Citizens Financial Group Accelerates Threat Response, Saving 10+ Hours Weekly

As a major American bank holding company, Citizens Financial Group's reputation depends on rigorous risk assessment and proactive security. Threat Intelligence Manager Lea Cure's team relied heavily on open-source intelligence but needed more reliable, mature threat intelligence to elevate security operations and deliver finished reports to stakeholders.

Research consumed significant time, third-party risk monitoring was limited, and analysts lacked access to closed sources like Telegram and dark web forums where critical threat information lived. Citizens needed premium intelligence that could streamline workflows, deepen threat understanding, and enable proactive defense. Recorded Future became that strategic upgrade.

Goal

Reduce time and effort spent researching threats, enhance risk assessment capabilities, and deliver actionable finished intelligence reports to stakeholders across the organization.

Défi

Citizens Financial Group's threat intelligence team relied heavily on open-source intelligence that required significant time to research and lacked the reliability needed to improve security operations. They needed access to closed sources like dark web forums and Telegram channels, along with mature intelligence that could help them deliver high-quality finished reports to stakeholders while enabling more proactive security practices.

Résultat

Citizens Financial Group's shift to Recorded Future cut weekly research time by at least 10 hours, allowing analysts to pinpoint relevant intelligence instead of sifting through open-source noise. Access to closed sources—dark web marketplaces, forums, and Telegram channels—unlocked intelligence previously unavailable to the team.

Sigma rules from Insikt Group fuel threat hunting operations, helping analysts develop hypotheses and validate whether existing detection tools would catch similar attacks in their environment. The Red Team now incorporates real attacker TTPs during reconnaissance phases of engagements, testing defenses against authentic adversary behaviors documented in the platform. When Tier One suppliers or critical vendors appear on dark web sites or ransomware extortion lists, the team receives alerts that enable proactive risk communication before incidents escalate.

Quarterly and annual executive reporting became more efficient as analysts leverage Insikt Group's published research, freeing time for deeper internal assessments. Junior analysts build expertise through the platform's comprehensive threat data, while experienced team members provide technical, granular explanations of attack kill chains to cyber defense teams—moving beyond high-level summaries to actionable defensive guidance.

Citizens Financial Group Transforms Threat Operations from Reactive Research to Proactive Defense

American bank holding company Citizens Financial Group integrates Recorded Future to assess risk, speed response, hunt threats, and deliver finished intelligence.

Les sociétés de services financiers de confiance protègent leur réputation en évaluant les risques à chaque étape. Les organisations avancées comme Citizens Financial Group s’appuient sur un renseignement de premier plan pour analyser les menaces, accélérer la réponse aux incidents, favoriser la collaboration et développer des pratiques de sécurité proactives.

« Nous dépendions fortement du renseignement open source et voulions aller plus loin », explique Lea Cure, responsable de l’équipe Threat Intelligence de Citizens. « Nous souhaitions acquérir un renseignement sur les menaces plus fiable et plus mature afin d’améliorer nos opérations de sécurité et de fournir des rapports finalisés de haute qualité à nos parties prenantes. »

Pour aller plus loin, Lea Cure a sollicité Recorded Future afin de profiter de ses capacités approfondies d’évaluation, de contexte et d’analyse, dont l’équipe ne pouvait pas tirer parti uniquement à partir des sources de renseignement publiques et des réseaux de partage entre pairs.

Le renseignement dynamise les opérations

L’équipe de Citizens Financial Group a rapidement commencé à intégrer le renseignement sur les menaces dans les initiatives stratégiques en matière de cybersécurité ainsi que dans les opérations quotidiennes. « L’adoption du Recorded Future Intelligence Cloud a représenté une avancée majeure par rapport au renseignement open source, permettant à l’équipe d’économiser un temps précieux lors de l’identification, de l’investigation et de l’atténuation des risques.

« Recorded Future nous fait gagner beaucoup de temps en nous alertant sur des menaces ciblées », explique Lea Cure. « La possibilité d’accéder à des sources fermées et d’en extraire davantage de données est extrêmement précieuse, en particulier pour les applications telles que Telegram et les sources du dark web. Le fait que nos analystes puissent être alertés en temps opportun des renseignements pertinents améliore considérablement nos workflows. »

Cure explique que l'équipe utilise les capacités d'interrogation avancées de Recorded Future pour trouver rapidement des informations exploitables. "Auparavant, nous passions beaucoup de temps à rechercher des sources ouvertes pour ajouter des informations contextuelles à notre évaluation. Avec Recorded Future, nous pouvons spécifier exactement ce que nous recherchons et exclure les informations qui ne sont pas pertinentes, ce qui nous permet d'économiser au moins 10 heures par semaine", explique M. Cure.

« Tout le bruit est filtré, ce qui nous permet de consacrer notre temps et nos ressources à analyser ce qui est réellement pertinent pour nous. Recorded Future fait le travail pour nous, et nous pouvons nous concentrer sur les mesures à prendre. »

Une compréhension approfondie des menaces, des acteurs malveillants et de leurs tactiques, techniques et procédures (TTP) aide l’équipe de sécurité à identifier et combler les lacunes dans les capacités de surveillance et de détection. Lea Cure précise que l’équipe explore l’historique des attaquants et examine les possibilités impliquant plusieurs campagnes et acteurs malveillants.

« Les règles Sigma de Recorded Future offrent des informations techniques précieuses à nos chasseurs de menaces. En comprenant le fonctionnement d’un malware spécifique, nous pouvons développer des hypothèses de chasse pour identifier des comportements similaires dans notre environnement », explique-t-elle. « Nous pouvons ensuite nous demander : avons-nous les bons outils, et le bon niveau de journalisation et de surveillance pour ces menaces ? Serions-nous capables de repérer et d’identifier ces signatures dans notre environnement ? »

De l’évaluation à la prévention des risques

Au-delà de la recherche des menaces connues, l’équipe de sécurité de Citizens Bank utilise le renseignement sur les menaces en temps réel pour améliorer les opérations de sécurité tactiques et stratégiques tout au long du cycle de vie de la gestion des risques.

Helping Defenders Take the Offensive

Citizens intègre le renseignement sur les menaces dans des exercices proactifs conçus pour évaluer et renforcer les défenses. « Nous travaillons en étroite collaboration avec notre Red Team pendant sa phase de "reconnaissance" en lui indiquant les types de techniques utilisées par les acteurs malveillants, les dernières utilisations de techniques connues, et les détails techniques sur les TTP employées », explique le responsable de l’équipe Threat Intelligence. « Nous utilisons Recorded Future pour analyser les campagnes et attaques précédentes et déterminer les méthodes employées par les acteurs malveillants, ce qui permet à notre équipe de reproduire ces activités lorsqu’elle tente de contourner nos défenses réseau. »

Hunting for Threats ‘in the Wild’

L’entreprise s’appuie également sur la threat intelligence pour renforcer sa pratique de chasse aux menaces. Les chasseurs de menaces utilisent les détections créées par l’Insikt Group de Recorded Future pour rechercher des traces d’activité d’acteurs malveillants dans leur environnement. « Recorded Future est un excellent outil pour mener des recherches lorsque nous élaborons et testons des hypothèses sur les menaces de notre environnement », explique Lea Cure. « Nos chasseurs de menaces peuvent utiliser les règles Sigma fournies par l’Insikt Group de Recorded Future et les informations historiques sur les attaques lancées et les TTP utilisées précédemment pour interroger nos outils et déterminer si nous serions capables d’identifier une attaque. »

Mitigating Third-party Risk

Comme la plupart des organisations de services financiers, Citizens accorde une grande importance à la surveillance des risques liés aux tiers. Le module Recorded Future Threat Intelligence permet de surveiller et de communiquer les risques aux prestataires de premier niveau et aux fournisseurs de technologies critiques. Lea Cure explique : « En utilisant la plateforme pour trouver des mentions de nos partenaires de la chaîne d’approvisionnement sur le dark web et les sites d’extorsion par ransomware, nous pouvons communiquer les risques dont les partenaires pourraient ne pas être conscients avant qu’un problème ne survienne. »

Keeping High-level Stakeholders Informed

L’équipe Threat Intelligence de Citizens Bank produit et fournit régulièrement des rapports trimestriels, semestriels et de fin d’année aux parties prenantes de haut niveau. Outre l’utilisation de la plateforme pour mener des analyses approfondies, l’exploitation des informations de l’Insikt Group de Recorded Future simplifie la production d’un renseignement finalisé.

« Nos analystes peuvent exploiter énormément d’informations sur les menaces issues des rapports de fin d’année publiés par l’Insikt Group », poursuit Mme Cure. « Nous pouvons réutiliser les informations contenues dans ces rapports, ce qui nous permet de consacrer notre temps et nos ressources à élaborer des analyses pertinentes pour nos parties prenantes internes. L’accès à ce renseignement leur simplifie vraiment la tâche. »

En outre, la plateforme permet aux analystes d’expliquer « ce qui se passe dans la nature » à leurs équipes de cyberdéfense. « Plutôt que de produire seulement un rapport général pour les cadres dirigeants, nous pouvons entrer dans les détails techniques, expliquer les outils ou techniques légitimes utilisés par un acteur malveillant particulier, et examiner en profondeur la chaîne d’attaque. »

Avec les bonnes informations, les équipes prospèrent

En modernisant de nombreuses facettes des opérations de sécurité, l’exploitation du renseignement sur les menaces permet aux professionnels de la sécurité de se former et favorise des interactions stratégiques entre les équipes. « Renforcer la collaboration entre nos départements est une priorité pour nous cette année », explique le responsable de l’équipe Threat Intelligence. « Recorded Future nous offre un guichet unique pour toutes les recherches nécessaires lorsqu’on nous adresse une demande d’information (RFI). Nous pouvons accéder à des données, notamment sur les marketplaces et forums du dark web, auxquelles l’analyste moyen n’aurait jamais accès. Et ces informations sont extrêmement précieuses pour les autres équipes. »

Deeper Understanding for Analysts

La rationalisation des opérations quotidiennes permet à l’entreprise de faire monter ses professionnels de la cybersécurité en compétences, tout en les déchargeant. « Recorded Future est une ressource très complète qui permet aux analystes plus jeunes ou moins expérimentés d’améliorer leurs compétences, de se former et d’en apprendre énormément sur tout ce qu’ils trouvent dans la plateforme », explique Lea Cure. « Quant à nos analystes expérimentés, ils peuvent aller beaucoup plus loin dans leurs évaluations. Au lieu de simplement dire "il y a une menace dont on devrait se préoccuper", ils peuvent comprendre et expliquer ces menaces à un niveau beaucoup plus profond. »

Que se passe-t-il ensuite ?

Ayant bénéficié de Recorded Future sur de nombreux plans, Citizens Bank prévoit d’étendre son utilisation du renseignement sur les menaces afin de renforcer encore sa posture de sécurité. « Nous nous attendons à découvrir de nouveaux cas d’utilisation intéressants lorsque nous commencerons à explorer les offres de Recorded Future en matière de fraude aux paiements et de renseignements sur l’identité », explique Lea Cure, qui ajoute : « Je recommanderais à toute entreprise dans un secteur fortement ciblé d’investir dans une threat intelligence enrichie. Recorded Future nous permet d’être plus stratégiques, plus proactifs, et d’agir plus vite que si nous nous reposions uniquement sur le renseignement open source. »