Quanto velocemente intervenite?

Risposta operativa entro 30 minuti dalla chiamata, 24/7. Containment iniziale tipicamente nelle prime 1-4 ore in funzione del perimetro e del livello di accesso fornito al team. Per i clienti MDR Fortgale il containment è già parte del servizio attivo.

Dovete essere già clienti per chiamare?

No. L'Emergenza è aperta a chiunque abbia un incidente in corso, anche se non è cliente Fortgale. Operiamo su NDA + lettera di incarico in modalità d'urgenza, con tariffa retainer trasparente comunicata prima dell'intervento.

Aiutate con la notifica al CSIRT (NIS2)?

Sì. Affianchiamo il cliente nella preparazione della pre-notifica al CSIRT Italia entro 24 ore e della notifica completa entro 72 ore richieste dalla NIS2 (D.Lgs. 138/2024). Predisponiamo la timeline tecnica, gli IoC e l'analisi di impatto.

Cosa fate nei primi 60 minuti?

Triage in viva voce: scoping dell'incidente, identificazione dei sistemi compromessi, isolamento di rete dove possibile, raccolta evidenze volatili, definizione del piano di containment. Tutte le azioni vengono documentate per la successiva forense e per la notifica regolatoria.

Trattate anche ransomware con richiesta di riscatto?

Sì. Gestiamo il containment e la negoziazione tecnica (analisi della variante, valutazione decryption, recovery da backup). Non gestiamo il pagamento, che resta una decisione del cliente con il proprio team legale e l'eventuale assicurazione cyber. La nostra raccomandazione standard è non pagare, salvo casi specifici.

IR · Hotline operativa 24/7/365

Sei sotto attacco?

Chiama subito. Risposta operativa entro 30 minuti, containment iniziale entro 4 ore. I primi 60 minuti decidono la differenza tra un incidente contenuto e una crisi.

+39 02 3659 8955 disponibile ora · 24/7 Email IR info@fortgale.com

30 minRisposta operativa

1–4 hContainment iniziale

24 / 72 hNotifica CSIRT NIS2

365 ggAnche festivi e notti

Prima di chiamare · mentre arriviamo

Quello che fai nei primi 60 minuti cambia l'esito.

60 secondi per preparare le informazioni utili alla chiamata, poi otto azioni che preservano evidenze e limitano il danno mentre il team IR Fortgale è già in attivazione. Anche un solo punto eseguito correttamente cambia l'esito dell'incidente.

Prima di chiamare · 60 secondi Prepara queste informazioni

Quando hai notato l'anomalia (orario approssimativo)
Cosa hai visto (popup, alert EDR, mail sospetta, sistemi inaccessibili)
Quanti utenti / endpoint sono coinvolti
Se sei NIS2 essenziale, importante o fuori perimetro
Se hai una polizza cyber attiva
Chi è il referente decisionale raggiungibile

Non hai tutto? Chiama lo stesso. Ricostruiamo il quadro insieme.

Mentre arriviamo · 60 minuti Otto azioni da eseguire subito

Non spegnere

Non spegnere i sistemi compromessi: la memoria volatile (RAM) contiene evidenze chiave (chiavi di cifratura, processi attivi). Isolali dalla rete se possibile (cavo staccato o quarantena).

Chiama subito

Telefono in mano: parlare in viva voce con un analista accelera il triage di ore. Ogni minuto perso amplia la superficie compromessa.

Documenta

Scrivi orario di rilevamento, indicatori osservati (popup ransom note, mail sospetta, alert EDR), persone che hanno notato l'anomalia. Anche un foglio di carta va bene.

Non comunicare

Non avvisare via canali aziendali compromessi (Teams, email): l'attaccante può leggere. Crea un canale fuori-banda (telefono, WhatsApp del CISO, SMS).

Preserva i log

Disabilita l'auto-cancellazione dei log se possibile. EDR, firewall, AD, mail gateway: tutto serve. Non resettare password senza prima averli salvati.

Allerta legale

Coinvolgi subito ufficio legale e DPO. Se sei NIS2 essenziale o importante, l'orologio della pre-notifica al CSIRT (24 ore) è già partito.

Avvisa l'assicurazione

Se hai polizza cyber, attivala subito: alcune polizze richiedono di essere informate entro tempi stretti per coprire i costi di IR.

Cerchio chiuso

Chi sa cosa? Limita le informazioni a CISO, IT lead, Direzione, Legale. Niente comunicazioni esterne fino a quando il quadro non è chiaro.

Cosa facciamo · timeline

Da chiamata a recovery: 30 giorni.

Il modello operativo Fortgale segue lo standard NIST SP 800-61r2, integrato con i requisiti di notifica della NIS2 (D.Lgs. 138/2024) e con la nostra Cyber Threat Intelligence proprietaria sugli attori che colpiscono l'Italia.

0–4 ore

Containment

Isolamento dei sistemi compromessi, blocco delle credenziali sospette, taglio C2, kill chain dell'attaccante interrotto. Obiettivo: fermare l'emorragia.

4–24 ore

Triage forense

Ricostruzione del vettore iniziale, mappatura dei movimenti laterali, identificazione dei dati esfiltrati. Predisposizione della pre-notifica CSIRT (NIS2 · 24h).

1–7 giorni

Eradication

Rimozione delle backdoor, ricostruzione dei sistemi compromessi da fonti pulite, hardening del perimetro. Notifica completa al CSIRT entro 72 ore.

7–30 giorni

Recovery & lessons learned

Ripristino graduale dell'operatività, monitoraggio rinforzato, report finale per board e regulator, raccomandazioni di hardening permanente.

Form di emergenza · alternativa al telefono

Non puoi chiamare? Compila qui.

Il telefono è sempre il canale più veloce. Ma se non puoi chiamare in questo momento (riunione di crisi, infrastruttura compromessa, fuso orario), compila il form: un analista ti contatta entro 15 minuti sul recapito che indichi.

Non includere password, dump di log, o dati sensibili nel form: useremo un canale cifrato dopo il primo contatto.

Il modulo è connesso a un alert in SOC 24/7: arriva sui telefoni del team di guardia, non resta in coda.

NIS2 · D.Lgs. 138/2024

Obblighi di notifica · 24h pre-notifica · 72h notifica completa

Se sei soggetto essenziale o importante ai sensi della NIS2, hai obblighi stringenti di notifica al CSIRT Italia. Fortgale predispone il pacchetto di notifica tecnico (timeline, IoC, analisi di impatto) e affianca il referente NIS2 dell'azienda nei rapporti con ACN.

Panoramica NIS2 → Procedura di notifica → Guida CSIRT →

Anche fuori emergenza · presidio attivo

Costruisci il presidio prima dell'incidente.

Il containment in 11 minuti non è fortuna: è il risultato di un MDR intel-driven già attivo. Parla con i nostri analisti di un threat briefing sul tuo settore.