Hughes Federal Credit Union More Than Doubles Team Capacity Without Adding Headcount

Hughes Federal Credit Union's Cybersecurity Manager Judy Mayoral recognized her small team needed more than manual research and vendor documentation to make fully informed security decisions, leading her to discover Recorded Future's real-time intelligence.

Goal

Gain accurate, widely sourced insights faster and empower the small security team to stay nimble as the organization expands quickly with numerous vendor relationships.

문제

Hughes lacked reliable security intelligence to prioritize what matters as fast-paced growth overwhelmed the small team. Vendor evaluation relied on gut instinct. They couldn't see stability, risk exposure, or whether vendor information appeared on the dark web without Recorded Future.

결과

Third-Party Intelligence provides numerical cyber-risk scores, revealing compromised historical vendors. IBM QRadar integration enriches SIEM data with risk scores and customized alerts. Brand Intelligence detects 6 annual typosquatting domains and suspicious BINs before fraud occurs. Vulnerability Intelligence prioritizes patches days before NVD publication while Analyst on Demand delivers board-ready reports.

1952년에 처음 설립된 Hughes Federal Credit Union은 애리조나주 투손 지역 사회에 서비스를 제공하고 있으며 현재 166,000명 이상의 회원과 19억 달러 이상의 자산을 보유하고 있습니다.

Hughes는 사이버 보안 관리자인 Judy Mayoral, 사이버 보안 담당 부사장, 보안 분석가로 구성된 비교적 소규모의 보안 팀을 갖추고 있습니다. 즉, Mayoral과 분석가가 실무 작업의 대부분을 수행합니다. 조직의 빠른 성장으로 인해 보안 팀은 중요한 사안의 우선순위를 정하는 데 도움이 되며 신뢰할 수 있는 보안 인텔리전스를 제공하는 솔루션을 찾아야 했습니다. 팀은 매일 쏟아지는 방대한 양의 다양한 데이터를 보다 효율적으로 선별하기 위해 Recorded Future Intelligence Platform을 선택했습니다.

Mayoral이 지적했듯이 이 솔루션을 배포한 것은 조직에 큰 도움이 되었습니다. “Recorded Future는 어떤 것이 활성화된 위협인지 과거의 위협인지, 우선순위를 둬야 할지 그다지 중요하지 않은 것인지 판단하는 데 도움이 되기 때문에 매우 중요합니다. 또한, 공급업체 선정 및 관리 등 연구 목적으로도 Recorded Future를 활용합니다. 회사가 지속적으로 빠르게 확장함에 따라 우리는 민첩하게 상황을 파악해야 합니다. 그리고 Recorded Future를 통해 이것이 가능해집니다.”

공급업체 위험을 정확하게 평가

Hughes Federal Credit Union은 여러 공급업체와 관계를 맺고 있습니다. 조직의 핵심 사업 중 하나는 신용 조합을 통해 고객 구매 자금을 조달하려는 차량 판매 대리점과 협력하는 것입니다. 실제로 이는 이 신용 조합의 비즈니스의 약 70%를 차지합니다. Hughes는 자동차 대출 관련 기관 외에도 솔루션 제공업체, 공급업체 관리 소프트웨어 회사, Cisco 및 IBM과 같은 기술 공급업체와 협력합니다. 또한 신용 조합은 합병하거나 인수하려는 회사를 평가합니다.

As Hughes identifies new vendors they want to work with, they strive to do appropriate due diligence. “Much of our time is spent making educated, risk-based decisions regarding vendor contracts.” remarks Mayoral. “This is where we lean on Recorded Future.”

Recorded Future 이전에는 벤더 평가 과정이 주로 직감이나 신뢰에 의해 이루어졌습니다. 공급업체가 Hughes와 접촉하면 이 신용 조합은 해당 공급업체에 대해 파악하고, 그들의 비즈니스에 대한 느낌을 얻으며, 보안 운영 센터(SOC) 문서 또는 실사 패키지를 검토할 것입니다. 이 신용 조합은 해당 정보를 바탕으로 정량적 위험 평가를 위해 서드파티에 에스컬레이션할지, 관계를 개시할지, 비즈니스 관계를 추구하지 않을지 등 다음 단계에 대한 결정을 내립니다.

“우리가 공급업체를 평가할 때 놓치고 있던 부분은 회사의 안정성과 해당 회사가 외부 세계에서 떠안고 있는 위험에 대한 데이터였습니다. Recorded Future를 본격적으로 활용하기 시작했을 때, 과거에 거래했던 일부 공급업체가 고위험 상태이며 이전에 침해가 발생했다는 사실을 발견했습니다. 예를 들어, 우리는 해당 공급업체의 정보가 다크웹에 있다는 사실을 발견했습니다. Recorded Future의 인사이트가 없었다면 이 사실을 알지 못했을 것입니다. 이제 우리는 공급업체에 다크웹에 공개되거나 드러난 보안 문제가 있는지 식별할 수 있습니다.”라고 그녀는 말합니다.

Recorded Future Third-Party Module은 공급업체, 파트너 및 기타 서드파티에 사이버 위험 점수를 수치로 할당하여 추측을 배제합니다. Mayoral은 Hughes와 거래하는 공급업체를 지속적으로 주시하며, 침해, 잠재적 취약점, 랜섬웨어, 자격 증명 침해 및 기타 보안 문제를 점검합니다.

Hughes의 환경에 직접 접근할 수 있으며 침해 시 비즈니스에 위험을 초래할 수 있는 핵심 공급업체나 서비스 제공업체의 경우, Mayoral이 Recorded Future를 사용하여 이들의 사용자 이름을 추적합니다. 그녀의 팀이 다크웹에서 해당 사용자 이름을 발견하면, 공급업체에 통보하여 해당 공급업체가 추가 조사 및 조치를 수행할 수 있도록 합니다.

“Recorded Future에서 문제가 있다고 경고하면, 이는 보통 해당 공급업체와 거래를 피해야 하거나 해당 업체와 협력할 때 추가적인 주의를 기울여야 한다는 신호입니다.”라고 그녀는 주장합니다.

공급업체 프로필을 더 자세하게 만드는 취약점 관리

Mayoral과 그녀의 팀은 Recorded Future의 Vulnerability Intelligence를 사용하여 신용 조합의 공급업체와 파트너가 제로데이 공격이나 기타 위협에 취약한지 여부를 확인할 수 있습니다. Recorded Future는 머신 러닝을 활용하여 오픈 웹, 다크웹 및 기술 소스의 실시간 데이터를 기반으로 취약점의 악용 가능성을 평가합니다. 이를 통해 Mayoral과 그녀의 팀은 취약점이 U.S. National Vulnerability Database(NVD)에 공개되기 며칠 전에 이에 대한 우선순위를 정하고 조치를 취할 수 있습니다.

2021년 12월에 발견된 Apache Log4j 결함은 여러 분야의 수많은 기업에 영향을 미친 제로데이 취약점의 명확한 예입니다. 이 결함을 통해 원격 공격자는 시스템을 장악하여 멀웨어를 설치하거나, 페이로드를 실행하거나, 데이터를 탈취하거나 시스템을 손상시킬 수 있는 능력을 갖추게 됩니다. 다행히 Hughes는 Log4j에 대한 방어가 잘 되어 있어 다른 많은 조직처럼 피해를 입지는 않았지만, 신용 조합은 제3자가 잠재적으로 피해를 입을 수 있다는 점을 우려했습니다.

“Recorded Future는 당사와 거래하는 사람이 Log4j 공격에 취약한지 확인할 수 있는 실질적인 리포팅 및 도구를 제공합니다. 또한, 다른 침해 지표(IoC)를 발견하고 위협 행위자가 우리를 표적으로 삼고 있는지 또는 공격하고 있는지 판단하는 데 도움을 줍니다.”라고 그녀는 말합니다

컨텍스트를 풍부하게 하고 정보를 더 쉽게 접근할 수 있도록 하는 SIEM 통합

Recorded Future SecOps Intelligence Module의 중요한 이점은 Hughes에 구현된 보안 정보 및 이벤트 관리(SIEM) 솔루션인 IBM의 Security QRadar와 원활하게 통합된다는 점입니다. Recorded Future는 실시간 인텔리전스를 QRadar에 제공하여 Mayoral과 분석가가 신속하고 자신감 있는 의사결정을 내리는 데 필요한 정보를 제공합니다.

Mayoral이 말했듯이 Recorded Future는 '외부 세계를 볼' 수 있어 Hughes가 가능한 위협에 대비하도록 지원합니다. Mayoral과 그녀의 팀은 QRadar와 Recorded Future를 함께 도입함으로써 SIEM의 전체 데이터 세트를 강화할 수 있었습니다. SecOps Intelligence와 QRadar의 통합은 각 공통 취약점 및 노출(CVE)의 악용과 관련된 실제 위험에 대한 컨텍스트를 제공하는 위험 점수로 SIEM 데이터를 강화합니다. Recorded Future의 위험 점수는 CVSS 점수를 보완하여 Mayoral과 그녀의 팀이 취약점이 악용될 가능성에 따라 가장 중요한 보안 패치의 우선순위를 정할 수 있도록 지원합니다.

통합 덕분에 Mayoral과 팀은 맞춤형 경보를 구축할 수 있습니다. “예를 들어, 내부 사용자가 방화벽을 통해 허용된 웹사이트를 방문하고 있지만, Recorded Future가 해당 URL의 위험 점수가 높다고 표시하면, 우리는 알림을 받습니다. 이렇게 하면 웹사이트에 문제가 있을 수 있음을 파악하고 알림을 미세 조정할 수 있습니다. 이는 직원들이 수행하는 작업과 애플리케이션의 활동을 명확히 이해할 수 있게 해주며, 이를 통해 두 가지 모두를 더 효과적으로 보호할 수 있습니다.”라고 Mayoral은 설명합니다.

Mayoral의 직속 보안 팀 외부의 직원들도 Recorded Future가 제공하는 혜택을 누리고 있습니다. 예를 들어, 인프라 팀은 보안 패치를 실행할 때 QRadar에서 Recorded Future 데이터의 지침을 사용합니다.

More people in the organization can be touched by or can get the benefit of the intelligence just by virtue of having this integration. This makes the data understandable to them.

Mayoral assists users with due diligence or vendor management program processes by using the Third-Party Intelligence Module to look up company risk scores.

Recorded Future는 Mayoral과 그녀의 팀이 신뢰할 수 있고 유용한 조력자로서 역할을 할 수 있도록 지원했습니다. Mayoral의 팀은 Hughes에서 직원들이 보안을 보는 방식을 바꾸려는 노력에 성공했습니다. 그녀의 팀이 보안이 프로세스에 방해가 되지 않도록 하고 있다는 사실을 사용자들이 이해하게 되었습니다. Mayoral은 직원들의 마음과 신뢰를 얻게 되어, 이제 직원들은 악성 사이트나 소셜 엔지니어링 피싱 이메일과 같은 문제를 그녀의 팀에 리포팅을 하고 있습니다.

자동화를 통한 팀 역량 강화

Mayoral은 “Recorded Future 덕분에 팀의 역량과 효율성이 두 배 이상 향상되었습니다.”라고 말합니다.

Recorded Future SecOps Intelligence provides ready-to-use, high-confidence threat data eliminating the need to perform manual research. Armed with real-time risk scores and indicators of compromise (IoCs), her team can quickly eliminate false positives, prioritize alerts, and do deeper investigations followed by triage where required.

Recorded Future Vulnerability Intelligence는 또한 프로세스를 자동화했습니다. 과거에는 취약점 스캔을 검토하는 것이 매우 시간이 많이 소요되는 작업이었습니다. Mayoral의 팀은 방화벽 및 Microsoft Windows 도구와 같은 스캔된 중요 자산과 함께 모든 CVE를 검토해야 했습니다. Recorded Future는 CVE를 관련 자산과 연결하므로 특정 자산에 대해 어떤 CVE가 고위험일 수 있는지 쉽게 확인할 수 있습니다.

“Recorded Future는 우리를 위해 많은 작업을 해줍니다. 제가 각각의 CVE를 일일이 조사하여 그 위험성이나 악용 가능성을 판단할 필요가 없습니다. 그리고 CVE와 위험 수준을 자산에 다시 연결해주기 때문에, 조치를 취할 필요가 있는지 여부를 결정할 수 있습니다. 이는 취약점이 발생하는 자산에 따라 주의를 기울여야 하는지를 결정하는 데 시간을 낭비하지 않도록 해줍니다.”라고 Mayoral은 말합니다.

Additionally, the depth and breadth of intelligence in Recorded Future helps the team more quickly and easily pinpoint risky sites. Rather than manually filtering through dozens of websites, they simply enter the URL into Recorded Future and immediately get a risk score.
“When we do have an incident or need to research something, we're able to have one person handle the issue. And this individual doesn’t have to be skilled in multiple different systems.

They only need to understand IBM Security QRadar, which gets all of the Recorded Future intelligence and delivers context and helps connect the dots. We can then make educated decisions as to whether something is actionable or a false positive—and that allows us to better prioritize our time.”