Dall'MDR al MDIR: come evolve la detection & response
MDIR (Managed Detection and Incident Response) è un termine emergente che enfatizza la componente di incident response dentro l'MDR. Non è uno standard di settore consolidato: è terminologia in evoluzione. Il punto sostanziale non è la sigla, ma se il servizio si ferma all'alert o porta l'incidente fino alla chiusura, con analisti che hanno il mandato di decidere.
Perché spostare l’accento sulla response
La storia della detection & response è un progressivo spostamento del baricentro: prima si rilevava (EDR), poi si correlava (XDR), poi si gestiva con le persone (MDR). Il termine MDIR (Managed Detection and Incident Response) porta l’accento un passo oltre, sull’incident response come cuore del servizio. Non è una rivoluzione tecnologica: è il riconoscimento esplicito di ciò che, in un servizio fatto bene, conta davvero quando suona l’allarme.
- 4 tappeEDR · XDR · MDR · MDIR
- 1 baricentrosi sposta: dal rilevare al rispondere
- 0 standardMDIR è terminologia, non una norma
- 3 domandequelle che contano oltre le sigle
La traiettoria: dal rilevare al rispondere
Ogni sigla ha spostato il fuoco un passo più vicino all’esito. L’EDR ha dato la visibilità sull’endpoint. L’XDR l’ha estesa a più domini. L’MDR ha aggiunto le persone che operano la tecnologia 24·7. L’MDIR mette in evidenza ciò che, in un MDR maturo, è già il punto: portare l’incidente fino alla chiusura.
Una sigla in evoluzione, non uno standard
Vale la pena essere espliciti: MDIR non è uno standard consolidato. È un’etichetta che alcuni vendor usano per enfatizzare la response, non una categoria di prodotto definita da un ente terzo come lo sono diventati nel tempo EDR e MDR. Non lasciate che la sigla guidi la scelta: un buon MDR include già la response gestita, e cambiargli nome non aggiunge capacità.
Diffidate del rebranding per acronimo. Una sigla nuova non equivale a una capacità nuova. Prima di scegliere, chiedete prove di response reale (un caso, un tempo di contenimento, una eradicazione documentata), non la lettera in più nell'acronimo.
Cosa conta davvero
Al di là dei nomi, le domande che contano sono sempre le stesse. Tre verifiche su cui un servizio si misura, qualunque sigla porti:
- La response è inclusa, non solo notificata? Il contenimento attivo fa parte del servizio, o si ferma al ticket di avviso?
- Gli analisti decidono o solo segnalano? Hanno il mandato di isolare un host e bloccare un account, o devono attendere il vostro via?
- La capacità di contenimento e forense è dimostrabile? Esiste un caso reale, con tempi e azioni, o solo una promessa nella brochure?
È su queste risposte che si valuta un servizio, non sull’acronimo. Approfondite: Cos’è un MDR e Incident Response, dove la response diventa l’evento maggiore.
Le sigle cambiano, la sostanza no: conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo. È la response, non l'acronimo, a fare la differenza.
L'evoluzione del baricentro: dal rilevare al rispondere
| Tappa | Baricentro | Output tipico |
|---|---|---|
| EDR | Rilevare sull'endpoint | Alert |
| XDR | Correlare su più domini | Alert correlati |
| MDR | Gestire detection e response 24·7 | Incidenti chiusi |
| MDIR | Enfatizzare l'incident response | Response come baricentro esplicito |
Nell'Operation Storming Tide ciò che ha fatto la differenza non è stata la detection ma la response: contenimento, eradicazione, esfiltrazione e ransomware prevenuti. È il baricentro che il termine MDIR vuole sottolineare.
Leggi l'analisi →Domande frequenti.
MDIR è uno standard riconosciuto?
No: è terminologia in evoluzione, non uno standard di settore come lo sono diventati EDR o MDR. Diversi vendor la usano per enfatizzare la response. Va valutata per la sostanza, non per la sigla.
Qual è la differenza tra MDR e MDIR?
Concettualmente l'MDIR sottolinea la fase di incident response dentro l'MDR. In pratica un MDR fatto bene include già la response gestita: la distinzione è più di accento che di sostanza.
Cosa devo guardare al di là delle sigle?
Tre cose: la response è inclusa o solo notificata? Gli analisti hanno autorità di decidere o solo di segnalare? La capacità forense e di contenimento è reale (con prove)? Le sigle cambiano, queste domande no.
Serve un servizio separato di incident response se ho già un MDR?
Dipende dal perimetro del vostro MDR. Se include contenimento, eradicazione e capacità forense (DFIR), la response è già dentro. Un servizio di incident response dedicato serve quando l'incidente supera la portata del presidio quotidiano: una crisi maggiore, un'indagine forense approfondita, il supporto legale e di notifica. MDR e IR non si escludono: il primo presidia ogni giorno, il secondo interviene sull'evento grave.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.
Risorse correlate: Cos'è un MDR · Digital forensics e DFIR · Incident Response
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.