Trinity Cyber、F5の支援で攻撃者を阻止する

「攻撃者を阻止すること」。Trinity Cyberは、米国国家安全保障局（NSA）のThreat Operation Center元副所長Steve Ryan氏と、2人の米国大統領の国土安全保障顧問を務めたThomas P. Bossert氏を中心とする、元NSAの専門家らが2017年に設立した同社の使命をそう表現しています。同社は、米国で分散型プライベート クラウドを運用し、従業員約52名を擁し、顧客に高度なサイバーセキュリティを提供しています。同社の顧客は、基幹インフラストラクチャの運用事業者、国防省の各部門のほか、金融業界、エネルギー業界、民政機関の組織などが含まれ、高い損失リスクを抱えています。

Trinity Cyberチームは、自らを単に「good guys」と呼んでいますが、大半の企業よりもプロアクティブに顧客を保護し、ゼロに近い誤検知率を誇るその革新的なテクノロジーとサービス ラインに単純なことなどまったくありません。最近、GartnerとDark ReadingがTrinity Cyberを注目企業に選んだことも不思議ではありません。

「多くの企業は、従来の侵害の痕跡（IOC）をブロックすることに大きく依存しています」と、エンジニアリング担当ディレクターのStefan Baranoff氏は言います。「これには2つの問題があります。1つ目は、IOCは、攻撃が発生した後で、通常はスパン ポート（トラフィックのコピー）を監視することで得られるものであること、2つ目は、IOCはその特性上、敵のシグネチャを見極める前に敵によって変えられる可能性があることです。当社は、攻撃者が攻撃をどのように行うのか、つまりその手法、行動、暴露するデータのパターンに注目し、その手法を直接追跡して、攻撃が成功する前に、その途中で阻止します。」

Trinity Cyberはまず最初に、敵の手法を暴くのに十分な深さと、それらの手法に対して何らかの措置を講じるのに十分な速さで、コンテンツ検査を行います。しかし、疑わしいコンテンツを単にブロックするだけではありません。「セッション内で実際にコンテンツを置換したり、削除したり、変更したりできるのです。これは、この業界で他に誰もやっていないことで、保護レベルをより永続化することにつながります」と、Baranoff氏は言います。

例えば、本来無害なはずのダウンロードされた画像の末尾に悪意のあるコンテンツが加えられていることがあります。「それは誰かがWebページにアクセスしたようにしか見えません。その暗号化されたデータは、インターネット上の他の画像上のデータと同じように、ランダムなゴミのように見えます。他社はその画像や、画像の送信元のドメインをブロックし、インターネットの大きな部分を遮断してしまいますが、当社は画像の末尾からデータを削除して、送信します」と、Baranoff氏は言います。

復号化と完全な検査は重要ですが、1つのソリューションを使用してインバウンドとアウトバウンドの両方のトラフィックでそれを行うことは、容易ではありません。

2021年、Trinity Cyberは、SSL/STARTTLS復号化の能力が不十分な顧客の双方向トラフィックで必要な復号化を実行するために、F5 BIG-IP SSL Orchestratorを採用しました。同社はまず、特定の顧客の1つの仮想マシンから、同社の復号化アプローチにおける移行を開始しました。

F5ソリューションが費用効率に優れ、仮想マシンをサポートしていたことも助けになりました。「仮想マシンのサポートは重要です。柔軟性があるため、お客様の要求に合わせてリソースを拡充することができます」と、Baranoff氏は言います。

実装はわずか数日で終わりました。それ以来、Trinity CyberでのBIG-IP SSL Orchestratorの使用は、より多くの顧客と仮想マシンを含む、より複雑なユース ケースへと進化しています。

こうしたユース ケースの1つに、Log4jの脆弱性が挙げられます。これは、数百万台のデバイスをリスクにさらし、現在も脅威アクターによって広く悪用されている重大な欠陥です。2021年末に、CISAは緊急指令を開示し、システムを評価してただちにパッチを適用するか、緩和対策を実装するよう、すべての連邦民政部門と機関に求めました。多くの組織が、開示後、数時間のうちにシステムを監視してパッチを適用しようと奔走する中、Trinity Cyberの顧客はLog4jの脆弱性を悪用する試みから既に保護されており、それは現在も変わりません。

多くの複雑なユース ケースのうち別の例では、Trinity Cyberは、顧客のいくつかのネットワークにわたり資格情報の窃取を阻止する取り組みを行っています。敵は、偽のハイパーリンクや、フィッシング メール、架空ドメインの作成などを利用して、Office 365の有効な資格情報を収集しようとしました。Trinity Cyberのテクノロジーを活用した独自の防止機能は、敵が利用する一般的な手法を検知し、顧客のネットワーク トラフィックから敵のノウハウを結集した手法を完全に自動で排除することで、顧客ベース全体で資格情報の収集を阻止しました。

Baranoff氏によると、Trinity Cyberが保護するトラフィックの約95％が暗号化されており、同社はそのトラフィックを可視化できない顧客を保護する機能を持つテクノロジー パートナーを探していました。

「F5は当社が運用面で大きく妥協する必要のない、数少ない選択肢の1つです」と、彼は言います。

CEOのSteve Ryan氏は、「BIG-IP SSL Orchestratorは当社のサービス ラインの提供に不可欠であり、暗号化トラフィックを可視化し、Trinity Cyberが脅威を特定して排除することを可能にします」と、述べています。

またBaranoff氏は、このソリューションがさまざまなプロトコルに対応し、暗号化の開始に関係なく、「STARTTLS」コマンドの実行で直ちにトラフィックを復号できることも高く評価し、「これが可能なソリューションは他に見たことがありません。この点がF5は際立っていました」と、語っています。

BIG-IP SSL Orchestratorをカスタマイズできることも、もう1つの注目すべき特長でした。

「自社のシステムなら、必要に応じてコードを変更できますが、これは通常、他のベンダーのシステムには当てはまりません。F5 iRulesなら、コードを変更してカスタマイズして、必要な動作にすることができます。それにより、当社はお客様とそのユース ケースをより効果的にサポートできます」と、Baranoff氏は言います。

実際に、BIG-IP SSL Orchestratorのメリットをいくつか挙げるようお願いすると、彼が最初に挙げたのは柔軟性でした。「柔軟性、安定性、パフォーマンス、機能豊富な可視性、そして制御性。F5は圧倒的に上回っています。」

Baranoff氏は、その結果として、「F5ならあらゆる時間と費用を節約できます」と、述べています。

現在、彼のチームは、F5プロフェッショナル サービス チームと連携して、宣言型の導入の自動化とライフサイクル管理に取り組んでいます。

彼は、「とても順調に進んでいます」と言い、F5チームについて「驚くほど対応が早く、当社が製品を最大限に利用できるよう注力してくれています」と語っています。

彼はまた、HTTP3の復号という迫りつつあるグローバルな問題に対する答えをF5が間もなく出すだろうと期待しています。「それは大きな勝利になるでしょう。」

また一方で、「製品はますます改善されており、将来が楽しみです」とも言っています。

その将来にも悪人は存在するでしょう。しかしTrinity Cyberは、F5の支援を受け、彼らとともに戦っていきます。