Blog de Amazon Web Services (AWS)

Caso práctico de Pipefy: Mejorar el CSPM mediante la combinación de los recursos de AWS con SOAR

Por Danilo Cordeiro, Staff Security Engineer & Cyber Security Specialist en Pipefy

Pipefy es una solución completa que permite aumentar la eficiencia e integra las operaciones de principio a fin en un flujo de trabajo con bajo contenido de código* y es una plataforma segura de automatización de procesos empresariales (BPA).

En este artículo, analizaremos cómo Pipefy mejoró su CSPM (gestión de postura de seguridad en la nube) al combinar los recursos de AWS con un SOAR (orquestación y respuesta de seguridad) desarrollado internamente.

Comprender los desafíos del equipo de seguridad

Los principales desafíos que nos hicieron desarrollar AUTO HEALER (nuestra propia solución SOAR) son conocidos por muchos otros equipos de ciberseguridad:

  • Equipo Lean: Precisamente por el pequeño tamaño del equipo de Pipefy, la atención se centra en la automatización y la eficiencia;
  • Acciones repetitivas: Para una mayor eficiencia, el objetivo es reducir siempre las acciones repetitivas;
  • Endurecimiento: Teniendo en cuenta el escenario actual, es importante crear varios niveles de seguridad, manteniendo la seguridad activa de acuerdo con nuestros estándares;
  • Cumplimiento: Pipefy cuenta con varias certificaciones de seguridad, además de cumplir con las principales leyes y marcos (como la ISO 27001, SOC2 tipo 2 y AWS FTR). Tener un entorno seguro, junto con recursos proactivos, ayuda a obtener y mantener los problemas de madurez de la seguridad.
  • Necesidad de automatización: Por lo tanto, teniendo en cuenta todos los factores presentados, se identificó la necesidad de automatizar tanto el endurecimiento como la respuesta a las fallas en nuestra nube, desarrollando un sistema completamente interno y combinándolo con los recursos de AWS.

Organización, automatización y respuesta de la seguridad

SOAR es algo que se ha utilizado ampliamente en el campo de la seguridad de la información, ya que ayuda a los equipos a ganar tiempo resolviendo problemas triviales. En el ámbito de la ciberseguridad, Pipefy entiende que el tiempo es uno de los recursos más valiosos, ya que cuanto más largo, más peligroso se vuelve un ataque, más escalable se vuelve el peligro. Es decir, cuanto más rápido se detecte la amenaza, menores serán los impactos. Con este enfoque, las empresas a menudo han adoptado una solución SOAR, ya sea desarrollada internamente (como es el caso de Pipefy) o incluso utilizando un recurso que ayude con la tarea.

SOAR, entonces, es una solución que entiende las alarmas que se generan, filtra las alertas y luego corrige los problemas detectados, reduciendo así el tiempo de respuesta ante una amenaza y trabajando por un sistema más seguro.

Al iniciar la planificación de esta solución, Pipefy necesitaba cumplir algunos requisitos, que también acabaron siendo desafíos, como:

Recopilar información de varias cuentas:

En Pipefy hay dos tipos de productos: la solución Multi-Tenant, en la que el cliente simplemente crea su cuenta y comienza a usar el producto, y también la solución Single Tenant, donde el producto pueden estar disponibles y configurarse de la manera que el cliente prefiera (con sus respectivos flujos de seguridad, región de AWS, etc.).

Uno de los principales desafíos para el equipo de seguridad siempre ha sido tener un acceso centralizado a estas cuentas y una mejor administración, ya que trabajamos con varias organizaciones de AWS. Por lo tanto, el recurso de AWS Organizations cumplió con todos los requisitos de este escenario y proporcionó un acceso seguro (a través del Centro de identidad de AWS IAM) para todas las cuentas.

Responder a las amenazas automáticamente:

Otro recurso de AWS que contribuyó a la creación de SOAR fue el servicio AWS Security Hub. A través de él, es posible tener visibilidad de todos los hallazgos y amenazas detectados, actuando luego de acuerdo con cada uno de los resultados.

El sistema Pipefy también se basa en una solución de código abierto llamada Prowler, que permite hacer frente a los resultados presentados e identificar los posibles falsos positivos con mayor rapidez.

Generar evidencia y ser auditable:

Pipefy también necesita generar evidencia para monitorear el desempeño del proyecto y cumplir con sus soluciones, además de poder auditar todos los cambios. Por lo tanto, la solución SOAR se alinea con los registros de AWS CloudTrail, AWS Config y AWS Organizations para cumplir con los requisitos de auditoría.

Encontrando una solución

En respuesta a todos los desafíos mencionados, teniendo en cuenta las necesidades específicas de Pipefy, se creó entonces un SOAR propio, llamado AUTO HEALER. Se eligió el nombre porque SOAR «cura» las posibles fallas automáticamente. Se trata, por tanto, de una combinación de los recursos de AWS con la solución desarrollada internamente, utilizando el lenguaje Python, que analiza todos los hallazgos encontrados en el entorno y toma decisiones automáticamente.

Por ejemplo: si un colaborador crea una instancia en Amazon Elastic Compute Cloud (Amazon EC2) y deja el puerto 22 de un grupo de seguridad abierto al mundo (0.0.0.0/0), HEALER lo identifica en segundos y cierra la puerta automáticamente.

¿Cómo funciona la solución?

La solución analiza con frecuencia varias cuentas y regiones y, a continuación:

  1. Busca y crea los escenarios de vulnerabilidad (basándose en las conclusiones de AWS Security Hub, Prowler y las buenas prácticas en la nube (basadas principalmente en las mejores prácticas de seguridad fundamentales de AWS y en el análisis de referencia de CIS de AWS Foundations);
  2. En caso de error en la ejecución, se avisa al equipo;
  3. Envía registros a una herramienta SIEM (información de seguridad y administración de eventos);
  4. Toma las medidas necesarias para mitigar las vulnerabilidades.

Si se identifica un nuevo hallazgo (con el apoyo del Centro de seguridad) y aún no está dentro del alcance de HEALER, los ingenieros de seguridad de Pipefy crean las nuevas funcionalidades. En otras palabras, se enseña a la solución a resolver el problema automáticamente la próxima vez, mediante la automatización.

Como tecnología, se utiliza Python como lenguaje principal, la CLI de AWS para las conexiones y Boto3 para las numerosas interacciones con la API de AWS.

 

 

 

A continuación se muestran algunos escenarios y servicios de AWS en los que HEALER trabaja en la corrección y la toma de decisiones continuas:

 

 

Analizar los resultados

Con el desarrollo de AUTO HEALER, Pipefy logró llegar a un número considerable en el último año, lo que ayudó a identificar y corregir los tickets de nivel uno (1) y a resolver posibles fallas de seguridad. En 2021, tenían un total de:

  • 250 alertas generadas y resueltas;
  • En promedio, 20 resoluciones al mes;
  • Ahorros de aproximadamente 1 hora de trabajo debido a la vulnerabilidad;
  • Posibilidad de respuesta las 24 horas del día, los 365 días del año, con la solución analizando continuamente los controles.

Conclusión del caso

Mejorar la velocidad de respuesta ante una posible falla es una excelente manera de aumentar la madurez de la seguridad de una empresa y reducir los riesgos de seguridad. Gracias a los servicios gestionados de AWS y también a través de AUTO HEALER, Pipefy puede tener un entorno probado, controlado, corregido y protegido las 24 horas del día, los 7 días de la semana, los 365

* Una plataforma de desarrollo de código bajo o bajo proporciona un entorno de desarrollo que se utiliza para crear software de aplicación a través de una interfaz gráfica de usuario. 

Acerca de los autor

Danilo Cordeiro es ingeniero de seguridad del personal y especialista en ciberseguridad en Pipefy. Trabaja con los equipos de CyberSec y ayuda a la empresa a lograr una mayor madurez en materia de seguridad. Tiene 15 años de experiencia en el área de Tecnología con experiencia en SRE, operaciones y desarrollo de TI.

Agradecimientos: Marina Ciavatta por la revisión y el apoyo en la redacción de este artículo.