Trinity Cyber arrête les criminels avec l'aide de F5

« Arrêter les méchants » : c'est ainsi que Trinity Cyber décrit la mission de l'entreprise, fondée en 2017 par un ancien président américain. Des experts de l'Agence de sécurité nationale (NSA) dirigés par Steve Ryan, ancien directeur adjoint du Centre des opérations sur les menaces de la NSA, et Thomas P. Bossert, ancien secrétaire d'État américain, ont participé à la réunion. Conseiller à la sécurité intérieure de deux présidents américains. L'entreprise exploite un cloud privé distribué aux États-Unis, emploie environ 52 personnes et offre une cybersécurité sophistiquée à ses clients. Les clients de l’entreprise comprennent les opérateurs d’infrastructures critiques, des éléments du ministère de la Défense et d’autres personnes présentant un risque élevé de perte, notamment des organisations des secteurs financier, énergétique et gouvernemental civil.

Bien que l'équipe de Trinity Cyber se qualifie simplement de « gentils gars », il n'y a rien de simpliste dans leur technologie innovante et leurs lignes de services qui protègent les clients de manière plus proactive que la plupart, avec des taux de faux positifs proches de zéro. Il n’est pas étonnant que Gartner et Dark Reading aient récemment sélectionné l’entreprise comme une entreprise à surveiller.

« De nombreuses entreprises s’appuient fortement sur le blocage des indicateurs de compromission traditionnels (IOC) », explique Stefan Baranoff, directeur de l’ingénierie. « Il y a là deux problèmes : Premièrement, les IOC sont dérivés après qu’une attaque a eu lieu, et généralement en surveillant un port span (une copie du trafic) ; et deuxièmement, les caractéristiques des IOC sont telles qu’un adversaire peut les modifier plus rapidement que vous ne pouvez les signer. Nous nous concentrons sur la manière dont les mauvais acteurs font ce qu’ils font – les techniques, le comportement et les modèles dans les données qui les trahissent – et nous nous attaquons directement aux techniques pour les arrêter dans leur élan, en ligne, avant qu’ils ne réussissent.

Trinity Cyber commence par une inspection du contenu suffisamment approfondie pour exposer les techniques adverses et suffisamment rapide pour réagir à ces techniques. Mais ils ne bloquent pas seulement le contenu suspect. Baranoff déclare : « Nous pouvons réellement remplacer, supprimer ou modifier le contenu d'une session, ce que personne d'autre dans le secteur ne fait, ce qui conduit à un niveau de protection plus durable. »

Par exemple, du contenu malveillant peut être collé à la fin d’une image téléchargée autrement inoffensive. Baranoff dit : « On dirait simplement que quelqu’un est allé sur une page Web. Ces données cryptées ressemblent à des déchets aléatoires, comme toutes les autres images sur Internet. D'autres bloqueraient l'image ou le domaine à partir duquel l'image a été livrée, cassant ainsi une grande partie d'Internet. Nous supprimons les données de la fin de l'image et les envoyons ailleurs.

Le décryptage et l’inspection complète sont essentiels, mais pas faciles à réaliser sur le trafic entrant et sortant avec une solution unique.

En 2021, Trinity Cyber a choisi F5 BIG-IP SSL Orchestrator pour effectuer le décryptage nécessaire sur le trafic bidirectionnel pour les clients qui ne disposaient pas déjà d'un décryptage SSL/STARTTLS suffisant. Ils ont commencé avec une machine virtuelle pour un client spécifique, marquant ainsi le début d’une transition dans l’approche de l’entreprise en matière de décryptage.

Heureusement, la solution F5 était rentable et prenait en charge les machines virtuelles. « Le support des instances virtuelles est énorme », déclare Baranoff. « La flexibilité nous permet d’augmenter nos ressources en fonction de la demande des clients. »

La mise en œuvre n’a pris que quelques jours. Depuis lors, l’utilisation de BIG-IP SSL Orchestrator par Trinity Cyber a évolué pour inclure davantage de clients, davantage de machines virtuelles et des cas d’utilisation plus complexes. 

L’un de ces cas d’utilisation est la vulnérabilité Log4j, une faille grave qui met en danger des millions d’appareils et continue d’être largement exploitée par les acteurs malveillants. Fin 2021, la CISA a publié une directive d’urgence exigeant que tous les ministères et agences civiles fédérales évaluent et corrigent immédiatement les systèmes ou mettent en œuvre des mesures d’atténuation. Alors que de nombreux clients se sont empressés de surveiller et de corriger les systèmes dans les premières heures suivant la divulgation, les clients de Trinity Cyber étaient et sont toujours protégés contre toute tentative d'exploitation de la vulnérabilité Log4j.  

Un autre des nombreux cas d’utilisation complexes concerne les efforts de Trinity Cyber pour mettre fin à la collecte d’informations d’identification sur plusieurs réseaux de ses clients. Les adversaires ont tenté de collecter des informations d’identification Office 365 valides à l’aide d’hyperliens trompeurs, de techniques de phishing par courrier électronique et de la création de domaines fictifs. Les capacités de prévention uniques de la technologie de Trinity Cyber ont reconnu les méthodologies courantes utilisées par l’adversaire et ont empêché toute collecte d’informations d’identification sur l’ensemble de sa clientèle en supprimant le piratage informatique de l’adversaire du trafic réseau du client de manière entièrement automatisée.

Baranoff affirme qu'environ 95 % du trafic sécurisé par son entreprise est crypté et Trinity Cyber recherchait un partenaire technologique doté des capacités nécessaires pour protéger les clients qui manquaient autrement de visibilité sur ce trafic. 

Il déclare : « F5 est l’une des rares options qui ne nous oblige pas à compromettre notre fonctionnement de manière drastique. »

Le PDG Steve Ryan déclare : « BIG-IP SSL Orchestrator fait partie intégrante de la fourniture de nos gammes de services, offrant une visibilité sur le trafic crypté, permettant à Trinity Cyber d'identifier et de supprimer les menaces. » 

Baranoff salue également la capacité de la solution à suivre différents protocoles, quel que soit le lancement du chiffrement, et à déchiffrer le trafic immédiatement sur la commande « STARTTLS ». « Je n’ai vu aucune autre solution capable de faire cela », dit-il. « C'était une énorme victoire avec la F5. »

La possibilité de personnaliser BIG-IP SSL Orchestrator était une autre caractéristique distinctive. 

Baranoff déclare : « Lorsque nous travaillons sur notre propre système, nous pouvons modifier le code lorsque nous devons apporter une modification. Ce n’est généralement pas le cas avec les systèmes d’autres fournisseurs. F5 iRules nous permet de modifier le code pour personnaliser et obtenir le comportement souhaité. Cela nous permet de mieux accompagner nos clients et leurs cas d'utilisation. »

En fait, lorsqu'on lui a demandé de résumer les avantages de BIG-IP SSL Orchestrator, la flexibilité est arrivée en tête de sa liste : « Flexibilité, stabilité, performances, visibilité riche en fonctionnalités et contrôle. F5 est un cran au-dessus.

En conséquence, déclare Baranoff, « j’économise beaucoup de temps et d’argent avec F5. »

Actuellement, son équipe travaille avec F5 Professional Services sur le déploiement automatisé déclaratif et la maintenance du cycle de vie. 

« Cela se passe vraiment bien », dit-il, qualifiant son équipe F5 d'« incroyablement réactive et très investie pour nous aider à tirer le meilleur parti du produit ».

Il espère également que F5 aura bientôt une réponse au problème mondial imminent de savoir comment décrypter HTTP3. « Ce serait une victoire incroyable. »

En attendant, dit-il, « le produit ne cesse de s’améliorer et nous sommes impatients de voir où l’avenir nous mènera. »

Les méchants feront probablement partie de cet avenir et Trinity Cyber travaillera pour les combattre, avec F5 aux côtés pour aider.