Cosa devono includere i MDR services
I MDR services (Managed Detection and Response) sono servizi gestiti di cybersecurity che combinano tecnologia avanzata e analisti umani per rilevare e rispondere alle minacce in tempo reale. Ma non tutti i provider offrono lo stesso livello di servizio: il termine "MDR" è usato da player molto diversi, dai provider con SOC reale 24/7 a rivenditori che si limitano a consegnare un SIEM con alert non gestiti.
Un MDR service completo deve includere queste componenti:
Tecnologia di detection
- EDR/XDR su tutti gli endpoint — agent installato su PC, laptop e server. Senza endpoint coverage, la detection è cieca sul vettore d'attacco principale
- SIEM o piattaforma di correlazione — aggregazione di log da sorgenti multiple: firewall, proxy, Active Directory, cloud, email
- Threat intelligence integrata — feed di IOC (IP, domini, hash) che arricchiscono automaticamente gli alert con contesto sulle campagne note
- UEBA (User and Entity Behavior Analytics) — rilevamento di anomalie comportamentali degli utenti che gli alert rule-based non vedono
Personale e processi
- Analisti SOC 24/7 — non "on call" ma in turno attivo, con triage degli alert in tempo reale
- Escalation procedure documentate — chi chiama chi, con quali criteri, in quanto tempo
- Incident response attiva — non solo notifica: il provider deve poter isolare un endpoint, bloccare un account AD, aggiornare regole firewall senza aspettare autorizzazione per ogni azione standard
- Threat hunting proattivo — ricerca di compromissioni non rilevate dagli alert automatici, condotta periodicamente dagli analisti
Reporting e governance
- Report mensile degli incidenti — sommario degli alert, degli incidenti confermati, delle azioni intraprese e delle raccomandazioni
- Revisione periodica delle detection rule — le regole di detection vanno tunate sull'ambiente specifico per ridurre i false positive
- QBR (Quarterly Business Review) — sessione trimestrale con il team cliente per analizzare trend, aggiornare il profilo di rischio, pianificare miglioramenti
I livelli di MDR service: cosa distingue i tier
| Tier | Copertura | IR inclusa | Threat hunting | Costo indicativo PMI/mese |
|---|---|---|---|---|
| Essential | Endpoint only | Notifica | No | 300–600 € |
| Standard | Endpoint + log | Containment base | Mensile | 600–1.200 € |
| Advanced | Multi-layer (XDR) | IR completa | Settimanale | 1.200–2.500 € |
| Enterprise | Custom + OT/IoT | IR + forensics | Continuo | 2.500 €+ |
Per la maggior parte delle PMI italiane con 20-100 dipendenti, il tier Standard o Advanced offre il miglior rapporto costo/protezione. Il tier Essential è insufficiente se la "risposta" si limita a un'email notifica: nel tempo tra la notifica e la tua reazione, l'attaccante ha già avuto ore per diffondersi.
Diffida dei provider MDR che: usano vague come "monitoraggio continuo" senza specificare gli SLA; non menzionano mai il numero di analisti SOC; non possono mostrare un caso studio di incident response; hanno SLA "best effort" invece di SLA contrattualizzati; non offrono un periodo di prova o PoC prima della firma.
Le domande da fare prima di firmare
Prima di scegliere un provider MDR, queste sono le domande che devi fare — e le risposte che devi ottenere:
Sulla detection
- "Quali sorgenti di log monitorate per default e quali sono aggiuntive?"
- "Usate threat intelligence commerciale o solo open source? Quali feed?"
- "Come gestite i false positive? Qual è il vostro tasso medio di falsi positivi?"
- "Posso vedere un campione di alert reali (anonimizzati) che avete gestito?"
Sugli SLA e la risposta
- "Qual è il vostro MTTD (Mean Time to Detect) garantito contrattualmente?"
- "Qual è il vostro MTTR (Mean Time to Respond) per incidenti critici?"
- "La copertura 24/7 è con analisti in turno o on-call? Dove si trovano fisicamente?"
- "Cosa fate concretamente quando rilevate un ransomware attivo alle 3 di notte, step by step?"
- "L'incident response è inclusa nel canone o a consumo?"
Sul contratto
- "Qual è la durata minima del contratto e le condizioni di uscita anticipata?"
- "Cosa succede se non rispettate gli SLA? Ci sono penali o crediti?"
- "I dati dei nostri log restano in UE? Dove fisicamente?"
- "Cosa succede ai nostri dati alla fine del contratto?"
Checklist di valutazione MDR per PMI
Usa questa checklist quando confronti più provider MDR:
Tecnologia (must-have)
- EDR/XDR su tutti gli endpoint incluso nel canone (non a consumo separato)
- Correlazione di log da almeno 5 sorgenti diverse (endpoint, rete, AD, email, cloud)
- Threat intelligence feed aggiornati almeno quotidianamente
- Accesso a un portale cliente con visibilità sugli alert e la loro gestione
Personale e processi (must-have)
- SOC con analisti in turno 24/7/365 (non on-call)
- SLA di risposta agli incidenti critici ≤ 30 minuti contrattualizzato
- Capacità di containment attivo (isolamento endpoint) senza autorizzazione manuale per ogni azione
- Threat hunting proattivo almeno mensile
Contratto (nice-to-have ma importante)
- Contratto mensile o annuale (non pluriennale senza exit clause)
- Penali contrattuali per mancato rispetto degli SLA
- Dati in UE con garanzia scritta
- Periodo di prova o PoC di 30 giorni prima della firma definitiva
Il processo di onboarding: cosa aspettarsi
Un onboarding MDR professionale dura 2-4 settimane e include:
- Discovery dell'infrastruttura — inventario degli asset, mappatura delle sorgenti di log disponibili, identificazione dei sistemi critici
- Deployment degli agent — installazione dell'EDR/XDR su tutti gli endpoint, spesso automatizzata via GPO o SCCM
- Configurazione del SIEM — connettori per Active Directory, firewall, Office 365, VPN, applicazioni critiche
- Tuning delle detection rule — personalizzazione delle regole sull'ambiente specifico per ridurre i false positive
- Definizione delle escalation procedure — chi contattare, con quale numero, per quali tipi di incidente
- Test di incident response — simulazione di un incidente per verificare che i flussi di comunicazione funzionino correttamente
Chiedi sempre al provider un piano di onboarding scritto con milestone, deliverable e responsabilità chiare. Un provider che non ha un piano strutturato di onboarding quasi certamente non ha processi SOC strutturati. La qualità dell'onboarding è uno dei migliori indicatori della qualità del servizio complessivo.
Domande frequenti
Cosa includono i MDR services?
Monitoraggio 24/7, tecnologia EDR/XDR su tutti gli endpoint, SIEM gestito dal provider, threat intelligence integrata, triage degli alert con analisti umani, notifica degli incidenti in tempo reale, azioni di containment attive (isolamento endpoint, blocco account) e report mensili. La qualità varia molto tra provider.
Come si valuta un provider di MDR services?
I criteri chiave: SLA documentati (MTTD ≤ 15 min, MTTR ≤ 30 min per incidenti critici), copertura 24/7 reale con analisti in turno, capacità di incident response attiva, tecnologia propria o vendor lock-in, dati in UE, referenze verificabili nel tuo settore e clausole di exit chiare nel contratto.
Quanto dura tipicamente un contratto MDR?
Solitamente annuale con rinnovo automatico. I contratti mensili offrono più flessibilità. Attenzione ai contratti pluriennali (2-3 anni) senza clausole di uscita anticipata in caso di inadempimento degli SLA: vincolano l'azienda anche se il servizio risulta insoddisfacente.