Norwegian Government Agency Protects Telecom Sector with Vulnerability Intelligence

Nkom EkomCERT's Chief Security Engineer Ole Kristoffer Apeland needed deep, real-time, telecom-specific intelligence for Scandinavia—capabilities his small team lacked resources to obtain independently.

Goal

Identify malicious actors targeting Norwegian telecoms, determine exploited vulnerabilities, and map the evolving threat landscape to help communications companies prioritize mitigation and plan security investments.

課題

The small team needed telecom-specific intelligence filtered for Scandinavia to go beyond generic vulnerability scores and general trends. They required visibility into phishing, ransomware, DDoS, APTs, and fraud to help Norwegian telecom companies plan staffing and security technology investments.

成果

Splunk integration enriches vulnerability data with exploitation likelihood, enabling confident prioritization in a single pane of glass. Vulnerability Intelligence assesses threats based on lifecycle stage—from theoretical discovery to active in-the-wild exploitation. Recorded Future monitors dark web forums for telecom-targeted chatter, scans marketplaces for exploit kits, and identifies stolen credentials from Norwegian domains. Insikt Group's Analyst on Demand services expand team productivity.

ノルウェーの通信業界を保護する

The Norwegian Communications Authority (Nasjonal kommunikasjonsmyndighet, or Nkom) is a government agency that supervises and supports organizations that provide electronic communications services in Norway, primarily telecommunications companies. One of its major responsibilities is ensuring the security and resilience of electronic communication networks.
Ole Kristoffer Apeland is Chief Security Engineer and Team Lead at Nkom EkomCERT. The team he leads works with Norwegian telecom and digital communication companies to help them prevent cyberattacks and to prepare for emerging threats.

Ole氏のチームは、ノルウェーの電子通信業者や電子商取引企業を標的とする悪意のある攻撃者を特定し、データの盗難、詐欺行為、ネットワークの混乱に悪用される脆弱性を特定する任務を負っていました。チームは、よくある傾向や一般的な脆弱性スコアを超えて、スカンジナビアで発生している、または間もなく発生する可能性のある、電気通信業界固有の攻撃を特定する必要がありました。この情報があれさえすれば、Nkom EkomCERTの通信業界の顧客企業は、ビジネスに実際の脅威をもたらす特定の脆弱性に優先順位を付け、緩和することができます。

この小グループも、ノルウェーの電気通信事業者に進化する脅威の状況への可視性を提供するという、同様の課題に直面していました。フィッシング、ランサムウェア、分散型サービス拒否（DDoS）攻撃、APT（高度持続的脅威）、消費者詐欺、その他の脅威に関連する動向を監視し、ノルウェーの電気通信事業者やデジタル通信事業者がスタッフやセキュリティ技術への投資を計画するのに役立つインサイトを提供する必要がありました。

Ole氏と彼のチームは、任務を遂行するために必要な、深くリアルタイムのセクター固有のインテリジェンスを入手するためのリソースがないことに気づきました。複数の企業から提供されたインテリジェンスを評価した結果、最高のインテリジェンスとサポートを提供できる企業としてRecorded Futureを選択しました。

リスクベースのパッチ適用のための脆弱性データの強化

Nkom EkomCERTは、さまざまな技術ベンダーや、CVEデータベースなどの業界の情報源から、新たに発見された脆弱性を着実に受け取っています。Recorded Futureのインテリジェンスを使用する前に抱えていた課題は、どの脆弱性がノルウェーの電気通信事業者およびデジタル通信事業者に対し差し迫る脅威となるかを確認し、その脆弱性を悪用する攻撃を緩和するための最善のアプローチを決定することでした。

Ole氏のチームは、Recorded Future Vulnerability IntelligenceとRecorded FutureのSplunk Enterpriseとのインテグレーションを利用して、脆弱性データを充実させ、悪用の可能性に基づいて、各脆弱性にある組織に対するリスクを明確に把握できるようにしています。Recorded FutureとSplunk Enterpriseのインテグレーションによって提供されるデータエンリッチメントにより、Nkom EkomCERTは、最も重要な脆弱性への対処の優先順位を付けることができます。

「Recorded FutureのSplunkインテグレーションにより、適切な脆弱性に対して効果的に優先順位を付け、緊急に対処することができます。人の数より作業の数が多くなることが頻繁に発生するため、時間を最も有効に活用できる箇所を特定するのにこれが役立っています。Recorded FutureのSplunkインテグレーションから提供される脆弱性データのエンリッチメントにより、重要なところに労力を投入していることに確信を持てるようになりました」とOle氏は話しています。

In the past, Ole’s team leaned on other information sources for enrichment of their vulnerabilities, but did not find that the other vendors provided the level of enrichment they needed.

In addition to relying on the enrichment that Recorded Future provides that can be accessed directly within their Splunk instance, they also depend on Vulnerability Intelligence within the Recorded Future Intelligence Platform to evaluate true risk. With intelligence, Ole and his team are able to see the context of each vulnerability with examples of the vulnerability previously being exploited, associations with attack types and threat actors, and a risk score.

For Ole’s team, a primary focus is identifying vulnerabilities for commonly used products within telecom companies and notifying their constituents. Once a potentially important vulnerability is identified, the team uses information from Recorded Future to assess it based on temporal metrics, especially its stage in the vulnerability lifecycle.

脆弱性ライフサイクルを使用する

脆弱性はライフサイクルを経て進化します。まず「発見」や「公表」の段階（エクスプロイトが理論的な段階）、次に「概念実証コード」の開発（悪用は可能だが攻撃にはすぐに使用できないことを実証する）です。その後、「実用的なエクスプロイトコード」が登場（熟練した攻撃者が利用できる）し、「エクスプロイトキット」（技術的スキルの低い攻撃者でも容易に脆弱性を悪用できる）がダークウェブなどで入手可能になります。そして最終的に「現実世界（in-the-wild）」での攻撃が活発化する段階へと至ります。

このタイムラインの後半の段階にある脆弱性は、悪用される可能性が高く、直ちに修正する必要があります。初期段階にあるものは将来のリスクを表していますが、対処の必要性は、優先度の高い脆弱性よりも後です。

Recorded Futureから得るインテリジェンスにより、Nkom EkomCERTは進化の段階に基づいて脆弱性を評価できます。Nkom EkomCERTはこれらの評価をノルウェーの電気通信事業者や政府機関と共有し、脆弱性をトリアージして、近い将来に悪用される可能性が最も高い脆弱性に優先順位を付けられるようにしています。

迫り来る攻撃に対する状況認識を提供する

電気通信事業者は、ネットワークへのDDoS攻撃、APT、フィッシング、ビジネスへのランサムウェア攻撃、顧客に対する詐欺キャンペーンなど、さまざまなサイバー脅威にさらされています。Nkom EkomCERTの責務のひとつは、ノルウェーの電気通信事業者が次の脅威の波に備えることができるよう、これらの分野における活動に関する警告を早期に提供することです。

Ole’s team relies on Recorded Future to uncover indicators of impending and ongoing attacks.

To provide early warning, Recorded Future:

• フィッシングキャンペーンやランサムウェア攻撃など、テレコム組織やスカンジナビアの企業に対する脅威に関する「チャッター」を数百のダークウェブフォーラムで検索。
• ダークウェブ市場を監視して、顧客向けアプリケーションを標的とするAPTや、ネットワークへのDDoS攻撃に使用される可能性のあるコードやエクスプロイトキットがないかを監視する。
• コードリポジトリとダークウェブ市場を監視して、ノルウェーの電気通信事業者とその子会社が使用しているインターネットドメインに関連する盗まれた認証情報を探し、アカウント乗っ取りや認証情報盗用攻撃を警告する

現在、電気通信事業者は多種多様なサービスを提供しているため、Nkom EkomCERT向けのRecorded Futureのデータは、携帯電話や固定電話サービス、メッセージングおよびコラボレーションアプリケーション、インターネットサービス、ストリーミングメディアおよびエンターテイメントなど、幅広い業界セグメントとテクノロジーを網羅しています。

長期計画のための脅威の状況のマッピング

Nkom EkomCERTは、ノルウェーの電気通信事業者やその他の政府機関に対する脅威の状況を把握する上で重要な役割を果たしています。この役割を果たすために、Ole氏のチームはRecorded Futureの情報を活用して、悪意のある行為者の進化し続ける活動を監視し、フィッシング、ランサムウェア、分散型サービス拒否（DDoS）攻撃、APT、消費者詐欺、および電気通信業界に関連するその他の脅威に関するリアルタイムの可視性を提供します。オープンウェブとダークウェブの情報源を網羅するRecorded Futureの幅広く詳細な情報と、攻撃のコンテキストおよび分析を組み合わせることで、Nkom EkomCERTとノルウェーの電子通信業者およびデジタル通信業者は、自社の業務に最も影響を与える可能性の高い脅威を予測し、対策を講じることができます。

Ole のチームは、Recorded Future の顧客に Analyst-On demand サービスと標的型脅威リサーチを提供するベテラン脅威研究者のチームである Recorded Future Insikt Group の分析と洞察も幅広く活用しています。Nkom EkomCERT のサイバーセキュリティの専門知識は、Recorded Future の情報と洞察によって強化され、ノルウェーの通信会社と政府機関がリソースを割り当て、セキュリティプログラムを長期にわたって強化するための賢明な決定を下すのに役立っています。

How Recorded Future Supports Nkom EkomCERT's Success

Ole and his team feel that intelligence from Recorded Future has greatly strengthened their ability to provide guidance to Norway's telecom sector. They are especially pleased with Recorded Future's ability to enrich basic vulnerability data with context and temporal metrics while systematically monitoring hundreds of open and dark web sites for indicators of impending attacks. The platform produces information specific to telecom companies and specific to Scandinavia, continuously updating intelligence to maintain situational awareness. Recorded Future also provides data about critical cybersecurity trends and insight into how they apply to Nkom EkomCERT and its constituents, along with prompt support and expert help.