Butler Snow Stops BEC Attack Saving Client From Doubled Invoice Loss
National law firm with 400 attorneys stops sophisticated typosquatting scheme within hours of proof of concept, automates firewall IP research that once took hours weekly, and gains the equivalent of a full-time security analyst.
Butler Snow's data security analyst Trey Thompson relied on publicly available vulnerability and threat information before discovering Recorded Future could provide extensive, accurate intelligence his small team managing many priorities couldn't dig up alone.
Goal
Prevent successful attacks by staying one step ahead of adversaries targeting confidential client information across 800 employees in 25 offices globally.
Défi
Butler Snow lacked real-time context and actionable intelligence to inform security decisions while protecting clients across 50 states and 20 countries. The small security team needed a solution that improved threat visibility while facilitating maximum efficiency and speedy responses without impeding productivity.
Résultat
Brand Intelligence identified typosquatted domains within hours and exposed a BEC attack where hackers doubled invoice amounts in manipulated wiring instructions. Vulnerability Intelligence confirmed VMware exploitation risk warranted immediate patching despite performance concerns. Automated workflow replaced hours of manual firewall log analysis with one-pane-of-glass IP research.answer.
Butler Snow Mitigates Risk with Recorded Future Intelligence
Le secteur juridique est depuis longtemps une cible privilégiée pour les cybercriminels, avec ses trésors de données confidentielles sur les clients : propriété intellectuelle, secrets commerciaux, informations personnelles identifiables (IPI), données financières d’entreprise, et plus encore. Cabinet d’avocats pluridisciplinaire regroupant près de 400 avocats dans plus de 50 domaines de pratique, et représentant des clients dans les 50 États américains, à Washington D.C. et dans 20 pays, Butler Snow LLP connaît parfaitement le risque accru de cyberattaques auquel il est exposé.
« Une partie de notre excellence reconnue au niveau national en matière de service et de satisfaction client réside dans notre engagement à protéger les informations confidentielles de nos clients contre les cybercriminels », déclare Trey Thompson, analyste en sécurité des données chez Butler Snow. « L’objectif qui guide tous nos efforts est d’empêcher une attaque réussie en gardant une longueur d’avance sur l’adversaire. »
C’est pourquoi Butler Snow s’est tourné vers Recorded Future pour combler une lacune critique dans sa stratégie de sécurité. « Avant d’exploiter le renseignement de Recorded Future, nous nous appuyions sur des informations publiques sur les vulnérabilités et les menaces », explique Trey Thompson. « Lorsque nous avons vu Recorded Future en action, nous avons compris que cela deviendrait la source unique, complète et fiable de renseignement dont nous avions besoin pour atténuer les risques, prendre des décisions éclairées et optimiser nos workflows de sécurité. Recorded Future nous a fourni des renseignements bien supérieurs à ceux que nous aurions pu dénicher seuls, surtout dans une équipe gérant de nombreuses priorités.
Trey Thompson
Analyste en sécurité des données, Butler Snow
Balancing Proactive Defense and Automation Through Integrated Intelligence
Concentrée sur un double objectif, sécurité proactive et automatisation, l’équipe de Land O’Lakes a adopté la plateforme Recorded Future.
Recorded Future’s unique combination of automated data collection and human analysis across the broadest range of sources and languages generates high-quality, actionable intelligence. This threat intelligence integrates seamlessly into the Land O’Lakes team’s existing security stack — including a SIEM solution and orchestration tool — enriching internal data to help the team identify, assess, and contextualize threats in real time.
Pour l’équipe de sécurité de Butler Snow, la stratégie consiste à ajouter autant de couches de protection que possible sans entraver la productivité des quelque 800 employés du cabinet répartis dans 25 bureaux à travers le monde. Mais avec une petite équipe informatique, et une équipe sécurité encore plus réduite, atteindre ces objectifs nécessite des outils capables de décupler leur efficacité.
Toute solution de renseignement devrait non seulement améliorer la visibilité du cabinet sur les menaces les plus pressantes, mais aussi présenter ces informations de manière à maximiser l’efficacité et la rapidité des réponses de l’équipe de Butler Snow. Recorded Future semblait répondre à toutes ces exigences, et l’équipe a donc décidé de le mettre à l’épreuve.
« Nous avons mené une preuve de concept avec Recorded Future et, en quelques heures, la plateforme démontrait déjà sa valeur en identifiant au moins un domaine typosquatté », raconte Trey Thompson. « Au vu de ces excellents résultats, nous avons pu obtenir le budget et poursuivre avec Recorded Future. » Le cabinet utilise désormais la plateforme Recorded Future Intelligence, qui inclut les modules : Brand Intelligence, SecOps Intelligence, Vulnerability Intelligence, Threat-Intelligence et Third-Party Intelligence.
Protéger la marque et les clients contre les adversaires opportunistes
L’équipe de sécurité de Butler Snow s’appuie sur Recorded Future pour protéger la valeur de la marque et la perception du cabinet, ainsi que pour protéger les clients et les employés contre des méthodes de piratage comme le typosquatting, les fausses pages de connexion, les identifiants volés, etc.
Récemment, un client de Butler Snow a reçu un e-mail semblant provenir d’une employée du cabinet, annonçant une modification des instructions de virement pour effectuer un paiement à Butler Snow. Lorsque l’e-mail fut signalé à l’employée dont l’identité avait été usurpée, elle indiqua n’en avoir aucune connaissance et contacta immédiatement l’équipe sécurité, craignant que son mot de passe n’ait été compromis.
Grâce au module Brand Intelligence de Recorded Future, Butler Snow a rapidement identifié que la source de l’e-mail provenait d’un domaine typosquatté. L’équipe a également utilisé Recorded Future pour trouver des identifiants compromis provenant de plusieurs comptes du client, dont celui de la personne ayant reçu l’e-mail se faisant passer pour Butler Snow. Des analyses plus poussées menées par le client ont révélé des connexions Microsoft Office 365 depuis d’autres pays sur le compte utilisateur concerné.
Les pirates avaient consulté les e-mails du client et, après avoir vu une facture de Butler Snow, ils ont créé un domaine typosquatté et envoyé un e-mail avec de fausses instructions de virement. Ils ont même modifié le montant demandé, déjà élevé, pour le doubler. « Recorded Future nous a aidés à éviter que notre client ne perde une somme importante dans cette arnaque », déclare M. Thompson. « Trey Thompson et son équipe n’ont pas seulement évité à Butler Snow de perdre le client victime de cette attaque : ils ont aussi protégé la réputation de la marque grâce à Brand Intelligence.
Prioriser les vulnérabilités et les efforts de correction
La gestion des vulnérabilités peut être chronophage pour n’importe quelle organisation informatique. Pour des équipes réduites, pouvoir prioriser les vulnérabilités critiques est indispensable pour allouer correctement des ressources limitées et se protéger contre les menaces sérieuses.
L’équipe de sécurité de Butler Snow utilise le module Recorded Future Vulnerability Intelligence pour comprendre le contexte des vulnérabilités, ce qui permet au service informatique de prioriser les risques les plus élevés et d’allouer des ressources là où elles sont les plus nécessaires.
« Les renseignements que nous recevons de Recorded Future sont particulièrement précieux lorsqu’un correctif est publié pour un système à fort impact, comme Microsoft Exchange », explique Trey Thompson. « Nous utilisons le module Vulnerability Intelligence de Recorded Future pour déterminer si une vulnérabilité est exploitée dans la nature. Des informations exploitables nous aident à guider et à valider notre décision sur la manière de prioriser les correctifs sur les systèmes critiques. »
Trey Thompson cite l’exemple récent de VMware, avec la publication de correctifs susceptibles d’avoir un impact sur les performances du logiciel. Pour savoir s’il était impératif d’appliquer les correctifs, Butler Snow a utilisé Recorded Future pour déterminer que le risque d’exploitation de la vulnérabilité était effectivement tel que l’entreprise devait patcher le logiciel plutôt que d’attendre une version ultérieure, avec moins d’impact sur les performances.
Trey Thompson
Analyste en sécurité des données, Butler Snow
Pour l’équipe de sécurité de Butler Snow, la stratégie consiste à ajouter autant de couches de protection que possible sans entraver la productivité des quelque 800 employés du cabinet répartis dans 25 bureaux à travers le monde. Mais avec une petite équipe informatique, et une équipe sécurité encore plus réduite, atteindre ces objectifs nécessite des outils capables de décupler leur efficacité.
Toute solution de renseignement devrait non seulement améliorer la visibilité du cabinet sur les menaces les plus pressantes, mais aussi présenter ces informations de manière à maximiser l’efficacité et la rapidité des réponses de l’équipe de Butler Snow. Recorded Future semblait répondre à toutes ces exigences, et l’équipe a donc décidé de le mettre à l’épreuve.
« Nous avons mené une preuve de concept avec Recorded Future et, en quelques heures, la plateforme démontrait déjà sa valeur en identifiant au moins un domaine typosquatté », raconte Trey Thompson. « Au vu de ces excellents résultats, nous avons pu obtenir le budget et poursuivre avec Recorded Future. » Le cabinet utilise désormais la plateforme Recorded Future Intelligence, qui inclut les modules : Brand Intelligence, SecOps Intelligence, Vulnerability Intelligence, Threat-Intelligence et Third-Party Intelligence.
Protéger la marque et les clients contre les adversaires opportunistes
L’équipe de sécurité de Butler Snow s’appuie sur Recorded Future pour protéger la valeur de la marque et la perception du cabinet, ainsi que pour protéger les clients et les employés contre des méthodes de piratage comme le typosquatting, les fausses pages de connexion, les identifiants volés, etc.
Récemment, un client de Butler Snow a reçu un e-mail semblant provenir d’une employée du cabinet, annonçant une modification des instructions de virement pour effectuer un paiement à Butler Snow. Lorsque l’e-mail fut signalé à l’employée dont l’identité avait été usurpée, elle indiqua n’en avoir aucune connaissance et contacta immédiatement l’équipe sécurité, craignant que son mot de passe n’ait été compromis.
Grâce au module Brand Intelligence de Recorded Future, Butler Snow a rapidement identifié que la source de l’e-mail provenait d’un domaine typosquatté. L’équipe a également utilisé Recorded Future pour trouver des identifiants compromis provenant de plusieurs comptes du client, dont celui de la personne ayant reçu l’e-mail se faisant passer pour Butler Snow. Des analyses plus poussées menées par le client ont révélé des connexions Microsoft Office 365 depuis d’autres pays sur le compte utilisateur concerné.
Les pirates avaient consulté les e-mails du client et, après avoir vu une facture de Butler Snow, ils ont créé un domaine typosquatté et envoyé un e-mail avec de fausses instructions de virement. Ils ont même modifié le montant demandé, déjà élevé, pour le doubler. « Recorded Future nous a aidés à éviter que notre client ne perde une somme importante dans cette arnaque », déclare M. Thompson. « Trey Thompson et son équipe n’ont pas seulement évité à Butler Snow de perdre le client victime de cette attaque : ils ont aussi protégé la réputation de la marque grâce à Brand Intelligence.
Prioriser les vulnérabilités et les efforts de correction
La gestion des vulnérabilités peut être chronophage pour n’importe quelle organisation informatique. Pour des équipes réduites, pouvoir prioriser les vulnérabilités critiques est indispensable pour allouer correctement des ressources limitées et se protéger contre les menaces sérieuses.
L’équipe de sécurité de Butler Snow utilise le module Recorded Future Vulnerability Intelligence pour comprendre le contexte des vulnérabilités, ce qui permet au service informatique de prioriser les risques les plus élevés et d’allouer des ressources là où elles sont les plus nécessaires.
« Les renseignements que nous recevons de Recorded Future sont particulièrement précieux lorsqu’un correctif est publié pour un système à fort impact, comme Microsoft Exchange », explique Trey Thompson. « Nous utilisons le module Vulnerability Intelligence de Recorded Future pour déterminer si une vulnérabilité est exploitée dans la nature. Des informations exploitables nous aident à guider et à valider notre décision sur la manière de prioriser les correctifs sur les systèmes critiques. »
Trey Thompson cite l’exemple récent de VMware, avec la publication de correctifs susceptibles d’avoir un impact sur les performances du logiciel. Pour savoir s’il était impératif d’appliquer les correctifs, Butler Snow a utilisé Recorded Future pour déterminer que le risque d’exploitation de la vulnérabilité était effectivement tel que l’entreprise devait patcher le logiciel plutôt que d’attendre une version ultérieure, avec moins d’impact sur les performances.
Trey Thompson
Analyste en sécurité des données, Butler Snow
Économiser des heures de travail par semaine grâce à un workflow de renseignement proactif
Before implementing Recorded Future, researching IPs being blocked by the firm’s firewall and deploying defensive mitigations took up large amounts of time and effort. “Manually pulling firewall logs and reviewing and researching suspicious IPs was very time consuming before,” Thompson says. “Now, with Recorded Future, it’s an automated part of my regular workflow.”
Thompson uses Recorded Future’s browser extension to research the top ten IPs that tried to hit the firewall but were blocked. He builds context using intelligence from Recorded Future to determine if it’s something the firm should be worried about and take action to protect against. “Before, I relied on public information sources to find similar information, which was a manual process that took hours every week,” says Thompson. “Now, with Recorded Future, I get the information I need within one pane of glass.”
Trey Thompson
Analyste en sécurité des données, Butler Snow
Étendre les capacités d’une petite équipe de sécurité
Pour la petite équipe de sécurité de Butler Snow, utiliser Recorded Future, c’est comme avoir un employé supplémentaire qui permet à l’équipe d’en accomplir davantage. « La quantité de renseignement et de contexte que nous pouvons extraire rapidement de Recorded Future équivaut probablement à ce que ferait une personne à plein temps chargée de localiser ces informations », explique Trey Thompson.
Lorsqu’on lui demande quels conseils il donnerait à d’autres cabinets d’avocats, Trey Thompson répond : « Savoir, c’est déjà la moitié du combat : on ne peut pas se défendre contre ce qu’on ignore. Il est important non seulement de comprendre les menaces existantes, mais aussi quelles menaces spécifiques visent le cabinet. Recorded Future est une excellente solution pour protéger notre marque, nos employés et nos clients avec un renseignement réellement exploitable. »