Impresoft 4ward Blog

Il perimetro non esiste più: perché oggi un SOC fa la differenza (e come riconoscere quello giusto)

Scritto da Impresoft 4ward | Jul 15, 2026 8:04:01 AM

Immagina che qualcuno entri nella tua azienda di notte. Con calma apre un cassetto, fotografa documenti riservati, ne copia altri e se ne va. E che tu te ne accorga otto mesi dopo.

Detta così sembra impossibile. Eppure nel mondo digitale è esattamente ciò che accade. Secondo l'ultimo Cost of a Data Breach Report di IBM, nel 2025 le organizzazioni hanno impiegato in media 241 giorni per identificare e contenere una violazione: quasi otto mesi in cui un attaccante può muoversi indisturbato dentro i sistemi. E ogni giorno di permanenza ha un prezzo: le violazioni contenute oltre i 200 giorni sono costate quasi due milioni di dollari in più rispetto a quelle bloccate prima.

Il punto è proprio questo. Oggi la domanda non è più se un attacco riuscirà a entrare, ma quanto in fretta riuscirai ad accorgertene e a rispondere. Ed è qui che entra in gioco il SOC.

Cosa fa, ogni giorno, un SOC

SOC sta per Security Operations Center. Dietro la sigla c'è qualcosa di molto concreto: la centrale operativa che vigila sulla sicurezza digitale di un'organizzazione, idealmente senza mai spegnersi.

Un SOC non è un prodotto che si installa, ma la combinazione di tre ingredienti che lavorano insieme: persone (analisti che interpretano i segnali), processi (procedure chiare per il triage, l'escalation e la risposta) e tecnologia (gli strumenti che raccolgono e correlano i dati). Il suo compito è monitorare in modo continuo endpoint, identità, cloud e rete, distinguere il rumore di fondo dai veri segnali di attacco, e intervenire prima che un incidente diventi un disastro.

In altre parole: trasformare quei 241 giorni in ore.

L'Italia è un bersaglio e i numeri lo dicono chiaramente

Non è allarmismo, è fotografia. Il Rapporto Clusit 2026 ha registrato a livello globale 5.265 attacchi gravi nel 2025, in crescita del 49% rispetto all'anno precedente: il numero più alto mai rilevato. L'Italia, da sola, ha contato 507 incidenti gravi, il 42% in più del 2024, pesando per il 9,6% degli attacchi mondiali - una quota sproporzionata per un Paese che rappresenta lo 0,7% della popolazione globale.

A rendere il quadro più scomodo è la velocità. Il tempo che intercorre tra la scoperta di una vulnerabilità e il suo sfruttamento si è ridotto da settimane a poche ore, a volte minuti. Il modello Ransomware-as-a-Service ha azzerato le barriere tecniche: oggi non serve essere un esperto per lanciare un attacco sofisticato, basta affittarne uno. E l'intelligenza artificiale ha dato agli attaccanti scala e credibilità senza precedenti - basti pensare che, secondo IBM, l'AI generativa ha ridotto il tempo per confezionare un'email di phishing convincente da 16 ore a 5 minuti.

Il target principale oggi è l'identità

Per anni la sicurezza si è giocata su una linea netta: dentro la rete aziendale ci si fidava, fuori no. Quel confine non esiste più. Cloud, lavoro remoto, IoT e supply chain hanno dissolto il perimetro tradizionale e con esso l'idea che basti alzare un muro abbastanza alto.

Il nuovo perimetro è l'identità. La maggior parte delle violazioni non nasce più da un firewall bucato, ma da una credenziale rubata: il Verizon Data Breach Investigations Report 2025 attribuisce all'elemento umano l'82% delle violazioni, tra phishing, credenziali compromesse ed errori di configurazione. Tecniche come il credential stuffing e l'MFA fatigue aggirano le difese classiche perché non "sfondano" nulla: entrano dalla porta principale, con le chiavi di qualcun altro.

A tutto questo si aggiunge la pressione normativa. NIS2, DORA e GDPR non chiedono più soltanto misure preventive: chiedono capacità dimostrabili di rilevamento e risposta. Un SOC, da questo punto di vista, smette di essere un optional e diventa una risposta strutturale a un obbligo.

Perché la velocità di rilevamento vale milioni

Torniamo ai numeri di IBM, perché raccontano bene il cuore della questione. Le organizzazioni che usano in modo esteso AI e automazione nella sicurezza hanno identificato e contenuto le violazioni 80 giorni prima delle altre, risparmiando in media 1,9 milioni di dollari per incidente. Avere un piano di risposta testato vale altri 2,66 milioni di risparmio.

Tradotto: il valore di un SOC non sta nel "vedere" gli attacchi, ma nel ridurre il dwell time, il tempo in cui una minaccia resta annidata nei sistemi prima di essere neutralizzata. Meno dwell time significa meno dati esfiltrati, meno sistemi compromessi, meno notifiche agli enti regolatori e meno fiducia persa dai clienti. È la differenza tra un incidente gestito e una crisi conclamata.

Non tutti i SOC sono uguali: cosa ci aiuta a distinguerli

Qui sta il punto più delicato. "Avere un SOC" non vuol dire molto in sé: conta come è fatto. Alcuni criteri aiutano a distinguere un presidio reale da un cruscotto di alert che nessuno guarda davvero.

Un percorso che cresce con te. Non tutte le aziende hanno la stessa maturità di sicurezza, e pretendere di partire dal livello più sofisticato è spesso uno spreco. I modelli migliori sono progressivi: si comincia con un MDR focalizzato sulla protezione degli endpoint e sulla risposta rapida agli incidenti più comuni; si evolve verso un XDR che correla dati da endpoint, identità, email e cloud per ricostruire l'intera kill chain di un attacco; si arriva a un SOC completo che integra SIEM, threat hunting proattivo e vulnerability intelligence basata sul rischio reale, traducendo i dati tecnici in KPI e report utili al management. È l'approccio che Impresoft 4ward ha scelto per il proprio SOC, articolandolo su tre livelli - MDR Essential, XDR Advanced e SOC Elite - proprio per accompagnare ogni organizzazione dal punto in cui si trova fino alla governance continuativa del rischio.

Un team che ti conosce, attivo 24 ore su 24. Gli attacchi non rispettano l'orario d'ufficio. Un SOC che opera 24/7 con un team interno e dedicato, anziché appoggiarsi a catene di outsourcing, garantisce che monitoraggio, presa in carico e risposta siano sempre nelle mani di chi conosce davvero l'ambiente del cliente - senza vuoti di responsabilità nel momento peggiore.

Un approccio che ragiona come l'attaccante. I SOC più efficaci sono Threat-Led: non si limitano a leggere i log, ma studiano tattiche, tecniche e procedure degli avversari. Analisti certificati (ad esempio CEH) che anticipano le mosse permettono di rilevare prima e rispondere meglio, invece di rincorrere gli allarmi.

Gestione end-to-end dell'incidente. Rilevare non basta: serve la capacità di investigare, contenere, supportare la remediation e coordinare la risposta. L'integrazione con un CSIRT e competenze DFIR (Digital Forensics & Incident Response) chiude il cerchio e riduce ulteriormente il dwell time.

Sovranità del dato e automazione su misura. Una piattaforma di orchestrazione e automazione (SOAR) costruita internamente - come Singularity, il motore proprietario sviluppato in Italia da Impresoft 4ward e potenziato dall'AI - accelera detection e risposta, dialoga con le tecnologie già in uso e mantiene il controllo del dato dove deve stare.

Il SOC come supporto alla compliance

C'è un ultimo aspetto che spesso viene sottovalutato. Per le aziende soggette alla NIS2, un SOC strutturato non è solo uno strumento di difesa: può fungere da soggetto competente sull'infrastruttura del cliente, attivo 24/7, anche nei rapporti con l'Agenzia per la Cybersicurezza Nazionale in caso di necessità. La sicurezza, in questo modo, smette di essere un costo da giustificare e diventa una leva che abilita il business - e che, in molti settori, è ormai condizione per poter operare.

Il percorso, di solito, non parte da una tecnologia ma da una domanda: dove siamo davvero? Un kick-off per analizzare esigenze e maturità, un security assessment con analisi della superficie d'attacco, una roadmap chiara. Da lì, l'attivazione del livello di servizio più adatto e una collaborazione che cresce nel tempo.

Torniamo allora a quei 241 giorni dell'inizio. Sono la media di chi subisce un attacco e se ne accorge troppo tardi. La buona notizia è che quel numero non è un destino: è una variabile su cui si può intervenire. E intervenire, oggi, significa avere qualcuno che vigila quando tu non puoi - perché l'attaccante, ormai lo sappiamo, non va mai in ferie.

Vuoi capire a che punto è la sicurezza della tua azienda e quale livello di protezione fa davvero al caso tuo?