Palo Alto Networks dà il via al suo evento Ignite Europe 2019 mettendo in primo piano una considerazione importante. La cyber security sta cambiando sulla spinta della digitalizzazione - sottolinea il fondatore e CTO, Nir Zuk - perché questa sta introducendo complessità architetturali notevoli. Che le aziende spesso non sono in grado di affrontare nella maniera migliore. O comunque in un modo che per loro sia abbastanza semplice.

Il riferimento è a diversi componenti delle nuove infrastrutture IT. Le applicazioni che si spostano nel cloud, come servizi SaaS o come vere e proprie applicazioni cloud-native. Il perimetro di rete che si è definitivamente "disintegrato", con la necessità degli utenti di accedere alle risorse cloud da ovunque. Connettendosi genericamente a una "nuvola" che potrebbe essere altrettanto ovunque. E approcci, come in particolare le SD-WAN, che risolvono parte dei problemi ma ne creano altri.

Trasversale a tutto questo c'è la frammentazione del mercato. Perché per ogni problema che si manifesta, si crea una nuova classe di soluzioni e quindi di prodotti. Troppi ormai, secondo Palo Alto Networks. Troppi per la capacità che hanno gli staff IT di gestirli. Ma troppi anche per rappresentare vere soluzioni ai nuovi problemi.

Nir Zuk, fondatore e CTO di Palo Alto Networks
"Nel mercato dela cyber security - sottolinea Nir Zuk - c'è una contrapposizione costante tra chi vuole aggiungere sempre più soluzioni per tappare tutte le falle e quelli, pochi, che vogliono fare un passo indietro e sviluppare una nuova concezione di soluzioni". Palo Alto si considera in questa categoria e ritiene di aver seguito il secondo approccio con lo sviluppo delle sue soluzioni originarie, i next-gen firewall.

Ora la sfida si è progressivamente spostata verso il cloud e la parte di accesso al cloud stesso. Con funzioni di sicurezza che sono sempre più "dentro" le infrastrutture. In un processo di integrazione che promette di cambiare sia il mercato della cyber security sia quello, adiacente, del networking. "Sicurezza e neyworking stanno convergendo - spiega infatti Zuk - e non credo che i vendor della sicurezza saranno quelli che restano con il cerino in mano. Ci sarà meno bisogno di vendor specifici di networking, specie in ambito SD-WAN".

Ignite Europe 2019: le novità di prodotto

Palo Alto Networks è stata a lungo una azienda focalizzata su un'unica categoria di prodotti, appunto i next-gen firewall. Poi, anche grazie a diverse acquisizioni, ha allargato il suo raggio d'azione e ha poi razionalizzato l'offerta cloud-oriented in due macro-aree. La parte di accesso al cloud e di protezione del cloud fa capo alla linea Prisma. Alla linea Cortex sono collegate invece funzioni di protezione "next-gen", ossia basate su automazione ed intelligenza artificiale. Entrambe le linee hanno avuto aggiornamenti significativi.

Palo Alto ha lavorato in particolare su Prisma Access, presentata ora come una soluzione SASE (Secure Access Service Edge) completa. Anche se Prisma esiste prima che si cominciasse a parlare diffusamente di SASE. Che oggi è un po' la sigla di tendenza per il networking e la cyber security. Sintetizzando molto, il modello SASE parte dal presupposto che le risorse IT e gli utenti di un'azienda si trovano molto di più "fuori" dal suo data center e dalla sua rete che "dentro". Proteggerli con le soluzioni classiche è complesso e poco performante. Meglio usare funzioni di cyber security in cloud e renderle pervasive in tutta l'infrastruttura.

Lee Klarich, Chief Product Officer di Palo Alto NetworksA livello di prodotto, la novità è l'inclusione in Prisma Access di funzioni SD-WAN. Il che elimina la necessità di soluzioni specifiche al di fuori di quelle Palo Alto. Una evoluzione possibile anche perché PAN-OS, il sistema operativo dei next-gen firewall di Palo Alto, "già da tempo svolgeva gran parte delle funzioni richieste dalle SD-WAN", spiega Lee Klarich, Chief Product Officer della società. Alcune però mancavano e sono state quindi aggiunte: la raccolta di metriche sui percorsi WAN possibili, le funzioni per la scelta tra più percorsi, il passaggio dinamico dall'uno all'altro.

La parte SD-WAN è la novità più importante per Prisma Access, non l'unica. La piattaforma ha acquisito anche la possibilità di definire SLA mirati per la connettività verso alcune diffuse applicazioni SaaS. Come Office365, Salesforce e Slack. Nuove anche alcune funzioni di Data Loss Prevention che usano anche il machine learning per rilevare situazini a rischio di esfiltrazioni di dati. Con anche la possibilità di definire workflow per porvi rimedio.

Everything DR

All'interno della linea Cortex le novità riguardano la piattaforma di detection and response, Cortex XDR. Resta però invariata la sua concezione di fondo. Un approccio "everything detection and response" (XDR, appunto) che risponde alla proliferazione di soluzioni puntuali per la protezione di componenti infrastrutturali specifiche. Dagli endpoint alla rete, passando per il cloud e guardando al futuro molto prossimo dell'IoT.

Ancora una volta, avere troppe soluzioni non ha senso e la soluzione è "raccogliere tutti i dati da tutte le sorgenti, per analizzarli insieme e rispondere in maniera mirata lungo tutta l'infrastruttura", spiega Nir Zuk. L'approccio XDR è stato presentato circa un anno fa. E secondo Palo Alto è stato abbastanza convincente da avere molti imitatori. Nel senso che molte soluzioni concorrenti mirate sono ora presentate come XDR.


La novità di Cortex XDR 2.0, che arriverà antro fine anno, riguardano principalmente tre ambiti. È stata rivisitata la parte di endpoint protection, che ora è completamente integrata in Cortex attraverso un suo agente e una sua parte di gestione. Cortex XDR acquista poi un nuovo engine per l'analisi in locale dei potenziali malware. Si basa su machine learning e sulla base dati del servizio cloud di analisi di malware che Palo Alto già offre, ossia WildFire.

Ma la novità più significativa è l'apertura di Cortex XDR alle sorgenti dati di terze parti, nello specifico i log dei firewall di alcuni produttori (Check Point già ora, poi entro fine anno Cisco, Fortinet, Forcepoint). L'idea di fondo è che l'analisi dei dati di cyber security raccolti in rete sia più utile man mano che cresce il volume dei dati stessi. Quindi anche la collaborazione con altre aziende porta vantaggi.

Si tratta di una progressiva apertura, con una parallela estensione delle funzioni integrate nelle varie piattaforme, che sta caratterizzando un po' tutto lo sviluppo di Palo Alto Networks. Lo si vedrà presto anche nelle funzioni di Prisma Cloud, la componente per la protezione delle risorse nella nuvola. A pochi mesi dalle acquisizioni di Twistlock e PureSec, la piattaforma ha ora (quasi) integrate le rispettive funzioni di protezione dei container e degli elementi di serverless computing.