Visma Empowers 170 Autonomous Companies with Intelligence-Led Security Program

Visma's CSO Espen Johansen considered building an in-house cyber threat intelligence platform until he discovered Recorded Future's depth of open source intelligence, data collection, and analysis—capabilities his team couldn't replicate without extensive effort and time.

Goal

Gain actionable insights, analytics, and automation to drive scale and agility across 170 autonomous companies while curating threat intelligence for incident response, threat hunting, and vulnerability management.

Herausforderung

Visma needed to curate threat intelligence that could drive incident response, threat hunting, and vulnerability management across multiple teams and regions operating autonomously. The federation structure required delivering tactical and operational expertise laterally across applications, infrastructure, solutions, and people—not through top-down mandates.

Ergebnis

Recorded Future detected a targeted APT10 cyberespionage campaign at exfiltration, enabling Visma to prevent client data compromise and publish attribution analysis for industry defense. Intelligence now informs M&A due diligence reports, detects infostealers and exposed code on GitHub, and delivers geopolitical context during the Russia-Ukraine crisis to leadership across Finnish, Polish, and Romanian operations.

Intelligence Cloud Equips 170 Autonomous Teams with Actionable Threat Insights

Mit Hauptsitz in Norwegen ist Visma ein Verbund von 170 Einzelunternehmen, die von gemeinsamer Infrastruktur, Dienstleistungen und Unterstützung bei der Geschäftsentwicklung profitieren. Die 14.000 Mitarbeiter des Unternehmens stellen sichere, innovative Softwarelösungen für mehr als 1,5 Millionen Kunden in Europa und Lateinamerika bereit.

CSO Espen Johansen holte Recorded Future zunächst an Bord, um verwertbare Erkenntnisse, Analysen und Automatisierungsfähigkeiten durch Intelligenz zu gewinnen, um Skalierbarkeit und Agilität zu fördern. Johansen erinnert sich daran, wie er die Strategie seines Teams änderte, nachdem er die Leistungsfähigkeit der Intelligence Cloud aus erster Hand erlebt hatte.

„Wir hatten überlegt, eine eigene Plattform für Bedrohungsinformationen aufzubauen“, sagt er, „aber nachdem wir Recorded Future und die Tiefe ihrer Open-Source-Intelligence, Datenerfassung und -analyse kennengelernt hatten, war klar, dass wir ohne großen Aufwand und viel Zeit keinen besseren Service für unsere Bereitstellungsteams entwickeln könnten.“ Catalin Curelaru, Manager des Security Operations und des Cyber Threat Intelligence (CTI) von Visma, der auf der Intelligence Cloud von Recorded Future basiert, sagt, dass das Team die von Recorded Future bereitgestellten umsetzbaren Informationen an die zahlreichen Mitgliedsunternehmen weitergibt.

„Im Grunde genommen unterstützt unser Team unsere Portfoliounternehmen durch das Visma Sicherheitsprogramm, durch unseren CTI-Service, der Überwachungsfunktionen bietet, und durch die Bereitstellung von taktischem und operativem Fachwissen durch einige Sicherheitsanalysten“, erklärt er. „Wir bieten Sicherheitsservices über viele Teams hinweg an - es ist kein Top-Down-Ansatz - wir arbeiten ganzheitlich und bedienen Bereiche wie Anwendungen, Infrastruktur, Lösungen und Mitarbeiter.“

Neben der Unterstützung bei der Verhinderung von Angriffen spielen die Erkenntnisse, Analysen und Automatisierungen, die Visma von Recorded Future erhält, eine entscheidende Rolle bei der Weiterentwicklung des Sicherheitsprogramms selbst. Curelaru fügt hinzu: „Wir haben CTI vor ein paar Jahren mit dem Schwerpunkt Produktsicherheit eingeführt, jetzt entwickeln wir Dienste, um andere Bereiche wie Infrastruktursicherheit und Informationen zu Schwachstellen zu unterstützen.“

Einsatz von verwertbaren Informationen und Bedrohungsforschung angesichts eines gezielten Angriffs

Kurz nach der Integration von Recorded Future erlebte Visma einen gezielten Cyberangriff. „Es begann etwa sieben Tage, vor dem eigentlichen Angriff“, erinnert sich Johansen an die Kampagne, die mit einer Command-and-Control-Domain begann, gefolgt von Phishing-Angriffen auf Mitarbeiter, Credential-Stuffing und dem Kompromiss eines alten Citrix-Servers. Mit gestohlenen Anmeldedaten erhöhten die Eindringlinge ihre Privilegien, bewegten sich seitlich und exfiltrierten dann den Active Directory Hive.

Mit der Hilfe von Recorded Future blieben sie nicht unbemerkt. „Wir entdeckten den Angriff zum Zeitpunkt der Exfiltration und starteten sofort Blue-Team-Bemühungen, um die zweite Welle vorzubereiten und zu stoppen – das eigentliche Ziel des Angriffs“, sagt Johansen. „Durch bestehende Sicherheitsprogramme, die koordinierte Antwort unserer Sicherheitsteams und die gute Beratung unserer Partner konnten wir verhindern, dass Kundendaten beeinträchtigt wurden.“

Die Insikt Group von Recorded Future analysierte den Einbruch und stellte fest, dass die Cyber-Spionagekampagne von dem chinesischen, staatlich geförderten Bedrohungsakteur APT10 durchgeführt wurde. „Wie es der Zufall wollte, konnte ich Recorded Future anrufen, denen ich vertraute, damit sie den Vorfall genauer untersuchen, zusätzliche Informationen zu sammeln und eine korrekte Zuordnung sicherzustellen“, erinnert sich Johansen und fügt hinzu, dass das Team mit Recorded Future zusammengearbeitet hat, um eine eingehende Analyse des Angriffs zu veröffentlichen, damit andere Teams die Bedrohung abwehren können.

„Der Recorded Future-Bericht enthält Indikatoren für Kompromisse und Methoden, die andere Menschen lesen können“, erklärt das CSO. „Sie können lernen, wie dieser Akteur im Detail arbeitet, und dann ihre eigene Verteidigung vorbereiten.“ „Wenn Sie diese Geschichten nicht teilen, berauben Sie die Öffentlichkeit der Möglichkeit, sich selbst zu verteidigen.“

Die automatisierte Bedrohungsüberwachung beschleunigt die Problemlösung. Sicherheitsanalysten im Visma-Ökosystem verlassen sich routinemäßig auf die Intelligence Cloud, um Risiken aus ihrer dynamischen Bedrohungslandschaft zu erkennen. Durch die einfache Anpassung von Überwachungslisten und Warnungen kann das Visma-Team Aktivitäten im Dark Web, feindliche Markenerwähnungen, Typosquatting, Gespräche über bevorstehende Angriffe und Sicherheitslücken, die den gesamten Technologie-Stack von Visma betreffen, verfolgen.

„Wir integrieren viele Warnungen zu bestimmten Schlüsselwörtern, um potenzielle Ereignisse oder Vorfälle zu verhindern“, sagt Curelaru. „Die Alarmierung durch Recorded Future ist sehr hilfreich, insbesondere wenn wir nach sehr spezifischen operativen Informationen suchen, wie etwa Erwähnungen in verschiedenen Code-Repositories oder Foren.“

Der Teamleiter erinnert sich an eine Gelegenheit, als Recorded Future das Team auf öffentlich zugänglichen Code in einem GitHub-Repository aufmerksam machte und die Lösung schnell erfolgte. Verwertbare Intelligence beschleunigte auch die Abschwächung einer bedeutenden Sicherheitslücke in Microsoft Outlook, indem sie Kontext darüber lieferte, welche Visma-Unternehmen die beliebte E-Mail-Anwendung nutzten.

„Wir sind auch in der Lage, Infostealer aufzuspüren, die ersten Einstiegspunkte für Bösewichte und Cyber-Kriminelle“, sagt Curelaru. „Insgesamt macht Recorded Future einige sehr gute Entdeckungen, in die wir sonst keine Sichtbarkeit hätten.“

Bedrohungs- und Geopolitical Intelligence unterstützen M&A-Entscheidungen und das Onboarding.

Während Visma seine jahrzehntelange Wachstumsstrategie durch Fusionen und Übernahmen fortsetzt, bietet Recorded Future in jeder Phase Mehrwert. Curelaru sagt, dass die Module für Bedrohungs- und Geopolitical Intelligence strategische Entscheidungen über potenzielle Partner, Branchen und Gebiete informieren und gleichzeitig den Sicherheits-Onboarding-Prozess beschleunigen. „Wir nutzen Recorded Future, um eine Due-Diligence-Prüfung durchzuführen, wenn wir Unternehmen in der M&A-Phase bewerten, damit wir wissen, was uns erwartet“, erklärt er. „Wir erstellen Berichte, die zeigen, ob Unternehmen in der Vergangenheit Cybersicherheits-Vorfälle hatten und ob sie aus irgendeinem Grund versucht haben, diese Informationen unzugänglich zu machen.“

Nach der Einbindung von erworbenen Unternehmen bietet Visma Unterstützung, erlaubt jedoch den bestehenden Teams, autonom zu bleiben. „Wir betreuen unsere Unternehmen, die das zentrale Visma-Sicherheitsprogramm nutzen, und bieten auch Unterstützung für diejenigen, die ihre eigenen Sicherheitsexperten haben“, erklärt Curelaru. „Wenn ein Unternehmen eine eigene Sicherheitsabteilung oder eine andere Vision für Cybersicherheit hat, kann es dennoch seine eigene Sichtweise haben. Wir versuchen nicht, die Kontrollen zu übernehmen, aber wir möchten zumindest einige Basiswerte haben und ihre Reifegrade kennen.

Die einzigartige Wachstumsstrategie von Visma bringt ständig neue Sicherheitsteams ins Spiel und verschafft Analysten Zugang zu leistungsstarken Tools und Diensten wie CTI. Gleichzeitig ermöglicht die Intelligence Cloud dem zentralen Sicherheitsteam, den Risiken der schnell wachsenden digitalen Präsenz von Visma einen Schritt voraus zu bleiben.

„Recorded Future ist eine zentrale Quelle für Informationen, die wir für IOCs nutzen, wenn wir Jagd betreiben“, erklärt Curelaru. „Wenn durch die Malware-Quellen von Recorded Future eine Warnung ausgelöst wird, könnte es sich um einen Mitarbeiter von Visma handeln, und wir sind für diese Geräte verantwortlich.“ Die Warnung bedeutet, dass wir intern Jagd betreiben müssen, um herauszufinden, welches Gerät kompromittiert sein könnte, wann der Kompromiss stattgefunden hat und warum wir ihn nicht mit den anderen EDR-Tools, die wir einsetzen, erkannt haben.

Intelligence hilft Wirtschaftsführern, angesichts der Russland-Ukraine-Krise informiert zu bleiben

Gezielte Bedrohungsinformationen helfen nicht nur dabei, Prioritäten bei der Reaktion auf einen Vorfall und der Bedrohungsjagd zu setzen, sondern versetzt das Team auch in die Lage, die Unternehmensleitung vor möglichen Risiken durch weltweite Ereignisse zu warnen. Nachdem die globale Pandemie überstanden war, verlagerte sich der Schwerpunkt auf die Verfolgung des Konflikts in der Ukraine.

„Wir sind in Finnland, Polen und Rumänien tätig, daher beobachten wir die Region sehr genau im Hinblick auf Cyberrisiken, die für uns relevant sein könnten“, sagt Curelaru. „Am Anfang ging es um Fragen wie: ‚Was waren die Auslöser?‘“ Welche Cyberoperationen wurden einen Monat vor Kriegsbeginn durchgeführt? Mit dem Ukraine Resource Center von Recorded Future und anderen Quellen konnten wir verschiedene Arten von Wischern und Angriffen in der Region beobachten.

Als der Konflikt begann, stützte sich das Visma-Team auf die Forschung der Insikt Group® von Recorded Future und das Geopolitical Intelligence Module, um den Kontext der Bedrohungen durch den Krieg zu verstehen. „Die Berichte waren sehr informativ“, sagt Curelaru. „Recorded Future hilft dem Sicherheitsteam, Informationen zu kuratieren, damit wir dem Top-Management in kurzen Keynotes mitteilen können, worauf sie am meisten achten sollten. Das Geopolitical Intelligence Module vermittelt unserem Team ein gutes Verständnis dafür, welche physischen Sicherheitsbedrohungen für unsere Führungsebene relevant sind, wenn wir Informationen aus verschiedenen Quellen auswerten.

Förderung der Sicherheitsreife im gesamten Unternehmen

Das Visma-Sicherheitsprogramm verfolgt einen modernen Ansatz, um autonome Unternehmen zu motivieren, ihre Cyberabwehr zu verbessern. Durch die Gamifizierung des Programms werden Unternehmen dazu angehalten, für mehr Reife zu sorgen da sie auf der Grundlage ihrer Sicherheitspraktiken Punkte verdienen und einlösen können. Die Verwendung von Recorded Future ist eines der Kennzeichen eines reiferen Unternehmens.

„Mit dem Visma Sicherheitsprogramm bieten wir einen spielerischen Ansatz für den Sicherheitsreifegrad unserer Unternehmen und Anwendungen.“ Auf der Grundlage bestimmter Onboarding-Kriterien können Unternehmen von unserem Endpoint-Schutzservice und/oder dem CTI-Service abgedeckt werden“, erklärt Curelaru. „Indem wir alle Teile in diesem spielerischen Tool zusammenführen, erhalten wir ein besseres Bild davon, welche Unternehmen und Anwendungen ausgereifter sind und welche Kontrollen sie verwenden.“ Ein Unternehmen, das einen Sicherheitsscanner oder einen CTI-Dienst auf Basis von Recorded Future zusammen mit anderen Sicherheitsdiensten einsetzt, könnte die Platinstufe erreichen.“

Automatisierung fördert die Effizienz.

Im Zuge der Weiterentwicklung des Programms strebt Visma an, Bedrohungsinformationen in mehr Sicherheitsoperationen zu integrieren. Curelaru zufolge plant die Gruppe, die Automatisierungsfunktionen von Recorded Future zu nutzen, um die Effizienz zu maximieren und eine engere Zusammenarbeit zu fördern.

Jedes Mal, wenn ich eine neue Funktion sehe, frage ich: „Haben wir dafür eine API, um sie automatisieren zu können?“ Curelaru sagt. „Die Automatisierung liefert den Mehrwert für das Infrastruktursicherheitsprogramm und wir planen außerdem, die Erkenntnisse von Recorded Future in eine Neugestaltung unseres Infrastruktur-Sicherheitslücken-Management-Dienstes zu integrieren.“ Wenn wir eine Sicherheitslücke mit einem höheren Risikowert sehen, nutzen wir das Tool, um mit mehreren Teams zusammenzuarbeiten, um die Auswirkungen auf die verschiedenen Unternehmen, die wir haben, zu bewerten.“

Der auf Intelligence basierende Ansatz hält Visma an der Spitze.

Vismas Transparenz und Reife im Bereich der Intelligence positionieren das Unternehmen als Autorität für bewährte Verfahren im Bereich der Cybersicherheit. Letztendlich, so der CSO, führt intelligentes Handeln zu mehr Selbstbestimmung.

„Wir haben die traditionelle Sicherheit auf den Kopf gestellt“, erklärt Johansen. „Durch die Bereitstellung integrierter, umsetzbarer Informationen in den Team-Workflows wird die Aufmerksamkeit für die Sicherheit in die Teamkultur eingebettet.“