Butler Snow Stops BEC Attack Saving Client From Doubled Invoice Loss
National law firm with 400 attorneys stops sophisticated typosquatting scheme within hours of proof of concept, automates firewall IP research that once took hours weekly, and gains the equivalent of a full-time security analyst.
Butler Snow's data security analyst Trey Thompson relied on publicly available vulnerability and threat information before discovering Recorded Future could provide extensive, accurate intelligence his small team managing many priorities couldn't dig up alone.
Goal
Prevent successful attacks by staying one step ahead of adversaries targeting confidential client information across 800 employees in 25 offices globally.
Herausforderung
Butler Snow lacked real-time context and actionable intelligence to inform security decisions while protecting clients across 50 states and 20 countries. The small security team needed a solution that improved threat visibility while facilitating maximum efficiency and speedy responses without impeding productivity.
Ergebnis
Brand Intelligence identified typosquatted domains within hours and exposed a BEC attack where hackers doubled invoice amounts in manipulated wiring instructions. Vulnerability Intelligence confirmed VMware exploitation risk warranted immediate patching despite performance concerns. Automated workflow replaced hours of manual firewall log analysis with one-pane-of-glass IP research.answer.
Butler Snow Mitigates Risk with Recorded Future Intelligence
Die Rechtsbranche ist seit langem ein Ziel für Cyber-Angreifer, da sie über eine Vielzahl vertraulicher Kundendaten verfügt – geistiges Eigentum, Geschäftsgeheimnisse, personenbezogene Daten (PII), Unternehmensfinanzen und mehr. Als Full-Service-Anwaltskanzlei mit fast 400 Anwälten, die mehr als 50 Rechtsgebiete und Mandanten in allen 50 Bundesstaaten, dem District of Columbia und 20 Ländern betreuen, ist sich Butler Snow LLP des erhöhten Risikos von Cyberangriffen sehr wohl bewusst.
„Unser Engagement, vertrauliche Kundeninformationen vor Cyberkriminellen zu schützen ist fester Bestandteil unseres exzellenten Kundenservice und wichtig für die Zufriedenheit der Kunden“, sagt Trey Thompson, Datensicherheitsanalyst bei Butler Snow. „Unser Ziel ist es, Angriffe zu verhindern, indem wir dem Gegner einen Schritt voraus sind."
Deshalb wandte sich Butler Snow an Recorded Future, um eine kritische Lücke in der Sicherheitsstrategie der Firma zu schließen. „Bevor wir die Informationen von Recorded Future nutzten, stützten wir uns auf öffentlich zugängliche Informationen über Sicherheitslücken und Bedrohungen“, sagt Thompson. „Als wir Recorded Future in Aktion sahen, wussten wir, dass es die einzige Quelle für umfassende und genaue Informationen sein würde, die wir benötigen, um Risiken abzumildern, fundierte Entscheidungen zu treffen und unsere Sicherheitsabläufe zu optimieren.“ Recorded Future lieferte Informationen, die weit über das hinausgingen, was wir alleine auffinden konnten, insbesondere als Team, das viele Prioritäten verwaltet.
Trey Thompson
Data Security Analyst, Butler Snow
Balancing Proactive Defense and Automation Through Integrated Intelligence
Das Team von Land O'Lakes konzentrierte sich auf die beiden Prioritäten proaktive Sicherheit und Automatisierung und entschied sich für die Plattform von Recorded Future.
Recorded Future’s unique combination of automated data collection and human analysis across the broadest range of sources and languages generates high-quality, actionable intelligence. This threat intelligence integrates seamlessly into the Land O’Lakes team’s existing security stack — including a SIEM solution and orchestration tool — enriching internal data to help the team identify, assess, and contextualize threats in real time.
Sofortigen Nutzen beweisen: Für das Sicherheitsteam von Butler Snow besteht die Strategie darin, so viele Sicherheitsebenen wie möglich hinzuzufügen, ohne die Produktivität der rund 800 Mitarbeiter des Unternehmens zu beeinträchtigen, die auf ein wachsendes Kontingent von 25 Büros rund um den Globus verteilt sind. Mit einer kleinen IT-Organisation und einem noch kleineren Sicherheitsteam erfordert die Erfüllung dieser Ziele jedoch Werkzeuge, die die Effizienz steigern und dem Team helfen, mehr zu erreichen.
Jede Intelligence-Lösung sollte nicht nur die Sichtbarkeit des Unternehmens in Bezug auf die dringendsten Bedrohungen verbessern, sondern auch die Informationen so aufbereiten, dass das Butler Snow-Team möglichst effizient und schnell reagieren kann. Recorded Future schien alle Bedürfnisse von Butler Snow zu erfüllen, daher beschloss das Sicherheitsteam, es einem Test zu unterziehen.
„Wir haben mit Recorded Future einen Machbarkeitsnachweis durchgeführt, und innerhalb weniger Stunden zeigte sich bereits ein Mehrwert für unser Unternehmen, da mindestens eine Typosquat-Domain identifiziert wurde“, sagt Thompson. „Aufgrund der hervorragenden Ergebnisse konnten wir das Budget sichern und mit Recorded Future weitermachen.“ Das Unternehmen setzt nun auf die Recorded Future Intelligence Platform, die Module für Brand Intelligence, SecOps Intelligence, Vulnerability Intelligence, Threat Intelligence und Third-Party Intelligence umfasst.
Schutz der Marke und der Kunden vor opportunistischen Gegnern
Das Sicherheitsteam von Butler Snow nutzt Recorded Future, um den Markenwert und die Markenwahrnehmung zu schützen sowie Kunden und Mitarbeiter vor Hackermethoden wie Typosquatting, falschen Anmeldeseiten, gestohlenen Anmeldedaten und mehr zu schützen.
Kürzlich erhielt ein Kunde von Butler Snow eine E-Mail, die scheinbar von einem Mitarbeiter von Butler Snow stammte und eine Änderung der Überweisungsanweisungen für den Kunden enthielt, um Zahlungen an Butler Snow zu senden. Als die Mitarbeiterin, die sich als diejenige ausgab, von der E-Mail erfuhr, hatte sie keine Ahnung davon und wandte sich an das Sicherheitsteam von Butler Snow, weil ihr E-Mail-Passwort möglicherweise einen Kompromiss darstellte.
Mithilfe von Brand Intelligence von Recorded Future konnte Butler Snow schnell feststellen, dass die E-Mail von einer typosquatteten Domain stammte. Das Team nutzte außerdem Recorded Future, um durchgesickerte Anmeldedaten von mehreren Kundenkonten zu finden, darunter auch die des Empfängers der E-Mail, die angeblich von Butler Snow stammte. Bei weiteren forensischen Untersuchungen durch den Kunden wurden Beweise für Microsoft Office 365-Anmeldungen aus anderen Ländern im Benutzerkonto des Kunden gefunden.
Die Hacker hatten die E-Mails des Kunden eingesehen und als sie eine Rechnung von Butler Snow sahen, erstellten sie eine typosquattete Domain und schickten eine E-Mail mit den gefälschten Überweisungsanweisungen. Die Hacker manipulierten sogar den geforderten Betrag, der ohnehin schon beträchtlich war, auf das Doppelte der tatsächlichen Rechnung. „Recorded Future hat uns geholfen, unseren Mandanten vor dem Verlust einer großen Geldsumme durch einen Hackerangriff zu bewahren“, sagt Thompson. Thompson und sein Team bewahrten den Mandanten von Butler Snow nicht nur davor, Opfer dieses Angriffs zu werden, sondern schützten mit Brand Intelligence auch dessen Markenwahrnehmung.
Priorisierung von Sicherheitslücken und Patch-Vorgängen
Die Verwaltung von Sicherheitslücken kann für IT-Organisationen jeder Größe zeitaufwendig sein. Für schlanke Teams ist die Möglichkeit, zu priorisieren, welche Sicherheitslücken am wichtigsten sind, um sich zuerst darauf zu konzentrieren, von entscheidender Bedeutung, um begrenzte Ressourcen zum Schutz vor ernsthaften Bedrohungen richtig zuzuordnen.
Das Sicherheitsteam von Butler Snow nutzt Recorded Future Vulnerability Intelligence, um Kontext zu Sicherheitslücken zu sammeln. Dies gibt der IT-Organisation die Sicherheit, dass sie die höchsten Risiken priorisieren und Ressourcen dort einsetzen, wo sie am dringendsten benötigt werden.
„Die Informationen, die wir von Recorded Future erhalten, sind besonders wertvoll, wenn ein Patch für ein hochwirksames System wie Microsoft Exchange veröffentlicht wird“, sagt Thompson. „Wir nutzen Vulnerability Intelligence von Recorded Future, um zu beurteilen, ob eine Sicherheitslücke in freier Wildbahn ausgenutzt wird.“ Verwertbare Informationen helfen uns, die Entscheidung unserer Gruppe über das Priorisieren der Patches für kritische Systeme zu treffen und zu validieren.“
Thompson nennt ein aktuelles Beispiel, bei dem VMware Patches veröffentlicht hat, die möglicherweise die Leistung der Software beeinträchtigen könnten. Um zu verstehen, ob die Anwendung der Patches zwingend erforderlich war, nutzte Butler Snow Recorded Future, um festzustellen, dass das Risiko, dass die Sicherheitslücke ausgenutzt wird, tatsächlich so hoch war, dass das Unternehmen die Software patchen musste, anstatt auf eine spätere Version mit geringeren Auswirkungen auf die Leistung zu warten.
Trey Thompson
Data Security Analyst, Butler Snow
Sofortigen Nutzen beweisen: Für das Sicherheitsteam von Butler Snow besteht die Strategie darin, so viele Sicherheitsebenen wie möglich hinzuzufügen, ohne die Produktivität der rund 800 Mitarbeiter des Unternehmens zu beeinträchtigen, die auf ein wachsendes Kontingent von 25 Büros rund um den Globus verteilt sind. Mit einer kleinen IT-Organisation und einem noch kleineren Sicherheitsteam erfordert die Erfüllung dieser Ziele jedoch Werkzeuge, die die Effizienz steigern und dem Team helfen, mehr zu erreichen.
Jede Intelligence-Lösung sollte nicht nur die Sichtbarkeit des Unternehmens in Bezug auf die dringendsten Bedrohungen verbessern, sondern auch die Informationen so aufbereiten, dass das Butler Snow-Team möglichst effizient und schnell reagieren kann. Recorded Future schien alle Bedürfnisse von Butler Snow zu erfüllen, daher beschloss das Sicherheitsteam, es einem Test zu unterziehen.
„Wir haben mit Recorded Future einen Machbarkeitsnachweis durchgeführt, und innerhalb weniger Stunden zeigte sich bereits ein Mehrwert für unser Unternehmen, da mindestens eine Typosquat-Domain identifiziert wurde“, sagt Thompson. „Aufgrund der hervorragenden Ergebnisse konnten wir das Budget sichern und mit Recorded Future weitermachen.“ Das Unternehmen setzt nun auf die Recorded Future Intelligence Platform, die Module für Brand Intelligence, SecOps Intelligence, Vulnerability Intelligence, Threat Intelligence und Third-Party Intelligence umfasst.
Schutz der Marke und der Kunden vor opportunistischen Gegnern
Das Sicherheitsteam von Butler Snow nutzt Recorded Future, um den Markenwert und die Markenwahrnehmung zu schützen sowie Kunden und Mitarbeiter vor Hackermethoden wie Typosquatting, falschen Anmeldeseiten, gestohlenen Anmeldedaten und mehr zu schützen.
Kürzlich erhielt ein Kunde von Butler Snow eine E-Mail, die scheinbar von einem Mitarbeiter von Butler Snow stammte und eine Änderung der Überweisungsanweisungen für den Kunden enthielt, um Zahlungen an Butler Snow zu senden. Als die Mitarbeiterin, die sich als diejenige ausgab, von der E-Mail erfuhr, hatte sie keine Ahnung davon und wandte sich an das Sicherheitsteam von Butler Snow, weil ihr E-Mail-Passwort möglicherweise einen Kompromiss darstellte.
Mithilfe von Brand Intelligence von Recorded Future konnte Butler Snow schnell feststellen, dass die E-Mail von einer typosquatteten Domain stammte. Das Team nutzte außerdem Recorded Future, um durchgesickerte Anmeldedaten von mehreren Kundenkonten zu finden, darunter auch die des Empfängers der E-Mail, die angeblich von Butler Snow stammte. Bei weiteren forensischen Untersuchungen durch den Kunden wurden Beweise für Microsoft Office 365-Anmeldungen aus anderen Ländern im Benutzerkonto des Kunden gefunden.
Die Hacker hatten die E-Mails des Kunden eingesehen und als sie eine Rechnung von Butler Snow sahen, erstellten sie eine typosquattete Domain und schickten eine E-Mail mit den gefälschten Überweisungsanweisungen. Die Hacker manipulierten sogar den geforderten Betrag, der ohnehin schon beträchtlich war, auf das Doppelte der tatsächlichen Rechnung. „Recorded Future hat uns geholfen, unseren Mandanten vor dem Verlust einer großen Geldsumme durch einen Hackerangriff zu bewahren“, sagt Thompson. Thompson und sein Team bewahrten den Mandanten von Butler Snow nicht nur davor, Opfer dieses Angriffs zu werden, sondern schützten mit Brand Intelligence auch dessen Markenwahrnehmung.
Priorisierung von Sicherheitslücken und Patch-Vorgängen
Die Verwaltung von Sicherheitslücken kann für IT-Organisationen jeder Größe zeitaufwendig sein. Für schlanke Teams ist die Möglichkeit, zu priorisieren, welche Sicherheitslücken am wichtigsten sind, um sich zuerst darauf zu konzentrieren, von entscheidender Bedeutung, um begrenzte Ressourcen zum Schutz vor ernsthaften Bedrohungen richtig zuzuordnen.
Das Sicherheitsteam von Butler Snow nutzt Recorded Future Vulnerability Intelligence, um Kontext zu Sicherheitslücken zu sammeln. Dies gibt der IT-Organisation die Sicherheit, dass sie die höchsten Risiken priorisieren und Ressourcen dort einsetzen, wo sie am dringendsten benötigt werden.
„Die Informationen, die wir von Recorded Future erhalten, sind besonders wertvoll, wenn ein Patch für ein hochwirksames System wie Microsoft Exchange veröffentlicht wird“, sagt Thompson. „Wir nutzen Vulnerability Intelligence von Recorded Future, um zu beurteilen, ob eine Sicherheitslücke in freier Wildbahn ausgenutzt wird.“ Verwertbare Informationen helfen uns, die Entscheidung unserer Gruppe über das Priorisieren der Patches für kritische Systeme zu treffen und zu validieren.“
Thompson nennt ein aktuelles Beispiel, bei dem VMware Patches veröffentlicht hat, die möglicherweise die Leistung der Software beeinträchtigen könnten. Um zu verstehen, ob die Anwendung der Patches zwingend erforderlich war, nutzte Butler Snow Recorded Future, um festzustellen, dass das Risiko, dass die Sicherheitslücke ausgenutzt wird, tatsächlich so hoch war, dass das Unternehmen die Software patchen musste, anstatt auf eine spätere Version mit geringeren Auswirkungen auf die Leistung zu warten.
Trey Thompson
Data Security Analyst, Butler Snow
Wöchentliche Stundenersparnis durch einen proaktiven Intelligence-Workflow
Before implementing Recorded Future, researching IPs being blocked by the firm’s firewall and deploying defensive mitigations took up large amounts of time and effort. “Manually pulling firewall logs and reviewing and researching suspicious IPs was very time consuming before,” Thompson says. “Now, with Recorded Future, it’s an automated part of my regular workflow.”
Thompson uses Recorded Future’s browser extension to research the top ten IPs that tried to hit the firewall but were blocked. He builds context using intelligence from Recorded Future to determine if it’s something the firm should be worried about and take action to protect against. “Before, I relied on public information sources to find similar information, which was a manual process that took hours every week,” says Thompson. “Now, with Recorded Future, I get the information I need within one pane of glass.”
Trey Thompson
Data Security Analyst, Butler Snow
Erweiterung der Reichweite eines schlanken Sicherheitsteams
Für das kleine Sicherheitsteam von Butler Snow ist Recorded Future wie ein zusätzlicher Mitarbeiter, der es dem Team ermöglicht, mehr zu erreichen. „Die Menge an Informationen und Kontext, die wir schnell von Recorded Future abrufen können, entspricht wahrscheinlich der Arbeit einer Vollzeitkraft, die sich um die Suche nach den Informationen kümmert“, sagt Thompson.
Auf die Frage, welchen Rat er anderen Anwaltskanzleien geben würde, sagt Thompson: „Wissen ist die halbe Miete, denn was man nicht kennt, kann man auch nicht abwehren.“ Es ist wichtig, nicht nur zu verstehen, was es gibt, sondern auch, welche spezifischen Bedrohungen für die Kanzlei existieren. Recorded Future ist eine großartige Lösung, um unsere Marke, Mitarbeiter und Kunden mit verwertbaren Informationen zu schützen.