Dlaczego Threat Hunting powinien być standardem w SOC (a nie dodatkiem)?
Wojciech Korus W ostatnich latach dojrzałość operacyjna zespołów SOC (Security Operations Center) rośnie,
ale rośnie również poziom wyrafinowania ataków. Cyberprzestępcy coraz częściej wykorzystują techniki utrudniające detekcję. W sytuacji, w której część zagrożeń skutecznie omija klasyczne mechanizmy detekcji, Threat Hunting przestaje być wyborem, a staje się koniecznością.
Jak to działa
Na temat SOC pojawiło się już kilka artykułów na naszym blogu, które zdecydowanie każdemu polecam. Nie wchodząc w szczegóły, pracę tego zespołu (w bardzo dużym uproszczeniu) można opisać w kilku następujących krokach:
Ten proces jest skuteczny w wykrywaniu znanych wzorców, ale jego największym ograniczeniem jest to, że zależy od wcześniej zaprogramowanych reguł – alert pojawi się dopiero wtedy, kiedy zostaną spełnione określone warunki. Jeśli więc technika ataku nie jest objęta istniejącym zestawem reguł, sygnatur lub mechanizmów detekcji, SOC jej nie zauważy. Wiele współczesnych technik ataku zaprojektowanych jest właśnie tak, aby pozostać poniżej progu detekcji. Oczywiście, istnieją rozwiązania bazujące na wykrywaniu behawioralnym, ale one też nie są w stanie wykryć wszystkich ataków. Bazują głównie na:
- wcześniej zaobserwowanych wzorcach
- zdefiniowanych profilach normalności
- regułach eksperckich
- danych historycznych
Oznacza to, że takie podejście, podobnie jak reguły, może generować fałszywe alarmy i szum, który skutecznie utrudnia detekcję rzeczywistych nadużyć. Dużym wyzwaniem dla takiego systemu mogą być sytuacje wpisujące się w normalną pracę użytkownika takie jak: użycie kont serwisowych, korzystanie z PowerShell z uprawnieniami administratora, wykonanie działań w godzinach pracy lub korzystanie powszechnie dostępnego w systemie operacyjnym oprogramowania (LOLBins). Systemy behawioralne są często postrzegane jako remedium na ograniczenia klasycznej detekcji, ale same również posiadają luki.
Threat Hunting działa w oparciu o budowanie hipotez na podstawie wskazań Cyber Threat Intelligence (CTI). W tym przypadku etapy działania mogą wyglądać następująco:
Tego typu podejście pozwala SOC działać z wyprzedzeniem i aktywnie analizować obszary potencjalnie interesujące dla przeciwnika. Oznacza to, że “hunting” prowadzi do wykrycia zagrożeń które omijają detekcję – zarówno tą opartą na regułach jak i behawioralną. Wyniki tych działań prowadzą z kolei do zwiększenia możliwości wykrywania wskazanych wyżej metod dzięki tworzeniu nowych reguł lub wzorców do nauki dla ML/UEBA.
Dlaczego to ważne
Bez aktywnego poszukiwania zagrożeń organizacja działa jedynie w trybie reagowania, co w przypadku nowoczesnych ataków jest podejściem niewystarczającym. Atakujący poruszają się szybko, wykorzystując słabe punkty w konfiguracji, architekturze i procesach. To powoduje, że SOC musi reagować jeszcze szybciej. Ponadto, współczesne kampanie APT i zaawansowane ataki np. ransomware składają się z wielu cichych, trudnych do wykrycia kroków np.:
- persystencja
- rekonesans środowiska
- ruch boczny
- eksfiltracja danych
Wiele z tych czynności generuje sygnały słabe, często zbyt subtelne, aby klasyczna detekcja je uchwyciła. Threat Hunting polega na spojrzeniu na infrastrukturę całościowo. Dzięki temu możliwe jest zidentyfikowanie luk w detekcjach, korekta nieefektywnych reguł oraz lepsze zrozumienie kontekstu normalnych zachowań w środowisku, a tym samym skuteczniejsze wykrywanie anomalii. W efekcie SOC pracuje bardziej świadomie, mniej reaktywnie i z mniejszą liczbą zbędnych alertów.
Podejście to ma szczególne znaczenie w kontekście trwających incydentów. Proaktywna postawa pozwala na skuteczniejszą detekcję oraz blokowanie ataków, na które organizacja nie była przygotowana i nie posiada wzorców ataków. Wykrycie oznak weryfikacji uprawnień, działań wykonywanych przez nietypowe skrypty lub enumeracji zasobów to pierwsze niepokojące symptomy. W dzisiejszej rzeczywistości czas wykrycia może decydować o przetrwaniu organizacji, a “hunting” skraca go znacząco i wspiera działania Incident Response, pozwalając szybciej ustalić zakres incydentu, wykryć dodatkowe wektory oraz zatrzymać przeciwnika zanim osiągnie on cele takie jak szyfrowanie danych lub eksfiltracja.
Świadomość zagrożeń
Zespół SOC, który wykonuje Threat Hunting działa wyprzedzająco i przestaje czekać na rozwój wydarzeń. Staje się aktywnym centrum obsługi zagrożeń oraz wiedzy o aktualnych technikach ataków. Dodatkowo, przy dobrej współpracy z zespołem CTI, zostaje istotnie zwiększony poziom wiedzy o obsługiwanych incydentach. Mierzalne korzyści z takiego podejścia to na przykład:
- krótszy czas wykrycia zagrożeń
- mniejszy koszt obsługi incydentów
- mniej eskalacji na wyższe poziomy wsparcia
- lepsza jakość detekcji
Takie podejście bardzo pozytywnie wpływa również na rozwój kompetencji technicznych analityków. Regularny kontakt z rzeczywistymi technikami ataków buduje kompetencje, których nie da się zdobyć wyłącznie poprzez obsługę alertów. Zespół staje się bardziej świadomy taktyk i technik przeciwników, co przekłada się na skuteczniejsze decyzje i trafniejsze priorytetyzowanie zdarzeń bezpieczeństwa. Długofalowo prowadzi to do przekształcenia SOC z jednostki czysto reaktywnej w centrum analityczne, zdolne identyfikować ryzyka, minimalizować je oraz dostarczać rekomendacje biznesowe. To właśnie dzięki “huntingowi” wiele organizacji osiąga poziom bezpieczeństwa, który wcześniej był niedostępny przy samym modelu alertowym.
W praktyce te dużo bardziej zaawansowane zadania są realizowane przez analityków SOC L2 lub przez dedykowany zespół w ramach SOC (L2 lub L3). Dysponują oni wyższymi kompetencjami, znajomością środowiska oraz doświadczeniem, które są bardzo cenne w takiej pracy. Konieczna jest również wiedza z zakresu TTP (Taktyki, Techniki, Procedury) przeciwnika oraz systematyczne identyfikowanie wskazań do polowania, takich jak incydent w organizacji lub nowe informacje CTI.
Podsumowanie
Współczesne środowiska IT są zazwyczaj bardzo złożone, a techniki atakujących coraz bardziej wyrafinowane. Poleganie wyłącznie na klasycznych mechanizmach detekcji może być niewystarczające. SOC oparty jedynie na regułach, sygnaturach i modelach behawioralnych działa głównie reaktywnie, co oznacza, że zobaczy tylko te zagrożenia, które potrafi rozpoznać. Tymczasem najbardziej niebezpieczne ataki często znajdują się poniżej progu detekcji. Threat Hunting stara się wypełnić tę lukę, wprowadzając do SOC element proaktywnego poszukiwania zagrożeń. Dzięki hipotezom opartym na Cyber Threat Intelligence, korelacji danych i analizie anomalii, “hunting” pozwala wykrywać działania przeciwnika na bardzo wczesnym etapie, zanim staną się widoczne dla tradycyjnych mechanizmów bezpieczeństwa. Jest też istotnym elementem rozwoju zespołu SOC poprzez poprawę reguł, dostarczanie nowych wzorców do ML/UEBA i zmniejszenie szumu informacyjnego. Efektem jest dużo bardziej dojrzały zespół, który potrafi szybciej identyfikować zagrożenia oraz reagować na incydenty, co szczególnie dzisiaj jest ważnym elementem skutecznej obrony cybernetycznej.
Wojciech Korus – inżynier ds. cyberbezpieczeństwa specjalizujący się w Cyber Threat Intelligence, analizie incydentów, threat huntingu oraz automatyzacji i pracy z danymi w środowiskach Linux i Python. Doświadczenie zdobywał m.in. jako analityk CERT i specjalista w sektorze bankowym, łącząc praktyczne umiejętności ofensywne i defensywne z wiedzą z zakresu etycznego hackingu i bezpieczeństwa operacyjnego.
Najnowsze publikacje
Priorytety w budowaniu kompetencji i świadomości pracowników w obszarze cyberbezpieczeństwa.
Tomasz Matuła
09.12.2025
Co to jest SIEM? Wyjaśniamy działanie Security Information and Event Management
Sebastian Gwiozda
09.12.2025
Czym jest Threat Intelligence i jak chroni firmę przed zagrożeniami?
Michał Kaczmarek
05.12.2025
info@trecom.pl
+48 22 488 72 00