
SOC, SIEM, EDR. Tre sigle che tornano in ogni conversazione sulla cybersecurity e che vengono usate spesso come sinonimi. Non lo sono. E confonderle è il modo più veloce per comprare la tecnologia sbagliata: spendere un budget importante e restare, di fatto, scoperti. Le spieghiamo dal punto di vista di chi deve decidere — senza tecnicismi.
EDR: l’occhio sull’endpoint
L’EDR (Endpoint Detection and Response) è lo strumento che vive sui dispositivi — pc, server, portatili. Osserva cosa succede su ogni macchina: processi che partono, file che vengono cifrati, comportamenti anomali. È l’evoluzione dell’antivirus: non si limita a bloccare un file malevolo noto, ma riconosce le azioni tipiche di un attacco e può isolare la macchina colpita. È fondamentale, ma vede una cosa sola: l’endpoint.
SIEM: la regia che mette insieme i puntini
Il SIEM (Security Information and Event Management) è la centrale che raccoglie e correla i log da tutte le fonti: firewall, endpoint, server, cloud, applicazioni. Il suo valore è la correlazione: un accesso fallito qui, un login anomalo lì, un trasferimento di dati a un’ora insolita — presi singolarmente sembrano nulla, messi insieme raccontano un attacco. Il SIEM è ciò che trasforma migliaia di eventi isolati in pochi alert che contano.
SOC: le persone che fanno funzionare tutto
Il SOC (Security Operations Center) non è una tecnologia: sono le persone e i processi. Analisti che guardano gli alert del SIEM, li qualificano, distinguono il falso allarme dall’incidente vero e — soprattutto — reagiscono. Uno strumento genera un alert alle 3 di notte; senza un SOC, quell’alert resta a lampeggiare fino al mattino. La differenza tra subìre un attacco e fermarlo si gioca lì, nella capacità di rispondere in tempo reale.
Come si incastrano
Detto semplice: l’EDR vede ciò che accade sugli endpoint, il SIEM correla i segnali da tutta l’infrastruttura, il SOC decide e agisce. Comprare solo l’EDR significa avere un ottimo occhio ma nessuna regia. Comprare solo il SIEM significa avere la regia ma nessuno che guardi lo schermo. Servono tutti e tre, dimensionati sul rischio reale dell’azienda — non sul catalogo del fornitore.
E per una PMI?
La buona notizia è che un SOC di livello enterprise non è più appannaggio delle grandi aziende. Con soluzioni come i SIEM open source e modelli di SOC-as-a-service, anche una PMI può avere monitoraggio e risposta senza costruire tutto in casa. La domanda giusta non è «quale prodotto compro», ma «quale livello di monitoraggio mi serve, per quali rischi, con quale budget» — e da lì costruire la combinazione giusta.
Quanto regge la tua risposta a un attacco?
Mettiti alla prova con il Cyber Crisis Simulator: 5 decisioni sotto pressione e il tuo Cyber Readiness snapshot.
Tecnologia e persone, insieme. È questo che fa davvero la differenza per una PMI: non l’acronimo più costoso, ma il presidio giusto — visibilità, correlazione e capacità di reagire quando conta.