Sophos ha pubblicato i risultati ottenuti in 12 mesi di operatività dal proprio SOC agentico all’interno di Sophos MDR, in grado di rispondere alle minacce in appena 89 secondi. Una soluzione che attualmente protegge 40.000 clienti in tutto il mondo registrando una crescita del 39% rispetto all’anno precedente. I dati delineano concretamente come si presenta, su larga scala, un Security Operations Center (SOC) basato su AI agentica.
Perché Sophos ha ripensato il SOC
L’enorme crescita dei volumi di telemetria, la complessità degli ambienti IT moderni e il divario strutturale tra domanda di competenze cyber e disponibilità di specialisti hanno reso insufficienti i modelli SOC tradizionali. Parallelamente, gli attaccanti stanno già sfruttando l’intelligenza artificiale senza i vincoli legati a governance o procurement. Per questo Sophos ha ripensato il SOC: l’AI gestisce il carico operativo e gli analisti senior si concentrano sulle decisioni che richiedono esperienza e valutazione umana. Rendendo così accessibili capacità avanzate di risposta anche alle organizzazioni che non dispongono di un team interno dedicato.
Minacce neutralizzate prima che possano danneggiare l’azienda
Attraverso Sophos Central, primo sistema di difesa cyber AI-Native del settore, endpoint, firewall, identità, SIEM, rete, email, cloud, threat intelligence e MDR condividono un unico data lake contestuale, workflow integrati e capacità AI native. La piattaforma, aperta per progettazione, supporta oltre 350 integrazioni di terze parti. Oltre a offrire una delle coperture più complete per gli ambienti Microsoft. Per i clienti Sophos MDR il beneficio è immediato: minacce neutralizzate prima che possano impattare il business e un sistema di difesa capace di stare al passo con avversari che operano alla velocità dell’AI.
Una soluzione che va oltre il triage degli alert o il contenimento delle minacce
I dati raccolti negli ultimi dodici mesi fissano un nuovo benchmark per le operazioni di sicurezza gestite:
89 secondi dal momento della creazione del caso alla risposta completamente automatizzata. Il dato misura la velocità con cui il Sophos Central Defense System interviene sui casi che l’AI è autorizzata a gestire autonomamente. Traducendosi in una risposta più rapida e in maggiore resilienza contro attacchi che si muovono alla velocità delle macchine.
52% dei casi MDR chiusi end-to-end dall’AI, senza necessità di intervento umano, entro parametri continuamente supervisionati e calibrati dagli analisti. La metrica evidenzia il reale volume operativo gestito in autonomia dall’AI, andando ben oltre il semplice triage degli alert o il contenimento delle minacce.
40.000 clienti operano già sul modello agentico. Tutte le organizzazioni che utilizzano Sophos MDR, indipendentemente da dimensioni o settore, beneficiano dello stesso modello operativo. Con un patrimonio informativo che cresce e si rafforza a ogni nuova minaccia affrontata.
Il SOC agentico che rappresenta un nuovo modello operativo per la sicurezza gestita
Dietro ogni caso gestito da Sophos MDR opera un Defense System in grado di elaborare ogni giorno decine di milioni di rilevamenti, eliminare il rumore di fondo, correlare i segnali. Oltre a portare all’attenzione degli analisti solo gli eventi che richiedono realmente un intervento. Il risultato è una drastica riduzione del tempo utile agli attaccanti e una risposta mirata affidata alla risorsa più adatta, umana o automatizzata.
Raja Patel, President di Sophos l SOC agentico rappresenta il nuovo modello operativo per la sicurezza gestita, e Sophos sta definendo concretamente cosa significhi portarlo in produzione. Gestire il SOC più grande al mondo significa che ogni minaccia affrontata rafforza la protezione di tutti i clienti. Nessun altro vendor opera con la nostra estensione, dalle piccole imprese alle multinazionali con decine di migliaia di dipendenti, né è in grado di valorizzare l’intelligence generata a questa scala. Chi utilizza il Sophos Central Defense System beneficia dell’esperienza maturata sull’intera base clienti.
Nasce un nuovo paradigma che coniuga HOTL e HITL
Sophos adotta all’interno del proprio SOC agentico sia un modello human-on-the-loop (HOTL) sia human-in-the-loop (HITL). Il primo viene applicato alle attività ad alto volume e ben definite, dove la rapidità è essenziale. Il secondo invece interviene nei casi più critici, in cui contesto, impatto sul business o comportamenti inediti degli attaccanti richiedono il giudizio umano prima dell’azione. L’AI oggi assorbe gran parte delle attività che in passato occupavano gli analisti Tier 1 e buona parte dei Tier 2. Gli specialisti umani possono così dedicarsi ad attività a maggior valore aggiunto, come threat hunting, investigazioni avanzate, consulenza ai clienti e supervisione dei sistemi autonomi stessi.
Come cambia, in meglio, l’impegno degli analisti
Rob Harrison, SVP Product Management di Sophos Il 52% cattura l’attenzione, ma il restante 48% è altrettanto importante. Quando l’AI alleggerisce il carico operativo, gli analisti possono concentrarsi sui casi che richiedono esperienza e capacità di giudizio. Ad esempio attacchi inediti, decisioni ad alto impatto, situazioni in cui il contesto aziendale è determinante. Velocità dell’AI e giudizio umano sono due componenti dello stesso sistema operativo della sicurezza.
L’estensione del modello agentico all’intero portfolio Sophos
Durante il 2026 Sophos estenderà il modello operativo agentico all’intera offerta attraverso Sophos Central. Gli investimenti includono l’integrazione delle funzionalità XDR e Next-Gen SIEM in un unico context lake, l’espansione delle capacità Secure AI dedicate ai nuovi strumenti AI dei clienti. Inoltre il lancio di Sophos CISO Advantage, previsto per l’autunno 2026, offrirà supporto strategico in ambito sicurezza anche alle organizzazioni prive di una leadership cyber interna. Tutte queste funzionalità si basano sullo stesso modello agentico e sul Defense System già validato nel corso dell’ultimo anno con Sophos MDR.
