Butler Snow's data security analyst Trey Thompson relied on publicly available vulnerability and threat information before discovering Recorded Future could provide extensive, accurate intelligence his small team managing many priorities couldn't dig up alone.

Goal

Prevent successful attacks by staying one step ahead of adversaries targeting confidential client information across 800 employees in 25 offices globally.

課題

Butler Snow lacked real-time context and actionable intelligence to inform security decisions while protecting clients across 50 states and 20 countries. The small security team needed a solution that improved threat visibility while facilitating maximum efficiency and speedy responses without impeding productivity.

成果

Brand Intelligence identified typosquatted domains within hours and exposed a BEC attack where hackers doubled invoice amounts in manipulated wiring instructions. Vulnerability Intelligence confirmed VMware exploitation risk warranted immediate patching despite performance concerns. Automated workflow replaced hours of manual firewall log analysis with one-pane-of-glass IP research.answer.

Butler Snow Mitigates Risk with Recorded Future Intelligence

法律業界は、知的財産、企業秘密、個人を特定できる情報（PII）、企業の財務情報などのクライアントの機密情報の宝庫であり、サイバー攻撃者の標的となってきました。約400人の弁護士を擁し、50を超える業務分野を担当し、全50州、コロンビア特別区、および20か国の顧客をサポートするフルサービスの法律事務所として、Butler Snow LLPはサイバー攻撃のリスクの高まりを痛感しています。

「クライアントサービスと満足度において全国的に認められている当社の卓越性を生み出す要素のひとつとして、当社では、クライアントの機密情報をサイバー犯罪者から守ることに取り組んでいます」とButler SnowのデータセキュリティアナリストであるTrey Thompson氏は述べています。「私たちのすべての取り組みの指針となる目標は、脅威アクターの一歩先を行くことで攻撃が成功しないよう防ぐことです。」

そのため、Butler Snowは、セキュリティ戦略における重大なギャップを埋めるためにRecorded Futureに目を向けました。「Recorded Futureのインテリジェンスを活用する前は、脆弱性と脅威に関する公開情報に頼っていました」とThompson氏は言います。「Recorded Futureの実際の動作を見たとき、リスクを緩和し、情報に基づいた意思決定を行い、セキュリティワークフローを合理化するために必要な広範かつ正確なインテリジェンスがひとつにまとめられた情報源を提供してくれることがわかりました。Recorded Futureは、特に多くの優先事項を管理するチームとして、私たちだけで発掘できる範囲をはるかに超える情報を提供してくれました。」

Balancing Proactive Defense and Automation Through Integrated Intelligence

Land O’Lakesチームは、積極的なセキュリティと自動化という2つの優先事項に重点を置いて、Recorded Futureプラットフォームを採用しました。

Recorded Future’s unique combination of automated data collection and human analysis across the broadest range of sources and languages generates high-quality, actionable intelligence. This threat intelligence integrates seamlessly into the Land O’Lakes team’s existing security stack — including a SIEM solution and orchestration tool — enriching internal data to help the team identify, assess, and contextualize threats in real time.

即時の価値を証明する。Butler Snowのセキュリティチームの戦略は、世界中の25のオフィスに分散し、増加し続ける同社の約800人の従業員の生産性を阻害することなく、セキュリティの層を可能な限り増やすことです。しかし、小規模なIT組織とさらに小規模なセキュリティチームでこれらの目標を達成するには、効率を大幅に高めてチームがより多くの成果を達成できるようにするツールが必要です。

どのインテリジェンスソリューションも、最も差し迫った脅威に対して事務所が持てる可視性を向上させるだけでなく、Butler Snowチームによる最大限の効率と迅速なレスポンスを促進するような方法でインテリジェンスを明らかにする必要があります。Recorded FutureはButler Snowのニーズをすべて満たしているように思われたため、セキュリティチームはこれをテストすることにしました。

「Recorded Futureで概念実証を行いましたが、数時間以内に少なくとも1つのタイポスクワットドメインが特定され、私たちが必要としていた価値が実証されました。この素晴らしい結果を受け、予算を確保し、Recorded Futureとともに前進することができました」とThompson氏は言います。同社は現在、Brand Intelligence、SecOps Intelligence、Vulnerability Intelligence、Threat Intelligence、Third Party Intelligenceモジュールを含むRecorded Future Intelligence Platformを活用しています。

好機を狙う敵からブランドとクライアントを保護する

Butler Snowのセキュリティチームは、Recorded Futureを使用してブランド価値とイメージを保護し、タイポスクワッティング、偽のログインページ、認証情報の盗用などのハッカーの手法からクライアントと従業員を保護しています。

最近、Butler Snowのクライアントが、Butler Snowの従業員から送信されたと思われる電子メールを受信しました。その電子メールには、Butler Snowに支払いを送金するための電信送金指示の変更が記載されていました。なりすましの被害に遭った従業員は、そのことについて何も知識がなく、自分のメールのパスワードが侵害を受けた可能性がある旨をButler Snowセキュリティチームに連絡しました。

Recorded FutureのBrand Intelligenceにより、Butler Snowはメールの情報源がタイポスクワットドメインであることをすぐに特定しました。チームはまた、Recorded Futureを使って、Butler Snowからとされるメールを受け取った人物を含む、クライアントのいくつかのアカウントから流出した認証情報を見つけました。さらにクライアントのフォレンジック作業により、クライアントのユーザーアカウントに他国からMicrosoft Office 365でログインしていた証拠が発見されました。

ハッカーはクライアントのメールを閲覧しており、Butler Snowからの請求書を見つけると、タイポスクワットドメインを作成して偽の送金手順を記載したメールを送信しました。ハッカーは、すでに相当な金額であった請求額をさらに操作し、実際の請求書の2倍に膨らませていました。「Recorded Futureのおかげで、ハッカーの陰謀によってクライアントが多額の損失を被るのを防ぐことができました」とThompson氏は言います。Thompson氏のチームは、Butler Snowのクライアントがこの攻撃の被害に遭わないようにしただけでなく、Brand Intelligenceでブランドイメージも守ったのです。

脆弱性の優先順位付けとパッチ適用の取り組み

脆弱性の管理は、どのような規模のIT組織にとっても時間のかかる作業です。リーンチームにとっては、どの脆弱性に最初に重点を置くべきか優先順位を決められることは、限られたリソースを正確に割り当てて深刻な脅威から保護するために不可欠です。

Butler Snowのセキュリティチームは、Recorded Future Vulnerability Intelligenceを使用して脆弱性に関するコンテキストを収集することで、IT組織が最も高いリスクに優先順位を付け、最も必要なところにリソースを割いているという確信を得ることができます。

Thompson氏は、「Recorded Futureから得られる情報は、Microsoft Exchangeなどの影響が大きいシステムのパッチがリリースされたときに特に役立ちます。Recorded FutureのVulnerability Intelligenceを使用して、脆弱性が実際に悪用されているかどうかを評価します。実用的な情報は、重要なシステムへのパッチに優先順位を付ける方法に関するグループの決定を促進し、検証するのに役立ちます」とThompson氏は言います。

VMwareがソフトウェアのパフォーマンスに影響を及ぼす可能性があったパッチをリリースした最近の例について、Thompson氏から話を伺いました。Butler Snowがパッチの適用が必須であるかどうかを判断するためにRecorded Futureを使用したところ、脆弱性が悪用されるリスクが高く、事務所のパフォーマンスへの影響が少ない新しいバージョンを待つよりも、ソフトウェアにパッチ適用する必要が実際にあることを特定しました。

即時の価値を証明する。Butler Snowのセキュリティチームの戦略は、世界中の25のオフィスに分散し、増加し続ける同社の約800人の従業員の生産性を阻害することなく、セキュリティの層を可能な限り増やすことです。しかし、小規模なIT組織とさらに小規模なセキュリティチームでこれらの目標を達成するには、効率を大幅に高めてチームがより多くの成果を達成できるようにするツールが必要です。

どのインテリジェンスソリューションも、最も差し迫った脅威に対して事務所が持てる可視性を向上させるだけでなく、Butler Snowチームによる最大限の効率と迅速なレスポンスを促進するような方法でインテリジェンスを明らかにする必要があります。Recorded FutureはButler Snowのニーズをすべて満たしているように思われたため、セキュリティチームはこれをテストすることにしました。

「Recorded Futureで概念実証を行いましたが、数時間以内に少なくとも1つのタイポスクワットドメインが特定され、私たちが必要としていた価値が実証されました。この素晴らしい結果を受け、予算を確保し、Recorded Futureとともに前進することができました」とThompson氏は言います。同社は現在、Brand Intelligence、SecOps Intelligence、Vulnerability Intelligence、Threat Intelligence、Third Party Intelligenceモジュールを含むRecorded Future Intelligence Platformを活用しています。

好機を狙う敵からブランドとクライアントを保護する

Butler Snowのセキュリティチームは、Recorded Futureを使用してブランド価値とイメージを保護し、タイポスクワッティング、偽のログインページ、認証情報の盗用などのハッカーの手法からクライアントと従業員を保護しています。

最近、Butler Snowのクライアントが、Butler Snowの従業員から送信されたと思われる電子メールを受信しました。その電子メールには、Butler Snowに支払いを送金するための電信送金指示の変更が記載されていました。なりすましの被害に遭った従業員は、そのことについて何も知識がなく、自分のメールのパスワードが侵害を受けた可能性がある旨をButler Snowセキュリティチームに連絡しました。

Recorded FutureのBrand Intelligenceにより、Butler Snowはメールの情報源がタイポスクワットドメインであることをすぐに特定しました。チームはまた、Recorded Futureを使って、Butler Snowからとされるメールを受け取った人物を含む、クライアントのいくつかのアカウントから流出した認証情報を見つけました。さらにクライアントのフォレンジック作業により、クライアントのユーザーアカウントに他国からMicrosoft Office 365でログインしていた証拠が発見されました。

ハッカーはクライアントのメールを閲覧しており、Butler Snowからの請求書を見つけると、タイポスクワットドメインを作成して偽の送金手順を記載したメールを送信しました。ハッカーは、すでに相当な金額であった請求額をさらに操作し、実際の請求書の2倍に膨らませていました。「Recorded Futureのおかげで、ハッカーの陰謀によってクライアントが多額の損失を被るのを防ぐことができました」とThompson氏は言います。Thompson氏のチームは、Butler Snowのクライアントがこの攻撃の被害に遭わないようにしただけでなく、Brand Intelligenceでブランドイメージも守ったのです。

脆弱性の優先順位付けとパッチ適用の取り組み

脆弱性の管理は、どのような規模のIT組織にとっても時間のかかる作業です。リーンチームにとっては、どの脆弱性に最初に重点を置くべきか優先順位を決められることは、限られたリソースを正確に割り当てて深刻な脅威から保護するために不可欠です。

Butler Snowのセキュリティチームは、Recorded Future Vulnerability Intelligenceを使用して脆弱性に関するコンテキストを収集することで、IT組織が最も高いリスクに優先順位を付け、最も必要なところにリソースを割いているという確信を得ることができます。

Thompson氏は、「Recorded Futureから得られる情報は、Microsoft Exchangeなどの影響が大きいシステムのパッチがリリースされたときに特に役立ちます。Recorded FutureのVulnerability Intelligenceを使用して、脆弱性が実際に悪用されているかどうかを評価します。実用的な情報は、重要なシステムへのパッチに優先順位を付ける方法に関するグループの決定を促進し、検証するのに役立ちます」とThompson氏は言います。

VMwareがソフトウェアのパフォーマンスに影響を及ぼす可能性があったパッチをリリースした最近の例について、Thompson氏から話を伺いました。Butler Snowがパッチの適用が必須であるかどうかを判断するためにRecorded Futureを使用したところ、脆弱性が悪用されるリスクが高く、事務所のパフォーマンスへの影響が少ない新しいバージョンを待つよりも、ソフトウェアにパッチ適用する必要が実際にあることを特定しました。

積極的なインテリジェンスワークフローで週に数時間も節約

Before implementing Recorded Future, researching IPs being blocked by the firm’s firewall and deploying defensive mitigations took up large amounts of time and effort. “Manually pulling firewall logs and reviewing and researching suspicious IPs was very time consuming before,” Thompson says. “Now, with Recorded Future, it’s an automated part of my regular workflow.”

Thompson uses Recorded Future’s browser extension to research the top ten IPs that tried to hit the firewall but were blocked. He builds context using intelligence from Recorded Future to determine if it’s something the firm should be worried about and take action to protect against. “Before, I relied on public information sources to find similar information, which was a manual process that took hours every week,” says Thompson. “Now, with Recorded Future, I get the information I need within one pane of glass.”

リーンセキュリティチームのリーチを拡大する

Butler Snowの小規模なセキュリティチームにとって、Recorded Futureは、チームの成果をさらに高めるもう1人の従業員を獲得したようなものです。「Recorded Futureから迅速に引き出すことができるインテリジェンスとコンテキストの量は、おそらく情報を特定する作業をフルタイムで行う1人の人員に相当するでしょう」とThompson氏は述べています。

他の法律事務所にどんなアドバイスをするかと尋ねると、Thompson氏は言います。「知ることは戦いの半分です。なぜなら、知らないものから身を守ることはできないからです。そこに何があるのかだけでなく、会社にとってどのような具体的な脅威が存在するのかを理解することが重要です。Recorded Futureは、実用的なインテリジェンスによって当社のブランド、従業員、顧客を保護する優れたソリューションです。」