Trinity Cyber dà una nuova svolta ad alcune tradizionali tecniche di sicurezza di rete, ma il suo approccio può prendere piede?
I criminali informatici e gli hacker di stati-nazione diventano ogni giorno più sfacciati nei loro attacchi. Il ransomware è ora un modo abituale per i criminali di scuotere le aziende – e persino i fornitori di infrastrutture critiche come l’operatore statunitense del gasdotto Colonial Pipeline – mercenari, e gruppi di spionaggio informatico come l’agenzia di spionaggio SVR russa stanno raggiungendo le reti dei loro obiettivi compromettendo il software utilizzato dalle loro vittime.
Ma la tecnologia e i metodi di lotta agli attacchi informatici tradizionalmente si sono tenuti alla larga da tecniche provocatorie o aggressive. È stata principalmente una strategia di rilevamento, prevenzione e risposta. Con l’eccezione della tecnologia dell’inganno, i difensori (e i fornitori di sicurezza) evitano per lo più tattiche aggressive o addirittura offensive per paura che si ritorcano contro e che l’attaccante cambi marcia o che l’attacco si intensifichi.
Una startup con profonde radici nella National Security Agency (NSA) ha sviluppato qualcosa di intermedio: Trinity Cyber agisce come una sorta di servizio di sicurezza benevolo gestito da uomo in mezzo che si trova sul Livello 2 alle porte della rete aziendale , ispezionando e cancellando il traffico dannoso in entrata e in uscita senza allertare i malintenzionati. Il servizio di sicurezza può anche prendersi gioco segretamente degli aggressori facendo credere loro che i loro exploit stiano funzionando. Prendi gli operatori di botnet che comunicano con endpoint o bot infetti: “Quando il beacon va al controller per controllare tutti i metadati” come il codice del paese, il servizio di Trinity Cyber può alterare le informazioni sui metadati, osserva Steve Ryan, co-fondatore e CEO di Trinity Cyber. Ryan non nasconde il suo entusiasmo per il lungometraggio: “È divertente”.
Oppure può sostituire i comandi dell’operatore del bot sulla macchina infetta di un’organizzazione. “L’aggressore crede che stia parlando con un bot, ma il bot non sta ricevendo un comando. In qualsiasi momento quando invia un comando, possiamo cambiarlo in ‘disinstalla’”, ad esempio, dice Ryan.
“Ora puoi pensare di utilizzare l’intero comando e controllo della botnet contro se stesso, per dire all’intero esercito di bot di ‘disinstallare'” il loro malware, spiega.
Ryan, che ha aiutato a progettare il Threat Operations Center (NTOC) della National Security Agency e ha ricoperto il ruolo di vicedirettore di NTOC fino al 2016, ha portato una manciata di esperti della NSA alla sua startup. “Il team ha le sue radici nell’NSA. Abbiamo imparato molto su come funzionano gli avversari e ora abbiamo inventato questo approccio fondamentalmente nuovo per fermarli”, dice.
Trinity Cyber è uscito di nascosto nell’agosto 2019 con un round di investimenti da 23 milioni di dollari guidato da Intel Capital, e in seguito chiamato Tom Bossert – ex consigliere per la sicurezza interna degli Stati Uniti presso la Casa Bianca nell’amministrazione Trump e coautore della National Strategy for Homeland security del 2007 – come presidente della startup.
Il suo servizio fuori banda funziona all’interno di un cloud privato, che opera a livello 2, senza connessione a Internet pubblica o un indirizzo di instradamento (e senza installazione di hardware o software). L’idea è che sia invisibile ai malintenzionati e alle organizzazioni il cui traffico sta ispezionando e disinfettando. Ryan spiega che la tecnologia della sua azienda può sostituire silenziosamente file danneggiati e segmenti di codice, campi di protocollo e traffico di comando e controllo alla velocità di rete. “Previene gli attacchi e previene il controllo remoto dagli hacker”, dice.
Bossert afferma che è tempo di un nuovo approccio per contrastare l’ondata di attacchi crescenti alle organizzazioni statunitensi.
“Non possiamo venderlo abbastanza velocemente. Dobbiamo affrontare questa crescente minaccia per l’economia americana”, dice Bossert.
L’azienda ha a bordo molti altri grandi battitori. L’ex vicedirettore della NSA Chris Inglis, nominato dal presidente Joe Biden come direttore informatico nazionale, fa parte del comitato consultivo di Trinity Cyber, così come Michael Sikorski, fondatore del team di reverse engineering e analisi delle minacce FLARE di FireEye. Ron Gula, fondatore di Tenable ed ex penetration tester per la National Security Agency, è un membro del consiglio di amministrazione di Trinity e anche il suo Gula Tech Adventures (GTA) ha investito in Trinity Cyber.
“Ho investito in loro perché credo che ogni connessione Internet dovrebbe essere protetta da Trinity Cyber: intendo cose fuori dal DoD [Dipartimento della Difesa] e da casa di mia madre”, dice Gula. “Stanno colmando una lacuna.”
Questo “divario”, secondo Gula, è una tecnologia di rilevamento ingegnerizzata che ispeziona il traffico ed elimina le minacce alla velocità del filo. “Non è AI”, spiega, ma piuttosto un metodo ingegnerizzato e specializzato di protezione dalle principali vulnerabilità che gli aggressori stanno sfruttando.
Dato che l’applicazione di patch al software non avviene necessariamente in tempo – o per niente – per molte organizzazioni prima che i malintenzionati sfruttino le falle di sicurezza, sostiene Gula, l’approccio di Trinity Cyber può togliere le patch chiave e il malware “completamente fuori dal tavolo” per le organizzazioni che possono o non rattoppare a piacimento.
L’idea con Trinity Cyber è di contenere l’attacco e di prevenire il furto di dati o il danneggiamento della rete. Ma ciò non significa che il modello di traffico break-and-inspect di Trinity Cyber funzioni per tutti, affermano Gula e altri esperti. Né rileva necessariamente ogni minaccia, aggiunge Pete Shoard, vicepresidente e analista del team delle operazioni di sicurezza di Gartner, che recentemente ha nominato Trinity Cyber uno dei suoi “Cool Vendors”.
“Il centro del loro universo di Trinity Cyber non è proprio la prevenzione di tutte le minacce”, dice Shoard. “Il fatto che consentano al business standard di continuare mentre è in gioco una minaccia significa che non coglieranno tutte le minacce. Nessuno lo fa”.
Invece, il servizio di sicurezza gestito basato su abbonamento disarma e ricostruisce il traffico, osserva, cancellando il contenuto dannoso e inviando all’attaccante una risposta fasulla per indurlo a credere che il traffico sia passato.
L’approccio di Trinity Cyber non si adatta perfettamente a nessuna categoria di tecnologia di sicurezza, quindi è difficile da classificare. “Non vedo nessun altro come loro. Non è che abbiano creato un mercato sulla loro scia; stanno ancora lottando per un posizionamento”, dice Shoard.
Questo può anche renderla una vendita difficile. “Non sostituisce nulla, e questa è una sfida”, osserva. I budget per la sicurezza in genere si basano sulla sostituzione di qualcosa che è stato acquistato in precedenza, aggiunge.
I suoi clienti includono organizzazioni della finanza, energia, governo, sanità e istruzione superiore, ma nessuna era disposta a essere intervistata, ad eccezione di una che ha parlato su richiesta di anonimato. Il CISO afferma che la sua organizzazione era preoccupata per le minacce interne alla sua proprietà intellettuale e aveva sperato di monitorare qualsiasi esfiltrazione di tali informazioni utilizzando il servizio di Trinity Cyber. Sfortunatamente, la pandemia ha chiuso l’edificio in cui aveva allestito il suo banco di prova, quindi non ha mai potuto eseguire il test completo.
Anche così, era incuriosito dalla tecnologia. “Porta la difesa più lontano dai nostri confini e più vicino all’attaccante. Ho pensato che sarebbe stato fantastico se più aziende lo facessero perché sta davvero espandendo la bolla della difesa al di fuori della tua organizzazione”, dice. “Questo fa meno cose di cui devi preoccuparti.”
Nel frattempo, Ryan afferma che la sua azienda ha ricevuto richieste da parte dei clienti per impostare trigger per i dati esfiltrati. “Quello che molte persone chiedono è ‘puoi mettere un canarino in quel documento in modo che io possa rintracciarlo fino al suo punto finale?'” Dice. “O nell’altra direzione … per guardare dove va.”
OEM Gioca?
Il servizio di Trinity Cyber potrebbe fornire un ulteriore livello di sicurezza di rete per i fornitori di telecomunicazioni, i fornitori di servizi Internet puri e persino alcuni servizi proxy di sicurezza, affermano gli analisti della sicurezza.
Gula è d’accordo. “Trinity ha un ruolo OEM che penso possa aiutare”, afferma, con app di sicurezza basate su cloud, fornitori di telecomunicazioni e ISP.
“Abbiamo ancora un perimetro virtuale”, osserva. “In realtà, dobbiamo esaminare ogni comunicazione all’interno di un’organizzazione”, compresi i fornitori e i servizi cloud.
Ma non è chiaro se i fornitori di telecomunicazioni aggiungano un servizio come Trinity Cyber per le proprie reti.
Kelly Jackson Higgins è l’editore esecutivo di Dark Reading. È una pluripremiata giornalista veterana nel campo della tecnologia e del business con oltre due decenni di esperienza nel reporting e nell’editing per varie pubblicazioni, tra cui Network Computing, Secure Enterprise
L’informazione libera e indipendente ha bisogno del tuo aiuto. Ora più che mai… Database Italia non riceve finanziamenti e si mantiene sulle sue gambe. La continua censura, blocchi delle pubblicità ad intermittenza uniti agli ultimi attacchi informatici non ci permettono di essere completamente autosufficienti.
Fai una donazione seguendo il link sicuro qui sotto
SOSTIENI DATABASE ITALIA