Безопасность информационных технологий

К настоящему моменту корпоративные информационные системы сталкиваются с нарастающим количеством киберугроз, которые требуют переосмысления традиционных подходов к обеспечению информационной безопасности. Классические методы, основанные на сигнатурном анализе, становятся менее эффективными против современных целевых атак, так как способы и методики сетевых вторжений постоянно изменяются и модернизируются злоумышленниками. В ответ на эти вызовы в практике информационной безопасности всё чаще применяется подход, при котором сначала формулируются гипотезы, а затем проводится целенаправленный поиск скрытых угроз и признаков компрометации в инфраструктуре компании, другими словами, Threat Hunting. Целью данной статьи является разработка и применение гипотезо-ориентированного подхода в проактивном поиске киберугроз. Подход включает формирование, проверку и автоматизацию гипотез о возможных векторах атак. В процессе выполнения исследования были изучены существующие методы и инструменты проактивного поиска угроз в корпоративной инфраструктуре, а также подходы к формированию и проверке гипотез. В результате был сформулирован, реализован и протестирован ряд гипотез для обнаружения актуальных угроз, включающих хранение паролей в открытом виде, извлечение криптовалюты и подозрительные сетевые обращения. С целью автоматизации процесса Threat Hunting были разработаны правила корреляции для SIEM-системы, которые были интегрированы в расширение для браузера. Данное расширение обеспечивает удобство и оперативность работы аналитиков при анализе журналов событий безопасности. После ознакомления с функционалом и тестирования инструмента в реальных условиях пользователи отметили удобство и простоту применения правил корреляции, а также высокую скорость получения результатов анализа.

гипотезо-ориентированный подход, проактивный поиск угроз, Threat Hunting, Threat Intelligence, MITRE ATT&CK, SIEM-системы

1. Nair R.R. Proactive Threat Hunting: The Vanguard of Modern Cybersecurity Defense. European Journal of Computer Science and Information Technology. v. 13, no. 22, pp. 53-67, 2025. DOI: https://dx.doi.org/10.37745/ejcsit.2013/vol13n225367.
2. Bhardwaj, A., Bharany, S. BTH: Behavior-Based Structured Threat Hunting Framework to Analyze and Detect Advanced Adversaries. Electronics. v. 11, no. 19, pp. 2992, Sep. 2022. DOI: http://dx.doi.org/10.3390/electronics11192992.
3. Гайфулина А.Ф. Теоретические основы интеграции методологий threat hunting в деятельность центров мониторинга кибербезопасности. Инновационная наука. т. 11-1, №2, с. 31-38, 2025. EDN: VDYIEB.
Gaifulina A.F. Theoretical foundations of integrating threat hunting methodologies into the activities of cybersecurity monitoring centers. Innovatsionnaya Nauka. v. 11-1, no. 2, pp. 31-38, 2025. EDN: VDYIEB (in Russian).
4. Khan M.M., Maximizing Cyber Security Through Threat Hunting for Advanced Threat Detection and Mitigation. v. 4, no.3, 2022. DOI: http://dx.doi.org/10.36948/ijfmr.2022.v04i03.4905.
5. Щербина R.А., Копашенко М.А., Поздняк И.С. Возможности применения матрицы MITRE ATT&CK. XXIX Российская научно-техническая конференция, Самара 22–25 марта 2022 г., с. 56-57. EDN: LKKQNC.
Shcherbina K.A., Kopashenko M.A., Pozdnyak I.S. Possibilities of Using the MITRE ATT&CK Matrix. XXIX Russian Scientific and Technical Conference, Samara, March 22–25, 2022, pp. 56-57. EDN: LKKQNC (in Russian).
6. Мещеряков Р.В., Исхаков С.Ю. Исследование индикаторов компрометации для средств защиты информационных и киберфизических систем. Вопросы кибербезопасности. т. 5, № 51, с. 82-89, 2022, ISSN: 2311-3456. DOI: https://dx.doi.org/10.21681/2311-3456-2022-5-82-99. EDN: EYPJGR.
Meshcheryakov R.V., Iskhakov S.Yu. Study of comprometation indicators for improvement of information and cyberphysical systems protection facilities. Cybersecurity Issues. v. 5, no. 51, pp. 82-89, 2022, ISSN: 2311-3456. DOI: https://dx.doi.org/10.21681/2311-3456-2022-5-82-99. EDN: EYPJGR (in Russian).
7. Овчаров В.А., Степанюк О.М., Подшибякин А.С. Методика аудита объектов информационной инфраструктуры с использованием технологии DNS-туннелирования. Известия тульского государственного университета. Технические науки. № 3, с. 46-56, 2022, ISSN: 2071-6168. EDN: QQRSBP.
Ovcharov V.A., Stepanyuk O.M., Podshibyakin A.S. Information infrastructure objects audit methodology using DNS tunneling. Bulletin of Tula State University. Technical sciences. No. 3, pp. 46-56, 2022, ISSN: 2071-6168. EDN: QQRSBP (in Russian).
8. Karantzas G., Patsakis C. An empirical assessment of endpoint detection and response systems against advanced persistent threats attack vectors. Journal of cybersecurity and privacy. v. 1, no. 3, pp. 387-421, 2021. DOI: https://dx.doi.org/10.3390/jcp1030021.
9. Falasi Dr.M.Al., Zhang Dr.T. Augmenting siem with threat intelligence for predictive cyber defense: a proactive threat hunting approach. International journal of cyber threat intelligence and secure networking. v. 2, no. 3,
pp. 1-5, 2025, DOI: https://dx.doi.org/10.55640/ijctisn-v02i03-01.
10. Жирнов В.И., Иванов А.В. Threat intelligence как основной инструмент предотвращения кибератак. Современные технологии и автоматизация в технике, управлении и образовании. с. 284-286, 2020. EDN: VBUVDI.
Zhirnov V.I., Ivanov A.V. Threat intelligence as the main tool for preventing cyberattacks. Modern technologies and automation in engineering, management, and education. pp. 284-286, 2020. EDN: VBUVDI (in Russian).
11. Alaliwat F. et al. OTuHunt: An Aggregated Threat Hunting & Intelligence Platform for OT/ICS Environment and MSSP Services. 2025 12th International Conference on Information Technology (ICIT), Amman, Jordan, 2025, pp. 39-46. DOI: http://dx.doi.org/10.1109/ICIT.2025.11049292.
12. Hirayabu, M., Shiraishi, Y. VATH: A System for Extracting Relationships between Vulnerabilities and Attackers to Support Threat Hunting. IEICE Transactions on Information and Systems. v. E108.D, no. 2, pp. 917-932, 2025. DOI: http://dx.doi.org/10.1587/transinf.2024DAK0001.
13. Bahrami P.N , Dehghantanha A, Dargahi T., Parizi R.M., Choo K.K.R., Javadi H.H.S. Cyber kill chain-based taxonomy of advanced persistent threat actors: analogy of tactics, techniques, and procedures. Journal of information processing systems. v. 15, no. 4, pp. 865-889, 2019, ISSN: 1976-913X. DOI: https://dx.doi.org/10.3745/JIPS.03.0126.
14. Мельников Н.А., Сонгин М.В. Применение модели cyber kill chain в рамках расследования инцидента информационной безопасности. Научные исследования в современном мире. Теория и практика: Сборник избранных статей Всероссийской (национальной) научно-практической конференции, Санкт-Петербург, 10 мая 2021 года. СПб: Частное научно-образовательное учреждение дополнительного профессионального образования Гуманитарный национальный исследовательский институт «НАЦРАЗВИТИЕ». 2021, c. 102-104.
Melnikov N.A., Songin M.V. Applying the cyber kill chain in the information security incident investigation. Scientific Research in the Modern World: Theory and Practice. Proceedings of the All-Russian (National) Scientific and Practical Conference. Saint Petersburg, May 10. St. Petersburg: Chastnoye nauchno-obrazovatelnoye uchrezhdeniye dopolnitelnogo professionalnogo obrazovaniya Gumanitarnyy natsionalnyy issledovatelskiy institut "NATsRAZVITIYe". 2021, pp. 102-104. EDN: GJIJTY.
15. Bhuvanesh B., Murugan R. Combating the Hidden Threat: A Survey of Cryptojacking. International Journal of Innovative Research in Computer and Communication Engineering (IJIRCCE). v. 12, no. 5, pp. 1-8, 2024, DOI: http://doi.org/ 10.15680/ijircce.2024.1205183. EDN: KWUPEW.