Qualys es una compañía que se remonta a 1995, “basada en el cloud desde el principio”, creada por un vascofrancés, Philippe Courtot, que tuvo problemas para establecerse en Silicon Valley, dadas las dificultades de encontrar gente que apostara por la cloud tan tempranamente. “Parte de nuestro desarrollo está en India”, explica Raúl Benito, account manager de Qualys para España y Portugal. En sus inicios, Qualys se basó en la gestión de vulnerabilidades en SaaS. “Escaneamos la parte interna y externa de la red, compilamos todos los datos, los analizamos y les dotamos de inteligencia para dar unas prioridades a la gestión de las vulnerabilidades”, continúa Benito. Qualys aprovecha la escalabilidad y flexibilidad de la nube. “Un cliente empieza por una parte muy pequeña y, cuando comprueba que puede tener su espectro de activos dentro de nuestra plataforma, va incorporando nuevas funcionalidades”.
Esta empresa ha ido evolucionando sin dejar la gestión de vulnerabilidades y ahora se ha extendido al ámbito de la visibilidad. “Al CISO le damos una visibilidad global de toda su infraestructura. El problema es que este responsable se basa en datos que le pasan otros departamentos y es él quien tiene que velar por todos los activos, que no son solo PC y servidores, sino switches, impresoras, routers, firewalls o IoT”.
“Al CISO le damos una visibilidad global de toda su infraestructura”
“Nosotros damos esa visibilidad sin ser intrusivos en las clouds públicas como Amazon, Google o Azure”, puntualiza Benito. No se trata pues de una empresa CASB, “nosotros damos a la empresa una imagen exacta de los activos con los que cuenta y cuáles son sus vulnerabilidades. Nos integramos con los SOC y con terceras herramientas como Service Now para poder abarcar todo el proceso”. Qualys se inscribe en el mercado de la gran empresa y mid market. Su modus operandi es el siguiente: “Si detectamos que un activo es susceptible de ser atacado por el puerto X o el servicio X, le brindamos las herramientas para que el IPS pare la vulnerabilidad”.
Recurriendo a un símil, una empresa del estilo de Check Point (precisamente procede de ella Raúl Benito) te pone la valla de tu casa, pero Qualys te pone la inteligencia. “La valla está muy bien, pero ahora hay drones que pueden acceder por arriba”, matiza. Generalmente, con el parcheo se cubren las vulnerabilidades, pero a veces sucede que no se puede proceder al parcheo porque el área de seguridad precisa seis meses para actualizar los sistemas (que se pueden contar por miles); por tanto, se produce una ventana de exposición. “En tal caso nosotros ofrecemos una alternativa avisando al firewall para que cierre tales puertos o priorizando el parcheo de aplicaciones críticas. Damos inteligencia para que no todo sea cerrar. Se trata por tanto de una herramienta que no exige estar parcheando cada dos por tres”.
El efecto Wannacry
El ataque global de WannaCry le vino bien a Qualys porque quedó constancia de que “la gente de seguridad no era consciente de los archivos (y su ubicación) que podían ser atacados por WannaCry, incluso meses después de cuando se produjo el ataque”. Como complemento, su plataforma incorpora gestión de activos, inventariado de activos y cada vez las empresas están poniendo en marcha proyectos CDMB de catalogación de activos, una base para poder saber cómo actuar: “No todos tus activos pueden ser tratados de la misma forma”.