Threat Hunting u modernoj kibernetičkoj obrani

Threat Hunting: zašto je postao neizostavan dio moderne kibernetičke obrane
‍
Posljednjih desetak godina kibernetička sigurnost prošla je put od “imamo antivirus, mirni smo” do kompleksnih ekosustava alata koji generiraju goleme količine podataka i sigurnosnih alarma. Organizacije investiraju u SIEM, EDR, XDR, SOAR i brojne druge akronime no unatoč svemu tome, napadači i dalje predugo ostaju neotkriveni - ponekad tjednima ili čak mjesecima.
‍
Problem najčešće nije u tome da tehnologija ne postoji, nego u tome kako se koristi. Velik broj sigurnosnih timova i dalje radi reaktivno: čeka se alarm, provjeri se što se dogodilo, poduzmu se potrebni koraci i ide se na sljedeći slučaj.

Moderni napadi rijetko više nalikuju bučnim provalama, umjesto toga napadači ulaze tiho, koriste legitimne identitete i ponašaju se poput redovitih korisnika neprimjetno se uklapajući u svakodnevne aktivnosti sustava. U takvom kontekstu, threat hunting postaje nužan sljedeći korak u obrani - ne kao još jedan alat, nego kao način razmišljanja.

Promjena paradigme
‍
Tradicionalni sigurnosni modeli podrazumijevaju da će alat dignuti ruku kada se dogodi nešto loše. Ako nema sigurnosnih alarma, zaključak je često da je sve u redu.
‍
Threat hunting polazi od suprotne pretpostavke: napadač je već unutra, samo ga još nismo primijetili. Umjesto da se fokusira na pitanje “što je sigurnosni alat danas prijavio?”, analitičar razmišlja o tome koje bi aktivnosti napadač mogao provoditi u okruženju, a da pritom ne podigne alarm. Ta promjena perspektive čini razliku između klasične SOC rutine i zrelijeg, proaktivnog pristupa obrani.
‍
U praksi to znači da sigurnosni tim prestaje gledati na alarm kao na start istrage, nego ga promatra kao jedan od signala u puno širem kontekstu. Umjesto da se sigurnost svodi na reagiranje na najkritičnije alarme, dio vremena se koristi za istraživanje sumnjivih aktivnosti koje još nisu formalno označene kao incident.

Što threat hunting jest - a što nije
‍‍
Threat hunting se često predstavlja kao funkcionalnost sigurnosnih alata, no u stvarnosti nije riječ o proizvodu koji se jednostavno implementira instalacijom agenta i dobije gotov rezultat. Riječ je o procesu koji kombinira iskustvo ljudi, razumijevanje napadačkih tehnika i kvalitetnu analizu podataka koje organizacija već prikuplja.
‍
Važno je jasno povući granicu:
• Threat hunting nije zamjena za SIEM, EDR ili ostale detekcijske mehanizme.
• Nije ni ad-hoc “scrollanje” kroz logove bez plana i cilja.
‍
Pravi hunting uvijek kreće od hipoteze: pretpostavke kako bi napad mogao izgledati u konkretnoj organizaciji. To može biti hipoteza da će napadač nakon kompromitacije korisničkog računa pokušati dohvatiti podatke iz sustava kojima taj korisnik inače nema razloga pristupiti ili da će pokušati postaviti perzistenciju koristeći poznate tehnike iz MITRE ATT&CK okvira.
‍
Drugim riječima, hunting nije nasumično kopanje nego ciljano traganje za skrivenim prijetnjama koje su se uspjele uklopiti u “normalnu” sliku sustava.

Zašto sigurnosni alarmi više nisu dovoljni
‍
Moderni napadi sve se manje oslanjaju na klasični malware koji antivirus lako prepoznaje po potpisu. Umjesto toga, napadači koriste:
‍
• kompromitirane legitimne korisničke račune
• alate koji su već prisutni u sustavu (PowerShell, WMI, RDP, PsExec i slične)
• tehnike koje se teško razlikuju od legitimnog administrativnog posla.
‍
Sama upotreba PowerShella ili RDP-a nije ništa neobično, u mnogim okruženjima riječ je o svakodnevnim alatima administratora. Problem nastaje kada se ti isti alati koriste za lateralno kretanje, eskalaciju privilegija ili silent data exfiltration. Automatizirani sustavi često nemaju dovoljno konteksta da jasno razluče gdje prestaje uobičajeno i počinje sumnjivo ponašanje.
‍
Dodatno, većina SOC timova već je opterećena velikim brojem alarma niskog prioriteta i lažno pozitivnih detekcija. Analitičari u takvom okruženju razvijaju refleks gašenja požara - rješava se ono što je najglasnije, a malo tko ima vremena postaviti pitanje “što propuštamo dok gasimo ove požare?”. Upravo iz tog razloga threat hunting se razvija kao odgovor na rastući jaz između broja sigurnosnih alarma i stvarnog uvida u aktivnosti unutar mreže.

Kako izgleda threat hunting u praksi
‍‍
Tipičan threat hunting ciklus može se svesti na nekoliko ključnih koraka:

1. Definiranje hipoteze.
2. Odabir relevantnih izvora podataka.
3. Analiza i testiranje hipoteze.
4. Dokumentiranje nalaza i pretvaranje u nova detekcijska pravila gdje je to moguće.

Primjer hipoteze može biti: “Ako je korisnički račun kompromitiran, napadač će pokušati pristupiti sustavima koji nisu u skladu s ulogom tog korisnika.” Na temelju toga, analitičar cilja logove autentikacije, pristupe aplikacijama, udaljene sesije i administrativne radnje vezane uz taj račun.

Za razliku od klasične analitike, ovdje se ne traži poznati signature, nego odstupanje od normalnog ponašanja u specifičnom kontekstu organizacije. Često se dogodi da threat hunting ne rezultira otkrivanjem “velikog incidenta”, ali takav ishod je normalan i očekivan dio procesa. Cilj nije svaki put pronaći napad, nego sustavno smanjivati nepoznanice i graditi sve jasniju sliku okruženja.

Što organizacija dobiva
‍‍
Vrijednost koju threat hunting donosi vidljiva je na više razina.
Prvo, skraćuje se vrijeme detekcije - napadi se hvataju ranije, često u fazi izviđanja ili prvog lateralnog kretanja kada još nije došlo do eksfiltracije podataka ili šifriranja sustava. Time se drastično smanjuje poslovni rizik, ali i stres u incident response fazi.
‍
Drugo, threat hunt ima snažan edukativni efekt na tim. Analitičari kroz ove aktivnosti puno bolje upoznaju infrastrukturu: koje su uobičajene rutine, gdje se javljaju česte anomalije i koji sustavi zahtijevaju dodatnu pažnju. Taj kontekst kasnije čini razliku između “još jednog alarma” i intuitivnog osjećaja da je ovdje ipak nešto drugačije.
‍
Treće, pronalaske iz threat hunta moguće je pretvoriti u automatizirane detekcije - nova pravila, korelacijsku logiku ili prilagodbe postojećih alarma. Svaki takav korak povećava zrelost sigurnosnog sustava i smanjuje ovisnost o ručnom radu u budućnosti.

Nije rezervirano samo za “enterprise”
‍
Česta je pretpostavka da je threat hunting realan samo za velike organizacije s namjenskim timovima i skupim alatima. Istina je da veliki imaju više resursa, ali osnovni oblik threat hunta moguć je i u manjim okruženjima.
‍
Ako organizacija već prikuplja logove i ima barem osnovni EDR ili SIEM, već postoji temelj za početak. Ključ nije u kupnji još jednog rješenja, nego u tome da se dio vremena izdvoji za fokusiranu analizu postojećih podataka. Redovite, iako ne nužno česte, threat hunting aktivnosti mogu otkriti dugotrajne anomalije koje ne bi bile uočene standardnim sigurnosnim nadzorom.

Kako praktično započeti
‍
Za početak nije potrebno uvoditi veliku reorganizaciju ili novi projektni tim. Koristan korak je jednostavno formalizirati činjenicu da se dio radnog vremena odvaja za aktivnosti koje nisu povezane s aktualnim alarmima.
‍
Kao početni fokus u threat huntingu posebno su korisna sljedeća pitanja:
• tko se prijavljuje u kritične sustave, s kojih lokacija i u koje vrijeme
• koji se administrativni alati koriste na endpointima te pod kojim korisničkim računima
• postoje li korisnici čije se ponašanje u posljednje vrijeme vidljivo razlikuje od njihovih uobičajenih obrazaca
‍
Kako organizacija sazrijeva, threat hunting se može sve više oslanjati na okvire poput MITRE ATT&CK-a. Kroz njih se hipoteze strukturiraju prema tehnikama i taktikama, što olakšava mapiranje detekcija, ali i komunikaciju s ostatkom tima. Važno je naglasiti da threat hunting nije jednokratna inicijativa, već kontinuirani proces koji sazrijeva paralelno s organizacijom.

Zašto je sada pravi trenutak

‍
Threat hunting postoji jer savršena detekcija ne postoji i vjerojatno nikada neće. Automatizirani sustavi neizostavni su dio obrane, ali bez ljudske analize, iskustva i razumijevanja konteksta ostaju ograničeni na ono što je netko već definirao kao pravilo.
‍
U svijetu u kojem napadači sve vještije koriste legitimne alate i procese, pasivna obrana više nije dovoljna. Organizacije koje se oslanjaju isključivo na alarme uvijek će biti korak iza, dok one koje aktivno “love prijetnje“ imaju priliku preuzeti inicijativu i otkriti napade dok su još u ranoj fazi.
‍
Threat hunting nije luksuz ni prolazni trend, on je logičan odgovor na realnost modernih kibernetičkih prijetnji i ključan element ozbiljne strategije obrane.

‍