As a major American bank holding company, Citizens Financial Group's reputation depends on rigorous risk assessment and proactive security. Threat Intelligence Manager Lea Cure's team relied heavily on open-source intelligence but needed more reliable, mature threat intelligence to elevate security operations and deliver finished reports to stakeholders.

Research consumed significant time, third-party risk monitoring was limited, and analysts lacked access to closed sources like Telegram and dark web forums where critical threat information lived. Citizens needed premium intelligence that could streamline workflows, deepen threat understanding, and enable proactive defense. Recorded Future became that strategic upgrade.

Goal

Reduce time and effort spent researching threats, enhance risk assessment capabilities, and deliver actionable finished intelligence reports to stakeholders across the organization.

課題

Citizens Financial Group's threat intelligence team relied heavily on open-source intelligence that required significant time to research and lacked the reliability needed to improve security operations. They needed access to closed sources like dark web forums and Telegram channels, along with mature intelligence that could help them deliver high-quality finished reports to stakeholders while enabling more proactive security practices.

成果

Citizens Financial Group's shift to Recorded Future cut weekly research time by at least 10 hours, allowing analysts to pinpoint relevant intelligence instead of sifting through open-source noise. Access to closed sources—dark web marketplaces, forums, and Telegram channels—unlocked intelligence previously unavailable to the team.

Sigma rules from Insikt Group fuel threat hunting operations, helping analysts develop hypotheses and validate whether existing detection tools would catch similar attacks in their environment. The Red Team now incorporates real attacker TTPs during reconnaissance phases of engagements, testing defenses against authentic adversary behaviors documented in the platform. When Tier One suppliers or critical vendors appear on dark web sites or ransomware extortion lists, the team receives alerts that enable proactive risk communication before incidents escalate.

Quarterly and annual executive reporting became more efficient as analysts leverage Insikt Group's published research, freeing time for deeper internal assessments. Junior analysts build expertise through the platform's comprehensive threat data, while experienced team members provide technical, granular explanations of attack kill chains to cyber defense teams—moving beyond high-level summaries to actionable defensive guidance.

Citizens Financial Group Transforms Threat Operations from Reactive Research to Proactive Defense

American bank holding company Citizens Financial Group integrates Recorded Future to assess risk, speed response, hunt threats, and deliver finished intelligence.

信頼できる金融サービス企業は、あらゆる局面のリスクを評価することで、評判を保護します。Citizens Financial Groupのような先進的な企業は、脅威の調査、インシデントレスポンスの迅速化、コラボレーションの促進、積極的なセキュリティ対策の構築のために、質の高い脅威インテリジェンスを活用しています。

「私たちはオープンソースインテリジェンスに大きく依存していたため、もっと多くのことをできないか模索していました」と、Citizensの脅威インテリジェンスチームのマネージャーであるLea Cure氏は話してくれました。「セキュリティ運用を改善し、高品質の完成レポートを関係者に配布するために、より信頼性が高く成熟した脅威インテリジェンスを取得したいと考えていました。」

そのため、CureはRecorded Futureと契約して、オープンまたは公開のインテリジェンス情報源やピアシェアリングネットワークだけでは得られない詳細な評価、コンテキスト、分析を追加しました。

インテリジェンスがオペレーションを加速

Citizens Financial Groupのチームは、すぐに脅威情報を戦略的なサイバーセキュリティイニシアチブや日常業務に統合し始めました。Recorded FutureのIntelligence Cloudを活用するので、オープンソースインテリジェンスからの大幅なアップグレードになり、チームはリスクの特定、調査、緩和にかかる貴重な時間を節約しています。

「Recorded Futureは標的型脅威を警告することで、我々の時間を大幅に節約してくれます。特にTelegramやダークウェブといった非公開の情報源において、より多くのデータにアクセスしてスクレイピングできる能力は極めて価値があります。関連するインテリジェンスについてアナリストにタイムリーに通知されることで、ワークフローが大幅に改善されます」とCure氏は話しています。

Cureによると、チームはRecorded Futureの高度なクエリ機能を活用して、実用的な洞察を迅速に見つけることができます。「以前は、評価にコンテキスト情報を追加するために、オープンソースの調査にかなりの時間を費やしていました。Recorded Futureを使用すると、検索対象を正確に指定し、関連性のない情報を除外できるため、週に少なくとも10時間節約できます」とCure氏は言います。

「ノイズはすべてフィルタリングされているので、時間とリソースを使って当社に関係のあることを掘り下げることができます。Recorded Futureが作業を代行してくれるので、私たちは行動に専念できます。」

脅威、脅威アクター、攻撃者の戦術・手法・手順（TTPs）をより深く理解することは、セキュリティチームが監視と検知の範囲のギャップを特定して埋めるのに役立ちます。Cure氏は、チームで攻撃者の履歴を掘り下げ、複数の脅威アクターとキャンペーンの可能性を探求すると述べています。

「Recorded FutureのSigmaルールは、私たちの脅威ハンターに貴重な技術的洞察を提供します。特定のマルウェアがどのように機能するかを理解することで、ハンティングの仮説を立てて、私たちの環境内での同様の行動を特定することができます」と彼女は説明します。「そうすると、『これらの脅威に対する適切なツール、ログ記録、モニタリングは実施されていますか？』などと尋ねることができます。私たちの環境内でそのようなシグネチャを見つけて識別できるでしょうか？」

リスクの評価から回避まで

Citizens Bankのセキュリティチームは、既知の脅威を調査するだけでなく、リアルタイムの脅威インテリジェンスを使用して、リスク管理のライフサイクル全体を通じて戦術的および戦略的なセキュリティ業務を改善しています。

Helping Defenders Take the Offensive

Citizensは、防御を評価および強化するために設計された積極的な演習に脅威インテリジェンスを統合しています。「私たちは、レッドチームと緊密に連携して、チームの作業の『偵察』フェーズ中に、脅威アクターが使用した手法の種類、手法の最終的な使用状況、および脅威アクターが使用したTTPsに関する技術的な詳細を提供します」と脅威インテリジェンスマネージャーは説明します。「私たちはRecorded Futureを活用して過去のキャンペーンや攻撃を調査し、脅威アクターがどのような手法を使用したかを判断し、ネットワーク防御を回避しようとする活動をチームが模倣できるようにしています。」

Hunting for Threats ‘in the Wild’

同社はまた、脅威インテリジェンスを活用して、増え続ける脅威ハンティング演習を構築しています。脅威ハンターは、Recorded FutureのInsikt Groupが作成した検知機能を活用して、自社環境の中で脅威アクターの活動を探します。「Recorded Futureは、自社環境内で脅威の仮説を構築して運用する際に、調査を行う場として最適です」とCure氏は言います。「当社の脅威ハンターは、Recorded FutureのInsikt Groupが提供するSigmaルールと過去の攻撃やTTPsに関する履歴情報を使用して当社のツールを照会し、攻撃を識別できるかどうかを確認できます。」

Mitigating Third-party Risk

ほとんどの金融サービス組織と同様に、Citizensはサードパーティリスクの監視を重視しています。Recorded FutureのThreat Intelligenceは、Tier 1サプライヤーと重要な技術ベンダーに対するリスクの監視と伝達に役立ちます。Cure氏は、「このプラットフォームを使用して、ダークウェブやランサムウェア脅迫サイトでサプライチェーンのパートナーに関する言及を見つけることができるため、何か悪いことが起きる前に、パートナーが気付いていない可能性のあるリスクを伝えることができます」と述べています。

Keeping High-level Stakeholders Informed

Citizens Bankの脅威インテリジェンスチームは、定期的に四半期、半期、年末にレポートを作成し、上層部の利害関係者に提供しています。プラットフォームを使用して詳細な分析を行うとともに、Recorded FutureのInsikt Groupからのインサイトを活用することで、完成したインテリジェンスを提供するプロセスが効率化されます。

「当社のアナリストは、Recorded FutureのInsikt Groupが発行する年末レポートから、脅威に関する多くの情報を活用できます」とCure氏は言います。「レポートにある情報を再利用できるため、社内の利害関係者にとって有意義な評価の開発に時間とリソースを集中させることができます。その情報にアクセスできるようになると、アナリストらの仕事は本当に簡素化されます。」

さらに、このプラットフォームにより、アナリストはサイバー防衛チームに「実際に何が起こっているのか」を説明することができます。「大まかな経営幹部向けレポートを作成するのではなく、特定の脅威アクターが使用する正当なツールや手法を非常に詳細かつ技術的に説明し、攻撃のキルチェーンを詳しく調べることができます。」

チームはインサイトを活用して成長する

セキュリティオペレーションの多くの側面にモダナイゼーションを取り入れ、脅威インテリジェンスを活用することで、セキュリティ専門家が自ら学習し、チーム間の戦略的なやり取りを促進できるようになります。「部門間の連携を強化することが、今年の私たちの大きな焦点です」と脅威インテリジェンスチームのリーダーは説明します。「Recorded Futureは、私たちが受ける情報要求（RFI）に応えるために必要な調査をワンストップで実行できる環境を提供してくれます。特にダークウェブ市場やフォーラム内にある、一般の人やアナリストがアクセスできないデータにアクセスすることができます。それが他のチームにとって非常に貴重です。」

Deeper Understanding for Analysts

日常業務を合理化することで、同社は貴重なサイバーセキュリティ専門家のスキルを向上させ、負担を軽減することができます。「Recorded Futureは、新人アナリストや経験の浅いアナリストがスキルを向上させ、自らを教育し、プラットフォーム内で見つけたものについて多くを学べる、非常に充実したリソースです」とCure氏は説明します。「当社の経験豊富なアナリストは、評価を行う際に深く掘り下げて検討することができ、単に『注意すべき脅威が存在する』と言うのではなく、もっと深いレベルで脅威を理解し、説明することができます。」

次に何が起こるか？

Citizens Bankは、多方面でRecorded Futureを活用し、セキュリティ強化に向けた革新を進める中で、脅威インテリジェンスの使用を拡大する予定です。Cure氏は「Recorded FutureのPayment Fraud IntelligenceとIdentity Intelligenceのサービスについて徹底的に調査を始めたので、価値あるユースケースがいくつか見つかることを期待しています」と述べ、さらに「集中的に標的にされる業界のあらゆる企業に、高度な脅威インテリジェンスへの投資を推奨します。Recorded Futureを利用することで、オープンソースインテリジェンスだけを使用する場合よりも戦略的かつ積極的になり、より迅速に行動できるようになります」と付け加えています。