Le difese statiche hanno un limite: nessuno le guarda. Un attacco può iniziare di notte, in un weekend, dentro un account legittimo, e in Italia un’azienda che non usa AI e automazione di sicurezza impiega in media 215 giorni — circa sette mesi — per identificare e contenere una violazione (155 per accorgersene, altri 60 per fermarla) (IBM Cost of a Data Breach 2025). Il monitoraggio continuo è il sismografo dell’azienda: coglie il segnale anomalo mentre è ancora debole, prima che diventi un incidente.
Monitorare e accorgersi non sono la stessa cosa
Quasi tutte le infrastrutture producono log; pochissime organizzazioni li leggono davvero. Lo scarto tra le due cose ha un nome — dwell time — il tempo in cui un intruso opera nei sistemi senza che nessuno se ne accorga. Per ridurlo servono tre elementi che funzionano solo insieme: un sistema SIEM che raccoglie e correla i log di rete, firewall, server, endpoint e applicazioni — comprese rete e infrastrutture; una correlazione assistita dall’AI, che separa i segnali dal rumore; e analisti che valutano e decidono. Nel nostro SOC ogni evento sospetto viene analizzato da persone, non solo da software, e ogni minaccia rilevata affina le nostre regole di rilevamento — le regole, non i dati dei clienti, che restano segregati. L’effetto è misurabile: secondo lo stesso report IBM, in Italia chi fa uso estensivo di AI e automazione nella sicurezza scende a 149 giorni, oltre due mesi in meno tra identificazione e contenimento.
Threat hunting: cercare chi non fa rumore
Non tutte le intrusioni generano alert: le più insidiose sono progettate per restare silenziose. Il threat hunting capovolge la logica del monitoraggio: invece di aspettare un allarme, gli analisti formulano ipotesi di compromissione e le verificano con analisi comportamentali, cercando le tracce di chi ha già superato i controlli automatici. È la difesa contro le intrusioni che possono restare nascoste per mesi, come quelle di cyber-spionaggio (Mandiant M-Trends 2026).
Cosa facciamo
- Monitoriamo la tua infrastruttura con un Security Operations Center (SOC) attivo 24 ore su 24, 7 giorni su 7.
- Implementiamo e gestiamo il SIEM: la piattaforma che centralizza i log di tutta l’infrastruttura e trasforma un flusso continuo di eventi in pochi segnali che richiedono davvero attenzione.
- Facciamo threat hunting: ricerca proattiva delle minacce che eludono i controlli automatici.
- Prepariamo con il tuo team IT piani e procedure di incident response: chi fa cosa, chi comunica con chi, in quale ordine, quando l’incidente arriva.
- In caso di attacco interveniamo per contenere, eradicare, mitigare e ripristinare, riducendo al minimo l’interruzione dell’operatività.
Cosa ottieni
- Visibilità in tempo reale su ciò che accade nei tuoi sistemi, senza assumere e formare un team di analisti per coprire i turni di un SOC interno.
- Tempi di rilevamento e risposta misurati e più bassi: la differenza tra un incidente gestito e una crisi.
- Un piano di incident response scritto, condiviso e provato — non un documento che nessuno ha mai aperto.
- Log centralizzati e tracciabilità degli eventi: utili per gli audit e per dimostrare la conformità — dal GDPR alla NIS2 per chi vi rientra, fino alla ISO 27001 per chi la sceglie.
- Un perimetro che cresce con l’azienda: nuovi endpoint, nuove sedi e ambienti cloud entrano nel monitoraggio senza ripartire da zero.
Il monitoraggio si installa prima dell’incidente, non durante. Contattaci per una valutazione della tua capacità attuale di rilevamento: ti diciamo cosa vedresti oggi di un attacco in corso, e cosa no. Se invece l’incidente è già in corso, non serve una valutazione ma una squadra di soccorso: per le emergenze c’è il nostro CSIRT.
// domande frequenti
Un SOC 24/7 ha senso anche per una PMI, o è roba da grandi aziende?
Spesso è proprio la PMI ad averne più bisogno. Coprire i turni di un Security Operations Center interno richiede cinque o sei analisti dedicati: un costo insostenibile sotto una certa dimensione. Un SOC gestito offre la stessa copertura continua a canone, senza assunzioni. E un attacco che parte di notte o nel weekend ha più tempo per fare danno se nessuno presidia i sistemi fuori orario.
Abbiamo già firewall e antivirus: perché non bastano?
Firewall e antivirus sono difese statiche e non presidiate: bloccano ciò che riconoscono, ma molti attacchi passano da credenziali legittime rubate o dal phishing e non fanno scattare alcun blocco automatico. Il monitoraggio aggiunge l'elemento che manca: qualcuno che osserva i segnali, li correla e risponde. Restano necessari, ma sono il punto di partenza, non la difesa completa.
Cosa succede concretamente quando rilevate un attacco?
Gli analisti del SOC CyberQuake valutano l'allarme (triage) e, se l'incidente è confermato, attivano il piano di incident response concordato: contenimento per fermare la propagazione, comunicazioni secondo ruoli e ordine definiti in anticipo, eradicazione della minaccia, mitigazione e ripristino dei sistemi. A incidente chiuso ricevi un report con la ricostruzione dell'accaduto e le azioni correttive per evitare che si ripeta.
Cos'è il dwell time e perché dovrebbe interessarmi?
È il tempo in cui un attaccante opera nei tuoi sistemi prima di essere scoperto. La mediana globale è di 14 giorni; le intrusioni di cyber-spionaggio restano nascoste per una mediana di 122 giorni, circa quattro mesi (Mandiant M-Trends 2026). Ogni giorno in più significa più dati esfiltrati e più sistemi compromessi: ridurre il dwell time è l'obiettivo primario di monitoraggio continuo e threat hunting.
Il monitoraggio ci serve per la NIS2 e il GDPR?
Aiuta, ma non basta da solo. Per i soggetti che rientrano nella NIS2, gli incidenti significativi vanno comunicati al CSIRT Italia con tempi stretti: pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese (d.lgs. 138/2024). Rispettarli senza monitoraggio e log centralizzati è molto difficile. Sul fronte GDPR la tracciabilità degli eventi sostiene l'accountability e la gestione dei data breach. L'adeguamento normativo completo passa però da un percorso di compliance dedicato.
Dovete installare qualcosa sui nostri sistemi? Chi vede i nostri dati?
Il servizio richiede la raccolta dei log e, dove serve, agent sugli endpoint, sempre dentro un perimetro definito nel contratto: sai esattamente cosa viene monitorato e cosa no. Il trattamento dei dati è regolato dalla nomina a responsabile del trattamento prevista dal GDPR, con finalità limitate alla sicurezza. Sai sempre cosa entra nel monitoraggio e cosa resta fuori.