DuPont

ZIEL

Die Bedrohungsforschung verbessern und Gegner stören.

HERAUSFORDERUNG

Statten Sie Ihr neues SOC mit der Fähigkeit aus, Bedrohungen schneller zu triagieren, abzumildern und zu beheben.

LÖSUNG

Die Recorded Future Plattform

ERGEBNISSE

• Beschleunigte Triage und um den Faktor 10 verkürzte mittlere Reaktionszeit.
• Ein ausgewogenes Verhältnis zwischen personellen Kapazitäten und Automatisierung, um schnellere und sicherere Entscheidungen zu treffen und die Bemühungen zu verstärken.
• Optimierte und gerechtfertigtes Schwachstellenmanagement.
• Sicherstellung einer vollständigen, konsistenten Risikominderung in Echtzeit in einem massiv umstrukturierten Unternehmen.

Herausforderung

Seit mehr als 200 Jahren ist DuPont ein Synonym für bahnbrechende Entdeckungen und technologische Durchbrüche, die das Leben verändern. Im Laufe der Jahre hat das Unternehmen zahlreiche Fusionen und Übernahmen durchlaufen. Kürzlich haben sie eine umfassende Umstrukturierung abgeschlossen, um das Unternehmen zukunftssicher zu machen und weiterhin wesentliche Innovationen zu liefern, die Menschen helfen, sicherer und gesünder zu leben. Solche Übergangsphasen können neue Cybersicherheitsrisiken für jedes Unternehmen mit sich bringen. Sie bringen in der Regel Veränderungen in der Teamstruktur mit sich, fügen neue Technologien hinzu und führen unterschiedliche oder inkonsistente Sicherheitspraktiken ein, die potenziell Lücken schaffen, die Bedrohungsakteure ausnutzen könnten.

Angesichts dieser Risiken hat DuPont verstärkt in den Aufbau eines globalen Cyber-Bedrohungsteams und eines nachhaltigen Programms investiert, um diese im gesamten Unternehmen effektiv zu verwalten. Als der globale Cyber-Bedrohungsleiter Bob Stasio Ende 2019 an Bord kam, machte er sich sofort an die Arbeit. Er begann mit dem Aufbau eines neuen internen Sicherheitsoperationszentrums, das Vorfälle untersuchen sollte, die vom Geschäfts-E-Mail-Kompromiss und Betrug bis hin zu Datenverlusten und fortgeschrittenen persistenten Bedrohungen reichen, die auf die Handelsinformationen und das geistige Eigentum des Unternehmens abzielen.

„Es gab keinen starken Fokus auf Threat Intelligence“, erinnert sich Stasio. „Dinge wurden ausgelagert und Vorfälle wurden ohne Kontext über die Mauer geworfen. Wir mussten verstehen, was vor sich ging.“

Er begann damit, einen Großteil der Vorfallbearbeitung selbst zu übernehmen, während er das Team aufbaute. Er sagt: „In dieser Anfangsphase hatten wir eine hohe durchschnittliche Reaktionszeit – wenn eine Warnung einging, brauchten wir ziemlich viel Zeit, um sie einer Triage zu unterziehen, abzumildern oder zu beheben.“

Doch er hatte eine Vision und einen Plan, um diesen kritischen KPI mit einem auf „Threat Intelligence“ basierenden „Vorfallantwort 2.0“-Ansatz zu senken.

Lösung

Stasio ist ein US-Militärveteran, dessen beeindruckende Karriere die NSA, das U.S. Cyber Command und private Giganten wie Bloomberg und IBM umfasst. Er zieht starke Parallelen zwischen Threat-Intelligence-Aktivitäten und Cyberspace-Operationen. „In der Cybersicherheit, wie im Militär, muss man oft in einem Umfeld mit sehr wenigen Informationen agieren“, sagt er. „Sie müssen nach Frühindikatoren und Trends Ausschau halten, die darauf hindeuten, dass etwas im Gange ist, dann extrapolieren und sehr schnell eine Entscheidung treffen.“

Die Fähigkeit, Ihre Gegner zu verstehen – und die Bedingungen, unter denen Sie sie stören müssen – ist entscheidend, um diese Bemühungen zu beschleunigen und zu verstärken. Hier kommen Bedrohungsinformationen ins Spiel. „Ich kannte Recorded Future seit vielen Jahren und hatte während meiner Zeit im privaten Sektor mit dem Unternehmen zusammengearbeitet und ihm vertraut“, sagt Stasio. „Es war einer der ersten Anrufe, die ich nach meinem Eintritt bei DuPont getätigt habe.“

Die einzigartige Technologie von Recorded Future sammelt und analysiert riesige Datenmengen, um relevante Erkenntnisse in Echtzeit zu liefern. Dadurch können Sicherheitsteams schnell eine Triage durchführen, automatisch Warnungen mit hoher Priorität identifizieren und auf einfache Weise eine beispiellose Bandbreite an Quellen und Beweisen für eine eingehendere Analyse durchsuchen. Nachdem das 24-köpfige globale Cyber-Bedrohungsteam von DuPont Recorded Future an Bord geholt hatte, erkannte es schnell, wie wichtig verwertbare Informationen sind, um seine Bedrohungsforschung zu verbessern und die Zyklen zu beschleunigen.

Stasio nennt zahlreiche Beispiele dafür, wie Recorded Future DuPont in die Lage versetzt hat, Gegner zu behindern. Zum Beispiel sagt er: „Ein gezielter Phishing-Angriff traf eines unserer Werke in Asien mit Formbook-Malware.“ Dank des Zugriffs auf die Recorded Future Intelligence Cards™ und der hervorragenden Notizen des Insikt-Teams konnten wir die Malware in einer Sandbox untersuchen und den Angriff auf einen kompromittierten Drittanbieter zurückführen – wodurch sich die Liste von 300 Anbietern schnell auf nur 2 eingrenzen ließ. Ohne Recorded Future wäre uns das nicht gelungen.“

In einem anderen Fall beauftragte das Team Recorded Future damit, ein hochentwickeltes Malware-Kit schnell zu identifizieren und auszuschalten und den Erfolg an die Geschäftsleitung weiterzuleiten. „Die Möglichkeit, tiefer in die Materie einzutauchen und professionelle Berichte zu erstellen, die risikobasierte Erkenntnisse auf hohem Niveau liefern und von einer angesehenen akademischen Gruppe unterstützt werden, ist sehr leistungsstark“, sagt er.

Das Team stützt sich auch auf Bedrohungsinformationen, um das Sicherheitslückenmanagement zu rationalisieren und zu rechtfertigen. „Es ist sehr schwierig, die IT-Abteilung dazu zu bringen, die Infrastruktur auch nur für eine Minute für einen Patch herunterzufahren“, sagt Stasio. „Recorded Future ermöglicht es uns, die Sicherheitslücken zu priorisieren, die ein echtes Risiko darstellen, sodass wir sagen können: ‚Von diesen 10.000 Sicherheitslücken müssen wir uns wirklich auf diese 10 konzentrieren.‘“

Resultate

Stasio kann den Erfolg seines Teams mit Recorded Future quantifizieren. „Indem wir Bedrohungsinformationen einsetzten, um den Schweregrad und den Kontext von Bedrohungen zu verstehen, konnten wir unsere durchschnittliche Reaktionszeit um den Faktor 10 reduzieren.“

Er fährt fort: „Ich betrachte die Reaktion auf Vorfälle in drei Schritten. Der erste Schritt besteht darin, zu bestätigen oder zu verneinen, dass ein Problem vorliegt. Der zweite Schritt besteht darin, den Umfang und die Größenordnung zu bestimmen. Und der letzte Schritt besteht darin, die Situation zu beheben und zur Normalität zurückzukehren. Um zu bestätigen oder zu verneinen, dass es sich um ein falsches Positiv handelt, sind Bedrohungsinformationen absolut unerlässlich. Sie können nichts anderes tun, bis Sie bestätigen, dass es sich wirklich um ein Problem handelt und es in einen Kontext einbetten. Ist dies nur eine zufällige Drive-by-Malware oder handelt es sich um eine fortgeschrittene, persistente Bedrohung, die versucht, in mein Netzwerk einzudringen? Und bestimmt, wie man darauf reagiert, wie viel Zeit man darauf verwendet und wie viel Mühe man in eine bestimmte Warnung investiert. „Bedrohungsinformationen sind Dreh- und Angelpunkt dieses gesamten Prozesses.“

Mit Blick auf die Zukunft

DuPont hat Büros und Produktionsstätten in Asien, Europa und den USA sowie SCADA-Netzwerke in seinen Forschungszentren und Anlagen. Bei so vielen physischen und digitalen Vermögenswerten auf der ganzen Welt ist Automatisierung entscheidend, um sich vor neu auftretenden Bedrohungen in großem Maßstab zu schützen und darauf zu reagieren. Während das Team seine Automatisierungsbemühungen weiterentwickelt, plant Stasio, die Bedrohungsinformationen von Recorded Future direkt in die Automatisierungstools zu integrieren, die sein Team bereits verwendet, um eine bessere und schnellere Entscheidungsfindung zu ermöglichen – ohne die Arbeitsabläufe zu stören.