Threat hunting kibertəhlükəsizlik sahəsində aktiv və proaktiv bir yanaşmadır. Bu fəaliyyət zamanı təhlükəsizlik mütəxəssisləri təşkilatın şəbəkəsində, sistemlərində və cihazlarında gizlənmiş potensial təhdid və hücumları aşkarlamaq üçün məqsədli axtarış aparırlar. Ənənəvi təhlükəsizlik alətləri və sistemləri hücumları avtomatik şəkildə müəyyən etsə də, threat hunting daha dərin və manuel analizlə riskləri ortaya çıxarmaq üçün istifadə olunur. Hücumçuların texnikaları inkişaf etdikcə bəzi hücumlar ənənəvi müdafiə mexanizmlərini aşa bilir və bu səbəbdən threat hunting zəruri olur.
Threat hunting kibertəhlükəsizlikdə aktiv şəkildə gizli hücumları axtarmaq deməkdir. Bu, sadəcə təhlükəsizlik alətlərinin siqnallarına baxmaq deyil, şəbəkə və sistemlərdə gizlənən təhdidləri əllə və planlı şəkildə axtarmaqdır. Çünki bəzən hücumçular gizli qalır və avtomatik sistemlər onları tapa bilmir.
Threat hunter-lar şəbəkə trafikini, istifadəçi fəaliyyətlərini, sistem loqlarını yoxlayır. Məqsəd anormal, şübhəli hərəkətləri tapmaqdır. Məsələn, gecə saatlarında istifadəçinin sistemə giriş cəhdləri, qeyri-adi proqramların işləməsi kimi.
Threat hunting zamanı mütəxəssis əvvəl bir fərziyyə qurur, məsələn: “Şirkətdə zərərli proqram ola bilər”. Sonra fərziyyəni yoxlamaq üçün məlumatları analiz edir. Tapdığı nəticəyə əsasən təhlükə varsa dərhal tədbir görülür.
Bu prosesdə SIEM (məsələn, Splunk), EDR (məsələn, CrowdStrike), MITRE ATT&CK çərçivəsi kimi alətlərdən istifadə olunur. Threat hunter-ların təcrübəsi və diqqəti çox vacibdir.
Threat hunting hücuma məruz qalmadan təhlükəni tapmağa kömək edir. Əgər edilərsə, şirkət böyük zərərdən qorunur. Bu fəaliyyət SOC komandalarının işini tamamlayır və təhlükəsizlik səviyyəsini artırır.
Sadə nümunələrə baxaq
1.Gecə saatlarında işçi kompüterindən sistemə giriş cəhdi.
2.Qeyri-adi IP-dən gələn şəbəkə trafiki.
3.Kompüterdə yeni və tanınmayan proqramın işləməsi.
4.Bir istifadəçi hesabından çoxsaylı uğursuz giriş cəhdləri.
5.Loqlarda əvvəllər görünməyən əmrlərin istifadəsi.
