Norwegian Government Agency Protects Telecom Sector with Vulnerability Intelligence

Nkom EkomCERT's Chief Security Engineer Ole Kristoffer Apeland needed deep, real-time, telecom-specific intelligence for Scandinavia—capabilities his small team lacked resources to obtain independently.

Goal

Identify malicious actors targeting Norwegian telecoms, determine exploited vulnerabilities, and map the evolving threat landscape to help communications companies prioritize mitigation and plan security investments.

Défi

The small team needed telecom-specific intelligence filtered for Scandinavia to go beyond generic vulnerability scores and general trends. They required visibility into phishing, ransomware, DDoS, APTs, and fraud to help Norwegian telecom companies plan staffing and security technology investments.

Résultat

Splunk integration enriches vulnerability data with exploitation likelihood, enabling confident prioritization in a single pane of glass. Vulnerability Intelligence assesses threats based on lifecycle stage—from theoretical discovery to active in-the-wild exploitation. Recorded Future monitors dark web forums for telecom-targeted chatter, scans marketplaces for exploit kits, and identifies stolen credentials from Norwegian domains. Insikt Group's Analyst on Demand services expand team productivity.

Protéger l’industrie des télécoms en Norvège

The Norwegian Communications Authority (Nasjonal kommunikasjonsmyndighet, or Nkom) is a government agency that supervises and supports organizations that provide electronic communications services in Norway, primarily telecommunications companies. One of its major responsibilities is ensuring the security and resilience of electronic communication networks.
Ole Kristoffer Apeland is Chief Security Engineer and Team Lead at Nkom EkomCERT. The team he leads works with Norwegian telecom and digital communication companies to help them prevent cyberattacks and to prepare for emerging threats.

L’équipe d’Ole avait pour mission d’identifier les acteurs malveillants ciblant les entreprises de télécommunications et d’e-commerce en Norvège, et de déterminer quelles vulnérabilités ils exploitent généralement pour voler des données, commettre des fraudes ou perturber les réseaux. L’équipe devait aller au-delà des tendances générales et des scores basiques de vulnérabilités pour repérer les attaques actives spécifiquement dans le secteur des télécoms en Scandinavie, ou susceptibles de se produire bientôt. Ce n’est qu’armées de ces informations que les entreprises clientes de Nkom EkomCERT pouvaient prioriser et atténuer les vulnérabilités réellement menaçantes pour leur activité.

Ce petit groupe faisait face à un défi similaire : offrir une visibilité sur un paysage de menaces en constante évolution pour les entreprises de télécoms norvégiennes. Il devait surveiller les développements liés au phishing, aux ransomwares, aux attaques par déni de service distribué (DDoS), aux menaces persistantes avancées (APT), à la fraude grand public et à d’autres menaces, puis fournir des informations permettant aux entreprises norvégiennes de télécommunications et de communication numérique de planifier leurs investissements en personnel et en technologies de sécurité.

Ole et son équipe ont réalisé qu'ils ne disposaient pas des ressources nécessaires pour obtenir les renseignements sectoriels approfondis et en temps réel dont ils avaient besoin pour accomplir leur mission. Après avoir évalué les offres de renseignement de plusieurs entreprises, ils ont sélectionné Recorded Future comme l'entreprise capable de fournir les meilleurs renseignements et le meilleur support.

Enrichir les données sur les vulnérabilités pour des correctifs basés sur les risques

Nkom EkomCERT reçoit un flux continu de vulnérabilités nouvellement découvertes provenant de différents fournisseurs technologiques et de sources industrielles comme la base de données CVE. Avant d’utiliser le renseignement de Recorded Future, la difficulté consistait à déterminer quelles vulnérabilités représentaient des menaces immédiates pour les entreprises norvégiennes des télécoms et des communications numériques, et quelle était la meilleure approche pour atténuer les attaques exploitant ces vulnérabilités.

L’équipe d’Ole utilise le module Vulnerability Intelligence de Recorded Future et l’intégration Recorded Future–Splunk Enterprise pour enrichir ses données de vulnérabilité dans Splunk. Cela lui permet d’obtenir une vision claire du risque associé à chaque vulnérabilité, basée sur la probabilité qu’elle soit exploitée. Dans une interface unique, les données enrichies fournies par l’intégration de Recorded Future et Splunk Enterprise fournissent à Nkom EkomCERT les éléments nécessaires pour prioriser les vulnérabilités qui comptent le plus.

« L’intégration Splunk de Recorded Future nous permet de prioriser efficacement et efficacement et d’agir en urgence sur les bonnes vulnérabilités. » Elle nous aide à déterminer où notre temps doit être investi en priorité, car il y a souvent plus de travail que de personnes. Grâce à l’enrichissement des vulnérabilités fourni par l’intégration Splunk de Recorded Future, nous savons que nous concentrons nos efforts là où cela compte », explique Ole.

In the past, Ole’s team leaned on other information sources for enrichment of their vulnerabilities, but did not find that the other vendors provided the level of enrichment they needed.

In addition to relying on the enrichment that Recorded Future provides that can be accessed directly within their Splunk instance, they also depend on Vulnerability Intelligence within the Recorded Future Intelligence Platform to evaluate true risk. With intelligence, Ole and his team are able to see the context of each vulnerability with examples of the vulnerability previously being exploited, associations with attack types and threat actors, and a risk score.

For Ole’s team, a primary focus is identifying vulnerabilities for commonly used products within telecom companies and notifying their constituents. Once a potentially important vulnerability is identified, the team uses information from Recorded Future to assess it based on temporal metrics, especially its stage in the vulnerability lifecycle.

Utilisation du cycle de vie des vulnérabilités

Les vulnérabilités suivent un cycle de vie. Elles évoluent au fil du temps : depuis la découverte et l’annonce (lorsque les exploits sont théoriques), jusqu’au développement du code de validation conceptuelle (qui démontre que l’exploitation est possible, sans être immédiatement utilisable dans une attaque), puis du code d’exploit fonctionnel (exploit utilisable par des pirates compétents), jusqu’aux kits d’exploitation disponibles sur le dark web (qui facilitent l’exploitation par des acteurs moins qualifiés), puis enfin jusqu’à l’exploitation active « dans la nature ».

Les vulnérabilités situées en fin de cycle sont plus susceptibles d’être exploitées et doivent être corrigées immédiatement. Celles qui se situent à un stade plus précoce représentent un risque futur, mais elles ne devraient être traitées qu’après les vulnérabilités prioritaires.

Le renseignement de Recorded Future permet à Nkom EkomCERT d’évaluer les vulnérabilités en fonction de leur stade d’évolution. Nkom EkomCERT partage ces évaluations avec les entreprises de télécommunications et les agences gouvernementales norvégiennes, afin qu’elles puissent trier les vulnérabilités et prioriser les plus susceptibles d’être exploitées prochainement.

Offrir une connaissance situationnelle des attaques imminentes

Les entreprises de télécommunications sont exposées à une grande variété de cybermenaces : attaques DDoS sur leurs réseaux, APT, phishing, attaques par ransomware sur leurs activités et campagnes de fraude contre leurs clients. L'une des responsabilités de Nkom EkomCERT est de fournir aux opérateurs de télécommunications norvégiens des alertes précoces sur les activités dans ces domaines afin qu'ils puissent se préparer à la prochaine vague de menaces.

Ole’s team relies on Recorded Future to uncover indicators of impending and ongoing attacks.

To provide early warning, Recorded Future:

• Analyse des centaines de forums du dark web à la recherche de « rumeurs » sur les menaces visant les organisations télécoms et les entreprises scandinaves, incluant les campagnes de phishing et les attaques par ransomware
• Surveille les marketplaces du dark web pour détecter du code ou des kits d’exploitation pouvant être utilisés dans des APT ciblant les applications orientées client, ou dans des attaques DDoS contre les réseaux
• Analyse les dépôts de code et les marketplaces du dark web à la recherche d’identifiants volés associés aux domaines Internet utilisés par les entreprises norvégiennes de télécoms et leurs filiales, afin de prévenir les attaques de prise de contrôle de comptes ou de credential stuffing

Comme les entreprises de télécommunications proposent désormais une grande variété de services, les données fournies par Recorded Future à Nkom EkomCERT couvrent un large éventail de segments et de technologies : services mobiles et lignes fixes, applications de messagerie et de collaboration, services Internet, médias en streaming et divertissement.

Cartographier le paysage des menaces pour la planification à long terme

Nkom EkomCERT joue un rôle essentiel dans la cartographie du paysage des menaces pour les entreprises télécoms et d’autres agences gouvernementales norvégiennes. Pour remplir cette mission, l’équipe d’Ole utilise le renseignement de Recorded Future pour surveiller l’évolution des activités des acteurs malveillants et fournir une visibilité en temps réel sur les tendances liées au phishing, aux ransomwares, aux attaques par déni de service distribué (DDoS), aux APT, à la fraude grand public et à d’autres menaces pertinentes pour le secteur des télécoms. L’étendue et la profondeur de la couverture de Recorded Future, sur le web ouvert comme le dark web, combinées à un contexte et à une analyse des attaques, permettent à Nkom EkomCERT ainsi qu’aux entreprises norvégiennes de télécommunications et de communication numérique d’anticiper et de planifier face aux menaces les plus susceptibles de perturber leurs opérations.

L’équipe d’Ole s’appuie également largement sur les analyses et informations fournies par la division Insikt Group de Recorded Future, une équipe de chercheurs expérimentés qui propose des services Analyst on Demand et des recherches ciblées sur les menaces aux clients de Recorded Future. L’expertise de Nkom EkomCERT en matière de cybersécurité, renforcée par les informations et analyses de Recorded Future, a aidé les entreprises télécoms et les agences gouvernementales norvégiennes à prendre des décisions éclairées concernant l’allocation de leurs ressources et le renforcement progressif de leurs programmes de sécurité.

How Recorded Future Supports Nkom EkomCERT's Success

Ole and his team feel that intelligence from Recorded Future has greatly strengthened their ability to provide guidance to Norway's telecom sector. They are especially pleased with Recorded Future's ability to enrich basic vulnerability data with context and temporal metrics while systematically monitoring hundreds of open and dark web sites for indicators of impending attacks. The platform produces information specific to telecom companies and specific to Scandinavia, continuously updating intelligence to maintain situational awareness. Recorded Future also provides data about critical cybersecurity trends and insight into how they apply to Nkom EkomCERT and its constituents, along with prompt support and expert help.