Контакты
Подписка 2026

От гипотезы к инсайту: пора ли внедрять Threat Hunting?

Владислав Бурцев, 26/11/25

Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикла публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена Threat Hunting – проактивному поиску угроз.

Автор: Владислав Бурцев, руководитель отдела анализа киберугроз в BI.ZONE

Video-Cover_1136х638-min-1

Что такое Threat Hunting?

Threat Hunting (TH) – это проактивный итеративный процесс, в рамках которого специалисты формулируют гипотезы и исследуют данные, чтобы найти в них известные паттерны активности злоумышленников и выявить новые.

Процесс состоит из четырех этапов:

  1. Создание гипотезы.
  2. Исследование событий, подпадающих под ее логику.
  3. Выявление новых паттернов, а также тактик, техник и процедур (TTPs) злоумышленников.
  4. Совершенствование детектирующей логики и обогащение событий.

Проактивность TH заключается в поиске событий, на которые не сработали правила корреляции и средства защиты информации. В результате Threat Hunting позволяет:

  • создавать детектирующий контент;
  • обогащать данные Threat Intelligence (TI);
  • автоматизировать проверки гипотез;
  • выявлять атаки на раннем этапе.

Идеи для поиска гипотез

Новые идеи для формирования гипотез можно брать из материалов об уже случившихся атаках (отчеты TI, DFIR и т. д.). Эти данные позволяют охотиться за тем, что фактически используют атакующие. Но подход, при котором мы исследуем только то, что уже было, оставляет нас позади злоумышленников. Поэтому мы также черпаем идеи для гипотез из исследований (как собственных, так и от наших коллег), анализа новых инструментов и векторов эксплуатации.

Отличия Threat Hunting от написания правил корреляции

Threat Hunting позволяет более гибко подойти к поиску подозрительных действий: то, что не может быть реализовано в качестве правил корреляции из-за большого количества ложноположительных срабатываний, может быть учтено в процессе TH. Это позволяет эффективно использовать ресурсы аналитиков, не сокращая зоны видимости SOC.

В BI.ZONE мы используем подход, основанный на взаимодействии команд SOC, TI и EDR. Гипотезы формируются на основе актуального для компании ландшафта угроз, который описывает команда TI. Для проверки гипотез мы используем телеметрию BI.ZONE EDR. Если собираемых данных недостаточно для верификации, команда EDR обогащает телеметрию нужными событиями. Это позволяет не только эффективно подтверждать гипотезы в рамках TH, но и создавать дополнительные правила корреляции.

Для кого актуален Threat Hunting?

На этот вопрос поможет ответить Hunting Maturity Model, придуманная экспертом по кибербезопасности Дэвидом Бьянко. Он выделил пять уровней зрелости организаций. В зависимости от качества собираемых данных, используемых инструментов, а также навыков аналитиков, можно понять, насколько актуален TH для конкретной компании.

  1. Начальный уровень. Организации этого уровня опираются в основном на автоматизированные алерты СЗИ (IPS/IDS, AV). Телеметрия с хостов собирается на минимальном уровне, необходимом, чтобы отслеживать срабатывания СЗИ. Даже если такая компания озаботится Threat Hunting, возможность полноценно заниматься им будет сильно ограничена. При таком уровне зрелости TH не нужен.
  2. Минимальный уровень. В таких организациях также полагаются на автоматизированные алерты при реагировании, но уже регулярно собирают телеметрию с различных источников, а также активно используют данные TI для принятия решений. Аналитики могут извлечь ключевые индикаторы из различных отчетов и провести поиск по историческим данным, чтобы выяснить, встречались ли исследуемые угрозы в прошлом. Это первый уровень, на котором TH может быть актуален.
  3. Процедурный уровень. Такие компании способны изучать и применять детектирующую логику, разработанную другими, и могут вносить в нее незначительные изменения, но пока не способны самостоятельно создавать правила детектирования. Организации с этим уровнем зрелости обычно собирают большой объем данных с хостов. Аналитики регулярно отсматривают телеметрию на предмет срабатывания правил корреляции. Это наиболее распространенный уровень, при котором в организации активно занимаются TH.
  4. Инновационный уровень. Вместо того чтобы полагаться на детекты, разработанные другими, организации на этом уровне, как правило, сами разрабатывают детектирующую логику. Аналитики создают повторяемые процедуры, которые документируются и регулярно выполняются. На этом и следующем уровне можно говорить о полностью сформировавшемся процессе TH.
  5. Лидирующий уровень. От предыдущего уровня такие компании отличает автоматизация. Любой успешный хант превращается в автоматическое обнаружение. Это позволяет аналитикам не повторять одни и те же запросы, а сосредоточиться на улучшении существующих процессов TH или создании новых.

Заключение

Threat Hunting актуален для организаций, в которых есть зрелый SOC с налаженными процессами глубокого анализа данных из разных источников.

Проактивный поиск помогает выйти за рамки стандартных инструментов безопасности: это способ выявить угрозы, которые сложно обнаружить автоматизированными средствами. За счет постоянных итераций, проверки гипотез и обогащения данными TI, Threat Hunting усиливает защиту и позволяет обнаружить атаки еще до того, как они нанесут ощутимый ущерб.

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcpqnQo


 

Темы:SOCBI.ZoneBI.ZONE SOC ConsultingЖурнал "Информационная безопасность" №5, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру
    Артем Назаретян, руководитель BI.ZONE PAM
    Переход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры безопасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требования регуляторов, риски кибератак и устойчивость ИТ-среды.
  • DRP на практике: как BI.ZONE защищает бизнес вне периметра
    Григорий Бершацкий, руководитель группы аналитиков BI.ZONE DRP
    За пределами корпоративного периметра формируется множество рисков для бизнеса. Только за 2025 г. специалисты BI.ZONE Digital Risk Protection обнаружили 179 тыс. фишинговых ссылок – и это лишь часть ландшафта угроз. Злоумышленники все чаще распространяют вредоносные мобильные приложения, наращивают объем мошеннического контента в мессенджерах и соцсетях, используют персонализированный фишинг. Посмотрим на самые распространенные сценарии, с которыми сталкиваются организации, и о том, как защищаться от угроз вне периметра.
  • Управление киберрисками: как считать угрозы в рублях и строить зрелые процессы
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Регулирующие органы требуют от бизнеса перейти к количественным оценкам потерь от киберинцидентов. Теперь недостаточно перечислить возможные угрозы и заявить о наличии технических средств защиты. Компаниям необходимо рассчитывать конкретную сумму потенциального ущерба, выраженную в рублях. Это могут быть прямые финансовые потери, затраты на восстановление или репутационные издержки. Невыполнение требований грозит не только штрафами, но и приостановкой деятельности. Как же обосновать для бизнеса затраты на кибербезопасность?
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...