Databricks compra Panther Labs: ecco come cambia la partita della cybersecurity

Ecco tutto quello che c'è da sapere sulla storia delle due aziende, l'integrazione preesistente, le precedenti mosse di Databricks nel settore, le ragioni strategiche dell'affare e come questo rimodella la concorrenza nel mercato SIEM (Security Information and Event Management) e, più in generale, nella cybersecurity.

Le storie delle aziende

Panther Labs

Panther è stata fondata nel 2018 a San Francisco da Jack Naglieri, ex responsabile dell'ingegneria della sicurezza in Airbnb e Yahoo. Durante il periodo in Airbnb, Naglieri ha co-creato StreamAlert, un framework open-source e serverless per l'analisi dei dati di sicurezza in tempo reale, utilizzato in seguito da aziende come Netflix e Coinbase.

L'esperienza lo aveva convinto che le piattaforme SIEM tradizionali non fossero in grado di gestire dati su scala cloud. Decise quindi di costruire Panther come una piattaforma cloud-native, basata sul concetto di "detection-as-code", capace di ingerire e normalizzare log su scala di petabyte e permettere ai team di scrivere regole di detection in Python. La società ha raccolto un seed round da 4,5 milioni di dollari, un Serie A da 15 milioni nel 2020 e un Serie B da 120 milioni nel 2021, raggiungendo una valutazione di 1,4 miliardi.

Databricks

Databricks è una piattaforma di dati e AI valutata più recentemente 134 miliardi di dollari. Fondata nel 2013, ha commercializzato Apache Spark e ha poi sviluppato l'architettura lakehouse, che unisce la flessibilità del data lake all'affidabilità del data warehouse. In vista di un'IPO molto attesa, l'azienda ha iniziato a espandersi in modo aggressivo nella cybersecurity, posizionando la propria piattaforma come archivio centrale per la telemetria di sicurezza e come motore per la detection e risposta guidate dall'AI.

Un anno di costruzione nel settore cyber per Databricks

L'acquisizione di Panther è solo l'ultimo tassello di una spinta deliberata e ben finanziata nel mondo della sicurezza, che ha iniziato a prendere forma pubblicamente nel 2025.

Settembre 2025 – Data Intelligence for Cybersecurity e la partnership con Panther

A settembre 2025, Databricks ha lanciato "Data Intelligence for Cybersecurity", una piattaforma progettata per unificare dati di sicurezza, IT e business frammentati su un lakehouse aperto e per alimentare agenti AI per la rilevazione delle minacce. Panther è stata nominata partner di lancio e le aziende hanno annunciato congiuntamente un'anteprima privata di una piattaforma SOC AI che permetteva ai team di sicurezza di unificare i dati e automatizzare le indagini sugli alert direttamente sul Security Lakehouse di Databricks.

Marzo 2026 – Lancio di Lakewatch e acquisizioni di Antimatter e SiftD.ai

Il 24 marzo 2026, Databricks è entrata direttamente nel mercato SIEM con Lakewatch, uno "SIEM aperto e agente" che utilizza agenti AI basati su Claude di Anthropic per automatizzare detection, indagine e risposta. L'azienda ha descritto Lakewatch come un'alternativa agli SIEM tradizionali di Splunk e Microsoft Sentinel, promettendo di ridurre i costi fino all'80%.

Contemporaneamente, Databricks ha rivelato di aver acquisito due startup per sostenere Lakewatch: Antimatter, per l'autenticazione e autorizzazione sicura degli agenti AI, e SiftD.ai, che ha portato competenze di detection engineering da ex ingegneri di Splunk.

L'acquisizione di Panther: dettagli e logica strategica

Il 16 giugno 2026, Databricks ha annunciato di aver concordato l'acquisto di Panther Labs.

Termini dell'affare

• Prezzo di acquisto: Non comunicato pubblicamente.
• Valutazione di riferimento: Panther era stata valutata per l'ultima volta 1,4 miliardi di dollari nel suo Serie B del 2021.

Logica strategica
Databricks ha inquadrato l'accordo come un modo per "consolidare ulteriormente la categoria Security Lakehouse" e "offrire ciò che gli SIEM tradizionali non possono fare". L'annuncio ufficiale ha evidenziato diverse motivazioni:

• Aggiungere flussi di lavoro SOC agentivi: La piattaforma SOC AI di Panther classifica e indaga ogni allerta utilizzando sciami di agenti, riducendo la necessità di analisti umani.
• Estendere la detection nativa su Databricks: Panther già permetteva alle organizzazioni di eseguire rilevamenti in tempo reale, threat hunting e indagini direttamente sui dati archiviati in Databricks, senza spostarli, duplicarli o accettare vincoli proprietari.
• Oltre 100 integrazioni pronte all'uso: Panther fornisce connettori dati, detection-as-code e flussi di lavoro che si integrano immediatamente nell'ecosistema Databricks.
• Sostituire gli SIEM tradizionali: Databricks posiziona esplicitamente l'offerta combinata come un rimpiazzo per le piattaforme SIEM tradizionali, rendendo operativa la detection e risposta agentiva su un security lakehouse unificato.

Il sito web stesso di Panther conferma che la piattaforma opera all'interno dell'account AWS del cliente, contro il suo ambiente Snowflake o Databricks, mantenendo i dati di sicurezza nel warehouse mentre il motore di detection, i flussi di lavoro e gli agenti operano sul posto.

Implicazioni competitive

Databricks sta ora contendendo direttamente un mercato storicamente dominato da due grandi categorie di incumbent: le piattaforme incentrate sugli endpoint come CrowdStrike e gli SIEM di analisi dati come Splunk di Cisco.

Contro CrowdStrike
Diversi report inquadrano CrowdStrike come il principale concorrente che Databricks punta a sfidare. La forza di CrowdStrike risiede nella sua eredità di Endpoint Detection and Response (EDR) e nell'agente leggero della piattaforma Falcon. La contro-argomentazione di Databricks è di tipo architetturale: invece di instradare la telemetria di sicurezza attraverso un cloud di terze parti, Databricks permette alle organizzazioni di eseguire rilevamenti e indagini guidate dall'AI direttamente sul data lake che già possiedono e governano. Panther rafforza questa narrazione fornendo il livello SOC AI capace di automatizzare classificazione e indagine in modo nativo su Databricks.

Contro Splunk
Splunk di Cisco è il punto di riferimento storico per SIEM e analisi di sicurezza. Il prodotto Lakewatch di Databricks e l'acquisizione di Panther rappresentano un tentativo di spostare il modello SIEM da un'architettura incentrata su appliance o indici a un'architettura lakehouse aperta. La proposta è che i clienti possano unificare dati di sicurezza, IT e business su un'unica piattaforma, applicare agenti AI all'intero set di dati ed evitare la duplicazione dei dati, il sovraccarico infrastrutturale e il cosiddetto "vendor lock-in" tipico degli SIEM tradizionali.

La strategia di piattaforma più ampia
La sequenza cumulativa di acquisizioni – Antimatter, SiftD.ai e ora Panther – mostra che Databricks non sta solo aggiungendo funzionalità di sicurezza alla sua piattaforma dati. Sta assemblando uno stack di sicurezza completo che copre l'ingestione dei dati, l'analisi delle minacce, l'autenticazione degli agenti e l'automazione del SOC basata su AI. I clienti esistenti di Panther, che secondo Databricks includono Anthropic e altre aziende AI-native, danno a Databricks una credibilità immediata nella difesa degli ambienti più esigenti.

Domande aperte

Diversi dettagli importanti rimangono poco chiari dalle fonti disponibili: il prezzo di acquisto esatto e la struttura dell'accordo; se Panther rimarrà un prodotto autonomo o verrà fuso in Lakewatch; e la tempistica precisa di integrazione sul mercato. Inoltre, l'acquisizione di Datable da parte di Panther, riportata per l'ottobre 2025, non ha potuto essere confermata in modo indipendente dalle fonti fornite.