リスクを早期に察知することで、銀行のセキュリティ態勢を事後対応型から事前対応型に変えた方法

課題

従業員5,000人以上、20カ国に2,500以上の支店を持つ金融サービスの多国籍企業は、深刻な課題に直面していました。SOCの脅威インテリジェンスチームとCSIRTチームは、1週間前の情報を含む手動で取得したフィードと、偽陽性の多いテレメトリという2つの脅威インテリジェンスフィードに頼らざるを得ませんでした。

チームが収集したインテリジェンスは、無関係（古すぎる）か不正確（偽陽性が多い）のどちらかでした。さらに、関連情報を抽出するためにスキャンする必要があるデータ量は急速に増加しており、インテリジェンスのボトルネックと情報疲労を引き起こしていました。その結果、セキュリティ態勢は消極的なものとなり、チームは攻撃者の考え方に関するコンテキストや可視性を欠くことになり、組織は危険にさらされることになりました。

ソリューション

Time-to-intelを加速し、ワークフローを最適化する取り組みの一環として、同社はIOC（indicators of compromise）モジュールを備えたCybersixgillの脅威インテリジェンスを導入しました。当初はIRチームに採用され、IOCフィードはクライアントのSIEM、SOAR、VMプラットフォーム、ファイアウォールにシームレスに統合されました。

その後、脅威インテリジェンス・チームが調査ポータルを使用するようになり、その価値は飛躍的に高まりました。不正チームは現在、ゼロデイ攻撃や脅威の発見と修復を迅速化し、企業内のさまざまな部門にわたる悪意のある活動への対応に優先順位をつけることができます。また、これまでにない実用的な不正関連のインテリジェンスにリアルタイムでアクセスできるようになり、カスタマイズされた不正通知を受け取ることで、対策を支援できるようになりました。「Cybersixgillのおかげで、クレジットカード詐欺を先手を打って検知し、ブロックすることができるようになりました。」とシニア不正アナリストはコメントしています。

結果

IRチームはすぐに価値を見いだしました。リアルタイムで取得した最新のインテリジェンス（数日ではなく数時間以内）を得ることで、即座に対応時間を75%短縮し、7倍の脅威を検知することができました。「このような結果を見たのは初めてです。アラートによる疲労が完全に軽減され、脅威の各指標の背後にある全体像を把握できるようになりました。Cybersixgillのおかげで、多くの攻撃を未然に防ぎ、レスポンスタイムを大幅に改善することができました。」と脅威アナリストはコメントしています。

Cybersixgillの価値を理解した脅威インテリジェンスチームは、サービスを拡大し、実行可能なアラートを提供する調査ポータルの数を追加しました。これにより、IOCをリアルタイムでさらなる調査ができるようになりました。調査ポータルは、検知と修復にかかる時間を短縮するとともに、脅威アクターひとりひとりの背景、経歴、考え方に関する比類のない可視性と洞察を提供します。「ポータルは私たちの予測をはるかに超えています。 明日の新聞を今日手にしているようなものです。」と同社のCISOはコメントしています。