Perché l'MDR è più di un SOC: la response, non solo l'alert
Un SOC monitora e segnala; un MDR monitora, segnala e soprattutto risponde. Il delta non è semantico: è la differenza tra un alert che resta in coda e un incidente contenuto. L'MDR aggiunge al SOC la response gestita (isolamento, eradicazione, supporto al ripristino) e analisti con il mandato di decidere. Se il vostro presidio si ferma alla notifica, avete un SOC, non un MDR.
“Abbiamo un SOC” non significa “siamo protetti”
Per anni il SOC è stato il traguardo: una struttura che vede tutto, correla i log, suona l’allarme. Ma vedere non è fermare. Un SOC che rileva e poi delega a voi l’azione sposta sul cliente la parte più difficile della difesa: decidere e agire sull’alert, di notte, in fretta, bene. L’MDR (Managed Detection and Response) nasce esattamente da qui: è il SOC che non si ferma alla segnalazione, ma ci aggiunge il pezzo che chiude la partita, la response.
Il delta non è una sfumatura di marketing. È misurabile, e si vede nel momento in cui un alert diventa critico: il SOC lo passa a voi, l’MDR lo contiene. Tre numeri operativi del presidio Fortgale rendono concreto cosa cambia quando alla detection si aggiunge la response:
- <30 minTTC mediano · dalla detection all'azione
- ~11 mincontenimento mediano · dall'alert confermato
- 24·7·365SOC italiano · stesso fuso del cliente
Il costo del fermarsi all’alert
Un alert critico alle 3 di notte vale zero se resta in coda fino al mattino. La maggior parte degli incidenti gravi matura fuori orario, proprio quando un SOC senza response delega tutto al cliente: il weekend, la notte, la finestra in cui il team interno non c’è. Il costo del gap non è la detection mancata: è la reazione mancata. Tra l’alert che scatta e la mano che isola l’host scorre il tempo in cui un threat actor si muove lateralmente, eleva i privilegi, prepara l’esfiltrazione.
È un divario di esito, non di tecnologia. Lo si vede meglio confrontando la stessa catena d’attacco con e senza response: il punto di rottura è sempre lo stesso, il momento della decisione.
Cosa fornisce di unico l’MDR
Tolta la detection, che SOC e MDR hanno in comune, ciò che resta è il valore esclusivo dell’MDR: la catena che porta dall’alert confermato all’incidente chiuso, con una decisione umana nel mezzo.
- Response gestita · isolamento dell’host, eradicazione della persistenza, blocco dei canali C2, supporto al ripristino. Non un consiglio: un’azione eseguita o guidata.
- Analisti con mandato di decidere · senior, con l’autorità di isolare una macchina o bloccare un account senza attendere un’escalation che, di notte, non arriverebbe in tempo.
- Continuità detection→response · chi rileva è chi contiene. Niente handover verso un secondo fornitore mentre l’attacco corre.
- Esito misurato, non solo segnalato · il KPI non è quanti alert sono stati inviati, ma quanti incidenti sono stati chiusi e in quanto tempo.
Il delta in una frase. Un SOC misura quanto velocemente vede; un MDR misura quanto velocemente ferma. La detection è il prerequisito, la response è il risultato. Senza la seconda, la prima resta un allarme che suona nel vuoto.
Attenzione alla parola «response» nei contratti
Molti presidi si dichiarano MDR ma, alla prova dei fatti, la loro «response» si esaurisce in un ticket o in una telefonata. È la zona grigia in cui un SOC si traveste da MDR. Prima di firmare, verificate dove finisce davvero il servizio.
Domanda da fare al fornitore. «Quando scatta un alert critico alle 3 di notte, chi isola l'host: il vostro analista o il mio?». Se la risposta è «vi avvisiamo e attendete che agiate», state comprando un SOC con l'etichetta di un MDR.
Come distinguere un MDR vero da un SOC riverniciato
Cinque verifiche concrete prima di scegliere. Se anche una sola risposta è «no», il presidio si ferma alla detection.
- La response include il contenimento attivo. Isolamento, blocco account, eradicazione eseguiti o guidati, non solo notificati.
- Gli analisti hanno mandato di decidere. Agiscono sull'alert senza attendere un'autorizzazione che di notte non arriva.
- Detection e response sono lo stesso presidio. Chi rileva è chi contiene, senza handover tra fornitori a metà incidente.
- Copertura 24·7·365 nello stesso fuso orario. Gli incidenti gravi maturano fuori orario: il presidio dev'essere sveglio quando voi dormite.
- Il KPI dichiarato è il contenimento, non il volume di alert. Si misura in minuti dall'alert confermato, non in numero di segnalazioni inviate.
Quando serve davvero (e quando basta meno)
L’onestà impone di dirlo: l’MDR non è sempre la risposta. Se avete un team di sicurezza interno H24 in grado di agire sugli alert in autonomia, un SOC che lo alimenta può essere sufficiente: la response c’è, la mettete voi. Il problema nasce quando quel team non c’è, è part-time, copre solo l’orario d’ufficio, o si appoggia a un MSP generico che inoltra ticket. Lì l’alert senza response è un’illusione di sicurezza, e l’MDR è la scelta onesta.
Per la distinzione tecnica con le tecnologie sottostanti (EDR, XDR) vedi MDR vs EDR vs XDR; per il punto di partenza concettuale, cos’è un SOC e cos’è un MDR.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: ed è proprio la response, non l'alert, a separare un SOC da un MDR.
SOC tradizionale vs MDR
| SOC (detection) | MDR (detection + response) | |
|---|---|---|
| Output | Alert e notifica | Incidente chiuso |
| Sull'alert critico | Lo segnala a voi | Isola, eradica, contiene |
| Decisione | Resta a voi | Analisti con mandato di decidere |
| Esito | Dipende dalla vostra reazione | Contenimento mediano ~11 min |
Nell'Operation Storming Tide la tecnologia ha generato i segnali, ma a chiudere l'incidente (contenimento, esfiltrazione e ransomware prevenuti) è stata la response degli analisti Fortgale. È esattamente il delta tra un SOC che notifica e un MDR che agisce.
Leggi l'analisi →Domande frequenti.
Allora il SOC non basta?
Il SOC è necessario ma, da solo, delega a voi la parte più difficile: agire sull'alert, di notte, in fretta, bene. L'MDR colma quel gap aggiungendo la response gestita. Vedi cos'è un SOC e cos'è un MDR.
Qual è il delta concreto su tempi ed esiti?
Un SOC misura il tempo di rilevamento; un MDR misura anche il tempo di contenimento. Fortgale opera con contenimento mediano ~11 minuti dall'alert confermato: è l'esito, non solo la segnalazione.
Posso partire da un SOC e aggiungere la response dopo?
Sì, ma il punto è la continuità: nel modello Fortgale SOC e response sono lo stesso presidio, senza passaggi di consegne tra fornitori. Chi rileva è chi contiene.
Quando un SOC senza response può bastare?
Se avete un team interno H24 capace di agire sugli alert in autonomia, un SOC che alimenta quel team può bastare. Se quel team non c'è (o non è H24), l'alert senza response è un rischio: lì serve l'MDR.
Un MDR sostituisce il mio SOC interno?
Non necessariamente. L'MDR può essere il vostro presidio (modello full-managed) oppure affiancare un SOC interno coprendo i turni notturni, i weekend e la response sugli alert critici. La domanda giusta non è «SOC o MDR», ma «chi agisce sull'alert quando scatta».
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.
Risorse correlate: Cos'è un MDR · Cos'è un SOC · MDR vs EDR vs XDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.