Mandiant dice 14 giorni di dwell time. UNMC ne ha vissuti 858.
Il report Mandiant M-Trends 2026 fissa il dwell time mediano globale a 14 giorni. UNMC ha appena dichiarato una finestra di accesso non autorizzato di 858 giorni. La differenza non è un problema di mediana: è un punto cieco di detection che il filo vede e l'host no.
Il report Mandiant M-Trends 2026, pubblicato a marzo, fissa il dwell time mediano globale a 14 giorni — in salita rispetto agli 11 dell'anno precedente, con le campagne di spionaggio e le operazioni dei lavoratori IT nordcoreani che spostano la coda lunga verso medie quadrimestrali. Quei 14 giorni sono il numero che i CISO citano in board meeting.
Il 17 aprile la University of Nebraska Medical Center ha dichiarato che la propria istanza REDCap era stata soggetta ad accesso non autorizzato tra il 20 settembre 2023 e il 3 febbraio 2026 — 858 giorni. 26.937 persone hanno avuto dati personali e clinici potenzialmente esposti, come riportato dal recap HIPAA Journal di maggio 2026. L'indagine non è riuscita a determinare se sia stato effettivamente esfiltrato qualcosa: ha potuto stabilire solo che la porta era aperta.
Il numero di UNMC è sessantuno volte la mediana di settore. La differenza non racconta una mediana sbagliata. Racconta quali sensori hai sul filo.
Cosa misura davvero il 14-day di M-Trends
Il baseline Mandiant è calcolato su incidenti investigati — una popolazione spostata verso organizzazioni con SOC maturi, flotte EDR funzionanti, e un rapporto già in essere con uno studio di IR. La lettura di Help Net Security merita la citazione integrale:
Le organizzazioni che scoprono intrusioni attraverso il proprio monitoring rilevano in circa 9 giorni. I casi in cui l'organizzazione viene avvertita da fonti esterne richiedono sostanzialmente di più — una mediana di 25 giorni nel 2025, contro gli 11 giorni del 2024.
I 14 giorni del titolo mascherano quindi una distribuzione bimodale: il monitoring interno intercetta a ~9 giorni, la notifica esterna a 25. E il secondo bucket sta peggiorando, più che raddoppiato anno su anno. Mandiant attribuisce il movimento a campagne di spionaggio e supply-chain più lunghe, su cui nessun sensore interno stava guardando.
L'incidente UNMC è caduto in quel secondo bucket e poi è uscito dal grafico. Il trigger di detection non è stato interno: è stato un advisory vendor a febbraio 2026 che annunciava una vulnerabilità di accesso remoto in REDCap. UNMC ha tirato giù l'applicazione e solo allora ha scoperto, in ricostruzione forense, che la porta era aperta da 28 mesi.
La ragione strutturale per cui la sanità continua a comparire qui
REDCap è un software di livello ricerca usato da migliaia di centri medici universitari per raccogliere dati di survey e trial clinici. Vive in un enclave di ricerca, parla con un database di ricerca, ed è raramente coperto dalla telemetria di sicurezza che monitora l'EHR clinico. Il comunicato UNMC è esplicito: "i sistemi clinici di Nebraska Medicine operano indipendentemente dall'applicazione REDCap e non sono stati toccati."
Quell'isolamento taglia in due. La separazione dell'enclave di ricerca dai sistemi clinici ha limitato il blast radius — ma la stessa separazione significa che l'ambiente di ricerca gira con monitoring più sottile, senza playbook SOC tarati sui suoi pattern di egress, e senza una baseline comportamentale di come dovrebbe apparire il suo traffico TLS uscente alle 03:00 UTC. Gli avversari lo sanno bene. Dei 9 enti HIPAA-regulated registrati dal journal a maggio 2026, diversi mostrano lo stesso profilo: un sistema periferico, una finestra pluri-mensile, un trigger esterno.
Lo stesso pattern compare altrove questo mese — Aligned Orthopedic Partners, ~1 mese di accesso non autorizzato; LHC Group, ~2,5 settimane. Più brevi, ma con la stessa via di scoperta: notifica di terza parte o ricostruzione forense, non detection in tempo reale.
Cosa un EDR non può vedere, e cosa il filo sì
Una compromissione che vive nello strato dati di un'applicazione per 28 mesi è invisibile alla detection host-based tradizionale per ragioni precise:
- Nessun nuovo binario atterra. Vulnerabilità tipo REDCap — le XSS, HTML-injection e CSRF documentate da Trustwave SpiderLabs (CVE-2024-37394 / -37395 / -37396) e il batch di 10 CVE riportato da Swiss Post Cybersecurity — abusano dei permessi che l'applicazione web ha già. Niente viene eseguito su disco. AV ed EDR non hanno nulla da fingerprintare.
- Nessun movimento laterale. L'intruso sta leggendo il database attraverso il path applicativo legittimo. Niente SMB, niente PsExec, niente kerberoasting. Nessuna correlation rule SIEM ha qualcosa su cui scattare.
- Esfiltrazione paziente e lenta. Gli intrusi long-dwell hanno imparato anni fa a non spiccare nel grafico di egress. Qualche centinaio di record al giorno via HTTPS verso un ASN mai visto sembra normale traffico di collaborazione di ricerca a chiunque guardi destinazione e porta.
Quello che le tre failure mode condividono è che avvengono tutte sul filo, e il filo è osservabile. Lo stream di richieste HTTP dell'applicazione ha una firma comportamentale — request rate, profondità delle query, durata della sessione, catena di referrer. Le sessioni TLS uscenti hanno una destinazione, un ASN, un fingerprint JA3, una struttura temporale. Niente di tutto questo richiede che l'attaccante faccia qualcosa di visibile all'host.
| Tipo di segnale | Visibile all'EDR? | Visibile al ML sul filo? |
|---|---|---|
| Nuovo eseguibile su disco | Sì | No |
| Privilege escalation via LOLBin noto | Sì | Parzialmente |
| Abuso web app via sessione esistente | No | Sì |
| Beaconing verso ASN mai visto | No | Sì |
| Esfiltrazione lenta via HTTPS legittimo | No | Sì |
| Profondità di query anomala sul DB applicativo | No | Sì |
La ragione per cui il dwell time mediano sale nei dati Mandiant è che sempre più intrusioni assomigliano alla terza riga in giù. La ragione per cui il numero di UNMC è 858 giorni è che niente nel loro stack stava guardando il filo da quell'angolazione.
"Avevamo i log"
UNMC quasi certamente aveva i log. La maggior parte delle organizzazioni in questa situazione li ha. I log a cui UNMC è migrato — testuale, "una versione aggiornata di REDCap [...] con logging e controlli di sicurezza potenziati attivati" — sono un'ammissione tacita che il logging precedente non bastava a far emergere quello che stava succedendo nel momento in cui stava succedendo.
I log sono forensici. Provano, dopo il fatto, quello che un investigatore può già vedere. Non sono detective a meno che qualcuno li legga in volo confrontandoli con una baseline comportamentale. Il numero dei 25 giorni di externally-notified dwell di Mandiant è l'esito mediano di "avevamo i log". Gli 858 giorni di UNMC sono l'outlier di "avevamo i log e un'applicazione periferica che nessuno guardava".
Dove si innesta il pillar di ML sul filo
Questo è il caso canonico per cui è stato costruito il pillar di traffic analysis di Zero Hunt. Concretamente, cosa sarebbe stato diverso a UNMC se l'appliance fosse stata sullo span di egress della rete di ricerca:
- Il modello deep-learning proprietario — che gira localmente sulla GPU dell'appliance a 2,7+ Gbit/s — alimenta quattro inference head in parallelo: traffico sospetto, classificazione malware, identificazione del tipo di attacco, application fingerprinting. La head rilevante qui è la prima, ma anche il fingerprinting conta: le sessioni TLS uscenti di REDCap hanno un profilo, e una deviazione sostenuta da quel profilo (nuovo ASN di destinazione, durata di sessione anomala, volume fuori orario) non richiede alcuna classificazione di malware per scattare.
- Il modello è addestrato su miliardi di sequenze PCAP, non su signature. Un comportamento di attacco nuovo non ha bisogno di una regola Snort, di una signature Suricata, o di una regola Sigma. Ha bisogno di deviare da quello che il modello ha visto su questa rete — una baseline che si costruisce da sé.
- La detection avviene mentre l'attività sta avvenendo, sul filo, nell'appliance — non nel digest SIEM di domani mattina, e non dopo che il vendor pubblica un advisory due anni dopo.
- Poiché l'appliance è 100% on-premises, senza callback cloud, la postura air-gap della rete di ricerca è preservata. Gli enclave di ricerca sanitari non devono scegliere tra monitoring e isolamento.
Il Pillar 2 non sostituisce l'EDR. Lo stack host-based prende quello che lo stack host-based prende — binari noti, catene LOLBin note, pattern di credential theft noti. Il filo è il livello che prende quello che l'host non vede per costruzione: abuso web-app contro una sessione legittima, esfiltrazione lenta che non spicca mai, beacon verso ASN con cui nessuno sulla rete ha mai parlato.
La conclusione onesta
I 14 giorni mediani di M-Trends 2026 sono un numero per la popolazione che Mandiant investiga. Non sono l'esperienza di un enclave di ricerca di un centro medico universitario, di un'app SaaS periferica in un ospedale regionale, o di qualsiasi ambiente in cui la telemetria di sicurezza è tarata sul core clinico e si ferma al perimetro della zona di ricerca. Per quegli ambienti, il dwell time realistico è l'intervallo tra oggi e il prossimo advisory vendor — e a UNMC quell'intervallo è stato di 858 giorni.
Chiudere la differenza non significa comprare un altro EDR. Significa mettere un sensore sul filo che non dipenda da signature, non dipenda da telemetria cloud, e non dipenda dal fatto che qualcuno fuori dall'organizzazione prima o poi te lo dica. Finché quel sensore non c'è, la mediana mente — e la coda lunga si mangia l'organizzazione.