Citizens Financial Group Accelerates Threat Response, Saving 10+ Hours Weekly

As a major American bank holding company, Citizens Financial Group's reputation depends on rigorous risk assessment and proactive security. Threat Intelligence Manager Lea Cure's team relied heavily on open-source intelligence but needed more reliable, mature threat intelligence to elevate security operations and deliver finished reports to stakeholders.

Research consumed significant time, third-party risk monitoring was limited, and analysts lacked access to closed sources like Telegram and dark web forums where critical threat information lived. Citizens needed premium intelligence that could streamline workflows, deepen threat understanding, and enable proactive defense. Recorded Future became that strategic upgrade.

Goal

Reduce time and effort spent researching threats, enhance risk assessment capabilities, and deliver actionable finished intelligence reports to stakeholders across the organization.

Herausforderung

Citizens Financial Group's threat intelligence team relied heavily on open-source intelligence that required significant time to research and lacked the reliability needed to improve security operations. They needed access to closed sources like dark web forums and Telegram channels, along with mature intelligence that could help them deliver high-quality finished reports to stakeholders while enabling more proactive security practices.

Ergebnis

Citizens Financial Group's shift to Recorded Future cut weekly research time by at least 10 hours, allowing analysts to pinpoint relevant intelligence instead of sifting through open-source noise. Access to closed sources—dark web marketplaces, forums, and Telegram channels—unlocked intelligence previously unavailable to the team.

Sigma rules from Insikt Group fuel threat hunting operations, helping analysts develop hypotheses and validate whether existing detection tools would catch similar attacks in their environment. The Red Team now incorporates real attacker TTPs during reconnaissance phases of engagements, testing defenses against authentic adversary behaviors documented in the platform. When Tier One suppliers or critical vendors appear on dark web sites or ransomware extortion lists, the team receives alerts that enable proactive risk communication before incidents escalate.

Quarterly and annual executive reporting became more efficient as analysts leverage Insikt Group's published research, freeing time for deeper internal assessments. Junior analysts build expertise through the platform's comprehensive threat data, while experienced team members provide technical, granular explanations of attack kill chains to cyber defense teams—moving beyond high-level summaries to actionable defensive guidance.

Citizens Financial Group Transforms Threat Operations from Reactive Research to Proactive Defense

American bank holding company Citizens Financial Group integrates Recorded Future to assess risk, speed response, hunt threats, and deliver finished intelligence.

Vertrauenswürdige Finanzdienstleistungsunternehmen schützen ihre Reputation, indem sie Risiken bei jedem Schritt bewerten. Fortschrittliche Unternehmen wie die Citizens Financial Group verlassen sich auf erstklassige Bedrohungsinformationen, um Bedrohungen zu erforschen, die incident Antwort zu beschleunigen, die Zusammenarbeit zu fördern und proaktive Sicherheitspraktiken zu entwickeln.

„Wir haben uns stark auf Open-Source-Intelligence gestützt und wollten noch mehr tun“, sagt Lea Cure, Managerin des Citizens' Threat Intelligence Teams. „Wir wollten zuverlässigere und ausgereiftere Threat Intelligence erwerben, um die Sicherheitsabläufe zu verbessern und qualitativ hochwertige Abschlussberichte an unsere Stakeholder zu verteilen.“

Zu diesem Zweck beauftragte Cure Recorded Future, um die detaillierten Einschätzungen, den Kontext und die Analysen hinzuzufügen, die das Team nicht allein über offene oder öffentliche Informationsquellen und Peersharing-Netzwerke erhalten konnte.

Intelligence beschleunigt den Betrieb

Das Team der Citizens Financial Group hat schnell damit begonnen, Bedrohungsinformationen sowohl in strategische Initiativen zur Cybersicherheit als auch in den täglichen Betrieb zu integrieren. Die Nutzung der Intelligence Cloud von Recorded Future stellte eine leistungsstarke Verbesserung gegenüber Open-Source-Intelligence dar und sparte dem Team wertvolle Zeit bei der Identifizierung, Untersuchung und Abmilderung von Risiken.

„Recorded Future spart uns eine Menge Zeit, indem es uns vor gezielten Bedrohungen warnt“, sagt Cure. Der Zugriff auf und das Scraping von mehr Daten aus geschlossenen Quellen ist äußerst wertvoll, insbesondere für Anwendungen wie Telegram und Dark-Web-Quellen. Die Tatsache, dass unsere Analysten rechtzeitig auf relevante Informationen aufmerksam gemacht werden können, verbessert unsere Arbeitsabläufe erheblich.

Cure sagt, dass das Team die fortschrittlichen Abfragefunktionen von Recorded Future nutzt, um schnell umsetzbare Erkenntnisse zu finden. "Früher haben wir viel Zeit damit verbracht, offene Quellen zu recherchieren, um unsere Bewertung um Kontextinformationen zu erweitern. Mit Recorded Future sind wir in der Lage, genau zu spezifizieren, wonach wir suchen, und Informationen auszuschließen, die nicht relevant sind, wodurch wir mindestens 10 Stunden pro Woche einsparen", sagt Cure.

„Der ganze Lärm wird herausgefiltert, sodass wir unsere Zeit und Ressourcen auf die Dinge verwenden können, die für uns relevant sind. Recorded Future erledigt die Arbeit für uns, sodass wir uns ganz auf das Handeln konzentrieren können.

Ein tieferes Verständnis von Bedrohungen, Bedrohungsakteuren und Angreifertaktiken, -techniken und -verfahren (TTPs) hilft dem Sicherheitsteam, Lücken in der Überwachungs- und Erkennungsabdeckung zu erkennen und zu schließen. Cure zufolge wird das Team die Vorgeschichte der Angreifer analysieren und die Möglichkeiten mehrerer Bedrohungsakteure und Kampagnen untersuchen.

„Die Sigma-Regeln von Recorded Future bieten unseren Bedrohungsanalysten wertvolle technische Einblicke.“ „Indem wir verstehen, wie bestimmte Malware funktioniert, können wir Jagdhypothesen entwickeln, um ähnliche Verhaltensweisen in unserer Umgebung zu identifizieren“, erklärt sie. „Dann können wir Fragen stellen wie: ‚Haben wir die richtigen Tools, die richtige Protokollierung und Überwachung für diese Bedrohungen?‘“ „Wären wir in der Lage, diese Signaturen in unserer Umgebung zu finden und zu identifizieren?“

Von der Risikobewertung zur Risikovermeidung

Neben der Erforschung bekannter Bedrohungen nutzt das Sicherheitsteam der Citizens Bank Echtzeit-Bedrohungsinformationen, um strategische Sicherheitsmaßnahmen während des gesamten Risikomanagement-Lebenszyklus zu verbessern.

Helping Defenders Take the Offensive

Citizens integriert Bedrohungsinformationen in proaktive Übungen zur Bewertung und Stärkung der Abwehrkräfte. „Wir arbeiten eng mit unserem Red Team während ihrer Aufklärungsphase zusammen und stellen ihnen Informationen über die von den Bedrohungsakteuren verwendeten Techniken, die letzte bekannte Verwendung dieser Techniken und technische Details zu den von ihnen verwendeten TTPs zur Verfügung“, erklärt der Threat Intelligence Manager. „Wir nutzen Recorded Future, um frühere Kampagnen und Angriffe zu analysieren und die von den Bedrohungsakteuren angewandten Methoden zu ermitteln, damit das Team die Aktivitäten nachahmen kann, wenn diese versuchen, unsere Netzwerkverteidigung zu umgehen.“

Hunting for Threats ‘in the Wild’

Das Unternehmen nutzt außerdem Bedrohungsinformationen, um seine wachsende Praxis der Bedrohungsjagd auszubauen. Bedrohungsjäger nutzen die von der Insikt Group von Recorded Future erstellten Erkennungen, um nach Aktivitäten von Bedrohungsakteuren in ihrer Umgebung zu suchen. „Recorded Future ist ein großartiger Ort, um zu forschen, da wir in unserer Umgebung Bedrohungshypothesen aufstellen und überprüfen“, sagt Cure. „Unsere Bedrohungsjäger können die Sigma-Regeln der Insikt Group von Recorded Future und die historischen Informationen zu früheren Angriffen und TTPs verwenden, um unsere Tools abzufragen und zu sehen, ob wir in der Lage sind, einen Angriff zu identifizieren.“

Mitigating Third-party Risk

Wie die meisten Finanzdienstleistungsunternehmen legt auch Citizens großen Wert auf die Überwachung von Drittparteirisiken. Recorded Future Threat Intelligence unterstützt bei der Überwachung und Kommunikation von Risiken an Tier-One-Lieferanten und kritische Technologieanbieter. Cure sagt: „Die Möglichkeit, mithilfe der Plattform Erwähnungen unserer Lieferkettenpartner im Dark Web und auf Ransomware-Erpressungsseiten zu finden, hilft uns, Risiken zu kommunizieren, derer sich unsere Partner möglicherweise nicht bewusst sind, bevor etwas Schlimmes passiert.“

Keeping High-level Stakeholders Informed

Das Threat Intelligence Team der Citizens Bank erstellt und liefert regelmäßig Quartals-, Halbjahres- und Jahresendberichte an hochrangige Stakeholder. Neben der Nutzung der Plattform zur Durchführung eingehender Analysen wird durch die Nutzung der Erkenntnisse der Insikt Group von Recorded Future der Prozess der Bereitstellung fertiger Informationen rationalisiert.

„Unsere Analysten sind in der Lage, viele Informationen über Bedrohungen aus Berichten zum Jahresende zu nutzen, die Insikt Group von Recorded Future veröffentlicht“, sagt Cure. „Wir sind in der Lage, die in ihren Berichten enthaltenen Informationen weiterzuverwenden, was es uns ermöglicht, unsere Zeit und Ressourcen auf die Entwicklung aussagekräftiger Bewertungen für unsere internen Stakeholder zu konzentrieren. Der Zugang zu diesen Informationen vereinfacht ihre Arbeit erheblich.

Darüber hinaus befähigt die Plattform Analysten, ihren Cyber-Abwehrteams zu erläutern, was „in der freien Wildbahn“ geschieht. „Anstatt nur einen Bericht für Führungskräfte zu erstellen, können wir sehr detailliert und technisch die legitimen Werkzeuge oder techniques erläutern, die ein bestimmter Bedrohungsakteur einsetzt, und einen tiefgehenden Blick auf die Angriffskette werfen.“

Teams leben von Einblicken

Durch die Modernisierung vieler Aspekte der Sicherheitsoperationen ermöglichen Bedrohungsinformationen Sicherheitsexperten, sich weiterzubilden und fördern strategische Interaktionen zwischen Teams. „Die verstärkte Zusammenarbeit über Abteilungen hinweg ist in diesem Jahr ein wichtiger Schwerpunkt für uns“, erklärt der Leiter des Threat-Intelligence-Teams. „Recorded Future bietet uns eine zentrale Anlaufstelle für die Recherche, die wir für die Beantwortung von Informationsanfragen (RFI) benötigen, die auf uns zukommen.“ Wir können auf Daten zugreifen, insbesondere auf Darknet-Marktplätzen und Foren, auf die eine durchschnittliche Person oder ein Analyst keinen Zugriff hat, und das ist für andere Teams äußerst wertvoll.“

Deeper Understanding for Analysts

Die Straffung der täglichen Abläufe hilft dem Unternehmen, wertvolle Cybersicherheitsexperten weiterzubilden und zu entlasten. „Recorded Future ist eine sehr gründliche Ressource, die es neuen oder jüngeren Analysten ermöglicht, ihre Fähigkeiten zu verbessern, sich weiterzubilden und viel darüber zu erfahren, was sie auf der Plattform finden“, erklärt Cure. „Unsere erfahrenen Analysten können sich bei ihren Beurteilungen auch tiefergehend mit den Dingen auseinandersetzen und, anstatt einfach nur zu sagen: ‚Da draußen gibt es eine Bedrohung, um die wir uns kümmern sollten‘, können sie Bedrohungen auf einer viel tieferen Ebene verstehen und erklären.“

Was passiert als Nächstes?

Da die Citizens Bank in vielerlei Hinsicht von Recorded Future profitiert hat, plant sie, den Einsatz von Bedrohungsinformationen auszuweiten und gleichzeitig Innovationen zur Stärkung der Sicherheit voranzutreiben. „Wir erwarten einige wertvolle neue Anwendungsfälle, wenn wir uns näher mit den Angeboten von Recorded Future zur Bekämpfung von Zahlungsbetrug und Identity Intelligence befassen“, sagt Cure und fügt hinzu: „Ich würde jedem Unternehmen in einer stark von Bedrohungen betroffenen Branche empfehlen, in umfassende Bedrohungsinformationen zu investieren.“ Recorded Future ermöglicht es uns, strategischer und proaktiv zu handeln und schneller zu agieren, als es uns mit Open-Source-Informationen allein möglich wäre.“