Man mano che il panorama della cybersecurity continuava la sua rapida evoluzione nella seconda metà degli anni 2010 e nei primi anni 2020, CyberArk intraprese una trasformazione significativa, espandendo strategicamente il suo focus oltre la tradizionale gestione degli accessi privilegiati (PAM) per abbracciare un paradigma di sicurezza dell'identità più ampio. Questo cambiamento complessivo fu reso necessario da diverse tendenze convergenti che alterarono fondamentalmente l'ambiente IT aziendale e la natura delle minacce informatiche. L'adozione pervasiva del cloud computing, con il trasferimento dei carichi di lavoro dai data center on-premises alle infrastrutture cloud pubbliche e private, introdusse nuove superfici di attacco e una proliferazione delle identità. Allo stesso tempo, l'emergere delle metodologie DevOps accelerò i cicli di sviluppo software, richiedendo una gestione automatizzata e sicura delle identità delle macchine e dei segreti. La pura proliferazione di identità umane e di macchine – da dipendenti e appaltatori a applicazioni, microservizi e dispositivi IoT – creò una rete complessa di punti di accesso. Questi sviluppi, uniti a un ecosistema di attori minacciosi sempre più sofisticati e motivati finanziariamente, significarono che proteggere solo gli account umani privilegiati non era più sufficiente. Era ora necessaria un'approccio completo, incentrato sull'identità, per proteggere tutte le identità – umane, non umane e di macchine – attraverso ambienti ibridi e multi-cloud. Questa prospettiva più ampia riconobbe che le credenziali e le identità, indipendentemente dal tipo, erano diventate il principale vettore di attacco per minacce persistenti avanzate e campagne di ransomware.
Fondamentale per questa trasformazione fu una serie di acquisizioni strategiche progettate per ampliare le offerte core di PAM di CyberArk e estendere la sua portata in domini di sicurezza critici e adiacenti. Nel 2017, l'acquisizione di Conjur portò capacità avanzate di gestione dei segreti specificamente adattate per ambienti DevOps. Questo affrontò un punto critico in cui gli sviluppatori spesso codificavano le credenziali o le memorizzavano in modo non sicuro, creando vulnerabilità significative nelle pipeline di integrazione continua/consegna continua (CI/CD). La tecnologia di Conjur consentì la gestione sicura e la rotazione delle credenziali, delle chiavi API e di altri segreti utilizzati da applicazioni, contenitori e microservizi in architetture cloud-native dinamiche, fornendo uno strato cruciale di protezione per le identità non umane. A questo seguì l'acquisizione di Vaultive nello stesso anno, che migliorò le capacità di CyberArk nella protezione dell'accesso privilegiato alle applicazioni e ai dati cloud. La tecnologia di Vaultive fornì uno strato sicuro per monitorare e controllare l'accesso privilegiato a applicazioni SaaS come Microsoft Office 365 e Salesforce, assicurando che i dati sensibili residenti nel cloud non fossero esposti attraverso account amministrativi compromessi. Queste integrazioni non erano semplicemente additive; rappresentavano uno sforzo consapevole per tessere un tessuto senza soluzione di continuità di sicurezza dell'identità attraverso l'intera impronta digitale di un'organizzazione, dai server on-premises all'infrastruttura cloud pubblica e alle applicazioni SaaS, dimostrando una lungimiranza nella realtà dell'impresa ibrida.
Il più significativo cambiamento strategico avvenne nel 2020 con l'acquisizione di Idaptive, un fornitore leader di soluzioni Identity as a Service (IDaaS). Questa acquisizione cruciale ampliò significativamente le capacità di CyberArk, portando autenticazione multi-fattore adattiva (MFA), accesso single sign-on (SSO) e gestione del ciclo di vita dell'identità nel portafoglio di CyberArk. Prima di questo, CyberArk si era concentrata principalmente su dopo l'accesso iniziale (cioè, gestire e proteggere le sessioni privilegiate). Idaptive estese la portata di CyberArk alla fase di accesso iniziale, consentendo alle organizzazioni di verificare l'identità al punto di ingresso e gestire l'intero ciclo di vita degli account utente, dalla creazione alla disattivazione. L'integrazione della tecnologia di Idaptive fu fondamentale per stabilire la CyberArk Identity Security Platform, un approccio unificato progettato per proteggere ogni identità attraverso l'intero spettro dell'IT aziendale. Questa piattaforma combinò PAM core, gestione dei segreti, sicurezza dei privilegi cloud e accesso adattivo, formando una strategia coesa dall'autenticazione iniziale all'applicazione di privilegi granulari. Questo approccio della piattaforma consentì alle organizzazioni di gestire e proteggere centralmente l'accesso per tutti gli utenti, siano essi dipendenti, appaltatori o clienti, semplificando così le operazioni di sicurezza mentre si rafforzava significativamente la difesa complessiva contro attacchi basati sull'identità. La mossa posizionò anche CyberArk più direttamente contro i fornitori tradizionali di Identity and Access Management (IAM), differenziandosi con la sua profonda esperienza nei privilegi.
Le sfide durante questo periodo di trasformazione includevano la navigazione nelle complessità dell'integrazione di tecnologie e culture aziendali diverse. La fusione di linee di prodotto disparate e team di ingegneria da Conjur, Vaultive e Idaptive richiese una pianificazione e un'esecuzione attente per garantire un'esperienza di piattaforma coesa per i clienti, evitando soluzioni isolate. Questo comportò la standardizzazione delle API, la consolidazione delle interfacce utente e l'assicurazione di un flusso di dati senza soluzione di continuità tra i componenti. Anche il panorama competitivo si intensificò significativamente. Sebbene CyberArk fosse stata a lungo un leader nel PAM, lo spazio più ampio della sicurezza dell'identità vide la concorrenza di fornitori di cybersecurity affermati come Microsoft, Okta e Ping Identity, che offrivano soluzioni complete di IAM e IDaaS, oltre a startup emergenti focalizzate su aree specifiche come l'identità cloud o la gestione dei segreti. CyberArk dovette continuamente innovare e articolare la sua proposta di valore unica, enfatizzando l'ampiezza e la profondità della sua piattaforma integrata e il suo focus differenziato sull'accesso privilegiato come pietra angolare della sicurezza dell'identità in un mercato sempre più affollato. Inoltre, il rapido ritmo di adozione del cloud e l'evoluzione continua degli ecosistemi dei fornitori di servizi cloud (ad es., AWS, Azure, GCP) presentarono sfide tecniche continue, richiedendo un costante adattamento delle sue soluzioni di sicurezza per supportare nuovi servizi, API e modelli di accesso per rimanere efficaci.
Internamente, l'azienda si adattò ristrutturando le sue unità organizzative per supportare l'ampliato portafoglio di prodotti e la strategia della piattaforma. Questo comportò un investimento significativo in talenti di ingegneria cloud, competenze di gestione del prodotto per nuovi domini di identità e abilitazione delle vendite per educare i clienti sui benefici di un approccio integrato alla sicurezza dell'identità oltre il solo PAM. Il numero globale di dipendenti dell'azienda crebbe costantemente durante questo periodo, passando da circa 1.000 dipendenti nel 2017 a oltre 2.000 entro il 2022, riflettendo l'ampliamento dell'ambito operativo e l'aumento degli investimenti in R&D e ruoli a contatto con i clienti. Secondo i rapporti finanziari pubblici, CyberArk mantenne un forte impegno nella ricerca e nello sviluppo durante questo periodo, allocando porzioni significative delle sue entrate per costruire organicamente nuove funzionalità e capacità all'interno della piattaforma, integrando anche tecnologie acquisite. Questa strategia duale di crescita organica e acquisizione strategica fu centrale per la sua trasformazione, consentendo a CyberArk di innovare dall'interno e acquisire rapidamente capacità mancanti per accelerare la sua visione della piattaforma. Ad esempio, le spese per R&D come percentuale delle entrate rimasero costantemente elevate, spesso nella fascia media-alta dei teenager, sottolineando questo impegno.
Periodi di incertezza economica, in particolare i rallentamenti globali e le interruzioni della catena di approvvigionamento vissute nei primi anni 2020, e i paesaggi normativi in evoluzione presentarono anche pressioni esterne. CyberArk continuò a dimostrare la sua resilienza allineando lo sviluppo dei suoi prodotti ai requisiti di conformità emergenti. Regolamenti come GDPR, CCPA e vari mandati specifici del settore (ad es., HIPAA, PCI DSS) enfatizzarono sempre più controlli rigorosi sull'accesso ai dati e sulla governance delle identità. La piattaforma ampliata di CyberArk fornì soluzioni che aiutarono le organizzazioni a navigare in complessi regolamenti sulla privacy e sulla sicurezza dei dati in tutto il mondo, offrendo maggiore visibilità, controllo e auditabilità su tutte le identità che accedono a dati sensibili. L'enfasi su audit robusti, monitoraggio delle sessioni privilegiate e applicazione delle politiche rimase un pilastro delle sue offerte, assicurando che i clienti potessero soddisfare i loro obblighi di governance anche mentre i loro ambienti IT diventavano più distribuiti e complessi. Le capacità della piattaforma consentirono alle organizzazioni di dimostrare responsabilità su chi accedeva a cosa, quando e perché, un requisito critico per i moderni framework di conformità.
Nei primi anni 2020, CyberArk aveva completato in gran parte la sua trasformazione da specialista PAM a leader riconosciuto nella sicurezza dell'identità completa. La CyberArk Identity Security Platform, supportata dalle sue capacità fondamentali di PAM e arricchita dalla governance delle identità, dalla gestione dei segreti per DevOps, dalla sicurezza dei privilegi cloud e dalle soluzioni di accesso adattivo, rappresentò una significativa evoluzione strategica. Questo spostamento strategico posizionò l'azienda per affrontare le pervasive minacce incentrate sull'identità dell'era moderna, che erano sempre più riconosciute come la causa principale di molte violazioni significative. Attraverso questa piattaforma integrata, CyberArk fornì alle organizzazioni gli strumenti per proteggere non solo i loro account amministrativi, ma ogni singola identità – umana o di macchina, privilegiata o non privilegiata – che interagisce con i loro sistemi e dati critici, preparandola per la prossima fase della sua duratura eredità nella salvaguardia dell'impresa digitale. Il mercato rispose positivamente, con l'azienda che riportava costantemente una forte crescita dei ricavi e ampliava significativamente il suo mercato indirizzabile totale oltre il suo originale nicchia PAM.