Я часто не ставлю в постах цель дать информацию, но смотивировать читателя задуматься самостоятельно. Когда сам что-то поймёшь - это на дольше, чем когда тебе расскажут ;)

Вот получил ты бюллетень от какой-нибудь ГосСОПКИ (да, понимаю, что верится в это с трудом, но вдруг), что на нефтяные компании России нацелилась какая-нибудь иранская HelloKittySuperHiddenPandaBearAPT. И даже IOC тебе прислали. Ты вроде бы и уверен в своей защите, но червяк сомнения засел. И ты формулируешь гипотезу и начинаешь хантить, ища следы возможной компрометации. Не нашел - отлично. Гипотеза не подтвердилась. Но ты же хантил. То есть TH - это не только после взлома 😊

Гипотезы могут формироваться как угодно, смотря, конечно, как построен процесс. Инциденты, конечно, важный источник, и технически то, из чего состоит TH  само по себе входит в расследование инцидента , по умолчанию.. . Но если рассматривать TH как отдельный процесс (постоянный) то кажется, что основной профит именно в про-активном подходе, то есть вырабатывании гипотез до того, как стало ясно, что есть проблема. Источником гипотез может быть что угодно, от рассылки CERT до внутреннего ред тима) главное что б гипотезы имели смысл и ценность.

Причём польза от ТХ будет выше если её выход сразу в детекшн и автоматизацию пойдёт. Но вообще как мерять эффективность TH процесса интересный топик

На мой взгляд, то что в TH мы проверяем гипотезы о возможном взломе, говорит как раз о реактивности инструмента, т.е. мы реагируем на возможное событие, т.е. до момента пока мы не выяснили, произошёл ли взлом на самом деле, виртуально, для нас он произошёл. Т.е. TH это всегда после взлома, просто иногда после взлома, который не случился.

Так формировать гипотезы можно по разному. И будет проактивно.

хм, а можно пример проактивной гипотезы? которая несёт в себе  цель предупредить какое-то событие, а не среагировать на что-то

Например мы формируем гипотезу об акторе Х и хантим техники условные, видим что их нет, но так же видим, допустим через симуляцию, что не детектим - добавляем покрытие по детектам.

Леша, ты правильно пишешь. Но, бросаться во все тяжкие. исследовать все сценарии и придумывать ханты\детекты\правила корреляции под все подряд - технически невозможно, да, наверно, и не нужно. Я тут описал свой взгляд на приоритеты. можно критиковать. Но это, на мой взгляд, как раз тот самый компромисс позволяющий инвестируя разумное количество ресурсов получать вполне неплохой выхлоп, Парето, если хочешь :)
http://reply-to-all.blogspot.com/2020/08/blog-post.html

Или просто не смог найти...

Да, или доступа нет. Всякое бывает. В чатике по ИБ в финансах регулярно про ФинЦЕРТ такое пишут. Вроде и рассылка была, но не все ее получили/увидели. А потом бац, и в ЛК появляется сообщение

Приоритеты гипотез важная тема, согласен. По сути беклог с эпиками и стори)

Тут уж зависит у кого что болит

А в чем проактивность заключается? мы проверяем, случилось ли событие или нет.  Т.е. реагируем на событие или на отсутствие события. То что мы в процессе, можем улучшить инструмент поиска, чтобы в будущем лучше реагировать на события, конечно проактивно, но эта проактивность направлена на инструмент, а не на предмет поиска(угрозу)

Ну так же можно что то и отключить или включить

Что б атака условная вообще не сработала

Потом детект тож может быть условно проактивным в отношении всей атаки. То есть когда ты делаешь детект и реагируешь на первые шаги атакующего (рание стадии атаки). То есть атакующий не успевает достигнуть обджектива

А более топорные примеры будут завязаны на вулн. менеджмент)

Услышал, спасибо за пример

Как пример. В рамках хантинга попал к тебе вредоносный домен. Ты его у себя в инфре не нашел, но в процессе анализа домена, решил проверить всю его подноготную, владельца, хостинг, AS и т.п. И оказалось, что помимо этого домена на IPшнике висит в спящем режиме еще под сотню-другую доменов, с которых только могут быть атаки в будущем. А ты их уже знаешь и  проактивно можешь настроить их блокирование