Klient: bank komercyjny działający na polskim rynku
Obszar: cyber threat intelligence / analiza zagrożeń / procesy bezpieczeństwa
Integracja: przez REST API z możliwością wykorzystania w SIEM, SOAR i IDS/IPS
Rezultat: gotowość banku do reagowania na zagrożenia występujące na polskim rynku
Bank korzystał z informacji o zagrożeniach pochodzących z różnych źródeł, jednak ich praktyczna użyteczność nie zawsze odpowiadała specyfice polskiego sektora finansowego. W przypadku globalnych vendorów problemem nie jest zwykle brak danych, lecz ich ograniczone dopasowanie do lokalnych realiów – szczególnie tam, gdzie znaczenie ma znajomość bieżących kampanii, sposobu działania cyberprzestępców oraz specyfiki zagrożeń obserwowanych na krajowym rynku.
W praktyce oznaczało to, że część danych wymagała dodatkowej oceny, część nie wnosiła wystarczającego kontekstu, a część miała ograniczoną wartość operacyjną z perspektywy środowiska bankowego w Polsce. Klient potrzebował feedu, który nie tylko dostarcza informacje o zagrożeniach, ale robi to w sposób dopasowany do realiów pracy zespołów bezpieczeństwa w polskim banku.
Istotne było również to, aby dane można było wykorzystywać selektywnie – bez konieczności pracy na pełnym, nieprzefiltrowanym strumieniu wskaźników. W środowisku bankowym wartość operacyjna feedu wynika nie tylko z zakresu danych, ale także z możliwości ich zawężenia do informacji naprawdę istotnych z perspektywy bieżących procesów bezpieczeństwa.
Bank wdrożył Cyber Threat Intelligence Feed (CTI Feed) jako dodatkowe źródło danych o zagrożeniach wspierające istniejące procesy bezpieczeństwa. Kluczową i unikatową wartością rozwiązania okazała się nie tylko jakość samych informacji, ale również ich lokalny kontekst oraz możliwość praktycznego wykorzystania w środowisku operacyjnym.
Istotna część tej wartości wynika z pracy zespołu PREBYTES SIRT (Security Incident Response Team), który na co dzień zajmuje się obsługą i analizą incydentów polskich banków. Obejmuje to m.in. analizę i obsługę incydentów, monitorowanie cyberprzestrzeni oraz identyfikację zagrożeń pojawiających się w praktyce operacyjnej. Dzięki temu feed jest zasilany informacjami osadzonymi w rzeczywistym krajobrazie zagrożeń, a nie wyłącznie danymi pozyskiwanymi automatycznie w skali globalnej.
W praktyce oznaczało to dostęp do informacji aktualnych, zweryfikowanych i selektywnie dobranych, z większą wartością dla organizacji działającej na polskim rynku finansowym. Dla klienta istotne było również to, że dane mogą być filtrowane według źródła, poziomu ryzyka oraz zakresu czasowego, co pozwala dopasować je do konkretnych potrzeb operacyjnych i ograniczyć napływ informacji o niskiej przydatności.
Dodatkową korzyścią była możliwość pracy zarówno na danych bieżących, jak i na informacjach historycznych z określonego przedziału czasu, co zwiększało elastyczność wykorzystania feedu w procesach analitycznych. Istotnym atutem okazała się również dostępność rozwiązania w formatach CSV, JSON, STIX, TAXII i XML, która ułatwiała integrację z istniejącymi narzędziami oraz procesami bezpieczeństwa.
Po wdrożeniu bank uzyskał źródło threat intelligence, które lepiej odpowiadało jego realnym potrzebom operacyjnym. Przełożyło się to nie tylko na większą użyteczność samych danych, ale również na bardziej efektywną pracę zespołów bezpieczeństwa, szybsze identyfikowanie zagrożeń oraz lepsze wsparcie działań ochronnych i prewencyjnych.
W praktyce oznaczało to mniej szumu, większą koncentrację na sygnałach rzeczywiście istotnych dla banku oraz lepsze wykorzystanie threat intelligence w ochronie organizacji przed incydentami i ich skutkami.
