Servizio · MDR · Intel-driven

Managed Detection & Response in minuti, non in settimane.

MDR intel-driven con SOC italiano 24·7·365. I TTP dei 287 tool e attori ostili contro l'Italia diventano detection prima che arrivino al cliente. Contenimento mediano <30 min dall'alert confermato.

<30 minContenimento mediano
24·7·365SOC italiano
287Attori profilati
Conformità
ISO/IEC 27001
NIS2 ready
DORA aligned
GDPR · ACN
SOC italiano
24·7·365
L2 / L3 in Italia
Mandato di decisione
EU data residency
Attivazione · 3 settimane dall'NDA al presidio

Come Fortgale attiva il presidio MDR.

Niente progetti infiniti, niente discovery di sei mesi. Cinque step verificati e ridotti al minimo viable per il vostro stack · 3 settimane dall'NDA al presidio completo. Il security monitoring è già attivo dalla Settimana 1 durante l'onboarding · il primo alert reale viene contenuto in <30 min, con detection mappata MITRE ATT&CK contro le TTP dei 287 tool e attori profilati. Entro la Settimana 3: provisioning della Fortgale Console, federazione degli analisti L2/L3 sulle vostre piattaforme, SOC italiano operativo H24. Da quel momento in poi, threat briefing mensili, tabletop trimestrali e runbook vivi sulla vostra postura. La protezione non è un evento di go-live · è una proprietà che cresce dal giorno 1 dell'integrazione.

  1. Day 0
    01
    Discovery

    Primo incontro · NDA · mappatura stack & attori probabili

  2. Settimane 1-2
    02
    Onboarding

    Connettori telemetria · monitoring già attivo

    Monitoring live
  3. Settimana 3
    03
    Provisioning

    Tenant Fortgale Console · accesso CISO/IT

  4. Settimana 3
    04
    Federazione

    Analisti Fortgale sulle piattaforme cliente

  5. Settimana 3
    05
    Protezione completa

    SOC H24 · <30 min contenimento · presidio italiano

Il problema · perché serve un MDR intel-driven

Le firme non bastano più, e non bastavano neanche prima.

Il 62% degli incidenti di fascia alta in Italia nel Q1 2026 ha sfruttato accessi validi (T1078) e phishing (T1566), prima di qualsiasi rilevamento malware-based.

01 ·

Accessi validi

T1078, credenziali rubate via vishing al helpdesk, MFA bypass con push-bombing. Nessun malware, nessuna firma: solo un operatore di troppo con le credenziali giuste.

02 ·

Zero-day

T1190, exploit di file transfer, VPN, identity broker. Gli attori come Cl0p acquisiscono 0-day su market criminali e li sfruttano in campagne mirate prima che arrivino i CVE.

03 ·

Multidominio

Endpoint, identità, cloud, rete, il movimento laterale sposta il target prima che un SIEM mono-telemetria possa correlare. Serve correlazione AI multidominio, non alert silo.

Come funziona · architettura del servizio

Quattro blocchi, un unico ciclo.

Dal primo alert al contenimento, tutto sotto un unico interlocutore. Nessun handover tra vendor, nessuna traduzione, nessuna zona grigia.

01 ·

Ingestione multidominio

EDR · NDR · IDR · CDR, telemetria da endpoint, rete, identità e cloud, normalizzata in un'unica data fabric. Vendor-agnostic: si adatta allo stack che già avete.

02 ·

Tier-zero AI-native

Correlazione AI multidominio contro le TTP dei 287 tool e attori profilati dalla nostra Cyber Threat Intelligence. Rumore ridotto di oltre il 90%, solo ciò che merita l'analista umano esce dal tier-zero.

03 ·

I nostri analisti L2/L3

SOC italiano, analisti con mandato di decidere. Triage, investigazione, attribuzione all'attore. Chi vi risponde parla la vostra lingua operativa, fuso orario e normativa incluse.

04 ·

Response & contenimento

Contenimento mediano <30 min dall'alert confermato. Risposta remota assistita: kill processi, reset credenziali, network segmentation on-demand. Per gli incidenti critici, escalation al team Incident Response.

Proof · metriche del servizio

Quattro numeri che reggono l'MDR.

Metriche misurate sulla telemetria reale dei nostri clienti nel Q1 2026. Aggiornate trimestralmente.

<30 min
Contenimento mediano
dall'alert confermato
>90 %
Rumore ridotto
dal tier-zero AI
14
Tattiche MITRE
ATT&CK coperte
287
Attori ostili
profilati e bloccati
Per chi · due angolazioni

Stesso MDR, due angolazioni.

Chi governa il rischio e chi lo ferma vedono lo stesso servizio da due lati.

CISO
Governa il rischio, risponde al board.

Sai chi ti attacca prima che accada.

  • Threat briefing mensileDai 287 avversari tracciati, i 3 più probabili sul tuo settore.
  • Readiness NIS2/DORAGap misurato e verificabile, pronto per l'audit.
  • Reporting per il boardRischio, impatto, decisione. Niente tecnologia da slide.
Richiedi il threat briefing →
Responsabile IT
Gestisce lo stack, ferma l'attacco.

Quando l'alert è reale, decidiamo noi, subito.

  • Contenimento mediano <30 minDall'alert confermato alla remediation in produzione.
  • Analisti L2/L3 italianiParlano il tuo stack, hanno mandato di decidere.
  • Vendor-agnosticSi adatta agli strumenti che già hai in produzione.
Vedi un piano di risposta reale →
Ricerca · alla base dei runbook MDR

I nostri runbook MDR nascono dalla ricerca diretta.

Quando un alert MDR è confermato, il runbook eseguito è già stato testato contro l'attore reale. Il team CTI profila gli avversari, analizza i sample, traccia le TTP: questa ricerca diventa azione operativa in produzione, non documentazione da scaffale.

Featured10 giu 2026

Kali365: when the session becomes the new credential

ABSTRACT The FBI recently issued an advisory on Kali365, a Phishing-as-a-Service platform that abuses legitimate Microsoft OAuth flows to bypass multi-factor authentication. Kali…

Leggi articolo →
Defence15 apr 2026

Phishing Kits Bypass MFA and Hijack companies's accounts in minutes

Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced traditional defenses. M…

Leggi articolo →
Featured8 apr 2026

Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds

In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…

Leggi articolo →
Defence13 mar 2026

Operation Storming Tide: A massive multi-stage intrusion campaign

In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…

Leggi articolo →
Featured4 set 2024

Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365

UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…

Leggi articolo →
Featured18 dic 2023

Espionage activities targeting European businesses

In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…

Leggi articolo →
FAQ · domande frequenti

Cosa sapere su un servizio MDR.

Cos'è un servizio MDR (Managed Detection & Response)?

L'MDR è un servizio gestito che unisce telemetria multidominio (endpoint, identità, cloud, rete), detection mappata su MITRE ATT&CK e analisti che indagano e contengono gli incidenti. Fortgale lo opera con un SOC italiano 24·7·365: contenimento mediano <30 min dall'alert confermato. Un attacco non è un evento, è qualcuno: l'MDR serve a conoscerlo, anticiparlo e fermarlo.

Qual è la differenza tra MDR e SOC?

Il SOC è la struttura che monitora; l'MDR è il servizio che, sul SOC, aggiunge detection intel-driven e soprattutto la response: gli analisti hanno mandato di decidere e contenere, non solo di notificare. Nel modello Fortgale il SOC gestito e l'MDR sono lo stesso presidio italiano, senza handover tra fornitori.

Differenza tra MDR ed EDR?

L'EDR è una tecnologia di rilevamento sull'endpoint. L'MDR è il servizio che opera quella tecnologia (e non solo: anche identità, cloud, rete), la correla con la Cyber Threat Intelligence e ci mette gli analisti che decidono. L'EDR genera alert, l'MDR li gestisce e chiude l'incidente.

L'MDR Fortgale è compatibile con NIS2?

Sì. Il servizio è NIS2-ready: monitoraggio continuo, detection documentata, raccolta degli IOC per la notifica al CSIRT Italia entro 24 ore e la documentazione tecnica per le notifiche successive, allineamento a ISO/IEC 27001, DORA e GDPR Art. 32.

Quanto tempo serve per attivare il servizio?

Tre settimane dall'NDA al presidio completo, con il security monitoring già attivo dalla Settimana 1 durante l'onboarding. Cinque step: Discovery, Onboarding, Provisioning, Federazione, Protezione completa. Nessun evento di go-live: la protezione cresce dal giorno 1 dell'integrazione.

Funziona con lo stack di sicurezza che ho già?

Sì, il servizio è vendor-agnostic: si integra sulla piattaforma che già usate o ne sceglie con voi una ottimale. Fortgale opera l'MDR su Microsoft Defender, CrowdStrike Falcon, SentinelOne e altre 7 piattaforme leader, tutte con una console unica.

22Paesi presidiati
3Continenti
287Tool e attori profilati
<30 minContenimento mediano
24·7·365SOC italiano
Caso reale · Incident Response

Nell'Operation Storming Tide il team Fortgale ha rilevato e contenuto un'intrusione multi-stadio (attore Mora_001) su un'organizzazione europea di logistica: esfiltrazione e ransomware prevenuti.

Leggi l'analisi →
Caso reale · MDR

Attacco AiTM contro figure apicali durante un round d'investimento, intercettato prima della compromissione. Nessun accesso ottenuto.

Leggi il caso →
A cura del team Cyber Threat Intelligence di Fortgale

Oltre 100 analisi pubblicate. Attribuzioni corroborate da terze parti come Mandiant (Google), Amazon, SentinelOne e Huntress. SOC 24·7·365, Milano.

Clienti in 22 paesi su 3 continenti →  ·  Settore manifatturiero →

Approfondisci: cos'è un MDR →  ·  MDR vs EDR vs XDR →  ·  Perché l'MDR è più di un SOC →  ·  Tutte le risorse →

Parla con il presidio

Un incontro. Un NDA. Un runbook reale sul tuo stack.

Ti portiamo il Report sul tuo settore con gli attori più probabili e un runbook MDR reale mappato sul tuo stack tecnologico.

Tempo di risposta: < 1 giorno lavorativo.