Anwendungsfall:

Nutzt Intelligenz, um schneller genauere Erkenntnisse aus vielfältigen Quellen zu gewinnen und sein Team zu befähigen, in kürzerer Zeit mehr zu leisten.

Herausforderung:

Vor der Nutzung von Recorded Future basierten geschäftskritische Entscheidungen und Sicherheitsmaßnahmen auf unvollständiger manueller Recherche, Instinkt und Vertrauen.

Lösung: Recorded Future Intelligence Platform:

• Brand Intelligence
• SecOps Intelligence mit SIEM-Integration: IBM Security QRadar
• Third-Party Intelligence
• Vulnerability Intelligence
• Threat Intelligence
• Analyst-on-Demand (AOD) Services

Ergebnisse:

• Erhöht die Kapazität des Sicherheitsteams erheblich, ohne zusätzliche Mitarbeiter einzustellen.
• Bewertet Lieferanten und andere Dritte präzise hinsichtlich des tatsächlichen Sicherheitsrisikos.
• Unterstützt die Hughes Federal Credit Union und ihre Partner/Lieferanten bei der Behebung von Sicherheitslücken mit hohem Ausnutzungsrisiko.
• Integriert sich in deren SIEM, IBM Security QRadar, um priorisierte Triage, verbesserte Bedrohungskorrelationen und erweiterte Untersuchungen zu ermöglichen.
• Hilft, die Marke und die Reputation der Kreditgenossenschaft vor Missbrauch und Urheberrechtsverletzungen zu schützen.
• Bildet ein starkes Fundament für eine echte Sicherheitskultur, die auf vertrauenswürdigen Echtzeitdaten aus verschiedenen Quellen basiert, anstatt dass die Sicherheit den Unternehmenszielen im Wege steht.

Echtzeitinformationen aus verschiedenen externen Quellen führen zu fundierteren Geschäftsentscheidungen und gezielten Maßnahmen.

Überblick

Die Hughes Federal Credit Union wurde ursprünglich 1952 gegründet und betreut die Gemeinde Tucson in Arizona. Sie hat heute mehr als 166.000 Mitglieder und ein Vermögen von über 1,9 Mrd. USD.

Hughes verfügt über ein relativ kleines Sicherheitsteam, bestehend aus der Cybersicherheit Managerin Judy Mayoral, der Vizepräsidentin für Cybersicherheit und einem Sicherheitsanalysten. Dies bedeutet, dass ein Großteil der praktischen Arbeit von Mayoral und dem Analysten durchgeführt wird. Das schnelle Wachstum des Unternehmens veranlasste das Sicherheitsteam, nach einer Lösung zu suchen, die ihnen zuverlässige Sicherheitsinformationen liefert, um ihnen bei der Priorisierung der wichtigen Aspekte zu helfen. Das Team wandte sich an die Recorded Future Intelligence Platform, um die riesige Menge und Vielfalt der Daten, die täglich einströmen, effizienter zu durchforsten.

Der Einsatz der Lösung hat sich für die Organisation als großer Gewinn erwiesen, wie Mayoral betont: „Recorded Future ist von unschätzbarem Wert, da es uns hilft festzustellen, ob es sich um eine akute oder eine vergangene Bedrohung handelt, ob wir sie priorisieren oder ihr weniger Bedeutung beimessen sollten." Wir nutzen es auch zu Recherchezwecken, etwa bei der Lieferantenauswahl und -verwaltung. Da das Unternehmen weiterhin schnell expandiert, müssen wir sicherstellen, dass wir agil bleiben und den Überblick behalten – und Recorded Future ermöglicht uns dies.“

Genaue Bewertung von Lieferantenrisiken

Die Hughes Federal Credit Union unterhält zahlreiche Lieferantenbeziehungen. Ein Kernstück des Geschäfts der Organisation ist die Zusammenarbeit mit Autohäusern, die Kundenkäufe über die Kreditgenossenschaft finanzieren möchten. Tatsächlich macht dies etwa 70 % ihres Geschäfts aus. Abgesehen von mit Autokrediten verbundenen Einheiten arbeitet Hughes mit Lösungsanbietern, Anbietern von Verwaltungssoftware und Technikanbietern wie Cisco und IBM zusammen. Darüber hinaus bewertet die Credit Union auch Unternehmen, mit denen sie fusionieren oder die sie übernehmen möchte.

Wenn Hughes neue Anbieter identifiziert, mit denen sie zusammenarbeiten möchten, ist das Unternehmen bestrebt, eine angemessene Due Diligence durchzuführen. „Einen Großteil unserer Zeit verbringen wir damit, fundierte, risikobasierte Entscheidungen in Bezug auf Lieferantenverträge zu treffen,“ bemerkte Mayoral. „Hier bauen wir uns auf Recorded Future.“

Vor Recorded Future wurde der Anbieterevaluierungsprozess größtenteils durch Bauchgefühl oder Vertrauen geleitet. Wenn ein Anbieter Hughes kontaktierte, lernte die Kreditgenossenschaft ihn kennen, verschaffte sich einen Eindruck von dessen Geschäft und prüfte die Dokumentation des Security Operations Center (SOC) oder das Due-Diligence-Paket. Auf Grundlage dieser Informationen entschied die Kreditgenossenschaft die nächsten. Dies umfasst die Möglichkeit, einen Dritten mit einer quantitativen Risikobewertung zu beauftragen, eine Geschäftsbeziehung zu initiieren oder von einer Geschäftsbeziehung Abstand zu nehmen.

„Was uns bei der Bewertung von Anbietern fehlte, waren Daten über die Stabilität des Unternehmens und das Risiko, dem sie ausgesetzt sind. Als wir anfingen, Recorded Future wirklich zu nutzen, stellten wir fest, dass einige Anbieter, mit denen wir in der Vergangenheit Geschäfte gemacht haben, ein hohes Risiko darstellten und kompromittiert waren. Wir haben beispielsweise festgestellt, dass sich ihre Informationen im Dark Web befanden. Ohne die Erkenntnisse von Recorded Future hätten wir das nicht gewusst. Jetzt können wir feststellen, ob der Anbieter Sicherheitsprobleme hatte, die öffentlich bekannt gemacht oder im Dark Web aufgedeckt wurden", sagt sie.

Das Third-Party-Modul von Recorded Future weist Anbietern, Partnern und anderen Dritten einen numerischen Cyber-Risiko-Score zu, wodurch das Rätselraten wegfällt. Mayoral beobachtet ständig die Anbieter, mit denen Hughes Geschäfte macht, und sucht nach Verstößen, potenziellen Sicherheitslücken, Ransomware, kompromittierten Anmeldedaten und anderen Sicherheitsproblemen.

Für wichtige Lieferanten oder Dienstleister, die direkten Zugriff auf die Hughes-Umgebung haben und im Falle einer Kompromittierung ein Risiko für das Unternehmen darstellen würden, verwendet Mayoral Recorded Future, um deren Benutzernamen zu verfolgen. Wenn ihr Team diese Benutzernamen im Dark Web sieht, benachrichtigen sie die Anbieter, damit sie weitere Untersuchungen und Behebungen durchführen können.

„Wenn Recorded Future uns darauf hinweist, dass es ein Problem gibt, ist das in der Regel ein Indikator dafür, dass wir keine Geschäfte mit dem Anbieter machen sollten oder dass wir bei der Zusammenarbeit mit ihm besondere Vorsichtsmaßnahmen ergreifen müssen“, erklärt sie.

Vulnerability Management erweitert Lieferantenprofile

Durch die Nutzung von Vulnerability Intelligence von Recorded Future können Mayoral und ihr Team feststellen, ob die Lieferanten und Partner der Kreditgenossenschaft anfällig für Zero-Day-Angriffe oder andere Bedrohungen sind. Recorded Future nutzt maschinelles Lernen, um Sicherheitslücken anhand ihrer Ausnutzungswahrscheinlichkeit zu bewerten, basierend auf Echtzeitdaten aus offenen Quellen, dem Dark Web und technischen Quellen. Dies ermöglicht es Mayoral und ihrem Team, Sicherheitslücken zu priorisieren und darauf zu reagieren, noch bevor sie in der U.S. National Vulnerability Database (NVD) veröffentlicht werden.

Die im Dezember 2021 entdeckte Schwachstelle in Apache Log4j ist ein klares Beispiel für eine Zero-Day-Sicherheitslücke, die zahlreiche Unternehmen in verschiedenen Branchen beeinträchtigt hat. Sie gibt Angreifern die Möglichkeit, ein System zu übernehmen, um Malware zu installieren, Nutzlasten auszuführen, Daten zu stehlen oder das System zu beschädigen. Glücklicherweise war Hughes gut gegen Log4j gepuffert, sodass das Unternehmen nicht wie viele andere Organisationen betroffen war, aber die Kreditgenossenschaft war besorgt, dass Dritte zu Opfern werden könnten.

„Recorded Future bietet uns umfangreiche Berichterstattung und Tools, um festzustellen, ob Geschäftspartner, mit denen wir zusammenarbeiten, anfällig für Log4j-Angriffe sind.“ „Darüber hinaus helfen sie uns, andere Indicators of Kompromiss (IoCs) zu entdecken und festzustellen, ob Gegner uns ins Visier nehmen oder angreifen“, sagt sie.

Die SIEM-Integration bereichert den Kontext und macht Informationen besser zugänglich.

Ein wichtiger Vorteil des Recorded Future SecOps Intelligence Moduls ist, dass es sich nahtlos Security QRadar von IBM integrieren lässt, eine SIEM-Lösung (Security Information and Event Management), die bei Hughes implementiert wurde. Recorded Future speist Echtzeitinformationen in QRadar ein und liefert Mayoral und ihrer Analystin die Informationen, die sie benötigen, um schnelle und sichere Entscheidungen zu treffen.

Wie Mayoral es ausdrückt, „sieht“ Recorded Future die Außenwelt und hilft Hughes, sich auf mögliche Bedrohungen vorzubereiten. Durch die Zusammenführung von QRadar und Recorded Future konnten Mayoral und ihr Team den gesamten Datensatz im SIEM anreichern. Die Integration von SecOps Intelligence mit QRadar reichert SIEM-Daten mit Risikobewertungen an, die den Kontext für das tatsächliche Risiko liefern, das mit der Ausnutzung jeder Common Vulnerabilities and Exposure (CVE) verbunden ist. Die Risiko-Scores von Recorded Future ergänzen die CVSS-Scores, um Mayoral und ihrem Team zu helfen, die wichtigsten Sicherheits-Patches basierend auf der Wahrscheinlichkeit, dass eine Sicherheitslücke ausgenutzt wird, zu priorisieren.

Dank der Integration können Mayoral und ihr Team individuelle Warnungen erstellen. „Wenn beispielsweise interne Benutzer Websites besuchen, die zwar durch unsere Firewall zugelassen sind, Recorded Future aber anzeigt, dass diese URLs ein hohes Risiko aufweisen, werden wir benachrichtigt.“ Auf diese Weise können wir erkennen, dass es ein Problem mit einer Website geben könnte, und unsere Warnmeldungen feinabstimmen. So haben wir einen guten Überblick darüber, was unsere Mitarbeiter tun und was unsere Anwendungen tun – und das hilft uns, beides besser zu schützen“, erklärt Mayoral.

Auch Mitarbeiter außerhalb des Sicherheitsteams von Mayoral profitieren von der Bereicherung, die Recorded Future bietet. So nutzt das Infrastrukturteam beispielsweise die Anleitung der Recorded Future-Daten in QRadar, wenn es Sicherheits-Patches durchführt.

Mehr Menschen im Unternehmen können von den Informationen profitieren oder von ihr erreicht werden, nur weil sie diese Integration haben. Dadurch werden die Daten für sie verständlich. Wenn sie einen hellroten Score von 78 von Recorded Future sehen, wissen sie, dass es ein Problem gibt, aber wenn der Score Null ist, müssen sie sich keine Sorgen machen", bemerkt Mayoral.

Eindämmung von Markenmissbrauch und Markenimitation

Nicht-technische Teams – wie etwa aus den Bereichen Finanzen, Betrieb und Marketing – nutzen regelmäßig die Recorded Future Brand Intelligence, die Informationen wie Domainregistrierungsdaten, Social-Media-Profile und schädliche Websites aus ihren vielen Quellen sammelt. Diese Funktion hilft Mayoral und ihrem Team, sofort durchgesickerte Anmeldedaten, Typosquat-Domains, Markenrechtsverletzungen und andere digitale Risiken aufzuspüren.

Irgendwann erhielt Mayoral eine Warnung von Recorded Future über verdächtige Bankidentifikationsnummern (BINs), die die ersten sechs Ziffern einer Kreditkartennummer angeben. Sie schaltete sofort das für Betrug zuständige Team ein, das feststellte, dass es sich bei diesen Kreditkarten um aktive Karten handelte, die gesperrt werden mussten. Sie haben sich diese Informationen genauer angesehen und sie mit ihrem eigenen Wissen angereichert. So konnten sie feststellen, dass diese Kreditkarten Teil eines größeren Verstoßes waren und im Dark Web veröffentlicht oder von Betrügern verwendet werden könnten. Indem sie alle Teile zusammenfügten, verhinderte das Betrugsoperationsteam, dass die betroffenen Mitglieder der Credit Union einen Betrug auf ihren Konten hatten.

Ebenso können Mayoral und ihr Team, wenn sie eine E-Mail-Adresse von einem Führungskräfte-Konto entdecken, die von Recorded Future im Dark Web gefunden wurde, sofort den Inhaber dieser E-Mail-Adresse veranlassen, seine Passwörter und Anmeldedaten zu ändern.

Die Marketingabteilung bei Hughes nutzt das Brand Intelligence Module auf verschiedene Weise und erleichtert dem Sicherheitsteam bei Bedarf Korrekturmaßnahmen. Zum Beispiel kann die Marketingabteilung mit Recorded Future Brand Intelligence sehen, wo die Marke verwendet wird und wie sie verwendet wird.

Laut Mayoral hat sich Brand Intelligence insbesondere bei Phishing-Seiten als sehr aufschlussreich erwiesen. „Wir können basierend auf den Benachrichtigungen und Warnungen von Recorded Future vorhersagen und erkennen, wann eine Phishing-Seite erstellt wird und wann Phishing-E-Mails eingehen“, bestätigt sie.

Darüber hinaus können Mayoral und ihr Team überprüfen, ob der Quellcode der Website der Kreditgenossenschaft von unbefugten Personen auf PasteBin kopiert wurde, einer Hosting-Seite, auf der Benutzer Texte für einen festgelegten Zeitraum online speichern und mit jedermann teilen können. Auch in diesem Fall können sie entscheiden, wie sie mit der Situation umgehen wollen.

„Wenn es sich um echtes Typosquatting handelt, nehme ich die Seite offline oder arbeite mit unseren Anbietern zusammen, um sie entfernen zu lassen. Handelt es sich hingegen nur um eine harmlose Markenrechtsverletzung, können wir die betreffende Person kontaktieren, damit sie die Angelegenheit selbst regeln kann“, erklärt Mayoral. „Recorded Future Brand Intelligence informiert uns außerdem darüber, wenn jemand in den sozialen Medien über uns spricht, da wir auch diese Warnungen erhalten.“ Wir können dann auf Kommentare reagieren, die negativ sind oder unserer Reputation schaden könnten.“

Vor Recorded Future hatte die Kreditgenossenschaft kaum einen über das Typosquatting. „Die Möglichkeit, Typosquat-Domains zu überwachen, hat uns sehr geschützt.“ Wir hatten so viele Website-Imitationen, dass wir handeln mussten. „Mit Recorded Future konnten wir etwa sechs Typosquatting-Domains pro Jahr aufdecken – etwas, das uns vorher nie möglich war“, bemerkt Mayoral.

Analysten von Recorded Future erweitern und ergänzen das Sicherheitsteam.

Um die Arbeit ihres Teams zu ergänzen, nutzt Mayoral regelmäßig den Analyst on Demand (AOD) Service von Recorded Future. Die hocherfahrenen Intelligence-Analysten von Recorded Future können tiefer in die Warnungen eintauchen, die in der Umgebung der Kreditgenossenschaft erscheinen, und Einblicke in Bedrohungen geben, die auf Finanzinstitute ähnlicher Größe und ähnlichen Umfangs abzielen, zusammen mit Anleitungen zur Vorfall Antwort, On-Demand-Flash-Anfragen für bestimmte Warnungen sowie regelmäßige Überprüfungen und Berichterstattung.

Im Rahmen der Erstellung von Berichten auf höchster Ebene für den Vorstand und den Cybersicherheitsausschuss ergänzt Mayoral die AOD-Berichte mit anderen Daten, die sie sammelt, z. B. mit den Ergebnissen von Phishing-Simulationstests. Sie präsentiert diese Daten den Führungskräften, um ihnen ein besseres Verständnis des Sicherheitsstatus des Unternehmens zu ermöglichen und fundierte Entscheidungen über Budget- und Ressourcenzuweisungen zu treffen.

„Recorded Future stellt unser tatsächliches Risiko dar, das mit unserem akzeptablen Risiko verglichen werden kann.“ Das hilft uns, die Zustimmung zu gewinnen, wenn wir die Ausgabe von Mitteln für zusätzliche Ressourcen, wie z. B. Personal oder neue Tools, rechtfertigen müssen“, versichert Mayoral.

Förderung eines Sicherheitsbewusstseins

Hughes setzt sich dafür ein, das Sicherheitsbewusstsein aller Mitarbeiter zu stärken, und Mayoral spielt dabei eine wichtige Rolle. Sie führt jährliche Schulungen für alle Mitarbeiter durch und konzentriert sich besonders auf Neueinstellungen, um sicherzustellen, dass jeder versteht, wie wichtig die Sicherheit ist und wie wichtig es ist, alles Verdächtige zu melden. Sie erweitert ihren Lehrplan mit den Webinhalten und Webinaren von Recorded Future zu Ransomware und anderen Bedrohungen.

Im Alltag bietet sie den Mitarbeitern praktische Informationen darüber, warum eine bestimmte Website gesperrt wird, unterstützt durch Risikobewertungen von Recorded Future. Oft müssen die Mitarbeiter auf verschiedenen Websites nicht nur nach Händlern, sondern auch nach bestimmten Fahrzeugmarken und -modellen recherchieren, um die richtige Finanzierung sicherzustellen. Manchmal führt dies zu einem Besuch auf einer bösartigen Website. Recorded Future erweist sich in solchen Fällen als sehr nützlich, da es dem Sicherheitsteam Warnungen liefert, sodass sie die betreffenden URLs blockieren können.

„Wenn eine Website nicht abrufbar ist, kann ich den Benutzern zeigen, dass sie eine hohe Risikobewertung von 79 von 100 hat und dafür bekannt ist, dass ihr Phishing oder Malware zugeordnet sind. Auf diese Weise kann ich eine Rechtfertigung für das, was wir tun, anbieten. Und wir können dasselbe auch mit Lieferanten tun, wenn ein Benutzer eine Geschäftsbeziehung mit einem bestimmten Unternehmen aufbauen möchte“, berichtet sie.

Sie unterstützt Anwender bei Due-Diligence-Prüfungen oder Lieferantenmanagementprogrammen, indem sie mithilfe des Third-Party Intelligence Moduls die Risikobewertungen von Unternehmen abruft.

Recorded Future hat Mayoral und ihrem Team geholfen, als vertrauenswürdige und hilfreiche Vermittler zu fungieren. Sie waren erfolgreich in ihren Bemühungen, die Sichtweise der Mitarbeiter auf Sicherheit bei Hughes zu ändern. Die Benutzer haben verstanden, dass ihr Team die Sicherheit nicht als Hindernis für Prozesse betrachtet. Mayoral hat die Herzen und Köpfe der Mitarbeiter so sehr gewonnen, dass diese nun gewissenhaft Probleme wie bösartige Websites oder Social-Engineering-Phishing-E-Mails an ihr Team melden.

Automatisierung führt zur Erweiterung der Teamfähigkeiten

Wie Mayoral feststellt: „Recorded Future hat die Kapazität und Effektivität meines Teams mehr als verdoppelt.“

Recorded Future SecOps Intelligence bietet sofort einsatzbereite, hochzuverlässige Bedrohungsdaten und eliminiert die Notwendigkeit manueller Recherchen. Ausgestattet mit Echtzeit-Risikobewertungen und Indikatoren für Kompromisse (IoCs) kann ihr Team Fehlalarme schnell ausschließen, Warnungen priorisieren und tiefere Untersuchungen durchführen, gefolgt von einer Triage, wenn erforderlich.

Recorded Future Vulnerability Intelligence hat auch Prozesse automatisiert. Früher war die Überprüfung von Sicherheitslücken-Scans eine äußerst zeitaufwändige Angelegenheit. Das Team von Mayoral musste jedes einzelne CVE in Verbindung mit den gescannten kritischen Assets, wie Firewalls und Microsoft Windows-Tools, überprüfen. Recorded Future ordnet CVEs den zugehörigen Assets zu, so dass Sie leicht erkennen können, welche CVEs für ein bestimmtes Asset ein hohes Risiko darstellen könnten.

„Recorded Future erledigt einen Großteil der Arbeit für uns. Ich muss nicht jedes einzelne CVE untersuchen und sein Risiko oder die Wahrscheinlichkeit einer Ausnutzung bestimmen. Und da die CVE- und Risikostufe mit dem Vermögenswert verknüpft ist, kann ich entscheiden, ob es notwendig ist, Maßnahmen zu ergreifen oder nicht. Auf diese Weise verschwenden wir keine Zeit mit der Entscheidung, ob eine Sicherheitslücke etwas ist, worauf wir achten müssen, je nachdem, von welchem Asset sie ausgeht“, sagt Mayoral.

Darüber hinaus hilft die Tiefe und Breite der Informationen in Recorded Future dem Team, risikobehaftete Websites schneller und einfacher zu identifizieren. Anstatt Dutzende von Websites manuell zu filtern, geben sie einfach die URL in Recorded Future ein und erhalten sofort eine Risikobewertung.

„Wenn wir einen Vorfall haben oder etwas recherchieren müssen, kann sich eine Person um die Angelegenheit kümmern.“ Und diese Person muss nicht in mehreren verschiedenen Systemen bewandert sein. Sie müssen nur IBM Security QRadar verstehen, das alle Informationen von Recorded Future erhält, Kontext liefert und hilft, die Punkte zu verbinden. „Wir können dann fundierte Entscheidungen darüber treffen, ob etwas verwertbar ist oder ein falsches Positiv – und das erlaubt uns, unsere Zeit besser zu priorisieren.“