Il termine XDR (Extended Detection and Response) e nato come evoluzione di EDR, SIEM, e SOAR. Ma nel 2026, il futuro dell'XDR sta prendendo una direzione chiara: la detection da sola non basta piu. Il tempo medio di dwell time degli attaccanti si sta riducendo - ransomware moderni completano la cifratura in ore, non giorni. Se la tua piattaforma rileva una minaccia ma richiede un intervento umano per la response, sei gia in ritardo.
La convergenza detection-response
Quando ho costruito Presidio, ho preso una decisione architetturale precisa: la detection (Wazuh) e la response (Shuffle SOAR + Velociraptor) devono essere un unico flusso continuo, non due sistemi separati che comunicano via ticket. Un alert Wazuh ad alta severita triggera automaticamente un playbook SOAR che puo isolare un endpoint, bloccare un IP, creare un caso, e notificare il team - tutto in meno di 30 secondi. Questo e il futuro dell'XDR: tempo di response misurato in secondi, non in ore.
I trend che vedo
Primo: l'AI nella detection e nella triage. Non per sostituire gli analisti, ma per ridurre i falsi positivi e accelerare il triage. Con Valta uso gia l'AI per il relevance scoring della threat intelligence - lo stesso approccio si estendera alla correlazione degli alert. Secondo: la response autonoma con guardrail. I playbook SOAR diventeranno piu sofisticati, capaci di prendere decisioni di response basate su contesto e confidenza. Terzo: la deception integrata come capacita nativa dell'XDR - non come prodotto separato ma come layer di detection a costo quasi zero.
Le piattaforme XDR che sopravviveranno sono quelle che trattano detection e response come un ciclo continuo e automatizzato, con l'umano nel loop per le decisioni strategiche, non per i task ripetitivi. Se la tua piattaforma di detection ti invia email che qualcuno deve leggere prima di agire, stai usando la tecnologia del 2015 nel 2026.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →