Cas d’utilisation :

Utilise le renseignement pour obtenir des informations plus précises et diversifiées plus rapidement, et pour permettre à son équipe d’en faire plus en moins de temps.

Défi :

Avant d'utiliser Recorded Future, les décisions commerciales critiques et les actions de sécurité reposaient auparavant sur des recherches manuelles incomplètes, l'instinct et la confiance.

Solution : plateforme Intelligence de Recorded Future :

• Brand Intelligence
• SecOps Intelligence avec intégration SIEM : IBM Security QRadar
• Third-Party Intelligence
• Vulnerability Intelligence
• Threat Intelligence
• Services Analyst On Demand (AOD)

Résultats :

• Augmente considérablement la capacité de l’équipe sécurité sans ajouter de personnel
• Évalue avec précision les fournisseurs et les autres tiers pour connaître leur véritable risque en matière de sécurité
• Aide Hughes Federal Credit Union et ses partenaires/fournisseurs à corriger les vulnérabilités à haut risque d’exploitation
• S’intègre avec son SIEM, IBM Security QRadar, pour un triage priorisé, des corrélations améliorées entre les menaces et des investigations plus efficaces
• Protège la marque et la réputation de la coopérative de crédit contre les abus et les violations de droits d’auteur
• Établit une culture de sécurité solide fondée sur des données fiables et en temps réel provenant de sources multiples, plutôt que de percevoir la sécurité comme un frein aux objectifs de l’entreprise

Les renseignements en temps réel issus de multiples sources externes permettent de prendre des décisions plus informées et des mesures plus ciblées

Vue d'ensemble

Fondée en 1952, Hughes Federal Credit Union sert la communauté de Tucson, en Arizona, et compte aujourd’hui plus de 166 000 membres et plus de 1,9 milliard de dollars d’actifs.

Hughes dispose d’une petite équipe de sécurité composée de Judy Mayoral, responsable de la cybersécurité, du vice-président de la cybersécurité et d’un analyste en sécurité. Cela signifie que la plupart des tâches pratiques reposent sur Judy Mayoral et l’analyste. La croissance rapide de l’organisation a poussé l’équipe de sécurité à chercher une solution capable de fournir un renseignement fiable en matière de sécurité pour l’aider à prioriser ce qui compte vraiment. L’équipe s’est tournée vers la plateforme Intelligence de Recorded Future pour trier plus efficacement l’immense quantité et variété de données affluant chaque jour.

Le déploiement de la solution a été une véritable avancée pour l’organisation, comme l’explique Mme Mayoral : « Recorded Future est un atout inestimable : il nous aide à déterminer si une menace est active ou passée, si c’est un élément à prioriser ou à reléguer au second plan. Nous l’utilisons aussi pour nos recherches, par exemple lors du choix et de la gestion de nos fournisseurs. Alors que l’entreprise continue de se développer rapidement, nous devons veiller à rester agiles et à garder le contrôle, et Recorded Future nous permet de le faire. »

Évaluer avec précision les risques liés aux fournisseurs

Hughes Federal Credit Union entretient de nombreuses relations avec des fournisseurs. Une grande partie de son activité consiste à travailler avec des concessionnaires automobiles cherchant à financer les achats de leurs clients par l’intermédiaire de la coopérative de crédit. Cet aspect représente environ 70 % de l’activité. En dehors du secteur automobile, Hughes collabore aussi avec des fournisseurs de solutions, des éditeurs de logiciels de gestion fournisseurs, et des fournisseurs technologiques comme Cisco ou IBM. En outre, la coopérative de crédit évalue également les entreprises avec lesquelles elle envisage de fusionner ou qu’elle envisage d’acquérir.

Lorsque Hughes identifie de nouveaux fournisseurs avec lesquels elle souhaite collaborer, elle veille à mener une diligence raisonnable appropriée. « Nous consacrons une grande partie de notre temps à prendre des décisions éclairées et fondées sur les risques pour conclure les contrats avec les fournisseurs », remarque Judy Mayoral. C’est là que nous nous appuyons sur Recorded Future. »

Avant Recorded Future, le processus d’évaluation des fournisseurs reposait largement sur l’intuition ou la confiance. Lorsqu’un fournisseur approchait Hughes, la coopérative de crédit apprenait à le connaître, évaluait son activité, examinait la documentation de son SOC ou les éléments de due diligence. Sur la base de ces informations, la coopérative de crédit décidait des mesures à prendre ensuite : poursuivre la relation, demander une évaluation quantitative du risque par un tiers, ou refuser toute relation.

« Ce qui nous manquait pour l’évaluation des fournisseurs, c’était des données sur la stabilité de l’entreprise et le niveau de risque qui lui était associé dans le monde réel. Lorsque nous avons commencé à utiliser Recorded Future, nous avons découvert que certains fournisseurs avec lesquels nous faisions affaire par le passé présentaient un risque élevé et étaient compromis. Par exemple, nous avons découvert que leurs informations se trouvaient sur le dark web. Nous ne l’aurions jamais su sans les informations fournies par Recorded Future. Désormais, nous pouvons savoir si un fournisseur a rencontré des problèmes de sécurité qui ont été divulgués publiquement ou repérés sur le dark web », explique-t-elle.

Le module Third-Party de Recorded Future attribue un score numérique de cyber-risque aux fournisseurs, partenaires et autres tiers, ce qui élimine les approximations. Judy Mayoral garde en permanence un œil attentif sur les fournisseurs avec lesquels Hughes travaille, surveillant les violations, les vulnérabilités potentielles, les ransomwares, les compromissions d’identifiants et autres défis liés à la sécurité.

Pour les fournisseurs stratégiques ou prestataires ayant un accès direct à l’environnement de Hughes, et qui représenteraient un risque majeur en cas de compromission, Judy Mayoral utilise Recorded Future pour suivre leurs identifiants. Si son équipe repère ces identifiants sur le dark web, elle en informe les fournisseurs pour qu’ils puissent mener leurs propres investigations et appliquer leurs propres corrections.

« Lorsque Recorded Future nous signale un problème, cela indique généralement que nous ne devrions pas faire affaire avec le fournisseur ou que nous devons prendre des précautions supplémentaires lorsque nous travaillons avec lui », affirme-t-elle.

La gestion des vulnérabilités enrichit les profils des fournisseurs

Avec les renseignements sur les vulnérabilités de Recorded Future, Mme Mayoral et son équipe peuvent déterminer si les fournisseurs et les partenaires de la coopérative de crédit sont vulnérables aux attaques de type « zero-day » ou à d’autres menaces. En s’appuyant sur l’apprentissage automatique, Recorded Future évalue les vulnérabilités en fonction de la probabilité qu’elles soient exploitées, sur la base de données en temps réel provenant de sources ouvertes, du dark web et de sources techniques. Cela permet à Judy Mayoral et à son équipe de prioriser les vulnérabilités et d’agir en conséquence quelques jours avant leur publication dans la National Vulnerability Database (NVD) américaine.

La faille Apache Log4j, découverte en décembre 2021, est un exemple emblématique de vulnérabilité zero-day ayant touché de nombreuses organisations dans divers secteurs. Elle permettait à des attaquants à distance de prendre le contrôle d’un système pour y installer des malwares, exécuter des charges utiles, voler des données ou endommager le système. Heureusement, Hughes était relativement bien protégé et n’a pas subi l’impact qu’ont connu beaucoup d’autres entreprises, mais la coopérative de crédit restait préoccupée par la possibilité que des tiers soient touchés.

« Recorded Future nous fournit des rapports et des outils détaillés pour vérifier si des entreprises avec lesquelles nous travaillons sont vulnérables aux attaques Log4j. Il nous aide également à découvrir d’autres indicateurs de compromission (IoC) et à déterminer si des adversaires nous ciblent ou nous attaquent », explique-t-elle.

L’intégration SIEM enrichit le contexte et rend l’information plus accessible

L’un des avantages majeurs du module SecOps Intelligence de Recorded Future est son intégration transparente avec IBM Security QRadar, le SIEM (système de gestion des informations et des événements de sécurité) utilisé par Hughes. Recorded Future injecte en temps réel sa threat intelligence dans QRadar, donnant à Judy Mayoral et à son analyste les informations nécessaires pour prendre des décisions rapides en toute confiance.

Comme le dit Judy Mayoral, Recorded Future « voit ce qui se passe à l’extérieur », aidant Hughes à se préparer aux menaces potentielles. En combinant QRadar et Recorded Future, Judy Mayoral et son équipe ont pu enrichir l’ensemble des données dans leur SIEM. L’intégration de SecOps Intelligence avec QRadar ajoute des scores de risque aux données du SIEM, offrant un contexte sur le risque réel associé à l’exploitation de chaque CVE (Common Vulnerabilities and Exposures). Les scores de risque Recorded Future complètent les scores CVSS, permettant à Judy Mayoral et son équipe de prioriser les correctifs de sécurité les plus importants selon la probabilité qu’une vulnérabilité soit exploitée.

Grâce à l’intégration, Judy Mayoral et son équipe peuvent créer des alertes personnalisées. « Par exemple, si des utilisateurs internes consultent des sites autorisés par notre pare-feu, mais que Recorded Future indique que ces URL ont un score de risque élevé, nous en sommes alertés. Cela nous permet de repérer un potentiel problème et d’ajuster notre système d’alertes. Nous obtenons ainsi une meilleure visibilité sur ce que font nos employés et nos applications, et cela nous aide à mieux les protéger », explique Mme Mayoral.

Les employés en dehors de l’équipe de sécurité immédiate de Judy Mayoral bénéficient également des données enrichies fournies par Recorded Future. Par exemple, l’équipe chargée de l’infrastructure s’appuie sur les données Recorded Future dans QRadar lors du déploiement des correctifs de sécurité.

Grâce à cette intégration, davantage de personnes dans l’organisation peuvent profiter du renseignement. Les données sont ainsi compréhensibles pour eux. Quand ils voient un score rouge vif de 78 provenant de Recorded Future, ils savent qu’il y a un problème. Et si le score est de zéro, ils savent qu’il n’y a pas lieu de s’inquiéter », observe Judy Mayoral.

Réduire l’abus de marque et les tentatives d’usurpation

Les équipes non techniques, comme la finance, les opérations et le marketing, utilisent régulièrement le module Brand Intelligence de Recorded Future, qui collecte des informations comme les données d’enregistrement de domaines, les profils de réseaux sociaux et les sites web malveillants, à partir de ses nombreuses sources. Cette capacité permet à Mme Mayoral et à son équipe de détecter immédiatement les identifiants compromis, les domaines typosquattés, les contrefaçons de marque et d’autres risques numériques.

Un jour, Judy Mayoral a reçu une alerte de Recorded Future concernant des numéros d’identification bancaire (BIN) suspects, correspondant aux six premiers chiffres d’un numéro de carte de crédit. Elle a immédiatement impliqué l’équipe chargée de la fraude, qui a déterminé qu’il s’agissait de cartes actives devant être désactivées en urgence. En approfondissant ces informations et en les enrichissant avec leurs propres connaissances, ils ont pu établir que ces cartes faisaient partie d’une violation plus large et risquaient d’être publiées sur le dark web ou utilisées par des fraudeurs. En recoupant toutes les données, l’équipe chargée de la fraude a évité toute transaction frauduleuse sur le compte des membres concernés de la coopérative de crédit.

De même, lorsque Judy Mayoral et son équipe constatent que l’adresse e-mail d’un dirigeant apparaît sur le dark web par le biais de Recorded Future, elles peuvent immédiatement demander au détenteur de changer ses mots de passe et identifiants.

Le service marketing de Hughes utilise aussi le module Brand Intelligence de différentes manières, lui permettant de prendre des mesures correctives si nécessaire. Par exemple, avec le module Brand Intelligence de Recorded Future, le département marketing peut voir où la marque apparaît et de quelle manière elle est utilisée.

Selon Mme Mayoral, Brand Intelligence est particulièrement utile pour les pages de phishing. « Grâce aux alertes et notifications de Recorded Future, nous pouvons prédire et détecter quand un site de phishing est en cours de création, ainsi que l’arrivée d’e-mails de phishing », dit-elle.

En outre, Mme Mayoral et son équipe peuvent vérifier si le code du site web de la coopérative de crédit a été copié par des personnes non autorisées sur PasteBin, un site d'hébergement où les utilisateurs peuvent stocker des textes en ligne pendant une période déterminée et les partager avec n'importe qui. Encore une fois, si cela se produit, ils peuvent décider de la manière de remédier à la situation.

« S’il s’agit d’un véritable site typosquatté, je le supprime, ou je collabore avec nos fournisseurs pour le faire retirer. S’il s’agit d’une infraction bénigne à la marque, cela nous permet de contacter la personne concernée afin qu’elle rectifie la situation elle-même », explique Mme Mayoral. « Brand Intelligence nous informe aussi si quelqu’un parle de nous sur les réseaux sociaux, car nous recevons également ces alertes. Nous pouvons ainsi répondre aux commentaires négatifs ou potentiellement dommageables pour notre réputation. »

Avant d’utiliser Recorded Future, la coopérative de crédit n’avait pratiquement aucune visibilité sur le typosquatting. « La possibilité de surveiller les domaines typosquattés nous a énormément protégés. » Nous avons eu beaucoup d’usurpations de site auxquelles nous avons dû réagir. « Recorded Future nous permet de détecter environ six domaines en typosquatting par an, chose que nous n’aurions jamais pu faire auparavant », note Judy Mayoral.

Les analystes experts de Recorded Future viennent renforcer et compléter l’équipe de sécurité

Pour compléter le travail effectué par son équipe, Mme Mayoral fait régulièrement appel au service Analyst on Demand (AOD) de Recorded Future. « Les analystes en renseignement hautement expérimentés de Recorded Future peuvent approfondir les alertes détectées dans l’environnement de la coopérative de crédit et fournir des informations sur les menaces ciblant des institutions financières de taille et de profil similaires, ainsi que des conseils en réponse aux incidents, des analyses flash à la demande pour des alertes particulières, et des revues et rapports réguliers.

Dans le cadre de son processus de préparation de rapports de haut niveau pour le conseil d'administration et le comité de cybersécurité, Mayoral complète les rapports AOD avec d'autres données qu'elle collecte, telles que les résultats de tests de simulation de phishing. Elle présente ces données aux cadres dirigeants afin de les aider à comprendre la posture de sécurité de l'organisation et à prendre des décisions éclairées sur l'affectation des budgets et des ressources.

« Recorded Future nous montre notre risque réel, que nous pouvons comparer à notre risque acceptable. Cela nous aide à obtenir l’adhésion nécessaire lorsque nous devons justifier des dépenses pour des ressources supplémentaires, comme du personnel ou de nouveaux outils », affirme Judy Mayoral.

Cultiver un état d’esprit orienté sécurité

Hughes s’engage à renforcer la sensibilisation à la sécurité auprès de tous ses employés, et Judy Mayoral joue un rôle central dans cet effort. Elle mène une formation annuelle pour tous les collaborateurs et accorde une attention particulière aux nouvelles recrues, afin que chacun comprenne parfaitement l’importance de la sécurité et la nécessité de signaler toute activité suspecte. Elle enrichit son programme de formation avec le contenu web et les webinaires de Recorded Future sur les ransomwares et autres menaces.

Au quotidien, Judy Mayoral fournit aux employés des explications concrètes sur les raisons pour lesquelles un site particulier est bloqué, s’appuyant sur les scores de risque fournis par Recorded Future. Très souvent, les employés doivent visiter divers sites pour faire des recherches : non seulement sur les concessionnaires, mais aussi sur des marques et modèles de véhicules spécifiques afin de valider un financement. Parfois, ces recherches mènent les employés sur un site malveillant. Recorded Future se révèle alors très utile, car la plateforme fournit des alertes permettant à l’équipe de sécurité de bloquer ces URL.

« Lorsqu’un site web n’est pas accessible, je peux montrer aux utilisateurs qu’il a un score de risque élevé, par exemple 79 sur 100, et qu’il est associé à du phishing ou à des malwares. Cela me permet de justifier notre action. Et nous pouvons faire la même chose pour les fournisseurs lorsqu’un employé envisage une relation commerciale avec une entreprise en particulier », explique-t-elle.

Elle aide également les utilisateurs dans les processus de due diligence ou de gestion des fournisseurs, en utilisant le module Third-Party Intelligence pour rechercher le score de risque des entreprises.

Recorded Future a aidé Mme Mayoral et son équipe à devenir des facilitateurs fiables et appréciés. Ils ont réussi à changer la perception de la sécurité au sein de Hughes. Les employés ont compris que l’objectif de l’équipe n’est pas de gêner les processus, et Judy Mayoral a gagné leur confiance au point qu’ils signalent spontanément les problèmes à l’équipe : sites malveillants, e-mails de phishing sophistiqués, etc.

L’automatisation renforce les capacités de l’équipe

Comme le déclare Mayoral, « Recorded Future a plus que doublé la capacité et l'efficacité de mon équipe. »

Recorded Future SecOps Intelligence fournit des données sur les menaces prêtes à l’emploi et hautement fiables, éliminant ainsi le besoin d’effectuer des recherches manuelles. Grâce aux scores de risque en temps réel et aux indicateurs de compromission (IoC), son équipe peut rapidement éliminer les faux positifs, prioriser les alertes et procéder à des investigations plus approfondies suivies d'un triage si nécessaire.

Les renseignements sur les vulnérabilités de Recorded Future ont également permis d’automatiser certains processus. Auparavant, l’examen des analyses de vulnérabilités était une tâche extrêmement chronophage. L’équipe de Mme Mayoral devait examiner chaque CVE en parallèle de l’actif critique analysé, par exemple un pare-feu ou des outils Microsoft Windows. Recorded Future associe les CVE aux actifs concernés, ce qui permet de voir facilement quelles vulnérabilités présentent un risque élevé pour un actif donné.

« Recorded Future fait une grande partie du travail pour nous. » Je n’ai pas à analyser chaque CVE pour déterminer le risque associé ou la probabilité qu’elle soit exploitée. Et comme Recorded Future relie chaque CVE et son niveau de risque à l’actif concerné, je peux décider s’il est nécessaire d’agir ou non. Cela nous évite de perdre du temps à déterminer si une vulnérabilité mérite notre attention en fonction de l’actif qu’elle touche », explique Mme Mayoral.

De plus, la profondeur et l’étendue du renseignement de Recorded Future permettent à l’équipe d’identifier plus rapidement et plus facilement les sites à risque. Plutôt que de filtrer manuellement des dizaines de sites, il leur suffit d’entrer l’URL dans Recorded Future pour obtenir immédiatement un score de risque.

« Lorsque nous rencontrons un incident ou que nous devons faire des recherches, nous pouvons confier le problème à une seule personne. » Et cette personne n’a pas besoin d’être experte dans une multitude de systèmes différents. Il lui suffit de comprendre IBM Security QRadar, qui collecte tous les renseignements de Recorded Future, fournit du contexte et permet de relier les points. Nous pouvons ensuite déterminer de manière informée si un élément est exploitable ou s’il s’agit d’un faux positif, et cela nous permet de mieux prioriser notre temps. »