L’espansione di Databricks nel settore della cybersecurity prosegue a ritmo sostenuto. L’azienda californiana, conosciuta soprattutto per le proprie piattaforme dedicate all’analisi dei dati e all’intelligenza artificiale, ha annunciato l’acquisizione di Panther Labs, società specializzata nello sviluppo di tecnologie per il rilevamento e l’analisi delle minacce informatiche.

Le condizioni economiche dell’operazione non sono state rese pubbliche, ma il valore strategico dell’accordo appare evidente. Panther Labs era stata valutata circa 1,4 miliardi di dollari durante un round di finanziamento del 2021 che aveva coinvolto investitori di primo piano come Snowflake Ventures e Coatue, segnale della forte attenzione che il mercato nutriva già allora verso le sue soluzioni.

L’interesse di Databricks si inserisce in una fase storica in cui le aziende devono affrontare volumi sempre più elevati di dati relativi alla sicurezza. Ogni sistema informatico genera continuamente informazioni, registri di accesso, eventi e segnali che possono rivelare la presenza di attività sospette. Il problema è che raccogliere, conservare e analizzare l’intero flusso di telemetria può comportare costi enormi, inducendo molte organizzazioni a limitare la quantità di dati monitorati.

Proprio qui entra in gioco la tecnologia sviluppata da Panther. La piattaforma è stata progettata per filtrare automaticamente il rumore informativo, eliminando gli eventi poco rilevanti e concentrando le risorse sui dati che offrono il maggiore valore investigativo. Questo approccio consente alle aziende di acquisire una visione più completa delle minacce, senza incrementare in modo proporzionale i costi di archiviazione ed elaborazione.

Una volta raccolte le informazioni, il sistema le organizza in un formato ottimizzato per l’analisi e le sottopone a controlli automatici basati su regole di rilevamento personalizzabili. Queste regole, chiamate detection, rappresentano il cuore operativo della piattaforma e consentono di identificare specifiche tipologie di comportamento malevolo. Nelle grandi organizzazioni, il numero di detection può raggiungere facilmente diverse centinaia, rendendo complessa la loro gestione e manutenzione.

Per affrontare questa criticità, Panther ha integrato funzionalità di intelligenza artificiale che semplificano la creazione delle regole attraverso semplici istruzioni in linguaggio naturale. Gli analisti possono descrivere il tipo di minaccia che desiderano individuare e il sistema genera automaticamente il codice necessario. Quando una regola produce falsi allarmi, un secondo motore AI analizza il problema, individua le cause e propone modifiche per migliorarne la precisione.

Databricks Panther

La scelta di utilizzare Python come linguaggio principale per la definizione delle detection rappresenta un ulteriore vantaggio. Grazie alla sua diffusione e semplicità, gli sviluppatori possono adattare rapidamente le regole alle esigenze specifiche dell’organizzazione, riducendo tempi di implementazione e costi operativi.

Accanto a Python, Panther ha sviluppato anche un linguaggio proprietario chiamato PantherFlow, pensato per interrogare rapidamente grandi quantità di log e dati di sicurezza. In uno scenario di incidente informatico, gli amministratori possono utilizzare questo strumento per recuperare informazioni specifiche relative a un determinato intervallo temporale, accelerando le attività investigative e di risposta.

L’intelligenza artificiale svolge un ruolo importante anche nella fase di contestualizzazione delle minacce. Ogni rischio individuato viene infatti accompagnato da una descrizione in linguaggio naturale e arricchito con dati provenienti da fonti esterne di threat intelligence. Questo permette ai team di sicurezza di comprendere più rapidamente la gravità di un problema e di stabilire quali vulnerabilità richiedano un intervento prioritario perché già sfruttate attivamente dai criminali informatici.

Un elemento particolarmente interessante riguarda la capacità della piattaforma di operare direttamente all’interno dei moderni ambienti di analisi dati. Oltre alla versione completamente gestita, Panther offre infatti un’edizione progettata per funzionare su infrastrutture cloud come quelle di Databricks, consentendo alle aziende di analizzare i log senza doverli trasferire verso sistemi esterni.

L’acquisizione appare perfettamente allineata con la strategia che Databricks sta portando avanti nel settore cyber. Lo scorso marzo l’azienda aveva presentato Lakewatch, una soluzione dedicata alla raccolta e all’analisi centralizzata dei dati di sicurezza provenienti da molteplici fonti. L’integrazione delle tecnologie Panther dovrebbe ampliare significativamente le capacità della piattaforma, soprattutto nelle attività di rilevamento delle minacce e nella definizione automatizzata dei piani di risposta agli incidenti.

Secondo il cofondatore e CEO di Databricks, Ali Ghodsi, l’operazione consentirà di migliorare ulteriormente l’analisi dei dati di sicurezza e di accelerare l’automazione dei flussi di lavoro tipici dei Security Operations Center, i centri nevralgici che monitorano e gestiscono gli incidenti informatici all’interno delle grandi organizzazioni.

L’acquisizione di Panther rappresenta inoltre il terzo investimento strategico nel settore cybersecurity effettuato da Databricks dall’inizio dell’anno. In precedenza l’azienda aveva già incorporato Antimatter, specializzata nelle tecnologie di crittografia e protezione dei dati, e SiftD, focalizzata sull’automazione delle procedure di remediation dopo un attacco.