Cos'è l'MDR in cybersecurity
L'MDR (Managed Detection and Response) è un servizio gestito di cybersecurity che combina tecnologia avanzata — EDR, SIEM, threat intelligence, analisi comportamentale — con analisti umani esperti disponibili 24 ore su 24, 7 giorni su 7. Il provider MDR monitora continuamente l'infrastruttura del cliente, rileva minacce in tempo reale e risponde attivamente agli incidenti, fino a isolare endpoint compromessi e contenere l'attacco.
La differenza rispetto a un semplice monitoraggio passivo è fondamentale: un MDR non si limita a generare alert — agisce. Quando un analista rileva un processo PowerShell sospetto alle 3 di notte, non invia una email che l'azienda leggerà alle 9: interviene immediatamente, isola l'endpoint colpito dalla rete e avvia il processo di contenimento e analisi forense.
Secondo il SANS SOC Survey 2025, costruire un SOC interno con copertura 24/7 richiede un minimo di 6-8 analisti (per coprire turni e ferie) e un budget annuale di 600.000-900.000 €. L'MDR as-a-service porta lo stesso livello di protezione a una PMI per 800-2.000 €/mese.
Come funziona il ciclo MDR: detect, investigate, respond
Il ciclo operativo di un servizio MDR si articola in quattro fasi continue:
1. Collect & Ingest
Il provider MDR raccoglie telemetria da tutte le sorgenti disponibili nell'infrastruttura cliente: log degli endpoint (EDR), log di rete (firewall, proxy, DNS), log delle applicazioni cloud (Microsoft 365, Google Workspace), autenticazioni (Active Directory, Azure AD). Questa telemetria confluisce in un SIEM centralizzato, tipicamente gestito dal provider.
2. Detect & Alert
Il SIEM e l'EDR applicano regole di detection, modelli di machine learning e correlazione con feed di threat intelligence per identificare comportamenti anomali. Non tutti gli alert sono incidenti: un buon MDR ha un tasso di false positive inferiore al 5% grazie a regole calibrate sull'ambiente specifico del cliente, non ai default del vendor.
Esempi di alert rilevanti: lateral movement tramite pass-the-hash, accesso a ore insolite a file server critici, traffico verso domini C2 noti, tentativi di elevation of privilege, esfiltrazioni di dati verso storage cloud non autorizzati.
3. Investigate
Gli analisti SOC conducono un'indagine contestualizzata: l'alert è un vero positivo? Qual è la timeline dell'attacco? Quanti sistemi sono coinvolti? Quali credenziali sono state compromesse? Questa fase richiede esperienza umana che gli strumenti automatici non possono replicare: un analista senior sa distinguere un comportamento sospetto reale da un'anomalia legata a una manutenzione pianificata.
4. Respond & Contain
In caso di incidente confermato, il provider MDR avvia le azioni di contenimento: isolamento dell'endpoint dalla rete (senza spegnerlo, per preservare la forensics), blocco dell'account compromesso, aggiornamento delle regole firewall per bloccare il traffico verso l'infrastruttura C2. Il cliente viene notificato in tempo reale con un briefing dell'incidente e le azioni già intraprese.
Un'azienda manifatturiera cliente viene colpita da un ransomware alle 2:17 di notte. Il SOC rileva l'attività di cifratura entro 4 minuti, isola i 3 endpoint colpiti dalla rete, blocca le credenziali dell'account compromesso e notifica il responsabile IT alle 2:23. Il danno è limitato a 3 macchine invece dell'intera rete. Senza MDR, il ransomware avrebbe cifrato tutto entro le 6-8 ore successive.
Le tecnologie che compongono un servizio MDR
Un MDR ben strutturato integra un stack tecnologico preciso. Non tutti i provider offrono lo stesso livello di integrazione:
- EDR (Endpoint Detection and Response) — agent installato su ogni endpoint, raccoglie telemetria comportamentale e permette il containment remoto
- SIEM (Security Information and Event Management) — correla log da fonti eterogenee e applica regole di detection
- SOAR (Security Orchestration, Automation and Response) — automatizza le azioni di risposta ripetitive, riducendo i tempi di reazione
- Threat Intelligence Platform — arricchisce gli alert con contesto sugli attori e le campagne associate agli IOC rilevati
- NDR (Network Detection and Response) — rileva movimenti laterali e comunicazioni C2 analizzando il traffico di rete
SLA e tempi di risposta: cosa chiedere a un provider MDR
Gli SLA (Service Level Agreement) sono il cuore di un contratto MDR. Ecco i parametri chiave da negoziare:
| Metrica | Provider base | Provider qualificato | FrameSec |
|---|---|---|---|
| MTTD (Mean Time to Detect) | 30-60 minuti | 5-15 minuti | < 5 minuti |
| MTTR (Mean Time to Respond) | 4-8 ore | 30-60 minuti | < 7 minuti |
| Notifica cliente | Email + telefono | Telefono diretto | |
| Copertura | Business hours | 24/7 | 24/7 inclusi festivi |
| Incident Response inclusa | No | Parziale | Sì |
Molti provider "MDR" offrono in realtà solo monitoraggio passivo (alert + email) senza capacità di risposta attiva. Chiedi esplicitamente: "Se rileva un ransomware alle 3 di notte, cosa fa concretamente il vostro team?" La risposta deve includere azioni specifiche (isolamento endpoint, blocco account) non solo "vi notifichiamo".
Costi del servizio MDR per le PMI italiane
Il costo di un servizio MDR dipende da diversi fattori: numero di endpoint, sorgenti di log da monitorare, SLA, livello di incident response incluso e se il provider fornisce anche la tecnologia EDR o si integra con quella esistente.
Fasce di prezzo indicative per il mercato italiano 2026:
- PMI micro (5-20 endpoint): 400-800 €/mese
- PMI piccola (20-50 endpoint): 800-1.500 €/mese
- PMI media (50-150 endpoint): 1.500-4.000 €/mese
A questi vanno aggiunti i costi una tantum di onboarding e configurazione iniziale (tipicamente 2.000-5.000 €). Confrontato con il costo di un SOC interno (minimo 300.000-500.000 €/anno per 4-6 analisti + tecnologia), il modello MDR as-a-service è economicamente insostenibile solo per le grandi enterprise con volumi tali da giustificare l'investimento interno.
Quando l'MDR è la scelta giusta per la tua PMI
L'MDR è la soluzione ottimale per le PMI che:
- Non hanno un team IT dedicato alla sicurezza interno
- Operano in settori con obblighi normativi (NIS2, GDPR, settore finanziario o sanitario)
- Hanno subito o temono attacchi ransomware, BEC o account takeover
- Hanno dipendenti che lavorano in smart working con accesso VPN
- Usano servizi cloud (Microsoft 365, Azure, AWS) e non hanno visibilità sugli accessi
Prima di firmare un contratto MDR, chiedi un periodo di trial di 30 giorni o almeno un PoC (Proof of Concept) sull'ambiente reale. Un provider serio non ha problemi a dimostrare la propria capacità di detection prima della firma.
Domande frequenti
Cos'è l'MDR in cybersecurity?
MDR (Managed Detection and Response) è un servizio gestito che combina tecnologia avanzata (EDR, SIEM, threat intelligence) con analisti umani 24/7. Il provider monitora i sistemi, rileva minacce e risponde attivamente agli incidenti — fino a isolare endpoint compromessi — senza richiedere un team interno dedicato.
Quanto tempo impiega un MDR a rispondere?
I provider qualificati rilevare anomalie entro 5-15 minuti, notificano il cliente entro 30 minuti e avviano le prime azioni di contenimento entro 1-2 ore. FrameSec garantisce risposta in meno di 7 minuti dalla rilevazione per incidenti critici, con copertura 24/7 inclusi festivi.
Quanto costa un servizio MDR per una PMI?
Nel mercato italiano, tra 400 e 4.000 €/mese in base alla dimensione. Per una PMI con 30-50 endpoint, un MDR qualificato costa 800-1.500 €/mese — molto meno dei 300.000-500.000 €/anno di un SOC interno equivalente.