TBI Bank

TBI BankはRecorded Futureを活用してサイバー脅威を凌駕し、セキュリティチームの効率を15％向上

halw3rvb1n

ユースケース：
ダークウェブ調査、脅威ハンティング（高度な検知と検証）、高度な脅威調査とレポート

目標：
最も差し迫ったサイバー脅威の可視性を向上させ、優先順位付けを改善する。

課題：
TBIの銀行インフラストラクチャと顧客を新たなサイバー脅威から保護する。

解決策：
Recorded Future Intelligence Cloud：

成果：

セキュリティチーム全体の効率が15％向上
チームの能力の向上
財務リスクと評判の損害リスクの低減
顧客の信頼の向上

TBI BankはRecorded Futureを使用して、リアルタイムの脅威インテリジェンスを集中管理し、チームリソースに優先順位を付け、モバイルバンキングプラットフォーム全体のリスクを軽減しています。

欧州3か国で事業を展開する進歩的な消費者銀行であるTBI Bankでは、モバイルバンキングに重点を置いています。同行は「顧客のポケットに直接最高のサービスを簡単な方法で提供する」ことを使命としており、モバイルアプリのセキュリティ保護とモバイル特有の脅威からの保護が重要な優先事項となっています。しかし、最高情報セキュリティ責任者（CISO）のDobrin Dobrev氏の責任はモバイルセキュリティをはるかに超えます。銀行のインフラ全体を安全に保ちながら、利用者を保護する責任は同氏にかかっています。

「サイバーリスクは指数関数的に増加しています」とDobrev氏は語りました。「脅威アクターは常に、機関が導入しているすべてのソリューションや保護策の一歩先を行こうとしています。」

Dobrev の目標は明確です。最も重要な脅威に先手を打って、早期の検知と予防に重点を置くことです。

Recorded Futureとの提携はチームにとって素晴らしい決断で、サイバーセキュリティ戦略における重要なマイルストーンとなりました。

Dobrin Dobrev氏

TBI Bank 最高情報セキュリティ責任者（CISO）

リアルタイム脅威インテリジェンスの喫緊の必要性

複雑かつ進化し続ける脅威の状況を考えると、金融機関には最新でリアルタイムの脅威インテリジェンスが必要ですが、TBI Bankのセキュリティチームが必要な調査作業を行うのには困難を伴いました。集中管理された信頼できる脅威インテリジェンスの情報源がアナリストになかったためです。その代わりに、アナリストはオンラインフォーラム、ソーシャルメディアプラットフォーム、さまざまなWeb サイトを手動でスキャンして情報を探す必要がありましたが、このプロセスには時間がかかり、調査結果の適時性と正確性に疑問が生じることもありました。

「ダークウェブを手作業でスクラビングして悪質なIPアドレスを特定していましたが、本当に時間のかかる作業でした」とDobrev氏は振り返ります。「必要な情報を収集するのに数日かかることもありましたが、それがどの程度新しいのかはっきりしませんでした。脅威アクターは常に進化してさまざまな別名を作っているため、対応し続けるのは困難となり得ます。」

TBI Bankには次のような方法が必要でした。

最新の脅威インテリジェンスを入手し集中管理する
さらに調査を行うために最も重要なリスクに優先順位を付ける
脅威レスポンスの一部を自動化する

これらを実現させることで、迅速な対応が可能になり、ビジネスと顧客の安全を守ることができます。

TBI Bankは複数のベンダーを評価した結果、最終的にRecorded Futureを選択しました。「Recorded Featureは地域と金融部門に関連する最も価値のあるリアルタイム情報を提供していることを確認しました」とDobrev氏は言います。

最も差し迫った脅威の全体像を把握

TBI Bankは、全体的な露出をより明確かつ包括的に把握するためにRecorded Futureを活用しています。Recorded Futureを使用すると、必要なすべての情報が1つのプラットフォームに統合されるため、アナリストが脅威や脆弱性を手動で特定する必要がなくなります。

Recorded Futureはダークウェブ、ハッカーフォーラム、オープンソースなど、さまざまな情報源からデータを集約し、リアルタイムの脅威指標を提供します。これらの指標には悪意のあるIPアドレス、ドメイン、その他の侵害指標が含まれます。また、新しいマルウェアの種類や金融業界を積極的に狙ったフィッシングキャンペーンなど、同行に関連する新たな脅威についても通知します。

「私たちが得る情報の質は大幅に向上しました」とDobrev氏は述べています。

適切な領域に優先順位を付けて調査

Recorded Futureのチームは、最初の概念実証から継続的なサポートまで、プロセス全体を通じて貢献しました。チームの支援と専門知識を活用して、TBI Bankは脅威の優先順位を付け、最も重大かつ関連性の高い脅威に集中するためにプラットフォームがどう役立つのかを学びました。Recorded Futureは、個々の脅威アクター、その通常の手法、過去の行動に関する情報を含む詳細なコンテキストを提供します。

Recorded Futureは、脅威アクターの評判や目撃数などの要素に基づいてリスクスコアを割り当てます。この包括的なアプローチにより、Dobrev氏と彼のチームは最初に調査すべき脅威を特定し、リソースを効果的に配分して全体的なリスクを軽減することができます。

悪意のあるアクターより先に対応

サイバーセキュリティの多くはトレンドに注目しますが、完全な可視性がなければその実現は困難でした。Recorded Futureは、TBIのチームがトレンドを常に把握し、セキュリティに関してより積極的になるために必要な可視性を提供します。

「Recorded Futureを使用すると、さまざまな脅威アクター、戦術、技術、手順をすべて1か所で追跡できます。特定のグループをフォローすると、新しい情報が発生した際に通知が届きます。この情報がなければ、問題は後の段階で特定されることとなり、その時点ですでに深刻なインシデントになっていることもあり得るのです」とDobrev氏は話します。

常時監視と迅速なレスポンスは露出を最小化し、インシデントの拡大を防ぐため、銀行の成功とセキュリティに欠かせないとDobrev氏は続けます。「すべてはフィッシングメールのような小さなものから始まります。早期に発見しないと、環境に完全にアクセスされるきっかけとなる可能性があります。だからこそ、初期段階の監視が非常に重要です。」

Darktraceとの統合で自動化を促進

Recorded Futureを使用する最大のメリットの1つが、DarktraceをはじめとするTBI Bankの既存ツールとの統合です。この統合により、同行は既知の脅威へのレスポンスを自動化できます。DarktraceはRecorded Futureによって特定された悪意のあるIPアドレスへの接続を検出すると、その接続を自動的にブロックします。TBI Bankのエンジニアが手動で介入する必要はありません。

「Recorded Futureは疑わしい活動を特定し、侵害されたマシンやIPアドレスを自動化によって即座にブロックできます」とDobrev氏は説明します。「これによる効果は絶大で、私たちの環境で直接レスポンスを開始し、早い段階で阻止し、露出を最小限に抑えることができます。」

Recorded FutureとDarktraceの統合により、TBI Bankは脅威の状況を完全に把握し、全体的なサイバーポスチャーを向上させました。

効率を15％向上

脅威インテリジェンスが集中管理され、インシデントレスポンスが自動化されているため、アナリストとエンジニアは大幅に時間を節約できます。Dobrev氏の推定によると、チームの効率は15％向上しました。

効率が向上したことで、チームの規模はそのままに、他の重要なプロジェクトにリソースを再配分できるようになります。チームは脅威ハンティングと脆弱性管理により積極的に取り組み、インシデントが発生する可能性を減らしています。

TBI Bankは、効率性の向上だけでなく、侵害のリスク軽減とそれに伴うコスト回避でも成果を評価しています。Recorded Futureによって脅威検知と応答時間を改善することで、サイバー攻撃の成功可能性を減らし、潜在的なコスト影響の軽減や、顧客の信頼向上につなげています。より効率的になり、セキュリティ手順を強化したいと考えている他のCISOも同じことが可能であるとDobrev氏は強調します。

「Recorded Futureとの提携はチームにとって素晴らしい決断で、サイバーセキュリティ戦略における重要なマイルストーンとなりました」とDobrev氏は語ります。