I team di sicurezza sono sotto crescente pressione per rilevare e rispondere alle minacce in tempo reale, soprattutto perché il tempo medio di permanenza (dwell time) degli attacchi ransomware è sceso da settimane a pochi giorni. Eppure, molte organizzazioni si affidano ancora a strumenti legacy di Security Information and Event Management (SIEM) e Security Orchestration, Automation, and Response (SOAR). Questi strumenti sono stati progettati quando gli attaccanti si muovevano lentamente e i difensori avevano più tempo a disposizione — quei giorni sono finiti. L’attuale panorama delle minacce è molto più rapido e aggressivo. Se il tuo team di sicurezza è sopraffatto dagli alert, rallentato dalla complessità degli strumenti o impegnato senza sosta ad affinare le regole di rilevamento solo per restare al passo, forse è arrivato il momento di ripensare l’approccio.
SIEM e SOAR: capaci, ma richiedono cura costante
Secondo le linee guida 2025 della Cybersecurity and Infrastructure Security Agency (CISA), le piattaforme SIEM e SOAR possono migliorare significativamente la visibilità e le capacità di risposta — ma solo se implementate e mantenute correttamente. Le linee guida evidenziano che questi strumenti richiedono “un continuo affinamento e monitoraggio per garantire che le regole di rilevamento restino efficaci e che le risposte automatizzate non introducano conseguenze indesiderate”.
In breve, SIEM e SOAR sono tutt’altro che plug-and-play. Per rimanere efficaci nell’attuale scenario di minacce in rapida evoluzione necessitano di manutenzione, integrazione e supervisione costanti. Senza risorse dedicate, si rischia di perdere ciò che conta davvero o di sprecare tempo inseguendo ciò che non ha valore. E nonostante i costi elevati di licenza e manutenzione, molti team vedono un valore limitato o risultati misurabili ridotti rispetto all’investimento fatto.
Le piattaforme SIEM di nuova generazione e l’ascesa di XDR
Le piattaforme SIEM di nuova generazione mirano ad affrontare alcune di queste sfide offrendo un’acquisizione dei dati più flessibile, analisi integrate e una migliore scalabilità. Tuttavia, spesso richiedono ancora la creazione manuale di regole di rilevamento, playbook di risposta e lavoro di integrazione.
Extended Detection and Response (XDR) va oltre. A differenza degli strumenti tradizionali basati esclusivamente sugli alert, XDR analizza i dati grezzi per scoprire minacce nascoste e ridurre il rumore. Sfrutta una vasta gamma di tecniche — dalle watchlist alle firme, fino al rilevamento avanzato basato su AI. Con automazione integrata e funzionalità SOAR preconfigurate, XDR elimina la necessità di creare regole personalizzate o di partire da zero.
La maggior parte delle organizzazioni non ha nemmeno un team di sicurezza dedicato, quindi aspettarsi che gestiscano e mantengano un sistema di questo tipo non è solo difficile: è irrealistico. XDR offre un costo totale di proprietà vantaggioso rispetto al valore che genera nella protezione dal cybercrime.
Perché l’MDR su XDR garantisce risultati migliori
Il Managed Detection and Response (MDR) aggiunge l’elemento umano. Gestito da analisti esperti, l’MDR fornisce monitoraggio 24/7, threat hunting e incident response. Quando l’MDR è basato su una piattaforma XDR progettata ad hoc con funzionalità SIEM di nuova generazione, si crea una combinazione potente:
- Protezione continua senza bisogno di tuning costante
- Risposta più rapida e accurata alle minacce reali
- Risultati senza l’onere di gestire un SOC complesso
Restare un passo avanti al ransomware con una sicurezza che funziona
Le organizzazioni hanno bisogno di una piattaforma di security operations che funzioni davvero, ora che il ransomware colpisce più rapidamente e il dwell time è sceso a poche ore, non più settimane. Le linee guida della CISA sono chiare: SIEM e SOAR possono essere efficaci, ma richiedono un impegno significativo per la loro manutenzione, soprattutto con la velocità con cui si evolvono le modalità di diffusione del ransomware.
Se i tuoi strumenti attuali ti rallentano o creano più rumore che insight, potrebbe essere il momento di adottare una soluzione più moderna.
XDR con MDR offre un approccio scalabile, efficiente e orientato ai risultati per le operazioni di sicurezza. Ti consente di concentrarti sulla gestione del tuo business, senza doverti chiedere continuamente se le tue difese stiano funzionando.
Per scoprire di più su come Sophos sta trasformando il mondo delle security operations con Taegis XDR grazie all’acquisizione di Secureworks, visita Extended Detection and Response (XDR) with Next-Gen SIEM.
