Risorse · Guida · MDR · 5 min di lettura

Perché l'EDR da solo non basta

In breve

L'EDR è una tecnologia eccellente sull'endpoint, ma ha due limiti strutturali: vede l'endpoint, non l'identità, il cloud e la rete dove oggi si gioca metà degli attacchi; e produce alert che qualcuno deve interpretare e gestire 24·7. L'EDR non è il problema: il problema è pensare che basti. Senza analisti che lo operano e senza copertura degli altri domini, resta una fonte di segnali non gestiti.

La tesi: avere l’EDR non vuol dire essere coperti

L’EDR ha alzato moltissimo l’asticella sull’endpoint, ed è giusto averlo. Ma «abbiamo l’EDR» non equivale a «siamo coperti». Due limiti restano sempre, e nessuno dei due dipende dalla qualità del prodotto: l’EDR vede un solo dominio, e produce segnali che qualcuno deve gestire. Il primo è un problema di copertura, il secondo di operatività. Entrambi spiegano perché un endpoint blindato convive con una violazione riuscita.

Limite 1: l’EDR vede l’endpoint, l’attacco è altrove

Per definizione l’EDR osserva ciò che accade sull’endpoint: processi, file, comportamenti del sistema. Ma una quota crescente degli attacchi moderni non passa mai dall’endpoint. Il threat actor non compromette una macchina: ruba una sessione, abusa di un token, si autentica come un utente legittimo. La mappa qui sotto mostra dove l’EDR vede e dove resta cieco.

COPERTURA · EDR vs SUPERFICIE REALE ENDPOINT EDR · coperto processi · file comportamenti malware su host IDENTITÀ punto cieco token theft · AiTM · OAuth CLOUD punto cieco BEC · API · SaaS RETE punto cieco lateral · C2 · esfiltrazione DISPOSITIVI NON GESTITI punto cieco IoT · OT · BYOD MDR correla tutti i domini + ITDR identità + telemetria cloud + detection di rete + analisti 24·7 incidenti chiusi
L'EDR copre solidamente l'endpoint. Identità, cloud, rete e dispositivi non gestiti restano scoperti: è lì che un MDR estende la visibilità e la correla.

I tre vettori che oggi aggirano più spesso l’endpoint:

  • Attacchi identity-based. Furto del token di sessione, abuso di OAuth Device Code Flow, attacchi AiTM (Adversary-in-the-Middle): l'attaccante cattura la sessione dopo l'autenticazione legittima e accede come l'utente, senza toccare la macchina.
  • Living-off-the-land. Abuso di strumenti legittimi del sistema (PowerShell, WMI, utility di amministrazione): genera telemetria che assomiglia ad attività normale e resta sotto la soglia di un EDR che lavora da solo.
  • Movimento su cloud e rete. BEC su mailbox cloud, abuso di API legittime, movimento laterale, canali C2 ed esfiltrazione: domini dove l'endpoint non guarda e dove serve telemetria dedicata.

L'endpoint non è più il campo di battaglia esclusivo. Quando il threat actor si autentica invece di sfondare, la difesa va spostata dove avviene l'azione: identità, cloud, rete. L'EDR resta necessario, ma da solo guarda un solo quadrante della mappa.

Limite 2: l’EDR produce alert, non decisioni

Anche restando sull’endpoint, l’EDR fa una cosa: genera segnali. Trasformare un segnale in un incidente chiuso richiede tre passaggi che lo strumento, da solo, non compie: qualcuno deve leggere l’alert, decidere se è reale, agire per contenerlo. E deve farlo 24·7·365, perché la maggior parte degli attacchi gravi matura fuori dall’orario d’ufficio.

  • <15 min
    TTD mediano · target del presidio Fortgale
  • <30 min
    TTC mediano · dalla detection all'azione
  • >90%
    rumore ridotto entro 30 giorni
  • 24·7·365
    copertura continua · stesso fuso del cliente

Senza un presidio H24, un alert reale alle 3 di notte resta in coda fino al mattino. Nel frattempo l’attaccante si muove. È il vuoto operativo che nessuna licenza copre: lo strumento c’è, ma non c’è chi lo opera quando serve.

Un EDR senza presidio è una falsa sicurezza. «Abbiamo l'EDR» rassicura, ma se non c'è un team che gestisce i suoi alert 24·7, gli alert si accumulano proprio quando servirebbe agire. Lo strumento non manca: manca l'operatività.

Cosa fornisce di unico l’MDR

L’MDR non sostituisce l’EDR: lo opera e ne estende la copertura. Mette gli analisti senior con mandato di decidere sopra la tecnologia che già avete, aggiunge la telemetria che l’endpoint non vede e correla tutti i domini in un’unica catena di detection e response. È la differenza tra avere lo strumento e avere la capacità.

L’approccio è vendor-agnostic: Fortgale opera l’MDR sulla piattaforma EDR/XDR che già usate (Microsoft Defender XDR, CrowdStrike, SentinelOne, Cortex/Palo Alto, Trend Micro, Elastic, Vectra AI, e altre), senza obbligarvi a sostituire lo stack. L’AI rimuove il rumore; gli analisti decidono.

Quando serve davvero (e quando basta meno)

Se disponete di un team interno H24 che opera l’EDR e di soluzioni dedicate per identità e rete, l’EDR è un tassello solido del vostro stack. Se quel presidio non c’è, l’EDR da solo è un rischio mascherato da soluzione: lì serve l’MDR. Per il quadro tecnico completo vedi cos’è un EDR e il confronto MDR vs EDR vs XDR.


Lo strumento rileva. L'analista decide. Conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo: ed è il secondo che l'EDR, da solo, non compie.

Confronto

EDR da solo vs MDR (EDR + identità/rete + analisti)

EDR da soloMDR
CoperturaEndpointEndpoint + identità + cloud + rete
Identità / sessioniPunto ciecoITDR, anomaly detection post-auth
Gestione alertA carico vostroAnalisti 24·7 che agiscono
EsitoSegnaliIncidenti chiusi
Prova field-observed · la tecnologia genera segnali, gli analisti chiudono

Nell'Operation Storming Tide i segnali tecnici c'erano: a fare la differenza è stato chi li ha interpretati e ha contenuto l'attacco. Un EDR senza analisti che agiscono 24·7 resta una sorgente di alert non gestiti.

Leggi l'analisi →
FAQ

Domande frequenti.

L'EDR non rileva tutto sull'endpoint?

Rileva molto, ma oggi molti attacchi non toccano l'endpoint: furto di sessione e token, abuso di OAuth, BEC via API legittime, movimento su identità e cloud. L'EDR lì è cieco; servono ITDR e detection di rete.

Allora l'EDR è inutile?

No, è una base necessaria. Il punto è non confonderlo con una capacità operativa completa: l'EDR è uno strumento, l'MDR è il servizio che lo opera 24·7 ed estende la copertura agli altri domini. Vedi anche MDR vs EDR vs XDR.

Cosa succede agli alert dell'EDR di notte?

Senza un presidio H24, restano in coda. La maggior parte degli attacchi gravi matura fuori orario: un alert non gestito alle 3 di notte non ferma nulla. È il gap che l'MDR colma.

Quando l'EDR può bastare?

Se avete un team di sicurezza H24 che lo opera e altre soluzioni per identità e rete, l'EDR è un tassello solido. Se quel team non c'è, l'EDR da solo è una falsa sicurezza.

L'EDR vede gli attacchi living-off-the-land?

In parte. Tecniche che abusano di strumenti legittimi del sistema (PowerShell, WMI, utility di amministrazione) generano telemetria, ma assomigliano ad attività normale: senza un analista che le correla con il contesto dell'attore, restano sotto la soglia. È la correlazione, non il singolo sensore, a smascherarle.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.

Risorse correlate: Cos'è un EDR · MDR vs EDR vs XDR · Cos'è un MDR

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.