Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника.
Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.
Что такое Threat Hunting
Threat Hunting принято называть проактивным поиском угроз. Он включает в себя две составляющие. Первая — это ручная аналитика: специалист выдвигает гипотезу и проверяет ее, исследуя поведение внутри инфраструктуры. По сути, это поиск аномалий, где основным инструментом остается человек. Вторая часть — разработка детектов и перевод экспертизы в автоматизированные средства мониторинга. Ручная проверка помогает выявить паттерн, на основе которого можно создать устойчивый механизм обнаружения. После этого автоматизация позволяет ловить похожие атаки уже без участия аналитика.
Разные компании строят SOC по-разному, но архитектура роли аналитика остается схожей. Первая линия получает поток срабатываний средств защиты. Каждое из них требует верификации: ложное оно или отражает реальную угрозу. Работа аналитика первой линии сводится к проверке — определить природу сигнала и при необходимости передать его дальше. Если инцидент подтверждается, то включается вторая линия и начинает углубленный разбор, используя весь доступный инструментарий: события с конечных устройств, сетевой трафик, логи антивируса.
Однако не вся вредоносная активность автоматически поднимается до уровня инцидента. Многие действия атакующего легитимны с точки зрения инфраструктуры — особенно после получения повышенных привилегий. Он может использовать штатные средства, скрипты и админ-интерфейсы. Разница между действиями администратора и атакующего в таком случае заметна только в контексте. Например, если с машины сотрудницы бухгалтерии запускается PowerShell с повышенными правами — это повод для анализа.
Такой контекст не всегда доступен на первой линии. Поэтому в зрелом SOC роль Threat Hunter может исполнять либо выделенная команда, либо вторая линия аналитиков. Они выходят за рамки алертов и вручную просматривают данные, в том числе для валидации работы детектов. Их задача — находить то, что ускользает от сигнатур, и превращать это в новую экспертизу для всей системы защиты.
Несколько тезисов о профессии
Принцип работы охотника — это гипотеза, сбор данных, проверка и доработка гипотезы. Все начинается с допущения: что, если у нас уже есть злоумышленник в инфраструктуре и он где-то закрепился? Или — что, если появилась новая техника и ее уже могли применить? Эти гипотезы могут быть разными: от свежей уязвимости в популярном софте до предположения, что злоумышленник маскируется под администратора. Дальше охотник идет по этой нити. Ищет следы, выстраивает экспертизу, формализует поведение, превращает это в детект. А потом автоматизирует — чтобы в следующий раз не тратить время на ручной поиск и чтобы средство защиты могло само подсветить или создать инцидент.
В нашей работе критически важно понимать, как устроена инфраструктура. Только тогда можно строить валидные гипотезы. Если мы предполагаем, что кто-то внутри, значит, у него есть канал связи. Значит, где-то должен быть трафик. Значит, где-то можно это увидеть. Этот подход работает и на практике, и на киберучениях. У нас был кейс, где команда пентестеров вышла на физический доступ и пыталась подключиться к офисному Wi-Fi. Мы отследили их по устройству, которое проходило аутентификацию. Но поняли, что этого недостаточно: MAC-адрес можно изменить, что впоследствии и сделали атакующие. Начали копать глубже. И для той инфраструктуры, которую атаковали, нашли уникальный параметр — Vendor Class Identifier в DHCP-запросе, который не менялся при смене MAC. Завязали детект на него — и ловили независимо от остальных характеристик. Это была гипотеза, проверка, доработка — все вживую, на коленке, но сработало.
Задача Threat Hunter — понимать, что происходит в инфраструктуре здесь и сейчас, и при этом оставаться в курсе глобального контекста. В мире каждый день появляются десятки уязвимостей и техник. Охотник не может покрыть все. Он отслеживает, что будет приоритетным — где вероятность эксплуатации выше, где последствия опаснее. Он смотрит на тренды, инструменты, ландшафт. Но при этом всегда возвращается к своему окружению: как именно устроена защищаемая инфраструктура, какие компоненты реально используются, какой софт стоит на проде.
Мы ориентированы на локальный контекст, но учитываем глобальные тренды. Защищая российскую компанию, в первую очередь смотрим на то, что эксплуатируют в России. Нет смысла покрывать техники, связанные с софтом, который в стране вообще не используется. Но это не отменяет слежку за мировыми наработками: если за рубежом появляется эффективный подход, злоумышленники легко переносят его сюда.
Новички часто усложняют. У Threat Hunter должен быть широкий кругозор, но не нужно быть экспертом во всем. Часто достаточно интуиции, насмотренности, понимания цели. Ошибка многих — закапываться в детали атаки до последнего, пока не станет понятна каждая команда. Это выматывает и тормозит работу. В начале исследования могут быть какие-то вещи непонятны, но под конец обычно все проясняется. Если на старте пытаться разобраться сразу во всем, особенно если во время стендирования пытаться разобраться во всех нюансах софта — можно закопаться.
Как на практике строится работа Threat Hunter
Все начинается с приоритизации: что исследовать, какую гипотезу проверить, что может быть актуально для атаки именно сейчас. Дальше зависит от специализации: у нас, например, отдельные команды работают с сетью и с хостами. Если речь про полноценный ресерч, то первый шаг — воспроизвести атаку. Это может быть эксплуатация уязвимости или реализация конкретной техники. Для этого нужна тестовая инфраструктура, где есть необходимый софт и условия. Бывают ситуации, где можно сократить путь, но чаще всего лаборатория — обязательное условие.
После воспроизведения нужно понять, какие события были сгенерированы в результате атаки, и вытащить из них смысл. Это может быть запуск вредоносного ПО, работа утилиты, необычные сетевые соединения. На хосте это цепочка процессов, где отслеживаются дочерние ID, взаимодействие с реестром, файловой системой, системными вызовами. Для этого используют инструменты, которые позволяют смотреть, какие действия производит конкретный процесс: например, Process Monitor, который перехватывает API-вызовы, пишет сетевые соединения, обращения к файлам. Или можно события, порожденные во время активности, сразу изучать в SIEM-системе. Основная задача — собрать всю цепочку активности.
Если мы говорим о сетевом трафике, то стандарт — это Wireshark. Он позволяет писать и анализировать трафик на уровне пакетов. Если используется известный протокол — все относительно просто: структура понятна, есть парсер. Если протокол неизвестен, приходится работать вручную. В этом случае анализ напоминает работу с черным ящиком: генерируется большое количество соединений, смотрим различия, выделяем неизменные блоки, и постепенно становится ясно, где длина заголовка, где полезная нагрузка, где маркеры, по которым можно зацепиться.
Эта часть работы — самая тонкая и творческая: тут нет четких шаблонов, но есть приемы, которые помогают быстрее вычленить структуру и зацепки. Подробнее о таких приемах я рассказываю на курсе «Анализ сетевого трафика: искусство обнаружения атак»: там мы разбираем кейсы, разбираем трафик руками и отрабатываем работу с нестандартными протоколами.
Курс «Анализ сетевого трафика: искусство обнаружения атак»
Старт ближайшего потока: 26 мая 2025 года
Формат: онлайн, с доступом к облачному стенду
Длительность: 6 недель
Нагрузка: 5–7 часов в неделю
Кому подойдет: специалистам с базовыми знаниями о сетях и техниках атакующих — аналитикам SOC, сетевым администраторам, специалистам по реагированию на инциденты
Когда ресерч завершен, следующий шаг — автоматизация. Здесь всё зависит от целей. Если результат идет в паблик — пишутся Sigma-правила. Если речь про наши продукты, то используется внутренний язык XP. Для сетевого трафика — Suricata, это отраслевой стандарт, как английский язык для аналитиков. Даже если под капотом у вендора свой движок, правила стараются писать на нем, это проще, быстрее и понятнее всем участникам процесса.
Применение экспертизы на своей инфраструктуре — отдельный этап. Тут зависит от того, какие средства защиты есть в компании. Это могут быть коммерческие решения, могут быть опенсорсные. В любом случае нужен сбор событий и место, куда они сливаются. Если говорить про трафик — идеально, если есть система, которая разбирает его глубоко и сохраняет максимум метаинформации. Если такой возможности нет, работает и базовый подход: NetFlow, логи соединений, информация о портах и адресах — это даст минимальный контекст.
Если поверх этого есть IDS, например та же Suricata, и в ней включены информационные сигнатуры, они тоже помогают: подсвечивают вход в систему, странные User-Agent и баннеры, обращения по подозрительным путям. Это не обязательно атака, но дает охотнику контекст, и иногда это именно та зацепка, с которой начинается разбор сложного инцидента.
Главный принцип — чем больше данных, тем выше шанс найти то, что не видит система по умолчанию. Но даже при ограниченных возможностях охотник может построить гипотезу, воспроизвести поведение и вытянуть из него сигналы, которые потом встраиваются в защиту.
Навыки, без которых Threat Hunter — не Threat Hunter
Я занимаюсь Threat Hunting больше 10 лет и провел огромное количество собеседований. За это время стало понятно, какие навыки помогают расти в профессии, быстрее адаптироваться и приносить результат.
Понимание инфраструктуры. Базовый навык: как устроены Windows, Linux, как работает сеть, как в целом построена корпоративная инфраструктура, схемы доступа до сегментации — важно иметь насмотренность и представление о реальных IT-ландшафтах. Это позволяет быстро находить аномалии и строить адекватные гипотезы.
Где прокачать: в PT Start есть треки по Windows и сетям — от развертывания домена до базовой админки. Плюс масса хороших материалов на YouTube — «устройство домена Windows», «введение в Linux», «базовые сетевые протоколы».
Threat Intelligence. Даже базовые навыки TI помогают охотнику видеть шире и дают понимание TTP (техники, тактики и процедуры) атакующих, их инфраструктуры и способов маскировки. Это работа с IP-адресами, доменами, WHOIS, регистраторами — и с методами их связи между собой. Кроме того, здесь критически важна автоматизация: без собственных парсеров, сборщиков и агрегаторов данных TI-продукт не взлетит.
Где прокачать: поможет все, что связано с разработкой, DevOps и парсингом данных. Лучше всего качать этот скил через реальные задачи и open-source-проекты. Можно следить за публичными TI-отчетами и смотреть, как они устроены внутри.
Анализ логов и событий. Это основной инструмент работы с SIEM. Понимание источников, типов событий, структуры логов — абсолютный must. Здесь важна практика: со временем взгляд учится вычленять ключевые детали из большого объема.
Где прокачать: на проектах, в реальной работе. Сначала лог может быть сплошной кашей, потом он читается как книга. Помогает изучение логов запуска процессов, авторизации, сетевых соединений.
Scripting & Automation. Умение автоматизировать — это экономия времени и устранение рутины. Хороший Threat Hunter не делает руками то, что можно скриптануть. Кроме того, этот навык помогает разбирать чужие инструменты: понимать код, чинить его, запускать, модифицировать.
Где прокачать: Python — основной инструмент, для старта хватит простого видеокурса. Например, лекции JetBrains для студентов — отличная база. Bash и PowerShell тоже могут быть полезны. Главное — не пытаться сразу выучить C или C++; скриптовые языки лучше подходят для автоматизации. Сейчас вообще проще: LLM-помощники могут ускорить обучение и дать быстрый фидбэк.
Red-Team-мышление. Умение строить путь от фишинга до exfiltration, понимание, как повышаются привилегии, где хранятся нужные данные и как их достать. Развивается через практику, расследования и учения.
Где прокачать: участие в CTF, особенно в тех, что приближены к реальности. Из лучших — Google CTF, соревнования Trend Micro, Volga CTF. У BI.ZONE есть CTFZone и Cyber Polygon. Подойдут и площадки тренинга Blue Team, например Standoff Defend. Кроме того, помогают реальные расследования, в которых приходится импровизировать, собирать цепочку атаки и думать, как нападающий.
📌 Если я хочу разобраться, как выглядит корпоративная сеть, достаточно погуглить: в сети много открытого материала. Читать талмуды по устройству сетей, архитектуры и операционных систем не надо. Можно на старте очень сильно загрустить, и не будет желания продолжать.
Как стать Threat Hunter: три карьерных траектории
1. Через SOC: от первой линии к ручному анализу
Это классическая траектория: специалист приходит на первую линию, работает с алертами, постепенно набирает насмотренность, и его начинают подключать к задачам следующего уровня. Там уже появляются ресерч, ручной анализ, поиск аномалий. Такой специалист хорошо понимает, как работает SIEM, знает, что дают разные источники событий, умеет приоритизировать и работать с тревогами.
Сильные стороны: опыт работы с реальными инцидентами, инструментарий SOC, понимание защитных механизмов.
Слабые стороны: иногда не хватает глубины — знания остаются в рамках алертов, а логика атак раскрыта не до конца.
2. Из инфобез-компаний: через исследовательские роли
В ИБ-компаниях грань между Threat Hunting, TI, IR и SOC зачастую тонкая — переход из одной зоны в другую происходит естественно. Специалист, который занимался исследованиями, быстро осваивает смежные направления и выходит на понимание атакующих техник.
Сильные стороны: глубина погружения, системное мышление, устойчивое понимание того, как работают атаки и как их находить.
Слабые стороны: могут быть пробелы в практическом опыте с конкретными продуктами, логами или инфраструктурой, особенно если фокус был чисто исследовательский.
3. Из админов и инженеров: через IT-бэкграунд
Это люди, которые хорошо знают, как устроена инфраструктура: сети, сервера, AD, виртуалки. Часто они попадают в ИБ случайно — «с понедельника ты безопасник», — и дальше зависит от желания развиваться.
Сильные стороны: быстро разбираются в инфраструктурных атаках, легко поднимают лаборатории, понимают сетевую архитектуру.
Слабые стороны: не хватает понимания, что вообще считать атакой. Отсутствует насмотренность на вредоносные действия, не сформирована логика злоумышленника — приходится закрывать это с нуля.
Какой из этих путей мне кажется самым правильным. Если смотреть с точки зрения роста, то естественный путь — через ИБ-компанию. Там фокус с самого начала на безопасности, и в какой бы отдел ты ни попал, ты начнешь накапливать знания по теме. Постепенно можно выбрать направление и погружаться в него уже осознанно. Если речь про смену профессии, когда человек уже работает и хочет перейти в Threat Hunting, то я бы ориентировался на SOC. Это даст практику, даст понимание алертов, событий, логики срабатываний. Старт проще, а потом уже можно углубляться.
Мысль «я смогу быстро вкатиться в Threat Hunting» — иллюзия. Без базовой насмотренности и понимания, как строятся гипотезы, в Threat Hunting делать нечего. Здесь не получится выучить 100 техник: атаки каждый раз разные, и эта неопределенность является частью игры.
Чего не хватает кандидатам на позицию Threat Hunter. Для джунов достаточно уметь гуглить, автоматизировать и разбираться в новом — уже хорошая заявка. Но если речь про мидлов и сеньоров, чаще всего провал в понимании атак. Многие кандидаты считают себя ибэшниками, но не могут описать даже одну осмысленную атаку от начала до конца. Когда я на собеседовании прошу: «Представь, ты атакующий. Как добраться до документов топ-менеджера, начав с машины HR?» — человек теряется. Он говорит «фишинг», «бэкконнект», и дальше — ступор. Не знает, где искать документы, не знает, как повысить привилегии, не знает, куда идти. Нет связного мышления, нет картины атаки. А без этого Threat Hunting превращается в разбор алертов, не более.
Как прокачивать навыки: инструменты, ресурсы, тренировки
Книги в нашей сфере быстро устаревают, я всегда советую искать практику. Лучше всего — попасть в инфобез-компанию, потому что тогда ты будешь окружен экспертами и начнешь впитывать знания с разных сторон. Даже если сначала работаешь в инженерии как пресейл, при желании можно переключиться. У нас так было: человек начинал с развертывания решений, а потом втянулся в анализ атак, начал задавать вопросы, ресерчить и в итоге перешел в команду Threat Hunting.
Если вы только начинаете — участвуйте в CTF. Они хорошо развивают логику, насмотренность и дают первые реальные задачи. Особенно на старте — это отличный формат. Можно попробовать себя на Hack The Box: там даются уязвимые машины, которые нужно взломать. Все максимально приближено к жизни. Для новичков — идеальная тренировка. Если база уже есть, можно идти дальше. Например, на платформе Standoff 365 есть тренажеры по реальным атакам, где симулируются события в инфраструктуре. Это хорошая возможность потренироваться в анализе и воспроизведении сложных сценариев.
Кто-то идет на курсы. Я сам учился когда-то на OSCP, и, хотя материалы там местами устарели, ценность курса была в огромной лаборатории: десятки уязвимых машин, и твоя задача — набить руку. Когда есть цель и обратная связь, ты действительно качаешься. А просто взять инструмент и сесть с ним «на подумать» — редко работает.
Для тех, кто уже работает с трафиком или хочет перейти из SOC в Threat Hunting, подойдет курс «Анализ сетевого трафика: искусство обнаружения атак», который я уже упоминал. Он устроен как серия практик, сделан упор на понимание инструментов, на умение увидеть след атаки в трафике, а потом подумать: как бы я это обнаружил, если бы это было реально? Курс ведет за руку — от «я умею выполнять команды» к «я понимаю, что происходит в сети». Именно этот навык позволяет потом самому строить гипотезы, а не ждать, пока вендор все напишет.
Лучшая тренировка — это атака. Если хочешь научиться защищать — научись ломать. Воспроизведите атаку у себя, разберите ее руками, посмотрите, как она проявляется в логах, в трафике, на хосте. И да, соблазн всегда есть: увидел, что пол-интернета уязвимо, и думаешь — а что, если я туда полезу? Не надо. Все, что делаете, — делайте в своей инфраструктуре. Это золотое правило.
Что читать и куда смотреть
Канал ESCalator — хорошие подборки и мысли по теме.
APT-отчеты и инцидент-репорты. Их публикуют инфобез-компании, в том числе наши. Есть отдельные каналы и агрегаторы, где это собирают. Например, у ребят из «Технологий киберугроз» — канал с агрегированными отчетами и ML-разбором ключевых фактов.
Хабр — здесь часто выкладывают кейсы, особенно по сложным атакам.
Блоги компаний — у нашей команды PT ESC Threat Intelligence регулярно выходят качественные отчеты.
Конференции. PHDays, OFFZONE, DEF CON, Black Hat — после таких мероприятий начинается волна интересных публикаций, инструментов, докладов. Кто-то выкладывает ресерч, кто-то делится утилитами, кто-то показывает, как упростить рутину. Это отличная точка роста — просто смотреть, о чем сейчас говорит рынок, какие инструменты появляются, какие подходы обсуждаются.
Что отличает хорошего Threat Hunter от посредственного
Хороший Threat Hunter умеет строить гипотезы, анализировать поведение и копать вглубь. Я сам ушел в менеджмент, но остаюсь «играющим тренером» — люблю после встреч с коллегами поковыряться руками, посмотреть, как что-то работает. Бывает, что залипаю до четырех часов утра. Потому что, если от этого оторваться, если переключиться только на процессы, понимание теряется. Надо оставаться в контексте происходящего.
Threat Hunting — это про любопытство, исследование и нестандартное мышление. Как и в пентесте, ты смотришь на атаку и думаешь: что здесь можно сделать по-другому? Любую утилиту можно обойти, любую технику можно адаптировать. Хороший охотник не останавливается на первом детекте: он думает, как бы действовал злоумышленник, как бы он замаскировал атаку. И только тогда можно действительно автоматизировать ее поиск.
Перспективы у Threat Hunting очень серьезные. Сейчас появляются инструменты на базе LLM, которые можно комбинировать, собирать из них агенты, настраивать взаимодействие между ними. При этом атаки становятся сложнее, средства защиты эволюционируют, появляются новые подходы, машинное обучение, автоматизация. Злоумышленники адаптируются, становятся изобретательнее. Это гонка, которая не закончится. И в этой гонке Threat Hunter все еще нужен, потому что автоматизация помогает, но все равно мышление конкретного специалиста решает.
БЛИЦ
Threat Hunter без английского языка — это тяжело. Почти все материалы и ресерчи на английском. Не обязательно свободно говорить, но каждый раз лезть в переводчик выматывает.
Когда я объясняю родителям, чем занимаюсь, я говорю, что я хакер. Скажешь аналитик SOC или Threat Hunter — никто не поймет, а хакер звучит нормально. Только стоит добавить «хороший».
Если ты не ошибался в гипотезах, значит ты не Threat Hunter. Все ошибаются, бывают фейлы. Но на ошибках учишься — в следующий раз будешь уже думать иначе.
Если бы Threat Hunting был животным, он был бы… борзой или бладхаундом. Охотничья собака, которая постоянно что-то выискивает, вынюхивает.
Самый неожиданный инсайт, который дала мне работа, — это как реально ломают, как на самом деле мыслят и действуют хакеры. Кажется, что уже все видел, но снова что-то удивляет.
Главное удовольствие в моей работе — когда получилось сделать что-то новое. На выходных прошел слушок про атаку, и я сначала подумал: ну ерунда. Потом добавили контекста, сел, созвонился с Андреем Тюленевым, и мы полдня провели на звонке. В итоге получилось воспроизвести атаку, может, в ближайшее время выйдет ресерч. Но это чувство каждый раз, как у Тора из «Мстителей», когда он молот поднимает: все еще достоин.
Алексей Леднёв
Руководитель продуктовой экспертизы PT ESC
