Trinity Cyber stoppt Bösewichte mithilfe von F5

„Die Bösewichte stoppen“ – so beschreibt Trinity Cyber die Mission des Unternehmens, das 2017 von ehemaligen US-Soldaten gegründet wurde. Experten der National Security Agency (NSA) unter der Leitung von Steve Ryan, dem ehemaligen stellvertretenden Direktor des Threat Operation Center der NSA, und Thomas P. Bossert, einem ehemaligen US-Senator. Heimatschutzberater zweier US-Präsidenten. Das Unternehmen betreibt eine verteilte private Cloud in den USA, beschäftigt rund 52 Mitarbeiter und bietet seinen Kunden hochentwickelte Cybersicherheit. Zu den Kunden des Unternehmens zählen die Betreiber kritischer Infrastrukturen, Teile des Verteidigungsministeriums und andere Personen mit hohem Verlustrisiko, darunter Organisationen aus den Bereichen Finanzen, Energie und zivile Regierung.

Das Team von Trinity Cyber nennt sich zwar einfach „die Guten“, aber an seiner innovativen Technologie und seinen Serviceangeboten ist nichts Einfaches. Sie schützen die Kunden proaktiver als die meisten anderen und erzielen eine Falschmeldungsrate gegen Null. Kein Wunder, dass sowohl Gartner als auch Dark Reading das Unternehmen kürzlich als eines der Unternehmen ausgewählt haben, das man im Auge behalten sollte.

„Viele Unternehmen verlassen sich stark auf die Blockierung herkömmlicher Indikatoren für eine Kompromittierung (IOCs)“, sagt Stefan Baranoff, Director of Engineering. „Da gibt es zwei Probleme: Erstens werden IOCs nach einem Angriff abgeleitet, normalerweise durch die Überwachung eines Span-Ports – einer Kopie des Datenverkehrs. Und zweitens sind die Eigenschaften von IOCs so beschaffen, dass ein Angreifer sie schneller ändern kann, als Sie sie signieren können. Wir konzentrieren uns darauf, wie Kriminelle vorgehen – auf die Techniken, Verhaltensweisen und Muster in den Daten, die sie verraten – und wir gehen diese Techniken direkt an, um sie aufzuhalten, bevor sie Erfolg haben.“

Trinity Cyber beginnt mit einer Inhaltsprüfung, die gründlich genug ist, um gegnerische Techniken aufzudecken, und schnell genug, um gegen diese Techniken vorzugehen. Aber sie blockieren nicht nur verdächtige Inhalte. Baranoff sagt: „Wir können tatsächlich Inhalte innerhalb einer Sitzung ersetzen, entfernen oder ändern – das macht sonst niemand in der Branche – und das führt zu einem nachhaltigeren Schutzniveau.“

Beispielsweise kann schädlicher Inhalt an das Ende eines ansonsten harmlosen heruntergeladenen Bildes angehängt werden. Baranoff sagt: „Es sieht einfach so aus, als hätte jemand eine Webseite aufgerufen. Diese verschlüsselten Daten sehen wie zufälliger Müll aus, genau wie alle anderen Bilder im Internet. Andere würden das Bild oder die Domäne, von der das Bild bereitgestellt wurde, blockieren und damit große Teile des Internets lahmlegen. Wir entfernen die Daten vom Ende des Bildes und schicken sie auf die Reise.“

Entschlüsselung und vollständige Überprüfung sind von entscheidender Bedeutung, lassen sich mit einer einzigen Lösung jedoch sowohl für eingehenden als auch für ausgehenden Datenverkehr nicht einfach erreichen.

Im Jahr 2021 entschied sich Trinity Cyber für den F5 BIG-IP SSL Orchestrator, um die notwendige Entschlüsselung des bidirektionalen Datenverkehrs für Kunden durchzuführen, die noch nicht über eine ausreichende SSL/STARTTLS-Entschlüsselung verfügten. Sie begannen mit einer virtuellen Maschine für einen bestimmten Kunden und leiteten damit einen Übergang in der Vorgehensweise des Unternehmens hinsichtlich der Entschlüsselung ein.

Hilfreich war, dass die F5-Lösung kostengünstig war und virtuelle Maschinen unterstützte. „Die Unterstützung für virtuelle Instanzen ist enorm“, sagt Baranoff. „Die Flexibilität ermöglicht es uns, unsere Ressourcen entsprechend der Kundennachfrage zu erweitern.“

Die Implementierung dauerte nur wenige Tage. Seitdem hat sich die Nutzung von BIG-IP SSL Orchestrator durch Trinity Cyber weiterentwickelt und umfasst nun mehr Kunden, mehr virtuelle Maschinen und komplexere Anwendungsfälle. 

Ein solcher Anwendungsfall ist die Log4j-Sicherheitslücke, ein schwerwiegender Fehler, der Millionen von Geräten gefährdet und nach wie vor häufig von Bedrohungsakteuren ausgenutzt wird. Ende 2021 erließ die CISA eine Notfallrichtlinie, die alle zivilen Ministerien und Behörden des Bundes dazu verpflichtete, die Systeme zu bewerten und umgehend zu patchen oder Abhilfemaßnahmen umzusetzen. Während viele innerhalb der ersten Stunden nach der Bekanntgabe sofort damit begannen, ihre Systeme zu überwachen und zu patchen, waren und sind die Kunden von Trinity Cyber vor allen Versuchen geschützt, die Log4j-Sicherheitslücke auszunutzen.  

Ein weiterer der vielen komplexen Anwendungsfälle betrifft die Bemühungen von Trinity Cyber, das Sammeln von Anmeldeinformationen in mehreren Netzwerken seiner Kunden zu verhindern. Angreifer versuchten, mithilfe irreführender Hyperlinks, E-Mail-Phishing-Techniken und der Erstellung fiktiver Domänen an gültige Office 365-Anmeldeinformationen zu gelangen. Die einzigartigen Präventionsfunktionen der Technologie von Trinity Cyber erkannten die gängigen Methoden des Angreifers und verhinderten die Erfassung von Anmeldeinformationen im gesamten Kundenstamm, indem sie die Methoden des Angreifers vollautomatisch aus dem Netzwerkverkehr des Kunden entfernten.

Baranoff sagt, dass rund 95 % des von seinem Unternehmen gesicherten Datenverkehrs verschlüsselt sind, und Trinity Cyber suchte nach einem Technologiepartner mit der Fähigkeit, Kunden zu schützen, die sonst keinen Einblick in diesen Datenverkehr hätten. 

Er sagt: „F5 ist eine der wenigen Optionen, bei der unser Betrieb nicht drastisch beeinträchtigt wird.“

CEO Steve Ryan sagt: „BIG-IP SSL Orchestrator ist ein integraler Bestandteil der Bereitstellung unserer Serviceleitungen. Er bietet Einblick in den verschlüsselten Datenverkehr und ermöglicht es Trinity Cyber, Bedrohungen zu erkennen und zu entfernen.“ 

Baranoff lobt außerdem die Fähigkeit der Lösung, unabhängig von der Verschlüsselungsinitiierung verschiedenen Protokollen zu folgen und den Datenverkehr mit dem Befehl „STARTTLS“ sofort zu entschlüsseln. „Ich habe keine andere Lösung gesehen, die das kann“, sagt er. „Das war ein riesiger Sieg mit F5.“

Die Möglichkeit, BIG-IP SSL Orchestrator anzupassen, war ein weiteres Alleinstellungsmerkmal. 

Baranoff sagt: „Wenn wir an unserem eigenen System arbeiten, können wir den Code ändern, wenn wir eine Änderung vornehmen müssen. Dies ist bei Systemen anderer Anbieter normalerweise nicht der Fall. Mit F5 iRules können wir den Code anpassen und das gewünschte Verhalten erzielen. Dadurch können wir unsere Kunden und ihre Anwendungsfälle besser unterstützen.“

Als er gebeten wurde, die Vorteile von BIG-IP SSL Orchestrator zusammenzufassen, stand Flexibilität ganz oben auf seiner Liste: „Flexibilität, Stabilität, Leistung, funktionsreiche Sichtbarkeit und Kontrolle. F5 ist noch eine ganze Stufe besser.“

Das Ergebnis, sagt Baranoff, „ist, dass ich mit F5 jede Menge Zeit und Geld spare.“

Derzeit arbeitet sein Team mit F5 Professional Services an der deklarativen automatisierten Bereitstellung und Lebenszykluswartung. 

„Es läuft wirklich gut“, sagt er und bezeichnet sein F5-Team als „unglaublich reaktionsschnell und sehr engagiert, um uns dabei zu helfen, das Beste aus dem Produkt herauszuholen.“

Er hofft außerdem, dass F5 bald eine Antwort auf das drohende globale Problem der Entschlüsselung von HTTP3 haben wird. „Das wäre ein großartiger Sieg.“

In der Zwischenzeit, sagt er, „wird das Produkt immer besser und wir sind gespannt, was die Zukunft bringt.“

Die Bösewichte werden wahrscheinlich Teil dieser Zukunft sein und Trinity Cyber wird mit der Hilfe von F5 daran arbeiten, sie zu bekämpfen.