Use Qualys Flow para automatizar la detección y la corrección con flujos de trabajo sin código

El panorama de las amenazas evoluciona rápida y constantemente. Diariamente se descubren nuevas vulnerabilidades de software y configuraciones incorrectas de servicios, y los exploits que las atacan a menudo se publican en cuestión de horas. Para una seguridad efectiva, es esencial buscar la automatización de los procesos de detección y remediación.

Varios factores hacen que la automatización de la seguridad sea particularmente desafiante. Primero, la complejidad de los traspasos entre los equipos de Ciberseguridad y Operaciones de TI. En segundo lugar, la necesidad de orquestar múltiples herramientas como seguridad, gestión de cambios y alertas. Un proceso típico de ciberseguridad en una empresa se parece a lo siguiente:

  1. Detectar – Para detectar vulnerabilidades y configuraciones erróneas, los equipos de Ciberseguridad escanean periódicamente sus sistemas, lo que implica los siguientes pasos:
    1. Configure el escaneo para cada cuenta en la nube con los parámetros de escaneo apropiados
    2. Decidir con qué frecuencia escanear
    3. Manténgase al tanto de las cuentas en la nube recién agregadas y luego repita los pasos (1.1) y (1.2) para las cuentas nuevas
  2. Analizar – Los equipos de ciberseguridad luego analizan los resultados del escaneo de seguridad para:
    1. Identifique y priorice las vulnerabilidades y las configuraciones incorrectas según la gravedad, la criticidad, la puntuación de riesgo y la ubicación (perímetro o interna)
    2. Cree un ticket para el equipo de operaciones de TI en su sistema ITSM para remediar los hallazgos
  3. remediar – El equipo de operaciones de TI procesa y borra los tickets de seguridad de la siguiente manera:
    1. Analizar el billete
    2. Poner un ticket de orden de cambio
    3. Una vez que se aprueba el ticket, remedie el hallazgo aplicando un parche o corrigiendo la configuración incorrecta
    4. Cierra el ticket de seguridad

En promedio, la mayoría de las empresas tardan 45 días en parchear una vulnerabilidad de alta criticidad, según la investigación de Qualys. La razón principal son los retrasos en cascada debido a la mala orquestación de los diversos pasos descritos anteriormente.

¿Qué pasaría si los pasos de este complejo proceso pudieran orquestarse automáticamente?

Presentamos Qualys Flow

Qualys lo hace posible a través de una nueva oferta llamada Qualys Flow. Qualys Flow es una capacidad de creación de flujos de trabajo automatizados sin código que le permite crear flujos de trabajo, conocidos como QFlows. Proporciona orquestación integral de procesos de detección y remediación dentro de Qualys Cloud Platform, así como desde su infraestructura en la nube, como AWS. Qualys Flow visualiza el flujo lógico de eventos, datos y acciones en forma de nodos, cada uno de los cuales cumple una función específica en la cadena de detección, análisis o remediación. Los QFlows se pueden crear directamente en la interfaz de usuario arrastrando y soltando nodos y configurándolos según sea necesario.

Veamos dos ejemplos de automatización de la seguridad de un extremo a otro con Qualys Flow.

Uso de Qualys Flow para automatizar el análisis de vulnerabilidades y la reparación de activos orientados a Internet

Este es un ejemplo de Qualys Flow para orquestar y automatizar un flujo de trabajo para la evaluación de riesgos, la evaluación de vulnerabilidades y la reparación de una máquina virtual recién implementada.


Qualys Flow visualiza flujos de trabajo complejos en su interfaz de usuario intuitiva

Todos los QFlows comienzan con un nodo Trigger, que especifica qué evento desencadena el flujo de trabajo. Para este QFlow, hemos configurado el nodo Trigger para escuchar un nuevo evento de máquina virtual.

Dado que solo queremos escanear activos orientados a Internet, el siguiente paso es verificar si la máquina virtual tiene una dirección IP pública. Asignaremos una etiqueta Qualys “externa” utilizando el nodo Tagging. Se recomienda asignar etiquetas de Qualys a los activos para que pueda usarlas más adelante en otros flujos de trabajo. Un ejemplo es la creación de informes de vulnerabilidad específicos para máquinas virtuales con etiquetas externas.

Después de asignar la etiqueta, ahora realizamos un escaneo perimetral utilizando un nodo de acción Qualys. Los nodos de acción de Qualys le permiten llamar a las API de Qualys para las aplicaciones compatibles.

Una vez finalizado el análisis, comprobamos la puntuación Qualys TruRisk de la máquina virtual para verificar que sea >900. La puntuación de TruRisk se calcula analizando varios factores, incluidas las puntuaciones de CVSS, la criticidad de los activos, etc., para establecer el nivel de riesgo general de ese activo. La puntuación de TruRisk oscila entre 0 y 1000, donde 0 representa el riesgo más bajo y 1000 representa el riesgo más alto. El modelo de puntuación de TruRisk indica que una máquina virtual con una puntuación >900 debe ponerse en cuarentena inmediatamente.

Nuestro siguiente paso es poner en cuarentena la máquina virtual. Hacemos esto adjuntando un grupo de seguridad denegar todo, evitando toda comunicación con la red. En Qualys Flow, puede realizar ningún acción que admite la API del proveedor de servicios en la nube. Esto significa que puede realizar otras acciones, como suspender o finalizar la máquina virtual, para ponerla en cuarentena.

Luego, notificamos a los equipos de Operaciones de TI y Ciberseguridad sobre la máquina virtual en cuarentena mediante la creación de un ticket de ServiceNow. Cualquier acción de remediación requerirá aprobación. Tan pronto como se recibe la aprobación, Qualys parchea la VM automáticamente, la elimina de la cuarentena separándola del grupo de seguridad y luego cierra el ticket de ServiceNow.

Uso de Qualys Flow para garantizar que las instantáneas de AWS EC2 estén cifradas

Nuestro próximo ejemplo involucra la activación de acciones de flujo de trabajo en su entorno de AWS directamente desde Qualys Flow.

Las organizaciones de TI suelen tomar instantáneas de sus máquinas virtuales con fines de respaldo. Uno de los errores frecuentes que hemos visto cometer a los clientes es olvidarse de cifrar las copias de seguridad. Si su organización sufre una infracción, los piratas informáticos pueden acceder fácilmente a los datos de sus máquinas virtuales si sus copias de seguridad no están cifradas.

Con Qualys Flow, el equipo de ciberseguridad puede detectar si las copias de seguridad están encriptadas y luego encriptarlas si no lo están, como se muestra a continuación. De esta manera, QFlow hace su parte para hacer cumplir las mejores prácticas de seguridad automáticamente. Configúralo y olvídalo.

Qualys Flow también se integra con Qualys CloudView. Puede crear un control personalizado en CloudView simplemente vinculándolo a un QFlow.


Qualys Flow presenta una integración completa del flujo de trabajo con AWS

Conclusión

Qualys Flow permite a los profesionales de la ciberseguridad crear potentes flujos de trabajo de automatización de seguridad sin escribir una sola línea de código. Las acciones se organizan en los servicios en la nube de Qualys, las aplicaciones de terceros y los proveedores de servicios en la nube mediante nodos de QFlow organizados en un proceso lógico. Muchos flujos de trabajo con plantillas están disponibles de forma inmediata en QFlow. Estas plantillas se pueden usar tal cual o se pueden personalizar para satisfacer sus necesidades específicas.

Qualys Flow ya está disponible de forma general y actualmente admite flujos de trabajo para AWS y la nube de Azure. Las partes interesadas pueden comenzar con QFlow de forma gratuita registrándose en un prueba gratuita de Qualys CloudView aquí. Los clientes existentes de Qualys pueden probar QFlow poniéndose en contacto con su administrador técnico de cuentas para configurarlo.

Estás invitado a unirte a Qualys en AWS re:en vigorque se celebrará los días 26 y 27 de julioel en Boston. Entrar un momento Puesto #111 para aprender sobre Qualys Flow. Visita este sitio aprender más.

¿Que te ha parecido?

Deja un comentario