Trinity Cyber、F5の支援で攻撃者を阻止する

「悪者を阻止する」。これが、2017年に元米国大統領によって設立されたトリニティ・サイバーの使命だ。 国家安全保障局（NSA）の専門家は、元NSA脅威対策センター副所長のスティーブ・ライアン氏と、元米国防長官のトーマス・P・ボッサート氏が率いる。 2人の米国大統領の国土安全保障顧問。 同社は米国で分散型プライベートクラウドを運営しており、約52人の従業員を雇用し、顧客に高度なサイバーセキュリティを提供しています。 同社の顧客には、重要なインフラストラクチャの運営者、国防総省の組織、金融、エネルギー、民間政府部門の組織など、損失のリスクが高いその他の組織が含まれます。

Trinity Cyber チームは単に自分たちを「善玉」と呼んでいますが、その革新的なテクノロジーとサービス ラインは、誤検知率がほぼゼロで、他のほとんどの企業よりも積極的に顧客を保護しており、決して単純なものではありません。 ガートナーとダーク・リーディングの両社が最近、同社を注目すべき企業として選んだのも不思議ではない。

「多くの企業は、従来の侵入の兆候（IOC）をブロックすることに大きく依存しています」とエンジニアリング ディレクターの Stefan Baranoff 氏は述べています。 「そこには2つの問題があります。 まず、IOC は攻撃が発生した後に生成され、通常はトラフィックのコピーであるスパン ポートを監視することによって生成されます。次に、IOC の特性により、攻撃者は署名するよりも速く IOC を変更できます。 私たちは、犯罪者がどのような方法で犯罪行為を行っているか、つまり、その手口、行動、データ内のパターンに注目し、その手口を直接追跡して、犯罪者が成功する前に、その場で阻止します。」

Trinity Cyber は、敵対者の手法を明らかにするのに十分な深さと、それらの手法に対処するのに十分な速さを備えたコンテンツ検査から始まります。 しかし、疑わしいコンテンツをブロックするだけではありません。 バラノフ氏は、「当社ではセッション内でコンテンツを置き換えたり、削除したり、変更したりすることができます。これは業界の他社ではできないことです。これにより、より永続的なレベルの保護が実現します」と述べています。

たとえば、ダウンロードした本来は無害な画像の最後に悪意のあるコンテンツが埋め込まれている可能性があります。 バラノフ氏は、「誰かがウェブページにアクセスしたように見えるだけです」と語る。 その暗号化されたデータは、インターネット上の他のすべての画像と同様に、ランダムなジャンクのように見えます。 他の人は画像や画像が配信されたドメインをブロックし、インターネットの大部分を機能停止に陥らせます。 画像の末尾からデータを削除して送信します。」

復号化と完全な検査が重要ですが、単一のソリューションで受信トラフィックと送信トラフィックの両方を実現するのは簡単ではありません。

2021 年、Trinity Cyber は、十分な SSL/STARTTLS 復号化が導入されていない顧客のために、双方向トラフィックで必要な復号化を実行するために F5 BIG-IP SSL Orchestrator を選択しました。 彼らは特定の顧客向けに 1 台の仮想マシンから始め、会社の復号化へのアプローチの転換を開始しました。

F5 ソリューションはコスト効率が良く、仮想マシンをサポートしていたことも役に立ちました。 「仮想インスタンスのサポートは非常に大きい」とバラノフ氏は言う。 「柔軟性により、顧客の需要に応じてリソースを増やすことができます。」

実装にはわずか数日かかりました。 それ以来、Trinity Cyber の BIG-IP SSL Orchestrator の使用は、より多くの顧客、より多くの仮想マシン、より複雑なユースケースを含むように進化してきました。 

そうしたユースケースの 1 つが Log4j の脆弱性です。これは、何百万台ものデバイスを危険にさらし、脅威アクターによって広く悪用され続けている重大な欠陥です。 2021年後半、 CISAはすべての連邦民間部門および機関に対し、システムの評価と即時パッチ適用、または緩和策の実施を要求する緊急指令を発行しました。 多くの人が情報開示後最初の数時間以内にシステムの監視とパッチ適用に奔走しましたが、Trinity Cyber の顧客は Log4j の脆弱性を悪用するあらゆる試みから保護されており、現在も保護されています。  

数多くの複雑なユースケースの 1 つに、Trinity Cyber 社が複数の顧客ネットワークで認証情報の収集を阻止する取り組みがあります。 攻撃者は、偽のハイパーリンク、電子メールのフィッシング手法、架空のドメインの作成などを使用して、有効な Office 365 資格情報を収集しようとしました。 Trinity Cyber のテクノロジーの独自の防止機能は、攻撃者が利用する一般的な手法を認識し、顧客のネットワーク トラフィックから攻撃者の手法を完全に自動化された方法で排除することで、顧客ベース全体での認証情報の収集を防止しました。

バラノフ氏は、同社が保護するトラフィックの約95%が暗号化されており、Trinity Cyber社は、そうしたトラフィックを可視化できない顧客を保護できる能力を持つ技術パートナーを探していたと語る。 

「F5 は、業務に大きな支障をきたさない数少ない選択肢の 1 つです」と彼は言います。

CEO のスティーブ・ライアン氏は、「BIG-IP SSL Orchestrator は当社のサービス ラインの提供に不可欠であり、暗号化されたトラフィックの可視性を提供し、Trinity Cyber が脅威を特定して除去できるようにします」と述べています。 

バラノフ氏はまた、暗号化の開始に関係なくさまざまなプロトコルに従い、「STARTTLS」コマンドですぐにトラフィックを復号化するこのソリューションの能力を高く評価しています。 「これを実現できる他のソリューションは見たことがありません」と彼は言う。 「F5にとってそれは大きな勝利でした。」

BIG-IP SSL Orchestrator をカスタマイズできる機能も、もう一つの特徴です。 

バラノフ氏は、「独自のシステムで作業する場合、変更が必要なときにコードを変更することができます。 他のベンダーのシステムでは通常そうではありません。 F5 iRules を使用すると、コードを変更してカスタマイズし、必要な動作を実現できます。 これにより、お客様とそのユースケースをより適切にサポートできるようになります。」

実際、BIG-IP SSL Orchestrator の利点をまとめるように求められたとき、彼は柔軟性をリストのトップに挙げました。 「柔軟性、安定性、パフォーマンス、豊富な機能の可視性、そして制御。 F5 ははるかに上です。」

その結果、バラノフ氏は「F5 のおかげで、あらゆる時間と費用を節約できました」と述べています。

現在、彼のチームは F5 プロフェッショナル サービスと協力して、宣言型の自動展開とライフサイクル メンテナンスに取り組んでいます。 

「本当に順調です」と彼は言い、F5 チームを称賛した。「彼らは驚くほど反応が良く、製品を最大限に活用できるように全力を尽くしてくれています。」

彼はまた、HTTP3 の暗号化解除方法という差し迫った世界的な問題に対して、F5 がすぐに答えを出すことを期待している。 「それは素晴らしい勝利となるだろう。」

一方で、彼は「製品はどんどん良くなってきており、将来がどうなるのか楽しみです」と語る。

悪者はおそらく将来その一部となるでしょう。Trinity Cyber は F5 と協力して彼らと戦うことになります。