Cos'è un MDR (Managed Detection and Response)
Un MDR (Managed Detection and Response) è un servizio gestito che combina tecnologia di rilevamento (EDR/XDR, SIEM), threat intelligence e analisti umani che indagano e rispondono agli incidenti 24·7. A differenza di un semplice EDR, l'MDR non si limita a generare allarmi: li verifica, contiene l'attacco e chiude l'incidente, con persone che hanno il mandato di decidere.
Dalla prevenzione alla risposta: perché nasce l’MDR
Per anni la sicurezza si è concentrata sulla prevenzione: firewall, antivirus, poi EDR. Ma gli attaccanti entrano comunque, e la differenza tra un incidente gestito e una crisi non è se qualcuno suona l’allarme, è chi risponde quando suona. L’MDR (Managed Detection and Response) nasce per colmare questo vuoto: non un altro strumento che produce alert, ma un servizio che li verifica, indaga e contiene.
In termini operativi unisce tre cose che da sole non bastano: la tecnologia che rileva, l’intelligence che dà contesto a ciò che rileva, e gli analisti che decidono cosa fare. È l’unione delle tre a trasformare un segnale in un incidente chiuso. Gli indicatori che definiscono un MDR efficace, con i target operativi del presidio Fortgale:
- <15 minTTD mediano · dalla telemetria all'alert
- <30 minTTC mediano · dalla detection all'azione
- >90%rumore ridotto entro 30 giorni
- 24·7·365copertura continua · stesso fuso del cliente
Come lavora un MDR, passo per passo
Un MDR non è una scatola nera. Il valore sta nella catena che porta da un segnale grezzo a un incidente chiuso, con una decisione umana nel mezzo.
Ogni stadio conta, ma il punto di svolta è il terzo: la decisione. Un alert isolato non ferma nulla; è l’analista con il mandato di agire a trasformare la detection in contenimento.
Cosa include un MDR
Un servizio MDR completo unisce quattro componenti:
- Telemetria multidominio · endpoint, identità, cloud, rete e applicazioni, non solo l’endpoint. Più domini osservati, meno punti ciechi per l’attaccante.
- Detection mappata su MITRE ATT&CK · regole e analytics aggiornate sulle tecniche realmente usate dagli attori, non firme generiche.
- Threat intelligence · il contesto su chi attacca e come, applicato in tempo reale per dare priorità ai segnali che contano.
- Analisti con mandato di decidere · senior, con l’autorità di isolare un host o bloccare un account senza attendere autorizzazioni.
Il principio operativo. La tecnologia rileva, ma è la decisione umana a contenere. L'AI rimuove il rumore; gli analisti decidono. È questo, non lo strumento, a distinguere un MDR fatto bene.
Cosa fa un MDR quando scatta un alert
La differenza tra un EDR e un MDR si vede nel momento dell’allarme. Un EDR notifica; un MDR agisce. Le azioni di response tipiche, eseguite o guidate dagli analisti:
- Isolamento dell’host compromesso dalla rete, per fermare il movimento laterale.
- Disabilitazione dell’account o revoca delle sessioni quando l’identità è compromessa.
- Blocco di processi, hash e domini malevoli sull’intero parco.
- Remediation guidata · rimozione della persistenza, ripristino, indurimento dei punti sfruttati.
- Evidenze e report pronti per la notifica (CSIRT, NIS2) e per il post-incident.
Attenzione alla parola «response». Molti servizi la usano per indicare una semplice notifica via ticket. Verificate sempre se la response include il contenimento attivo o si ferma all'avviso: è la differenza tra subire l'incidente e chiuderlo.
EDR, MDR, XDR, MSSP: non sono sinonimi
Quattro sigle spesso confuse:
- EDR · la tecnologia di rilevamento e risposta sull’endpoint.
- XDR · estende la correlazione a più domini (identità, cloud, rete).
- MSSP · un fornitore gestito che, nella forma classica, monitora e inoltra gli alert.
- MDR · il servizio gestito che opera EDR o XDR, aggiunge intelligence e ci mette gli analisti che rispondono, non solo segnalano.
Per il confronto dettagliato tra le tecnologie vedi MDR vs EDR vs XDR.
Come riconoscere un buon MDR
Non tutti gli «MDR» sono uguali. Cinque segnali di qualità su cui non transigere:
- Response inclusa, non solo notifica. Il contenimento è parte del servizio, non un upsell.
- Analisti senior con autorità di decisione. Persone che agiscono, non solo smistano ticket.
- Intelligence proprietaria. Profilazione degli attori e TTP osservate sul campo, non solo feed rivenduti.
- Copertura 24·7·365 nello stesso fuso orario. Gli attacchi non aspettano l'orario d'ufficio né un fuso diverso.
- Approccio vendor-agnostic. Si integra su ciò che già usate, senza obbligarvi a sostituire la piattaforma.
MDR e conformità NIS2
Per i soggetti NIS2 un MDR non è solo difesa: è prova. Il monitoraggio continuo, la capacità di rilevare e contenere e la produzione di evidenze pronte per la notifica di incidente aiutano a dimostrare le misure di gestione del rischio richieste dalla direttiva. Un presidio che opera nello stesso fuso e sotto le stesse regole del cliente rende la conformità un sottoprodotto dell’operatività, non un esercizio a parte.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: è esattamente ciò che un MDR mette in pratica, ogni giorno.
EDR vs MDR vs SOC interno
| Dimensione | EDR (solo tecnologia) | MDR (servizio gestito) | SOC interno |
|---|---|---|---|
| Cosa fa | Rileva sull'endpoint, genera alert | Rileva su endpoint, identità, cloud, rete e risponde | Monitora con team proprio |
| Chi lo opera | Il vostro team | Analisti del provider 24·7 | Personale interno, turni H24 |
| Risposta | Manuale, a carico vostro | Inclusa, contenimento gestito | Interna |
| Costo | Licenza | Canone, ~30% di un SOC interno | Oltre 1 M€/anno |
| Tempo di avvio | Immediato | Settimane | Mesi/anni |
Nell'Operation Storming Tide il team Fortgale ha rilevato e contenuto un'intrusione multi-stadio (attore Mora_001): esfiltrazione e ransomware prevenuti dal contenimento. È la differenza tra un alert e un incidente chiuso.
Leggi l'analisi →Domande frequenti.
Qual è la differenza tra MDR ed EDR?
L'EDR è una tecnologia di rilevamento e risposta sull'endpoint. L'MDR è il servizio che opera quella tecnologia (e non solo: anche identità, cloud, rete), la correla con la threat intelligence e ci mette gli analisti che decidono. L'EDR genera alert; l'MDR li gestisce e chiude l'incidente.
MDR e MSSP sono la stessa cosa?
No. Un MSSP nella forma classica monitora e inoltra gli alert al cliente, che poi risponde. Un MDR risponde: gli analisti contengono l'attacco (isolamento host, blocco account, remediation guidata), non si limitano a segnalarlo. La parola chiave è response, non notifica.
MDR e SOC sono la stessa cosa?
No. Il SOC è la struttura che monitora; l'MDR è il servizio che, sul SOC, aggiunge detection intel-driven e soprattutto la response. Nel modello Fortgale SOC gestito e MDR sono lo stesso presidio italiano, senza handover tra fornitori.
Serve avere già un EDR per attivare un MDR?
No. Un buon MDR è vendor-agnostic: si integra sulla piattaforma che già usate, oppure ne fornisce una. Fortgale opera l'MDR su Microsoft Defender, CrowdStrike Falcon, SentinelOne e altre piattaforme leader, da una console unica.
Quanto costa un MDR rispetto a un SOC interno?
Un SOC interno H24 supera il milione di euro l'anno tra analisti, licenze e infrastruttura. Un MDR gestito costa in media una frazione di quel valore, con canone prevedibile e attivazione in settimane invece che anni.
Per chi è adatto un MDR?
Per organizzazioni che non possono o non vogliono costruire un SOC interno H24 ma hanno bisogno di rilevamento e risposta continui: PMI strutturate, medie e grandi aziende, soggetti NIS2 che devono dimostrare monitoraggio e capacità di notifica.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.
Risorse correlate: MDR vs EDR vs XDR · Cos'è un SOC · Perché l'MDR è più di un SOC · Attacco ransomware: cosa fare
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.