La realtà della rete moderna
Non molto tempo fa, la "rete" era facile da immaginare: centri dati e campus con un perimetro definito. Quel mondo non esiste più. Oggi la rete moderna comprende data center, lavoratori remoti, piattaforme SaaS, carichi di lavoro cloud , dispositivi IoT e OT e, soprattutto, identità che legano il tutto.
Questa espansione ha trasformato la superficie di attacco in un gigantesco ecosistema ibrido e interconnesso. E gli aggressori si sono adattati. Non pensano più a silos come "endpoint", "cloud" o "identità". Vedono una grande superficie unificata in cui infiltrarsi, muoversi e sfruttare.
Ecco perché il 40% delle violazioni si estende su più domini e gli attori del ransomware riescono a spostarsi lateralmente in meno di 48 minuti. La conclusione è semplice: se continuiamo a difendere in silos, i difensori rimarranno sempre indietro.
La sfida del SOC
La maggior parte delle organizzazioni ha investito molto in strumenti: EDR per gli endpoint, SIEM/SOAR per la correlazione dei log e i flussi di lavoro, e ora XDR per la "piattaforma". Questi investimenti sono necessari, ma non sufficienti. Perché?
Perché i team SOC sono sommersi dagli avvisi. I team ricevono quasi 4.000 avvisi al giorno, ma meno dell'1% è attivabile. Gli analisti passano quasi tre ore al giorno solo per gestire gli avvisi, mentre gli avversari si muovono lateralmente in meno di un'ora.
Questo è il "dilemma dei difensori". Gli strumenti sono rumorosi, isolati e tarati per la conformità o la prevenzione, non per il rilevamento in tempo reale di comportamenti furtivi degli aggressori. Ecco perché molti responsabili SOC mi dicono: "È solo questione di tempo prima che ci sfugga qualcosa".
Perché l'EDR non è sufficiente
L'EDR rimane fondamentale. Ma non è mai stato concepito per coprire tutto. Considerate:
- Lacune nella copertura: Gli agenti EDR non possono essere eseguiti su dispositivi non gestiti, sistemi IoT, OT o di terzi. Eppure gli aggressori prendono deliberatamente di mira questi punti ciechi.
- Bypass e elusione: L'EDR viene abitualmente disabilitato o eluso. Le valutazioni del CISA Red Team hanno mostrato come gli aggressori utilizzino la manomissione dei driver, il montaggio di dischi VM o gli strumenti di rimozione degli hook per bloccare gli agenti endpoint .
- Abuso di identità: Quando gli aggressori "accedono" anziché "violano", l'EDR spesso non vede nulla di dannoso. Abuso di privilegi, furto di token OAuth, delega di caselle di posta: non sembrano malware, ma sono oro per gli aggressori.
- Punti ciechi della rete: L'EDR vede ciò che accade sull' host. Non vede il traffico est-ovest tra i sistemi, i tunnel crittografati o i movimenti laterali tra i domini.
In poche parole: se ci si affida esclusivamente all'EDR, non si vede gran parte del modo in cui si svolgono gli attacchi moderni.
Perché i SIEM e i SOAR non sono all'altezza
I SIEM e le piattaforme SOAR promettono visibilità centralizzata e flussi di lavoro automatizzati. Ma dipendono dalla qualità dei dati ingeriti. I rifiuti entrano, i rifiuti escono.
- Volume contro valore: I SIEM ingeriscono migliaia di eventi di log al giorno, ma la maggior parte di essi non dispone del contesto necessario per separare gli eventi benigni da quelli dannosi.
- Latenza: La correlazione basata sui log è reattiva e lenta. Nel momento in cui i segnali vengono raccolti, gli aggressori si sono già mossi.
- Complessità: La manutenzione di regole e playbook richiede molto lavoro. I SOC spesso passano più tempo a mettere a punto che a indagare.
I SIEM/SOAR sono necessari per la conformità e l'orchestrazione. Ma non sono sostitutivi del rilevamento in tempo reale basato sul comportamento.
Dove si inserisce XDR
L'XDR è emerso come risposta alla dispersione degli strumenti. Se fatto bene, promette un'integrazione tra endpoint, rete, cloud e identità. Ma la maggior parte delle offerte "XDR" oggi sono semplicemente ecosistemi di fornitori che estendono le loro capacità EDR o SIEM di base. Ciò significa che persistono gli stessi punti oscuri e gli stessi silos.
L'XDR senza un segnale di rete e di identità ad alta fedeltà è solo EDR con un nuovo nome. E senza questo segnale, l'XDR continua a inseguire gli allarmi invece di vedere gli attacchi.
Perché l'NDR è essenziale per i moderni SOC
È qui che entra in gioco il Network Detection and Response (NDR). Le moderne piattaforme NDR, come Vectra AI, sono costruite appositamente per ipotizzare una compromissione e rilevare ciò che gli altri strumenti non riescono a individuare:
- Copertura senza agenti: L'NDR fornisce visibilità su dispositivi non gestiti, IoT/OT, carichi di lavoro cloud e identità, ovunque gli agenti endpoint non possano andare.
- Rilevamento comportamentale: Invece di affidarsi alle firme, l'NDR utilizza l'intelligenza artificiale per rilevare metodi di attacco come tunnel nascosti, abuso di privilegi e spostamenti laterali, anche quando gli aggressori utilizzano credenziali valide.
- Visibilità del traffico est-ovest: L'NDR ispeziona le comunicazioni interne dove gli aggressori vivono dopo la compromissione, facendo emergere attività di ricognizione, persistenza ed esfiltrazione.
- Riduzione del rumore: L'NDR di Vectra AIfiltra fino al 99% del rumore degli avvisi, in modo che gli analisti si concentrino solo sulle progressioni di attacco convalidate e prioritarie.
- Risposta integrata: L'NDR si integra con SIEM, SOAR ed EDR, attivando in tempo reale l'isolamento degli host, il ripristino delle credenziali o il blocco dei firewall.
Vedetela in questo modo: L'EDR cerca di impedire agli aggressori di entrare. L'NDR li ferma quando sono già entrati. Insieme, formano i due lati della difesa moderna.
Combinazione di NDR, EDR e SIEM: un approccio ibrido alla visibilità del SOC
La triade SOC Visibility - SIEM, EDR e NDR - rimane il modello migliore per una copertura completa. Ogni strumento ha un ruolo:
- SIEM/SOAR per la conformità, l'aggregazione e l'orchestrazione.
- EDR per la telemetria dettagliata endpoint e il contenimento.
- NDR per il rilevamento in tempo reale attraverso la rete, il cloud e l'identità, dove gli aggressori vivono effettivamente dopo la violazione.
Oggi la differenza è che l'NDR non è più opzionale. È il livello mancante che completa l'architettura di rilevamento del SOC.
Risultati reali con la NDR
Le organizzazioni che aggiungono l'NDR ai loro stack EDR, SIEM e SOAR riportano costantemente miglioramenti misurabili:
- 391% di ROI con un ammortamento di sei mesi.
- 52% di minacce in più identificate nel 37% di tempo in meno.
- Riduzione del 99% del rumore di allarme e aumento del 40% dell'efficienza del SOC.
- Riduzione di MTTD e MTTR da giorni a ore.
Non si tratta di affermazioni di marketing. Sono i risultati di clienti reali che hanno imparato a loro spese che gli endpoint e i registri da soli non bastano.
Il bilancio: Perché la NDR non è più facoltativa
Le reti moderne richiedono difese moderne. Gli aggressori si muovono velocemente, vivono sul territorio e sfruttano i punti ciechi in modi che gli strumenti tradizionali non sono stati costruiti per cogliere.
L'EDR è necessario, ma non sufficiente. SIEM/SOAR sono preziosi, ma non sono motori di rilevamento. XDR promette integrazione, ma senza NDR è incompleto.
L'NDR è l'unica tecnologia che fornisce la copertura, la chiarezza e il controllo necessari per vedere e bloccare gli attacchi moderni sull'intera rete ibrida.
Se volete proteggere la vostra organizzazione dal rischio di diventare il prossimo caso di violazione, non potete permettervi di considerare l'NDR come un optional. È essenziale.
Fonti
- Vectra AI, Stato 2024 del rilevamento e della risposta alle minacce: Il dilemma dei difensori
- Vectra AI, Rapporto sull'efficienza del rilevamento e della risposta alle minacce per il 2024
- Vectra AI, Brief di ricerca: Ridurre il rumore, aumentare le minacce (2025)
- Vectra AI, Il caso del rilevamento e della risposta di rete (2025)
- Vectra AI, 5 motivi per cui l'EDR non è sufficiente (2025)
- CrowdStrike, Rapporto sulle minacce globali 2025
- IBM, Rapporto sul costo di una violazione dei dati nel 2024
- IDC, Il valore commerciale di Vectra AI 2025)