L’evento globale di novembre, OneCon 2025, a Las Vegas, rappresenta per SentinelOne un punto di partenza per mettere a fuoco la strategia in uno scenario oramai pervaso dall’AI. Al centro c’è sempre il tema della protezione dei dati, la gestione in sicurezza dei volumi informativi generati dalla digitalizzazione e la capacità di governare infrastrutture ibride. Una vision che Paolo Cecchi, Sales director per la Mediterranean Region, e Marco Rottigni, Global Solutions architect di SentinelOne, ripercorrono alla luce degli annunci, individuando quali possibilità essi aprono per le imprese europee e italiane, e come SentinelOne indirizza la trasformazione dell’ecosistema di cybersecurity.
“Gli ultimi mesi sono stati caratterizzati da una forte accelerazione – esordisce Cecchi -. Sono arrivate in SentinelOne novità che riguardano partnership strategiche, integrazioni tecnologiche avanzate, ampliamento dell’offerta di servizi e acquisizioni rilevanti, tutte finalizzate a consolidare una piattaforma capace di gestire minacce che evolvono più rapidamente della capacità umana di analizzarle”. A partire da settembre, inoltre, SentinelOne ha ampliato il proprio raggio d’azione, entrando nel vivo di un percorso che unisce AI, data pipeline management, e servizi gestiti. E che è già visibile sul campo, a partire proprio dalle novità relative alle partnership, come quella con Schwarz Digits.
Con Schwarz Digits, per la sicurezza del cloud sovrano
Schwarz Digits è responsabile dell’infrastruttura IT del gruppo tedesco Schwarz, proprietario di marchi come Lidl e Kaufland. Come racconta Cecchi “la divisione IT del gruppo è diventata negli anni un polo tecnologico avanzato, responsabile anche di acquisizioni come quella di XM Cyber e della valorizzazione di Stackit”, l’infrastruttura cloud sviluppata dal gruppo per un cloud sovrano basato in Germania e interamente compliant al Gdpr, alle normative e alle certificazioni come Iso 27001 e C5.
L’accordo individua SentinelOne come vendor di cybersecurity scelto per erogare servizi di sicurezza su un cloud europeo e sovrano, fattore che risponde a un’esigenza stringente nel mercato continentale. Cecchi precisa infatti come l’esigenza di sovranità del dato stia diventando un tema chiave per il settore pubblico come per tutte le imprese soggette a vincoli normativi stringenti: “Oggi SentinelOne è quindi in grado di proporre le più recenti funzionalità di sicurezza sul cloud europeo e sovrano di Schwartz”, ad evidenziare la rilevanza dell’accordo, per clienti che devono garantire controlli rigidi sulla localizzazione dei dati e sulla gestione della telemetria. La partnership consente in concreto alle aziende di adottare le funzionalità avanzate della piattaforma SentinelOne Singularity, mantenendo al contempo pieno controllo su dati e processi. Per i responsabili della sicurezza significa poter rispondere alle normative senza sacrificare performance o visibilità.
Aws, dalla collaborazione commerciale all’integrazione nativa
Si rafforza inoltre la collaborazione con Amazon Web Services. In passato Aws costituiva principalmente un canale commerciale, con il suo marketplace attraverso cui i clienti potevano acquistare soluzioni SentinelOne. “La collaborazione con Aws – spiega Cecchi -, oggi non si ferma più soltanto all’aspetto ‘commerciale’, ma diventa una collaborazione tecnologica stretta“, perché “diverse soluzioni SentinelOne sono ora integrate nativamente negli ambienti e nei servizi cloud Aws”. Vale per Singularity Hyperautomation per Aws Security Incident Response, Purple AI per interrogare CloudTrail in linguaggio naturale, vale per la disponibilità su Aws Marketplace degli strumenti Prompt Security, pensati per proteggere workflow GenAI, prevenire l’esposizione di dati sensibili e bloccare rischi come prompt injection o shadow AI (ne parliamo più avanti). Cecchi vuole quindi sottolineare “come l’integrazione nativa consenta ai clienti di adottare contestualmente infrastruttura cloud e sicurezza AI-native, semplificando un processo che in precedenza prevedeva passaggi separati”. E per l’Italia, caratterizzata da un tessuto di realtà che stanno ancora in tanti casi abbracciando la scelta cloud, “questa evoluzione riduce la complessità di adozione e permette di introdurre meccanismi di risposta autonoma nella gestione degli incidenti”.
Evoluzione dei servizi gestiti, come cambia l’incident response
SentinelOne ha ridefinito anche il proprio modello di servizi gestiti. La suite Wayfinder, presentata ufficialmente alla OneCon 2025, integra la telemetria SentinelOne con le informazioni di Google Threat Intelligence, ampliando le capacità di detection, triage e correlazione. Cecchi spiega inoltre come l’azienda storicamente partner oriented, mantenga viva la disponibilità e la possibilità di erogare servizi diretti per quelle imprese multinazionali che necessitano di un supporto operativo globale. In questo contesto Wayfinder supera l’offerta Mdr precedente, ampliandola verso un modello di Extended Detection and Response che integra endpoint, workload cloud, identità, posta elettronica e soluzioni Sase o Casb. Con quattro nuovi moduli: Threat Hunting, Mdr Essentials, Mdr Elite e Incident Readiness & Response. Quest’ultimo risponde a una difficoltà ancora diffusa, perché “molte aziende non hanno maturato processi strutturati di incident response nonostante anni di esercitazioni tabletop e piani teorici”. E Wayfinder nasce proprio con l’obiettivo di colmare questo divario, comprendendo anche un supporto continuativo 24/7, correlazione avanzata delle minacce e capacità di orchestrazione basata sull’AI che riduce tempi e impatto degli incidenti.
Observo AI, il paradigma del Data Pipeline Management
Il punto però in cui la strategia SentinelOne sembra incontrare di più le difficoltà che i tecnici nei Siem incontrano davvero sul campo, si collega direttamente all’acquisizione di Observo AI, annunciata a settembre. Observo AI è proposto come una piattaforma di data streaming AI-native capace di normalizzare, filtrare, arricchire e indirizzare i dati prima che raggiungano Siem e data lake. L’impatto è evidente e lo evidenzia bene Rottigni: “Riduzione dei costi, qualità superiore del dato e capacità di reagire a minacce che viaggiano a velocità sempre più elevate”.
La proposta di Data Pipeline Management risponde concretamente a un problema strutturale: “l’aumento del 35% annuo dei dati generati dalle organizzazioni e l’impossibilità per i team di cybersecurity di filtrare autonomamente ciò che serve davvero”. Perché di fatto solo il 20% dei dati prodotti è rilevante per la sicurezza. L’80% restante è composto da informazioni utili per compliance o analytics, ma inutilizzabili per attività di threat hunting e detection. Rottigni approfondisce il tema con esempi concreti, definendo la pipeline dei dati come “luogo critico, in cui avviene la trasformazione primaria” e spiegando così perché l’eccesso di dati abbia di fatto “già mandato in crisi Siem tradizionali, storage e flussi operativi”. Molte aziende hanno “ribattezzato” i Siem in data lake o data platform, ma il problema resta la quantità di informazione ingestibile. E l’AI gioca un ruolo fondamentale: Observo AI è stata scelta proprio perché nativa nell’uso dell’intelligenza artificiale per il filtraggio, la classificazione e la correlazione in real time. L’integrazione con Singularity AI Siem consentirà quindi analisi pre-ingestion e l’utilizzo di workflow agentic, con dati arricchiti direttamente alla fonte, elemento che trasforma il modello stesso delle operazioni Soc.
Dall’analista assistito, all’analista “potenziato”
L’evoluzione dell’AI in SentinelOne non si limita al “trattamento dei dati”. Spostando di poco il punto di osservazione infatti è possibile capire come le funzionalità estese di Purple AI cambino concretamente il lavoro degli analisti. “Le nuove funzionalità includono indagini end-to-end automatizzate, generazione dinamica delle ipotesi, proposte di regole personalizzate e capacità di orchestrazione agentic tramite Singularity Hyperautomation – spiega ancora Rottigni – con Purple AI che sposta il paradigma dalla sicurezza assistita dall’AI alla sicurezza approvata dagli analisti, con workflow che riducono da ore a minuti i tempi di detection e risposta”. Purple AI, integrato nelle pipeline di dati di nuova generazione, può infatti ragionare sui problemi seguendo un percorso logico umano, orientare quando emergono nuove informazioni e proporre azioni di risposta coerenti. “Con il server Purple AI Mcp, open, in grado di estendere il valore della piattaforma alle applicazioni AI di terze parti, creando un ecosistema sicuro e personalizzabile”. Inoltre sono state presentate nuove soluzioni per la sicurezza stessa dell’AI, a valle dell’acquisizione di Prompt Security. Riguardano la protezione sia nella fase di utilizzo della GenAI da parte dei collaboratori, sia degli strumenti di codifica con la GenAI, così come la protezione delle soluzioni AI sviluppate ad hoc; mentre è in beta lo strumento per valutazione di rischi e governance per agent AI autonomi basati sul Model Context Protocol (Mcp).
Strategia e riflessi in Italia
SentinelOne sta costruendo una piattaforma di sicurezza “autonoma, aperta e guidata dai dati”. Cecchi e Rottigni evidenziano infatti come l’obiettivo sia quello di proporre “un’unica architettura che riduce complessità, accelera le indagini e mette l’AI al centro del lavoro dei Soc del futuro”. La sicurezza dell’AI e l’AI per la sicurezza diventano così due facce della stessa medaglia, con pipeline intelligenti, agenti autonomi, rilevamento adattivo e capacità di risposta a velocità macchina.
In un mercato come quello italiano, in cui le imprese devono conciliare requisiti normativi rigorosi, modernizzazione delle architetture e scarsità di competenze, la proposta SentinelOne appare orientata a risolvere alcuni dei problemi più sentiti dalle aziende: gestione dei dati, protezione della GenAI, orchestrazione, automazione e capacità di scalare in sicurezza. SentinelOne non punta quindi solo ad integrare i tasselli del proprio portfolio, ma di fatto vuole aiutare le organizzazioni a ridefinire la natura stessa delle “operations” di sicurezza. E quello che emerge dalle novità di OneCon 2025 è il segnale che il Soc del futuro non sarà più basato su reattività e analisi manuale, ma su una cooperazione evoluta tra AI e professionisti, “con pipeline ottimizzate e un controllo coerente lungo tutto il ciclo di vita del dato”.
Per quanto riguarda nello specifico la nostra region ed in particolare l’Italia, pur in un contesto di crescita, SentinelOne percepisce le difficoltà legate ad uno scenario macroeconomico complesso che, come racconta Paolo Cecchi, ha influenzato in modo diretto i progetti di trasformazione digitale e gli investimenti in cybersecurity. “La prima parte dell’anno l’andamento si è rivelato lento” – spiega Cecchi -. Anche per l’incertezza generata da fattori come il cambio di amministrazione negli Stati Uniti, i tassi d’interesse e le tensioni, elementi che hanno frenato decisioni e piani di spesa”. Con la relativa ‘stabilizzazione’ del quadro generale si è poi registrata una discreta ripresa, “non ancora sufficiente a colmare la lentezza iniziale”, ma significativa. L’azienda comunque mantiene “il tasso di crescita più alto tra le cybersecurity company quotate”, con performance solide anche nella region che comprende Italia, Spagna, Francia, Portogallo, Grecia, Cipro, Malta e Israele.
La dinamica italiana, in ogni caso, è risultata più lenta rispetto ad altri Paesi della stessa area, “anche rispetto alla Spagna per esempio, riflettendo l’andamento complessivo del Paese, dove la domanda di sicurezza rimane forte ma spesso condizionata dal contesto economico”. Sul fronte delle soluzioni più richieste, l’Italia mostra ancora una forte attenzione all’endpoint e al mondo Edr/Xdr, mentre nel resto del mondo stanno crescendo rapidamente i progetti e gli approcci alla cybersecurity cloud-native, e con l’AI, in particolare in Israele. “L’Europa resta più lenta degli Stati Uniti nelle dinamiche di approccio al cloud”, osserva infatti Cecchi, con un percorso ancora segnato da timori legati alla sovranità del dato e alla maturità dell’offerta locale.
La roadmap evolutiva di SentinelOne è a maggior ragione in sintonia con questi andamenti, perché “l’approccio olistico alla cybersecurity, governare superfici d’attacco sempre più frammentate e aumentare l’uso dell’intelligenza artificiale in tutta la piattaforma”, rappresentano elementi strategici anche in relazione agli economics. In particolare Rottigni evidenzia “la crescita di strategie shift-left – per spostare a monte il punto di osservazione – e della collaborazione tra developer e security, l’evoluzione della protezione cloud e l’accelerazione dell’AI agentica”, mentre Cecchi richiama la necessità comunque di “non abbandonare le basi”: detection solida, visibilità e capacità di identificare i comportamenti anomali.
È una roadmap, quella di SentinelOne che unisce quindi innovazione e consolidamento, con l’obiettivo di rispondere alle minacce che cambiano velocemente, ma seguono strategie che l’AI – che oggi a sua volta va protetta – rende solo più rapide e convenienti per gli attaccanti. Chiude Rottigni: “Sapere di non sapere abbastanza è ancora l’atteggiamento più sano da tenere per operare al meglio”.
© RIPRODUZIONE RISERVATA
