Bitdefender's MDR service protects enterprises lacking internal resources to stop attacks quickly. Before launching, Lead CTI Analyst Sean Nikkel's team needed threat intelligence that could validate internal data, monitor exposed risks for customers, and enable deeper research. They required a complete solution ready on day one.

Goal

Reduce time to detect and respond to cybersecurity threats while providing MDR customers with proactive threat hunting, dark web monitoring, and actionable intelligence that helps them stay ahead of attackers.

課題

The Bitdefender MDR team needed to reduce excessive time to detect and respond to threats while providing comprehensive threat intelligence that validated internal data, monitored customer risks, and enabled deep research and analysis at scale.

成果

Recorded Future's API integration with Bitdefender's SOAR automates intelligence workflows across teams, reducing response times. Dark web access reveals infostealer malware logs and leaked credentials—the team pushes notifications to customers within minutes of detection. Contextual intelligence helps prioritize investigations versus receiving dumps of decontextualized indicators, maturing CTI capabilities.

セキュリティインシデントの対応時は、時間との闘いです。残念ながら、サイバーセキュリティのスキルは需要が高く供給が不足しているため、多くの組織は攻撃をタイムリーに阻止するためのリソースが不足しています。そのため、企業はMDR（managed detection and response）サービスを求めてBitdefenderを採用しています。そしてBitdefenderのチームは、タイムリーで実用的な脅威インテリジェンスを実現するために、Bitdefender独自の脅威インテリジェンスとともにRecorded Futureを活用しています。

BitdefenderのMDRサービスのサイバー脅威インテリジェンス（CTI）チームは、脅威アクターに有利になるようなギャップを埋めることの重要性を理解しています。言い換えれば、適切な専門知識を適切なタイミングで適切な担当者に提供する必要があるということです。CTIチームは、独自の脅威インテリジェンスやサードパーティ製のツールなど、さまざまな有用な社内ツールやデータを使用しています。その中でもRecorded Futureは、脅威の状況を包括的にイメージするためにデータを集約して相関させる上で重要な役割を果たし、社内データとサードパーティデータの検証やコンテキストの追加を支援しています。

The two companies have a strong partnership as Recorded Future incorporates some threat intelligence from Bitdefender feeds containing vulnerabilities, IP and Web resources reputation as well as operational insights into the Recorded Future Intelligence Cloud.

「追加の脅威インテリジェンスを1か所に集約することで節約できる時間と労力は、大きな戦力強化につながります。私たちの主な目標は、攻撃者よりできるだけ先回りした対策を取ることです」と、Bitdefender MDRのリードCTIアナリスト、Sean Nikkel氏は述べます。

完全なソリューションで、製品化までの時間を短縮します

Bitdefender MDRサービスを開始する前に、チームは自社のユースケースに最適なソリューションを見つけるために、市場にある複数の脅威インテリジェンスソリューションを評価しました。主なユースケースには、MDR顧客の露出リスクの監視、内部データの検証、調査と分析の深掘りなどがありました。

「運用を開始するために必要な要件の多くをRecorded Futureは満たしていました。すべてがすでに揃っていて、初日からすぐに使える状態でした」とNikkel氏は言います。「このプラットフォームが便利な理由は、Recorded Futureにはダークウェブへのアクセスがすでにあり、スケーラブルな方法で独自のインサイトに深いコンテキストを追加できるためです。このおかげで、私たち独自の脅威インテリジェンスも一部含む、多数の情報源の可視性が得られます。」Recorded Futureを使用すると、インテリジェンスチームによるダークウェブの監視という顧客からの主要な要望にも対応できます。」

インテリジェンスは積極的なリスク緩和を可能にします

Recorded Futureの脅威インテリジェンスは、Bitdefender MDRチームが顧客のリスクを積極的に管理するのに役立ちます。「最初の一歩は認識することです。それは、何がどこで公開されているか、そしてそれが自社にとってどのように不利に働く可能性があるかを理解するということです。これらの脅威を知ることで、顧客のリスクを緩和することができます」とNikkel氏は言います。

Bitdefender MDRチームはRecorded Futureのプラットフォームを活用して、顧客の環境にあるギャップを特定し、防御を積極的に強化するのに役立つ推奨事項を作成して、現実に発生しているアクティブな脅威から保護することができます。また、CTIチームは脅威を迅速に検出するためにアラートも活用しています。たとえば、インフォスティーラーのマルウェアログは、IDの侵害に関するタイムリーな情報を提供します。

CTIチームは、認証情報の漏洩に関するアラートを受け取ってから数分以内に、セキュリティアカウント管理者を通じて顧客に通知を送り、積極的なハンティングを通じて、影響を受ける可能性のあるアカウントの侵害の兆候を確認する手順を実行します。Recorded Future Intelligence Cloudは、Bitdefender MDRチームが顧客を迅速に保護するのに役立ちます

Recorded Futureは脅威ハンターがよりスマートに対応できるよう支援します

情報が適宜、適切な人に確実に届くように、CTIチームはRecorded FutureのAPIを活用して、インテリジェンスフィードを他の脅威インテリジェンス情報源とともにBitdefenderのSOARに統合しています。アラートが発生すると、チームはリサーチケースを開き、それをSOCまたはカスタマーサクセスチームに伝えます。「Recorded Futureにより、さまざまなチーム間のコミュニケーション方法が自動化されて繰り返し可能な形で強化され、レスポンスにかかる時間をさらに短縮できました」とNikkel氏は述べています。CTIチームは統合を行うことで、Recorded Futureプラットフォームの新しい追加機能が導入されるたびにプロセスを継続的に改善することができました。今後もさらに多くの機能を構築していく予定です。

This view also helps Bitdefender’s team uncover external risks that customers wouldn’t otherwise be aware of. This includes shadow IT, like code for a discontinued project on a GitHub page, or a recently registered domain that resembles the customer’s domain.
Prioritization is critical for threat hunters and security analysts to protect a wide range of customer environments. While many intelligence feeds offer good information, Nikkel says, they often lack context to help drive action.

“Recorded Future allows me to gain access to extra contextual information,” says Nikkel. “This data helps me understand where I need to prioritize versus just receiving a dump of 70 indicators that lack context.”
Together with the existing intelligence sources, the information in the Recorded Future Intelligence Cloud helps facilitate the threat hunting process, as well as incident response. The CTI team can research potentially malicious indicators to find out more about them through Recorded Future and enable the SOC’s investigation and assessment.

その結果、Bitdefender MDRの脅威ハンターと顧客に利益をもたらす、より成熟したCTI機能が実現します。「繰り返し可能でスケーラブルなインテリジェンスフィードがあれば、調査に役立つコンテキストや追加情報を簡単に見つけることができます。これらすべての機能のおかげでチームのプロセスを成熟させ、お客様によりよい成果をもたらすことができました」とNikkel氏は言います。