Trinity Cyber 在 F5 的帮助下阻止了坏人

“阻止坏人”——这是 Trinity Cyber 对自己公司使命的描述，该公司由前美国人于 2017 年创立。 美国国家安全局 (NSA) 专家由前 NSA 威胁行动中心副主任 Steve Ryan 和前美国国家安全局局长 Thomas P. Bossert 领导。 两任美国总统的国土安全顾问。 该公司在美国运营分布式私有云，拥有约 52 名员工，并为客户提供复杂的网络安全。 该公司的客户包括关键基础设施运营商、国防部部门以及其他高损失风险的组织，其中包括金融、能源和民事政府部门的组织。

尽管 Trinity Cyber 团队只是称自己为“好人”，但他们的创新技术和服务线却绝不简单，他们比大多数公司更主动地保护客户，误报率接近于零。 难怪 Gartner 和Dark Reading最近都选择该公司作为值得关注的公司之一。

“许多公司严重依赖阻止传统的妥协指标 (IOC)，”工程总监 Stefan Baranoff 说。 “那里有两个问题： 首先，IOC 是在攻击发生后得出的，通常是通过监控 SPAN 端口（流量的副本）得出的；其次，IOC 的特性使得对手更改它们的速度比你对其进行签名的速度更快。 我们关注的是犯罪分子的犯罪手法，即数据中暴露他们的技术、行为和模式，然后我们会直接追踪这些技术，在他们得逞之前阻止他们。”

Trinity Cyber 从内容检查开始，检查的深度足以揭露对手的技术，速度也足以对这些技术采取措施。 但他们并不只是屏蔽可疑内容。 Baranoff 表示：“我们实际上可以在会话中替换、删除或修改内容，这是业内其他人无法做到的，并且可以提供更持久的保护。”

例如，恶意内容可能会停留在原本无害的下载图像的末尾。 巴拉诺夫说道：“这看起来就像有人浏览了一个网页。 这些加密数据看起来就像随机垃圾，就像互联网上的所有其他图像一样。 其他人会屏蔽该图片或者该图片的来源域名，从而破坏很大一部分互联网。 我们从图像末尾删除数据并将其发送出去。”

解密和全面检查是关键——但使用单一解决方案很难同时完成入站和出站流量。

2021 年，Trinity Cyber 选择 F5 BIG-IP SSL Orchestrator 为尚未安装足够 SSL/STARTTLS 解密的客户对双向流量执行必要的解密。 他们首先为特定客户提供一台虚拟机，开启了公司解密方法的转变。

F5 解决方案具有成本效益并且支持虚拟机，这很有帮助。 “对虚拟实例的支持非常巨大，”巴拉诺夫说。 “这种灵活性使我们能够根据客户需求增加资源。”

实施仅用了几天时间。 从那时起，Trinity Cyber 对 BIG-IP SSL Orchestrator 的使用不断发展，涵盖了更多客户、更多虚拟机和更复杂的用例。 

其中一个用例是 Log4j 漏洞，这是一个严重的漏洞，使数百万台设备面临风险，并且继续被威胁行为者广泛利用。 2021 年末， CISA 发布了一项紧急指令，要求所有联邦民事部门和机构评估并立即修补系统或实施缓解措施。 尽管许多人在漏洞披露后的最初几个小时内就忙于监控和修补系统，但 Trinity Cyber 的客户过去和现在都受到保护，不会受到任何利用 Log4j 漏洞的企图。  

众多复杂用例中的另一个涉及 Trinity Cyber 为阻止其多个客户网络中的凭证收集而做出的努力。 攻击者试图使用欺骗性超链接、电子邮件网络钓鱼技术和创建虚构域名来收集有效的 Office 365 凭据。 Trinity Cyber 技术的独特预防功能可以识别对手所利用的常用方法，并通过以全自动方式从客户的网络流量中删除对手的技术，从而阻止在其客户群中进行任何凭证收集。

Baranoff 说，他公司保护的约 95% 的流量都是加密的，Trinity Cyber 寻求一家有能力保护客户的技术合作伙伴，否则客户就无法看到这些流量。 

他说道：“F5 是少数不会让我们的运营受到严重影响的选择之一。”

首席执行官史蒂夫·瑞安 (Steve Ryan) 表示：“BIG-IP SSL Orchestrator 对于我们服务线路的交付至关重要，它提供了加密流量的可见性，使 Trinity Cyber 能够识别和消除威胁。” 

Baranoff 还称赞了该解决方案遵循各种协议的能力，无论是否启动加密，并根据“STARTTLS”命令立即解密流量。 他说：“我还没看到任何其他解决方案能够做到这一点。” “这是 F5 的一次巨大胜利。”

定制 BIG-IP SSL Orchestrator 的能力是另一个显著特点。 

Baranoff 说道：“当我们开发自己的系统时，我们可以在需要更改时更改代码。 其他供应商系统通常不会出现这种情况。 F5 iRules 让我们可以更改代码来定制并获得我们想要的行为。 这使我们能够更好地支持我们的客户及其用例。”

事实上，当被要求总结 BIG-IP SSL Orchestrator 的优势时，灵活性位居榜首： “灵活性、稳定性、性能、功能丰富的可视性和控制。 F5 远远高于它。”

因此，巴拉诺夫说：“使用 F5 我节省了大量的时间和金钱。”

目前，他的团队正在与 F5 专业服务部门合作进行声明式自动化部署和生命周期维护。 

“一切进展顺利，”他说道，并称赞自己的 F5 团队“反应迅速，并投入大量精力帮助我们充分利用产品。”

他还希望 F5 能够很快解决迫在眉睫的全球性问题“如何解密 HTTP3”。 “那将是一场令人惊奇的胜利。”

与此同时，他表示：“产品正在不断改进，我们很高兴看到未来的发展。”

坏人可能会成为未来的一部分，Trinity Cyber 将努力打击他们，并由 F5 提供帮助。