A Trinity Cyber detém os criminosos com ajuda da F5

“Parar os bandidos” — é assim que a Trinity Cyber descreve a missão da empresa, que foi formada em 2017 pelo ex-presidente dos EUA. Especialistas da Agência de Segurança Nacional (NSA) liderados por Steve Ryan, ex-diretor adjunto do Centro de Operações de Ameaças da NSA, e Thomas P. Bossert, ex-funcionário dos EUA. Conselheiro de Segurança Interna de dois presidentes dos EUA. A empresa opera uma nuvem privada distribuída nos Estados Unidos, emprega cerca de 52 pessoas e oferece segurança cibernética sofisticada aos seus clientes. Os clientes da empresa incluem operadores de infraestrutura crítica, elementos do Departamento de Defesa e outros com alto risco de perda, incluindo organizações nos setores financeiro, energético e governamental civil.

Embora a equipe da Trinity Cyber simplesmente se autodenomine "os mocinhos", não há nada simplista em sua tecnologia inovadora e linhas de serviço que protegem os clientes de forma mais proativa do que a maioria, com taxas de falsos positivos próximas de zero. Não é de se espantar que tanto a Gartner quanto a Dark Reading tenham selecionado recentemente a empresa como uma das que merecem atenção.

“Muitas empresas dependem fortemente do bloqueio de indicadores tradicionais de comprometimento (IOCs)”, diz Stefan Baranoff, Diretor de Engenharia. “Há dois problemas aí: Primeiro, os IOCs são derivados após a ocorrência de um ataque, geralmente monitorando uma porta de intervalo — uma cópia do tráfego; e segundo, as características dos IOCs são tais que um adversário pode alterá-los mais rápido do que você pode assiná-los. Nós nos concentramos em como os maus atores fazem o que fazem — as técnicas, o comportamento e os padrões nos dados que os denunciam — e vamos atrás das técnicas diretamente para detê-los, na fila, antes que tenham sucesso.”

O Trinity Cyber começa com uma inspeção de conteúdo profunda o suficiente para expor técnicas adversárias e rápida o suficiente para fazer algo sobre essas técnicas. Mas eles não bloqueiam apenas conteúdo suspeito. Baranoff diz: “Podemos realmente substituir, remover ou modificar conteúdo dentro de uma sessão — algo que ninguém mais no setor faz — e isso leva a um nível de proteção mais duradouro.”

Por exemplo, conteúdo malicioso pode ficar preso no final de uma imagem baixada que, de outra forma, seria inofensiva. Baranoff diz: “Parece que alguém acessou uma página da web. Esses dados criptografados parecem lixo aleatório, assim como em todas as outras imagens na Internet. Outros bloqueariam a imagem ou o domínio de onde a imagem foi entregue, interrompendo uma grande parte da Internet. Nós removemos os dados do final da imagem e a enviamos.”

A descriptografia e a inspeção completa são essenciais, mas não são fáceis de realizar tanto no tráfego de entrada quanto de saída com uma única solução.

Em 2021, a Trinity Cyber escolheu o F5 BIG-IP SSL Orchestrator para executar a descriptografia necessária no tráfego bidirecional para clientes que ainda não tinham descriptografia SSL/STARTTLS suficiente em vigor. Eles começaram com uma máquina virtual para um cliente específico, iniciando uma transição na abordagem da empresa para descriptografia.

Ajudou o fato de a solução F5 ser econômica e oferecer suporte a máquinas virtuais. “O suporte para instâncias virtuais é enorme”, diz Baranoff. “A flexibilidade nos permite aumentar os recursos conforme a demanda do cliente.”

A implementação levou apenas alguns dias. Desde então, o uso do BIG-IP SSL Orchestrator pela Trinity Cyber evoluiu para incluir mais clientes, mais máquinas virtuais e casos de uso mais complexos. 

Um desses casos de uso é a vulnerabilidade Log4j, uma falha grave que coloca milhões de dispositivos em risco e continua sendo amplamente explorada por cibercriminosos. No final de 2021, a CISA emitiu uma diretiva de emergência exigindo que todos os departamentos e agências civis federais avaliassem e imediatamente corrigissem os sistemas ou implementassem medidas de mitigação. Enquanto muitos se esforçaram para monitorar e corrigir os sistemas nas primeiras horas após a divulgação, os clientes da Trinity Cyber estavam e ainda estão protegidos de qualquer tentativa de explorar a vulnerabilidade do Log4j.  

Outro dos muitos casos de uso complexos envolve os esforços da Trinity Cyber para interromper a coleta de credenciais em várias redes de seus clientes. Os adversários tentaram coletar credenciais válidas do Office 365 usando hiperlinks enganosos, técnicas de phishing por e-mail e criação de domínios fictícios. Os recursos exclusivos de prevenção da tecnologia da Trinity Cyber reconheceram as metodologias comuns alavancadas pelo adversário e impediram qualquer coleta de credenciais em sua base de clientes, removendo a estratégia do adversário do tráfego de rede do cliente de forma totalmente automatizada.

Baranoff diz que cerca de 95% do tráfego que sua empresa protege é criptografado, e a Trinity Cyber buscou um parceiro de tecnologia com capacidade para proteger clientes que, de outra forma, não teriam visibilidade desse tráfego. 

Ele diz: “O F5 é uma das poucas opções que não nos faz comprometer nossa operação de forma drástica”.

O CEO Steve Ryan diz: “O BIG-IP SSL Orchestrator é essencial para a entrega de nossas linhas de serviço, fornecendo visibilidade ao tráfego criptografado, permitindo que a Trinity Cyber identifique e remova ameaças.” 

Baranoff também elogia a capacidade da solução de seguir vários protocolos, independentemente do início da criptografia, e descriptografar o tráfego imediatamente no comando “STARTTLS”. “Não vi nenhuma outra solução capaz de fazer isso”, diz ele. “Foi uma grande vitória com o F5.”

A capacidade de personalizar o BIG-IP SSL Orchestrator foi outro recurso diferenciado. 

Baranoff diz: “Ao trabalhar em nosso próprio sistema, podemos alterar o código quando precisamos fazer uma alteração. Esse não é normalmente o caso com outros sistemas de fornecedores. O F5 iRules nos permite alterar o código para personalizar e obter o comportamento que queremos. Isso nos permite oferecer melhor suporte aos nossos clientes e seus casos de uso.”

De fato, quando solicitado a resumir os benefícios do BIG-IP SSL Orchestrator, a flexibilidade encabeçou sua lista: “Flexibilidade, estabilidade, desempenho, visibilidade rica em recursos e controle. F5 está um nível muito acima.”

Como resultado, Baranoff diz: “Eu economizo muito tempo e dinheiro com o F5”.

Atualmente, sua equipe está trabalhando com a F5 Professional Services em implantação automatizada declarativa e manutenção do ciclo de vida. 

“Está indo muito bem”, ele diz, chamando sua equipe F5 de “incrivelmente responsiva e muito empenhada em nos ajudar a aproveitar ao máximo o produto”.

Ele também espera que a F5 tenha em breve uma resposta para o iminente problema global de como descriptografar o HTTP3. “Seria uma vitória incrível.”

Enquanto isso, ele diz: “O produto continua melhorando e estamos ansiosos para ver o que o futuro reserva”.

Os bandidos provavelmente farão parte desse futuro e a Trinity Cyber estará trabalhando para combatê-los, com a F5 ao lado para ajudar.