Anwendungsfall:

• Threat Hunting (Erweiterte Erkennung & Validierung)
• Erweiterte Bedrohungsforschung und Berichterstattung
• Nachforschungen im Dark Web

Herausforderung:
Reduzierung des Zeit- und Arbeitsaufwands für die Erforschung von Bedrohungen, die Risikobewertung und die Bereitstellung von umsetzbaren Berichten für die Beteiligten

Produkte:
Recorded Future: Threat Intelligence

Ergebnisse:

• Schnellere Erkennung und besseres Verständnis von relevanten Bedrohungen
• Verbesserter Fokus auf bestimmte Bedrohungsakteure
• Verbesserte Zusammenarbeit zwischen Sicherheitsteams zum Aufbau von Resilienz
• Verbesserte Fähigkeiten von Junior-Analysten
• Größeres Vertrauen in die Prioritäten des Teams

Citizens Financial Group setzt auf Bedrohungsinformationen, um die Resilienz zu steigern

Die amerikanische Bankholdinggesellschaft Citizens Financial Group integriert Recorded Future, um Risiken zu bewerten, die Antwort zu beschleunigen, Bedrohungen zu jagen und fertige Informationen zu liefern.

Vertrauenswürdige Finanzdienstleistungsunternehmen schützen ihre Reputation, indem sie Risiken bei jedem Schritt bewerten. Fortschrittliche Unternehmen wie die Citizens Financial Group verlassen sich auf erstklassige Bedrohungsinformationen, um Bedrohungen zu erforschen, die incident Antwort zu beschleunigen, die Zusammenarbeit zu fördern und proaktive Sicherheitspraktiken zu entwickeln.

„Wir haben uns stark auf Open-Source-Intelligence gestützt und wollten noch mehr tun“, sagt Lea Cure, Managerin des Citizens' Threat Intelligence Teams. „Wir wollten zuverlässigere und ausgereiftere Threat Intelligence erwerben, um die Sicherheitsabläufe zu verbessern und qualitativ hochwertige Abschlussberichte an unsere Stakeholder zu verteilen.“

Zu diesem Zweck beauftragte Cure Recorded Future, um die detaillierten Einschätzungen, den Kontext und die Analysen hinzuzufügen, die das Team nicht allein über offene oder öffentliche Informationsquellen und Peersharing-Netzwerke erhalten konnte.

Intelligence beschleunigt den Betrieb

Das Team der Citizens Financial Group hat schnell damit begonnen, Bedrohungsinformationen sowohl in strategische Initiativen zur Cybersicherheit als auch in den täglichen Betrieb zu integrieren. Die Nutzung der Intelligence Cloud von Recorded Future stellte eine leistungsstarke Verbesserung gegenüber Open-Source-Intelligence dar und sparte dem Team wertvolle Zeit bei der Identifizierung, Untersuchung und Abmilderung von Risiken.

„Recorded Future spart uns eine Menge Zeit, indem es uns vor gezielten Bedrohungen warnt“, sagt Cure. Der Zugriff auf und das Scraping von mehr Daten aus geschlossenen Quellen ist äußerst wertvoll, insbesondere für Anwendungen wie Telegram und Dark-Web-Quellen. Die Tatsache, dass unsere Analysten rechtzeitig auf relevante Informationen aufmerksam gemacht werden können, verbessert unsere Arbeitsabläufe erheblich.

Cure sagt, dass das Team die fortschrittlichen Abfragefunktionen von Recorded Future nutzt, um schnell umsetzbare Erkenntnisse zu finden. "Früher haben wir viel Zeit damit verbracht, offene Quellen zu recherchieren, um unsere Bewertung um Kontextinformationen zu erweitern. Mit Recorded Future sind wir in der Lage, genau zu spezifizieren, wonach wir suchen, und Informationen auszuschließen, die nicht relevant sind, wodurch wir mindestens 10 Stunden pro Woche einsparen", sagt Cure.

„Der ganze Lärm wird herausgefiltert, sodass wir unsere Zeit und Ressourcen auf die Dinge verwenden können, die für uns relevant sind. Recorded Future erledigt die Arbeit für uns, sodass wir uns ganz auf das Handeln konzentrieren können.

Ein tieferes Verständnis von Bedrohungen, Bedrohungsakteuren und Angreifertaktiken, -techniken und -verfahren (TTPs) hilft dem Sicherheitsteam, Lücken in der Überwachungs- und Erkennungsabdeckung zu erkennen und zu schließen. Cure zufolge wird das Team die Vorgeschichte der Angreifer analysieren und die Möglichkeiten mehrerer Bedrohungsakteure und Kampagnen untersuchen.

„Die Sigma-Regeln von Recorded Future bieten unseren Bedrohungsanalysten wertvolle technische Einblicke.“ „Indem wir verstehen, wie bestimmte Malware funktioniert, können wir Jagdhypothesen entwickeln, um ähnliche Verhaltensweisen in unserer Umgebung zu identifizieren“, erklärt sie. „Dann können wir Fragen stellen wie: ‚Haben wir die richtigen Tools, die richtige Protokollierung und Überwachung für diese Bedrohungen?‘“ „Wären wir in der Lage, diese Signaturen in unserer Umgebung zu finden und zu identifizieren?“

Von der Risikobewertung zur Risikovermeidung

Neben der Erforschung bekannter Bedrohungen nutzt das Sicherheitsteam der Citizens Bank Echtzeit-Bedrohungsinformationen, um strategische Sicherheitsmaßnahmen während des gesamten Risikomanagement-Lebenszyklus zu verbessern.

Verteidigern helfen, in die Offensive zu gehen

Citizens integriert Bedrohungsinformationen in proaktive Übungen zur Bewertung und Stärkung der Abwehrkräfte. „Wir arbeiten eng mit unserem Red Team während ihrer Aufklärungsphase zusammen und stellen ihnen Informationen über die von den Bedrohungsakteuren verwendeten Techniken, die letzte bekannte Verwendung dieser Techniken und technische Details zu den von ihnen verwendeten TTPs zur Verfügung“, erklärt der Threat Intelligence Manager. „Wir nutzen Recorded Future, um frühere Kampagnen und Angriffe zu analysieren und die von den Bedrohungsakteuren angewandten Methoden zu ermitteln, damit das Team die Aktivitäten nachahmen kann, wenn diese versuchen, unsere Netzwerkverteidigung zu umgehen.“

Jagd nach Bedrohungen „in der Wildnis“

Das Unternehmen nutzt außerdem Bedrohungsinformationen, um seine wachsende Praxis der Bedrohungsjagd auszubauen. Bedrohungsjäger nutzen die von der Insikt Group von Recorded Future erstellten Erkennungen, um nach Aktivitäten von Bedrohungsakteuren in ihrer Umgebung zu suchen. „Recorded Future ist ein großartiger Ort, um zu forschen, da wir in unserer Umgebung Bedrohungshypothesen aufstellen und überprüfen“, sagt Cure. „Unsere Bedrohungsjäger können die Sigma-Regeln der Insikt Group von Recorded Future und die historischen Informationen zu früheren Angriffen und TTPs verwenden, um unsere Tools abzufragen und zu sehen, ob wir in der Lage sind, einen Angriff zu identifizieren.“

Abmildern des Drittparteienrisikos

Wie die meisten Finanzdienstleistungsunternehmen legt auch Citizens großen Wert auf die Überwachung von Drittparteirisiken. Recorded Future Threat Intelligence unterstützt bei der Überwachung und Kommunikation von Risiken an Tier-One-Lieferanten und kritische Technologieanbieter. Cure sagt: „Die Möglichkeit, mithilfe der Plattform Erwähnungen unserer Lieferkettenpartner im Dark Web und auf Ransomware-Erpressungsseiten zu finden, hilft uns, Risiken zu kommunizieren, derer sich unsere Partner möglicherweise nicht bewusst sind, bevor etwas Schlimmes passiert.“

Hochrangige Stakeholder auf dem Laufenden halten

Das Threat Intelligence Team der Citizens Bank erstellt und liefert regelmäßig Quartals-, Halbjahres- und Jahresendberichte an hochrangige Stakeholder. Neben der Nutzung der Plattform zur Durchführung eingehender Analysen wird durch die Nutzung der Erkenntnisse der Insikt Group von Recorded Future der Prozess der Bereitstellung fertiger Informationen rationalisiert.

„Unsere Analysten sind in der Lage, viele Informationen über Bedrohungen aus Berichten zum Jahresende zu nutzen, die Insikt Group von Recorded Future veröffentlicht“, sagt Cure. „Wir sind in der Lage, die in ihren Berichten enthaltenen Informationen weiterzuverwenden, was es uns ermöglicht, unsere Zeit und Ressourcen auf die Entwicklung aussagekräftiger Bewertungen für unsere internen Stakeholder zu konzentrieren. Der Zugang zu diesen Informationen vereinfacht ihre Arbeit erheblich.

Darüber hinaus befähigt die Plattform Analysten, ihren Cyber-Abwehrteams zu erläutern, was „in der freien Wildbahn“ geschieht. „Anstatt nur einen Bericht für Führungskräfte zu erstellen, können wir sehr detailliert und technisch die legitimen Werkzeuge oder techniques erläutern, die ein bestimmter Bedrohungsakteur einsetzt, und einen tiefgehenden Blick auf die Angriffskette werfen.“

Teams leben von Einblicken

Durch die Modernisierung vieler Aspekte der Sicherheitsoperationen ermöglichen Bedrohungsinformationen Sicherheitsexperten, sich weiterzubilden und fördern strategische Interaktionen zwischen Teams. „Die verstärkte Zusammenarbeit über Abteilungen hinweg ist in diesem Jahr ein wichtiger Schwerpunkt für uns“, erklärt der Leiter des Threat-Intelligence-Teams. „Recorded Future bietet uns eine zentrale Anlaufstelle für die Recherche, die wir für die Beantwortung von Informationsanfragen (RFI) benötigen, die auf uns zukommen.“ Wir können auf Daten zugreifen, insbesondere auf Darknet-Marktplätzen und Foren, auf die eine durchschnittliche Person oder ein Analyst keinen Zugriff hat, und das ist für andere Teams äußerst wertvoll.“

Tieferes Verständnis für Analytiker

Die Straffung der täglichen Abläufe hilft dem Unternehmen, wertvolle Cybersicherheitsexperten weiterzubilden und zu entlasten. „Recorded Future ist eine sehr gründliche Ressource, die es neuen oder jüngeren Analysten ermöglicht, ihre Fähigkeiten zu verbessern, sich weiterzubilden und viel darüber zu erfahren, was sie auf der Plattform finden“, erklärt Cure. „Unsere erfahrenen Analysten können sich bei ihren Beurteilungen auch tiefergehend mit den Dingen auseinandersetzen und, anstatt einfach nur zu sagen: ‚Da draußen gibt es eine Bedrohung, um die wir uns kümmern sollten‘, können sie Bedrohungen auf einer viel tieferen Ebene verstehen und erklären.“

Was passiert als Nächstes?

Da die Citizens Bank in vielerlei Hinsicht von Recorded Future profitiert hat, plant sie, den Einsatz von Bedrohungsinformationen auszuweiten und gleichzeitig Innovationen zur Stärkung der Sicherheit voranzutreiben. „Wir erwarten einige wertvolle neue Anwendungsfälle, wenn wir uns näher mit den Angeboten von Recorded Future zur Bekämpfung von Zahlungsbetrug und Identity Intelligence befassen“, sagt Cure und fügt hinzu: „Ich würde jedem Unternehmen in einer stark von Bedrohungen betroffenen Branche empfehlen, in umfassende Bedrohungsinformationen zu investieren.“ Recorded Future ermöglicht es uns, strategischer und proaktiv zu handeln und schneller zu agieren, als es uns mit Open-Source-Informationen allein möglich wäre.“