Cosa rivela l'incidente di Stryker sulle strategie di attacco di Handala.
Leggi il blog

Cosa rivela l'incidente di Stryker sulle strategie di attacco di Handala. Leggi il blog →

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
  1. Blog
    >
  2. EDR

L'EDR non è sufficiente: perché i CISO lungimiranti stanno passando alla rete + identità

April 9, 2026
4/9/2026
Mark Wojtasiak
Vicepresidente senior Ricerca e strategia di prodotto
L'EDR non è sufficiente: perché i CISO lungimiranti stanno passando alla rete + identità

Sono una persona che ragiona in modo semplice, quindi cercherò di essere chiaro.

In qualità di responsabili della sicurezza, condividiamo tutti le stesse tre verità:

  • We want to keep our people and our brand safe.
  • Our biggest pain is uncertainty.
  • We need to stop breaches.

Ecco fatto. Tre verità umane che vanno oltre il rumore delle presentazioni dei fornitori, dei rapporti degli analisti e delle promozioni dei prodotti.

But here’s the problem: our modern networks have outgrown our old ways of thinking, while attacks happen at AI speed.

La rete moderna = un'unica gigantesca superficie di attacco

Un tempo, la "rete" era costituita da un data center e alcuni uffici. C'era un perimetro. Si costruiva un fossato. Si installava l'EDR sugli endpoint per tenere lontani gli aggressori.

Quel mondo non esiste più.

Today’s modern AI enterprise is hybrid, borderless, and sprawling:

  • Data center e cloud .
  • Piattaforme SaaS e strumenti di collaborazione.
  • Identities – human, machines, AI agents.
  • Lavoratori remoti e SASE.
  • IoT e OT che non sono mai stati progettati tenendo conto della sicurezza.

Attackers don’t look at this chaos and see silos of endpoints, cloud, or identity. They see one giant, connected attack surface. And they have one simple objective: get on your network. Now, they can do it at AI speed.

Il forcone degli aggressori

Here’s the kicker: attackers don’t need a sophisticated arsenal to make it happen. They’ve mastered three prongs of what I call the Attackers’ Pitchfork:

  • Disable your controls.
  • Avoid your defenses.
  • Fool your tools.

Ecco fatto. Con questo pitchfork, possono aggirare endpoint , superare l'EDR e operare all'interno del vostro ambiente ibrido senza essere rilevati.

Se pensate che sia un'affermazione esagerata, diamo un'occhiata ai dati:

  • 50% of major breaches in 2025 involved attackers bypassing endpoint controls.
  • 40% of breaches spanned multiple domains — endpoint, network, cloud, and identity combined.
  • Aaccording to CrowdStrike, the average time from infiltration to lateral movement is 48 minutes.
  • And now, attackers are automating large parts of the attack path.

Quindi, ti faccio una domanda ovvia: se gli hacker possono disattivare, evitare o ingannare il tuo EDR in meno di un'ora, sei davvero al sicuro?

Perché il segnale è cattivo

Se sei un analista SOC, conosci già la risposta. Abbiamo investito in stack potenti:

  • Firewall, IDS/IPS sulla rete.
  • IAM, PAM, MFA sull'identità.
  • CASB, CSPM nel cloud.
  • EPP, EDR sugli endpoint.

All solid. All necessary. But also… all siloed. Each tool generates alerts. Each adds noise. Analysts drown in false positives. And the “signal” we need to catch real attacks gets buried. The result? Uncertainty.

We’re told to think in terms of multiple attack surfaces. Attackers don’t. They think in terms of one. And if their objective is to get on your network and their path is to get an identity, then shouldn’t our attack signal be rooted in network + identity?

La sicurezza ha due facce

Remember the human truth? We want safety. But safety has two sides:

  1. Pre-compromise resilience: stopping attackers from getting in. (That’s EDR.)
  2. Post-compromise resilience: stopping attackers already in. (That’s NDR and identity.)

L'EDR è essenziale. Non c'è dubbio. Ma non è infallibile. Il pitchfork lo dimostra. L'NDR e il rilevamento delle identità coprono ciò che l'EDR non riesce a rilevare:

  • Movimento laterale attraverso il traffico est-ovest.
  • Abuso delle credenziali nei cloud .
  • Precursori del ransomware nell'IoT e nei dispositivi non gestiti.
  • Comportamenti anomali che non attivano alcun allarme ma che gridano "aggressore".

Non è teoria. I CISO del settore sanitario lo hanno fatto per proteggere la sicurezza dei pazienti. I rivenditori lo hanno fatto per proteggere i POS e l'IoT. I produttori lo hanno fatto per difendere le catene di approvvigionamento. I risultati? Una visibilità che prima non avevano. Una riduzione del rumore che non potevano immaginare. E una velocità di cui avevano disperatamente bisogno.

Il segnale post-compromesso alla velocità è tutto

Because here’s the other ugly truth: defenders are slow. Research shows it takes defenders, on average, 292 days to identify and contain an attack. Meanwhile, attackers need less than an hour to move laterally. Why? Because speed is hard.

  • Ricerca.
  • Monitor.
  • Correlare.
  • Triage.
  • Allerta.
  • Escalare.
  • Indagare.
  • Rispondi.

Rules-based systems can’t keep up. Analysts can’t scale. The workload is crushing. Only AI makes speed achievable — by automating correlation, triage, and prioritization. By turning noise into narrative. By giving analysts attack signal at the speed attackers operate.

Il CISO lungimirante

Eccoci qui. Reti moderne, attacchi moderni, problemi moderni.

I CISO lungimiranti non acquistano nuovi strumenti da provare alla cieca. Stanno cambiando le basi della loro strategia di resilienza:

  • From siloed signals to unified network + identity signals.
  • From static prevention to assume compromise.
  • From rules and noise to behavioral AI that delivers clarity and speed.

Perché fermare le violazioni non significa più solo prevenzione perfetta. Significa anche rilevamento e risposta resilienti una volta che gli aggressori sono entrati.

Il mio modo di pensare semplice

I said I’m a simple thinker, so let’s end simple. We are human. We want safety. We feel pain in uncertainty. We need to stop breaches. Our ability to be resilient comes down to 3 things: Observability + Signal + Control.

  • Observability: Network + Identity + Cloud + Endpoint together.
  • Signal: attack signal rooted in network and identity, not siloed tools.
  • Control: AI-driven speed that flips the script on attacker advantage.

È così che i CISO lungimiranti stanno neutralizzando l'attacco degli hacker.

Considerazione finale: perché la sicurezza delle reti e delle identità è il futuro

La rete moderna non ha confini. L'arma degli aggressori è semplice ma letale. L'EDR da solo non è sufficiente. Quindi chiedetevi: il vostro segnale di attacco è radicato dove operano effettivamente gli aggressori, ovvero nella rete e con un'identità? Perché è lì che risiedono la sicurezza, la certezza e la resilienza.

Sources:

  • Gartner SRM London presentation: EDR Isn’t Enough – Building Modern Attack Resilience with Network + Identity
  • Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto — breach and endpoint protection failure data
  • CrowdStrike 2025 Global Threat Report — average 48 minutes from infiltration to lateral movement
  • Vectra AI, State of Threat Detection and Response – The Defenders’ Dilemma (2024, 2023) — SOC analyst pain points, uncertainty, and signal clarity challenges

Domande frequenti