사용 사례:
다크웹 모니터링, 브랜드 사칭 탐지, 취약점 공개 모니터링

목표:
상세한 위협 컨텍스트와 향상된 사이버 보안 오케스트레이션을 통해 선제적인 보안 관리를 가능하게 하고 평균 대응 시간(MTTR)을 단축하고자 합니다.

문제:
여러 소스에서 정확하고 실행 가능한 위협 인텔리전스에 빠르게 액세스하여 민감한 고객 데이터를 노리고 브랜드 자산을 악용하는 위협 행위자보다 앞서야 합니다.

솔루션:
Recorded Future Intelligence Cloud 주요 기능:

• Brand Intelligence
• Threat Intelligence
• Splunk용 Recorded Future 통합
• Collective Insights

결과:

• 취약점 조사에서 주당 14시간 이상 절약
• MTTR 80% 감소
• Splunk 내에서 보안 워크플로를 자동화하여 용량을 증가시키고 수동 작업을 제거
• 고객 관계에 영향을 미치고 브랜드 평판을 저하시키는 디지털 위험 예방
• 중요 취약점의 조치를 위한 우선순위 지정

INVESTBANK, Recorded Future를 통해 MTTR을 80% 줄이면서 고객 데이터를 사전 예방적으로 보호

요르단의 선도적인 금융 기관인 INVESTBANK는 Recorded Future를 사용하여 실행 가능한 위협 인텔리전스를 확보하고 보다 효과적인 사이버 보안 운영을 위해 오케스트레이션을 간소화합니다.

보안과 신뢰는 모든 고객이 은행과 맺는 관계의 토대를 이룹니다. 요르단의 선도적인 금융 기관인 INVESTBANK는 고객의 개인 및 금융 데이터 보호에 대한 확고한 의지를 가지고 있으며, 고객의 정보와 고객이 힘들게 번 돈의 보안을 우선순위로 둡니다.

“우리의 목표는 고객들이 INVESTBANK가 진정한 파트너라고 느끼도록 하는 것입니다"라고 INVESTBANK의 정보 보안 책임자인 Riyad Jazmawi는 말했습니다. “은행으로서의 성공은 강력하고 안전한 서비스를 제공하며 고객의 데이터와 계좌를 진정으로 소중히 여긴다는 것을 입증할 수 있는 능력에 달려 있습니다.”

INVESTBANK는 1982년 설립된 이래 고객에게 개인별 프리미엄 디지털 뱅킹 솔루션과 맞춤형 고객 서비스 경험을 제공하여 평판을 쌓고 유지해 왔습니다. INVESTBANK는 이러한 평판을 유지하고 강화하기 위해 고객이 안심할 수 있는 최고 수준의 보안을 제공하기 위해 최선을 다하고 있습니다. INVESTBANK의 보안 팀은 사이버 보안 위협, 특히 은행 브랜드의 약용과 중요한 고객 데이터 유출을 주의 깊게 모니터링합니다. 또한 사기성 웹사이트를 통한 소셜 엔지니어링 및 피싱 시도로부터 고객을 보호하고, 개인 뱅킹 정보가 유출되어 다크웹에서 판매되는 것을 방지하는 역할도 담당합니다.

Jazmawi의 팀은 빠르게 확장되는 생태계 전반에 걸쳐 위협을 선제적으로 탐지하고 관리해야 한다는 지속적인 압박을 받고 있습니다. 위협이 고객에게 영향을 미치기 전에 이를 탐지하고 해결하는 데 있어서는 시간이 매우 중요합니다.

위협 인텔리전스를 자동으로 실행

Jazmawi와 그의 팀은 오픈 소스 위협 인텔리전스 데이터에 의존하곤 했습니다. 범위는 광범위하지만, 데이터의 정확성이 부족하고 불완전한 경우가 많았습니다. 데이터를 철저히 분석하여 관련성 있거나 시급한 위협에 대한 양질의 정보를 찾는 데 굉장히 많은 시간이 소요되어, 취약점을 완화하고 조치를 취하기가 어려웠습니다.

Jazmawi는 이렇게 회상했습니다. “다크웹에서 무슨 일이 벌어지고 있는지에 대한 가시성이 부족했습니다.” “사이버 위협이 시간과 양적으로 가속화되었기 때문에 사이버 위협에 신속하게 대응해야 했습니다.”

평균 대응 시간(MTTR)은 INVESTBANK의 핵심 KPI 중 하나이며, MTTR을 줄이는 것은 Jazmawi의 전략적 우선순위로, Recorded Future에 도움을 요청한 이유 중 하나입니다.

“Recorded Future를 통해 사이버 보안 위험을 완화하고, 예기치 못한 사건을 방지하며, 진화하는 위협에 보다 빠르고 효율적으로 대응할 수 있습니다.”라고 Jazmawi는 말했습니다

INVESTBANK는 빠르게 Recorded Future Intelligence Cloud를 도입했습니다. 이 클라우드는 다크웹, 오픈 웹, 고객 원격 측정 등 다양한 소스의 데이터를 수집, 구조화 및 분석하여 실행 가능한 인사이트를 자동으로 제공합니다. 이러한 인사이트를 통해 INVESTBANK 보안 팀은 엔드포인트 탐지 및 응답(EDR) 시스템과 안티바이러스 솔루션에 침해 지표(IOC)를 업데이트하거나 전송하여 악성 행위자에 즉시 대응할 수 있습니다.

Splunk로 보안 워크플로 자동화

오케스트레이션 개선은 응답 시간을 개선하고 사이버 보안 작업의 부담을 줄이는 데 핵심적입니다. INVESTBANK는 Recorded Future의 Splunk Integration을 사용하여 경보 조사 및 대응에 소요되는 시간을 하루 몇 시간에서 몇 분으로 크게 줄였습니다. "일부 활동에서는 연결의 소스를 수동으로 검색하고 조사를 수행한 후 방화벽과 같은 보안 장치에 그 결과를 반영해야 합니다. Splunk와의 통합은 이 모든 것이 사람의 개입 없이 원활하게 이루어진다는 것을 의미합니다.”라고 Jazmawi는 말했습니다.

INVESTBANK 보안 팀은 사전 정의된 플레이북을 사용하여 보안 운영 워크플로를 간소화하고 도구와 정보를 원활하게 연결합니다.

"이 통합은 우리의 보안 오케스트레이션 및 자동화 전략 격차를 메우고, 기술을 원활하게 상호작용할 수 있도록 통합하는 새로운 관점을 제공합니다. 물론, 이는 전체 환경의 보안을 24시간 연중무휴로 관리하는 저희 SOC에 매우 유용한 결과를 가져다 줍니다." Jazmawi가 설명하였습니다.

Recorded Future는 내부 데이터와 외부 인사이트의 상관관계를 파악하고 강화하여 위협 식별, 우선순위 지정, 해결 속도를 높입니다. 가장 관련성이 높은 위협에 대한 세부 정보를 파악하는 것은 정보 보안 팀의 작업에 상당한 영향을 미쳤습니다. Jazmawi 팀은 Recorded Future로 전환한 후 평균 응답 시간(MTTR)을 80% 단축했습니다.

악성 도메인 등록을 실시간으로 탐지

많은 금융 기관과 마찬가지로 INVESTBANK는 로고 도용과 경영진을 사칭하는 위협 행위자에 취약합니다. Jazmawi와 그의 팀이 Recorded Future 이전에 사용했던 오픈 소스 데이터는 사기성 도메인이나 브랜드 자산 악용에 대한 신뢰할 수 있는 가시성을 제공하지 못했습니다. 팀은 이러한 포괄적 정보 부족으로 고객에게 직접적인 영향을 미치고 평판을 손상시킬 수 있는 활동에 대해 제대로 파악하지 못했습니다.

정보 보안 팀은 Brand Intelligence를 사용하기 시작했으며, 이제 누군가가 INVESTBANK와 유사한 이름의 도메인을 등록할 때마다 상세한 정보가 포함된 실시간 알림을 받습니다. 이 정보는 악성 사이트가 나타난 직후 이를 식별하고 고객이 상호 작용하기 전에 삭제 요청을 할 수 있게 하여, INVESTBANK의 평판이 위태로워지는 것을 방지합니다.

“Brand Intelligence를 사용하면 공격이 시작되기 전에 이를 막을 수 있습니다”라고 Jazmawi는 말했습니다. “또한 브랜드 악용 사례를 더 효과적으로 추적하고 해당 정보를 규제 기관 및 우리 지역의 다른 은행에 보고할 수 있어, 우리 업계의 모든 사람에게 도움이 됩니다.”

악의적인 행위자들은 피해자로부터 훔친 데이터를 다크웹을 통해 거래하기 때문에, 가시성을 확보하면 이러한 데이터가 범죄에 사용되기 전에 조직이 필요한 조치를 취할 수 있습니다. INVESTBANK 보안 팀은 여러 경고 및 증폭 사용 사례를 개발했으며, 이제 누군가 다크웹에 INVESTBANK 또는 고객의 데이터를 게시할 때마다 팀은 즉시 알림을 받습니다.

"가시성을 확보하는 것은 INVESTBANK에 매우 중요합니다. 이를 통해 소셜 엔지니어링 공격으로부터 고객을 보호하고 계정 침해나 카드 데이터 악용 시도를 막을 수 있기 때문입니다.”라고 Jazmawi는 말합니다.

제로데이 공격에 대한 선제적인 가시성 확보

Jazmawi의 팀은 더 많은 정보를 얻게 되면서, 더욱 선제적인 태세를 갖추게 되었습니다. 정보 보안 팀의 다음 단계는 잠재적 취약점에 대한 가시성을 확보하고 제로데이 익스플로잇에 대한 즉각적인 알림을 받는 것이었습니다.

다양한 디지털 서비스를 제공하며 빠르게 변화하는 조직에서 가장 큰 과제 중 하나는 새로운 업데이트 및 릴리스와 함께 취약점에 대해 지속적으로 인식하는 것입니다. INVESTBANK는 Recorded Future의 Vulnerability Intelligence를 활용하여 그 과제를 기회로 전환합니다.

Recorded Future는 아직 대중에게 알려지지 않은 취약점에 대한 경보를 제공하여 INVESTBANK 팀이 조직의 평판을 보호하기 위한 조치를 취할 수 있도록 합니다. 또한 위협 행위자의 의도와 기법에 대한 인사이트를 확보하여 신속하게 대응하고 앞으로 방어를 강화할 수 있습니다. 또한 Vulnerability Intelligence를 사용하면 새로운 제로데이 및 중요 취약점을 처리하는 데 소요되는 시간을 줄여, 취약점을 검토하고 조치를 취하는 데 하루에 최대 2시간을 절약할 수 있습니다. “부문 수준에서 양질의 데이터와 가시성을 확보한 덕분에 요르단 내 같은 부문에 속한 다른 기업들과의 협력을 강조하고 강화할 수 있었습니다.”라고 Jazmawi는 말했습니다

강력한 사이버 보안 전략을 지원하는 협력 파트너

INVESTBANK는 모든 고객 관계에서 파트너십을 중요하게 생각하며, 자사가 고객에게 제공하는 것과 동일한 수준의 협력과 지원을 공급업체 역시 제공해주기를 기대합니다. Recorded Future는 고객 보안을 우선순위를 정하고 INVESTBANK가 방어를 강화할 수 있도록 지원하여 고객의 진정한 파트너임을 입증했습니다.

“Recorded Future는 우리의 사이버 보안 전략을 지원하기 위해 신뢰할 수 있는 파트너입니다.”라고 Jazmawi는 말했습니다 “Recorded Future의 뛰어난 지원과 고객 서비스는 경쟁사와의 확실한 차별화 지점입니다. 함께 일하는 것은 전적으로 긍정적인 경험이었으며, 앞으로도 이 전략적 파트너십을 확실히 지속할 것입니다.”

강화된 데이터 보호 조치가 마련됨에 따라, INVESTBANK는 민감한 정보에 대한 강력한 보호 장치를 지속적으로 강화하여 고객이 자신의 데이터가 안전하다고 믿고 더욱 안심하고 뱅킹을 이용할 수 있도록 하고 있습니다.

집단적 인사이트를 활용하여 위협 환경을 선제적으로 이해하기

모든 금융 기관은 사이버 공격에 취약하지만, 함께하면 강력해집니다. INVESTBANK는 Recorded Future의 Collective Insights 기능을 사용하여 보안 도구의 탐지 및 이벤트를 단일 대시보드로 통합하고, 업계 및 지역별 위협 데이터를 조직 내 데이터와 연결할 수 있습니다. 이를 통해 보안 팀은 데이터를 상호 연관시키고 경향과 패턴에 따라 조치의 우선순위를 정할 수 있습니다.

“Collective Insights를 통해 외부 환경에서 일어나는 큰 그림과 우리 조직에서 일어나는 일 사이의 연관성을 파악하여 위협 환경을 전체적으로 파악할 수 있게 되었습니다 이러한 가시성은 저희가 고객을 더 잘 보호하도록 지원하며, INVESTBANK와 고객 간의 투명성과 신뢰를 강화합니다."라고 Jazmawi는 말했습니다

팀은 또한 Collective Insights를 통해 증가하는 사이버 보안 인사이트 풀에 기여하여 해당 부문 방어를 강화할 수 있습니다.