Hughes Federal Credit Union

Recorded Future®で信用組合のセキュリティチームのパフォーマンスを倍以上に

ユースケース：

インテリジェンスを活用して、より正確で幅広い情報源からのインサイトを迅速に得て、チームが短時間でより多くのことを達成。

課題：

Recorded Futureを利用する前は、重要なビジネス上の意思決定とセキュリティ対策は、手作業による不完全な調査、直感、信頼に基づいて行われていました。

ソリューション：Recorded Future Intelligence Platform:

Brand Intelligence
SecOps IntelligenceとSIEMの統合：IBM Security QRadar
Third-Party Intelligence
Vulnerability Intelligence
Threat Intelligence
Analyst-On demand（AOD）サービス

成果：

人員を増やすことなく、セキュリティチームの能力を大幅に向上
ベンダーやその他のサードパーティの真のセキュリティリスクを正確にスコア化
Hughes Federal Credit Unionとそのパートナーやベンダーが、悪用されるリスクの高い脆弱性にパッチを適用できるよう支援
組織がSIEMとして使用しているIBM Security QRadarと統合することで、優先順位を付けたトリアージ、脅威の相関関係の改善、調査の強化を実現
クレジットユニオンのブランドと評判を不正使用や著作権侵害から保護するのに役立てている。
セキュリティが企業目標の妨げになるのではなく、複数の情報源からのリアルタイムの信頼できるデータに基づく、真のセキュリティ文化のための強力な基盤を形成

複数の外部情報源からのリアルタイムのインテリジェンスは、より多くの情報に基づいたビジネス上の意思決定と焦点を絞った行動を促進します

概要

もともと1952年に設立されたHughes Federal Credit Unionは、アリゾナ州のツーソン地域にサービスを提供しており、現在166,000人以上の組合員と19億ドル以上の資産を擁しています。

Hughesには、サイバーセキュリティ管理者であるJudy Mayoral氏、サイバーセキュリティ担当副社長、およびセキュリティアナリストで構成される比較的小規模のセキュリティチームがあります。つまり、実務作業の多くはMayoral氏とアナリストによって実行されることになります。組織の急速な成長により、セキュリティチームは、重要なことに優先順位を付けるための信頼できるセキュリティインテリジェンスを提供するソリューションを探すようになりました。チームは、日々流入する膨大な量の多様なデータをより効率的にふるいにかけるために、Recorded Futureインテリジェンスプラットフォームに目を向けました。

Mayoral氏が指摘するように、ソリューションの導入は組織に大きなメリットをもたらしました。「Recorded Futureは、調査対象が現行の脅威なのか、過去の脅威なのか、また優先すべきものなのか、それほど重要視しなくてよいのかを判断するのに役立つため、非常に貴重です。当社では、業者の選定や管理などの調査目的にも使用しています。会社が急速に成長を続ける中、機敏に状況を把握し、対応していく必要がありますが、Recorded Futureのおかげでこれが可能になります。」

私たちの時間の多くは、ベンダーとの契約に関する知識に基づいたリスクベースの意思決定に費やされています。Recorded Futureはまさにそこで活用されています。

Judy Mayoral氏

Cybersecurity Manager, Hughes Federal Credit Union

ベンダーリスクの正確な評価

Hughes Federal Credit Unionは多数のベンダーと関係を築いています。この組織の事業の中核は、クレジットユニオンを通じて顧客の購入資金の調達を考えている自動車ディーラーと協力することです。実際、これは彼らのビジネスの約70%を占めています。自動車ローン関連エンティティとは別に、Hughesはソリューションプロバイダー、ベンダー管理ソフトウェア会社、CiscoやIBMなどの技術ベンダーと提携しています。さらに、クレジットユニオンは合併または買収を検討している企業の評価も行います。

Hughesは、協力したい新しいベンダーを特定する際には、適切なデューデリジェンスの実施に努めます。「私たちの時間の多くは、ベンダーとの契約に関する知識に基づいたリスクベースの意思決定に費やされています」とMayoral氏は解説します。「Recorded Futureはまさにそこで活用されています。」

Recorded Future以前は、ベンダー評価プロセスは主に直感や信頼に頼っていました。ベンダーがHughesにアプローチすると、信用組合は彼らを知り、ビジネスの感触をつかみ、セキュリティオペレーションセンター（SOC）の文書やデューデリジェンスパッケージを確認していました。その情報に基づいて、信用組合は、定量的リスク評価のために第三者にエスカレーションするか、関係を築くか、取引関係を築かないかなど、次のステップについて決定を下します。

「ベンダーを評価する際に私たちに欠けていたのは、企業の安定性と外部に抱えるリスクに関するデータでした。Recorded Futureの活用を本格的に始めたところ、これまで取引してきた一部のベンダーが高リスクで、すでに侵害されていることが判明しました。たとえば、彼らの情報がダークウェブ上にあることが判明したのです。Recorded Futureからのインサイトがなければ、私たちはそれを知ることはできなかったでしょう。今では、公開されていたり、ダークウェブに明らかになったりしたセキュリティ上の問題がベンダーにあったかどうかを特定できます」とMayoral氏は言います。

Recorded Future Third-Partyのモジュールは、ベンダー、パートナー、その他のサードパーティに数値化されたサイバーリスクスコアを割り当て、推測を排除します。Mayoral氏は、Hughesが取引するベンダーを常に注意深く監視し、侵害、潜在的な脆弱性、ランサムウェア、認証情報の侵害、その他のセキュリティ課題がないかチェックしています。

Hughesの環境に直接アクセスでき、情報漏洩が発生した場合にビジネスにリスクをもたらすようなコアベンダーやサービスプロバイダーについては、Mayoral氏はRecorded Futureを使用してユーザー名を追跡しています。彼女のチームがダークウェブでそれらのユーザー名を見つけたら、ベンダーに通知し、さらなる調査と修復を行えるようにします。

「Recorded Futureから問題があると警告された場合は通常、そのベンダーとは取引を避けるべきか、取引する際に特別な注意を払う必要があることを示しています」とMayoral氏は断言します。

Recorded Futureは、私たちが取引する相手がLog4j攻撃に対して脆弱であるかどうかを確認するための充実したレポートとツールを提供してくれます。さらに、他の侵害の指標（IoC）を発見し、脅威アクターが私たちを標的にしているのか、あるいは攻撃しているのかを判断するのに役立ちます。

Judy Mayoral氏

Cybersecurity Manager, Hughes Federal Credit Union

脆弱性管理によりベンダープロファイルが充実

Recorded FutureのVulnerability Intelligenceを使用することで、Mayoral氏と彼女のチームは、信用組合のベンダーとパートナーがゼロデイ攻撃やその他の脅威に対して脆弱であるかどうかを判断できます。Recorded Futureは機械学習を活用し、オープンウェブ、ダークウェブ、技術情報源からのリアルタイムデータに基づいて、脆弱性が悪用される可能性を評価します。これにより、Mayoralと彼女のチームは、米国国家脆弱性データベース（NVD）に公開される数日前に脆弱性を優先順位付けし、対応することができます。

2021年12月に発見されたApache Log4jの脆弱性は、複数の業種にわたる多数の企業に影響を与えたゼロデイ脆弱性の明確な例です。これにより、リモートの攻撃者がシステムを乗っ取ってマルウェアをインストールしたり、ペイロードを実行したり、データを盗んだり、システムに損害を与えたりできるようになります。幸いなことに、HughesはLog4jに対して十分に備えていたため、他の多くの組織のように打撃を受けることはありませんでしたが、クレジットユニオンでは第三者が被害を受ける可能性を懸念していました。

「Recorded Futureは、私たちが取引する相手がLog4j攻撃に対して脆弱であるかどうかを確認するための充実したレポートとツールを提供してくれます。さらに、他の侵害の指標（IoC）を発見し、脅威アクターが私たちを標的にしているのか、あるいは攻撃しているのかを判断するのに役立ちます」とMayoral氏は述べています。

SIEM統合によりコンテキストが強化され、一層容易な情報アクセスを実現

Recorded Future SecOps Intelligence Moduleの重要な利点は、Hughesに実装されているセキュリティ情報およびイベント管理（SIEM）ソリューションであるIBMのSecurity QRadarとシームレスに統合できることです。Recorded Futureはリアルタイムの情報をQRadarに送り、Mayoral氏とアナリストが迅速かつ自信を持って意思決定を行うために必要な情報を提供します。

Mayoral氏が話しているように、Recorded Futureは「外の世界を見る」ため、Hughesが起こりうる脅威に備えるのに役立ちます。QRadarとRecorded Futureを組み合わせることで、Mayoral氏のチームはSIEMのデータセット全体を充実させることができています。SecOps IntelligenceとQRadarの統合により、各CVE（共通脆弱性識別子）の悪用に関連する実際のリスクのコンテキストを提供するリスクスコアがSIEMデータに付加されます。Recorded Futureのリスクスコアは、CVSSスコアを補完し、Mayoral氏のチームが、脆弱性が悪用される可能性に基づいて、最も重要なセキュリティパッチを優先するのに役立ちます。

統合のおかげで、Mayoral氏とチームはカスタマイズされたアラートを構築できます。「たとえば、社内のユーザーがアクセスしているウェブサイトはファイアウォールを通して許可されているにもかかわらず、Recorded FutureがこれらのURLのリスクスコアが高いと示した場合、私たちに通知が届きます。そうすることで、ウェブサイトに問題がある可能性があることを把握し、アラートを微調整できます。これにより、従業員の行動とアプリケーションの動作を適切に把握できるようになり、両方をより適切に保護できます」とMayoral氏は説明します。

Mayoral氏の直属のセキュリティチーム以外の従業員も、Recorded Futureが提供する強化機能のメリットを得ています。たとえば、インフラストラクチャチームは、セキュリティパッチの適用を実行するときに、QRadarのRecorded Futureデータのガイダンスを使用できます。

この統合を行うだけで、組織内のより多くのユーザーがインテリジェンスに触れ、活用することができ、データを理解できるようになります。「Recorded Futureのスコアが78と真っ赤になれば問題があることを理解でき、スコアが0であれば心配する必要はないとわかります」とMayoral氏は指摘します。

ブランドの悪用となりすましの抑制

財務、運用、マーケティングなどの非技術部門は、さまざまな情報源からドメイン登録データ、ソーシャルメディアプロファイル、悪意のあるウェブサイトなどの情報を収集するRecorded Future Brand Intelligenceを定期的に活用しています。この機能により、Mayoral氏とそのチームは、漏洩した認証情報、タイポスクワットドメイン、ブランド侵害、その他のデジタルリスクをすぐに見つけることができます。

ある時点で、Mayoral氏はRecorded Futureから、クレジットカード番号の最初の6桁を示す不審な銀行識別番号（BIN）に関するアラートを受け取りました。すぐに不正対策オペレーションチームに連絡すると、これらのクレジットカードは有効なカードで、停止させる必要があるとの判断を受けました。そのインテリジェンスをさらに詳しく調べ、独自の知識を加えて強化し、その結果、これらのクレジットカードは、規模がもっと大きな侵害の一部になっており、ダークウェブで公開されたり、詐欺師が使用したりする可能性があることが判明しました。すべての断片を合わせることで、不正対策チームは被害を受けたクレジットユニオンの組合員の口座に不正が行われるのを防ぐことができました。

同様に、Mayoral氏のチームは、Recorded Futureによってダークウェブで発見された経営幹部のメールアドレスを見つけた場合、そのメールアドレスの所有者にすぐにパスワードと認証情報を変更させることができます。

Hughesのマーケティング部門は、必要に応じてセキュリティチームによる是正措置を促進するために、Brand Intelligence Moduleをいくつかの方法で利用しています。たとえば、Recorded Future Brand Intelligenceを使用すると、マーケティング部門はブランドが使用されている場所や使用方法を把握できます。

Mayoral氏は、Brand Intelligenceは特にフィッシングページに対する分析力に富み、「Recorded Futureからの通知とアラートに基づいて、フィッシングサイトがいつ起動し出すか、フィッシングメールがいつ届くかを予測して検出することができます」と断言しています。

さらに、Mayoralと彼女のチームは、信用組合のウェブサイトのコードが無許可の人物によってPasteBinにコピーされたかどうかを確認できます。PasteBinは、ユーザーが一定期間テキストをオンラインで保存し、誰とでも共有できるホスティングサイトです。繰り返しになりますが、このような事態が発生した場合、彼らは状況に対処する方法を決定できます。

「それが本物のタイポスクワッティングサイトであれば、私がそれを削除するか、ベンダーと協力して削除します。しかし、それが悪意のないブランド侵害であれば、違反者に連絡して彼らが自分たちのやり方で対処できるようにしています」とMayoral氏は言います。「Recorded Future Brand Intelligenceは、ソーシャルメディアで誰かが私たちの組織のことを言及している場合も知らせてくれます。私たちはこれらのアラートも受け取っています。これにより、組織の評判に否定的または損害を与える可能性のあるコメントについてフォローアップすることができます。

Recorded Futureを利用する前、クレジットユニオンはタイポスクワッティングに関する可視性がほとんどまたは全くありませんでした。「タイポスクワットドメインを監視する能力があることで、私たちは厚く保護されています。サイトのなりすましに多数遭遇したため、対処する必要がありました。Recorded Futureのおかげで、年間で約6つのタイポスクワッティングドメインを検出できるようになりました。これはこれまでできなかったことです」とMayoral氏は言います。

Recorded Futureの専門アナリストがセキュリティチームを拡大・補完

チームの作業を補うために、Mayoral氏はRecorded FutureのAnalyst on Demand（AOD）サービスを定期的に活用しています。Recorded Futureの経験豊富なインテリジェンスアナリストは、クレジットユニオンの環境で発生するアラートを詳細に調査し、同様の規模と範囲の金融機関を標的とする脅威に関するインサイトを提供するほか、インシデントレスポンスガイダンス、特定のアラートに対するオンデマンドのフラッシュ処理のリクエスト、定期的なレビューとレポートも提供しています。

Mayoral氏は、理事会およびサイバーセキュリティ委員会向けのハイレベルのレポートを作成するプロセスの一環として、フィッシングシミュレーションテストの結果など、収集した他のデータをAODレポートに補足しています。このデータを経営幹部に提示して、経営陣が組織のセキュリティポスチャーを理解し、予算とリソースの割り当てについて情報に基づいた意思決定を行えるようにしています。

「Recorded Futureは当社の実際のリスクを示しており、これを当社が許容できるリスクと比較することができます。これは、人員数や新しいツールなどの追加リソースに資金を費やすことを正当化する必要がある場合に、賛同を得るのに役立ちます」とMayoral氏は断言します。

セキュリティ意識の育成

Hughesは全従業員のセキュリティ意識を高めることに取り組んでおり、Mayoral氏はその取り組みに大きな影響を与えています。Mayoral氏は全従業員を対象に毎年研修を実施しており、特に新入社員に重点を置いて「セキュリティがいかに重要か」、また「不審な点があれば何でも報告することがいかに重要か」を全員が理解できるよう徹底しています。またMayoral氏は、Recorded Futureのウェブコンテンツとランサムウェアやその他の脅威に関するウェビナーを活用してトレーニングカリキュラムを強化しています。

Mayoral氏は日常業務において、Recorded Futureのリスクスコアに基づいて、特定のウェブサイトがブロックされている理由に関する実用的な情報を従業員に提供しています。多くの場合、従業員は適切な資金調達を確保するためにさまざまなウェブサイトにアクセスして、ディーラーだけでなく、特定の車種やモデルについても調査する必要があります。時には、この作業で悪意のあるサイトにアクセスしてしまうことがあります。そういった状況が発生した場合、Recorded Futureが役立ちます。セキュリティチームにアラートが提供され、それらのURLをブロックできます。

「ウェブサイトにアクセスできない場合、そのリスクスコアが100点満点中79点と高く、フィッシングやマルウェアが関連していることをユーザーに示すことができます。そうすることで、私たちが行っていることの正当性を示すことができます。また、ユーザーが特定の企業とのビジネス関係を築きたいと考えている場合、ベンダーに対しても同じことができます」とMayoral氏は言います。

Mayoral氏は、Third-Party Intelligence Moduleを使用して企業のリスクスコアを調べることで、ユーザーのデューデリジェンスまたはベンダー管理プログラムのプロセスを支援します。

Recorded Futureは、Mayoral氏のチームが信頼できる有能なファシリテーターとして活躍できるよう支援し、Hughes従業員のセキュリティに対する見方を変える取り組みを成功に導きました。ユーザーは、Mayoral氏のチームがセキュリティを理由にプロセスを妨げないことを理解するようになり、Mayoral氏は従業員の心を掴んだのです。従業員からは、悪意のあるサイトやソーシャルエンジニアリングによるフィッシングメールなどの問題が、自発的に彼女のチームにレポートされるようになりました。

自動化がチーム能力の強化につながる

Mayoral氏が述べているように、「Recorded Futureのおかげで、私のチームの能力と効果が倍以上」になりました。

Recorded Future SecOps Intelligenceは、すぐに使用できる信頼性の高い脅威データを提供するため、手動で調査を行う必要がなくなります。Mayoral氏のチームは、リアルタイムのリスクスコアと侵害の指標（IoC）を駆使して、誤検知を迅速に排除し、アラートに優先順位を付け、さらに詳細な調査を行い、必要に応じてトリアージを行うことができます。

Recorded Future Vulnerability Intelligenceでは、プロセスも自動化されています。これまで、脆弱性スキャンを確認するのは非常に時間のかかる作業でした。Mayoral氏のチームは、ファイアウォールやMicrosoft Windowsツールなど、スキャンされた重要な資産と併せて、すべてのCVEを確認する必要がありました。Recorded FutureはCVEとそれに関連付けられた資産をペアリングするため、特定の資産に対してどのCVEが高リスクであるかを簡単に確認できます。

「Recorded Futureは、私たちに代わって多くの作業を行ってくれます。一つ一つのCVEを詳しく調べて、そのリスクや悪用される可能性を判断する必要はありません。また、CVEとリスクレベルが資産に結び付けられるため、アクションを実行する必要があるかどうかを判断できます。これにより、脆弱性が発生している資産に基づいて注意を払う必要があるかどうかを判断するのに時間を無駄にする必要がなくなります」とMayoral氏は言います。

さらに、Recorded Futureの深く幅広いインテリジェンスにより、チームはリスクのあるサイトをより迅速かつ簡単に特定できるようになります。数十のウェブサイトを手動でフィルタリングする代わりに、Recorded FutureにURLを入力するだけで、すぐにリスクスコアが得られます。

「インシデントが発生したり、何かを調査する必要がある場合、1人の担当者が問題を処理できます。そして、この担当者は複数の異なるシステムに精通している必要はありません。彼らが理解する必要があるのは、Recorded Futureのすべてのインテリジェンスを取得し、コンテキストを提供して点と点をつなぐIBM Security QRadarだけです。そうすれば、何かが実行可能なのか、それとも誤検知なのかについて、知識に基づいた決定を下すことができます。これにより、時間の優先順位をより適切に付けることができます。」