Проактивный поиск угроз информационной безопасности, или Threat Hunting (дословно – охота на угрозы) направлен против тех посягательств на инфраструктуру компании, которые еще не нанесли вред, но потенциально могут. Как отметил Руководитель управления киберразведки BI.ZONE Олег Скулкин, выступая на онлайн-конференции "Threat Hunting: российская практика охоты на киберугрозы", Threat Hunting (TH) является надстройкой над средствами обнаружения стандартных угроз, позволяющее выявить вторжение. При этом существует два подхода к обнаружению атак: неструктурированный, ориентированный на поиск аномалий и отклонений, и структурированный, направленный на поиск применения стандартных техник и тактик различных групп злоумышленников.

Руководитель отдела расширенного исследования угроз "Лаборатория Касперского" Никита Назаров назвал TH одним из главных методов предотвращения сложных атак, в том числе и тогда, когда инфраструктура компании уже взломана. Но для того, чтобы полноценно применять TH, необходимо достичь определенного уровня зрелости в обеспечении ИБ. По крайней мере, необходимо собирать телеметрию с систем, причем в ретроспективе. Плюс ко всему, нужны подготовленные специалисты, которых надо выращивать внутри компании. Специалистов по TH не готовят в учебных заведениях.

Руководитель службы ИБ АКБ "Абсолют Банк" Руслан Ложкин назвал TH развитием, пусть и на новом уровне, того, чем занимались ИБ специалисты до появления систем автоматизированного мониторинга. Тогда выявление целевых атак проходило в полностью ручном или, в лучшем случае, полуавтоматическом режиме. На полную автоматизацию TH нельзя рассчитывать и сейчас, и никакие высокоавтоматизированные системы вроде EDR или XDR аналитика не заменят.

Руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексей Леднев назвал TH одним из самых быстрорастащих сегментов российского ИБ рынка. Спрос на соответствующие продукты и сервисы за 2022 год в России вырос кратно, и это только если ограничиться коммерческими. Количество инсталляций свободно распространяемых систем оценить крайне сложно, но и оно было велико.

Главными драйверами спроса Алексей Леднев называет развитие SOC, спрос на услуги которых в 2022 году, по мнению некоторых участников рынка начал превышать предложение, а также других смежных проектов, инициируемых ростом атак в отношении российских компаний. В ходе таких проектов обнаруживались многочисленные индикаторы компрометации.

https://www.comnews.ru/content/223154/2022-11-22/2022-w47/rynok-soc-poroge-ryvka

По данным исследования "Индекс Кибербезопасности", проведенного по заказу ПАО "МегаФон" летом 2022 года среди 400 российских компаний, уровень востребованности сервисов по мониторингу инцидентов составил 44%, а по реагированию на инциденты ИБ – 41%.

https://www.comnews.ru/content/220890/2022-06-24/2022-w25/kazhdaya-pyataya-atakovannaya-khakerami-kompaniya-poluchila-finansovyy-uscherb

Вместе с тем, спрос на услуги TH сдерживает недостаток зрелости компаний. "В Group-IB отмечают, что в России спрос на услуги Threat Hunting с каждым годом растет, правда не так стремительно, как, например, на Incident Response (реагирование на инциденты информационной безопасности). Этому есть два объяснения: во-первых, российские компании еще не достигли того уровня зрелости и понимания, как и зачем использовать Threat Hunting. А, во-вторых, учитывая прошлогодний рост в России в 3 раза количества кибератак финансово-мотивированных хакеров (68% всех инцидентов приходилось на программы-вымогатели) жертвы все чаще "тушат пожары". В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак, не имели плана реагирования на киберинцидент, но и не знали о своих "профильных" киберугрозах, - говорят эксперты Group-IB. - Threat Hunting — это процесс проактивного поиска кибеугроз, в ходе которого "охотники за угрозами" разрабатывают гипотезы о поведении злоумышленников и возможных векторах атак на компанию, основываясь, как на обширных знаниях о тактике, методах и процедурах злоумышленников (TTP), так и на реальном опыте реагирований на инциденты. Рабочими инструментами специалистов TH являются решение Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз и система Threat Intelligence (Киберазведка). И судя по тому, что с начала прошлого года мы наблюдаем ажиотажный спрос со стороны клиентов на Threat Intelligence и MXDR, можно говорить и о росте косвенного интереса к вопросам проактивного поиска угроз TH".

Руководитель Центра кибербезопасности УЦСБ Виктор Вячеславов также видит рост практического интереса к TH: "Учитывая сложившуюся обстановку в 2022 году, когда различные информационные ресурсы и системы в России подвергались массовым атакам, можно однозначно говорить о росте направления TH. Причем вырос как рынок средств TH (SIEM, NTA, TI-платформы, фиды) – по некоторым вендорам кратно, так и запросы на соответствующие экспертные услуги. Понимание владельцев информационных систем, что их системы могут быть взломаны и необходимо использование эффективных инструментов борьбы также существенно увеличило интерес к концептуальным подходам, способным предотвращать нанесение неприемлемого ущерба".

При этом, как отметил Олег Скулкин, специфика атак на российские компании и госучреждения в 2022-2023 годах как раз и состоит в том, что злоумышленники находятся в инфраструктуре атакуемой компании довольно долгое время. На быструю атаку ориентированы операторы программ-вымогателей и ряд групп хактивистов. Но те, чьей целью является кража данных, остаются в инфраструктуре недели и месяцы, а когда речь идет о кибершпионаже, то и годы. А методы TH позволяли выявить вредоносную деятельность даже тогда, когда злоумышленники использовали сугубо легитимные инструменты.

Руслан Ложкин также обратил внимание на то, что TH позволяет выявлять активность не только внешних, но и внутренних злоумышленников. Он напомнил, что многие знаковые инциденты связаны с деятельностью злонамеренных инсайдеров. А кибершпионы, если ситуация не выходит за рамки, действительно могут оставаться незамеченными очень долго, об их наличии часто не подозревают.

Эксперт по информационной безопасности компании Axenix Евгений Качуров уверен: "Каждая компания со зрелой системой ИБ обладает функцией Threat Hunting это особенно важно в текущих реалиях, которые показывают высокую активность хакерских групировок в мире и особенно в РФ. Скорее всего спрос на специалистов и на сервисы TH будет только расти в ближайшие годы".

Будущее TH, по общему мнению участников дискуссии, в том, что данный инструментарий станет стандартной функцией коммерческих SOC. Как напомнил Олег Скулкин, в BI.ZONE TDR TH уже встроен в тарифные планы Focus и Panorama. По его мнению, практический интерес к TH среди российских заказчиков будет расти, но темпы роста будут зависит от интенсивности угроз. Руслан Ложкин видит главный риск для TH в том, что маркетинг высокоавтоматизированных средств вроде XDR может убедить потенциальных потребителей в том, что данные решения позволяют решать соответствующие задачи, что, однако, очень далеко от истины.