Co nieco o threat huntingu.

Threat hunting to aktywna, świadoma forma obrony, w której to zespół SOC szuka zagrożeń, zanim one znajdą daną organizację.

Spróbujemy dziś znaleźć odpowiedź na pytanie dlaczego coraz więcej firm inwestuje w dedykowane zespoły threat hunterów.

Proaktywne polowanie

W tradycyjnym podejściu do bezpieczeństwa IT wszystko opiera się na scenariuszach reakcji: czyli jest jakiś sygnał, jest analiza i są działania. Threat hunting odwraca tę logikę – zakłada, że intruz dotarł do systemów, tylko jeszcze go nie zauważyliśmy i że trzeba go znaleźć zanim zdąży narobić szkody.

W 2025 roku, według corocznego raportu firmy Mandiant, średni czas obecności atakującego w środowisku ofiary przed wykryciem (czyli tzw. dwell time) wynosił 11 dni. To półtorej tygodnia swobodnego działania w naszej infrastrukturze.

Na czym polega threat hunting?

Najprościej ujmując, threat hunting jest proaktywnym poszukiwaniem anomalii, które mogą świadczyć o obecności jakiegoś zagrożenia, mimo tego, że nie zostało ono wykryte przez systemy cyberbezpieczeństwa.

Threat hunting nie jest procesem opartym na alertach. Hunterzy formułują poszczególne hipotezy typu „a co jeśli ktoś używa złośliwy interpreter do eksportu danych?”  i zaczynają proces, który to sprawdza – przeszukują logi, analizują zachowania użytkowników i systemów, porównują zebrane dane z ogólną bazą wiedzy o zagrożeniach (Threat Intelligence) itd…

Z czego korzysta threat hunter?

Wile zależy od konkretnego środowiska IT, jednak można przyjąć ogólne założenie, że threat hunterzy zazwyczaj posługują się następującymi źródłami:

• Logi – w szczególności z OS, firewalli, poczty itp.
• SIEM – jako narzędzie do centralnej kolekcji i korelacji logów.
• EDR/XDR – jako rozwiązania do analizy aktywności na poziomie endpointów i źródeł trzecich.
• Bazy Threat Intelligence – określają zewnętrzne dane o rodzajach znanych ataków,
• Analiza behawioralna/uczenie maszynowe – szukanie nietypowych wzorców zachowań i odstępstw od normy.

W praktyce bardzo ważną rolę odgrywa też umiejętność tworzenia specyficznych dla danego narzędzia reguł.

Kim jest threat hunter?

To nie jest osoba, która działa na poziomie analityka pierwszej linii zespołu SOC. Dobry threat hunter to ktoś z doświadczeniem, kto zna działanie systemów operacyjnych, rozumie schemat działania sieci komputerowych, ma obycie z logami i wie jak wyglądają ataki „od kuchni”. Często są to osoby z SOC z linii L2/L3 lub zespołów typu red team tworzących symulowane ataki.

Przykład z życia

Wyobraźmy sobie hipotetyczną sytuację (która jednak ma bardzo duże szanse, aby wydarzyć się w rzeczywistości).

Firma z sektora finansowego zauważyła, że jeden z pracowników działu sprzedaży regularnie loguje się do systemu poza godzinami swojej pracy. Alertów brak, bo hasło się zgadza, a VPN jest aktywny.

Threat hunter, przy pomocy swoich systemów, sprawdzając logi logowania i korelując je z lokalizacją, zauważył, że logowania odbywały się z różnych krajów w tym samym czasie. Jak wiadomo, nie jest możliwe się sklonować. Dalsza analiza wykazała, że dane logowania zostały przechwycone i używane do transferu danych firmowych na zewnętrz.

Gdyby nie proaktywne podejście, czyli wyłapanie nietypowego wzorca, to atak zostałby niezauważony przez tygodnie.

Czy każda organizacja potrzebuje threat huntingu?

Oczywiście nie. Natomiast coraz więcej firm nie może sobie pozwolić na jego brak. Mowa tutaj szczególnie o organizacjach, które przetwarzają dane krytyczne (np. sektor finansowy, zdrowotny, administracja itp.)

Na sam koniec

Threat hunting nie zastępuje podstawowego bezpieczeństwa, a jest jego rozszerzeniem. Jeśli nie mamy ogarniętych podstaw, typu backup, segmentacji sieci itp., to nie zaczynajmy od tego.