DuPont Reduces Mean Time to Respond by 10x with Automated Threat Intelligence

Global innovation leader uses Recorded Future to stand up new SOC, trace targeted phishing attacks from Asia back to 2 compromised vendors out of 300, and prioritize 10 critical vulnerabilities from 10,000 total across restructured enterprise.

When Global Cyber Threat Leader Bob Stasio joined DuPont in 2019 after the company's sweeping restructuring, he found high mean time to respond, incidents thrown over the wall without context, and no strong threat intelligence focus.

Goal

Enhance threat research and disrupt adversaries by empowering a new SOC to triage, mitigate, and remediate threats faster across the restructured global enterprise.

課題

DuPont's restructuring introduced cybersecurity risks through team shifts, new technologies, and inconsistent security practices creating potential gaps. The new 24-member global cyber threat team faced high mean time to respond without threat intelligence to understand adversaries targeting intellectual property and trade information.

成果

Recorded Future's automated intelligence reduced mean time to respond by 10x through machine learning that filters alerts on the front end—only critical threats with few false positives reach the team. When Formbook malware hit an Asia plant via targeted phishing, Intelligence Cards and Insikt Group analysis traced the attack to a compromised third-party vendor, narrowing 300 suspects to 2. Vulnerability Intelligence prioritizes 10 critical vulnerabilities from 10,000 total, convincing IT to take infrastructure down for patches by demonstrating real risk.

From High MTTR to "Incident Response 2.0"

DuPontは200年以上にわたり、人生を変えるような発見と技術的ブレークスルーの代名詞であり続けてきました。長年にわたり、企業は数多くの合併や買収を経験しています。つい最近、将来を見据えて事業を全面的に再編し、人々がより安全で健康的な生活を送るのに役立つ重要なイノベーションを提供し続けています。このような移行期間は、あらゆる組織に新たなサイバーセキュリティリスクをもたらす可能性があります。通常、チーム構造に変更が加えられ、新しいテクノロジーも追加され、脅威アクターが悪用しようとするギャップを生み出す可能性のある多様で一貫性のないセキュリティ慣行が導入されます。

これらのリスクを踏まえ、DuPontは企業全体で効果的にリスク管理を行うグローバルなサイバー脅威チームと持続可能なプログラムの構築に注力しました。サイバー脅威の世界的リーダーであるBob Stasioが2019年後半に就任すると、すぐにテコ入れに着手しました。まず取り掛かったのは、新しい社内セキュリティオペレーションセンターの設立です。ビジネスメールの侵害、不正行為、データ損失、さらには組織の取引情報や知的財産を狙った高度な持続的脅威など、さまざまなインシデントを調査する機能をこのセンターが担います。

「脅威インテリジェンスへの取り組みが不足していました」とStasio氏は振り返ります。「業務は外注され、インシデントはコンテキストなしで丸投げといった状況でした。まずは起こっていることを理解する必要がありました。」

Stasio氏はチームを構築しながら、多くのインシデント処理を自ら行うことから始めました。「この初期段階では対応までの平均時間が長く、アラートを受け取ってからトリアージ、緩和、修復までにかなりの時間がかかりました。」

しかしStasio氏には、脅威インテリジェンスに基づいた「インシデントレスポンス2.0」のアプローチで、この重要なKPIを引き下げるビジョンと計画を持っていました。

Actionable Intelligence Empowers Rapid Decision-Making

NSA、米軍サイバーコマンド、そしてBloombergやIBMなどの民間大手企業で輝かしいキャリアを築いた米国退役軍人のStasio氏は、脅威インテリジェンス活動とサイバー空間での活動の間に強い類似点を見出しています。「サイバーセキュリティでは、軍隊のように情報がほとんどない環境で活動しなければならないことがよくあります。起こっていることの初期の指標や傾向を探し、それを推定してすかさず決定を下す必要があります。」

脅威アクターを理解する能力、そしてどのような状況で妨害しなければならないかを理解することは、これらの取り組みを加速し、拡大するために重要です。そこで脅威インテリジェンスが役立ちます。「私は長年Recorded Futureを知っていて、民間部門にいた頃に協力したことがあり、信頼していました」とStasio氏は語ります。「DuPontに加わってから最初に電話をかけた先の一つがRecorded Futureでした。」

Recorded Future独自の技術で、膨大なデータを収集・分析し、リアルタイムで関連する洞察を提供します。これにより、セキュリティチームは誤検知をいち早くトリアージし、優先度の高いアラートを自動的に特定し、他に類を見ないほど幅広い情報源やエビデンスを簡単に掘り下げてより詳細な分析を行うことができます。Recorded Futureの導入後、DuPontの24名からなるグローバルサイバー脅威チームは、実用的なインテリジェンスの威力をすぐに実感し、脅威調査の強化やサイクルをスピードアップに役立てられました。

フィルタリングとトリアージの多くを初期段階で行えるようにチームを構成しました。Recorded Futureの機械学習と自動化された脅威インテリジェンスにより、本当に重要なアラートだけがチームに通知され、誤検知はほとんどありません。

Bob Stasio

グローバルサイバー脅威リーダー

Stasio氏は、Recorded FutureがDuPontに力を与えて脅威アクターを混乱させた方法の数多くの例を挙げています。たとえば、「Formbookマルウェアを使った標的型フィッシング攻撃がアジアの工場の1つを襲いました。Recorded Future Intelligence Cards™へのアクセスとInsiktチームの優れたメモにより、サンドボックスでマルウェアを調べ、攻撃を情報漏洩したサードパーティベンダーにまで遡ることができ、300社のベンダーリストをわずか2社にまで絞り込むことができました。Recorded Futureがなければ、それは不可能でした」と語ります。

別の機会には、チームはRecorded Futureを利用して、高度なマルウェアキットを迅速に特定してシャットダウンし、その成功を経営陣に報告しています。「より深く掘り下げて、リスクに基づいた高レベルのインサイトを提供する専門的なレポートを作成し、尊敬される学術グループに支えられていることは非常に強力です」とStasio氏は言います。

チームは脆弱性管理の取り組みを合理化し、正当化する目的でも脅威インテリジェンスを利用しています。「IT部門にインフラストラクチャを停止させるのは、たとえ1分のパッチ適用でも非常に困難です」とStasio氏は述べます。「Recorded Futureを使用すると、実際にリスクをもたらす脆弱性に優先順位を付けることができるため、『これらの10,000件の脆弱性のうち、次の10件に特に注力する必要がある』と言えるようになります。」

10x MTTR Reduction Proves Intelligence Is the Linchpin

Stasio氏は、Recorded Futureを利用してチームの成果を確証を持って数値化できます。「脅威インテリジェンスを使用して脅威の重要度とコンテキストを理解することで、平均対応時間を10分の1に短縮できました。」

I view incident response in three steps. The first step is to confirm or deny there’s an issue. The second step is to determine scope and scale. And the last is to remediate and get back to normal. To confirm or deny if it’s a false positive, threat intelligence is absolutely vital. You can’t do anything else until you confirm that it’s really an issue and wrap some context around it. Is this just a random drive-by malware or is this an advanced persistent threat trying to get into my network? And that will determine how you respond to it, how much time you spend on it, and how much effort you want to put against a particular alert. Threat intelligence is really the linchpin across this entire process.

Bob Stasio

グローバルサイバー脅威リーダー

DuPontはアジア、ヨーロッパ、米国にオフィスと製造施設を構え、研究センターと工場内にはSCADA（監視制御とデータ取得）ネットワークが導入されています。世界中に物理資産とデジタル資産を数多く有しているため、大規模な新たな脅威に対する防御と対応には自動化が不可欠です。チームが自動化の取り組みを進化させるにつれ、Stasio氏はチームがすでに使用している自動化ツールにRecorded Futureの脅威インテリジェンスを直接統合する予定です。ワークフローを中断することなく、より効果的で迅速な意思決定が期待できます。