Il problema dell'attesa passiva
La maggior parte degli attacchi informatici non si annuncia. Un avversario che ha preso piede nella vostra rete ha ogni incentivo a muoversi silenziosamente, ad elevare progressivamente i propri privilegi e a raggiungere il proprio obiettivo prima che qualcuno se ne accorga. Quando una richiesta di riscatto appare sullo schermo, l'attaccante potrebbe essere presente da giorni o settimane. La violazione non era silenziosa — i segnali c'erano stati durante tutto il periodo. Il problema era che nessuno guardava, o chi guardava non sapeva cosa stava osservando.
Questo è il problema fondamentale che un Security Operations Centre (SOC) e un servizio di Managed Detection and Response (MDR) esistono per risolvere. Non si tratta solo di implementare tecnologie migliori. Si tratta di avere professionisti qualificati che monitorano continuamente il vostro ambiente, sanno come appare la normalità e sono in grado di distinguere una minaccia reale dal rumore di fondo — e poi agiscono rapidamente.
Per le PMI lussemburghesi, questa proposta solleva una domanda immediata: possiamo costruirlo internamente, o dobbiamo acquistarlo? La risposta conta più che mai ora che NIS2 ha innalzato il livello di esigenza in materia di rilevamento e notifica degli incidenti in tutto il paese.
Cosa fa concretamente un SOC
Il termine Security Operations Centre copre un ampio spettro di capacità , ma nella pratica un SOC funzionante svolge cinque attività fondamentali.
Monitoraggio 24/7
Le minacce non rispettano gli orari di ufficio. Gli aggressori pianificano frequentemente le loro azioni più dirompenti — distribuzione di ransomware, esfiltrazione di dati, distruzione di backup — per notti, fine settimana e giorni festivi, proprio perché i team IT interni non sono presenti. Un SOC garantisce visibilità continua: log, alert e dati di telemetria provenienti dall'intero ambiente vengono acquisiti, correlati e analizzati senza interruzione.
Detection Engineering
I dati di log grezzi non sono utili di per sé. Il detection engineering è la disciplina di scrittura, calibrazione e manutenzione delle regole, delle query e dei modelli di machine learning che trasformano gli eventi in alert azionabili. Un buon detection engineering riduce i falsi positivi (alert che fanno perdere tempo agli analisti) e i falsi negativi (minacce reali che non generano alcun alert). Richiede una conoscenza approfondita delle tecniche degli aggressori, del vostro ambiente specifico e degli strumenti del vostro stack. È una competenza specialistica che necessita di aggiornamento costante con l'evolvere del panorama delle minacce.
Triage e investigazione
Quando scatta un alert, un analista SOC lo valuta: si tratta di una minaccia reale o di un'attività benigna che corrisponde a una regola? Il triage prevede la raccolta di prove correlate — telemetria degli endpoint, flussi di rete, log di autenticazione, intestazioni e-mail — e una valutazione rapida. Se l'alert viene confermato come un vero positivo, l'investigazione si approfondisce: qual è l'estensione della compromissione, quali sistemi sono coinvolti e cosa ha fatto l'aggressore?
Threat Hunting
Le regole di rilevamento catturano ciò che avete già definito. Il threat hunting è la ricerca proattiva di comportamenti di attaccanti che non hanno ancora innescato un alert. Gli analisti formulano ipotesi basate sull'intelligence sulle minacce e sulle tecniche di attacco note, quindi cercano nel vostro ambiente prove di tali comportamenti. È così che gli attacchi sofisticati, lenti e silenziosi vengono scoperti prima di raggiungere il loro obiettivo.
Incident Response
Quando viene identificato un incidente confermato, il SOC coordina la risposta: isolamento dei sistemi interessati, conservazione delle prove forensiche, eradicazione della minaccia e ripristino delle normali operazioni. Nel modello MDR, il fornitore dispone tipicamente sia dell'autorità sia degli strumenti per intraprendere azioni dirette di contenimento — non solo per fornire raccomandazioni.
MDR versus MSSP: una distinzione che vale la pena fare
Il mercato utilizza diversi termini sovrapposti. Un Managed Security Service Provider (MSSP) offriva tradizionalmente monitoraggio e alerting — acquisizione dei vostri log, generazione di report e inoltro degli alert al vostro team. Un fornitore MDR va oltre: non si limita ad allertare, risponde. Dispone di agenti endpoint che consentono azioni di contenimento dirette, di analisti che investigano anziché limitarsi al triage, e di responsabilità sui risultati piuttosto che solo sui processi.
Nella pratica, il confine si è sfumato. Alcuni MSSP offrono ora capacità di risposta, e alcuni fornitori MDR si avvicinano più al vecchio modello MSSP di quanto il loro marketing lasci intendere. Ciò che conta è la sostanza: in caso di incidente, chi fa cosa e con quale rapidità ?
La decisione tra gestione interna e outsourcing per le PMI
La risposta onesta per la maggior parte delle PMI lussemburghesi è che costruire un SOC interno capace non è fattibile — non per mancanza di ambizioni, ma per realtà strutturali.
La realtà delle risorse umane
Un SOC 24/7 minimo richiede almeno sei-otto analisti per coprire i turni, consentire le ferie e mantenere la continuità operativa. Ogni analista deve avere le competenze per eseguire il triage, indagare sugli incidenti ed escalare correttamente. Gli analisti senior e i detection engineer — le persone che scrivono le regole e cacciano le minacce — sono considerevolmente più esperti e costosi. In Lussemburgo, dove il bacino di talenti in cybersecurity è limitato e la competizione da parte di istituzioni finanziarie e organi dell'UE è intensa, assumere e trattenere questo team è genuinamente difficile, indipendentemente dal budget.
Al di là del semplice organico, un SOC necessita di una piattaforma: un sistema Security Information and Event Management (SIEM) per raccogliere e correlare i log, una soluzione Endpoint Detection and Response (EDR) distribuita nell'intero parco macchine, e tipicamente una piattaforma Security Orchestration, Automation and Response (SOAR) per gestire i flussi di lavoro. Ciascuno di questi elementi richiede implementazione, configurazione e manutenzione continua — lavoro specialistico distinto dall'attività di monitoraggio vera e propria.
La realtà dei costi
Aggregando costi del personale, licenze degli strumenti, formazione e infrastruttura, il costo totale di un SOC interno credibile è sostanziale — tipicamente ben oltre quanto una PMI con meno di qualche centinaio di dipendenti può giustificare, soprattutto quando tale capacità rimane largamente inutilizzata nei periodi tranquilli. Un engagement MDR converte quel costo fisso elevato in una tariffa mensile o annuale prevedibile, condivisa sull'intero portafoglio clienti del fornitore.
Ciò non significa che l'outsourcing sia sempre più economico in termini assoluti per ogni scenario immaginabile. Per le grandi aziende con ambienti complessi e forte capacità di assunzione, la gestione interna può essere la risposta giusta. Per la tipica PMI lussemburghese — da cinquanta a qualche centinaio di dipendenti, operante in un settore regolamentato, con un piccolo team IT — l'economia favorisce quasi sempre il servizio gestito.
A cosa si rinuncia
L'outsourcing non è privo di compromessi. Gli analisti di un fornitore non sono integrati nella vostra azienda; conoscono il vostro ambiente attraverso la telemetria, non per prossimità . Il contesto di un processo aziendale insolito ma legittimo potrebbe dover essere comunicato durante l'onboarding e aggiornato con l'evolversi delle vostre operazioni. I modelli co-managed, dove il vostro team interno mantiene la visibilità e partecipa al SOC insieme agli analisti del fornitore, possono rispondere a gran parte di questa preoccupazione.
Cosa aspettarsi da un engagement MDR
Onboarding
Un engagement MDR responsabile inizia con una fase di onboarding, tipicamente della durata di alcune settimane. Durante questo periodo, il fornitore distribuisce agenti endpoint nel vostro ambiente, configura la raccolta dei log dalle vostre fonti principali — Active Directory, firewall, VPN, ambienti cloud, gateway e-mail — e stabilisce una baseline del comportamento normale per il vostro ambiente. La fase di onboarding è anche il momento in cui definite i percorsi di escalation: chi nella vostra organizzazione riceve gli alert a quale livello di gravità , come il fornitore deve contattare il vostro team fuori orario, e quali azioni il fornitore è autorizzato a intraprendere autonomamente rispetto a quelle che richiedono la vostra approvazione.
Telemetria e fonti di log
Il valore di un servizio MDR dipende interamente dalla qualità e dall'ampiezza della telemetria che riceve. Le fonti principali comprendono tipicamente la telemetria degli endpoint (dagli agenti EDR su workstation e server), i log di identità e autenticazione (Active Directory, Azure AD, Entra ID), i dati di flusso di rete, i log di firewall e proxy, i log delle piattaforme cloud (Microsoft 365, AWS CloudTrail, Azure Monitor) e gli eventi di sicurezza e-mail. Maggiore è la visibilità del fornitore, più efficace diventa il rilevamento. Un fornitore che non riesce ad acquisire il vostro ambiente cloud o che vede solo una parte dei vostri endpoint opera con punti ciechi.
Service Level Agreement
I SLA definiscono cosa state acquistando. Le metriche chiave da esaminare includono il tempo medio di rilevamento (il momento in cui viene identificata una minaccia reale), il tempo medio di risposta (quando iniziano le azioni di contenimento) e le tempistiche di escalation per livello di gravità . Gli incidenti critici — distribuzione attiva di ransomware, esfiltrazione dati confermata, account di amministratore di dominio compromessi — dovrebbero innescare escalation e risposta immediata, misurata in minuti. I risultati di gravità inferiore possono operare su tempistiche più lunghe. Comprendete cosa significa effettivamente "copertura 24/7": include il threat hunting e le investigazioni attive, o solo il triage degli alert?
Escalation e comunicazione
Quando si verifica un incidente confermato, il processo di escalation deve essere chiaro e collaudato. Dovreste ricevere una notifica strutturata che vi dice: cosa è successo, quali sistemi sono coinvolti, quali azioni di contenimento sono state adottate o raccomandate, e cosa dovete fare dopo. Le comunicazioni di escalation ambigue o eccessivamente tecniche che vi richiedono di interpretare personalmente dati di log grezzi sono un segnale d'allarme. Il ruolo del fornitore è tradurre i risultati tecnici in decisioni azionabili per il vostro team.
MDR e NIS2: il conto alla rovescia della notifica
Per le organizzazioni lussemburghesi nell'ambito di applicazione di NIS2, la tempistica di notifica degli incidenti è impegnativa: un preavviso di 24 ore all'autorità competente (ILR — Institut Luxembourgeois de Régulation) dopo aver preso conoscenza di un incidente significativo, seguito da una notifica completa dell'incidente entro 72 ore, e un rapporto finale entro un mese. Il preavviso di 24 ore in particolare richiede che sappiate di un incidente molto rapidamente dopo che si è verificato — idealmente prima che si siano prodotti danni significativi.
È qui che il monitoraggio continuo diventa un asset di conformità , non solo di sicurezza. Un fornitore MDR che rileva un'intrusione nelle sue prime fasi e la porta all'attenzione del vostro team vi dà il tempo di valutare la gravità , determinare se la soglia di notifica NIS2 è stata superata e inviare il preavviso entro la finestra temporale richiesta. Un'azienda che si affida alla scoperta reattiva — nota che qualcosa non va quando i sistemi cominciano a cedere — potrebbe già trovarsi fuori dalla finestra di notifica prima ancora di aver cominciato a capire cosa è successo.
Un buon fornitore MDR assisterà negli elementi fattuali della notifica dell'incidente: cosa è successo, quando è stato rilevato, quali sistemi erano coinvolti e quali misure sono state adottate. Non prenderà la decisione normativa al vostro posto — quella rimane di competenza della vostra direzione — ma fornisce la base di prove necessaria per adempiere ai vostri obblighi di notifica in modo accurato e puntuale. CIRCL (Computer Incident Response Center Luxembourg) rimane un'importante risorsa nazionale per il coordinamento della risposta agli incidenti e l'intelligence sulle minacce, e il vostro fornitore MDR dovrebbe essere in grado di collaborare con CIRCL dove appropriato.
NIS2 — scadenze di notifica in sintesi: 24 ore — preavviso a ILR; 72 ore — notifica completa con valutazione iniziale di gravità , portata e indicatori di compromissione; 1 mese — rapporto finale con causa radice, misure di mitigazione e impatto transfrontaliero ove applicabile. Queste scadenze decorrono dal momento in cui la vostra organizzazione viene a conoscenza di un incidente significativo, non dal momento in cui si è verificata la violazione.
Valutare un fornitore: cosa cercare
Il mercato MDR spazia da servizi genuinamente capaci e approfonditi a strumenti di inoltro di alert ribattezzati con un'etichetta 24/7. Ecco come distinguerli.
Copertura e strumenti
Valutate cosa monitora effettivamente il fornitore. Distribuisce il proprio EDR, o lavora con i vostri strumenti esistenti? Riesce ad acquisire tutte le vostre fonti di log, incluse le piattaforme cloud e le applicazioni SaaS da cui dipendete? Un fornitore che vi obbliga a sostituire tutti i vostri strumenti di sicurezza con il proprio stack proprietario potrebbe creare costi di cambio inutili; al contrario, un fornitore che non riesce a integrarsi con le piattaforme comuni potrebbe lasciare punti ciechi critici.
Capacità di rilevamento
Chiedete al fornitore come sviluppa e mantiene le proprie regole di rilevamento. Sono regole generiche pronte all'uso applicate a ogni cliente, o vengono calibrate sul vostro ambiente nel tempo? Quali fonti di intelligence sulle minacce utilizza, e con quale rapidità le nuove tecniche vengono incorporate nella logica di rilevamento? Un fornitore che non riesce a spiegare la propria metodologia di rilevamento in termini concreti difficilmente rileverà minacce sofisticate.
Autorità di risposta
Chiarite esattamente cosa può fare il fornitore senza attendere la vostra approvazione. Nei minuti successivi a una distribuzione di ransomware, la differenza tra un fornitore che può isolare immediatamente un endpoint e uno che deve aspettare che venga risposta una telefonata può essere la differenza tra un incidente contenuto e un'interruzione totale. Definite i playbook di risposta e i livelli di autorizzazione prima di firmare.
Trasparenza e reportistica
Dovreste avere accesso continuo alla vostra telemetria e alla cronologia dei vostri alert, non solo report PDF periodici. Un fornitore che mantiene i vostri dati in una scatola nera che non potete interrogare non è un partner — è un fornitore con responsabilità limitata. Cercate un portale o una dashboard che dia al vostro team una visibilità reale su ciò che viene monitorato e ciò che è stato rilevato.
Presenza locale e conoscenza del contesto
Il Lussemburgo ha obblighi normativi specifici, un panorama di minacce particolare guidato dalla sua concentrazione di istituzioni finanziarie e organi dell'UE, e comunicazioni che spesso attraversano confini linguistici e giuridici. Un fornitore con una genuina presenza locale — persone che comprendono l'ambiente normativo, possono interagire con ILR e CIRCL, e possono essere fisicamente presenti durante un incidente grave se necessario — offre capacità che un'operazione puramente remota e globalizzata non riesce a replicare pienamente.
Opzioni co-managed
La gestione completamente esternalizzata e quella completamente interna non sono le uniche scelte. Molti fornitori offrono modelli di SOC co-managed in cui il vostro team interno mantiene l'accesso al SIEM e partecipa alle investigazioni, mentre il fornitore gestisce la copertura 24/7 e fornisce competenze senior per gli incidenti complessi. Questo modello si adatta alle organizzazioni che hanno qualche capacità di sicurezza interna ma non riescono a sostenere operazioni continuative. Riduce anche la dipendenza da un singolo fornitore esterno — il vostro team rimane coinvolto nell'ambiente invece di diventare completamente dipendente dal servizio esternalizzato.
Domande da porre a un fornitore prima di impegnarsi
- Qual è il vostro tempo medio di rilevamento e il vostro tempo medio di risposta, e come vengono misurati nell'intero portafoglio clienti? Chiedete prove, non solo affermazioni.
- Quali fonti di telemetria richiedete e quali supportate? Confrontatele con il vostro ambiente reale prima di firmare.
- Come si svolge il vostro processo di onboarding e qual è un arco temporale realistico per raggiungere la piena copertura operativa?
- Quali azioni possono intraprendere i vostri analisti in modo autonomo rispetto a quelle che richiedono la nostra approvazione? Esaminate i playbook di risposta in dettaglio.
- Manteniamo l'accesso ai nostri dati di log e alla cronologia dei nostri alert? Cosa accade ai nostri dati se recitiamo il contratto?
- Come gestite i falsi positivi e qual è il vostro processo per calibrare i rilevamenti al fine di ridurre l'alert fatigue?
- Avete esperienza nel supporto alla notifica di incidenti NIS2 specificamente in Lussemburgo? Potete assistere nella compilazione del contenuto fattuale delle notifiche a ILR?
- Offrite un modello co-managed e come si presenta nella pratica?
- Quali feed di intelligence sulle minacce utilizzate e come informano il vostro detection engineering?
- Potete fornire referenze di clienti di dimensioni e settore comparabili in Lussemburgo o nell'UE allargata?
Come iniziare: un approccio pragmatico
Se state valutando il MDR per la prima volta, resistete alla tentazione di emettere immediatamente un RFP. La qualità delle risposte che riceverete sarà fortemente influenzata da quanto bene comprendete il vostro ambiente e i vostri requisiti.
Iniziate mappando i vostri asset critici: quali sistemi, se compromessi, causerebbero il maggior danno alle vostre operazioni? Quali dati, se esfiltrati, innescherebbero una crisi normativa o reputazionale? Questa mappatura degli asset vi aiuterà a delimitare l'engagement e a valutare se la copertura proposta da un fornitore affronta effettivamente i vostri rischi reali.
Successivamente, valutate la vostra telemetria attuale. Quali log state già raccogliendo? Quale copertura EDR avete? Comprendere il vostro stato attuale vi consente di avere una conversazione informata con i fornitori su cosa richiederà l'onboarding e quali lacune esistono.
Infine, coinvolgete la vostra direzione fin dall'inizio. Il MDR non è una decisione puramente tecnica. Le disposizioni sull'autorità di risposta, le procedure di escalation e gli elementi di supporto alla notifica normativa hanno implicazioni di governance che richiedono l'approvazione della direzione. Nel contesto di NIS2, dove gli organi di gestione sono personalmente responsabili della gestione del rischio di cybersecurity, questa conversazione appartiene al livello del consiglio di amministrazione.
L'approccio di ObsidianCorps alle operazioni di sicurezza
Lavoriamo con le PMI lussemburghesi sull'intero spettro delle sfide legate alle operazioni di sicurezza — dalla valutazione se il MDR sia la soluzione giusta per una determinata organizzazione, alla progettazione del framework di governance attorno a un servizio gestito, fino al supporto alla risposta agli incidenti quando le cose vanno storte. Siamo deliberatamente neutrali rispetto ai fornitori nella nostra attività di consulenza: il nostro compito è aiutarvi a trovare il servizio giusto per il vostro ambiente e il vostro profilo di rischio, non indirizzarvi verso una risposta predeterminata.
Se state cercando di comprendere le vostre opzioni, prepararvi a una valutazione dei fornitori o ragionare su come il MDR si inserisce nel vostro più ampio programma di conformità NIS2, siamo lieti di aiutarvi. L'obiettivo è una visibilità continua, una capacità di risposta credibile e la certezza che quando qualcosa accade — non se — la vostra organizzazione sia attrezzata per contenerlo e comunicarlo entro le scadenze previste dalla legge.
