La confusione degli acronimi: un problema reale
Il mercato della cybersecurity ha un problema di acronimi: EDR, MDR, XDR, SIEM, SOAR, MSSP — termini che i vendor usano in modo intercambiabile nelle brochure ma che in realtà descrivono capacità molto diverse. Comprare un SIEM pensando di avere la protezione di un MDR è un errore costoso e pericoloso.
La distinzione fondamentale da tenere a mente: EDR e SIEM sono tecnologie — strumenti software che raccolgono dati e generano alert. MDR è un servizio — include tecnologia, ma soprattutto persone (analisti 24/7) e processi (incident response). La tecnologia da sola non protegge nessuno se non c'è qualcuno che la opera.
EDR: Endpoint Detection and Response
L'EDR è un agent software installato su ogni endpoint (PC, laptop, server) che raccoglie telemetria comportamentale — ogni processo avviato, ogni file creato, ogni connessione di rete, ogni modifica al registro — e la analizza per rilevare comportamenti anomali. A differenza dell'antivirus tradizionale basato su signature, l'EDR usa l'analisi comportamentale per rilevare minacce senza firma nota (es. fileless malware, Living Off The Land attacks).
Cosa fa l'EDR
- Monitoring comportamentale in tempo reale di tutti i processi sull'endpoint
- Rilevamento di tecniche MITRE ATT&CK senza signature (behavioral detection)
- Isolamento remoto dell'endpoint dalla rete in caso di compromissione
- Forensics: timeline completa di ogni attività sull'endpoint per l'analisi post-incidente
- Threat hunting: ricerca proattiva di IOC su tutti gli endpoint storicamente
I limiti dell'EDR
L'EDR vede solo gli endpoint. Non ha visibilità su traffico di rete, accessi cloud (Microsoft 365, Azure AD), sistemi di email, dispositivi IoT/OT non agentati. Inoltre, genera centinaia di alert al giorno che richiedono un team di analisti per la triage — senza personale dedicato, l'alert fatigue porta a ignorare gli alert critici.
SIEM: Security Information and Event Management
Il SIEM è una piattaforma centralizzata che aggrega log da tutte le sorgenti disponibili — endpoint (EDR), firewall, proxy, VPN, cloud, Active Directory, applicazioni — e applica regole di correlazione per identificare pattern sospetti che singoli sistemi non vedrebbero.
Cosa fa il SIEM
- Aggregazione e normalizzazione di log eterogenei (syslog, CEF, JSON, Sflow)
- Correlazione cross-source: "questo utente si è autenticato dalla Russia e 10 minuti dopo ha scaricato 500MB dal file server italiano"
- Alert basati su regole e UEBA (User and Entity Behavior Analytics)
- Retention dei log per compliance (GDPR, NIS2, ISO 27001 richiedono log per 12-24 mesi)
- Dashboard e report per audit e compliance
I limiti del SIEM
Il SIEM è uno strumento potente ma costoso da operare. Un'implementazione enterprise (Splunk, IBM QRadar, Microsoft Sentinel) richiede: 2-4 ingegneri per la configurazione iniziale (6-12 mesi), almeno 2-3 analisti SOC per la gestione degli alert quotidiani, budget significativo per le licenze (spesso basate sul volume di dati ingestiti — decine o centinaia di migliaia di euro/anno per organizzazioni medie). Non è uno strumento adatto a una PMI che lo deve operare autonomamente.
XDR: Extended Detection and Response
L'XDR è l'evoluzione dell'EDR: invece di monitorare solo gli endpoint, integra telemetria da endpoint, rete, email, cloud e identità in un'unica piattaforma di detection e response. L'integrazione nativa di più sorgenti permette correlazioni che un EDR da solo non può fare: "questo endpoint ha ricevuto un'email di phishing alle 9:14, ha cliccato un link alle 9:17, ha avviato un processo PowerShell anomalo alle 9:18, ha contattato un dominio C2 alle 9:19".
I principali vendor XDR includono Microsoft Defender XDR (integrazione nativa con Microsoft 365 e Azure), CrowdStrike Falcon, SentinelOne Singularity. I servizi MDR moderni usano XDR come tecnologia sottostante.
MDR: Managed Detection and Response
L'MDR non è una tecnologia ma un servizio gestito. Un provider MDR include: tecnologia (EDR/XDR + SIEM/SOAR + threat intelligence platform), analisti SOC umani 24/7, processi di triage e escalation, capacità di incident response attiva (isolamento endpoint, blocco account, aggiornamento firewall rules). La PMI riceve alert qualificati e azioni di contenimento, senza operare direttamente alcuno strumento.
EDR e SIEM sono come l'impianto di allarme e le telecamere di un negozio. MDR è il contratto con l'istituto di vigilanza che monitora le telecamere e manda le guardie quando scatta l'allarme. L'impianto da solo non protegge: serve qualcuno che risponda.
Tabella comparativa: MDR vs EDR vs SIEM vs XDR
| Caratteristica | EDR | SIEM | XDR | MDR |
|---|---|---|---|---|
| Tipo | Tecnologia | Tecnologia | Tecnologia | Servizio gestito |
| Visibilità | Solo endpoint | Multi-source | Multi-layer | Multi-layer (include tutti) |
| Analisti umani | No | No | No | Sì (24/7) |
| Incident response | Manuale | No | Parziale auto | Attiva e immediata |
| Complessità gestione | Media | Alta | Media-alta | Bassa (gestita dal provider) |
| Costo PMI/anno | 3.000–15.000 € | 20.000–100.000 €+ | 8.000–30.000 € | 6.000–30.000 € |
| Adatto a PMI senza SOC | Parzialmente | No | Parzialmente | Sì |
Quale soluzione è giusta per una PMI?
La risposta dipende dalle risorse interne e dal livello di maturità della sicurezza:
PMI senza team IT dedicato alla sicurezza
Soluzione raccomandata: MDR — include tecnologia e personale. La PMI non deve operare alcun tool, riceve solo alert qualificati e azioni di contenimento. È la scelta più pratica per chi non ha competenze interne di detection.
PMI con un sistemista IT interno (no security specialist)
Soluzione raccomandata: EDR gestito + MDR — il sistemista interno gestisce le attività di routine (onboarding nuovi endpoint, policy update), il provider MDR gestisce il monitoring e la response. Il sistema IT interno ha visibilità ma non deve occuparsi della detection avanzata.
PMI/azienda media con team IT strutturato
Soluzione raccomandata: XDR + SIEM + MDR (o SOC ibrido) — l'XDR fornisce visibilità multi-layer, il SIEM gestisce la compliance e la retention, il provider MDR copre le ore notturne e i fine settimana con personale dedicato. Il team interno gestisce il primo livello di triage nelle ore lavorative.
Non comprare un SIEM pensando di risolvere il problema della detection senza un team che lo operi. Il SIEM è uno strumento potente nelle mani giuste e uno spreco di denaro nelle mani sbagliate. Se non hai analisti SOC, l'MDR è quasi sempre la scelta migliore per costo/efficacia.
Domande frequenti
Qual è la differenza tra MDR, EDR e SIEM?
EDR è uno strumento che monitora i singoli endpoint. SIEM aggrega log da più sorgenti. MDR è un servizio gestito che include tecnologie (EDR, SIEM) più analisti umani 24/7 con capacità di incident response attiva. EDR e SIEM sono tecnologie che richiedono personale per operarle; MDR include tutto.
Cos'è XDR e come si differenzia da EDR?
XDR è l'evoluzione dell'EDR: integra telemetria da endpoint, rete, email, cloud e identità in un'unica piattaforma. Offre correlazioni cross-layer impossibili con un EDR isolato. I servizi MDR moderni usano XDR come tecnologia sottostante.
Una PMI ha bisogno del SIEM?
Non necessariamente. Il SIEM richiede un team di analisti per operarlo e produce migliaia di alert al giorno. Per le PMI senza personale dedicato, l'MDR è più pratico: il provider gestisce il SIEM internamente e la PMI riceve solo alert qualificati e azioni di risposta.