Risorse · Confronto · MDR · 6 min di lettura

Perché l'MDR è più di un SOC: la response, non solo l'alert

In breve

Un SOC monitora e segnala; un MDR monitora, segnala e soprattutto risponde. Il delta non è semantico: è la differenza tra un alert che resta in coda e un incidente contenuto. L'MDR aggiunge al SOC la response gestita (isolamento, eradicazione, supporto al ripristino) e analisti con il mandato di decidere. Se il vostro presidio si ferma alla notifica, avete un SOC, non un MDR.

“Abbiamo un SOC” non significa “siamo protetti”

Per anni il SOC è stato il traguardo: una struttura che vede tutto, correla i log, suona l’allarme. Ma vedere non è fermare. Un SOC che rileva e poi delega a voi l’azione sposta sul cliente la parte più difficile della difesa: decidere e agire sull’alert, di notte, in fretta, bene. L’MDR (Managed Detection and Response) nasce esattamente da qui: è il SOC che non si ferma alla segnalazione, ma ci aggiunge il pezzo che chiude la partita, la response.

Il delta non è una sfumatura di marketing. È misurabile, e si vede nel momento in cui un alert diventa critico: il SOC lo passa a voi, l’MDR lo contiene. Tre numeri operativi del presidio Fortgale rendono concreto cosa cambia quando alla detection si aggiunge la response:

  • <30 min
    TTC mediano · dalla detection all'azione
  • ~11 min
    contenimento mediano · dall'alert confermato
  • 24·7·365
    SOC italiano · stesso fuso del cliente

Il costo del fermarsi all’alert

Un alert critico alle 3 di notte vale zero se resta in coda fino al mattino. La maggior parte degli incidenti gravi matura fuori orario, proprio quando un SOC senza response delega tutto al cliente: il weekend, la notte, la finestra in cui il team interno non c’è. Il costo del gap non è la detection mancata: è la reazione mancata. Tra l’alert che scatta e la mano che isola l’host scorre il tempo in cui un threat actor si muove lateralmente, eleva i privilegi, prepara l’esfiltrazione.

È un divario di esito, non di tecnologia. Lo si vede meglio confrontando la stessa catena d’attacco con e senza response: il punto di rottura è sempre lo stesso, il momento della decisione.

STESSO ATTACCO · DUE ESITI DETECTION alert critico TRIAGE confermato SOC · NOTIFICA aspetta che agiate MDR · RESPONSE isola · eradica decisione analista INCIDENTE CHIUSO ~11 min ESITO INCERTO dipende da voi
Stessa detection, due percorsi: il SOC notifica e attende, l'MDR decide e contiene. Il bivio è la response.

Cosa fornisce di unico l’MDR

Tolta la detection, che SOC e MDR hanno in comune, ciò che resta è il valore esclusivo dell’MDR: la catena che porta dall’alert confermato all’incidente chiuso, con una decisione umana nel mezzo.

  • Response gestita · isolamento dell’host, eradicazione della persistenza, blocco dei canali C2, supporto al ripristino. Non un consiglio: un’azione eseguita o guidata.
  • Analisti con mandato di decidere · senior, con l’autorità di isolare una macchina o bloccare un account senza attendere un’escalation che, di notte, non arriverebbe in tempo.
  • Continuità detection→response · chi rileva è chi contiene. Niente handover verso un secondo fornitore mentre l’attacco corre.
  • Esito misurato, non solo segnalato · il KPI non è quanti alert sono stati inviati, ma quanti incidenti sono stati chiusi e in quanto tempo.

Il delta in una frase. Un SOC misura quanto velocemente vede; un MDR misura quanto velocemente ferma. La detection è il prerequisito, la response è il risultato. Senza la seconda, la prima resta un allarme che suona nel vuoto.

Attenzione alla parola «response» nei contratti

Molti presidi si dichiarano MDR ma, alla prova dei fatti, la loro «response» si esaurisce in un ticket o in una telefonata. È la zona grigia in cui un SOC si traveste da MDR. Prima di firmare, verificate dove finisce davvero il servizio.

Domanda da fare al fornitore. «Quando scatta un alert critico alle 3 di notte, chi isola l'host: il vostro analista o il mio?». Se la risposta è «vi avvisiamo e attendete che agiate», state comprando un SOC con l'etichetta di un MDR.

Come distinguere un MDR vero da un SOC riverniciato

Cinque verifiche concrete prima di scegliere. Se anche una sola risposta è «no», il presidio si ferma alla detection.

  • La response include il contenimento attivo. Isolamento, blocco account, eradicazione eseguiti o guidati, non solo notificati.
  • Gli analisti hanno mandato di decidere. Agiscono sull'alert senza attendere un'autorizzazione che di notte non arriva.
  • Detection e response sono lo stesso presidio. Chi rileva è chi contiene, senza handover tra fornitori a metà incidente.
  • Copertura 24·7·365 nello stesso fuso orario. Gli incidenti gravi maturano fuori orario: il presidio dev'essere sveglio quando voi dormite.
  • Il KPI dichiarato è il contenimento, non il volume di alert. Si misura in minuti dall'alert confermato, non in numero di segnalazioni inviate.

Quando serve davvero (e quando basta meno)

L’onestà impone di dirlo: l’MDR non è sempre la risposta. Se avete un team di sicurezza interno H24 in grado di agire sugli alert in autonomia, un SOC che lo alimenta può essere sufficiente: la response c’è, la mettete voi. Il problema nasce quando quel team non c’è, è part-time, copre solo l’orario d’ufficio, o si appoggia a un MSP generico che inoltra ticket. Lì l’alert senza response è un’illusione di sicurezza, e l’MDR è la scelta onesta.

Per la distinzione tecnica con le tecnologie sottostanti (EDR, XDR) vedi MDR vs EDR vs XDR; per il punto di partenza concettuale, cos’è un SOC e cos’è un MDR.


Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: ed è proprio la response, non l'alert, a separare un SOC da un MDR.

Confronto

SOC tradizionale vs MDR

SOC (detection)MDR (detection + response)
OutputAlert e notificaIncidente chiuso
Sull'alert criticoLo segnala a voiIsola, eradica, contiene
DecisioneResta a voiAnalisti con mandato di decidere
EsitoDipende dalla vostra reazioneContenimento mediano ~11 min
Prova field-observed · la response chiude l'incidente

Nell'Operation Storming Tide la tecnologia ha generato i segnali, ma a chiudere l'incidente (contenimento, esfiltrazione e ransomware prevenuti) è stata la response degli analisti Fortgale. È esattamente il delta tra un SOC che notifica e un MDR che agisce.

Leggi l'analisi →
FAQ

Domande frequenti.

Allora il SOC non basta?

Il SOC è necessario ma, da solo, delega a voi la parte più difficile: agire sull'alert, di notte, in fretta, bene. L'MDR colma quel gap aggiungendo la response gestita. Vedi cos'è un SOC e cos'è un MDR.

Qual è il delta concreto su tempi ed esiti?

Un SOC misura il tempo di rilevamento; un MDR misura anche il tempo di contenimento. Fortgale opera con contenimento mediano ~11 minuti dall'alert confermato: è l'esito, non solo la segnalazione.

Posso partire da un SOC e aggiungere la response dopo?

Sì, ma il punto è la continuità: nel modello Fortgale SOC e response sono lo stesso presidio, senza passaggi di consegne tra fornitori. Chi rileva è chi contiene.

Quando un SOC senza response può bastare?

Se avete un team interno H24 capace di agire sugli alert in autonomia, un SOC che alimenta quel team può bastare. Se quel team non c'è (o non è H24), l'alert senza response è un rischio: lì serve l'MDR.

Un MDR sostituisce il mio SOC interno?

Non necessariamente. L'MDR può essere il vostro presidio (modello full-managed) oppure affiancare un SOC interno coprendo i turni notturni, i weekend e la response sugli alert critici. La domanda giusta non è «SOC o MDR», ma «chi agisce sull'alert quando scatta».

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.

Risorse correlate: Cos'è un MDR · Cos'è un SOC · MDR vs EDR vs XDR

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.