O blog da AWS

Estudo de caso da Pipefy: Melhorando o CSPM aliando recursos da AWS com SOAR

Por Danilo Cordeiro, Staff Security Engineer & Cyber Security Specialist na Pipefy

 

A Pipefy é uma solução completa que possibilita o aumento da eficiência e integra operações de ponta a ponta em um fluxo de trabalho low code* e é uma plataforma de automação de processos de negócios (BPA) segura.

Neste artigo, trataremos de como a Pipefy melhorou o seu CSPM (Cloud Security Posture Management) aliando recursos da AWS com um SOAR (Security Orchestration and Response) desenvolvido internamente.

 

Conhecendo os desafios do time de segurança

Os principais desafios que fizeram a Pipefy desenvolver o AUTO HEALER (sua própria solução de SOAR) são conhecidos de tantos outros times de Cibersegurança:

●     Time Enxuto: Justamente pelo tamanho enxuto do time da Pipefy, o foco é em automação e eficiência;

●     Ações Repetitivas: Para maior eficiência, o objetivo é de sempre reduzir ações repetitivas;

●     Hardening: Considerando o cenário atual, é importante a criação de múltiplas camadas de segurança, mantendo a segurança ativa de acordo com seus padrões;

●     Compliance: A Pipefy mantém várias certificações de Segurança além de estar adequada às principais leis e frameworks (como ISO 27001, SOC2 Tipo 2, AWS FTR). Ter um ambiente seguro, juntamente com recursos proativos, ajuda na obtenção e manutenção das questões de maturidade de segurança.

●     Necessidade de Automação: Portanto, considerando todos os fatores apresentados, foi identificada a necessidade de automatizar tanto a hardenização quanto a resposta a falhas no Cloud da Pipefy, desenvolvendo-se então um sistema totalmente interno que alia recursos da AWS.

 

Security orchestration, automation and response

SOAR é algo que vem sendo bastante utilizado no meio de Segurança da Informação, já que ajuda os times a ganharem tempo na resolução de problemas triviais. Na cibersegurança, a Pipefy entende que tempo é um dos recursos mais valiosos, uma vez que quanto mais tempo, mais perigoso se torna um ataque, mais escalável se torna o perigo. Ou seja, quanto mais rápida a ameaça for detectada, menores serão os impactos. Com esse foco, as empresas vêm adotando muitas vezes uma solução de SOAR, seja ela desenvolvida internamente (como é o caso na Pipefy) ou ainda usando algum recurso que auxilie na tarefa.

O SOAR, então, é uma solução que entende os alarmes que são gerados, filtrando os alertas e realizando então a correção dos problemas detectados, reduzindo assim o tempo de resposta diante de uma ameaça e trabalhando por um sistema mais seguro.

Ao iniciar o planejamento desta solução, a Pipefy precisava atender alguns requisitos, que acabaram sendo também desafios, como:

1. Coletar informação de múltiplas contas:

Na Pipefy existem dois tipos de produto: a solução Multi-Tenant, onde o cliente apenas cria sua conta e já começa a utilizar o produto, e também a solução Single Tenant, onde o produto pode ser disponibilizado e construído da forma que o cliente preferir (com seus respectivos fluxos de Segurança, região AWS, etc).

Um grande desafio para o time de Segurança sempre foi ter acesso centralizado à essas contas e uma melhor gestão, já que trabalhamos com várias organizações da AWS. Sendo assim, o recurso AWS Organizations cumpriu todos os requisitos neste cenário, provendo acessos de uma forma segura (através do AWS IAM Identity Center) para todas as contas.

2. Responder às ameaças automaticamente:

Outro recurso da AWS que contribuiu para a criação do SOAR foi o serviço AWS Security Hub. Através dele, é possível ter visibilidade de todos os findings e ameaças detectadas, agindo então de acordo com cada um dos resultados.

O sistema da Pipefy também se baseia em uma solução open source chamada Prowler, confrontando os resultados apresentados e identificando potenciais falsos positivos com ainda mais agilidade.

3. Gerar evidências e ser auditável:

A Pipefy também precisa gerar evidências para acompanhar o desempenho dos projetos e estar em compliance com suas soluções, além de conseguir auditar todas as alterações. Sendo assim, a solução SOAR é alinhada com os logs do AWS CloudTrail, AWS Config e AWS Organizations, para atender os requisitos de auditoria.

 

Encontrando uma solução

Em resposta a todos os desafios citados, levando em conta as necessidades específicas da Pipefy, foi então criado um SOAR próprio, intitulado de AUTO HEALER. O nome foi escolhido devido ao SOAR “curar” possíveis falhas automaticamente. É, portanto, uma combinação de recursos da AWS com a solução desenvolvida internamente, através da linguagem Python, que faz a análise de todos os findings encontrados no ambiente e toma decisões automaticamente.

Por exemplo: se algum colaborador criar uma instância no Amazon Elastic Compute Cloud (Amazon EC2) e deixar a porta 22 em um Security Group aberta para o mundo (0.0.0.0/0), o HEALER identifica em segundos e realiza o fechamento da porta automaticamente.

 

Como a solução funciona

A solução faz a varredura frequente em múltiplas contas e regiões, e então:

  1. Encontra e cria os cenários de vulnerabilidades (baseados em descobertas do AWS Security Hub, Prowler e boas práticas de Cloud (baseando-se principalmente em AWS Foundational Security Best Pratices e CIS AWS Foundations Benchmark);
  2. Em caso de erro na execução, o time é alertado;
  3. Realiza envio de logs para uma ferramenta de SIEM (Security information and event management);
  4. Toma as ações necessárias para mitigar as vulnerabilidades.

Caso algum finding novo seja identificado (com o apoio do Security Hub) e ainda não esteja no escopo do HEALER, os engenheiros de Segurança da Pipefy criam as novas funcionalidades. Ou seja, a solução é ensinada a resolver o problema automaticamente numa próxima vez, através de automação.

Como tecnologia, são utilizados o Python como linguagem principal, a AWS CLI para as conexões e o boto3 para as inúmeras interações com a API da AWS.

 

Abaixo estão alguns cenários e serviços da AWS em que o HEALER atua na remediação e tomada de decisão contínua:

Analisando os resultados

Com o desenvolvimento do AUTO HEALER, a Pipefy conseguiu atingir números consideráveis no último ano, que ajudaram na identificação e correção de tickets nível 1 e na resolução de possíveis falhas de Segurança. No ano de 2021, tiveram ao todo:

• 250 alertas gerados e resolvidos;

• Em média, 20 resoluções por mês;

• Economia de cerca de 1 hora de trabalho por vulnerabilidade;

• Possibilidade de resposta 24/7/365, com a solução analisando os controles de forma contínua.

 

Conclusão do caso

A melhora na velocidade de resposta de uma possível falha é uma ótima maneira de aumentar a maturidade de segurança de uma empresa e diminuir os riscos de segurança. Por meio de serviços gerenciados da AWS e também do AUTO HEALER, a Pipefy pode ter um ambiente testado, controlado, remediado e protegido 24/7/365.

 

Sobre o autor

Danilo Cordeiro é Staff Security Engineer e Especialista em Cibersegurança na Pipefy. Atua nos times de CyberSec apoiando a empresa a alcançar maior maturidade de Segurança. Possui experiência de 15 anos na área de Tecnologia com background em SRE, IT Operations e Desenvolvimento.

Agradecimentos: Marina Ciavatta pela revisão e apoio na escrita deste artigo.