Quanto tempo serve per accorgersi di un attacco? MTTD, perché conta e come ridurlo - Certificazione ISO 27001 Rapida

Punti chiave

L'MTTD è il tempo medio che impieghi ad accorgerti di un attacco: a livello globale supera i 200 giorni (IBM).
Il ritardo non nasce dalla mancanza di strumenti, ma da tre cause che si sommano: troppi allarmi, strumenti scollegati e nessun presidio di notte.
Più a lungo un attacco resta invisibile, più costa: in Italia una violazione vale in media 3,6 milioni di euro (IBM 2024).
L'MTTD si abbassa unificando la visibilità, riducendo il rumore con agenti AI e con un presidio continuo 24/7.
Benchmark: senza presidio si misura in mesi; un MSSP tradizionale punta a meno di 24 ore; un Agentic SOC arriva sotto l'ora.

Il Mean Time To Detect (MTTD) è il tempo medio che passa tra l'inizio di un attacco e il momento in cui qualcuno se ne accorge. A livello globale supera i 200 giorni (IBM, Cost of a Data Breach): oltre sei mesi in cui chi è entrato si muove senza essere visto. Ridurlo non dipende dall'ennesimo strumento, ma da tre cose: visibilità unificata, meno rumore, e qualcuno che guarda 24 ore su 24.

La domanda scomoda da cui partire

E se fossi già stato violato, in questo momento? Quanto tempo passerebbe prima che qualcuno, nella tua azienda, se ne accorga?

Per molte aziende mid-market la risposta onesta è: mesi. E quasi mai perché manchino gli strumenti o le persone in gamba. Il problema è un altro, e ha pure un nome preciso. Vale la pena conoscerlo, perché è uno dei pochi numeri che separa un imprevisto gestito da un disastro raccontato al telegiornale.

Cos'è l'MTTD (e perché è la metrica che conta davvero)

MTTD sta per Mean Time To Detect: il tempo medio che intercorre tra il momento in cui un attacco comincia e quello in cui viene individuato. È una delle metriche più importanti delle security operations, e anche una delle più ignorate, perché finché tutto sembra tranquillo è facile confondere "tranquillo" con "sicuro". Non sono la stessa cosa.

L'MTTD va sempre letto insieme alle sue metriche sorelle, quelle che misurano cosa succede dopo che ti sei accorto:

MTTD — Mean Time To Detect: dall'inizio dell'attacco alla scoperta.
MTTR — Mean Time To Respond: dalla scoperta al contenimento.
Dwell time: il tempo totale in cui l'attaccante resta dentro, dall'ingresso all'eradicazione.

Sono tutte espresse in tempo, e il tempo qui è letteralmente denaro e danno. Restiamo sulla domanda di partenza: perché accorgersene richiede così tanto, e cosa lo riduce sul serio.

Il numero che pochi si aspettano

Secondo il report annuale Cost of a Data Breach di IBM, a livello globale servono in media oltre 200 giorni solo per identificare una violazione, a cui si aggiungono altre settimane (spesso mesi) per contenerla. Il ciclo completo, dall'ingresso al contenimento, supera i 250 giorni. I dati Mandiant (M-Trends) raccontano una storia simile sul fronte detection.

Tradotto in pratica: chi entra può muoversi nei sistemi di un'azienda per più di sei mesi prima che qualcuno se ne accorga. Sei mesi per guardarsi intorno, mappare la rete, copiare dati e prepararsi al colpo vero. Indisturbato.

E non è un problema lontano. In Italia gli incidenti gravi sono cresciuti di oltre il 40% nel 2024 (Clusit), e il costo medio di una violazione si aggira intorno ai 3,6 milioni di euro (IBM, 2024). La voce detection ed escalation, da sola, pesa per circa un terzo di quel costo.

Perché ci vuole così tanto: tre problemi che si sommano

Nella nostra esperienza hands-on, il ritardo nasce quasi sempre da tre cause che si rinforzano a vicenda. Non sono problemi di budget. Sono problemi di modello operativo.

1. Troppi allarmi

Gli strumenti di sicurezza generano migliaia di alert al giorno. In un'azienda mid-market non è raro superare i 3.000 eventi quotidiani. Nessun team umano può leggerli tutti, e così i segnali veri finiscono sepolti sotto montagne di falsi positivi. Quando tutto è urgente, niente lo è. Ed è esattamente lì, nel rumore, che un attacco reale passa inosservato per settimane.

2. Strumenti scollegati

Firewall, antivirus, sicurezza della posta, identità, cloud: ognuno vede un pezzo della storia, nessuno vede il quadro intero. Un attacco serio vive proprio negli spazi tra uno strumento e l'altro. Un login anomalo qui, un file cifrato là: presi singolarmente sembrano innocui, messi in fila raccontano un'intrusione. Se i segnali non convergono in un unico punto, quella correlazione non avviene.

3. Di notte non guarda nessuno

Gli attacchi non rispettano l'orario d'ufficio. Anzi, spesso scelgono apposta il venerdì sera o la settimana di ferragosto, quando la sorveglianza si abbassa. I team interni, giustamente, dormono. Per un'azienda mid-market un presidio interno 24 ore su 24 è quasi impossibile da costruire: servono cinque o sei analisti solo per i turni. È il motivo per cui esiste il SOC gestito.

Quanto costa davvero il ritardo

Più a lungo un attacco resta nascosto, più diventa profondo e più diventa costoso. La differenza tra accorgersi in un'ora e accorgersi in duecento giorni non è graduale, è esponenziale: cambia la quantità di dati esfiltrati, il numero di sistemi compromessi, l'ampiezza del ripristino e l'impatto reputazionale.

C'è anche un risvolto normativo. Con la NIS2, l'obbligo di notifica di un incidente scatta da quando hai evidenza dell'accaduto: pre-notifica entro 24 ore, notifica entro 72. Se nessuno sta guardando i tuoi sistemi, non hai nemmeno l'evidenza da cui far partire l'orologio. Ridurre l'MTTD, in altre parole, è anche un requisito di conformità.

Come si riduce l'MTTD, sul serio

Non comprando un altro strumento, ma cambiando il modo in cui i segnali vengono raccolti, letti e gestiti. Quattro mosse, in ordine di impatto.

Unifica la visibilità. Fai convergere i log di tutti i sistemi in un unico punto e correlali. È il lavoro che fa una piattaforma come Google SecOps. Un evento isolato sembra innocuo; lo stesso evento in fila con altri tre racconta un attacco.

Riduci il rumore con gli agenti AI. Invece di scaricare migliaia di alert su un team che non può leggerli, gli agenti AI fanno triage, investigano e chiudono autonomamente i casi che non richiedono una decisione umana. È il principio dell'Agentic SOC: meno alert, più decisioni.

Guarda sempre, non solo in orario. Un presidio continuo che non va in ferie e non stacca il venerdì sera. È qui che la distanza tra "abbiamo gli strumenti" e "siamo coperti" diventa enorme.

Tieni pronta la risposta. Accorgersi non basta: serve sapere cosa fare nei primi minuti. Detection e response vanno sempre insieme, perché un MTTD basso seguito da un MTTR alto sposta solo il collo di bottiglia.

I numeri a cui puntare

Per capire se il tuo MTTD è ragionevole, servono dei riferimenti concreti:

Azienda senza presidio dedicato: mesi (oltre 200 giorni). Il segnale si perde nel rumore.
MSSP tradizionale: meno di 24 ore. Analisti umani, turni e code di lavoro.
Agentic SOC: meno di un'ora. Agenti AI in triage continuo, escalation ai team solo dei casi che richiedono una decisione umana.

La distanza tra "mesi" e "meno di un'ora" non è una sfumatura tecnica. È la differenza tra "non lo sapevamo" e "l'abbiamo gestito".

Da dove partire

Oltre 200 giorni per accorgersi di un attacco non sono una fatalità. Sono il risultato di troppi allarmi, strumenti scollegati e nessuno che guarda di notte. Sistemare questi tre punti è ciò che abbassa di più, e più in fretta, il rischio reale.

Il primo passo non è comprare niente: è sapere a che punto sei. Con un assessment delle security operations mettiamo nero su bianco quanto ci metteresti oggi ad accorgerti di un attacco e dove sono i tuoi punti ciechi, sui dati reali dei tuoi sistemi.

Domande frequenti

Cos'è l'MTTD in cybersecurity?

È il Mean Time To Detect, cioè il tempo medio che passa tra l'inizio di un attacco e il momento in cui viene rilevato. Più è basso, meno tempo ha chi è entrato per fare danni. È una delle metriche cardine delle security operations.

Qual è un buon MTTD?

Dipende dal modello. Senza un presidio dedicato si misura in mesi. Un MSSP tradizionale punta a stare sotto le 24 ore. Un Agentic SOC, con agenti AI che fanno triage in continuo, arriva sotto l'ora.

Che differenza c'è tra MTTD e MTTR?

L'MTTD misura quanto ci metti ad accorgerti di un attacco; l'MTTR (Mean Time To Respond) misura quanto ci metti a contenerlo dopo averlo scoperto. Servono entrambi: un MTTD basso con un MTTR alto sposta solo il problema più avanti.

MTTD e dwell time sono la stessa cosa?

No. L'MTTD si ferma al momento della scoperta. Il dwell time misura l'intero soggiorno dell'attaccante nei sistemi, dall'ingresso fino all'eradicazione completa.

Come si misura l'MTTD nella mia azienda?

Si parte da una baseline: si stima, sui dati reali dei tuoi sistemi, quanto tempo passa oggi tra un evento sospetto e la sua individuazione. Se non lo sai misurare, il valore di partenza è già un'informazione.

Quanto costa un attacco rilevato in ritardo?

In Italia il costo medio di una violazione è di circa 3,6 milioni di euro (IBM 2024). Più alto è l'MTTD, più quel costo sale: aumentano i dati esfiltrati, i sistemi compromessi e i tempi di ripristino.

Ho un team IT piccolo: come abbasso comunque l'MTTD?

Affidandoti a un servizio gestito di detection and response. Copre il presidio 24/7 e la correlazione tra i diversi strumenti senza dover assumere un turno notturno di analisti.

Un SOC gestito o un servizio MDR aiutano ad abbassare l'MTTD?

Sì, ed è spesso l'intervento con il miglior rapporto impatto/sforzo per il mid-market: copre presidio continuo e correlazione, le due cose che incidono di più sul tempo di scoperta.

L'MTTD c'entra con la NIS2?

Sì. La NIS2 impone la notifica degli incidenti entro tempi stretti (pre-notifica in 24 ore) da quando si ha evidenza dell'accaduto. Un MTTD alto significa accorgersi tardi e rischiare di mancare i termini di legge.