Czym jest Threat Hunting?

Threat Hunting to proaktywne polowanie na zagrożenia w infrastrukturze IT, oparte na założeniu, że zaawansowany adwersarz już znajduje się w sieci, ale pozostaje niewidoczny dla tradycyjnych systemów detekcji (SIEM, IDS, antywirus). W przeciwieństwie do reaktywnego reagowania na alerty, threat hunter aktywnie szuka anomalii, nawet jeśli żaden system nie oflagował ich jako podejrzane

Jaka jest różnica między Threat Hunting a tradycyjnym SOC?

Tradycyjny SOC (analitycy Tier 1/2): Reaktywny - czeka na alerty z systemów (SIEM, EDR, IDS) Odpowiada na znane sygnatury i wzorce ataków Koncentruje się na zamykaniu ticketów Threat Hunting (analitycy Tier 3): Proaktywny - aktywnie poszukuje zagrożeń bez alertów Szuka nieznanych ataków (zero-day, zaawansowane APT) Opiera się na hipotezach, analizie anomalii i intuicji Wykorzystuje Cyber Threat Intelligence (CTI

Co to jest filozofia "Assumed Breach"?

Assumed Breach" (Założenie Kompromitacji) to mentalność threat huntera, która zakłada, że organizacja została już zhakowana , a adwersarz przebywa niezauważony w sieci. To nie pesymizm, ale realistyczne podejście oparte na statystykach: Średni Dwell Time (czas przebywania intruza w sieci) globalnie wynosi kilkadziesiąt dni Zaawansowane grupy APT potrafią ukrywać się w infrastrukturze przez miesiące lub lata Tradycyjne systemy wykrywają tylko głośne, masowe ataki - nie subtelne, cierpliwe działania Ta filozofia zmusza threat hunterów do szukania tego, czego systemy nie widz

Czym jest technika "Living off the Land" (LotL)?

Living off the Land (LotL) to technika, w której hakerzy nie przynoszą własnych narzędzi (łatwo wykrywalnych przez antywirus), ale wykorzystują legitymne narzędzia systemowe już obecne w infrastrukturze: Przykłady narzędzi LotL: PowerShell - skrypty do wykonywania kodu WMI (Windows Management Instrumentation) - zdalne wykonywanie komend PsExec - zdalne uruchamianie procesów Mimikatz (czasem już wbudowany w system jako funkcja diagnostyczna) Dlaczego to działa? Te narzędzia są codziennie używane przez administratorów, więc ich aktywność nie budzi podejrzeń. Threat hunter musi analizować kontekst użycia , a nie samo narzędzie

Co to jest Sysmon Event ID 8 (CreateRemoteThread)?

Sysmon Event ID 8 to zdarzenie rejestrujące sytuację, w której jeden proces próbuje wstrzyknąć kod do innego procesu (process injection). To techniczna nazwa dla typowej techniki malware: Normalny scenariusz: Debugger (Visual Studio) wstrzykuje kod do debugowanej aplikacji Podejrzany scenariusz: Złośliwy proces wstrzykuje kod do Notatnika, Kalkulatora lub Explorer.exe, by ukryć swoją obecność Threat hunterzy monitorują Sysmon Event ID 8, szukając nietypowych par procesów (np. PowerShell → lsass.exe może oznaczać kradzież poświadcze

Czym jest "Piramida Bólu" (Pyramid of Pain)?

Pyramid of Pain to model klasyfikujący wskaźniki ataku (Indicators of Compromise) według tego, jak bardzo ich wykrycie "boli" napastnika: Od dołu (łatwo obejść): Hash Values - zmiana jednego bitu w pliku = nowy hash (sekundy pracy) IP Addresses - zmiana serwera C2 (minuty pracy) Domain Names - rejestracja nowej domeny (godziny pracy) Network/Host Artifacts - zmiana artefaktów w sieci (dni pracy) Tools - zmiana narzędzi (tygodnie pracy) Na szczycie (najbardziej boli): 6. TTPs (Tactics, Techniques, Procedures) - sposób działania hakera (miesiące/lata pracy) Wniosek: Threat hunterzy skupiają się na wykrywaniu i blokowaniu TTP , bo to zmusza adwersarza do przebudowy całej strategii ataku

Co to są TTP w kontekście Threat Hunting?

TTP (Tactics, Techniques, and Procedures) to: Tactics (Taktyki) - cel ataku (np. kradzież danych, persistence) Techniques (Techniki) - metody osiągnięcia celu (np. Pass-the-Hash, Credential Dumping) Procedures (Procedury) - szczegółowe kroki wykonywane przez konkretną grupę APT Przykład TTP: Taktyka: Lateral Movement (przemieszczanie się w sieci) Technika: Pass-the-Hash Procedura: Grupa APT29 używa Mimikatz do wydobycia hashy NTLM, a następnie PsExec do zdalnego logowania Wykrywanie TTP jest fundamentem threat huntingu, bo jest znacznie trwalsze niż wykrywanie konkretnych plików czy IP

Jaka jest rola CTI (Cyber Threat Intelligence) w Threat Hunting?

Cyber Threat Intelligence (CTI) to wywiad o zagrożeniach, który dostarcza kontekst o: Znanych grupach APT i ich TTP Nowych kampaniach i trendach ataków Indicators of Compromise (IoC) - IP, domeny, hashe używane przez adwersarzy Jak CTI wspiera Threat Hunting: Formułowanie hipotez - "Czy grupa APT28 aktywna w naszym sektorze mogła nas zaatakować?" Priorytetyzacja - skupienie na zagrożeniach najbardziej prawdopodobnych dla organizacji Korelacja - porównanie znalezionych artefaktów z bazami wiedzy o znanych atakach

Jakie narzędzia używają Threat Hunterzy?

Kluczowe narzędzia threat huntingu: Analiza logów i telemetrii: SIEM - Splunk, Elastic Stack, Microsoft Sentinel EDR/XDR - CrowdStrike, SentinelOne, Microsoft Defender Sysmon - szczegółowe logowanie zdarzeń Windows Threat Intelligence: MISP (Malware Information Sharing Platform) AlienVault OTX MITRE ATT&CK Framework Analiza forensics: Volatility - analiza pamięci RAM Wireshark - analiza ruchu sieciowego Autopsy - analiza dysków Query languages: KQL (Kusto Query Language) - Microsoft Sentinel SPL (Search Processing Language) - Splunk

Jak mierzy się skuteczność Threat Hunting?

Kluczowe metryki: Dwell Time Reduction - redukcja czasu, jaki intruzi spędzają w sieci niezauważeni (cel: z tygodni do dni/godzin) Number of Undetected Threats Found - liczba zagrożeń wykrytych przez hunting, których SIEM nie złapał MTTD (Mean Time to Detect) - średni czas wykrycia zaawansowanego zagrożenia Hunt Hypothesis Validation Rate - ile z badanych hipotez okazało się prawdziwych New Detection Rules Created - ile nowych reguł SIEM powstało na bazie znalezisk z huntingu

Czy małe firmy potrzebują Threat Hunting?

Threat Hunting jest działaniem zasobo-intensywnym, wymagającym wysoko wykwalifikowanych specjalistów (Tier 3). Małe firmy zazwyczaj nie posiadają zasobów na własny zespół threat hunterów. Rozwiązania dla małych firm: Managed SOC z Threat Hunting - zewnętrzny dostawca (MSSP) zapewnia hunting w modelu abonamentowym Threat Hunting as a Service - okresowe sesje huntingu (np. kwartalne) prowadzone przez ekspertów Purple Teaming - sesje łączące Red Team (symulacja ataku) i Blue Team (obrona), gdzie hunting jest częścią ćwiczeń Firmy średnie i duże powinny zainwestować we własny zespół threat hunterów lub model hybrydowy

Jak zacząć karierę jako Threat Hunter?

Wymagane umiejętności: Silna podstawa SOC - doświadczenie jako analityk Tier 1/2 (minimum 2-3 lata) Znajomość systemów operacyjnych - Linux, Windows (procesy, registry, file system) Networking - protokoły TCP/IP, analiza ruchu Scripting - Python, PowerShell, Bash Forensics - analiza pamięci, dysków, logów Znajomość MITRE ATT&CK - framework z taktykami i technikami adwersarzy Ścieżka rozwoju: SOC Analyst Tier 1 (1-2 lata) SOC Analyst Tier 2 / Incident Responder (2-3 lata) Threat Hunter / Tier 3 Analyst Certyfikacje: GIAC Cyber Threat Intelligence (GCTI) GIAC Certified Intrusion Analyst (GCIA) EC-Council Certified Threat Intelligence Analyst (CTIA

Stop Waiting for the Alarm. Why Your Network Needs a Hunter, Not Just a Guard - Wiadomości SecurHUB

Imagine a security guard sitting in a booth. He has plenty of monitors, motion sensors, and a high electric fence. He is calm until the siren wails. This is the traditional approach to cybersecurity. Now, imagine someone who doesn’t wait for the siren. Someone who walks the hallways, checks locked doors, and listens for quiet footsteps, assuming the thief is already there. This is Threat Hunting.

In a world where the average time an intruder spends in a network (known as dwell time) is measured in weeks or even months, a strategy of "sit and wait for the antivirus alert" is like treating the flu only after the patient ends up on a ventilator.

I’ve analyzed the latest guidelines on advanced Threat Hunting and distilled lessons that change the way we think about digital defense.

The "Assumed Breach" Philosophy: Paranoia as a Virtue

The hardest change isn't technological, but psychological. You must adopt the assumption that you have already been hacked. Does that sound pessimistic? Perhaps. But it is a pessimism that saves companies.

Traditional security systems (SIEM, IDS) rely on known threats. They look for virus signatures that someone has seen before. A Threat Hunter works differently. They look for anomalies. They ask questions like: "Why is the accountant connecting to the database server at 3:00 AM?", even if the system didn't flag it as an error.

Threat Hunting is not just another technological layer, but a fundamental shift in security philosophy that assumes infrastructure compromise is inevitable.

Your Own Administrator... Your Enemy?

One of the most fascinating (and terrifying) phenomena in modern attacks is the "Living off the Land" (LotL) technique. Hackers have stopped bringing their own easily detectable burglary tools. Instead, they enter your network and use what they find there.

PowerShell? WMI? Remote Desktop tools? For an administrator, these are daily essentials. For a hacker – the perfect camouflage.

That’s why modern Threat Hunting resembles the work of a detective who isn't looking for the murder weapon, but analyzing the suspect's behavior. For example, we focus on Sysmon Event ID 8 (CreateRemoteThread). This is the technical term for a situation where one process tries to "inject" code into another. Sometimes this is normal system behavior. Often, however, it’s malware trying to hide inside the Notepad or Calculator process.

The Pyramid of Pain: Why Hashes Are Boring

In the Threat Hunter community, there is talk of the "Pyramid of Pain." It’s a concept that classifies attack indicators based on how much their detection "hurts" the attacker.

At the bottom are file hashes. Changing one bit in a virus changes its checksum. For a hacker, that’s a second of work. Detecting this is trivial and not very effective.
At the top are TTPs (Tactics, Techniques, and Procedures). These are the hacker's habits. The way they move, the commands they use.

If you block a specific file, the hacker will simply send another. If you detect and block their modus operandi (e.g., the Pass-the-Hash technique), you force them to learn everything from scratch. That hurts. And that is exactly the point.

Conclusion: Be the Hunter, Not the Prey

AI and automation are entering cybersecurity with great strides, but Threat Hunting remains a distinctly human domain. It requires intuition, creativity, and the ability to connect dots that a machine wouldn't connect.

It also requires the courage to stop trusting the silence in system logs. Because in cybersecurity, silence rarely means peace. It usually means you just don't know what to look for.

And you? When was the last time you checked your logs without a specific reason, just to go "hunting"?

Aleksander

Sources

Sysmon Event ID 8 - CreateRemote Thread - Ultimate Windows Security

I’ve analyzed the latest guidelines on advanced Threat Hunting and distilled lessons that change the way we think about digital defense.