Secondo Gartner (Market Guide for NDR, 2025), entro il 2027 il 50% delle aziende con piu di 500 dipendenti adottera una soluzione NDR, rispetto al 20% del 2023. Il motivo e semplice: firewall e antivirus non vedono quello che succede dentro la rete. E con la crescita di dispositivi IoT e OT connessi — telecamere, sensori, PLC, stampanti di rete — il traffico interno e diventato un angolo cieco enorme. In questa guida ti spieghiamo cos'e un NDR, come funziona e perche per chi ha reti IoT/OT e diventato indispensabile.
Cos'e un NDR (Network Detection and Response)
Un NDR e una piattaforma che monitora il traffico di rete in tempo reale per identificare minacce che altri strumenti non vedono. Non e un firewall (che filtra il traffico al confine), non e un antivirus (che cerca malware sui singoli dispositivi). E uno strumento che osserva tutto il traffico — ogni pacchetto, ogni connessione, ogni flusso — e usa machine learning e analisi comportamentale per trovare anomalie.
Pensa alla tua rete come a una citta. Il firewall e il controllo ai caselli autostradali. L'antivirus e la polizia che perquisisce le case. L'NDR e il sistema di telecamere stradali che vede chi si muove, dove va, a che ora e quanto veloce. Se una macchina (un dispositivo) inizia a fare percorsi strani alle 3 di notte, l'NDR lo nota.
NDR, EDR e XDR: le Differenze Spiegate Semplice
C'e una confusione comprensibile tra questi tre acronimi. Ecco la spiegazione pratica, senza paroloni:
| Soluzione | Cosa Monitora | Dove | Esempio Pratico |
|---|---|---|---|
| EDR | Processi, file, attivita utente | Sul singolo dispositivo | Vede un malware che si esegue su un PC |
| NDR | Traffico di rete, connessioni, flussi | Tra i dispositivi (sulla rete) | Vede quel PC che parla con un server in Russia |
| XDR | Endpoint + rete + cloud + email | Ovunque (correla tutto) | Correla: email di phishing + malware su PC + traffico anomalo |
Se vuoi approfondire il confronto tra EDR e XDR, abbiamo scritto una guida dedicata. Il punto chiave e che NDR e EDR sono complementari: l'EDR vede quello che succede dentro le macchine, l'NDR vede quello che succede tra le macchine. Insieme coprono il 95% della superficie di attacco.
Kaspersky KATA: la Piattaforma NDR Scelta da BullTech
Per il monitoraggio di rete dei nostri clienti, BullTech ha scelto Kaspersky Anti Targeted Attack (KATA). Non e un NDR generico: e una piattaforma pensata specificamente per rilevare attacchi mirati (APT), movimenti laterali e comunicazioni sospette che un firewall non vede.
Perche KATA e non un altro? Per tre motivi concreti:
- Sandboxing integrato: i file sospetti vengono eseguiti in un ambiente isolato per vedere cosa fanno davvero, senza rischi per la rete
- Threat intelligence proprietaria: Kaspersky processa 400.000+ campioni di malware al giorno. Questa intelligence alimenta KATA in tempo reale
- Mappatura MITRE ATT&CK nativa: ogni allarme viene classificato secondo il framework MITRE, cosi sappiamo esattamente a che punto e l'attacco e cosa fare
Come KATA Analizza il Traffico di Rete
KATA monitora il traffico in due direzioni:
Traffico Nord-Sud (perimetro)
Tutto quello che entra e esce dalla rete aziendale. KATA analizza email in arrivo, download web, connessioni verso l'esterno. Se un dispositivo IoT — tipo una telecamera IP — inizia a comunicare con un server command-and-control in un paese sospetto, KATA lo rileva immediatamente.
Traffico Est-Ovest (laterale)
E qui che gli NDR fanno la differenza vera. Il traffico est-ovest e quello che si muove internamente: un server che parla con un altro server, un PC che accede a un file share, un PLC che comunica con uno SCADA. Secondo il SANS Institute, il 68% degli attacchi moderni si muove lateralmente dentro la rete dopo aver compromesso un singolo punto di ingresso. Un firewall non vede nulla di tutto questo perche il traffico non esce dalla rete.
Il traffico invisibile al firewall
Un attaccante compromette il PC di un dipendente con un'email di phishing. Da li, si muove lateralmente verso il server Active Directory per rubare le credenziali di amministratore. Poi accede al server di backup e cancella le copie. Tutto questo traffico e interno alla rete: il firewall non lo vede perche non esce dal perimetro. L'NDR lo vede tutto.
Rilevamento APT e Movimenti Laterali
Gli APT (Advanced Persistent Threat) sono attacchi sofisticati e prolungati, spesso condotti da gruppi organizzati. Non usano virus banali: usano strumenti legittimi di amministrazione (PowerShell, PsExec, WMI) per muoversi nella rete senza far scattare gli antivirus. Sono pazienti: possono restare nella rete per settimane o mesi prima di colpire.
KATA li trova perche non cerca firme di malware. Cerca comportamenti anomali:
- Un PC dell'ufficio commerciale che fa scansione delle porte di rete (non dovrebbe farlo mai)
- Un server che inizia a comunicare con un endpoint che non ha mai contattato prima
- Trasferimenti di dati massicci in orari notturni verso share di rete inusuali
- Tentativi di autenticazione multipli verso Active Directory da un singolo host
- Comunicazioni criptate verso IP esterni non presenti nelle whitelist
Mappatura MITRE ATT&CK
Ogni allarme generato da KATA viene automaticamente mappato sul framework MITRE ATT&CK. Questo non e un dettaglio da nerd: e fondamentale per capire a che punto e un attacco e cosa fare.
Il framework MITRE descrive 14 fasi di un attacco, dalla ricognizione iniziale all'esfiltrazione dei dati. Quando il nostro SOC riceve un allarme KATA mappato su “Lateral Movement > Remote Services”, sa esattamente che l'attaccante ha gia un punto d'appoggio nella rete e sta cercando di espandersi. La risposta e immediata e mirata, non generica.
Casi d'Uso Concreti
La teoria e bella, ma servono esempi veri. Ecco due scenari che abbiamo gestito con KATA nelle reti dei nostri clienti:
Telecamera IP compromessa
Una telecamera di videosorveglianza in un magazzino aveva iniziato a inviare piccoli pacchetti di dati a un server esterno ogni 15 minuti. Il firewall non l'aveva segnalata perche il traffico era cifrato e di dimensioni minime (2-3 KB). KATA ha rilevato il pattern anomalo: quella telecamera non aveva mai comunicato con quell'IP prima. Analisi: firmware vulnerabile, accesso remoto abilitato di default. Risolto in 40 minuti.
PLC con comandi anomali
In un impianto manifatturiero, un PLC Siemens S7-1200 aveva ricevuto un comando di scrittura da un indirizzo IP interno mai visto prima. KATA ha correlato l'evento con un accesso RDP sospetto avvenuto 20 minuti prima sullo stesso segmento di rete. L'attaccante aveva compromesso un PC di manutenzione e stava cercando di modificare i parametri del PLC. Bloccato prima che il comando venisse eseguito.
Come BullTech Implementa il Servizio NDR
Il nostro approccio all'NDR e “chiavi in mano”. Non ti vendiamo una licenza e ti lasciamo da solo con la console. Ecco come funziona:
Assessment della rete: mappiamo tutti i segmenti, i flussi di traffico e i dispositivi IoT/OT presenti
Posizionamento sensori KATA sugli SPAN port degli switch core e di distribuzione
Configurazione analisi protocolli: HTTP, HTTPS, DNS, SMB, SSH, Modbus, OPC UA e altri
Fase di learning (7-14 giorni): KATA impara il comportamento normale della rete
Tuning degli allarmi: eliminiamo i falsi positivi e calibriamo le soglie
Attivazione monitoraggio SOC 24/7 con procedure di risposta incidente
NDR e Reti IoT: Perche e Fondamentale
I dispositivi IoT sono il tallone d'Achille delle reti aziendali. Telecamere IP, sensori ambientali, terminali di pagamento, stampanti di rete, display interattivi: tutti connessi alla rete, quasi mai aggiornati, spesso con credenziali di default.
Il problema e che su questi dispositivi non puoi installare un EDR. Non hanno un sistema operativo che lo supporta, non hanno risorse di calcolo sufficienti, spesso non permettono neanche l'installazione di software di terze parti. L'unico modo per monitorarli e guardare il traffico di rete che generano. Ed e esattamente quello che fa un NDR.
Se la sicurezza IoT/OT e una priorita per la tua azienda, un NDR non e un lusso: e il livello base di visibilita su dispositivi che altrimenti sarebbero completamente invisibili.
Quando Ti Serve un NDR
| Scenario | Ti serve un NDR? |
|---|---|
| Rete con 50+ dispositivi IoT (telecamere, sensori, badge) | Si, nessun'altra soluzione li monitora |
| Impianto OT con PLC, SCADA, HMI connessi alla rete | Si, NDR + KICS per copertura completa |
| Azienda con dati sensibili (sanita, finanza, PA) | Si, obbligatorio anche per NIS2 |
| Ufficio con 10 PC e un NAS | Probabilmente no, basta un buon EDR + firewall |
| Rete con segmenti multipli e traffico complesso | Si, e l'unico modo per avere visibilita completa |
Per una protezione completa che copra endpoint, rete e perimetro, la combinazione ideale e EDR + NDR + firewall gestito, il tutto monitorato dal nostro servizio di network security.
Domande Frequenti sull'NDR
Quanto costa un NDR per una PMI?
Per una rete con 100-500 dispositivi, il costo del servizio NDR gestito si aggira tra 800 e 3.000 euro al mese, comprensivo di piattaforma, sensori e monitoraggio SOC 24/7. Il prezzo varia in base alla banda monitorata e al numero di segmenti di rete. BullTech propone formule a canone senza investimento iniziale.
Qual e la differenza tra NDR ed EDR?
L'EDR monitora quello che succede SUI dispositivi (processi, file, registro). L'NDR monitora quello che succede TRA i dispositivi (traffico di rete, connessioni, flussi). L'EDR vede un malware che si esegue su un PC. L'NDR vede quel PC che inizia a comunicare con un server sospetto alle 3 di notte. Sono complementari: insieme coprono il 95% della superficie di attacco. Leggi la nostra guida EDR vs XDR per approfondire.
Un NDR rallenta la rete aziendale?
No. L'NDR lavora su una copia del traffico (mirror), non sul traffico originale. I sensori si collegano tramite SPAN port o TAP di rete e analizzano un duplicato dei pacchetti. Il traffico reale non viene toccato, ritardato o modificato. L'impatto sulla performance di rete e zero.
L'NDR serve anche se ho gia un firewall?
Si, sono complementari. Il firewall controlla il traffico al confine della rete (nord-sud). L'NDR monitora anche il traffico interno (est-ovest). Il 68% degli attacchi moderni si muove lateralmente dentro la rete dopo aver superato il perimetro. L'NDR e l'unica soluzione che li vede.
Quanto tempo serve per implementare un NDR?
L'installazione base richiede 1-2 settimane: posizionamento sensori (2-3 giorni), configurazione e tuning (1 settimana), validazione e baseline (3-5 giorni). Per reti complesse con segmenti OT/IoT, i tempi possono arrivare a 3-4 settimane. Zero impatto sulla produttivita perche i sensori lavorano in modalita passiva.