Citizens Financial Group

Citizens Financial Group Banksが脅威インテリジェンスを活用してレジリエンスを強化

ユースケース：

脅威ハンティング（高度な検知と検証）
高度な脅威調査とレポート
ダークウェブ調査

課題：
脅威の調査、リスクの評価、関係者への実用的なレポートの提供にかかる時間と労力を削減する

製品：
Recorded Future 脅威インテリジェンス

成果：

関連する脅威の迅速な検知とより良い理解
特定の脅威アクターに対する注力の強化
セキュリティチーム間のコラボレーションが強化され、レジリエンスが向上
ジュニアアナリストのスキルが向上
チームの優先事項に対する自信の向上

Citizens Financial Group Banksが脅威インテリジェンスを活用してレジリエンスを強化

アメリカの銀行持株会社であるCitizens Financial Groupは、Recorded Futureと連携してリスクを評価し、レスポンスをスピードアップするだけでなく、脅威を追跡し、完成したインテリジェンスを提供

信頼できる金融サービス企業は、あらゆる局面のリスクを評価することで、評判を保護します。Citizens Financial Groupのような先進的な企業は、脅威の調査、インシデントレスポンスの迅速化、コラボレーションの促進、積極的なセキュリティ対策の構築のために、質の高い脅威インテリジェンスを活用しています。

「私たちはオープンソースインテリジェンスに大きく依存していたため、もっと多くのことをできないか模索していました」と、Citizensの脅威インテリジェンスチームのマネージャーであるLea Cure氏は話してくれました。「セキュリティ運用を改善し、高品質の完成レポートを関係者に配布するために、より信頼性が高く成熟した脅威インテリジェンスを取得したいと考えていました。」

そのため、CureはRecorded Futureと契約して、オープンまたは公開のインテリジェンス情報源やピアシェアリングネットワークだけでは得られない詳細な評価、コンテキスト、分析を追加しました。

インテリジェンスがオペレーションを加速

Citizens Financial Groupのチームは、すぐに脅威情報を戦略的なサイバーセキュリティイニシアチブや日常業務に統合し始めました。Recorded FutureのIntelligence Cloudを活用するので、オープンソースインテリジェンスからの大幅なアップグレードになり、チームはリスクの特定、調査、緩和にかかる貴重な時間を節約しています。

「Recorded Futureは標的型脅威を警告することで、我々の時間を大幅に節約してくれます。特にTelegramやダークウェブといった非公開の情報源において、より多くのデータにアクセスしてスクレイピングできる能力は極めて価値があります。関連するインテリジェンスについてアナリストにタイムリーに通知されることで、ワークフローが大幅に改善されます」とCure氏は話しています。

Cureによると、チームはRecorded Futureの高度なクエリ機能を活用して、実用的な洞察を迅速に見つけることができます。「以前は、評価にコンテキスト情報を追加するために、オープンソースの調査にかなりの時間を費やしていました。Recorded Futureを使用すると、検索対象を正確に指定し、関連性のない情報を除外できるため、週に少なくとも10時間節約できます」とCure氏は言います。

「ノイズはすべてフィルタリングされているので、時間とリソースを使って当社に関係のあることを掘り下げることができます。Recorded Futureが作業を代行してくれるので、私たちは行動に専念できます。」

脅威、脅威アクター、攻撃者の戦術・手法・手順（TTPs）をより深く理解することは、セキュリティチームが監視と検知の範囲のギャップを特定して埋めるのに役立ちます。Cure氏は、チームで攻撃者の履歴を掘り下げ、複数の脅威アクターとキャンペーンの可能性を探求すると述べています。

「Recorded FutureのSigmaルールは、私たちの脅威ハンターに貴重な技術的洞察を提供します。特定のマルウェアがどのように機能するかを理解することで、ハンティングの仮説を立てて、私たちの環境内での同様の行動を特定することができます」と彼女は説明します。「そうすると、『これらの脅威に対する適切なツール、ログ記録、モニタリングは実施されていますか？』などと尋ねることができます。私たちの環境内でそのようなシグネチャを見つけて識別できるでしょうか？」

Recorded Futureを使用すると、検索しているものを正確に指定し、関連性のない情報を除外できるため、週に少なくとも10時間節約できます。

Lea Cure

Citizens Financial Group 脅威インテリジェンスチームマネージャー

リスクの評価から回避まで

Citizens Bankのセキュリティチームは、既知の脅威を調査するだけでなく、リアルタイムの脅威インテリジェンスを使用して、リスク管理のライフサイクル全体を通じて戦術的および戦略的なセキュリティ業務を改善しています。

防御側が攻勢に転じるのを支援する

Citizensは、防御を評価および強化するために設計された積極的な演習に脅威インテリジェンスを統合しています。「私たちは、レッドチームと緊密に連携して、チームの作業の『偵察』フェーズ中に、脅威アクターが使用した手法の種類、手法の最終的な使用状況、および脅威アクターが使用したTTPsに関する技術的な詳細を提供します」と脅威インテリジェンスマネージャーは説明します。「私たちはRecorded Futureを活用して過去のキャンペーンや攻撃を調査し、脅威アクターがどのような手法を使用したかを判断し、ネットワーク防御を回避しようとする活動をチームが模倣できるようにしています。」

「In the Wild（現実に発生している）」脅威のハンティング

同社はまた、脅威インテリジェンスを活用して、増え続ける脅威ハンティング演習を構築しています。脅威ハンターは、Recorded FutureのInsikt Groupが作成した検知機能を活用して、自社環境の中で脅威アクターの活動を探します。「Recorded Futureは、自社環境内で脅威の仮説を構築して運用する際に、調査を行う場として最適です」とCure氏は言います。「当社の脅威ハンターは、Recorded FutureのInsikt Groupが提供するSigmaルールと過去の攻撃やTTPsに関する履歴情報を使用して当社のツールを照会し、攻撃を識別できるかどうかを確認できます。」

サードパーティリスクを緩和する

ほとんどの金融サービス組織と同様に、Citizensはサードパーティリスクの監視を重視しています。Recorded FutureのThreat Intelligenceは、Tier 1サプライヤーと重要な技術ベンダーに対するリスクの監視と伝達に役立ちます。Cure氏は、「このプラットフォームを使用して、ダークウェブやランサムウェア脅迫サイトでサプライチェーンのパートナーに関する言及を見つけることができるため、何か悪いことが起きる前に、パートナーが気付いていない可能性のあるリスクを伝えることができます」と述べています。

上位の利害関係者に情報を提供

Citizens Bankの脅威インテリジェンスチームは、定期的に四半期、半期、年末にレポートを作成し、上層部の利害関係者に提供しています。プラットフォームを使用して詳細な分析を行うとともに、Recorded FutureのInsikt Groupからのインサイトを活用することで、完成したインテリジェンスを提供するプロセスが効率化されます。

「当社のアナリストは、Recorded FutureのInsikt Groupが発行する年末レポートから、脅威に関する多くの情報を活用できます」とCure氏は言います。「レポートにある情報を再利用できるため、社内の利害関係者にとって有意義な評価の開発に時間とリソースを集中させることができます。その情報にアクセスできるようになると、アナリストらの仕事は本当に簡素化されます。」

さらに、このプラットフォームにより、アナリストはサイバー防衛チームに「実際に何が起こっているのか」を説明することができます。「大まかな経営幹部向けレポートを作成するのではなく、特定の脅威アクターが使用する正当なツールや手法を非常に詳細かつ技術的に説明し、攻撃のキルチェーンを詳しく調べることができます。」

「Recorded Futureは、新人アナリストや経験の浅いアナリストがスキルを向上させ、自らを教育し、プラットフォーム内で見つけたものについて多くを学べる、非常に充実したリソースです」

Lea Cure

Citizens Financial Group 脅威インテリジェンスチームマネージャー

チームはインサイトを活用して成長する

セキュリティオペレーションの多くの側面にモダナイゼーションを取り入れ、脅威インテリジェンスを活用することで、セキュリティ専門家が自ら学習し、チーム間の戦略的なやり取りを促進できるようになります。「部門間の連携を強化することが、今年の私たちの大きな焦点です」と脅威インテリジェンスチームのリーダーは説明します。「Recorded Futureは、私たちが受ける情報要求（RFI）に応えるために必要な調査をワンストップで実行できる環境を提供してくれます。特にダークウェブ市場やフォーラム内にある、一般の人やアナリストがアクセスできないデータにアクセスすることができます。それが他のチームにとって非常に貴重です。」

アナリストにより深い理解を提供

日常業務を合理化することで、同社は貴重なサイバーセキュリティ専門家のスキルを向上させ、負担を軽減することができます。「Recorded Futureは、新人アナリストや経験の浅いアナリストがスキルを向上させ、自らを教育し、プラットフォーム内で見つけたものについて多くを学べる、非常に充実したリソースです」とCure氏は説明します。「当社の経験豊富なアナリストは、評価を行う際に深く掘り下げて検討することができ、単に『注意すべき脅威が存在する』と言うのではなく、もっと深いレベルで脅威を理解し、説明することができます。」

次に何が起こるか？

Citizens Bankは、多方面でRecorded Futureを活用し、セキュリティ強化に向けた革新を進める中で、脅威インテリジェンスの使用を拡大する予定です。Cure氏は「Recorded FutureのPayment Fraud IntelligenceとIdentity Intelligenceのサービスについて徹底的に調査を始めたので、価値あるユースケースがいくつか見つかることを期待しています」と述べ、さらに「集中的に標的にされる業界のあらゆる企業に、高度な脅威インテリジェンスへの投資を推奨します。Recorded Futureを利用することで、オープンソースインテリジェンスだけを使用する場合よりも戦略的かつ積極的になり、より迅速に行動できるようになります」と付け加えています。