Według raportu M-Trends 2025 przygotowanego przez Mandiant, 43% zbadanych incydentów zostało wykrytych wewnętrznie. W takich przypadkach mediana czasu przebywania intruza w sieci wynosiła 10 dni. Incydenty wykrywane na zewnątrz organizacji, np. ze strony organów ścigania czy partnerów biznesowych, charakteryzowały się medianą 26-dniową. Dłuższy czas oznacza rosnące ryzyko poważnych strat dla firmy.

Jednym ze sposobów na skrócenie tego czasu jest threat hunting, czyli proaktywne wykrywanie zagrożeń, które potrafią ominąć tradycyjne systemy bezpieczeństwa. Wykorzystuje on analizę danych, doświadczenie specjalistów ds. cyberbezpieczeństwa i wiedzę o najnowszych metodach i narzędziach cyberprzestępców.

Threat hunting może przyjąć różne formy:

• Ustrukturyzowany – polega na wyszukiwaniu zdefiniowanych wskaźników ataku oraz znanych taktyk, technik i procedur rozpoznanych wcześniej adwersarzy.
• Nieustrukturyzowany – pozwala reagować na wykryte wskaźniki zagrożenia i wyszukiwać przyczyny ich wystąpienia.
• Sytuacyjny – odpowiedź na konkretną sytuację w systemach IT organizacji.

W przeciwieństwie do klasycznych rozwiązań, takich jak antywirusy czy zapory sieciowe, cyber threat hunting nie czeka na sygnał ostrzegawczy. Zajmujący się nim specjaliści sami inicjują poszukiwanie śladów złośliwej aktywności w środowisku IT firmy. Przeszukują logi, analizują anomalie i identyfikują zagrożenia, które mogą wskazywać na atak.

Threat hunting vs threat intelligence – czym się różnią?

Threat intelligence to analiza i dostarczanie danych o znanych zagrożeniach, które już zostały zidentyfikowane. W porównaniu threat hunting vs threat intelligence najważniejsze jest to, że oba podejścia wzajemnie się uzupełniają. Threat hunting wykorzystuje zdobyte dane wywiadowcze jako punkt wyjścia do głębszych analiz, a wynik pracy specjalistów może zasilić bazę wiedzy threat intelligence.

Specjaliści zajmujący się threat huntingiem powinni mieć pełny wgląd w systemy IT organizacji. Im szerszym obrazem dysponują, tym skuteczniejsza jest ich praca. Ponadto przydatne są także narzędzia bezpieczeństwa, takie jak SIEM i EDR.

• Formułowanie hipotezy – identyfikacja potencjalnego scenariusza ataku, który może występować w środowisku IT organizacji. Do formułowania hipotezy można wykorzystać obserwacje, dane z systemów bezpieczeństwa czy analizę ryzyka.
• Gromadzenie danych – zbieranie logów i informacji z systemów bezpieczeństwa.
• Analiza i korelacja – sprawdzanie danych pod kątem nietypowych zachowań i anomalii.
• Identyfikacja zagrożenia – wykrywanie aktywności, która wskazuje na próbę ataku lub jego realizację.
• Reakcja – przekazanie informacji do zespołu zajmującego się reagowaniem na incydenty oraz aktualizacja procedur bezpieczeństwa.

W zależności od potrzeb organizacji do powyższego procesu można stosować różne podejścia:

• Oparte na hipotezach – wykorzystujące wiedzę ekspercką i dane wywiadowcze do przewidywania działań atakujących.
• Oparte na wskaźnikach kompromitacji – bazujące na znanych śladach po wcześniejszych atakach, takich jak złośliwe adresy IP czy nazwy domen.
• Oparte na analizie anomalii – skupiające się na odchyleniach od typowego zachowania użytkowników i systemów.

Podejścia można łączyć w ramach jednej strategii. Umożliwia to szybsze reagowanie, dokładniejsze wykrywanie zagrożeń i zwiększenie odporności systemów IT organizacji.

Elementami threat huntingu mogą być również:

• Honeypot – polega na tworzeniu odizolowanego środowiska, którego celem jest wabienie hakerów i złośliwe boty. Charakterystyczną cechą honeypota jest niemal idealne odwzorowywanie prawdziwego systemu i symulowanie, że są w nim interesujące dane.
• Decepcja – to technika, która opiera się na podstępie i zwodzeniu hakerów. Podobnie jak w honeypotach, tworzone są fałszywe środowiska, których celem jest zwabienie potencjalnych cyberprzestępców, wchodzenie z nimi w interakcję oraz monitorowanie i rejestrowanie podejrzanych zachowań.

Threat hunting to narzędzie, które wspiera rozwój biznesu. Firmy, które go wdrażają, zyskują wymierne efekty, na przykład:

• Redukcja strat finansowych – wcześniejsze wykrycie zagrożeń minimalizuje koszty przestojów, kar i odszkodowań. Wydatki na proaktywną ochronę stanowią zaledwie ułamek potencjalnych strat.
• Poprawa reputacji – skuteczna obrona przed wyciekiem danych wzmacnia zaufanie klientów i partnerów biznesowych, poprawiając pozycję organizacji na rynku.
• Przewaga konkurencyjna – wysoki poziom cyberodporności może być argumentem w negocjacjach i przetargach.
• Większa efektywność zespołów cyberbezpieczeństwa – threat hunting pozwala wykrywać zagrożenia, których nie wyłapały klasyczne systemy bezpieczeństwa.
• Zgodność z regulacjami – ciągłe monitorowanie i dokumentowanie działań wspiera spełnianie wymogów prawnych.

Threat hunting przekłada się na ograniczenie ryzyka operacyjnego i zwiększenie stabilności biznesowej organizacji.

Skuteczna cyberochrona firmy wymaga kompleksowego, wielowarstwowego podejścia, w którym różne rozwiązania z zakresu cyberbezpieczeństwa i procesy nawzajem się uzupełniają. Threat hunting pełni w tym ekosystemie rolę elementu aktywnego, zdolnego do odkrywania zagrożeń ukrytych głęboko w systemach i sieciach.

Wdrożenie nie wymaga tworzenia osobnego zespołu IT. Działania można powierzyć specjalistom z Security Operations Center Netii, którzy mają doświadczenie i praktyczną wiedzę, co to jest threat hunting. Zwiększa on skuteczność SOC, dostarczając informacji o anomaliach i potencjalnych wektorach ataków do komórki, która jest w pełni przygotowana na podjęcie stosownych kroków.

Threat hunting rozszerza także możliwości rozwiązań klasy EDR, czyli narzędzi do wykrywania i reagowania na zagrożenia na poziomie urządzeń końcowych. Automatyzacja w połączeniu z ekspercką wiedzą pozwalają szybciej i skutecznej neutralizować nawet zaawansowane ataki.