פאלו אלטו – מסטארט-אפ לחברת ענק ולמובילת שוק האבטחה
פאלו אלטו הוקמה על ידי ניר צוק, ובפחות מ-10 שנים הוכרה על ידי האנליסטים כמובילת שוק והגיעה למכירות של כ-650 מיליון דולר ברבעון ● איך זה קרה? ולמה? ● חלק א'
כתב: ציון עזרא, סמנכ"ל מכירות באינוקום.
הפעם הראשונה שבה שמעתי על הפיירוול של פאלו אלטו הייתה ב-2009 מפי ניר צוק, מקים החברה. כנס ההשקה של פאלו אלטו נערך על ידי אינוקום, והוזמנו אליו חברות ואינטגרטורים מהשוק. אני זוכר את המצגת של צוק כמרתקת והגיונית מאוד, בבחינת איך לא חשבו על זה קודם.
לפני הופעת פאלו אלטו, הפיירוולים המוכרים – אלה של צ'ק פוינט, סיסקו וכו'… – עבדו לפי פורטים ולא ידעו לזהות אפליקציות, שרובן ככולן עברו בפורטים הפתוחים 80 ו-443. צוק טען שהפיירוול צריך לזהות אפליקציות ולאפשר או לחסום אותן.
פאלו אלטו הביאה חידוש נוסף – התממשקות ל-Active Directory ובניית חוקים מבוססי קבוצות או שמות של אנשים.
ברור שצוק צדק, וההוכחה לכך היא שכולם העתיקו מפאלו אלטו ושילבו את התכונות במוצרים שלהם בעקבות לחץ מהלקוחות.
מהיום הראשון שפאלו אלטו באה לעולם, הדגש היה על חדשנות וטכנולוגיה מתקדמת. מאז ועד היום, הטכנולוגיה המתקדמת הייתה ועודנה המוטו של החברה.
הנוכחים בכנס ההשקה התרשמו מצוק הכריזמטי וגם מהמוצר, אם כי היה ברור לכולם שלא יהיה פשוט להזיז את מובילת השוק העולמית, צ'ק פוינט, מהבכורה.
תחילת הדרך
הצטרפתי לאינוקום ב-2010 ואחת המשימות שקיבלתי היה לקדם את הפעילות של פאלו אלטו. באותה התקופה היא מכרה בעולם בסדר גודל של בין 50 ל-60 מיליון דולר בלבד. לחברה היו שני קווי מוצרים – סדרות ה-4000 וה-PA-500, שעובדת עד היום אצל לקוחות.
ההתחלה הייתה קשה ומתסכלת. לא היה ברור לנו למה הלקוחות סירבו לרכוש, על אף שהיינו בטוחים והבנו שיש לנו את המוצר הטוב ביותר בשוק.
הגישה שלנו הייתה לבוא ללקוח ולהציע לו להחליף את הפיירוול שברשותו – בדרך כלל זה של צ'ק פוינט. הלקוחות כמעט זרקו אותנו מהארגון – ההצעה להחליף את צ'ק פוינט לא נשמעה להם הגיונית בעליל.
שינינו את הגישה ואמרנו ללקוחות: יש לכם צ'ק פוינט כפיירוול, וזה טוב, אבל בואו תוסיפו פאלו אלטו בטור לצ'ק פוינט ואנחנו נמלא את הפונקציות של זיהוי אפליקציות, IPS, סינון וירוסים וסינון אתרים (URL). האסטרטגיה הזו עבדה הרבה יותר טוב. הסיכון שהלקוח ראה היה הרבה פחות מקודם. הפיירוול נשאר והוא מוסיף עוד שכבת הגנה. ואכן, הלקוחות התווספו, לרבות כאלה גדולים.
מהתקופה הזו זכורים לי הביקורים של צוק, שהיה מגיע לארץ לתקופה קצרה, נפגש עם אינספור לקוחות ומציג, תוך שכנוע עמוק, את התפישה החדשנית של פאלו אלטו. לא משנה מי עמד מולו – סמנכ"ל טכנולוגיות, מנמ"ר או איש אבטחת מידע – המסר תמיד היה יסודי ורציני, ללא גינוני כבוד.
לאט לאט – מעבר לפאלו אלטו
השלב הבא, שלקח מספר חודשים ובמקרים מסוימים אף יותר, היה שהלקוחות שמימשו פאלו אלטו כ-IPS או כ-URL חוו מוצר איכותי מאוד ואמין, עם תכונות מעולות. לאט לאט הם העבירו פונקציות מהפיירוול הראשי לפאלו אלטו, כמו בניית חוקים לפי אפליקציות. הם ראו שהכל עבד ללא בעיות ושאלו את עצמם: אם כך, למה לשלם כפול? מדוע צריך שני פיירוולים אחד אחר השני? הם שמו את פאלו אלטו כפיירוול הראשי בארגון.
גם התהליך הזה היה ארוך, אבל היתרונות של פאלו אלטו היו ברורים. יכולנו לראות לקוחות גדולים שעובדים עם פאלו אלטו כפיירוול הראשי, והחשש של הלקוחות הלך ופחת.
מאז, בצורה עקבית וברורה, מכירות פאלו אלטו הכפילו את עצמן בכל שנה, וזה קורה עד ימים אלה, שבהם לפאלו אלטו נתח רחב וגדול בשוק.
מה תפקיד הפיירוול בארגון?
ברבות מהפגישות שלי אני מעלה לדיון את השאלה הזו. מהר מאוד לכולם ברור שהתפקיד של שוטר התנועה הוא בסיסי ויסודי, וכולם עושים את זה, כולל נתבים זולים. כיום, התפקיד המרכזי של הפיירוול בארגון הוא לעצור מתקפות סייבר. הפיירוול "רואה" את כל התעבורה ולכן יכול למנוע את המתקפה.
שאלת המפתח היא איזה פיירוול עושה עבודה טובה יותר במניעה. לדעתי, מדובר כמובן בפאלו אלטו, בגלל שלוש סיבות:
ארכיטקטורה מתקדמת
- המוצר נבנה מהיסוד כדי להתמודד עם איומים.
- ביצועים – נתוני הביצועים שמפורסמים על ידי פאלו אלטו הם מדויקים, בניגוד לאחרים.
רמת הנראות (Visibility)
רמת הנראות שיש לפאלו אלטו היא ללא השוואה למתחרים.
מניעת איומים
מערכות ההגנה של החברה הרבה יותר חזקות, בין היתר בגלל יכולות ה-WildFire (ארגז חול) שלה.
השלב הבא – Network FW
לאחר שביססה את הפיירוול בפרימטר, דחפה פאלו אלטו בצורה חזקה את הפיירוול הרשתי (Network FW). הרעיון המרכזי היה הגנה בכל הסגמנטים בארגון. הטכנולוגיה של פאלו אלטו התאימה מאוד לתפקיד הזה, בגלל ביצועים גבוהים, סינון תוכן, רמת אבטחה גבוה ונראות. לקוחות רבים מימשו, ובהצלחה רבה, את הפונקציה הזו. ברוב בתי החולים הגדולים מותקן פאלו אלטו כפיירוול רשתי.
האסטרטגיה של פאלו אלטו: הגנה בכל מקום
פאלו אלטו, בהובלתו הטכנולוגית של צוק, טוענת שיש להגן על הארגון בכל מקום שבו המידע שלו נמצא – בקמפוס הארגוני, בהפרדת הרשתות, בחוות השרתים (VM FW), בתחנות הקצה, למשתמשים ניידים מחוץ לארגון ובמקום הכי חם כיום – בענן.
השלב הראשון באסטרטגיה היה לפתח מוצר חדשני בתחום הגנת תחנות הקצה. פאלו אלטו רכשה את Cyvera הישראלית ופתחה בארץ מרכז פיתוח גדול, היחיד מחוץ לארצות הברית. החברה השקיעה משאבים רבים בפיתוח המוצר, רכשה גם את SEC.DO, אף היא ישראלית, ושילבה אותה במוצר הגנת תחנות הקצה Traps.
אנחנו מבצעים התקנות רבות של Traps בארגונים גדולים עם אלפי תחנות, שבהן ה-Traps הוא אבטחת נקודת הקצה היחידה.
פאלו אלטו המשיכה ברכישות וקנתה את LightCyber הישראלית, שהתמחתה בזיהוי אנומליות ברשת. כל מפתחי החברה צורפו למרכז הפיתוח הגדול של פאלו אלטו בישראל, שמונה מאות רבות של מפתחים.
כפי שניתן לראות מהציור לעיל, לפאלו אלטו פתרונות מתקדמים בכל אזור שבו המידע הארגוני נמצא. אם לא מגנים על המידע הארגוני בענן באותה הקפדנות שבה מגנים על המידע בחצר הארגון, זה דומה להתקנת מנעול בטחון בדלת והשארת חלונות פתוחים. חייבים להגן על המידע הארגוני בכל מקום שבו הוא נמצא.