Tra i molti acronimi che il mercato dell’informatica propone, Cnapp è uno tra quelli da tenere d’occhio. Nell’ambito della sicurezza, le piattaforme per la protezione delle applicazioni cloud-native (Cloud Native Application Protection Platform) stanno guadagnando rilevanza, per diversi motivi. Innanzitutto perché sempre più spesso le applicazioni nascono nel cloud, cioè qui risiedono fin dalla fase di sviluppo e test, e inoltre sono destinate a rimanere nella “nuvola” anche quando passano in produzione.
Inoltre le piattaforme Cnapp “spostano sinistra” (shift left) le attività di verifica e monitoraggio della sicurezza, con strumenti di visibilità, analisi e scansione del codice per scovare eventuali vulnerabilità nelle prime fasi del ciclo di sviluppo e rilascio del software. Questo permette una migliore sicurezza complessiva e anche una riduzione di tempi, intoppi e complicazioni nel lavoro dei team di DevOps.
In quest’ambito opera Wiz, giovane azienda, recentemente sbarcata sul mercato italiano grazie a un accordo con S2E. Quella proposta è una soluzione agentless per la scansione di risorse cloud (macchine virtuali, container, database, Platform as-a-Ser vice e altro ancora) per la mappatura dei rischi, la ricerca e la risoluzione di vulnerabilità. Il software esegue analisi continue su configurazioni, vulnerabilità, reti, identità e accessi, monitorando utenti, account, workload, API e dati. Funziona sui principali cloud pubblici e anche su ambienti Kubernetes e può essere distribuita via cloud, on-premise e in vSphere.
Wiz è giovane (è nata a fine 2020) ma ha radici profonde: i suoi fondatori Assaf Rappaport, Ami Luttwak, Yinon Costica e Roy Reznik hanno alle spalle una precedente esperienza di startup di successo, perché la loro azienda è stata acquisita da Microsoft nel 2015, e per cinque anni si sono occupati di gestire la sicurezza interna di Azure, per poi lasciare la società di Redmond e affrontare una nuova avventura.
“Sapevamo che doveva esistere un modo migliore per mettere in sicureza il cloud, con un nuovo approccio”, ci ha raccontato Robert Finn, vice president sales Emea di Wiz. “La nostra tecnologia aiuta le aziende ad avere visibilità sugli ambienti cloud in modo molto rapido, come molte delle soluzioni sul mercato non permettono di fare. Wiz non si limita però a fornire insight molto veloci bensì fornisce anche un aspetto molto importante, ovvero il rischio contestuale. Osserviamo la postura di sicurezza di un ambiente cloud e segnaliamo i rischi eliminando il ‘rumore’ e permettendo alle persone di focalizzarsi su quello che davvero importa”.
Robert Finn, vice president sales Emea di Wiz
Il “rischio contestuale” viene evidenziato dallo strumento Wiz Security Graph, che identifica le “combinazioni tossiche” tra potenziali vulnerabilità, configurazioni e percorsi di attacco. La tecnologia di Wiz è concepita per lavorare in tandem con i Security Operations Center (Soc), ovvero è complementare alle attività di risposta e gestione degli incidenti e può, inoltre, velocizzare. Si integra, inoltre, con gli strumenti di sviluppo e distribuzione del software per consentire di eliminare i rischi “alla radice”, con un approccio preventivo.
Gli ambienti IT ibridi, oggi prevalenti nelle aziende, hanno bisogno di tutto questo, come sottolineato da Finn: “Il cloud è un incredibile abilitatore di agilità, velocità e innovazione, specie per chi sviluppa applicazioni. Ma una delle sfide connesse al cloud è la visibilità, che oggi a molte aziende e team di sviluppatori manca”.
La società ha lavorato fin dalla prima ora a stretto contatto con i cloud provider, e lo scorso febbraio ha fatto debuttare il suo partner program per stringere accordi su base locale, con operatori che conoscono il mercato di riferimento. In questo percorso di inserisce S2E, società di consulenza IT che, per prima, da qualche settimana sta proponendo la piattaforma di Wiz al mercato italiano.
Come è nato il sodalizio? “Abbiamo incontrato Wiz in un simposio di Gartner a fine 2022”, ha raccontato Cesare Moroni, chief executive officer di S2E. “Con loro ci siamo trovati d’accordo fin dall’inizio, perché condividiamo molti valori, come l’attenzione alle persone, la propensione all’innovazione e le competenze, nel loro caso più verticali sul cloud e nel nostro più orizzontali sulla cybersicurezza. Ci completiamo bene. La nostra linea di business sulla cloud security è giovane, non avevamo nell’offerta una soluzione come quella di Wiz ma la stavamo cercando”.
Cesare Moroni, Ceo di S2E
Nata 15 anni fa come system integrator con base a Milano, S2E ha consolidato nel tempo una clientela fatta soprattutto di aziende medie e grandi (specie nel settore assicurativo e bancario, e a seguire nel retail, nella moda e nell’energia) che dimostrano una forte fedeltà. “Il 17% dei nostri clienti è tale da oltre dieci anni, il 21% è con noi da sei, sette, otto o nove anni”, ha sottolineato il Ceo. Oltre a presidiare le grandi aziende, S2E integra i propri servizi di cybersicurezza con quelli di telecomunicazione dei carrier, confezionando un’offerta integrata per le Pmi.
Dal suo punto di osservazione sul mercato italiano, S2E prevede che la cybersicurezza continuerà a essere una delle principali aree di investimento IT anche nei prossimi anni. Affiancata, però, da quella che oggi è una tecnologia emergente, anche se non più così acerba. “Accanto alla sicurezza informatica, la tendenza forte oggi è quella dell’intelligenza artificiale generativa”, ha detto Moroni. “Abbiamo avuto la fortuna di sviluppare entrambi questi temi, creando delle business unit dedicate. Recentemente abbiamo presentato una soluzione di AI generativa combinata con la cybersicurezza. Oggi ci si inizia a preoccupare sugli utilizzi dei dati, su che cosa accada ai dati una volta inseriti in applicazioni come ChatGPT. Noi ci siamo posti fin da subito il problema e abbiamo sviluppato una soluzione, a detta di Gartner unica sul mercato, capace di filtrare i dati sensibili e di utilizzare più motori di AI generativa contemporaneamente”.