Trinity Cyber, F5의 도움으로 악당을 막다

"나쁜 놈들을 막는다"는 것이 바로 Trinity Cyber가 2017년에 미국 해군에서 근무했던 한 군인이 설립한 회사의 사명을 설명하는 방식입니다. 전 NSA 위협 작전 센터 부국장인 스티브 라이언과 전 미국 안보국장인 토마스 P. 보서트가 이끄는 국가안보국(NSA) 전문가들이 참여했습니다. 두 명의 미국 대통령의 국토안보보좌관. 이 회사는 미국에서 분산형 프라이빗 클라우드를 운영하고, 약 52명의 직원을 고용하고 있으며, 고객에게 정교한 사이버보안을 제공합니다. 이 회사의 고객에는 중요 인프라 운영자, 국방부 산하 기관, 금융, 에너지, 민간 정부 부문의 조직을 포함하여 손실 위험이 높은 기타 기관이 포함됩니다.

Trinity Cyber 팀은 자신들을 단순히 "착한 사람들"이라고 부르지만, 대부분의 회사보다 고객을 보다 적극적으로 보호하는 혁신적인 기술과 서비스 라인에는 단순한 것이 전혀 없으며, 거짓 양성률은 거의 0에 가깝습니다. 최근 Gartner와 Dark Reading이 이 회사를 주목해야 할 회사로 선정한 것도 놀라운 일이 아닙니다.

엔지니어링 책임자인 Stefan Baranoff는 "많은 회사가 기존의 침해 지표(IOC) 차단에 크게 의존하고 있습니다."라고 말했습니다. “거기에는 두 가지 문제가 있습니다. 첫째, IOC는 공격이 발생한 후 일반적으로 트래픽 사본인 span 포트를 모니터링하여 생성됩니다. 둘째, IOC의 특성상 적대자가 사용자가 서명하는 것보다 더 빠르게 IOC를 변경할 수 있습니다. 우리는 나쁜 행위자들이 하는 일, 즉 그들을 드러내는 데이터에서 기술, 행동, 패턴을 어떻게 하는지에 집중하고, 그들이 성공하기 전에 그들을 멈추기 위해 기술을 직접 추적합니다."

트리니티 사이버는 적대적인 기술을 폭로할 만큼 심층적이고 해당 기술에 대한 조치를 취할 수 있을 만큼 빠른 콘텐츠 검사부터 시작합니다. 하지만 단순히 의심스러운 콘텐츠만 차단하는 것은 아닙니다. Baranoff는 "우리는 실제로 세션 내에서 콘텐츠를 교체, 제거 또는 수정할 수 있습니다. 업계의 다른 누구도 하지 않는 일이죠. 그래서 더 지속 가능한 수준의 보호를 얻을 수 있습니다."라고 말했습니다.

예를 들어, 무해하게 다운로드한 이미지의 끝에 악성 콘텐츠가 붙어 있을 수 있습니다. 바라노프는 "누군가가 웹 페이지에 접속한 것처럼 보이는 것 같아요. 암호화된 데이터는 인터넷의 다른 모든 이미지와 마찬가지로 무작위적인 쓰레기처럼 보입니다. 어떤 사람들은 이미지나 이미지가 전달된 도메인을 차단하여 인터넷의 상당 부분을 마비시켰습니다. 우리는 이미지 끝부분의 데이터를 제거하여 전송합니다."

복호화와 전체 검사가 핵심이지만, 단일 솔루션으로 인바운드와 아웃바운드 트래픽을 모두 달성하기는 쉽지 않습니다.

2021년에 Trinity Cyber는 아직 충분한 SSL/STARTTLS 복호화가 구현되지 않은 고객을 위해 양방향 트래픽에 필요한 복호화를 수행하기 위해 F5 BIG-IP SSL Orchestrator를 선택했습니다. 그들은 특정 고객을 위해 하나의 가상 머신으로 시작하여 회사의 암호 해독 접근 방식에서 전환을 시작했습니다.

F5 솔루션은 비용 효율적이었고 가상 머신을 지원했다는 점이 도움이 되었습니다. Baranoff는 "가상 인스턴스에 대한 지원이 엄청납니다."라고 말했습니다. "유연성 덕분에 고객 수요에 맞춰 리소스를 늘릴 수 있습니다."

구현에는 며칠 밖에 걸리지 않았습니다. 그 이후로 Trinity Cyber의 BIG-IP SSL Orchestrator 사용은 더 많은 고객, 더 많은 가상 머신, 더 복잡한 사용 사례를 포함하도록 발전했습니다. 

그러한 사용 사례 중 하나가 Log4j 취약점입니다. 이는 수백만 대의 기기를 위험에 빠뜨리는 심각한 결함으로, 위협 행위자들이 계속해서 광범위하게 악용하고 있습니다. CISA는 2021년 후반에 모든 연방 민간 부서와 기관에 시스템을 평가하고 즉시 패치하거나 완화 조치를 시행하도록 요구하는 긴급 지침을 발표했습니다 . 취약점이 공개된 후 많은 고객이 몇 시간 내에 시스템을 모니터링하고 패치를 적용하는 데 급급한 반면, Trinity Cyber 고객은 Log4j 취약점을 악용하려는 모든 시도로부터 보호를 받았고 지금도 보호받고 있습니다.  

또 다른 많은 복잡한 사용 사례에는 Trinity Cyber가 여러 고객 네트워크에서 자격 증명 수집을 중단하려는 노력이 포함됩니다. 공격자는 사기성 하이퍼링크, 이메일 피싱 기술, 가짜 도메인 생성 등을 통해 유효한 Office 365 자격 증명을 수집하려고 시도했습니다. Trinity Cyber 기술의 고유한 예방 기능은 적대자가 활용하는 일반적인 방법론을 인식하고 완전히 자동화된 방식으로 고객 네트워크 트래픽에서 적대적 기술을 제거하여 고객 기반 전체에서 모든 자격 증명 수집을 방지했습니다.

Baranoff는 회사에서 보호하는 트래픽의 약 95%가 암호화되어 있으며, Trinity Cyber는 해당 트래픽에 대한 가시성이 부족한 고객을 보호할 수 있는 역량을 갖춘 기술 파트너를 찾고 있다고 밝혔습니다. 

그는 "F5는 우리의 운영을 극단적으로 손상시키지 않는 몇 안 되는 옵션 중 하나"라고 말했습니다.

CEO Steve Ryan은 "BIG-IP SSL Orchestrator는 암호화된 트래픽에 대한 가시성을 제공하고 Trinity Cyber가 위협을 식별하고 제거할 수 있도록 지원하여 서비스 라인 제공에 필수적입니다."라고 말했습니다. 

Baranoff는 또한 암호화 시작에 관계없이 다양한 프로토콜을 따르고 "STARTTLS" 명령에서 즉시 트래픽을 해독하는 솔루션의 능력을 칭찬했습니다. 그는 "이렇게 할 수 있는 다른 솔루션을 본 적이 없습니다."라고 말했습니다. "F5로 큰 승리를 거두었어요."

BIG-IP SSL Orchestrator를 사용자 정의할 수 있는 기능은 또 다른 독특한 특징이었습니다. 

Baranoff는 "자체 시스템에서 작업할 때 필요할 때 코드를 변경할 수 있습니다. 다른 공급업체 시스템에서는 일반적으로 이런 일이 발생하지 않습니다. F5 iRules를 사용하면 코드를 변경하여 사용자 지정하고 원하는 동작을 얻을 수 있습니다. 이를 통해 고객과 그들의 사용 사례를 보다 잘 지원할 수 있습니다."

사실, BIG-IP SSL Orchestrator의 이점을 요약해 달라는 요청을 받았을 때 그의 목록의 맨 위에는 유연성이 있었습니다. "유연성, 안정성, 성능, 기능이 풍부한 가시성 및 제어. F5는 훨씬 더 높은 수준입니다."

그 결과, Baranoff는 "F5를 사용하면 시간과 비용을 엄청나게 절약할 수 있다"고 말했습니다.

현재 그의 팀은 F5 Professional Services와 협력하여 선언적 자동 배포 및 수명 주기 유지 관리 작업을 진행하고 있습니다. 

그는 F5 팀을 "정말 잘 진행되고 있어요."라고 부르며, "엄청나게 반응이 빠르고 제품을 최대한 활용하도록 돕는 데 매우 헌신적이에요."라고 말했습니다.

그는 또한 F5가 HTTP3를 해독하는 방법이라는 전 세계적인 문제에 대한 해답을 곧 내놓기를 바라고 있습니다. "정말 대단한 승리가 될 거예요."

그는 "제품은 계속해서 개선되고 있으며 미래가 어떻게 될지 기대됩니다."라고 말했습니다.

악당들은 아마도 그 미래에 참여할 것이고, 트리니티 사이버는 F5의 도움을 받아 그들과 싸우기 위해 노력할 것입니다.