Threat Hunting je proaktivní vyhledávání kybernetických hrozeb v síti nebo systému, které nebyly automaticky detekovány běžnými bezpečnostními nástroji, jako jsou antiviry, firewally nebo SIEM systémy. Zatímco většina obranných opatření reaguje na známé hrozby, threat hunting se zaměřuje na neznámé, sofistikované a přetrvávající hrozby (APT).
Cílem je odhalit útočníka dříve, než způsobí škodu – často i měsíce poté, co pronikl do systému.
Jak threat hunting funguje
Threat hunting není jednorázová aktivita. Jde o kontinuální proces, při kterém analytici využívají znalosti o chování útočníků, statistiky, podezřelé vzory a pokročilou analytiku k vyhledávání anomálií a stop průniků.
Typický postup zahrnuje:
Formulace hypotézy – např. „Útočník zneužívá PowerShell pro laterální pohyb“.
Shromáždění dat – logy, síťový provoz, EDR telemetry, DNS dotazy apod.
Analýza – ruční i pomocí nástrojů, porovnávání s Threat Intelligence.
Potvrzení hrozby – identifikace IoC (Indicators of Compromise) nebo TTP (Tactics, Techniques, Procedures).
Náprava a zlepšení obrany – izolace systému, zamezení dalšího šíření, posílení pravidel v SIEM.
Kdo provádí threat hunting
Threat hunting je činnost pro zkušené analytiky z týmu SOC (Security Operations Center) nebo specializované bezpečnostní týmy. Nejde o automatizovaný proces – vyžaduje kreativitu, zkušenost a porozumění útočným technikám.
Často používají nástroje jako:
SIEM systémy (např. Splunk, QRadar, Elastic)
EDR/XDR řešení (např. CrowdStrike, SentinelOne)
Threat Intelligence platformy
Analýzu logů a behaviorálních vzorců
Typické techniky a metody
Hledání laterálního pohybu v síti (např. přes RDP, WMI, PsExec)
Detekce persistence technik (např. zneužití naplánovaných úloh, registry, startup skriptů)
Analýza PowerShell aktivit
Neobvyklé přístupy k datům (mimo pracovní dobu, z neznámých lokací)
DNS tunneling, C2 komunikace, port scanning v síti
Výhody threat huntingu
Odhalení pokročilých a přetrvávajících hrozeb (APT)
Zkrácení doby detekce (Mean Time to Detect – MTTD)
Posílení obranné strategie a pravidel v SIEM/EDR
Získání lepšího přehledu o síťovém prostředí a zranitelnostech
Prevence budoucích útoků na základě získaných poznatků
Reálný příklad
Společnost detekovala neobvyklé DNS dotazy ze serveru, který jinak běžně nekomunikuje externě. Threat hunter provedl hlubší analýzu a odhalil C2 komunikaci s doménou registrovanou den předem. Šlo o APT skupinu, která byla v systému skrytá už 3 týdny. Díky threat huntingu bylo možné útok zastavit dřív, než došlo k exfiltraci dat.
Shrnutí
Threat hunting je aktivní obranná taktika, která výrazně zvyšuje úroveň kybernetické bezpečnosti. Namísto čekání, až bezpečnostní nástroje něco zachytí, analytici sami vyhledávají anomálie a chování typické pro útočníky. Je to strategie vhodná především pro organizace s vyššími bezpečnostními požadavky, kritickou infrastrukturou nebo historií útoků.
