Butler Snow

Cas d’utilisation :

Protégez la marque, les employés et les clients contre les cybermenaces.

Défi :

Aucun contexte en temps réel ni renseignement exploitable n’était disponible pour éclairer les décisions de sécurité.

Solution :

La plateforme Intelligence de Recorded Future, qui comprend :

• Brand Intelligence
• Vulnerability Intelligence
• Threat Intelligence
• Third-Party Intelligence
• SecOps Intelligence

Résultats :

• A identifié et neutralisé une attaque sophistiquée de typosquatting et de compromission des e-mails professionnels
• Priorise en toute confiance les vulnérabilités à corriger à l’aide d’un renseignement approfondi.
• A automatisé un workflow de renseignement pour identifier les menaces actives et prendre des mesures d’atténuation
• Utilise Recorded Future pour économiser de nombreuses heures de travail par semaine, qui équivaudraient à l’ajout d’un analyste de sécurité à temps plein à son équipe
• Recorded Future fournit une vue unifiée de toutes les informations de renseignement pertinentes pour Butler Snow

Un leader national des services juridiques s’appuie sur les renseignements de Recorded Future pour atténuer les risques, prendre des décisions éclairées en matière de sécurité et rationaliser son workflow de sécurité.

Le secteur juridique est depuis longtemps une cible privilégiée pour les cybercriminels, avec ses trésors de données confidentielles sur les clients : propriété intellectuelle, secrets commerciaux, informations personnelles identifiables (IPI), données financières d’entreprise, et plus encore. Cabinet d’avocats pluridisciplinaire regroupant près de 400 avocats dans plus de 50 domaines de pratique, et représentant des clients dans les 50 États américains, à Washington D.C. et dans 20 pays, Butler Snow LLP connaît parfaitement le risque accru de cyberattaques auquel il est exposé.

« Une partie de notre excellence reconnue au niveau national en matière de service et de satisfaction client réside dans notre engagement à protéger les informations confidentielles de nos clients contre les cybercriminels », déclare Trey Thompson, analyste en sécurité des données chez Butler Snow. « L’objectif qui guide tous nos efforts est d’empêcher une attaque réussie en gardant une longueur d’avance sur l’adversaire. »

C’est pourquoi Butler Snow s’est tourné vers Recorded Future pour combler une lacune critique dans sa stratégie de sécurité. « Avant d’exploiter le renseignement de Recorded Future, nous nous appuyions sur des informations publiques sur les vulnérabilités et les menaces », explique Trey Thompson. « Lorsque nous avons vu Recorded Future en action, nous avons compris que cela deviendrait la source unique, complète et fiable de renseignement dont nous avions besoin pour atténuer les risques, prendre des décisions éclairées et optimiser nos workflows de sécurité. Recorded Future nous a fourni des renseignements bien supérieurs à ceux que nous aurions pu dénicher seuls, surtout dans une équipe gérant de nombreuses priorités.

Pour l’équipe de sécurité de Butler Snow, la stratégie consiste à ajouter autant de couches de protection que possible sans entraver la productivité des quelque 800 employés du cabinet répartis dans 25 bureaux à travers le monde. Mais avec une petite équipe informatique, et une équipe sécurité encore plus réduite, atteindre ces objectifs nécessite des outils capables de décupler leur efficacité.

Toute solution de renseignement devrait non seulement améliorer la visibilité du cabinet sur les menaces les plus pressantes, mais aussi présenter ces informations de manière à maximiser l’efficacité et la rapidité des réponses de l’équipe de Butler Snow. Recorded Future semblait répondre à toutes ces exigences, et l’équipe a donc décidé de le mettre à l’épreuve.

« Nous avons mené une preuve de concept avec Recorded Future et, en quelques heures, la plateforme démontrait déjà sa valeur en identifiant au moins un domaine typosquatté », raconte Trey Thompson. « Au vu de ces excellents résultats, nous avons pu obtenir le budget et poursuivre avec Recorded Future. » Le cabinet utilise désormais la plateforme Recorded Future Intelligence, qui inclut les modules : Brand Intelligence, SecOps Intelligence, Vulnerability Intelligence, Threat-Intelligence et Third-Party Intelligence.

Protéger la marque et les clients contre les adversaires opportunistes

L’équipe de sécurité de Butler Snow s’appuie sur Recorded Future pour protéger la valeur de la marque et la perception du cabinet, ainsi que pour protéger les clients et les employés contre des méthodes de piratage comme le typosquatting, les fausses pages de connexion, les identifiants volés, etc.

Récemment, un client de Butler Snow a reçu un e-mail semblant provenir d’une employée du cabinet, annonçant une modification des instructions de virement pour effectuer un paiement à Butler Snow. Lorsque l’e-mail fut signalé à l’employée dont l’identité avait été usurpée, elle indiqua n’en avoir aucune connaissance et contacta immédiatement l’équipe sécurité, craignant que son mot de passe n’ait été compromis.

Grâce au module Brand Intelligence de Recorded Future, Butler Snow a rapidement identifié que la source de l’e-mail provenait d’un domaine typosquatté. L’équipe a également utilisé Recorded Future pour trouver des identifiants compromis provenant de plusieurs comptes du client, dont celui de la personne ayant reçu l’e-mail se faisant passer pour Butler Snow. Des analyses plus poussées menées par le client ont révélé des connexions Microsoft Office 365 depuis d’autres pays sur le compte utilisateur concerné.

Les pirates avaient consulté les e-mails du client et, après avoir vu une facture de Butler Snow, ils ont créé un domaine typosquatté et envoyé un e-mail avec de fausses instructions de virement. Ils ont même modifié le montant demandé, déjà élevé, pour le doubler. « Recorded Future nous a aidés à éviter que notre client ne perde une somme importante dans cette arnaque », déclare M. Thompson. « Trey Thompson et son équipe n’ont pas seulement évité à Butler Snow de perdre le client victime de cette attaque : ils ont aussi protégé la réputation de la marque grâce à Brand Intelligence.

Prioriser les vulnérabilités et les efforts de correction

La gestion des vulnérabilités peut être chronophage pour n’importe quelle organisation informatique. Pour des équipes réduites, pouvoir prioriser les vulnérabilités critiques est indispensable pour allouer correctement des ressources limitées et se protéger contre les menaces sérieuses.

L’équipe de sécurité de Butler Snow utilise le module Recorded Future Vulnerability Intelligence pour comprendre le contexte des vulnérabilités, ce qui permet au service informatique de prioriser les risques les plus élevés et d’allouer des ressources là où elles sont les plus nécessaires.

« Les renseignements que nous recevons de Recorded Future sont particulièrement précieux lorsqu’un correctif est publié pour un système à fort impact, comme Microsoft Exchange », explique Trey Thompson. « Nous utilisons le module Vulnerability Intelligence de Recorded Future pour déterminer si une vulnérabilité est exploitée dans la nature. Des informations exploitables nous aident à guider et à valider notre décision sur la manière de prioriser les correctifs sur les systèmes critiques. »

Trey Thompson cite l’exemple récent de VMware, avec la publication de correctifs susceptibles d’avoir un impact sur les performances du logiciel. Pour savoir s’il était impératif d’appliquer les correctifs, Butler Snow a utilisé Recorded Future pour déterminer que le risque d’exploitation de la vulnérabilité était effectivement tel que l’entreprise devait patcher le logiciel plutôt que d’attendre une version ultérieure, avec moins d’impact sur les performances.

Économiser des heures de travail par semaine grâce à un workflow de renseignement proactif

Avant d’adopter Recorded Future, la recherche sur les IP bloquées par le pare-feu du cabinet et le déploiement de mesures défensives nécessitaient beaucoup de temps et d’efforts. L’extraction manuelle des journaux du pare-feu, ainsi que l’analyse et la recherche sur des IP suspectes, prenaient énormément de temps auparavant », explique Trey Thompson. « Aujourd’hui, grâce à Recorded Future, tout cela fait partie de mon workflow habituel. » Trey Thompson utilise l’extension de navigateur de Recorded Future pour analyser les dix principales IP ayant tenté d’atteindre le pare-feu, mais ayant été bloquées. Il établit le contexte à l’aide des renseignements fournis par Recorded Future afin de déterminer s’il s’agit d’un problème dont le cabinet devrait s’inquiéter et contre lequel il devrait prendre des mesures pour se protéger. « Avant, je devais m’appuyer sur des sources d’information publiques pour trouver des renseignements comparables : un processus manuel qui me prenait plusieurs heures par semaine », explique Trey Thompson. « Maintenant, avec Recorded Future, j’obtiens toutes les informations nécessaires au sein d’une interface unique. »

Étendre les capacités d’une petite équipe de sécurité

Pour la petite équipe de sécurité de Butler Snow, utiliser Recorded Future, c’est comme avoir un employé supplémentaire qui permet à l’équipe d’en accomplir davantage. « La quantité de renseignement et de contexte que nous pouvons extraire rapidement de Recorded Future équivaut probablement à ce que ferait une personne à plein temps chargée de localiser ces informations », explique Trey Thompson.

Lorsqu’on lui demande quels conseils il donnerait à d’autres cabinets d’avocats, Trey Thompson répond : « Savoir, c’est déjà la moitié du combat : on ne peut pas se défendre contre ce qu’on ignore. Il est important non seulement de comprendre les menaces existantes, mais aussi quelles menaces spécifiques visent le cabinet. Recorded Future est une excellente solution pour protéger notre marque, nos employés et nos clients avec un renseignement réellement exploitable. »