SentinelOne ha un approccio diverso sull'IA: non conta individuare le vulnerabilità ma capire quali potrebbero davvero essere sfruttate

La cybersecurity sta entrando in una fase in cui il problema non è più contare le vulnerabilità, ma capire quali siano effettivamente sfruttabili in un dato ambiente. È una distinzione che cambia la prospettiva sia degli attaccanti sia dei difensori, e ridefinisce il modo in cui i fornitori di sicurezza costruiscono le loro piattaforme. Su questo terreno SentinelOne, in un incontro con la stampa, ha presentato Wayfinder Frontier AI Services, la nuova offerta che integra modelli di IA di frontiera con il lavoro degli esperti di sicurezza offensiva e difensiva, con l'obiettivo di individuare in anticipo le vulnerabilità sfruttabili e suggerire le contromisure più rapide.

Il punto di partenza, ricordato in apertura da Paolo Cecchi, Area VP, Sales Director della Mediterranean Region di SentinelOne, è una doppia asimmetria. Da un lato l'IA permette agli aggressori di individuare bersagli e debolezze in pochi secondi, allargando lo spettro delle organizzazioni attaccabili. Dall'altro la moltiplicazione delle vulnerabilità non corrisponde linearmente alla loro effettiva sfruttabilità, perché molte sono già coperte da controlli runtime, altre non hanno percorsi praticabili in ambienti reali. In pratica, il valore non sta nel numero di scoperte ma nella capacità di classificarle per priorità rispetto al contesto reale del cliente. È esattamente il problema cui risponde il nuovo servizio.

Wayfinder Frontier AI Services e il valore della telemetria proprietaria

Il servizio si inserisce nel portfolio Wayfinder, accanto alle offerte di threat hunting e di managed detection and response, e introduce un livello di gestione proattiva delle vulnerabilità che non si esaurisce nel rilevamento. La cornice tecnologica di riferimento è la Singularity Platform, la piattaforma proprietaria di SentinelOne che integra protezione di endpoint, cloud e identità ed è la base operativa su cui si innesta tutta l'offerta dell'azienda.

Se l'individuazione viene accelerata da modelli di IA di frontiera affiancati dagli esperti SentinelOne, la classificazione per priorità si basa sull'effettiva sfruttabilità nel contesto del cliente. La mitigazione punta a interrompere la filiera dell'attacco nel punto in cui costa di più all'avversario, combinando modifiche architetturali, controlli di identità e l'attivazione delle contromisure della piattaforma Singularity, la suite di sicurezza proprietaria di SentinelOne.

Wayfinder Frontier AI Services si appoggia inizialmente a Claude Opus 4.7 di Anthropic nella declinazione Claude Security, ma la scelta più rilevante è di metodo: SentinelOne adotta un approccio multi-modello, in cui nessun modello è la risposta definitiva e l'orchestrazione delle informazioni resta validata dal giudizio umano. La forza del servizio non sta solo nel modello, ma nella telemetria proprietaria che SentinelOne raccoglie da decine di milioni di endpoint e workload cloud, arricchita dalle informazioni di SentinelLABS e di Google Threat Intelligence.

Proprio questo intreccio è alla base del riconoscimento appena ricevuto da Google Cloud, che ha proclamato SentinelOne Partner of the Year 2026 nella categoria Security: Google Threat Intelligence. Cecchi ha attribuito il premio a tre direttrici di lavoro, ovvero l'apertura della piattaforma su nuove region cloud di Google fuori dall'asse storico Stati Uniti-Europa, l'integrazione nativa di Google Threat Intelligence nei servizi Wayfinder (l'ex linea Vigilance ribattezzata e ampliata) e la crescita dei progetti congiunti sul marketplace di Google Cloud.

SOC a velocità di macchina e investigazione agentica

La cornice strategica delineata da Cecchi mette al centro un'altra asimmetria, perché i SOC continuano a operare a velocità umana mentre gli attacchi corrono a velocità di macchina. È in questo scenario che si colloca l'evoluzione agentica di Purple AI, illustrata da Marco Rottigni, Global Solutions Architect di SentinelOne. In un ambiente di laboratorio popolato da allarmi che simulavano un'infezione da Apollo ransomware, Rottigni ha mostrato la differenza tra una ricerca conversazionale tradizionale, ferma agli indicatori di compromissione noti, e l'avvio dell'Auto Investigation con un solo clic. Da quel momento entra in gioco un agente orchestratore, Asimov, che distribuisce il lavoro a una squadra di sotto-agenti specializzati: uno collega gli eventi correlati nella telemetria, un altro analizza l'utente coinvolto e i suoi privilegi nell'Active Directory, un terzo passa in rassegna l'asset inventory per cercare vulnerabilità e movimento laterale. In quattro o cinque minuti il sistema produce un rapporto strutturato, paragonabile al lavoro di un analista di primo livello.

Il senso, ha sottolineato Rottigni, non è sostituire l'analista ma fornirgli un semilavorato che altrimenti richiederebbe due o tre ore, lasciando alle persone le decisioni che richiedono giudizio. La logica è la stessa che guida l'integrazione con la threat intelligence di Google Mandiant, ovvero aggiungere contesto validato, non inferenze, per legare un evento a un attore o a una campagna.

Sul prezzo delle funzioni di Purple AI, SentinelOne ha cercato di evitare un punto critico ricorrente nei servizi agentici, quello del consumo a token che rende imprevedibile il costo. Le funzioni di IA generativa sono erogate con un modello ad "azioni", un volume mensile incluso nella sottoscrizione, proporzionale agli endpoint protetti, con pacchetti aggiuntivi acquistabili a parte. "Volevamo che il costo dell'uso della IA generativa specializzata fosse prevedibile, altrimenti per quanto bello sarebbe rimasto solo marketing", ha sintetizzato Rottigni. La funzionalità è in disponibilità generale per i clienti che hanno attivato l'add-on Purple AI SoC Analyst, mentre l'estensione della logica agentica a Hyperautomation, il motore di automazione delle risposte della piattaforma Singularity, è in anteprima e sarà rilasciata in disponibilità generale nelle prossime settimane.

Il quadro che SentinelOne propone ai responsabili della sicurezza è coerente, ovvero una piattaforma aperta che integra fonti terze, dai sistemi di protezione della posta come Mimecast e Proofpoint, alle piattaforme SASE come Zscaler e Netskope, fino agli ambienti cloud come AWS, modelli di IA di frontiera selezionati per ogni compito, esperti umani che validano gli output e un perimetro contrattuale che mantiene dati, telemetria e interazioni dentro la sottoscrizione del cliente. È la risposta che l'azienda offre al paradosso dell'identità degli agenti autonomi e all'esigenza, ormai operativa, di portare i SOC alla stessa velocità degli attacchi.