Когда все элементы программы поиска угроз понятны, нетрудно создать простой, но очень эффективный процесс. Основные шаги:

1. Сбор и обработка данных Опять же, невозможно искать угрозы без качественных данных. Важно заранее планировать и определять, какие данные должны быть собраны и где они будут централизованы и обработаны. Как упоминалось ранее, решение SIEM лучший друг охотника.
2. Создайте гипотезу: очень важно знать, на что вы охотитесь, и все начинается с бизнес-ориентированной гипотезы, основанной на реальном контексте компании. Наилучший подход начинается с простых вопросов высокого уровня, которые имеют значение для стратегии кибербезопасности компании. Опять же, это позволит охотнику сосредоточиться на реальных ситуациях, что приведет к гораздо более эффективной программе поиска угроз.
3. Охота теперь самое интересное! Ну, может быть, не так весело. Временами поиск угроз может быть не более чем искажением данных и интерпретацией результатов в течение нескольких часов, только для того, чтобы найти гипотезу, которая не была подтверждена. Как уже упоминалось ранее, охотник должен преуспеть в технической экспертизе, объединяя такие области, как информационная безопасность, криминалистика и анализ разведывательных данных, но при этом он также должен иметь большое терпение.
4. Выявление угроз Как и ожидалось, в какой-то момент ваша гипотеза будет подтверждена и угроза будет выявлена. Теперь пришло время понять, как это влияет на компанию. Это серьезный инцидент безопасности? Это кибератака, которая только началась? Есть ли вероятность, что это ложное предупреждение?Охотник должен ответить на все эти вопросы, прежде чем определиться с лучшими действиями.
5. Реагировать после того, как угроза подтверждена и степень атаки известна, следующим шагом будет создание правильного ответа. Конечно, необходимо остановить текущую атаку, удалить возможные вредоносные файлы и восстановить измененные удаленные файлы в их первоначальное состояние, но это не останавливает на этом. Также важно понимать, что произошло, чтобы улучшить безопасность и предотвратить подобные атаки в будущем. 

Например, может потребоваться предпринять действия, такие как обновление правил брандмауэра IPS, разработка новых предупреждений SIEM, развертывание исправлений безопасности и или изменение конфигураций системы. Другими словами: сделайте все необходимые шаги, чтобы избежать повторного нарушения.

Поиск угроз может обеспечить значительную ценность стратегии кибербезопасности. Исходя из простой предпосылки, что ни одна система не является на 100% безопасной, опытный охотник за угрозами может заранее обнаруживать и предотвращать даже самых скрытных злоумышленников.

Как и ожидалось, создание эффективной программы по борьбе с угрозами потребует определенных усилий: необходимо иметь правильного профессионала и необходимые инструменты, прежде чем приступить к конкретной стратегии. Хороший подход заключается в том, чтобы сначала определить, какой уровень зрелости обеспечит компании реальную ценность, подтвердить, достаточны ли существующие ресурсы, и создать правильное сочетание опытных профессионалов, инструментов сбора обработки данных и действенного интеллекта. Пусть охота начинается! Ни одна киберугроза не останется незамеченной, и ни один бизнес не останется незащищенным!