Risorse · Guida · MDR · 3 min di lettura

Dall'MDR al MDIR: come evolve la detection & response

In breve

MDIR (Managed Detection and Incident Response) è un termine emergente che enfatizza la componente di incident response dentro l'MDR. Non è uno standard di settore consolidato: è terminologia in evoluzione. Il punto sostanziale non è la sigla, ma se il servizio si ferma all'alert o porta l'incidente fino alla chiusura, con analisti che hanno il mandato di decidere.

Perché spostare l’accento sulla response

La storia della detection & response è un progressivo spostamento del baricentro: prima si rilevava (EDR), poi si correlava (XDR), poi si gestiva con le persone (MDR). Il termine MDIR (Managed Detection and Incident Response) porta l’accento un passo oltre, sull’incident response come cuore del servizio. Non è una rivoluzione tecnologica: è il riconoscimento esplicito di ciò che, in un servizio fatto bene, conta davvero quando suona l’allarme.

  • 4 tappe
    EDR · XDR · MDR · MDIR
  • 1 baricentro
    si sposta: dal rilevare al rispondere
  • 0 standard
    MDIR è terminologia, non una norma
  • 3 domande
    quelle che contano oltre le sigle

La traiettoria: dal rilevare al rispondere

Ogni sigla ha spostato il fuoco un passo più vicino all’esito. L’EDR ha dato la visibilità sull’endpoint. L’XDR l’ha estesa a più domini. L’MDR ha aggiunto le persone che operano la tecnologia 24·7. L’MDIR mette in evidenza ciò che, in un MDR maturo, è già il punto: portare l’incidente fino alla chiusura.

EVOLUZIONE · IL BARICENTRO SI SPOSTA VERSO LA RESPONSE EDR rileva endpoint XDR correla multidominio MDR gestisce + analisti 24·7 MDIR risponde incident response DETECTION RESPONSE
La traiettoria della detection & response: ogni tappa avvicina il baricentro all'esito. L'MDIR è l'accento, non un nuovo standard.

Una sigla in evoluzione, non uno standard

Vale la pena essere espliciti: MDIR non è uno standard consolidato. È un’etichetta che alcuni vendor usano per enfatizzare la response, non una categoria di prodotto definita da un ente terzo come lo sono diventati nel tempo EDR e MDR. Non lasciate che la sigla guidi la scelta: un buon MDR include già la response gestita, e cambiargli nome non aggiunge capacità.

Diffidate del rebranding per acronimo. Una sigla nuova non equivale a una capacità nuova. Prima di scegliere, chiedete prove di response reale (un caso, un tempo di contenimento, una eradicazione documentata), non la lettera in più nell'acronimo.

Cosa conta davvero

Al di là dei nomi, le domande che contano sono sempre le stesse. Tre verifiche su cui un servizio si misura, qualunque sigla porti:

  • La response è inclusa, non solo notificata? Il contenimento attivo fa parte del servizio, o si ferma al ticket di avviso?
  • Gli analisti decidono o solo segnalano? Hanno il mandato di isolare un host e bloccare un account, o devono attendere il vostro via?
  • La capacità di contenimento e forense è dimostrabile? Esiste un caso reale, con tempi e azioni, o solo una promessa nella brochure?

È su queste risposte che si valuta un servizio, non sull’acronimo. Approfondite: Cos’è un MDR e Incident Response, dove la response diventa l’evento maggiore.


Le sigle cambiano, la sostanza no: conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo. È la response, non l'acronimo, a fare la differenza.

Confronto

L'evoluzione del baricentro: dal rilevare al rispondere

TappaBaricentroOutput tipico
EDRRilevare sull'endpointAlert
XDRCorrelare su più dominiAlert correlati
MDRGestire detection e response 24·7Incidenti chiusi
MDIREnfatizzare l'incident responseResponse come baricentro esplicito
Prova field-observed · response reale

Nell'Operation Storming Tide ciò che ha fatto la differenza non è stata la detection ma la response: contenimento, eradicazione, esfiltrazione e ransomware prevenuti. È il baricentro che il termine MDIR vuole sottolineare.

Leggi l'analisi →
FAQ

Domande frequenti.

MDIR è uno standard riconosciuto?

No: è terminologia in evoluzione, non uno standard di settore come lo sono diventati EDR o MDR. Diversi vendor la usano per enfatizzare la response. Va valutata per la sostanza, non per la sigla.

Qual è la differenza tra MDR e MDIR?

Concettualmente l'MDIR sottolinea la fase di incident response dentro l'MDR. In pratica un MDR fatto bene include già la response gestita: la distinzione è più di accento che di sostanza.

Cosa devo guardare al di là delle sigle?

Tre cose: la response è inclusa o solo notificata? Gli analisti hanno autorità di decidere o solo di segnalare? La capacità forense e di contenimento è reale (con prove)? Le sigle cambiano, queste domande no.

Serve un servizio separato di incident response se ho già un MDR?

Dipende dal perimetro del vostro MDR. Se include contenimento, eradicazione e capacità forense (DFIR), la response è già dentro. Un servizio di incident response dedicato serve quando l'incidente supera la portata del presidio quotidiano: una crisi maggiore, un'indagine forense approfondita, il supporto legale e di notifica. MDR e IR non si escludono: il primo presidia ogni giorno, il secondo interviene sull'evento grave.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.

Risorse correlate: Cos'è un MDR · Digital forensics e DFIR · Incident Response

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.