Highmark Health

Highmark Health、Recorded FutureでSOCの自動化を加速

目標

脅威を早期に特定し、効果的なIOCの優先順位付けとセキュリティワークフローの自動化によって攻撃を防ぎます。

課題

内部リソースに限りがあるため、脅威インテリジェンスに対してムラがあり、リアクティブなアプローチとなっている

解決策

Health-ISAC（情報共有分析センター）のデータとインサイトを統合したRecorded Future threat intelligence

成果

IOCの自動トリアージ
タイムリーで正確な脅威インテリジェンスに基づく、より迅速かつ確実な意思決定
脅威を早期に特定し、迅速なレスポンスと解決を可能にするプロアクティブなアラート
脅威インテリジェンス運用全体における生産性と効率の向上

課題

リアクティブな脅威インテリジェンスアプローチでは、医療システムやデータにリスクが生じる

今日、医療機関はあらゆる方面でサイバー脅威に直面しています。コネクテッド医療機器やシステムで拡大し続けるエコシステムは、患者の記録や個人を特定できる情報、さらにはバイオメトリクスや知的財産といった貴重なデータの宝庫であり、脅威アクターにとって魅力的なターゲットとなっています。脆弱性、ランサムウェアの脅威、患者データの盗難は、Highmark Healthのセキュリティ専門家が夜も眠れないほど悩まされている多くの懸念事項のほんの一部です。

「2020年以前、当社の脅威インテリジェンスプログラムは、何か大きなことが起きるとレポートを作成するという、ほとんど事後対応的な機能でした。しかし、一貫性がなく、1人の専任チームメンバーが管理することはもちろん、規模を拡大することも困難でした」と、Highmark Healthのチーム情報リスク管理マネージャーのEd Marrow氏は説明します。「しかし、COVID-19をきっかけにすべてが変わり、タイムリーで正確な脅威インテリジェンスが緊急に必要となりました。」

解決策

チームワークと強力な統合で、業界で共有するインテリジェンスを次のレベルに引き上げる

組織全体の複数のセキュリティオペレーションセンター（SOC）チームが集結しました。脅威管理チームのリーダー、Katie Schwalenが率いる「SWATチーム」が結成されると、プログラムの成熟や、Highmarkをプロアクティブに保護するための実用的で価値の高い脅威インテリジェンスの生成に取り組みました。

Health-ISACとRecorded Futureは、当社が最も頼りにするインテリジェンスパートナーです。この統合で、関係はさらに強固なものとなりました。もし経営陣が自社のSOCの自動化を推進しているのであれば、この統合は絶対になくてはならないものです。

Katie Schwalen

Highmark Health、脅威管理チームリーダー

「私たちの主な目的の一つは、ヘルスケア業界の内外で情報共有関係を育み、維持することです」とSchwalen氏は説明します。多くの医療機関と同様に、Highmark Healthチームは、対象を絞った医療情報を得るために、医療セクター内の重要なインフラストラクチャの所有者と運営者で構成される大規模なコミュニティであるHealth-ISACに依存しています。

「セキュリティ業務は全体として非常に孤独な仕事です」とMarrow氏は付け加えます。「SOCで業務をしていると、他に何が起こっているのかが見えません。情報に基づいた意思決定と安心を得るには、他のセキュリティ専門家と話したり情報を共有したりすることが欠かせません。結局のところ、私たちは一緒になって敵対者から身を守っているのです。」

Recorded Futureのリアルタイムの脅威インテリジェンスは、オープンウェブ、ダークウェブ、テクニカル情報源、独自のリサーチなど、他の追随を許さない数多くの情報源から取得されます。これをH-ISACの共有インサイトと合わせて活用するのは、Highmarkのチームにとって当然の考えでした。

Recorded FutureのインテリジェンスをH-ISACのインテリジェンスと統合することで以下が可能となり、Highmarkのチームは影響力を高め、ネットワークをプロアクティブに保護することができます。

リアルタイムで実用的な脅威インテリジェンスにより、Health-ISACコミュニティからのインサイトを強化
H-ISAC WeeSecretsチャットの生データを、コンテキスト化された完全なインテリジェンスにすばやく変換し、迅速かつ確実な意思決定を実現
手作業のIOCトリアージの自動化と意思決定の迅速化
活発な脅威アクターの特定、追跡、理解の向上
地政学的段階の脅威など、より広範な脅威の状況全体にわたる可視性の獲得

Recorded Futureは、当社の環境に特化した、高度にカスタマイズ可能なセキュリティインテリジェンスを提供します。プラットフォームを詳しく調べ、表示されているアラートに対処し、Health-ISACから受け取るインテリジェンスを強化できます。またその逆も可能で、これは私たちにとって大きな勝利です。

Katie Schwalen

Highmark Health、脅威管理チームリーダー

結果

実用的なインテリジェンスで標的型脅威からプロアクティブな保護を推進する

「危機の際には、Health-ISACとRecorded Futureの両方のデータを組み合わせて検証する能力が非常に有益であることが証明されています」とSchwalen氏は言います。

2020年10月、FBIは米国の病院や医療機関に対し、Ryukランサムウェア攻撃の差し迫った脅威についてアラートを発した際の対応が例として挙げられます。Highmarkは直ちにサイバーインシデントレスポンスチームを立ち上げ、病院や関係者のシステムを強化しました。「Recorded Futureの脅威インテリジェンスは、RyukとTrickbotのマルウェア指標に関するリアルタイムアラートから、IOCの自動取り込み、ウェビナー、組織を保護するための規範ガイダンスまで、このインシデント発生時に不可欠でした」とSchwalen氏は指摘します。

「Recorded Futureは、当社の環境に特化した、高度にカスタマイズ可能な脅威インテリジェンスを提供します」と同氏は言います。「プラットフォームを詳しく調べ、表示されているアラートに対処し、Health-ISACから受け取るインテリジェンスを強化できます。またその逆も可能で、これは私たちにとって大きな勝利です。」

同氏は次のように結論付けます。「Health-ISACとRecorded Futureは、当社が最も頼りにするインテリジェンスパートナーです。この統合で、関係はさらに強固なものとなりました。もし経営陣が自社のSOCの自動化を推進しているのであれば、この統合は絶対になくてはならないものです。」