July 29, 2025

Personalizzare per proteggere meglio

Perché le regole di detection standard non possono bastare

image

L'importanza della Detection Engineering in un mondo di minacce dinamiche e in continua evoluzione

Le minacce informatiche oggi non sono più eventi isolati o facili da riconoscere. Al contrario, sono diventate sempre più sofisticate, subdole e capaci di adattarsi ai contesti più diversi. In uno scenario tanto mutevole, affidarsi esclusivamente a regole predefinite e generaliste per individuare attività malevole si rivela spesso insufficiente e rischia di lasciare aperti varchi importanti nella superficie d'attacco. Sebbene le regole standard offerte da molte soluzioni EDR rappresentino un buon punto di partenza, sono pensate per operare in contesti molto eterogenei e, di conseguenza, risultano inevitabilmente generiche. Le differenze organizzative, architetturali e persino culturali tra le aziende rendono questi rilevamenti una base iniziale fondamentale, ma che necessita di essere potenziata e adattata per garantire una protezione realmente efficace.

Inoltre, in alcuni casi potrebbero non intercettare tecniche avanzate o comportamenti anomali specifici del contesto aziendale. I threat actor più esperti lo sanno bene: sfruttano queste limitazioni con approcci mirati, evasivi e meno convenzionali. È qui che entra in gioco la Detection Engineering, che consente di:

  • Creare rilevamenti personalizzati sulla base delle specifiche esigenze infrastrutturali del cliente, tenendo conto di architetture, tecnologie e rischi peculiari;
  • Integrare fonti di log specifiche, anche non standardizzate;
  • Riconoscere anche segnali deboli, ma contestualizzati e significativi;
  • Automatizzare correlazioni complesse tra eventi che hanno senso solo in quello specifico ambiente.

Non si tratta solo di scrivere regole, ma di progettare rilevamenti su misura che riflettono la specificità dell’ambiente tecnologico, organizzativo e operativo di ciascuna azienda. In un servizio MDR (Managed Detection and Response), questo approccio è fondamentale per intercettare minacce che sfuggono ai radar delle soluzioni standard.

Ogni infrastruttura è diversa: servono regole di detection uniche

Ogni azienda ha un proprio profilo di rischio, un proprio stack tecnologico e flussi operativi distinti. Una regola pensata per un ambiente sanitario, molto probabilmente non potrà avere la stessa efficacia in un contesto manifatturiero, e viceversa, proprio a causa delle differenze infrastrutturali. Anche aziende dello stesso settore possono esporre superfici d'attacco differenti a seconda degli strumenti adottati, delle configurazioni locali o della maturità dei processi IT. È qui che la Detection Engineering dimostra il proprio valore, permettendo di modellare regole che riflettano fedelmente il contesto operativo.

Il ruolo della Detection Engineering in un servizio MDR

In Certego, il team di Detection Engineering collabora ogni giorno con le unità di Incident Response e Threat Intelligence per trasformare evidenze tecniche e indicatori emersi sul campo in regole di rilevamento aggiornate ed efficaci. Ogni regola è progettata su misura per il contesto in cui verrà applicata, con l’obiettivo di:

  • Estendere le capacità degli strumenti EDR, andando oltre i rilevamenti standard;
  • Abilitare la visibilità su tecniche evasive o poco documentate, spesso non tracciate dalle regole predefinite;
  • Aumentare la precisione, riducendo i falsi positivi, grazie a una logiche di correlazione più consapevoli.


## Un caso reale Durante un'attività di Incident Response su una compromissione in corso, il team di Security Operations di Certego ha analizzato un attacco in cui un attore malevolo era riuscito a ottenere un accesso iniziale sfruttando credenziali valide e un'applicazione esposta su internet. Dopo l'accesso iniziale, l'attaccante ha avviato una serie di movimenti laterali utilizzando strumenti legittimi come PsExec e WMI per spostarsi all'interno dell'infrastruttura, mantenendo un basso profilo e confondendosi tra le attività legittime. Durante la fase di post-analisi, sono stati raccolti indicatori specifici che includevano:
  • Sequenze anomale di autenticazioni RDP e SMB tra host non correlati tra loro;
  • Esecuzione di servizi remoti tramite sc.exe e wmic all'interno di subnet inconsuete;
  • Utilizzo di comandi Powershell offuscati, con payload scaricati da URL temporanei.

Partendo da questi indicatori, il team di Detection Engineering ha progettato una regola personalizzata in grado di correlare questi pattern su ambienti simili, rilevando:

  • Tentativi di movimento laterale basati su tool nativi;
  • Anomalie nel comportamento degli endpoint rispetto alla baseline abituale;
  • Indicatori di persistenza remota poco rumorosi ma altamente sospetti.

La regola è stata poi adattata e distribuita selettivamente nei contesti infrastrutturali affini, offrendo una protezione mirata contro attacchi stealth che sfruttano strumenti leciti per scopi illeciti.

Detection su misura: benefici tangibili

La personalizzazione non è un vezzo, ma un vantaggio strategico concreto per migliorare:

  • Accuratezza degli alert: le regole sono adattate al contesto reale dell’azienda;
  • Efficienza del SOC: meno rumore equivale a maggiore concentrazione sui segnali reali;
  • Tempo di risposta: l’identificazione precoce accelera la containment e l’analisi.

Ogni incidente gestito contribuisce ad arricchire il set di detection con nuovi elementi contestuali, dando vita a un ciclo virtuoso di apprendimento.

Certego Halo: visibilità totale e detection personalizzata

Come abbiamo visto, le soluzioni EDR tradizionali sono spesso progettate per soddisfare esigenze standard e operare in modalità black-box: offrono regole predefinite, ma impediscono l’accesso diretto ai dati grezzi e alle logiche di rilevamento. Questo approccio limita profondamente la capacità di analisi da parte di analisti esperti, in particolare dei power user che necessitano di un controllo avanzato sul processo di detection. Per risolvere queste limitazioni, Certego ha sviluppato Halo, una piattaforma di Detection Engineering integrata nell'ecosistema applicativo proprietario che consente di raccogliere e arricchire l’intera telemetria degli endpoint, superando così le barriere imposte dalle soluzioni tradizionali. Con Halo, i team SOC possono:

  • Accedere alla telemetria completa degli endpoint per effettuare analisi più approfondite;
  • Correlare eventi complessi in modo flessibile, aggregando segnali deboli in un unico alert rilevante;
  • Sviluppare regole di detection personalizzate, liberandosi dai vincoli delle logiche chiuse;
  • Importare liberamente indicatori di compromissione (IOC) da qualsiasi fonte, senza limitazioni tecniche o restrizioni imposte da vendor terzi, per arricchire la detection in tempo reale e con massima autonomia operativa.

In questo modo, Halo diventa uno strumento abilitante per una detection più precisa, tempestiva e contestualizzata. Per gli analisti di Certego, rappresenta l’ambiente ideale in cui applicare in modo efficace competenze avanzate, conoscenza del contesto operativo e threat intelligence, trasformando i servizi MDR di Certego in una soluzione realmente su misura per ogni cliente, capace di adattarsi alle sue specificità infrastrutturali, organizzative e di rischio.



Conclusione

In un ecosistema dove le minacce mutano rapidamente e adottano tecniche di evasione sempre più sottili, la detection non può essere statica. Deve evolvere. Deve essere consapevole. E soprattutto, deve essere su misura.

 Pier Giorgio Bergonzi, Product Marketing

Subscribe

Sign up to our newsletter

Clicking Submit, I agree to the use of my personal data in accordance with Certego Privacy Policy  for the purpose sub. 2 paragraph “Purposes of the Data processing and legal basis”. Certego will not sell, trade, lease, or rent your personal data to third parties.

Services
Platform
Resources
Company
Copyright © 2025 www.certego.net
Certego S.R.L. · P.I. 03517100362
Certego S.R.L.
Address: Via F. Lamborghini 81, 41121 Modena (MO)