Una startup con NSA Roots quiere desarmar silenciosamente …


Trinity Cyber ​​da un nuevo giro a algunas técnicas tradicionales de seguridad de purple, pero ¿puede su enfoque tener éxito ampliamente?

Los ciberdelincuentes y los piratas informáticos de los estados nacionales se vuelven más descarados en sus ataques cada día. El ransomware es ahora una forma de rutina para que los delincuentes afecten a las empresas, e incluso a los proveedores de infraestructura crítica como el operador de gasoductos de EE. Oleoducto colonial – por dinero en efectivo, y grupos de ciberespionaje como la agencia de espionaje SVR de Rusia están llegando a las redes de sus objetivos al comprometer el application utilizado por sus víctimas.

Pero la tecnología y los métodos de lucha contra los ciberataques tradicionalmente se han mantenido alejados de las técnicas provocativas o agresivas. En su mayoría, ha sido una estrategia de detección, prevención y respuesta. Con la excepción de la tecnología de engaño, los defensores (y los proveedores de seguridad) evitan en su mayoría las tácticas agresivas o incluso ofensivas por temor a que fracasen y el atacante cambie de dirección o intensifique el ataque.

Una startup con profundas raíces en la Agencia de Seguridad Nacional (NSA) ha desarrollado algo intermedio: Trinity Cyber ​​actúa como una especie de servicio de seguridad administrado de intermediario benévolo que se encuentra en la Capa 2 en las puertas de la red empresarial. , inspeccionando y limpiando el tráfico malicioso entrante y saliente sin alertar a los malos. El servicio de seguridad también puede meterse en secreto con los atacantes haciéndoles creer que sus exploits están funcionando. Tomemos como ejemplo a los operadores de redes de bots que se comunican con endpoints o bots infectados: «Cuando la baliza va al controlador para verificar todos los metadatos», como su código de país, el servicio de Trinity Cyber ​​puede alterar esa información de metadatos, señala Steve Ryan, cofundador y CEO de Trinity Cyber. Ryan no oculta su entusiasmo por la función: «Eso es divertido».

O puede reemplazar los comandos del operador del bot a la máquina infectada de una organización. «El atacante cree que está hablando con un bot, pero (el bot no está) recibiendo un comando. En cualquier momento cuando envían un comando, podemos cambiarlo a &#39desinstalar&#39», por ejemplo, dice Ryan.

Steve Ryan, cofundador y director ejecutivo de Trinity Cyber.
Crédito: Trinity Cyber

Steve Ryan, cofundador y director ejecutivo de Trinity Cyber.
Crédito: Trinity Cyber

«Ahora puede pensar en usar todo el comando y manage de la botnet contra sí mismo, para decirle a todo el ejército de bots que &#39desinstale&#39» su malware, explica.

Ryan, quien ayudó a diseñar el Centro de Operaciones de Amenazas (NTOC) de la Agencia de Seguridad Nacional y se desempeñó como subdirector de la NTOC hasta 2016, trajo a un puñado de expertos de la NSA a su puesta en marcha. «El equipo tiene sus raíces en la NSA. Aprendimos mucho sobre cómo funcionan los adversarios y ahora hemos inventado este enfoque fundamentalmente nuevo para detenerlos», dice.

Trinity Cyber ​​salió de la clandestinidad en agosto de 2019 con una ronda de inversión de $ 23 millones liderada por Intel Cash, y luego fue nombrado Tom Bossert, exasesor de Seguridad Nacional de EE. UU. De la Casa Blanca en la administración Trump y coautor de la Estrategia Nacional 2007 para la Patria. Seguridad: como presidente de la startup.

Su servicio fuera de banda funciona dentro de una nube privada, que opera en la Capa 2, sin conexión a Net pública o una dirección de enrutamiento (y sin instalación de hardware o application). La concept es que sea invisible para los malos, así como para las organizaciones cuyo tráfico está inspeccionando y desinfectando. Ryan explica que la tecnología de su empresa puede reemplazar silenciosamente archivos y segmentos de código corruptos, campos de protocolo y tráfico de comando y control a la velocidad de la red. «Evita los ataques y les quita el handle a los piratas informáticos», dice.

Bossert dice que es hora de un nuevo enfoque para frustrar la ola de ataques cada vez mayores contra las organizaciones estadounidenses.

«No podemos vender esto lo suficientemente rápido. Necesitamos enfrentarnos a esta creciente amenaza para la economía estadounidense», dice Bossert.

La compañía tiene a bordo varios otros pesos pesados. El ex subdirector de la NSA Chris Inglis, quien ha sido nominado por el presidente Joe Biden como director cibernético nacional, forma parte del consejo asesor de Trinity Cyber, al igual que Michael Sikorski, fundador del equipo de análisis de amenazas e ingeniería inversa FLARE de FireEye. Ron Gula, fundador de Tenable y ex probador de penetración de la Agencia de Seguridad Nacional, es miembro de la junta directiva de Trinity, y su Gula Tech Adventures (GTA) también ha invertido en Trinity Cyber.

«Invertí en ellos porque creo que todas las conexiones a Web deberían estar protegidas por Trinity Cyber: me refiero a cosas del Departamento de Defensa (DoD) y de la casa de mi madre», dice Gula. «Están llenando un vacío».

Esa «brecha», según Gula, es una tecnología de detección diseñada que inspecciona el tráfico y elimina las amenazas a la velocidad del cable. «No es IA», explica, sino un método diseñado y especializado para protegerse contra las principales vulnerabilidades que los atacantes están explotando.

Dado que el program de parcheo no ocurre necesariamente a tiempo, o en absoluto, para muchas organizaciones antes de que los delincuentes exploten las fallas de seguridad, sostiene Gula, el enfoque de Trinity Cyber ​​puede eliminar los parches clave y el malware «completamente fuera de la mesa» para las organizaciones que pueden t o no parche a voluntad.

La plan con Trinity Cyber ​​es contener el ataque y evitar el robo de datos o daños a la red. Pero eso no significa que el modelo de tráfico de interrupción e inspección de Trinity Cyber ​​funcione para todos, dicen Gula y otros expertos. Tampoco detecta necesariamente todas las amenazas, agrega Pete Shoard, vicepresidente y analista del equipo de operaciones de seguridad de Gartner, que recientemente nombró a Trinity Cyber ​​como uno de sus «proveedores geniales».

«El centro de su universo (de Trinity Cyber) no es realmente la prevención de todas las amenazas», dice Shoard. «El hecho de que permitan que el negocio estándar continúe mientras hay una amenaza en juego significa que no van a detectar todas las amenazas. Nadie lo hace».

En cambio, el servicio de seguridad administrado basado en suscripción desarma y reconstruye el tráfico, señala, eliminando el contenido malicioso y enviando al atacante una respuesta falsa para engañarlo haciéndole creer que el tráfico pasó.

El enfoque de Trinity Cyber ​​no encaja perfectamente en ninguna categoría de tecnología de seguridad, por lo que es difícil de clasificar. «No veo a nadie más como ellos. No es como si hubieran creado un mercado a su paso todavía están luchando por una ubicación», dice Shoard.

Eso también puede hacer que sea difícil de vender. «No reemplaza nada, y eso es un desafío», señala. Los presupuestos de seguridad generalmente se basan en reemplazar algo que se compró anteriormente, agrega.

Entre sus clientes se incluyen organizaciones de finanzas, energía, gobierno, atención médica y educación remarkable, pero ninguna estaba dispuesta a ser entrevistada, con la excepción de una que habló bajo solicitud de anonimato. El CISO dice que su organización estaba preocupada por las amenazas internas a su propiedad intelectual y esperaba rastrear cualquier exfiltración de esa información utilizando el servicio de Trinity Cyber. Desafortunadamente, la pandemia cerró el edificio donde había instalado su banco de pruebas, por lo que nunca llegó a ejecutar la prueba en toda regla.

Aun así, estaba intrigado por la tecnología. «Lleva la defensa más allá de nuestras fronteras y más cerca del atacante. Pensé que sería genial si más empresas hicieran esto porque realmente está expandiendo la burbuja de la defensa fuera de su organización», dice. «Eso hace que tengas menos cosas de las que preocuparte».

Mientras tanto, Ryan dice que su empresa ha recibido solicitudes de los clientes para establecer desencadenantes de datos extraídos. «Lo que mucha gente está preguntando es &#39¿puede poner un canario en ese documento para que pueda rastrearlo hasta su punto closing?&#39», Dice. «O en la otra dirección … para ver a dónde va».

OEM Play?
El servicio de Trinity Cyber ​​podría proporcionar una capa adicional de seguridad de purple para proveedores de telecomunicaciones, proveedores de servicios de Internet puros e incluso algunos servicios de proxy de seguridad, dicen los analistas de seguridad.

Gula está de acuerdo. «Creo que Trinity tiene un juego de OEM que puede ayudar», dice, con aplicaciones de seguridad basadas en la nube y proveedores de telecomunicaciones e ISP, dice.

«Todavía tenemos un perímetro digital», señala. «En realidad, necesitamos analizar todas las comunicaciones dentro de una organización», incluso con los proveedores y servicios de la nube.

Pero no está claro si los proveedores de telecomunicaciones agregarían un servicio como el de Trinity Cyber ​​para sus propias redes. Shoard de Gartner dice que no ha visto demanda de eso hasta ahora, aunque sería un ajuste lógico para la tecnología.

Kelly Jackson Higgins es la editora ejecutiva de Dim Reading through. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Protected Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique