Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Vectra AI

L'EDR non è sufficiente: perché i CISO lungimiranti stanno passando alla rete + identità

30 settembre 2025
Mark Wojtasiak
Vicepresidente Ricerca e Strategia di Prodotto
L'EDR non è sufficiente: perché i CISO lungimiranti stanno passando alla rete + identità

Sono una persona che ragiona in modo semplice, quindi cercherò di essere chiaro.

In qualità di responsabili della sicurezza, condividiamo tutti le stesse tre verità:

  • Vogliamo proteggere le persone e il nostro marchio.
  • La nostra più grande sofferenza è l'incertezza.
  • Dobbiamo porre fine alle violazioni.

Ecco fatto. Tre verità umane che vanno oltre il rumore delle presentazioni dei fornitori, dei rapporti degli analisti e delle promozioni dei prodotti.

Ma ecco il problema: le nostre reti moderne hanno superato i nostri vecchi modi di pensare.

La rete moderna = un'unica gigantesca superficie di attacco

Un tempo, la "rete" era costituita da un data center e alcuni uffici. C'era un perimetro. Si costruiva un fossato. Si installava l'EDR sugli endpoint per tenere lontani gli aggressori.

Quel mondo non esiste più.

L'azienda moderna di oggi è ibrida, senza confini e in continua espansione:

  • Data center e cloud .
  • Piattaforme SaaS e strumenti di collaborazione.
  • Lavoratori remoti e SASE.
  • IoT e OT che non sono mai stati progettati tenendo conto della sicurezza.

Gli aggressori non vedono questo caos come una serie di silos di endpoint, cloud o identità. Vedono invece un'unica gigantesca superficie di attacco interconnessa. E hanno un unico obiettivo: entrare nella tua rete.

Il forcone degli aggressori

Ecco il punto cruciale: gli aggressori non hanno bisogno di un arsenale sofisticato per raggiungere il loro obiettivo. Hanno imparato a padroneggiare tre aspetti di quella che io chiamo la " forca degli aggressori":

  • Disattiva i controlli.
  • Evita le tue difese.
  • Inganna i tuoi strumenti.

Ecco fatto. Con questo pitchfork, possono aggirare endpoint , superare l'EDR e operare all'interno del vostro ambiente ibrido senza essere rilevati.

Se pensate che sia un'affermazione esagerata, diamo un'occhiata ai dati:

  • Il 50% delle violazioni gravi nel 2025 ha visto gli aggressori aggirare endpoint .
  • Il 40% delle violazioni ha interessato più domini: endpoint, rete, cloud e identità combinati.
  • E secondo CrowdStrike, il tempo medio che intercorre tra l'infiltrazione e il movimento laterale è di 48 minuti.

Quindi, ti faccio una domanda ovvia: se gli hacker possono disattivare, evitare o ingannare il tuo EDR in meno di un'ora, sei davvero al sicuro?

Perché il segnale è cattivo

Se sei un analista SOC, conosci già la risposta. Abbiamo investito in stack potenti:

  • Firewall, IDS/IPS sulla rete.
  • IAM, PAM, MFA sull'identità.
  • CASB, CSPM nel cloud.
  • EPP, EDR sugli endpoint.

Tutto solido. Tutto necessario. Ma anche... tutto isolato. Ogni strumento genera avvisi. Ognuno aggiunge rumore. Gli analisti sono sommersi da falsi positivi. E il "segnale" di cui abbiamo bisogno per individuare gli attacchi reali viene sepolto. Il risultato? Incertezza.

Ci viene detto di pensare in termini di superfici di attacco multiple. Gli aggressori non lo fanno. Loro pensano in termini di una sola superficie. E se il loro obiettivo è quello di entrare nella vostra rete e il loro percorso è quello di ottenere un'identità, allora il nostro segnale di attacco non dovrebbe essere radicato nella rete + identità?

La sicurezza ha due facce

Ricordate la verità umana? Vogliamo la sicurezza. Ma la sicurezza ha due facce:

  1. Resilienza pre-compromissione: impedire agli aggressori di entrare. (Questo è EDR.)
  1. Resilienza post-compromissione: bloccare gli aggressori già presenti. (Si tratta di NDR e identità.)

L'EDR è essenziale. Non c'è dubbio. Ma non è infallibile. Il pitchfork lo dimostra. L'NDR e il rilevamento delle identità coprono ciò che l'EDR non riesce a rilevare:

  • Movimento laterale attraverso il traffico est-ovest.
  • Abuso delle credenziali nei cloud .
  • Precursori del ransomware nell'IoT e nei dispositivi non gestiti.
  • Comportamenti anomali che non attivano alcun allarme ma che gridano "aggressore".

Non è teoria. I CISO del settore sanitario lo hanno fatto per proteggere la sicurezza dei pazienti. I rivenditori lo hanno fatto per proteggere i POS e l'IoT. I produttori lo hanno fatto per difendere le catene di approvvigionamento. I risultati? Una visibilità che prima non avevano. Una riduzione del rumore che non potevano immaginare. E una velocità di cui avevano disperatamente bisogno.

Il segnale post-compromesso alla velocità è tutto

Perché ecco l'altra sgradevole verità: i difensori sono lenti. Le ricerche dimostrano che i difensori impiegano in media 292 giorni per identificare e contenere un attacco. Nel frattempo, gli aggressori hanno bisogno di meno di un'ora per muoversi lateralmente. Perché? Perché la velocità è difficile.

  • Ricerca.
  • Monitor.
  • Correlare.
  • Triage.
  • Allerta.
  • Escalare.
  • Indagare.
  • Rispondi.

I sistemi basati su regole non riescono a stare al passo. Gli analisti non riescono a scalare. Il carico di lavoro è schiacciante. Solo l'IA rende possibile la velocità, automatizzando la correlazione, la selezione e la definizione delle priorità. Trasformando il rumore in narrazione. Fornendo agli analisti segnali di attacco alla stessa velocità con cui operano gli aggressori.

Il CISO lungimirante

Eccoci qui. Reti moderne, attacchi moderni, problemi moderni.

I CISO lungimiranti non acquistano nuovi strumenti da provare alla cieca. Stanno cambiando le basi della loro strategia di resilienza:

  • Da segnali isolati a segnali di rete + identità unificati.
  • Dalla prevenzione statica all'ipotesi di compromissione.
  • Da regole e rumore a un'intelligenza artificiale comportamentale che garantisce chiarezza e velocità.

Perché fermare le violazioni non significa più solo prevenzione perfetta. Significa anche rilevamento e risposta resilienti una volta che gli aggressori sono entrati.

Il mio modo di pensare semplice

Ho detto che sono una persona semplice, quindi concludiamo in modo semplice. Siamo esseri umani. Vogliamo sicurezza. Proviamo dolore nell'incertezza. Dobbiamo fermare le violazioni. La nostra capacità di essere resilienti si riduce a 3 cose: Copertura + Chiarezza + Controllo.

  • Copertura: rete + identità + Cloud Endpoint .
  • Chiarezza: segnale di attacco radicato nella rete e nell'identità, non in strumenti isolati.
  • Controllo: velocità guidata dall'intelligenza artificiale che ribalta il vantaggio dell'attaccante.

È così che i CISO lungimiranti stanno neutralizzando l'attacco degli hacker.

Considerazione finale: perché la sicurezza delle reti e delle identità è il futuro

La rete moderna non ha confini. L'arma degli aggressori è semplice ma letale. L'EDR da solo non è sufficiente. Quindi chiedetevi: il vostro segnale di attacco è radicato dove operano effettivamente gli aggressori, ovvero nella rete e con un'identità? Perché è lì che risiedono la sicurezza, la certezza e la resilienza.

Fonti:

  • Presentazione Gartner SRM a Londra: L'EDR non è sufficiente – Costruire una moderna resilienza agli attacchi con rete + identità
  • Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto — dati relativi alle violazioni e ai fallimenti endpoint
  • Rapporto sulle minacce globali 2025 di CrowdStrike: in media 48 minuti dall'infiltrazione al movimento laterale
  • Vectra AI, Stato dell'arte del rilevamento e della risposta alle minacce – Il dilemma dei difensori (2024, 2023) — Punti critici, incertezze e sfide relative alla chiarezza dei segnali per gli analisti SOC

Domande frequenti