La rete è dove l’azienda lavora: se si ferma, si ferma tutto. Il problema per chi decide non è comprare l’ennesimo apparato, ma sapere se l’infrastruttura nel suo insieme — uffici, server, persone in remoto, cloud — regge un attacco e contiene i danni quando qualcosa va storto. Questo servizio costruisce la struttura antisismica: difese progettate sull’architettura reale, non a catalogo. La protezione di rete e infrastrutture mette in sicurezza l’intera architettura IT — server, endpoint, accessi remoti e cloud — riducendo la superficie d’attacco e confinando i danni quando un’intrusione riesce.
Quanti attacchi subisce un’azienda italiana — e quali contano davvero
Le organizzazioni italiane subiscono in media 2.334 attacchi a settimana, circa il 18% sopra la media globale (Check Point, Cyber Security Report 2026): è la misura della pressione, non del danno. Quando si guarda agli attacchi gravi andati a segno, il quadro cambia forma. Il DDoS vale il 38,5% degli attacchi noti in Italia secondo il Rapporto Clusit 2026, eppure per l’ACN (Relazione annuale 2025) gli incidenti DDoS con impatto confermato restano sotto l’11%: molti, spesso di matrice hacktivista, fanno rumore ma poco danno.
La conseguenza pratica: difendersi da tutto allo stesso modo è la via più rapida per spendere male. Un piano di difesa serio parte da com’è fatta davvero l’infrastruttura e ordina gli interventi per riduzione del rischio, non per visibilità della minaccia.
NGFW, Zero Trust, segmentazione: cosa sono, senza gergo
Un firewall tradizionale filtra il traffico per porte e indirizzi IP; un firewall di nuova generazione (NGFW) riconosce utenti, applicazioni e contenuti, e applica le regole a quel livello: blocca minacce veicolate dentro traffico che un firewall classico considererebbe legittimo. Accanto, i sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) osservano il traffico e riconoscono intrusioni, exploit e anomalie: l’IDS le segnala, l’IPS le blocca prima che proseguano.
Zero Trust — «never trust, always verify», mai fidarsi e verificare sempre — significa che nessun utente, dispositivo o applicazione ottiene accesso solo perché si trova dentro la rete: ogni accesso viene verificato, ogni volta. In pratica, una password rubata smette di valere quanto le chiavi dell’intera azienda.
La segmentazione divide la rete in compartimenti: se una zona viene compromessa, l’attacco non si propaga liberamente al resto dell’organizzazione — per muoversi deve superare controlli a ogni confine, e ogni passaggio è un’occasione in più per rilevarlo e fermarlo. Per molte PMI è l’intervento che rende di più rispetto a quanto costa: quello che trasforma un potenziale disastro in un incidente circoscritto.
Cosa facciamo
- Analizziamo l’architettura esistente — perimetro, server, cloud, accessi remoti — e ne mappiamo vulnerabilità ed esposizioni: il piano di difesa nasce da lì.
- Configuriamo e gestiamo nel tempo NGFW e sistemi IDS/IPS e curiamo l’hardening degli apparati — regole, firme e firmware aggiornati, policy ricalibrate quando la rete cambia: le difese ferme alla configurazione iniziale invecchiano insieme alla rete che dovrebbero proteggere.
- Segmentiamo la rete in zone isolate, con controlli sugli accessi tra una zona e l’altra.
- Introduciamo il modello Zero Trust per gradi, partendo da identità, accessi e asset critici, sull’infrastruttura che hai già.
- Proteggiamo gli endpoint — server, workstation, portatili e smartphone — con difese contro malware e ransomware e controllo degli accessi: con il lavoro da remoto sono diventati un punto d’ingresso privilegiato.
- Colleghiamo le difese al monitoraggio continuo e alla risposta alle minacce: un’infrastruttura difesa ma non osservata è protetta solo a metà.
Cosa ottieni
- Un’infrastruttura documentata e segmentata, con una superficie d’attacco più piccola e controlli che valgono anche dentro la rete, non solo sul perimetro.
- Difese integrate con i sistemi che hai già; gli interventi che richiedono fermi vengono pianificati in finestre concordate.
- Una roadmap di interventi ordinati per rischio, che cresce con l’azienda: nuove sedi, cloud e lavoro remoto si aggiungono senza rifare l’impianto.
- Misure tecniche documentate, che dimostrano l’adeguatezza al rischio attesa da un audit: utili come evidenza e come base per un percorso di compliance completo.
Ogni rete è diversa, e gli interventi utili si capiscono solo guardando la tua. Raccontaci com’è fatta la tua infrastruttura — anche a grandi linee — dalla pagina contatti: ti diciamo da dove ha senso cominciare e cosa può attendere. E se sospetti un’intrusione in corso, non aspettare: c’è il CSIRT per le emergenze.
// domande frequenti
Abbiamo già un firewall: cosa cambia con un NGFW gestito?
Un firewall classico decide in base a porte e indirizzi IP; un firewall di nuova generazione (NGFW) guarda chi fa cosa — utente, applicazione, contenuto — e ferma anche traffico che a livello di porta sembra legittimo. «Gestito» significa che qualcuno tiene vive le difese nel tempo: aggiorna regole, firme e firmware, ricalibra le policy quando la rete cambia e verifica ciò che il firewall segnala. Un NGFW installato e lasciato a sé stesso torna in pochi mesi a comportarsi come un firewall qualunque.
La segmentazione della rete serve anche a una PMI con una sola sede?
Sì, se nella stessa rete convivono gestionale, server, dispositivi personali o macchinari di produzione. Senza segmentazione una singola compromissione — un PC colpito da ransomware, per esempio — può raggiungere ogni angolo della rete; con le zone isolate il danno tende a restare circoscritto a un compartimento, invece di propagarsi indisturbato. L'investimento è proporzionato alla dimensione e alla complessità della rete, non al fatturato dell'azienda.
Adottare Zero Trust significa rifare la rete da zero?
No. Zero Trust — «never trust, always verify», mai fidarsi e verificare sempre — è un modello, non un prodotto: si introduce per gradi sull'infrastruttura esistente, cominciando da dove il rischio è più alto — identità, permessi di accesso, sistemi critici — e usando la segmentazione già in essere per ridurre ciò di cui ci si deve fidare implicitamente. Si procede un passo alla volta, senza stravolgere il modo in cui le persone lavorano.
Dovremo fermare l'operatività per mettere in sicurezza la rete?
No. CyberQuake progetta le difese per integrarsi con i sistemi già in uso, e gli interventi che richiedono interruzioni — per esempio la riconfigurazione degli apparati di rete — vengono pianificati in finestre concordate, fuori dagli orari critici. La continuità operativa è uno degli obiettivi del servizio, non il prezzo da pagare per la sicurezza.
La protezione della rete basta per essere conformi alla NIS2?
No: nessun servizio puramente tecnico basta, da solo, per la conformità. La messa in sicurezza di rete e infrastrutture copre il versante tecnico della gestione del rischio — segmentazione, controllo degli accessi, protezione di rete ed endpoint — e lo documenta: in caso di verifica, l'evidenza c'è. La conformità completa richiede anche governance, processi, gestione di incidenti e fornitori: per quel percorso esiste un servizio di compliance dedicato.
Da dove si comincia se il budget è limitato?
Dall'analisi dell'architettura esistente, che è anche la parte meno costosa: ne esce una lista di interventi in ordine di priorità. Il primo della lista è quasi sempre la segmentazione, perché elimina molto rischio a costo contenuto; seguono controllo degli accessi e protezione degli endpoint, e il resto entra in una roadmap con priorità esplicite. Nessuno dovrebbe comprare tecnologia prima di sapere quale rischio sta riducendo.