In pochi giorni, il mercato della cybersecurity ha subito una scossa che difficilmente passerà inosservata agli analisti nei prossimi trimestri, con tre annunci distinti ma convergenti che hanno infatti ridisegnato il perimetro competitivo del settore.

Databricks si compra l’accesso alla sicurezza

Databricks, società nota per la sua piattaforma di data analytics cloud, ha annunciato Lakewatch, prodotto di sicurezza che sfrutta la capacità di Databricks di archiviare enormi quantità di dati. Lakewatch svolge le classiche attività di gestione delle informazioni e degli eventi di sicurezza (SIEM), come il rilevamento e l’analisi delle minacce, ma rispetto a prima lo fa con l’aiuto di agenti di intelligenza artificiale basati su Claude di Anthropic.

A sostenere il lancio di Lakewatch hanno contribuito due acquisizioni. La prima è quella di Antimatter, azienda fondata dal ricercatore di sicurezza Andrew Krioukov, che aveva sviluppato un “data control plane” per consentire alle imprese di distribuire agenti AI proteggendo i dati sensibili e che ora guida proprio il team Lakewatch.

AWS Databricks Crowdstrike

La seconda è quella di SiftD.ai, una startup giovanissima il cui prodotto (un notebook interattivo per la collaborazione tra persone e agenti) era stato lanciato appena a novembre. Il suo co-fondatore Steve Zhang è una figura di peso nel settore essendo stato chief scientist di Splunk per anni, dove ha creato il Search Processing Language, uno degli strumenti più usati nell’analisi dei log di sicurezza.

Entrambe le acquisizioni riguardano team piccoli (meno di 50 persone Antimatter, pochissimi SiftD) e Databricks ha confermato che tutti i dipendenti sono entrati in azienda, lasciando inoltre intendere che lo “shopping” non è finito: “Siamo sempre alla ricerca di ciò che viene dopo”, ha dichiarato un portavoce, sottolineando l’obiettivo dell’azienda di colmare i gap nelle esigenze dei clienti prima che il mercato li manifesti.

Amazon entra nella sicurezza con agenti che si auto-riparano

Amazon ha annunciato qualcosa di ancora più dirompente. L’AWS Security Agent (evoluzione del progetto interno noto come Project Metis) introduce un’architettura a agenti competitivi in cui sistemi Red-Team e Blue-Team si attaccano e difendono in modo autonomo, riducendo workflow manuali che richiedevano settimane a sole quattro ore. La funzionalità più significativa è quella di “self-healing”, grazie alla quale gli agenti AI eseguono penetration test on demand, generano patch per le vulnerabilità rilevate, le validano in sandbox e le preparano per il deployment, il tutto senza intervento umano.

La risposta del mercato è stata immediata. CrowdStrike ha perso oltre il 7% in una singola sessione e Palo Alto Networks ha accumulato un calo di circa il 29% dai massimi trimestrali. Il timore degli investitori è che Amazon stia di fatto “internalizzando” funzioni di sicurezza precedentemente delegate a vendor specializzati, rendendo potenzialmente ridondanti molti layer di protezione per le piccole e medie imprese che operano su AWS.

Il contesto che alimenta questa trasformazione è operativo. I tempi di breakout dei criminali informatici per spostarsi da una violazione iniziale ad altre parti della rete si sono ridotti a soli 27 secondi grazie all’AI e, a questa velocità, un Security Operations Center gestito da esseri umani non riesce strutturalmente a rispondere in tempo. Ecco perché l’automazione tramite agenti AI è ormai diventato un requisito operativo.

CrowdStrike risponde con l’ecosistema agentico

La risposta di CrowdStrike alla pressione non si è fatta attendere. L’azienda americana ha presentato Charlotte AI AgentWorks, una piattaforma no-code che, senza scrivere una riga di codice, consente a qualsiasi team di sicurezza di costruire, testare e distribuire agenti personalizzati direttamente nell’ecosistema Falcon. I modelli disponibili includono Claude, NVIDIA Nemotron e GPT, con integrazioni verso Amazon Bedrock e Amazon SageMaker. Una mossa che rivela la volontà di CrowdStrike di restare neutra rispetto ai provider di modelli, offrendo flessibilità che un singolo cloud difficilmente può garantire in ambienti multi-cloud.

Blog-AgentWorks

Al lancio hanno partecipato come partner Accenture, Deloitte, Kroll, Salesforce, Telefónica Tech, NVIDIA e OpenAI. L’idea è che system integrator e vendor di tecnologia possano costruire agenti verticali sulla piattaforma Falcon, aprendo un nuovo modello di business nell’ecosistema della sicurezza agentica. “Il futuro delle operazioni di sicurezza non consiste nel concetto di umani sostituiti da agenti virtuali, bensì in quello di umani amplificati da essi” ha dichiarato Daniel Bernard, Chief Business Officer di CrowdStrike.

Charlotte Agentic SOAR orchestra l’intero ecosistema, combinando la workforce agentica interna di CrowdStrike con gli agenti sviluppati tramite AgentWorks e quelli di terze parti, in un sistema coordinato con controlli di governance a livello di workflow.

La convergenza di questi eventi segnala che il modello del software di sicurezza per seat (alto margine, rinnovo annuale, specializzazione verticale) è sotto pressione da più direzioni contemporaneamente tra cloud hyperscaler che assorbono funzioni, startup agentiche che comprimono i costi di sviluppo e la velocità delle minacce che rende obsoleto qualsiasi approccio basato sull’intervento umano reattivo.

(Immagine in apertura: Shutterstock)