые уже наблюдались в инфраструктуре.
Модель зрелости Threat Hunting (HMM)
Hunting Maturity Model (HMM) описывает пять уровней готовности организации к проактивному поиску угроз — от HMM0 до HMM4. На нулевом уровне организация полностью зависит от автоматических SIEM-алертов и не имеет возможности для самостоятельного поиска. На первом — уже ведётся ситуативный поиск на основе индикаторов компрометации. На втором — охота строится на основе TTP и гипотез. Третий и четвёртый уровни — это автоматизация процедур хантинга и создание собственной базы знаний об угрозах, характерных именно для данной организации.
💡 Большинство российских организаций сейчас находятся на уровне HMM0–HMM1: мониторинг есть, но проактивного поиска нет. Переход на HMM2 требует уже выделенного специалиста и зрелой инфраструктуры сбора данных.
Методология: как проходит охота шаг за шагом
Threat Hunting — цикличный процесс, не линейный. Каждая завершённая охота порождает новые гипотезы, новые правила обнаружения и новые требования к сбору данных. Цикл состоит из пяти этапов.
1. Формирование гипотезы. Отправная точка. Аналитик изучает свежие отчёты об угрозах, данные TI, результаты предыдущих расследований — и формулирует конкретное предположение, которое можно проверить по имеющимся данным.
2. Определение источников данных. Какие данные нужны для проверки гипотезы? Логи аутентификации, сетевой трафик, данные с endpoint через EDR, DNS-запросы, данные процессов? Этот шаг часто обнажает пробелы в видимости — данных, которые нужны, просто нет в системе.
3. Поиск и анализ данных. Активная фаза охоты. Аналитик работает с SIEM, строит поисковые запросы, ищет аномалии, сравнивает с baseline-поведением. Ищет не конкретные индикаторы, а паттерны — поведение, которое выбивается из нормы, даже если не совпадает ни с одной известной сигнатурой.
4. Обнаружение и реагирование. Если гипотеза подтверждается — найденные данные передаются в процесс реагирования на инциденты. Threat Hunter фиксирует все доказательства, строит хронологию событий и передаёт эстафету IR-команде.
5. Документирование и улучшение. Результаты охоты — независимо от исхода — документируются. Новые IoC попадают в TI-базу. Выявленные паттерны поведения превращаются в новые правила обнаружения для SIEM. Обнаруженные пробелы в видимости — в задачи для команды по инфраструктуре. Каждая охота делает систему чуть умнее.
💡 Охота, которая не нашла ничего, — это тоже ценный результат. Она подтверждает отсутствие конкретного вектора в инфраструктуре и даёт основание для документированного заключения «данный TTPs не наблюдался».
MITRE ATT&CK в Threat Hunting
MITRE ATT&CK — главный рабочий инструмент Threat Hunter при построении гипотез. Матрица описывает реальные тактики, техники и процедуры (TTP), задокументированные на основе анализа реальных атак. Для Threat Hunter это не справочник, а карта охотничьих угодий: каждая ячейка матрицы — потенциальная гипотеза для проверки.
Практическое применение выглядит так. Аналитик берёт конкретную технику — например, T1003 (OS Credential Dumping) — и задаётся вопросом: есть ли в нашей инфраструктуре следы применения этой техники? Какие процессы должны были запускаться? Какие файлы — создаваться? Какой сетевой трафик — генерироваться? Ответы на эти вопросы превращаются в поисковые запросы в SIEM или EDR. Если ни одного следа не найдено — техника «закрыта». Если найдено что-то аномальное — начинается расследование.
Важный нюанс: эффективный хантинг по ATT&CK требует понимания, какие техники наиболее релевантны для вашей отрасли и инфраструктуры. Финансовые организации чаще атакуются группировками с конкретным набором TTP, промышленные предприятия — другими. Threat Intelligence помогает сузить фокус и приоритизировать гипотезы вместо попыток проверить все 200+ техник матрицы одновременно.
Инструменты Threat Hunter
Threat Hunter работает с теми же инструментами, что и весь арсенал Blue Team — но использует их иначе. Не для обработки входящих алертов, а для самостоятельного построения поисковых запросов и анализа данных без заранее определённого триггера.
Источники данных и телеметрия
Качество охоты напрямую зависит от полноты телеметрии. Без данных нет видимости, без видимости нет охоты. Минимальный набор источников, необходимых для эффективного хантинга: Windows Event Logs с расширенным аудитом (Sysmon значительно расширяет возможности), сетевой трафик (полный PCAP или flow-данные Netflow/IPFIX), данные EDR с поведенческой телеметрией процессов, DNS-логи (включая запросы от всех endpoint), логи аутентификации и Active Directory, прокси-логи и данные веб-фильтрации.
Sysmon — бесплатный инструмент от Microsoft SysInternals — заслуживает отдельного упоминания. Он расширяет стандартное логирование Windows, добавляя детальные данные о запуске процессов, сетевых соединениях, создании файлов и изменениях реестра. Для Threat Hunter это один из ценнейших источников данных: именно здесь видны характерные следы living-off-the-land техник.
Инструменты анализа и поиска
SIEM (Splunk, QRadar, Elastic SIEM, MaxPatrol SIEM) — основная рабочая среда. Threat Hunter пишет сложные поисковые запросы, строит корреляции между разными источниками данных, анализирует временные паттерны. EDR-платформы (CrowdStrike Falcon, Microsoft Defender for Endpoint, Carbon Black) дают доступ к поведенческой телеметрии endpoint в реальном времени и за исторический период. Платформы Threat Intelligence (MISP, OpenCTI, коммерческие TI-фиды) обеспечивают контекст для гипотез и обогащение обнаруженных артефактов. Инструменты форензики (Volatility, Velociraptor) нужны для глубокого исследования при подтверждении гипотезы.
💡 Velociraptor — open source инструмент для удалённого сбора криминалистических данных и выполнения поисковых запросов на тысячах endpoint одновременно. Именно он позволяет Threat Hunter в течение нескольких минут проверить гипотезу на всей инфраструктуре, а не на отдельных машинах.
Что Threat Hunter делает с результатами
Результаты охоты — не просто отчёт «нашли / не нашли». Каждая завершённая сессия генерирует ценные артефакты для всей команды безопасности. Это один из ключевых аргументов в пользу Threat Hunting как процесса: даже «пустая» охота создаёт задокументированное свидетельство проверки конкретного вектора угрозы.
Если угроза обнаружена — немедленная передача в incident response с полной доказательной базой: хронология событий, задействованные системы и учётные записи, использованные техники в терминах ATT&CK, собранные криминалистические данные. Если угроза не подтверждена — результаты охоты всё равно документируются: новые IoC, которые не сработали, идут в TI как «наблюдённые, но не вредоносные», паттерны поведения, которые оказались нормальными для данной среды, обновляют baseline. Пробелы в видимости — отсутствие нужных логов, слепые зоны в мониторинге — превращаются в конкретные задачи для улучшения инфраструктуры.
Отдельно стоит отметить взаимодействие с Detection Engineering: поведенческие паттерны, обнаруженные в ходе охоты, — это готовый материал для написания новых правил обнаружения. Так Threat Hunting питает автоматику: то, что сегодня требует ручного поиска опытного аналитика, завтра становится автоматическим алертом.
Навыки и требования к специалисту
Threat Hunter — одна из наиболее требовательных позиций в Blue Team. Это не роль для начинающего: работодатели, как правило, ждут от кандидата нескольких лет практики в SOC или смежных направлениях. Причина проста: охота требует глубокого понимания как атакующих техник, так и нормального поведения систем — это знание накапливается только с опытом.
Технические навыки: уверенная работа с SIEM и EDR на уровне построения сложных запросов; понимание операционных систем Windows и Linux на уровне процессов, памяти и артефактов; сетевой анализ и чтение PCAP; знание MITRE ATT&CK на уровне не только тактик, но и конкретных техник и процедур; базовые навыки reverse engineering и анализа вредоносного ПО — хотя бы на уровне понимания поведения; навыки скриптинга (Python, PowerShell) для автоматизации поисковых запросов.
Аналитические и «мягкие» навыки: критическое мышление и умение работать с неопределённостью; способность генерировать и структурировать гипотезы; внимание к деталям при работе с большими массивами данных; умение документировать и объяснять находки нетехнической аудитории. Последнее часто недооценивают — но Threat Hunter, который не может донести суть своих находок до CISO или руководства, теряет половину своей ценности для организации.
💡 Типичный путь в Threat Hunting: 1–2 года в роли SOC-аналитика (Tier 1–2) → специализация на расследовании сложных инцидентов (Tier 2–3) → переход в Threat Hunting. Альтернативный путь: из пентестинга, с глубоким пониманием атакующих техник.
Зарплата Threat Hunter в России
Threat Hunter — высокооплачиваемая специализация с дефицитом кадров. Найти человека, который одинаково хорошо понимает атакующие техники, умеет писать сложные SIEM-запросы и выстраивать аналитические гипотезы — крайне сложно. Рынок это отражает.
В Москве специалист уровня Junior Threat Hunter (с SOC-бэкграундом, первые 1–2 года в роли) зарабатывает от 150 000 до 220 000 рублей в месяц. Middle-уровень (2–4 года в хантинге) — 250 000–380 000 рублей. Senior Threat Hunter и Lead в крупных корпоративных SOC или у вендоров — от 380 000 рублей и выше. Верхняя граница у экспертов с международной репутацией в консалтинге практически не ограничена.
Наиболее высокооплачиваемые позиции — в финансовом секторе (банки, финтех), крупных технологических компаниях и у вендоров ИБ-решений, которые формируют аналитические команды для разработки детекшн-контента и исследования угроз. Работа в MSSP (Managed Security Service Provider) — хорошая точка входа: здесь можно получить опыт хантинга в разнородных инфраструктурах разных клиентов.
Курсы по Threat Hunting
Направление Threat Hunting активно развивается, и специализированных программ становится всё больше. Ниже — курсы, которые дают именно хантинг-методологию, а не просто общую Blue Team подготовку.
Специализированные курсы по Threat Hunting
INSECA
Threat Hunting: практический курс по поиску угроз
Практический курс по проактивному поиску угроз: построение гипотез по MITRE ATT&CK, работа с телеметрией endpoint и сети, разбор реальных охотничьих сценариев. Акцент на лабораторную практику.
Kaspersky Expert Training
Security Operations and Threat Hunting
Комплексная программа, охватывающая операционную безопасность и проактивный поиск угроз: от построения процессов мониторинга до методологии хантинга и работы с инструментами анализа.
F6
Проактивный поиск киберугроз
Курс по методологии проактивного обнаружения угроз в корпоративной инфраструктуре: работа с источниками данных, построение и проверка гипотез, применение фреймворка MITRE ATT&CK в реальных охотничьих сценариях.