Servizio · MDR · Intel-driven

Detection e response in minuti, non in settimane.

MDR intel-driven con SOC italiano 24·7·365. I TTP dei 180+ attori ostili contro l'Italia diventano detection prima che arrivino al cliente. Contenimento mediano ~11 min dall'alert confermato.

Richiedi il Report Come funziona
~11 minContenimento mediano
24·7·365SOC italiano
180+Attori profilati
Conformità
ISO/IEC 27001
NIS2 ready
DORA aligned
GDPR · ACN
SOC italiano
24·7·365
L2 / L3 in Italia
Mandato di decisione
EU data residency
Attivazione · 3 settimane dall'NDA al presidio

Come Fortgale attiva il presidio MDR.

Niente progetti infiniti, niente discovery di sei mesi. Cinque step verificati e ridotti al minimo viable per il vostro stack · 3 settimane dall'NDA al presidio completo. Il security monitoring è già attivo dalla Settimana 1 durante l'onboarding · il primo alert reale viene contenuto in ~11 min, con detection mappata MITRE ATT&CK contro le TTP dei 180+ attori profilati. Entro la Settimana 3: provisioning della Fortgale Console, federazione degli analisti L2/L3 sulle vostre piattaforme, SOC italiano operativo H24. Da quel momento in poi, threat briefing mensili, tabletop trimestrali e runbook vivi sulla vostra postura. La protezione non è un evento di go-live · è una proprietà che cresce dal giorno 1 dell'integrazione.

  1. Day 0
    01
    Discovery

    Primo incontro · NDA · mappatura stack & attori probabili

  2. Settimane 1-2
    02
    Onboarding

    Connettori telemetria · monitoring già attivo

    Monitoring live
  3. Settimana 3
    03
    Provisioning

    Tenant Fortgale Console · accesso CISO/IT

  4. Settimana 3
    04
    Federazione

    Analisti Fortgale sulle piattaforme cliente

  5. Settimana 3
    05
    Protezione completa

    SOC H24 · ~11 min contenimento · presidio italiano

Il problema · perché serve un MDR intel-driven

Le firme non bastano più, e non bastavano neanche prima.

Il 62% degli incidenti di fascia alta in Italia nel Q1 2026 ha sfruttato accessi validi (T1078) e phishing (T1566) — prima di qualsiasi rilevamento malware-based.

01 ·

Accessi validi

T1078 — credenziali rubate via vishing al helpdesk, MFA bypass con push-bombing. Nessun malware, nessuna firma: solo un operatore di troppo con le credenziali giuste.

02 ·

Zero-day

T1190 — exploit di file transfer, VPN, identity broker. Gli attori come Cl0p acquisiscono 0-day su market criminali e li sfruttano in campagne mirate prima che arrivino i CVE.

03 ·

Multidominio

Endpoint, identità, cloud, rete — il movimento laterale sposta il target prima che un SIEM mono-telemetria possa correlare. Serve correlazione AI multidominio, non alert silo.

Come funziona · architettura del servizio

Quattro blocchi, un unico ciclo.

Dal primo alert al contenimento, tutto sotto un unico interlocutore. Nessun handover tra vendor, nessuna traduzione, nessuna zona grigia.

01 ·

Ingestione multidominio

EDR · NDR · IDR · CDR — telemetria da endpoint, rete, identità e cloud, normalizzata in un'unica data fabric. Vendor-agnostic: si adatta allo stack che già avete.

02 ·

Tier-zero AI-native

Correlazione AI multidominio contro le TTP dei 180+ attori profilati dalla nostra CTI. Rumore ridotto del 94%, solo ciò che merita l'analista umano esce dal tier-zero.

03 ·

I nostri analisti L2/L3

SOC italiano, analisti con mandato di decidere. Triage, investigazione, attribuzione all'attore. Chi vi risponde parla la vostra lingua operativa — fuso orario e normativa incluse.

04 ·

Response & contenimento

Contenimento mediano ~11 min dall'alert confermato. Risposta remota assistita: kill processi, reset credenziali, network segmentation on-demand.

Proof · metriche del servizio

Quattro numeri che reggono l'MDR.

Metriche misurate sulla telemetria reale dei nostri clienti nel Q1 2026. Aggiornate trimestralmente.

~11 min
Contenimento mediano
dall'alert confermato
94 %
Rumore ridotto
dal tier-zero AI
14
Tattiche MITRE
ATT&CK coperte
180+
Attori ostili
profilati e bloccati
Per chi · due angolazioni

Stesso MDR, due angolazioni.

Il CISO decide sul rischio. Il responsabile IT decide sul runbook. MDR Fortgale produce evidenze per entrambi.

Per il CISO

Un runbook nominativo per attore, pronto prima dell'alert.

Ransomware non è una questione di "se" ma di "quando". Il CISO riceve ogni mese il profilo dei 3 attori più probabili contro il proprio settore, con il runbook Fortgale già mappato su ognuno.

  • Threat briefing mensileAttori, TTP osservate, campagne in corso sul vostro settore.
  • Runbook per attorePlaybook vivi mappati su MITRE, aggiornati con l'avversario.
  • Reporting board-readyRischio · impatto · decisione. Niente tecnologia da slide.
Richiedi il threat briefing →
Per il responsabile IT

Zero handover traduttore. Analisti italiani, decisione immediata.

Quando l'alert è reale, il tempo di decisione è il tempo di contenimento. I nostri analisti L2/L3 parlano italiano operativo, conoscono il vostro stack e hanno mandato di decidere.

  • Contenimento mediano ~11 minDall'alert confermato alla remediation in produzione.
  • Risposta remota assistitaKill processi, reset credenziali, network segmentation on-demand.
  • Integrazione con lo stack esistenteVendor-agnostic · si adatta allo stack che già avete in produzione.
Vedi un runbook reale →
Ricerca · alla base dei runbook MDR

I nostri runbook MDR nascono dalla ricerca diretta.

Quando un alert MDR è confermato, il runbook eseguito è già stato testato contro l'attore reale. Il team CTI profila gli avversari, analizza i sample, traccia le TTP: questa ricerca diventa azione operativa in produzione — non documentazione da scaffale.

Defence15 apr 2026

Phishing Kits Bypass MFA and Hijack companies's accounts in minutes

Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…

Leggi articolo →
Featured8 apr 2026

Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds

In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…

Leggi articolo →
Defence13 mar 2026

Operation Storming Tide: A massive multi-stage intrusion campaign

In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…

Leggi articolo →
Featured4 set 2024

Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365

UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…

Leggi articolo →
Featured18 dic 2023

Espionage activities targeting European businesses

In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…

Leggi articolo →
Featured6 dic 2023

Nebula Broker: offensive operations made in Italy

Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…

Leggi articolo →
Tutte le ricerche sul blog →
Parla con il presidio

Un incontro. Un NDA. Un runbook reale sul tuo stack.

Ti portiamo il Report sul tuo settore con gli attori più probabili e un runbook MDR reale mappato sul tuo stack tecnologico.

Tempo di risposta: < 1 giorno lavorativo.