ユースケース：
ダークウェブ監視、脅威ハンティング、脅威検知、アラートトリアージ、漏洩した認証情報の発見と修復

課題：
サイバーセキュリティの脅威を検出し対応するまでに過剰な時間がかかる。

解決策：
Recorded Futureインテリジェンスクラウド

成果：

• 既存のセキュリティワークフローに統合された、追加的で実用的な信頼できる脅威インテリジェンス
• 積極的でより効率的な脅威ハンティング
• リスクの優先順位付けの改善
• 高度なCTI機能と能力

セキュリティインシデントの対応時は、時間との闘いです。残念ながら、サイバーセキュリティのスキルは需要が高く供給が不足しているため、多くの組織は攻撃をタイムリーに阻止するためのリソースが不足しています。そのため、企業はMDR（managed detection and response）サービスを求めてBitdefenderを採用しています。そしてBitdefenderのチームは、タイムリーで実用的な脅威インテリジェンスを実現するために、Bitdefender独自の脅威インテリジェンスとともにRecorded Futureを活用しています。

BitdefenderのMDRサービスのサイバー脅威インテリジェンス（CTI）チームは、脅威アクターに有利になるようなギャップを埋めることの重要性を理解しています。言い換えれば、適切な専門知識を適切なタイミングで適切な担当者に提供する必要があるということです。CTIチームは、独自の脅威インテリジェンスやサードパーティ製のツールなど、さまざまな有用な社内ツールやデータを使用しています。その中でもRecorded Futureは、脅威の状況を包括的にイメージするためにデータを集約して相関させる上で重要な役割を果たし、社内データとサードパーティデータの検証やコンテキストの追加を支援しています。

両社は強力なパートナーシップを結んでおり、Recorded FutureはBitdefenderのフィードから脆弱性、IP、Webリソースの評判、運用上のインサイトなどの脅威インテリジェンスをRecorded Future Intelligence Cloudに取り込んでいます。

「追加の脅威インテリジェンスを1か所に集約することで節約できる時間と労力は、大きな戦力強化につながります。私たちの主な目標は、攻撃者よりできるだけ先回りした対策を取ることです」と、Bitdefender MDRのリードCTIアナリスト、Sean Nikkel氏は述べます。

完全なソリューションで、製品化までの時間を短縮します

Bitdefender MDRサービスを開始する前に、チームは自社のユースケースに最適なソリューションを見つけるために、市場にある複数の脅威インテリジェンスソリューションを評価しました。主なユースケースには、MDR顧客の露出リスクの監視、内部データの検証、調査と分析の深掘りなどがありました。

「運用を開始するために必要な要件の多くをRecorded Futureは満たしていました。すべてがすでに揃っていて、初日からすぐに使える状態でした」とNikkel氏は言います。「このプラットフォームが便利な理由は、Recorded Futureにはダークウェブへのアクセスがすでにあり、スケーラブルな方法で独自のインサイトに深いコンテキストを追加できるためです。このおかげで、私たち独自の脅威インテリジェンスも一部含む、多数の情報源の可視性が得られます。」Recorded Futureを使用すると、インテリジェンスチームによるダークウェブの監視という顧客からの主要な要望にも対応できます。」

インテリジェンスは積極的なリスク緩和を可能にします

Recorded Futureの脅威インテリジェンスは、Bitdefender MDRチームが顧客のリスクを積極的に管理するのに役立ちます。「最初の一歩は認識することです。それは、何がどこで公開されているか、そしてそれが自社にとってどのように不利に働く可能性があるかを理解するということです。これらの脅威を知ることで、顧客のリスクを緩和することができます」とNikkel氏は言います。

Bitdefender MDRチームはRecorded Futureのプラットフォームを活用して、顧客の環境にあるギャップを特定し、防御を積極的に強化するのに役立つ推奨事項を作成して、現実に発生しているアクティブな脅威から保護することができます。また、CTIチームは脅威を迅速に検出するためにアラートも活用しています。たとえば、インフォスティーラーのマルウェアログは、IDの侵害に関するタイムリーな情報を提供します。

CTIチームは、認証情報の漏洩に関するアラートを受け取ってから数分以内に、セキュリティアカウント管理者を通じて顧客に通知を送り、積極的なハンティングを通じて、影響を受ける可能性のあるアカウントの侵害の兆候を確認する手順を実行します。Recorded Future Intelligence Cloudは、Bitdefender MDRチームが顧客を迅速に保護するのに役立ちます

Recorded Futureは脅威ハンターがよりスマートに対応できるよう支援します

情報が適宜、適切な人に確実に届くように、CTIチームはRecorded FutureのAPIを活用して、インテリジェンスフィードを他の脅威インテリジェンス情報源とともにBitdefenderのSOARに統合しています。アラートが発生すると、チームはリサーチケースを開き、それをSOCまたはカスタマーサクセスチームに伝えます。「Recorded Futureにより、さまざまなチーム間のコミュニケーション方法が自動化されて繰り返し可能な形で強化され、レスポンスにかかる時間をさらに短縮できました」とNikkel氏は述べています。CTIチームは統合を行うことで、Recorded Futureプラットフォームの新しい追加機能が導入されるたびにプロセスを継続的に改善することができました。今後もさらに多くの機能を構築していく予定です。

この視点は、他の方法では顧客が気づかない外部リスクをBitdefenderのチームが明らかにするのにも役立ちます。これには、GitHubページ上の廃止されたプロジェクトのコードや、顧客のドメインに似た最近登録されたドメインなどのシャドーITが含まれます。

優先順位付けは、脅威ハンターやセキュリティアナリストが幅広い顧客環境を保護するために不可欠です。Nikkel氏によると、多くのインテリジェンスフィードはよい情報を提供する一方、大抵の場合行動を促すのに役立つコンテキストが不足しています。

「Recorded Futureを使用すると、追加のコンテキスト情報にアクセスできるようになります」とNikkel氏は語ります。「このデータは、コンテキストがない70の指標のダンプを受け取るよりも、どこに高い優先順位を付ける必要があるかを理解するのに役立ちます。」

既存のインテリジェンスソースと合わせて、Recorded Future Intelligence Cloudの情報は、脅威ハンティングプロセスやインシデントレスポンスの促進に役立ちます。CTIチームは、Recorded Futureを通じて悪意の可能性のある指標を調査し、SOCによる調査と評価を可能にします。

その結果、Bitdefender MDRの脅威ハンターと顧客に利益をもたらす、より成熟したCTI機能が実現します。「繰り返し可能でスケーラブルなインテリジェンスフィードがあれば、調査に役立つコンテキストや追加情報を簡単に見つけることができます。これらすべての機能のおかげでチームのプロセスを成熟させ、お客様によりよい成果をもたらすことができました」とNikkel氏は言います。