Hughes Federal Credit Union More Than Doubles Team Capacity Without Adding Headcount

Hughes Federal Credit Union's Cybersecurity Manager Judy Mayoral recognized her small team needed more than manual research and vendor documentation to make fully informed security decisions, leading her to discover Recorded Future's real-time intelligence.

Goal

Gain accurate, widely sourced insights faster and empower the small security team to stay nimble as the organization expands quickly with numerous vendor relationships.

Herausforderung

Hughes lacked reliable security intelligence to prioritize what matters as fast-paced growth overwhelmed the small team. Vendor evaluation relied on gut instinct. They couldn't see stability, risk exposure, or whether vendor information appeared on the dark web without Recorded Future.

Ergebnis

Third-Party Intelligence provides numerical cyber-risk scores, revealing compromised historical vendors. IBM QRadar integration enriches SIEM data with risk scores and customized alerts. Brand Intelligence detects 6 annual typosquatting domains and suspicious BINs before fraud occurs. Vulnerability Intelligence prioritizes patches days before NVD publication while Analyst on Demand delivers board-ready reports.

Die Hughes Federal Credit Union wurde ursprünglich 1952 gegründet und betreut die Gemeinde Tucson in Arizona. Sie hat heute mehr als 166.000 Mitglieder und ein Vermögen von über 1,9 Mrd. USD.

Hughes verfügt über ein relativ kleines Sicherheitsteam, bestehend aus der Cybersicherheit Managerin Judy Mayoral, der Vizepräsidentin für Cybersicherheit und einem Sicherheitsanalysten. Dies bedeutet, dass ein Großteil der praktischen Arbeit von Mayoral und dem Analysten durchgeführt wird. Das schnelle Wachstum des Unternehmens veranlasste das Sicherheitsteam, nach einer Lösung zu suchen, die ihnen zuverlässige Sicherheitsinformationen liefert, um ihnen bei der Priorisierung der wichtigen Aspekte zu helfen. Das Team wandte sich an die Recorded Future Intelligence Platform, um die riesige Menge und Vielfalt der Daten, die täglich einströmen, effizienter zu durchforsten.

Der Einsatz der Lösung hat sich für die Organisation als großer Gewinn erwiesen, wie Mayoral betont: „Recorded Future ist von unschätzbarem Wert, da es uns hilft festzustellen, ob es sich um eine akute oder eine vergangene Bedrohung handelt, ob wir sie priorisieren oder ihr weniger Bedeutung beimessen sollten." Wir nutzen es auch zu Recherchezwecken, etwa bei der Lieferantenauswahl und -verwaltung. Da das Unternehmen weiterhin schnell expandiert, müssen wir sicherstellen, dass wir agil bleiben und den Überblick behalten – und Recorded Future ermöglicht uns dies.“

Genaue Bewertung von Lieferantenrisiken

Die Hughes Federal Credit Union unterhält zahlreiche Lieferantenbeziehungen. Ein Kernstück des Geschäfts der Organisation ist die Zusammenarbeit mit Autohäusern, die Kundenkäufe über die Kreditgenossenschaft finanzieren möchten. Tatsächlich macht dies etwa 70 % ihres Geschäfts aus. Abgesehen von mit Autokrediten verbundenen Einheiten arbeitet Hughes mit Lösungsanbietern, Anbietern von Verwaltungssoftware und Technikanbietern wie Cisco und IBM zusammen. Darüber hinaus bewertet die Credit Union auch Unternehmen, mit denen sie fusionieren oder die sie übernehmen möchte.

As Hughes identifies new vendors they want to work with, they strive to do appropriate due diligence. “Much of our time is spent making educated, risk-based decisions regarding vendor contracts.” remarks Mayoral. “This is where we lean on Recorded Future.”

Vor Recorded Future wurde der Anbieterevaluierungsprozess größtenteils durch Bauchgefühl oder Vertrauen geleitet. Wenn ein Anbieter Hughes kontaktierte, lernte die Kreditgenossenschaft ihn kennen, verschaffte sich einen Eindruck von dessen Geschäft und prüfte die Dokumentation des Security Operations Center (SOC) oder das Due-Diligence-Paket. Auf Grundlage dieser Informationen entschied die Kreditgenossenschaft die nächsten. Dies umfasst die Möglichkeit, einen Dritten mit einer quantitativen Risikobewertung zu beauftragen, eine Geschäftsbeziehung zu initiieren oder von einer Geschäftsbeziehung Abstand zu nehmen.

„Was uns bei der Bewertung von Anbietern fehlte, waren Daten über die Stabilität des Unternehmens und das Risiko, dem sie ausgesetzt sind. Als wir anfingen, Recorded Future wirklich zu nutzen, stellten wir fest, dass einige Anbieter, mit denen wir in der Vergangenheit Geschäfte gemacht haben, ein hohes Risiko darstellten und kompromittiert waren. Wir haben beispielsweise festgestellt, dass sich ihre Informationen im Dark Web befanden. Ohne die Erkenntnisse von Recorded Future hätten wir das nicht gewusst. Jetzt können wir feststellen, ob der Anbieter Sicherheitsprobleme hatte, die öffentlich bekannt gemacht oder im Dark Web aufgedeckt wurden", sagt sie.

Das Third-Party-Modul von Recorded Future weist Anbietern, Partnern und anderen Dritten einen numerischen Cyber-Risiko-Score zu, wodurch das Rätselraten wegfällt. Mayoral beobachtet ständig die Anbieter, mit denen Hughes Geschäfte macht, und sucht nach Verstößen, potenziellen Sicherheitslücken, Ransomware, kompromittierten Anmeldedaten und anderen Sicherheitsproblemen.

Für wichtige Lieferanten oder Dienstleister, die direkten Zugriff auf die Hughes-Umgebung haben und im Falle einer Kompromittierung ein Risiko für das Unternehmen darstellen würden, verwendet Mayoral Recorded Future, um deren Benutzernamen zu verfolgen. Wenn ihr Team diese Benutzernamen im Dark Web sieht, benachrichtigen sie die Anbieter, damit sie weitere Untersuchungen und Behebungen durchführen können.

„Wenn Recorded Future uns darauf hinweist, dass es ein Problem gibt, ist das in der Regel ein Indikator dafür, dass wir keine Geschäfte mit dem Anbieter machen sollten oder dass wir bei der Zusammenarbeit mit ihm besondere Vorsichtsmaßnahmen ergreifen müssen“, erklärt sie.

Vulnerability Management erweitert Lieferantenprofile

Durch die Nutzung von Vulnerability Intelligence von Recorded Future können Mayoral und ihr Team feststellen, ob die Lieferanten und Partner der Kreditgenossenschaft anfällig für Zero-Day-Angriffe oder andere Bedrohungen sind. Recorded Future nutzt maschinelles Lernen, um Sicherheitslücken anhand ihrer Ausnutzungswahrscheinlichkeit zu bewerten, basierend auf Echtzeitdaten aus offenen Quellen, dem Dark Web und technischen Quellen. Dies ermöglicht es Mayoral und ihrem Team, Sicherheitslücken zu priorisieren und darauf zu reagieren, noch bevor sie in der U.S. National Vulnerability Database (NVD) veröffentlicht werden.

Die im Dezember 2021 entdeckte Schwachstelle in Apache Log4j ist ein klares Beispiel für eine Zero-Day-Sicherheitslücke, die zahlreiche Unternehmen in verschiedenen Branchen beeinträchtigt hat. Sie gibt Angreifern die Möglichkeit, ein System zu übernehmen, um Malware zu installieren, Nutzlasten auszuführen, Daten zu stehlen oder das System zu beschädigen. Glücklicherweise war Hughes gut gegen Log4j gepuffert, sodass das Unternehmen nicht wie viele andere Organisationen betroffen war, aber die Kreditgenossenschaft war besorgt, dass Dritte zu Opfern werden könnten.

„Recorded Future bietet uns umfangreiche Berichterstattung und Tools, um festzustellen, ob Geschäftspartner, mit denen wir zusammenarbeiten, anfällig für Log4j-Angriffe sind.“ „Darüber hinaus helfen sie uns, andere Indicators of Kompromiss (IoCs) zu entdecken und festzustellen, ob Gegner uns ins Visier nehmen oder angreifen“, sagt sie.

Die SIEM-Integration bereichert den Kontext und macht Informationen besser zugänglich.

Ein wichtiger Vorteil des Recorded Future SecOps Intelligence Moduls ist, dass es sich nahtlos Security QRadar von IBM integrieren lässt, eine SIEM-Lösung (Security Information and Event Management), die bei Hughes implementiert wurde. Recorded Future speist Echtzeitinformationen in QRadar ein und liefert Mayoral und ihrer Analystin die Informationen, die sie benötigen, um schnelle und sichere Entscheidungen zu treffen.

Wie Mayoral es ausdrückt, „sieht“ Recorded Future die Außenwelt und hilft Hughes, sich auf mögliche Bedrohungen vorzubereiten. Durch die Zusammenführung von QRadar und Recorded Future konnten Mayoral und ihr Team den gesamten Datensatz im SIEM anreichern. Die Integration von SecOps Intelligence mit QRadar reichert SIEM-Daten mit Risikobewertungen an, die den Kontext für das tatsächliche Risiko liefern, das mit der Ausnutzung jeder Common Vulnerabilities and Exposure (CVE) verbunden ist. Die Risiko-Scores von Recorded Future ergänzen die CVSS-Scores, um Mayoral und ihrem Team zu helfen, die wichtigsten Sicherheits-Patches basierend auf der Wahrscheinlichkeit, dass eine Sicherheitslücke ausgenutzt wird, zu priorisieren.

Dank der Integration können Mayoral und ihr Team individuelle Warnungen erstellen. „Wenn beispielsweise interne Benutzer Websites besuchen, die zwar durch unsere Firewall zugelassen sind, Recorded Future aber anzeigt, dass diese URLs ein hohes Risiko aufweisen, werden wir benachrichtigt.“ Auf diese Weise können wir erkennen, dass es ein Problem mit einer Website geben könnte, und unsere Warnmeldungen feinabstimmen. So haben wir einen guten Überblick darüber, was unsere Mitarbeiter tun und was unsere Anwendungen tun – und das hilft uns, beides besser zu schützen“, erklärt Mayoral.

Auch Mitarbeiter außerhalb des Sicherheitsteams von Mayoral profitieren von der Bereicherung, die Recorded Future bietet. So nutzt das Infrastrukturteam beispielsweise die Anleitung der Recorded Future-Daten in QRadar, wenn es Sicherheits-Patches durchführt.

More people in the organization can be touched by or can get the benefit of the intelligence just by virtue of having this integration. This makes the data understandable to them.

Mayoral assists users with due diligence or vendor management program processes by using the Third-Party Intelligence Module to look up company risk scores.

Recorded Future hat Mayoral und ihrem Team geholfen, als vertrauenswürdige und hilfreiche Vermittler zu fungieren. Sie waren erfolgreich in ihren Bemühungen, die Sichtweise der Mitarbeiter auf Sicherheit bei Hughes zu ändern. Die Benutzer haben verstanden, dass ihr Team die Sicherheit nicht als Hindernis für Prozesse betrachtet. Mayoral hat die Herzen und Köpfe der Mitarbeiter so sehr gewonnen, dass diese nun gewissenhaft Probleme wie bösartige Websites oder Social-Engineering-Phishing-E-Mails an ihr Team melden.

Automatisierung führt zur Erweiterung der Teamfähigkeiten

Wie Mayoral feststellt: „Recorded Future hat die Kapazität und Effektivität meines Teams mehr als verdoppelt.“

Recorded Future SecOps Intelligence provides ready-to-use, high-confidence threat data eliminating the need to perform manual research. Armed with real-time risk scores and indicators of compromise (IoCs), her team can quickly eliminate false positives, prioritize alerts, and do deeper investigations followed by triage where required.

Recorded Future Vulnerability Intelligence hat auch Prozesse automatisiert. Früher war die Überprüfung von Sicherheitslücken-Scans eine äußerst zeitaufwändige Angelegenheit. Das Team von Mayoral musste jedes einzelne CVE in Verbindung mit den gescannten kritischen Assets, wie Firewalls und Microsoft Windows-Tools, überprüfen. Recorded Future ordnet CVEs den zugehörigen Assets zu, so dass Sie leicht erkennen können, welche CVEs für ein bestimmtes Asset ein hohes Risiko darstellen könnten.

„Recorded Future erledigt einen Großteil der Arbeit für uns. Ich muss nicht jedes einzelne CVE untersuchen und sein Risiko oder die Wahrscheinlichkeit einer Ausnutzung bestimmen. Und da die CVE- und Risikostufe mit dem Vermögenswert verknüpft ist, kann ich entscheiden, ob es notwendig ist, Maßnahmen zu ergreifen oder nicht. Auf diese Weise verschwenden wir keine Zeit mit der Entscheidung, ob eine Sicherheitslücke etwas ist, worauf wir achten müssen, je nachdem, von welchem Asset sie ausgeht“, sagt Mayoral.

Additionally, the depth and breadth of intelligence in Recorded Future helps the team more quickly and easily pinpoint risky sites. Rather than manually filtering through dozens of websites, they simply enter the URL into Recorded Future and immediately get a risk score.
“When we do have an incident or need to research something, we're able to have one person handle the issue. And this individual doesn’t have to be skilled in multiple different systems.

They only need to understand IBM Security QRadar, which gets all of the Recorded Future intelligence and delivers context and helps connect the dots. We can then make educated decisions as to whether something is actionable or a false positive—and that allows us to better prioritize our time.”