Trinity Cyber detiene a los delincuentes con la ayuda de F5

“Detener a los malos”, así describe Trinity Cyber la misión de la empresa, fundada en 2017 por el ex fiscal general de Estados Unidos. Los expertos de la Agencia de Seguridad Nacional (NSA), liderados por Steve Ryan, anteriormente subdirector del Centro de Operaciones de Amenazas de la NSA, y Thomas P. Bossert, ex secretario de Defensa de Estados Unidos, Asesor de Seguridad Nacional de dos presidentes de Estados Unidos. La empresa opera una nube privada distribuida en Estados Unidos, emplea a unas 52 personas y ofrece ciberseguridad sofisticada a sus clientes. Los clientes de la empresa incluyen operadores de infraestructura crítica, elementos del Departamento de Defensa y otros con un alto riesgo de pérdida, incluidas organizaciones de los sectores financiero, energético y gubernamental civil.

Si bien el equipo de Trinity Cyber simplemente se autodenomina "los buenos", no hay nada simplista en su tecnología innovadora y sus líneas de servicio que protegen a los clientes de forma más proactiva que la mayoría, con tasas de falsos positivos que se acercan a cero. No es de extrañar que tanto Gartner como Dark Reading hayan seleccionado recientemente a la empresa como una de las empresas a tener en cuenta.

“Muchas empresas dependen en gran medida del bloqueo de los indicadores de compromiso (IOC) tradicionales”, afirma Stefan Baranoff, Director de Ingeniería. “Hay dos problemas ahí: En primer lugar, los IOC se derivan después de que se ha producido un ataque, y generalmente mediante el monitoreo de un puerto span (una copia del tráfico); y en segundo lugar, las características de los IOC son tales que un adversario puede cambiarlos más rápido de lo que usted puede firmarlos. Nos centramos en cómo los actores maliciosos hacen lo que hacen (las técnicas, el comportamiento y los patrones en los datos que los delatan) y vamos tras las técnicas directamente para detenerlos en seco, antes de que tengan éxito".

Trinity Cyber comienza con una inspección de contenido que es lo suficientemente profunda como para exponer las técnicas del adversario y lo suficientemente rápida como para hacer algo al respecto. Pero no solo bloquean contenido sospechoso. Baranoff afirma: “Podemos reemplazar, eliminar o modificar contenido dentro de una sesión, algo que nadie más en la industria hace, y eso genera un nivel de protección más duradero”.

Por ejemplo, se puede pegar contenido malicioso al final de una imagen descargada que de otro modo sería inofensiva. Baranoff dice: “Parece como si alguien hubiera visitado una página web. Estos datos cifrados parecen basura aleatoria, igual que todas las demás imágenes de Internet. Otros bloquearían la imagen o el dominio desde el que se envió la imagen, dañando así una gran parte de Internet. “Eliminamos los datos del final de la imagen y la enviamos”.

El descifrado y la inspección completa son fundamentales, pero no son fáciles de lograr tanto en el tráfico entrante como en el saliente con una única solución.

En 2021, Trinity Cyber eligió F5 BIG-IP SSL Orchestrator para realizar el descifrado necesario en el tráfico bidireccional para los clientes que aún no contaban con suficiente descifrado SSL/STARTTLS. Comenzaron con una máquina virtual para un cliente específico, iniciando una transición en el enfoque de la empresa hacia el descifrado.

Fue útil que la solución F5 fuera rentable y admitiera máquinas virtuales. “El apoyo a las instancias virtuales es enorme”, afirma Baranoff. “La flexibilidad nos permite aumentar los recursos según la demanda de los clientes”.

La implementación tomó sólo unos días. Desde entonces, el uso de BIG-IP SSL Orchestrator por parte de Trinity Cyber ha evolucionado para incluir más clientes, más máquinas virtuales y casos de uso más complejos. 

Un caso de uso de este tipo es la vulnerabilidad Log4j, una falla grave que pone en riesgo millones de dispositivos y continúa siendo ampliamente explotada por actores de amenazas. A fines de 2021, CISA emitió una directiva de emergencia que exige que todos los departamentos y agencias civiles federales evalúen y reparen de inmediato los sistemas o implementen medidas de mitigación. Si bien muchos se apresuraron a monitorear y parchar los sistemas dentro de las primeras horas luego de la divulgación, los clientes de Trinity Cyber estuvieron y aún están protegidos de cualquier intento de explotar la vulnerabilidad Log4j.  

Otro de los muchos casos de uso complejos involucra los esfuerzos de Trinity Cyber para detener la recolección de credenciales en varias de las redes de sus clientes. Los adversarios intentaron obtener credenciales válidas de Office 365 utilizando hipervínculos engañosos, técnicas de phishing por correo electrónico y la creación de dominios ficticios. Las capacidades de prevención únicas de la tecnología de Trinity Cyber reconocieron las metodologías comunes utilizadas por el adversario y evitaron cualquier recopilación de credenciales en toda su base de clientes al eliminar las técnicas del adversario del tráfico de red del cliente de manera totalmente automatizada.

Baranoff dice que alrededor del 95% del tráfico que su empresa protege está encriptado, y Trinity Cyber buscó un socio tecnológico con las capacidades para proteger a los clientes que de otra manera carecían de visibilidad de ese tráfico. 

Él dice: “F5 es una de las pocas opciones que no nos hace comprometer nuestra operación de manera drástica”.

El director ejecutivo Steve Ryan afirma: “BIG-IP SSL Orchestrator es fundamental para la prestación de nuestras líneas de servicio, ya que proporciona visibilidad del tráfico cifrado y permite a Trinity Cyber identificar y eliminar amenazas”. 

Baranoff también elogia la capacidad de la solución para seguir varios protocolos, independientemente del inicio del cifrado, y descifrar el tráfico inmediatamente con el comando “STARTTLS”. “No he visto ninguna otra solución capaz de hacer eso”, dice. “Fue una gran victoria con F5”.

La capacidad de personalizar BIG-IP SSL Orchestrator fue otra característica distintiva. 

Baranoff dice: “Cuando trabajamos en nuestro propio sistema, podemos cambiar el código cuando necesitamos hacer un cambio. Este no suele ser el caso con los sistemas de otros proveedores. F5 iRules nos permite cambiar el código para personalizarlo y obtener el comportamiento que queremos. “Eso nos permite brindar un mejor soporte a nuestros clientes y sus casos de uso”.

De hecho, cuando se le pidió que resumiera los beneficios de BIG-IP SSL Orchestrator, la flexibilidad encabezó su lista: “Flexibilidad, estabilidad, rendimiento, visibilidad con abundantes funciones y control. “F5 está un nivel muy por encima”.

Como resultado, Baranoff dice: “Ahorro un montón de tiempo y dinero con F5”.

Actualmente, su equipo está trabajando con F5 Professional Services en la implementación automatizada declarativa y el mantenimiento del ciclo de vida. 

"Va muy bien", afirma, y describe a su equipo de F5 como "increíblemente receptivo y muy comprometido a ayudarnos a aprovechar al máximo el producto".

También espera que F5 tenga pronto una respuesta para el inminente problema global de cómo descifrar HTTP3. “Eso sería una victoria increíble”.

Mientras tanto, dice, “el producto sigue mejorando y estamos entusiasmados por ver hacia dónde nos lleva el futuro”.

Los malos probablemente serán parte de ese futuro y Trinity Cyber trabajará para combatirlos, con F5 a su lado para ayudar.