Dalla Vulnerability Assessment e Management degli Anni 90 a oggi, l’approccio di Qualys al tema della sicurezza si è fortemente evoluto, abbracciando via via nuovi aspetti ed estendendo la propria vision sul cloud. Un concetto che il vendor californiano già in termini non sospetti interpretava come servizi di demand computing, ben prima, quindi, che il cloud diventasse un tema comune in ambito business.
Un’azienda «cloud nativa con la carica innovativa di una startup ma con forte solidità e struttura» come piace definirla a Emilio Turani, Managing Director di Qualys per Italia, Spagna, Portogallo e Central Eastern Europe, che spiega come «dai servizi iniziali di Vulnerability assessment e management, l’offerta di Qualys si è fortemente evoluta, aggiungendo, con il progredire della nostra piattaforma, numerosi altri servizi, a oggi 18, comprendendo applicazioni orizzontali che vanno dal Web application scanning, per applicazioni Web, fino alla parte di normative e policy compliance, la parte di behavioral, con indicazione di compromissione o, ancora, la parte di file integrity monitoring, fino a tutta una serie di soluzioni integrate».
Indice degli argomenti
L’offerta di Qualys è pay as you grow
Un’offerta ampia che oggi Qualys propone con modalità pay per grow, attraverso una subscription annuale per la quale “si paga per ciò che, realmente, serve”, con un modello altamente scalabile attivabile da una piattaforma in grado di coniugare le esigenze di IT, compliance e security. «L’unione di tre mondi che solitamente sono separati, soprattutto nella grande e media impresa – sottolinea Turani – e che noi cerchiamo di rendere visibili. Innanzitutto attivando l’asset management, attraverso una console centralizzata che fornisce visibilità: non si può gestire nulla se non si sa cosa si ha a disposizione. Che siano mondi legati al cloud, oppure on premise, o private cloud o, ancora, ambienti che si appoggiano a cloud pubblici, è necessario avere una visibilità completa del contesto dei propri device relativi all’ambito aziendale, il quale ormai non è più relegabile a un perimetro e come tale è a rischio di una perdita di visibilità e controllo».
Visibilità, scalabilità e accuratezza alla base della strategia di Qualys
Visibilità, scalabilità e accuratezza sono quindi le tre basi su cui il vendor ha deciso di impostare la propria strategia. Un importante fattore che Qualys considera è, infatti, la scalabilità, consentita sia per numero di indirizzi IP che per allocazione dei dati. Scalabilità che è certo importante ma che deve essere, a sua volta, coniugata con l’accuratezza, indispensabile per avere dei dati che siano fruibili.
«Per accuratezza intendiamo la riduzione del costo di possesso e di gestione infrastrutturale, basata anche sulla riduzione dei falsi positivi o negativi, per dare un automatismo che consenta di restringere il campo di ricerca a favore di una maggiore precisione – dettaglia Turani -. In un momento in cui le risorse delle aziende vengono ottimizzate per progetti infrastrutturali o produttivi, servono delle piattaforme che aiutino nella gestione sicura di tanti dati attraverso automatismi e correlazioni».
Qualys tende all’interoperabilità per non vanificare gli investimenti pregressi
Da qui si passa, quindi, all’aspetto successivo, che è l’interoperabilità con i vendor terze parti. Transparent Orchestration la chiama Qualys, che prevede che la propria piattaforma si possa coniugare, attraverso le API, con le altre tecnologie preesistenti in azienda. È impensabile, infatti, che soprattutto in ambito sicurezza e infrastrutture IT, le aziende non abbiano già del parco installato di altri brand, che bisogna cercare di orchestrare attraverso l’interoperabilità per ottimizzare e massimizzare l’efficienza delle risorse in campo.
In un contesto di questo tipo, la Qualys Cloud Platform si pone come console per una gestione correlata di tutto ciò di cui dà visibilità, raccogliendo e analizzando i dati, dando risposte concrete, tra cui, a breve, anche in termini di patch management. Una piattaforma che contribuisce a semplificare la mole di dati o di computazione che sta alla base.
A tutto ciò, recentemente il vendor ha aggiunto anche il nuovo servizio di Asset Inventory, che consente di avere una visibilità globale sulle possibili vulnerabilità, attraverso un cruscotto agevolato, che si avvalgono anche delle altre funzionalità di threath protection, che agisce sulla base di prioritizzazione per profilare meglio i dati e le relative attività di protezione.
Il canale di Qualys attivato sul valore
Sono 200, circa, i clienti di Qualys in Italia, di diverse dimensioni, dagli enterprise, ai medi fino agli SMB, gestiti attraverso una ventina di partner, seguiti direttamente con un modello one-tier. In particolar modo il mercato SMB viene presidiata da partner che erogano servizi di MSSP, tipicamente operatori Telco o integratori.
Un canale sul quale è intensa l’attività di formazione e di certificazione, atti a renderli in grado di intraprendere un percorso congiunto con Qualys «un action plan più che un business plan» come sottolinea Turani «per definire insieme dove e come andare, facendo estrema attenzione a evitare sovrapposizioni sui clienti e supportandoli nella fase di prevendita, di sviluppo e di post vendita».