Databricks neemt het AI SOC-platform Panther over en bouwt zo aan een 'security lakehouse'. Voor teams die al op Databricks draaien klinkt dat handig, maar het verlegt ook de grens van je vendor lock-in.
Databricks heeft vandaag aangekondigd dat het Panther overneemt, een cloud-native platform voor het Security Operations Center (SOC) dat draait op AI. Het is de derde beveiligingsovername van Databricks op rij, na Antimatter en SiftD.ai, en het bedrijf zet er een duidelijk label op: het bouwt aan een security lakehouse. De boodschap aan data- en securityteams die al op Databricks draaien is simpel: houd je dreigingsdetectie op dezelfde plek als je data, in plaats van in een los SIEM ernaast.
De deal is een overeenkomst die nog langs de gebruikelijke afronding en toezichthouders moet; de financiele voorwaarden zijn niet bekendgemaakt. Panther haalde bij een financieringsronde in 2021 een waardering van 1,4 miljard dollar op, en Databricks zelf wordt inmiddels gewaardeerd op 134 miljard dollar. Dat geeft een idee van het gewicht waarmee Databricks de beveiligingsmarkt binnenstapt.
Wat Panther doet
Panther presenteert zich als vervanger van het klassieke SIEM, het systeem dat van oudsher beveiligingslogs verzamelt en alarmen genereert. De kern bestaat uit drie dingen: meer dan honderd kant-en-klare data-integraties (cloud-infrastructuur, identity providers, endpoints, netwerken en SaaS-applicaties), detection-as-code waarmee je detectieregels als programmeerbare code beheert, en agentic workflows die alarmen automatisch triëren, context verzamelen en een reactie voorstellen. Het bedrijf is opgericht door de maker van het open-source-project StreamAlert, oorspronkelijk gebouwd bij Airbnb.
De redenering die Databricks-CEO Ali Ghodsi eraan hangt: "Legacy SIEM was never designed for AI." Het idee is dat aanvallers met AI sneller kwetsbaarheden uitbuiten, terwijl traditionele alarm-afhandeling daar niet op gebouwd is. Panther-CEO Jack Naglieri spreekt over "sophisticated agents that scale detection, investigation, and response". In Databricks' eigen woorden gaat het om het verenigen van security-, IT- en bedrijfsdata in één governed platform voor AI-gedreven detectie en respons.
Een directe aanval op CrowdStrike en Splunk
Met deze stap zet Databricks zich nadrukkelijk tegenover gevestigde namen als CrowdStrike en Cisco's Splunk. Het argument is op zich sterk: een SOC verbruikt enorme hoeveelheden data, en het apart bewaren, doorzoeken en analyseren daarvan in een los SIEM is duur. Als die data toch al in je lakehouse staat, scheelt het schuiven met data en wachttijd bij onderzoek. Voor een securityteam dat nu tussen losse tools heen en weer klikt, is dat een reëel voordeel.
Dit past in een patroon dat Databricks deze week consequent neerzet. Twee dagen eerder kondigde het bedrijf Omnigent aan, een open laag die als centrale orkestratie boven al je AI-agenten draait. De rode draad: Databricks wil het platform zijn waar je data, je AI-agenten én nu je beveiliging samenkomen.
Wat betekent dit voor jou
Draai je al op Databricks, dan is dit gewoon goed nieuws om in de gaten te houden: minder losse systemen, één governance-laag, en detectie dicht op de data. Maar er zit een keerzijde aan die ik niet zou wegpoetsen. Hoe meer functies, data, agenten én beveiliging je bij één leverancier onderbrengt, hoe hoger de drempel wordt om er ooit weer weg te gaan. Databricks zelf noemt dat een platform, maar het is ook de nette term voor stickiness: de overstapkosten lopen op.
Dat is precies de afweging die ik bedrijven steeds vaker zie maken. Eén platform is overzichtelijk, tot het moment dat de prijs stijgt of je strategie verandert en je vastzit. Daarom is het verstandig om security-data en detectieregels in een vorm te houden die je kunt meenemen: broncode en data die je niet kunt exporteren zijn de kern van vendor lock-in, en detectieregels die leven in een dichtgetimmerd platform zijn precies dat. Detection-as-code helpt daarbij: regels die als code bestaan, zijn makkelijker te exporteren dan een dichtgetimmerd dashboard.
Voor de meeste Nederlandse organisaties verandert er morgen niets. Maar de richting is duidelijk: het dataplatform en het SOC schuiven in elkaar. Of je daar instapt is geen technische, maar een strategische keuze. De richting is duidelijk: het dataplatform en het SOC schuiven in elkaar. Of je daar instapt is geen technische, maar een strategische keuze die je het best maakt voordat de overstapkosten al zijn opgelopen.
