Perché l'EDR da solo non basta
L'EDR è una tecnologia eccellente sull'endpoint, ma ha due limiti strutturali: vede l'endpoint, non l'identità, il cloud e la rete dove oggi si gioca metà degli attacchi; e produce alert che qualcuno deve interpretare e gestire 24·7. L'EDR non è il problema: il problema è pensare che basti. Senza analisti che lo operano e senza copertura degli altri domini, resta una fonte di segnali non gestiti.
La tesi: avere l’EDR non vuol dire essere coperti
L’EDR ha alzato moltissimo l’asticella sull’endpoint, ed è giusto averlo. Ma «abbiamo l’EDR» non equivale a «siamo coperti». Due limiti restano sempre, e nessuno dei due dipende dalla qualità del prodotto: l’EDR vede un solo dominio, e produce segnali che qualcuno deve gestire. Il primo è un problema di copertura, il secondo di operatività. Entrambi spiegano perché un endpoint blindato convive con una violazione riuscita.
Limite 1: l’EDR vede l’endpoint, l’attacco è altrove
Per definizione l’EDR osserva ciò che accade sull’endpoint: processi, file, comportamenti del sistema. Ma una quota crescente degli attacchi moderni non passa mai dall’endpoint. Il threat actor non compromette una macchina: ruba una sessione, abusa di un token, si autentica come un utente legittimo. La mappa qui sotto mostra dove l’EDR vede e dove resta cieco.
I tre vettori che oggi aggirano più spesso l’endpoint:
- Attacchi identity-based. Furto del token di sessione, abuso di OAuth Device Code Flow, attacchi AiTM (Adversary-in-the-Middle): l'attaccante cattura la sessione dopo l'autenticazione legittima e accede come l'utente, senza toccare la macchina.
- Living-off-the-land. Abuso di strumenti legittimi del sistema (PowerShell, WMI, utility di amministrazione): genera telemetria che assomiglia ad attività normale e resta sotto la soglia di un EDR che lavora da solo.
- Movimento su cloud e rete. BEC su mailbox cloud, abuso di API legittime, movimento laterale, canali C2 ed esfiltrazione: domini dove l'endpoint non guarda e dove serve telemetria dedicata.
L'endpoint non è più il campo di battaglia esclusivo. Quando il threat actor si autentica invece di sfondare, la difesa va spostata dove avviene l'azione: identità, cloud, rete. L'EDR resta necessario, ma da solo guarda un solo quadrante della mappa.
Limite 2: l’EDR produce alert, non decisioni
Anche restando sull’endpoint, l’EDR fa una cosa: genera segnali. Trasformare un segnale in un incidente chiuso richiede tre passaggi che lo strumento, da solo, non compie: qualcuno deve leggere l’alert, decidere se è reale, agire per contenerlo. E deve farlo 24·7·365, perché la maggior parte degli attacchi gravi matura fuori dall’orario d’ufficio.
- <15 minTTD mediano · target del presidio Fortgale
- <30 minTTC mediano · dalla detection all'azione
- >90%rumore ridotto entro 30 giorni
- 24·7·365copertura continua · stesso fuso del cliente
Senza un presidio H24, un alert reale alle 3 di notte resta in coda fino al mattino. Nel frattempo l’attaccante si muove. È il vuoto operativo che nessuna licenza copre: lo strumento c’è, ma non c’è chi lo opera quando serve.
Un EDR senza presidio è una falsa sicurezza. «Abbiamo l'EDR» rassicura, ma se non c'è un team che gestisce i suoi alert 24·7, gli alert si accumulano proprio quando servirebbe agire. Lo strumento non manca: manca l'operatività.
Cosa fornisce di unico l’MDR
L’MDR non sostituisce l’EDR: lo opera e ne estende la copertura. Mette gli analisti senior con mandato di decidere sopra la tecnologia che già avete, aggiunge la telemetria che l’endpoint non vede e correla tutti i domini in un’unica catena di detection e response. È la differenza tra avere lo strumento e avere la capacità.
L’approccio è vendor-agnostic: Fortgale opera l’MDR sulla piattaforma EDR/XDR che già usate (Microsoft Defender XDR, CrowdStrike, SentinelOne, Cortex/Palo Alto, Trend Micro, Elastic, Vectra AI, e altre), senza obbligarvi a sostituire lo stack. L’AI rimuove il rumore; gli analisti decidono.
Quando serve davvero (e quando basta meno)
Se disponete di un team interno H24 che opera l’EDR e di soluzioni dedicate per identità e rete, l’EDR è un tassello solido del vostro stack. Se quel presidio non c’è, l’EDR da solo è un rischio mascherato da soluzione: lì serve l’MDR. Per il quadro tecnico completo vedi cos’è un EDR e il confronto MDR vs EDR vs XDR.
Lo strumento rileva. L'analista decide. Conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo: ed è il secondo che l'EDR, da solo, non compie.
EDR da solo vs MDR (EDR + identità/rete + analisti)
| EDR da solo | MDR | |
|---|---|---|
| Copertura | Endpoint | Endpoint + identità + cloud + rete |
| Identità / sessioni | Punto cieco | ITDR, anomaly detection post-auth |
| Gestione alert | A carico vostro | Analisti 24·7 che agiscono |
| Esito | Segnali | Incidenti chiusi |
Nell'Operation Storming Tide i segnali tecnici c'erano: a fare la differenza è stato chi li ha interpretati e ha contenuto l'attacco. Un EDR senza analisti che agiscono 24·7 resta una sorgente di alert non gestiti.
Leggi l'analisi →Domande frequenti.
L'EDR non rileva tutto sull'endpoint?
Rileva molto, ma oggi molti attacchi non toccano l'endpoint: furto di sessione e token, abuso di OAuth, BEC via API legittime, movimento su identità e cloud. L'EDR lì è cieco; servono ITDR e detection di rete.
Allora l'EDR è inutile?
No, è una base necessaria. Il punto è non confonderlo con una capacità operativa completa: l'EDR è uno strumento, l'MDR è il servizio che lo opera 24·7 ed estende la copertura agli altri domini. Vedi anche MDR vs EDR vs XDR.
Cosa succede agli alert dell'EDR di notte?
Senza un presidio H24, restano in coda. La maggior parte degli attacchi gravi matura fuori orario: un alert non gestito alle 3 di notte non ferma nulla. È il gap che l'MDR colma.
Quando l'EDR può bastare?
Se avete un team di sicurezza H24 che lo opera e altre soluzioni per identità e rete, l'EDR è un tassello solido. Se quel team non c'è, l'EDR da solo è una falsa sicurezza.
L'EDR vede gli attacchi living-off-the-land?
In parte. Tecniche che abusano di strumenti legittimi del sistema (PowerShell, WMI, utility di amministrazione) generano telemetria, ma assomigliano ad attività normale: senza un analista che le correla con il contesto dell'attore, restano sotto la soglia. È la correlazione, non il singolo sensore, a smascherarle.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.
Risorse correlate: Cos'è un EDR · MDR vs EDR vs XDR · Cos'è un MDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.