Il mercato della cybersecurity sta entrando in una nuova fase: dopo anni caratterizzati dalla proliferazione di strumenti specializzati, piattaforme separate e console difficili da integrare, la sfida per le aziende non è più soltanto aggiungere nuovi livelli di protezione, ma riuscire a trasformare la complessità in una capacità di difesa realmente efficace.
È questo il contesto nel quale Sophos presenta Sophos Fusion, definita dall’azienda come una nuova generazione di sistema di difesa cybersecurity “AI-native”, progettato per unire protezione endpoint, firewall, email security, cloud, identità, XDR, servizi MDR e automazione in un’unica architettura.
La nuova piattaforma arriva in un momento in cui il ransomware sta cambiando rapidamente volto. Secondo la settima edizione dello State of Ransomware 2026 di Sophos, basato su oltre 2.150 organizzazioni colpite da ransomware in 17 Paesi, il 79% degli attacchi prende ormai avvio da identità compromesse, mentre per la prima volta negli ultimi quattro anni lo sfruttamento delle vulnerabilità software non rappresenta più la principale causa tecnica degli incidenti, superato da email malevole (26%) e campagne di phishing (24%). Uno scenario che rende evidente come la protezione non possa più limitarsi ai singoli endpoint o ai firewall, ma debba correlare continuamente dati provenienti da identità, rete, cloud ed email.
Dal platform approach al defense system
Secondo Sophos, il problema dell’attuale approccio alla sicurezza nasce dalla frammentazione. Le organizzazioni gestiscono mediamente oltre 45 strumenti di sicurezza, spesso incapaci di condividere informazioni e correlare eventi in tempo reale. Un modello che, secondo il CEO di Sophos Joe Levy, non è più adeguato alla velocità con cui evolvono gli attacchi.
“Per circa 40 anni la cybersecurity è stata costruita un prodotto alla volta. Ogni nuova minaccia ha generato un nuovo strumento e spesso un nuovo vendor. Il risultato è che oggi abbiamo più prodotti, più dashboard e più dati, ma le violazioni continuano ad aumentare.”
Secondo Levy, il settore si trova davanti a un cambio di paradigma.
“Non abbiamo bisogno di un altro strumento da aggiungere a una pila già complessa. Abbiamo bisogno di un sistema nel quale ogni componente renda più forte ogni altro componente.”
Sophos Fusion nasce come evoluzione di Sophos Central, la piattaforma cloud utilizzata da oltre 625.000 organizzazioni nel mondo, e integra le tecnologie derivate dall’acquisizione di Secureworks, con l’obiettivo di combinare le capacità analitiche della piattaforma Taegis con la diffusione globale di Sophos Central.
“Non abbiamo acquisito Secureworks per aggiungere un altro prodotto al catalogo. L’obiettivo era unire due architetture leader e creare qualcosa di più grande della semplice somma delle parti”, ha spiegato Levy.
La differenza rispetto ai tradizionali approcci di piattaforma risiede nella capacità di operare come un unico sistema di difesa. Gli eventi raccolti dai diversi punti di controllo confluiscono in un data lake contestuale condiviso, permettendo correlazione automatica, investigazione e risposta coordinata tra endpoint, rete, identità, email e cloud.
“Una piattaforma tradizionale consolida l’acquisto. Un sistema consolida la difesa”, ha aggiunto Levy. “La sicurezza moderna richiede che endpoint, rete, identità, email e cloud possano ragionare e agire insieme.”
A rendere possibile questo approccio contribuisce anche la tecnologia Synchronized Security, che consente ai diversi componenti della piattaforma di reagire automaticamente in modo coordinato quando uno di essi individua una minaccia.
MDR, XDR e automazione: la risposta alla carenza di competenze
Uno degli elementi centrali di Sophos Fusion è l’evoluzione del servizio Sophos MDR, che oggi protegge oltre 40.000 clienti attraverso quello che l’azienda definisce il più grande Security Operations Center agentico al mondo.
Raja Patel, Chief Product Officer di Sophos, ha sottolineato come il nuovo approccio punti a combinare automazione e competenza umana.
“Un vero SOC agentico non significa eliminare le persone. Significa mettere gli analisti nelle condizioni di concentrarsi sulle decisioni dove serve giudizio umano, lasciando alle automazioni il lavoro ripetitivo e ad alta velocità.”
Secondo Sophos, il 52% degli incidenti viene oggi risolto interamente attraverso l’intelligenza artificiale, mentre il tempo medio che intercorre tra la generazione di un allarme e una risposta completamente automatizzata è di appena 89 secondi.
L’obiettivo è affrontare uno dei principali problemi del settore: la crescente distanza tra l’evoluzione delle minacce e la disponibilità di competenze specialistiche.
“La sicurezza informatica non è solo una questione di budget. Molte organizzazioni non hanno le risorse interne per definire una strategia, configurare correttamente i controlli e misurare il rischio”, ha osservato Levy.
Ransomware 2026: l’identità diventa il principale punto di ingresso
Durante il briefing Sophos ha anticipato i risultati dello State of Ransomware Report 2026, che fotografa un cambiamento profondo nelle modalità operative dei gruppi ransomware.
Il dato più rilevante riguarda il ruolo crescente dell’identità come vettore iniziale degli attacchi. Secondo Alexandra Rose, Director of Sophos Counter Threat Unit, quasi otto attacchi ransomware su dieci iniziano attraverso credenziali compromesse, phishing, email malevole o altri meccanismi che consentono agli aggressori di ottenere rapidamente accesso ai sistemi aziendali.
“Gli attaccanti non hanno bisogno necessariamente di sfruttare vulnerabilità sofisticate se riescono a ottenere le chiavi del regno, cioè credenziali valide con cui entrare e muoversi nell’ambiente.”
Il report mostra come il 67% delle organizzazioni colpite consideri il ransomware anche il più grave incidente di compromissione delle identità subito, confermando il ruolo ormai centrale dell’identity security nella difesa aziendale.
Il 56% degli attacchi ha portato alla cifratura dei dati, in crescita rispetto al 50% registrato nel 2025, mentre quando la cifratura avviene quasi una organizzazione su due (48%) sceglie di pagare il riscatto.
Un dato particolarmente significativo riguarda l’autenticazione multifattore. Nel 97% degli attacchi originati da credenziali compromesse era già presente almeno una forma di MFA, segnale che la sola autenticazione multifattore non è più sufficiente se non accompagnata da controlli continui sulle identità, monitoraggio comportamentale e strumenti di Identity Threat Detection and Response.
Un altro elemento evidenziato dal report riguarda il ruolo dei firewall. Secondo Sophos, i sistemi firewall hanno contribuito a individuare segnali di compromissione prima della cifratura dei dati in una parte significativa degli incidenti analizzati, ma la sola capacità di rilevazione non è sufficiente.
“Il punto fondamentale è che i segnali devono parlare tra loro. Un firewall può vedere un comportamento sospetto, un endpoint può rilevare un’anomalia e un sistema email può individuare un tentativo di phishing, ma solo mettendo insieme queste informazioni è possibile vedere l’intera catena dell’attacco”, ha sottolineato Rose.
È proprio questa correlazione tra endpoint, firewall, identità, email e cloud a rappresentare il principio architetturale sul quale è costruito Sophos Fusion.
Le prossime evoluzioni della piattaforma
Sophos ha inoltre annunciato che tra agosto e ottobre 2026 la piattaforma sarà ulteriormente ampliata con nuove funzionalità.
Tra queste figurano Sophos Next-Gen SIEM, che introduce un modello di licensing basato sul numero di utenti anziché sul volume dei log raccolti; Sophos AI Defense, progettata per proteggere gli strumenti di intelligenza artificiale adottati dalle aziende e gestire il fenomeno della shadow AI; Sophos CISO Advantage, pensata per offrire competenze di governance e valutazione del rischio anche alle organizzazioni prive di un Chief Information Security Officer, e una nuova generazione di Sophos XDR, ricostruita sulla piattaforma Secureworks Taegis, con migliaia di nuovi rilevatori e funzionalità SOAR integrate.
Una cybersecurity sempre più orientata alla velocità
La fotografia che emerge dal rapporto Sophos è quella di un panorama nel quale gli aggressori sfruttano sempre più rapidamente errori umani, identità digitali e strumenti disponibili pubblicamente.
Secondo Sophos, il futuro della sicurezza non sarà determinato dal numero di prodotti adottati, ma dalla capacità di collegare dati, automazione e competenze operative.
“Gli attacchi stanno diventando più veloci e attraversano più aree dell’infrastruttura contemporaneamente. Gli strumenti isolati vedono soltanto frammenti della storia”, ha concluso Alexandra Rose. “Un sistema integrato può invece vedere il quadro completo e reagire come un’unica difesa.”
Con Sophos Fusion, l’azienda punta così a introdurre una nuova categoria nel mercato della cybersecurity, quella del cybersecurity defense system, nella quale endpoint, firewall, identità, email, cloud, SIEM, XDR e servizi MDR non operano più come prodotti separati ma come componenti di un unico sistema di difesa coordinato. L’obiettivo è ridurre drasticamente il tempo che separa la compromissione dalla risposta, affrontando attacchi che, nell’era dell’intelligenza artificiale, si sviluppano ormai alla velocità delle macchine.


