Partnership con Schwarz Digits e AWS, nuovi servizi gestiti, acquisizioni di Prompt Security e Observo.ai: SentinelOne ridisegna la piattaforma, prepara la difesa dell’AI ed efficienta la gestione dei log.
Autore: Redazione SecurityOpenLab
Nel 2025 il mercato italiano della cybersecurity ha continuato a crescere; per SentinelOne quello nostrano resta “strategico, con ancora molta domanda latente pronta ad attivarsi nel momento in cui si sblocca il contesto economico”. A dirlo è Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, che alla conferenza stampa milanese di chiusura anno sottolinea come il 2025 sia partito con molta incertezza, ma nella seconda parte si è assistito a un recupero importante, segno che le aziende italiane non possono più rimandare gli investimenti in cyber.
Nel confronto con gli altri mercati che segue, Cecchi spiega che “l’Italia ha tenuto meglio di altri, ma è frenata dal quadro macroeconomico e dalle decisioni di spesa che si spostano in avanti”. Le priorità, però, sono chiare: “il baricentro rimane l’endpoint e tutto ciò che riguarda la protezione delle identità; il cloud cresce, ma a un ritmo più lento rispetto agli Stati Uniti e al Nord Europa, perché molte realtà italiane stanno ancora consolidando il perimetro tradizionale prima di spostare i carichi critici”.
Detto questo, ci sono alcuni macro-temi che indicano la strada per i prossimi sviluppi del comparto cybersecurity, su cui SentinelOne è in avanzata fase di preparazione. Il primo tassello strategico che Cecchi porta alla platea è la partnership con Schwarz Digits, che è la divisione IT del gruppo tedesco Schwarz, fra i maggiori colossi mondiali della grande distribuzione con 175 miliardi di dollari di fatturato e 600 mila dipendenti. “Schwarz Digits è nata per erogare servizi alle aziende del gruppo; oggi propone un portfolio sempre più ampio anche verso l’esterno dopo aver acquisito, per esempio, XM Cyber e aver sviluppato StackIT, una piattaforma cloud basata su datacenter in Germania, pensata per l’Europa e pienamente conforme a GDPR e alle rigide normative tedesche”, ricorda Cecchi.
In questo contesto si inserisce l’accordo con SentinelOne: “Schwarz era già nostro cliente, ha riconosciuto il valore della piattaforma e ha deciso di costruire una partnership che ci permette di sviluppare e offrire i nostri servizi direttamente sull’infrastruttura StackIT” spiega Cecchi. Il risultato, sottolinea il manager, è che “siamo la prima azienda di cybersecurity americana in grado di erogare servizi SaaS su un cloud completamente europeo di tipo sovrano, per soddisfare l’esigenza di quei clienti che hanno esigenze specifiche di sovranità dei dati”. è uno sviluppo importante nell’ambito del quadro geopolitico: “il tema del sovereign cloud è uno dei più importanti in Europa; nei prossimi mesi l’attenzione a quali player possono ospitare servizi SaaS americani su infrastruttura totalmente europea sarà sempre più alta”. Per Cecchi, avere un’opzione europe-based per i servizi SaaS di SentinelOne diventa un elemento di rassicurazione e di differenziazione competitiva perché permette di rispondere alle incertezze e alle paure circa l’opportunità di spingersi verso il cloud pubblico.
Il secondo asse dell’intervento di Cecchi riguarda il consolidamento della collaborazione con AWS, finora soprattutto commerciale. “Chi ci conosce sa che AWS è per noi un canale di vendita: siamo presenti sul marketplace, che è uno dei nostri veicoli per erogare servizi ai clienti finali”, premette. A inizio novembre però la relazione è salita di livello: “la collaborazione è diventata anche tecnologica: alcune delle nostre soluzioni sono implementate nativamente all’interno dei servizi cloud AWS, così che i clienti che li adottano siano protetti fin da subito” spiega Cecchi.
L’impatto è soprattutto operativo: “prima un cliente adottava AWS e noi dovevamo intervenire a posteriori, proponendo la nostra tecnologia per proteggere quell’infrastruttura. Oggi, con un’integrazione nativa, il cliente può acquisire la soluzione AWS e, con lo stesso clic, attivare anche la protezione SentinelOne, semplificando enormemente il percorso di adozione”.
Cecchi tiene a precisare che questa evoluzione non indebolisce il canale, ma lo ridisegna. Cecchi infatti insiste sul fatto che “il successo di SentinelOne è legato alla collaborazione con i partner, che continua a essere centrale e supportata da investimenti crescenti”. In questa logica, l’integrazione con AWS apre nuove opportunità a system integrator e service provider, che possono costruire servizi gestiti su tecnologie già presenti nell’ecosistema cloud del cliente, così da accorciare i tempi di delivery e ridurre la complessità dei progetti.
Il terzo annuncio riguarda proprio i servizi gestiti, ed p centrale per il business dato che, come sottolinea Cecchi, “non siamo un’azienda che vende solo prodotto: quando il cliente ha esigenze specifiche, possiamo erogare noi stessi un servizio, oppure lavorare insieme al partner che affianca i nostri servizi professionali”, difendendo un modello in cui “i due approcci non si escludono, anzi, sono sinergici e la scelta resta al partner e al cliente finale”.
Storicamente SentinelOne offriva un servizio di Managed Detection and Response focalizzato sull’endpoint, alimentato dalla telemetria degli agent SentinelOne. “Visto che la piattaforma negli anni si è estesa, include un SIEM aperto capace di ingestione da terze parti e si è posizionata sempre più come XDR, ci è sembrato naturale far evolvere il servizio da MDR a Managed XDR”, racconta Cecchi. Nasce così Wayfinder, un Managed Extended Detection and Response che “non si limita ad analizzare e correlare i dati degli endpoint, ma mette a fattor comune segnali provenienti da email, SASE, CASB, firewall e altre tecnologie, per offrire un servizio a 360 gradi”.
Wayfinder integra anche la threat intelligence di Mandiant, grazie a una collaborazione con Google Cloud che consente di arricchire gli Indicatori di Compromissione proprietari con quelli dei laboratori Google/Mandiant. “In questo modo aumentiamo la capacità di detection e la profondità delle investigazioni con un patrimonio informativo che nessuna organizzazione potrebbe gestire da sola”, sottolinea Cecchi. All’interno di Wayfinder, la componente Vigilance assume un ruolo specifico: “è il blocco dedicato all’incident response, che abbiamo separato come offerta per aiutare le organizzazioni meno attrezzate a gestire la fase di isolamento e risposta agli incidenti”.
Il quarto grande capitolo dell’incontro è l’intelligenza artificiale, che per Paolo Cecchi e Marco Rottigni, Global Solutions Architect di SentinelOne, è al tempo stesso strumento, superficie di attacco e nuovo dominio regolatorio. Cecchi sintetizza così il quadro generale: “nella corsa all’AI generativa ci si è dimenticati di proteggere questa nuova superficie d’attacco, sia dal punto di vista dell’utente interno, sia dal punto di vista dell’attaccante che può sfruttare prompt injection, jailbreak e altre tecniche per forzare i modelli. L’AI è una superficie di attacco che si aggiunge a endpoint, identità e cloud”.
Rottigni ricorda che esistono casi di ricerca accademica in cui, a poche ore dalla pubblicazione di una vulnerabilità sul catalogo MITRE, un modello generativo è riuscito a produrre una proof of concept di exploit funzionante. La capacità dei modelli di AI è cresciuta a livelli esponenziali e l’uso diffuso di LLM commerciali e open source moltiplica le superfici di esposizione. Da qui l’esigenza di passare dalla AI for security alla security for AI.
L’acquisizione di Prompt Security annunciata ad agosto 2025 va in questa direzione. Si tratta di una startup all’avanguardia nella protezione dei sistemi di intelligenza artificiale, progettata per intercettare l’uso dell’AI. Dal punto di vista architetturale, la soluzione può agire come estensione del browser, come agente sull’endpoint integrato con l’agente SentinelOne o come componente in un gateway LLM centralizzato attraverso cui passa il traffico verso i modelli. In tutti i casi la logica non cambia: SentinelOne intercetta le comunicazioni in andata e ritorno verso i sistemi di intelligenza artificiale, per fornire sia capacità di detection sia di enforcement, senza rovinare l’esperienza d’uso. La visione che ne deriva è quella di una sicurezza distribuita ma unificata: ogni dipendente può usare AI generativa o agentic AI secondo le proprie necessità, purché passi dallo stesso punto di ispezione in cui avvengono i controlli di Prompt Security. In questo modo il team di sicurezza riacquista visibilità su un fenomeno – lo shadow AI – che altrimenti resterebbe in gran parte sommerso, distribuito tra laptop, container, applicazioni SaaS e sperimentazioni locali.
L’altro elemento chiave è la neutralità rispetto ai vendor di AI. “Non ci interessa se il modello è ChatGPT, Gemini, Claude o un LLM custom addestrato in casa: l’importante è avere un meccanismo che osservi e controlli la conversazione”, spiega Rottigni. La stessa logica vale per gli agenti AI che orchestrano task complessi, interagendo con API interne e sistemi di produzione: “sono superfici di rischio perché un agente può concatenare azioni che nessun utente umano farebbe in quella sequenza, e se qualcosa va storto l’impatto si amplifica”. La chiusa di Rottigni è che “con Prompt Security aggiungiamo guardrail intelligenti che capiscono il comportamento dei modelli, mentre l’ecosistema SentinelOne fornisce visibilità e risposta automatizzata su endpoint, cloud, identità: insieme riusciamo a vedere, fermare, sanificare, educare e governare l’uso dell’AI in tempo reale”.
Se la security dell’AI e i servizi gestiti rappresentano i due pilastri più visibili del nuovo corso, la trasformazione della gestione dei log attraverso il Data Pipeline Management è probabilmente la svolta più strutturale. Il riferimento, neppure troppo velato, è al vecchio SIEM - o meglio alla sua evoluzione, che promette di diventare efficiente e utile grazie all’apporto dell’AI e a una serie di elementi analitici che SentinelOne ha messo insieme.
Il contesto generale di questa novità è la trasformazione digitale, che ha portato all’esplosione di dati generati da ogni azienda, tanto che, invece di essere utili, diventano fonte di costi e di problemi di sostenibilità operativa. Di qui la scelta di puntare su un approccio di Data Pipeline Management: un concetto non inedito, che ha come punto di forza la capacità di selezionare quali dati servono davvero alla sicurezza e isolarli così da poterli valorizzare e usare al meglio. SentinelOne ha acquisito questa skill con l’acquisizione di Observo.ai, una startup nata come spin‑off da Rubrik e specializzata proprio nella gestione intelligente dei flussi di dati di sicurezza. Rottigni la definisce “il tassello che mancava per completare la nostra visione”, perché aggiunge all’offerta SentinelOne un motore di Data Pipeline Management nativo SaaS che lavora nel mezzo fra chi produce il dato (firewall, appliance di rete, applicazioni cloud, infrastrutture on‑prem) e chi lo consuma, cioè la piattaforma Singularity e il SOC.
Sul piano pratico, la pipeline di Observo raccoglie i log in forma grezza, li analizza e li scompone in campi significativi, applica trasformazioni e arricchimenti (dai timestamp resi leggibili ai riferimenti DNS o ai metadati di contesto) e solo a quel punto li instrada nei canali d’uso richiesti. Un flusso ristretto e raffinato va a Singularity AI SIEM, dove ogni dato deve avere valore operativo; altri flussi finiscono in data lake o storage a basso costo, utili per audit, compliance o analisi di lungo periodo. In questo modo, osserva Rottigni, la scelta di avere un motore di tipo SIEM “resta valida” perché la selezione di dati include solo ciò che serve davvero per fare sicurezza.
L’integrazione di Observo.ai si lega anche alla visione di OneSentinel come layer unificante di dati e intelligence. Come spiegato da Cecchi e Rottigni, endpoint, XDR, AI security, data pipeline e Singularity AI SIEM non sono più da verdersi come silos separati, ma come parti di una stessa architettura: “la pipeline riduce e arricchisce il dato, Singularity AI SIEM e l’intelligenza artificiale lo rendono interrogabile e azionabile, i servizi gestiti come Wayfinder lo trasformano in decisioni operative H24, e le tecnologie per la difesa dell’AI aggiungono il controllo su una superficie che finora era rimasta scoperta”. Il tutto permettendo alle aziende di raccogliere grandi volumi di log senza “morire di SIEM”.