Cas d’utilisation :

• Chasse aux menaces (détection et validation avancées)
• Recherche et reporting sur les menaces avancées
• Investigations sur le dark web

Défi :
Réduction du temps et des efforts consacrés à la recherche sur les menaces, à l’évaluation des risques et à la production de rapports exploitables pour les parties prenantes

Produits :
Recorded Future Threat Intelligence

Résultats :

• Détection plus rapide et meilleure compréhension des menaces pertinentes
• Focus renforcé sur des acteurs malveillants spécifiques
• Collaboration améliorée entre les équipes de sécurité pour renforcer la résilience
• Renforcement des compétences des analystes juniors
• Confiance accrue dans les priorités de l’équipe

Citizens Financial Group mise sur la Threat Intelligence pour améliorer sa résilience

Le groupe bancaire américain Citizens Financial Group intègre Recorded Future pour évaluer le risque, accélérer la réponse, chasser les menaces et produire un renseignement finalisé

Les sociétés de services financiers de confiance protègent leur réputation en évaluant les risques à chaque étape. Les organisations avancées comme Citizens Financial Group s’appuient sur un renseignement de premier plan pour analyser les menaces, accélérer la réponse aux incidents, favoriser la collaboration et développer des pratiques de sécurité proactives.

« Nous dépendions fortement du renseignement open source et voulions aller plus loin », explique Lea Cure, responsable de l’équipe Threat Intelligence de Citizens. « Nous souhaitions acquérir un renseignement sur les menaces plus fiable et plus mature afin d’améliorer nos opérations de sécurité et de fournir des rapports finalisés de haute qualité à nos parties prenantes. »

Pour aller plus loin, Lea Cure a sollicité Recorded Future afin de profiter de ses capacités approfondies d’évaluation, de contexte et d’analyse, dont l’équipe ne pouvait pas tirer parti uniquement à partir des sources de renseignement publiques et des réseaux de partage entre pairs.

Le renseignement dynamise les opérations

L’équipe de Citizens Financial Group a rapidement commencé à intégrer le renseignement sur les menaces dans les initiatives stratégiques en matière de cybersécurité ainsi que dans les opérations quotidiennes. « L’adoption du Recorded Future Intelligence Cloud a représenté une avancée majeure par rapport au renseignement open source, permettant à l’équipe d’économiser un temps précieux lors de l’identification, de l’investigation et de l’atténuation des risques.

« Recorded Future nous fait gagner beaucoup de temps en nous alertant sur des menaces ciblées », explique Lea Cure. « La possibilité d’accéder à des sources fermées et d’en extraire davantage de données est extrêmement précieuse, en particulier pour les applications telles que Telegram et les sources du dark web. Le fait que nos analystes puissent être alertés en temps opportun des renseignements pertinents améliore considérablement nos workflows. »

Cure explique que l'équipe utilise les capacités d'interrogation avancées de Recorded Future pour trouver rapidement des informations exploitables. "Auparavant, nous passions beaucoup de temps à rechercher des sources ouvertes pour ajouter des informations contextuelles à notre évaluation. Avec Recorded Future, nous pouvons spécifier exactement ce que nous recherchons et exclure les informations qui ne sont pas pertinentes, ce qui nous permet d'économiser au moins 10 heures par semaine", explique M. Cure.

« Tout le bruit est filtré, ce qui nous permet de consacrer notre temps et nos ressources à analyser ce qui est réellement pertinent pour nous. Recorded Future fait le travail pour nous, et nous pouvons nous concentrer sur les mesures à prendre. »

Une compréhension approfondie des menaces, des acteurs malveillants et de leurs tactiques, techniques et procédures (TTP) aide l’équipe de sécurité à identifier et combler les lacunes dans les capacités de surveillance et de détection. Lea Cure précise que l’équipe explore l’historique des attaquants et examine les possibilités impliquant plusieurs campagnes et acteurs malveillants.

« Les règles Sigma de Recorded Future offrent des informations techniques précieuses à nos chasseurs de menaces. En comprenant le fonctionnement d’un malware spécifique, nous pouvons développer des hypothèses de chasse pour identifier des comportements similaires dans notre environnement », explique-t-elle. « Nous pouvons ensuite nous demander : avons-nous les bons outils, et le bon niveau de journalisation et de surveillance pour ces menaces ? Serions-nous capables de repérer et d’identifier ces signatures dans notre environnement ? »

De l’évaluation à la prévention des risques

Au-delà de la recherche des menaces connues, l’équipe de sécurité de Citizens Bank utilise le renseignement sur les menaces en temps réel pour améliorer les opérations de sécurité tactiques et stratégiques tout au long du cycle de vie de la gestion des risques.

Aider les défenseurs à prendre l'offensive

Citizens intègre le renseignement sur les menaces dans des exercices proactifs conçus pour évaluer et renforcer les défenses. « Nous travaillons en étroite collaboration avec notre Red Team pendant sa phase de "reconnaissance" en lui indiquant les types de techniques utilisées par les acteurs malveillants, les dernières utilisations de techniques connues, et les détails techniques sur les TTP employées », explique le responsable de l’équipe Threat Intelligence. « Nous utilisons Recorded Future pour analyser les campagnes et attaques précédentes et déterminer les méthodes employées par les acteurs malveillants, ce qui permet à notre équipe de reproduire ces activités lorsqu’elle tente de contourner nos défenses réseau. »

Chasser les menaces « dans la nature »

L’entreprise s’appuie également sur la threat intelligence pour renforcer sa pratique de chasse aux menaces. Les chasseurs de menaces utilisent les détections créées par l’Insikt Group de Recorded Future pour rechercher des traces d’activité d’acteurs malveillants dans leur environnement. « Recorded Future est un excellent outil pour mener des recherches lorsque nous élaborons et testons des hypothèses sur les menaces de notre environnement », explique Lea Cure. « Nos chasseurs de menaces peuvent utiliser les règles Sigma fournies par l’Insikt Group de Recorded Future et les informations historiques sur les attaques lancées et les TTP utilisées précédemment pour interroger nos outils et déterminer si nous serions capables d’identifier une attaque. »

Atténuer les risques liés aux tiers

Comme la plupart des organisations de services financiers, Citizens accorde une grande importance à la surveillance des risques liés aux tiers. Le module Recorded Future Threat Intelligence permet de surveiller et de communiquer les risques aux prestataires de premier niveau et aux fournisseurs de technologies critiques. Lea Cure explique : « En utilisant la plateforme pour trouver des mentions de nos partenaires de la chaîne d’approvisionnement sur le dark web et les sites d’extorsion par ransomware, nous pouvons communiquer les risques dont les partenaires pourraient ne pas être conscients avant qu’un problème ne survienne. »

Tenir les parties prenantes de haut niveau informées

L’équipe Threat Intelligence de Citizens Bank produit et fournit régulièrement des rapports trimestriels, semestriels et de fin d’année aux parties prenantes de haut niveau. Outre l’utilisation de la plateforme pour mener des analyses approfondies, l’exploitation des informations de l’Insikt Group de Recorded Future simplifie la production d’un renseignement finalisé.

« Nos analystes peuvent exploiter énormément d’informations sur les menaces issues des rapports de fin d’année publiés par l’Insikt Group », poursuit Mme Cure. « Nous pouvons réutiliser les informations contenues dans ces rapports, ce qui nous permet de consacrer notre temps et nos ressources à élaborer des analyses pertinentes pour nos parties prenantes internes. L’accès à ce renseignement leur simplifie vraiment la tâche. »

En outre, la plateforme permet aux analystes d’expliquer « ce qui se passe dans la nature » à leurs équipes de cyberdéfense. « Plutôt que de produire seulement un rapport général pour les cadres dirigeants, nous pouvons entrer dans les détails techniques, expliquer les outils ou techniques légitimes utilisés par un acteur malveillant particulier, et examiner en profondeur la chaîne d’attaque. »

Avec les bonnes informations, les équipes prospèrent

En modernisant de nombreuses facettes des opérations de sécurité, l’exploitation du renseignement sur les menaces permet aux professionnels de la sécurité de se former et favorise des interactions stratégiques entre les équipes. « Renforcer la collaboration entre nos départements est une priorité pour nous cette année », explique le responsable de l’équipe Threat Intelligence. « Recorded Future nous offre un guichet unique pour toutes les recherches nécessaires lorsqu’on nous adresse une demande d’information (RFI). Nous pouvons accéder à des données, notamment sur les marketplaces et forums du dark web, auxquelles l’analyste moyen n’aurait jamais accès. Et ces informations sont extrêmement précieuses pour les autres équipes. »

Une compréhension plus approfondie pour les analystes

La rationalisation des opérations quotidiennes permet à l’entreprise de faire monter ses professionnels de la cybersécurité en compétences, tout en les déchargeant. « Recorded Future est une ressource très complète qui permet aux analystes plus jeunes ou moins expérimentés d’améliorer leurs compétences, de se former et d’en apprendre énormément sur tout ce qu’ils trouvent dans la plateforme », explique Lea Cure. « Quant à nos analystes expérimentés, ils peuvent aller beaucoup plus loin dans leurs évaluations. Au lieu de simplement dire "il y a une menace dont on devrait se préoccuper", ils peuvent comprendre et expliquer ces menaces à un niveau beaucoup plus profond. »

Que se passe-t-il ensuite ?

Ayant bénéficié de Recorded Future sur de nombreux plans, Citizens Bank prévoit d’étendre son utilisation du renseignement sur les menaces afin de renforcer encore sa posture de sécurité. « Nous nous attendons à découvrir de nouveaux cas d’utilisation intéressants lorsque nous commencerons à explorer les offres de Recorded Future en matière de fraude aux paiements et de renseignements sur l’identité », explique Lea Cure, qui ajoute : « Je recommanderais à toute entreprise dans un secteur fortement ciblé d’investir dans une threat intelligence enrichie. Recorded Future nous permet d’être plus stratégiques, plus proactifs, et d’agir plus vite que si nous nous reposions uniquement sur le renseignement open source. »