Torna al blog
Deception & Defense

Active Response: quando il sistema reagisce prima di te

22 gennaio 2026 · 5 min di lettura

Il tempo è il nemico

In un attacco cyber, ogni minuto conta. Il tempo medio tra la compromissione iniziale e il deployment del ransomware è sceso a 24 ore nel 2025 (Mandiant M-Trends). Per alcuni gruppi come LockBit, è sotto le 4 ore. Se il vostro team di sicurezza lavora 8 ore al giorno e l'attacco avviene alle 23:00 di venerdì, avete un problema. L'active response lo risolve.

Cos'è l'active response

L'active response è la capacità di un sistema di sicurezza di reagire automaticamente a una minaccia rilevata, senza intervento umano. Non sostituisce l'analista: gli compra tempo bloccando la minaccia mentre lui analizza.

Azioni automatiche tipiche

  • Blocco IP: un IP che fa brute force su SSH viene bannato automaticamente dopo 5 tentativi falliti
  • Isolamento endpoint: un PC che mostra comportamento da ransomware (cifratura massiva di file) viene isolato dalla rete in secondi
  • Kill processo: un processo malevolo identificato dall'EDR viene terminato immediatamente
  • Disabilitazione account: un account compromesso viene sospeso automaticamente
  • Blocco USB: un dispositivo USB non autorizzato viene disabilitato all'inserimento
  • Quarantena file: un allegato email malevolo viene isolato prima che l'utente possa aprirlo

Il framework SOAR

Le piattaforme SOAR (Security Orchestration, Automation and Response) portano l'active response al livello successivo con i playbook: sequenze di azioni automatiche attivate da specifici trigger. Esempio di playbook ransomware:

  • Trigger: EDR rileva cifratura massiva di file
  • Azione 1: isola l'endpoint dalla rete (EDR)
  • Azione 2: disabilita l'account utente (Active Directory)
  • Azione 3: blocca l'IP di comando e controllo (firewall)
  • Azione 4: crea ticket di incidente e notifica il team
  • Azione 5: raccoglie evidenze forensi dall'endpoint
  • Tempo totale: meno di 60 secondi

Active response per PMI

Non serve un SOC 24/7 per avere active response. Soluzioni accessibili:

  • Wazuh (open source): active response integrata con regole personalizzabili. Blocco IP, kill processo, esecuzione script.
  • CrowdStrike Falcon Go: EDR con isolamento automatico endpoint, da 5€/endpoint/mese.
  • Shuffle SOAR (open source): playbook automation integrabile con qualsiasi stack di sicurezza.

Il bilanciamento: automazione vs controllo

L'active response deve essere calibrata. Regola d'oro: automatizzate le azioni ad alto impatto e bassa probabilità di falso positivo. Bloccare un IP dopo 50 tentativi di login falliti? Sicuro, automatizzate. Isolare il server di produzione? Meglio avere un analista che conferma. Il giusto equilibrio protegge senza interrompere il business.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli