Definizione: L’insieme di policy, regole e meccanismi che determinano chi può accedere a una risorsa (un file, un’applicazione, una rete) e quali azioni può compiere su di essa (lettura, scrittura, esecuzione). Si basa sui principi di autenticazione e autorizzazione.
Esempio: L’impiegato del reparto marketing può visualizzare i file nella cartella condivisa del suo team, ma non può accedere alle cartelle del reparto finanziario.
Definizione: Una tecnica di test della sicurezza in cui un team (Red Team) simula le tattiche, le tecniche e le procedure (TTP) di specifici gruppi di attaccanti reali (es. un gruppo APT) per verificare l’efficacia delle difese di un’organizzazione in uno scenario realistico.
Esempio: Per testare le proprie difese contro lo spionaggio industriale, un’azienda assume un team per emulare un noto gruppo hacker cinese, usando i loro stessi malware e metodi di infiltrazione.
Definizione: Un tipo di software che visualizza automaticamente pubblicità indesiderata sul dispositivo di un utente. Sebbene spesso sia più fastidioso che dannoso, può rallentare il sistema, raccogliere dati di navigazione e talvolta fungere da veicolo per malware più pericolosi.
Esempio: Dopo aver scaricato un programma gratuito, sul tuo browser iniziano a comparire continuamente pop-up pubblicitari, anche quando visiti siti che normalmente non ne hanno.
Definizione: Un algoritmo di crittografia simmetrica a blocchi, diventato lo standard de facto per la cifratura dei dati a livello mondiale, adottato anche dal governo degli Stati Uniti. È considerato estremamente sicuro e viene utilizzato in innumerevoli applicazioni, come la protezione delle connessioni Wi-Fi (WPA2/3) e la cifratura di file.
Esempio: Quando usi WhatsApp, i tuoi messaggi sono protetti da crittografia end-to-end che impiega un protocollo basato su AES per renderli illeggibili a chiunque tranne te e il destinatario.
Definizione: Una misura di sicurezza di rete che consiste nell’isolare fisicamente un computer o una rete da altre reti, in particolare da Internet. Questo impedisce qualsiasi tipo di connessione esterna, rendendo estremamente difficile un attacco remoto.
Esempio: I sistemi di controllo di una centrale nucleare sono tenuti in “air gap”, ovvero non sono collegati a nessuna rete esterna, per impedire che hacker possano prenderne il controllo da remoto.
Definizione: Una condizione di sovraccarico che colpisce gli analisti di sicurezza quando ricevono un volume eccessivo di avvisi dai sistemi di monitoraggio (come SIEM o IDS). Questo può portare a desensibilizzazione, ritardi nella risposta o alla mancata identificazione di minacce reali in mezzo a troppi falsi positivi.
Esempio: Un analista del SOC, dopo aver gestito 300 alert in un giorno (la maggior parte dei quali innocui), ignora per errore il 301°, che era l’inizio di un attacco ransomware.
Definizione: L’insieme di pratiche e tecnologie volte a proteggere le API (Application Programming Interfaces) da abusi e attacchi. Poiché le API gestiscono lo scambio di dati tra applicazioni diverse, una loro vulnerabilità può esporre dati sensibili o consentire accessi non autorizzati.
Esempio: Un’app mobile di e-commerce usa un’API per comunicare con il server. Se l’API non è sicura, un attaccante potrebbe intercettare la richiesta e rubare i dati della carta di credito di un utente durante un acquisto.
Definizione: Una pratica di sicurezza “default-deny” che consente l’esecuzione solo di applicazioni e file specificamente approvati e inseriti in una lista bianca (whitelist). Qualsiasi software non presente in questa lista viene bloccato a priori, impedendo l’esecuzione di malware sconosciuti o non autorizzati.
Esempio: Un’azienda imposta sui computer dei dipendenti una whitelist che permette di usare solo Microsoft Office, il browser aziendale e il software gestionale, bloccando l’installazione di qualsiasi altro programma.
Definizione: Un tipo di attacco informatico furtivo e continuo, orchestrato da un attore altamente qualificato e con ingenti risorse (spesso uno stato-nazione). L’obiettivo non è il guadagno immediato, ma rimanere nascosti all’interno della rete della vittima per un lungo periodo, al fine di esfiltrare dati, compiere spionaggio o sabotare le operazioni.
Esempio: Un gruppo APT sponsorizzato da uno stato si infiltra nella rete di un’azienda aerospaziale e per mesi ruba segretamente i progetti di un nuovo aereo militare.
Definizione: Qualsiasi risorsa di valore per un’organizzazione che necessita di essere protetta. Gli asset possono essere tangibili (server, laptop) o intangibili (dati dei clienti, proprietà intellettuale, reputazione del brand). La cybersecurity si occupa di proteggere questi asset.
Esempio: Per una banca, il database contenente i numeri di conto corrente e i saldi dei clienti è un asset critico da proteggere con la massima priorità.
Definizione: La somma di tutti i possibili punti (vettori di attacco) che un aggressore può sfruttare per entrare in un sistema o in una rete ed estrarre dati. Ridurre la superficie d’attacco (es. disattivando servizi non necessari) è una pratica fondamentale di sicurezza.
Esempio: La superficie d’attacco di un’azienda include i suoi server web, le VPN per i dipendenti, i dispositivi IoT nell’ufficio e persino gli account social media dei dirigenti.
Definizione: Un record cronologico e sequenziale di tutte le attività e gli eventi che si sono verificati su un sistema informatico. È fondamentale per le indagini forensi, per monitorare la conformità e per ricostruire le azioni di un utente o di un processo.
Esempio: Per scoprire chi ha cancellato un file importante, l’amministratore di sistema consulta l’audit trail del file server, che mostra l’utente, la data e l’ora esatta dell’operazione.
Definizione: Il processo di verifica dell’identità di un utente, sistema o servizio, per assicurarsi che sia chi o cosa dichiara di essere. È il primo passo del controllo degli accessi e risponde alla domanda: “Chi sei?”.
Esempio: Quando inserisci username e password per accedere alla tua casella di posta elettronica, stai eseguendo un processo di autenticazione.
Definizione: Il processo che avviene dopo l’autenticazione e che definisce i permessi specifici di un’identità verificata. Risponde alla domanda: “Cosa sei autorizzato a fare?”.
Esempio: Dopo esserti autenticato sul sistema aziendale, l’autorizzazione determina che puoi leggere i documenti del tuo reparto ma non puoi modificarli o cancellarli.
Definizione: Uno dei tre pilastri della triade CIA (Confidentiality, Integrity, Availability). Garantisce che i sistemi informatici, le reti e i dati siano accessibili e utilizzabili dagli utenti autorizzati quando ne hanno bisogno.
Esempio: Un attacco DDoS che rende irraggiungibile un sito di e-commerce è un attacco alla sua disponibilità, perché impedisce ai clienti di fare acquisti.
Definizione: Un software progettato per rilevare, prevenire e rimuovere software dannoso (malware) come virus, worm e trojan. Funziona principalmente confrontando i file con un database di firme di malware noti (rilevamento basato su firma) o analizzando il comportamento sospetto dei programmi (rilevamento euristico).
Esempio: L’antivirus installato sul tuo PC rileva un file allegato a un’email come un trojan conosciuto e lo mette in quarantena prima che possa infettare il sistema.
Definizione: Un metodo nascosto per bypassare i normali controlli di autenticazione e sicurezza di un sistema. Può essere inserita da un programmatore per scopi di manutenzione (ma spesso dimenticata) o installata da un malware per garantire all’attaccante un accesso persistente e segreto.
Esempio: Un hacker installa una backdoor su un server compromesso, che gli permette di riconnettersi in qualsiasi momento anche se l’amministratore cambia le password.
Definizione: La pratica di creare una copia dei dati su un supporto di memorizzazione secondario per poterli ripristinare in caso di perdita, danneggiamento o attacco (come un ransomware). I backup sono una componente essenziale di qualsiasi piano di disaster recovery.
Esempio: Dopo che un ransomware ha crittografato tutti i file aziendali, l’azienda riesce a ripristinare le operazioni in poche ore utilizzando il backup completo effettuato la notte precedente su un disco esterno.
Definizione: Una tecnica di social engineering in cui un aggressore lascia un dispositivo fisico infetto (come una chiavetta USB) in un luogo dove è probabile che venga trovato e utilizzato da una vittima. La curiosità spinge la vittima a collegare il dispositivo, installando così il malware.
Esempio: Un attaccante lascia una chiavetta USB con l’etichetta “Stipendi 2024” nel parcheggio di un’azienda, sperando che un dipendente la trovi e la inserisca nel suo computer di lavoro.
Definizione: Una fotografia dello stato normale e sicuro di un sistema o di una rete in un dato momento. La baseline serve come punto di riferimento per monitorare le deviazioni, identificare attività anomale e verificare che le configurazioni di sicurezza siano mantenute nel tempo.
Esempio: Un’azienda crea una baseline di sicurezza per i suoi server, definendo quali porte devono essere aperte e quali servizi in esecuzione. Qualsiasi scostamento da questa baseline genera un alert.
Definizione: Un piano strategico che definisce come un’organizzazione continuerà a operare durante e dopo un’interruzione significativa (es. disastro naturale, attacco informatico, pandemia). Copre tutti gli aspetti dell’azienda, non solo l’IT, per garantire la resilienza operativa.
Esempio: Il BCP di una banca include procedure per deviare le operazioni verso una filiale secondaria e attivare il personale in smart working in caso di inagibilità della sede principale.
Definizione: Una tecnologia di autenticazione che utilizza caratteristiche fisiche o comportamentali uniche di un individuo per verificarne l’identità. Esempi includono il riconoscimento dell’impronta digitale, del volto, dell’iride o della voce.
Esempio: Sblocchi il tuo smartphone usando il Face ID o il sensore di impronte digitali, che sono due forme di autenticazione biometrica.
Definizione: Un hacker che viola la sicurezza dei sistemi informatici illegalmente e con intenti malevoli, come il furto di dati, il guadagno finanziario, il sabotaggio o lo spionaggio. Si contrappone al “White Hat”, che opera eticamente.
Esempio: Un hacker Black Hat sfrutta una vulnerabilità di un sito di e-commerce per rubare un database di migliaia di carte di credito e venderlo sul dark web.
Definizione: Un algoritmo di crittografia simmetrica che opera su blocchi di dati di dimensione fissa (es. 128 bit). Il testo in chiaro viene suddiviso in blocchi e ogni blocco viene crittografato separatamente utilizzando la stessa chiave. AES è l’esempio più comune di block cipher.
Esempio: Per crittografare un file di 512 bit con AES (che usa blocchi da 128 bit), l’algoritmo suddivide il file in quattro blocchi e li cifra uno per uno.
Definizione: L’insieme di pratiche e tecnologie volte a proteggere le reti blockchain e le applicazioni decentralizzate (dApp) da attacchi e frodi. Include la sicurezza degli smart contract, la protezione dei wallet e la prevenzione di attacchi specifici come il “51% attack”.
Esempio: Un’azienda di audit specializzata in blockchain security analizza il codice di uno smart contract prima del suo rilascio per trovare vulnerabilità che potrebbero permettere a un hacker di rubare i fondi.
Definizione: Il team di sicurezza informatica responsabile della difesa di un’organizzazione. I suoi compiti includono il monitoraggio continuo dei sistemi, la gestione degli strumenti di sicurezza (firewall, SIEM), la risposta agli incidenti e il rafforzamento delle difese per prevenire attacchi futuri.
Esempio: Mentre il Red Team tenta di penetrare la rete, il Blue Team deve rilevare l’intrusione e bloccarla il più rapidamente possibile.
Definizione: Un programma software automatizzato progettato per eseguire compiti specifici. I bot possono essere legittimi (es. i crawler dei motori di ricerca) o malevoli. I bot malevoli sono spesso utilizzati per lanciare attacchi DDoS, inviare spam o eseguire credential stuffing.
Esempio: Un attaccante usa un esercito di bot per inondare un sito web di richieste, causando un attacco DDoS che lo rende inaccessibile.
Definizione: Una rete di dispositivi compromessi (computer, smartphone, dispositivi IoT), chiamati “bot” o “zombie”, controllati a distanza da un aggressore (il “botmaster”). Le botnet sono utilizzate per sferrare attacchi su larga scala, come campagne di spam, attacchi DDoS o mining di criptovalute.
Esempio: La botnet Mirai ha infettato centinaia di migliaia di telecamere e router IoT in tutto il mondo per lanciare alcuni dei più potenti attacchi DDoS mai registrati.
Definizione: Una tecnica di attacco che consiste nel tentare sistematicamente tutte le possibili combinazioni di caratteri per indovinare una password o una chiave di crittografia. Sebbene sia un metodo semplice, può essere efficace contro password deboli o corte.
Esempio: Un software di brute force prova milioni di password al secondo per accedere all’account di un utente, partendo da quelle più comuni come “123456” e “password”.
Definizione: Una vulnerabilità software che si verifica quando un programma tenta di scrivere dati in un buffer di memoria superandone la capacità. Questo può sovrascrivere dati adiacenti, causare un crash del programma o, peggio, consentire a un aggressore di eseguire codice arbitrario con i privilegi dell’applicazione vulnerabile.
Esempio: Un hacker invia a un server web un input malevolo molto più lungo del previsto. Questo causa un buffer overflow che permette all’hacker di eseguire comandi sul server.
Definizione: Un programma offerto da molte organizzazioni che ricompensa economicamente i ricercatori di sicurezza e gli hacker etici per aver scoperto e segnalato in modo responsabile le vulnerabilità nei loro sistemi. È un approccio proattivo per trovare e correggere i bug prima che vengano sfruttati dai malintenzionati.
Esempio: Google offre un Bug Bounty Program con premi che arrivano a milioni di dollari per chi scopre vulnerabilità critiche nei suoi prodotti, come il browser Chrome o il sistema operativo Android.
Definizione: Una policy aziendale che permette ai dipendenti di utilizzare i propri dispositivi personali (smartphone, laptop, tablet) per accedere alle risorse e ai dati aziendali. Sebbene aumenti la flessibilità, introduce rischi significativi per la sicurezza che devono essere gestiti con policy e strumenti adeguati (es. MDM).
Esempio: Un’azienda adotta una policy BYOD ma richiede che tutti i dispositivi personali abbiano un software di sicurezza installato e che i dati aziendali siano memorizzati in un contenitore crittografato.
Definizione: Un’entità fidata che emette, gestisce e revoca i certificati digitali. Le CA sono un pilastro della Public Key Infrastructure (PKI) e garantiscono che la chiave pubblica contenuta in un certificato appartenga effettivamente all’entità (persona, server, organizzazione) che lo presenta.
Esempio: Quando ti connetti a un sito in HTTPS, il tuo browser verifica che il certificato SSL/TLS del sito sia stato emesso da una CA attendibile (come Let’s Encrypt o DigiCert) per garantire che la connessione sia sicura e autentica.
Definizione: Acronimo di “Completely Automated Public Turing test to tell Computers and Humans Apart”. È un test di sfida-risposta utilizzato per distinguere gli utenti umani dai bot automatizzati, tipicamente richiedendo di riconoscere immagini o testo distorto.
Esempio: Prima di inviare un modulo di contatto, un sito web ti chiede di selezionare tutte le immagini che contengono un semaforo per assicurarsi che tu non sia un bot di spam.
Definizione: La documentazione cronologica che mostra la sequenza di custodia, controllo, trasferimento, analisi e disposizione delle prove fisiche o digitali in un’indagine. Mantenere una catena di custodia integra è fondamentale per garantire che le prove siano ammissibili in un procedimento legale.
Esempio: In un’indagine forense, ogni volta che il disco rigido contenente le prove viene passato da un analista a un altro, viene firmato un modulo per documentare il trasferimento e mantenere la catena di custodia.
Definizione: Un modello gerarchico utilizzato nella crittografia a chiave pubblica per verificare la validità di un certificato. La fiducia in un certificato finale (es. di un sito web) si basa sulla fiducia nel certificato della CA intermedia che lo ha firmato, la cui fiducia a sua volta si basa sulla CA radice (Root CA), pre-installata e considerata attendibile dal sistema operativo o dal browser.
Esempio: Il tuo browser si fida del certificato di google.com perché è stato firmato da una CA intermedia di Google, che a sua volta è stata firmata da una Root CA fidata già presente nel tuo sistema.
Definizione: Un modello fondamentale della sicurezza informatica che descrive i tre obiettivi principali della protezione delle informazioni: Confidentiality (Riservatezza), Integrity (Integrità) e Availability (Disponibilità). Quasi ogni policy o controllo di sicurezza mira a soddisfare uno o più di questi principi.
Esempio: Per un’app di online banking, la riservatezza protegge i dati del conto da occhi indiscreti, l’integrità assicura che il saldo non possa essere alterato illecitamente e la disponibilità garantisce che sia possibile accedervi 24/7.
Definizione: Un algoritmo utilizzato per eseguire la crittografia (cifratura) o la decrittografia (decifratura) delle informazioni. Converte il testo in chiaro (plaintext) in testo cifrato (ciphertext) e viceversa, utilizzando una chiave.
Esempio: Il cifrario di Cesare è un semplice cifrario a sostituzione in cui ogni lettera del testo in chiaro viene spostata di un certo numero di posizioni nell’alfabeto.
Definizione: Il dirigente di alto livello responsabile della strategia complessiva di sicurezza delle informazioni di un’organizzazione. Il CISO allinea le iniziative di sicurezza con gli obiettivi di business, gestisce i rischi informatici e assicura la conformità con le normative.
Esempio: Dopo un data breach, il CISO presenta al consiglio di amministrazione un piano per aumentare gli investimenti in sicurezza e migliorare la formazione dei dipendenti.
Definizione: Un tipo di attacco web in cui un utente viene ingannato a cliccare su un elemento nascosto o mascherato di una pagina web, eseguendo così un’azione involontaria su un altro sito. L’attaccante sovrappone una pagina trasparente o un iframe malevolo sopra una pagina legittima.
Esempio: Un utente crede di cliccare su un pulsante “Vinci un premio”, ma in realtà sta cliccando su un pulsante “Elimina account” di un social network, invisibile sotto di esso.
Definizione: Un software o servizio che si interpone tra gli utenti di un’organizzazione e i servizi cloud che utilizzano (es. Office 365, Dropbox). Funziona come un punto di controllo per applicare le policy di sicurezza, monitorare le attività, prevenire la perdita di dati e garantire la conformità.
Esempio: Un’azienda utilizza un CASB per impedire ai dipendenti di caricare file contenenti dati sensibili dei clienti su account personali di storage cloud.
Definizione: Un approccio alla sicurezza che progetta e implementa i controlli di sicurezza specificamente per gli ambienti cloud-nativi (basati su container, microservizi, serverless e API). Invece di adattare strumenti tradizionali, si concentra sulla sicurezza integrata nel ciclo di vita dello sviluppo (DevSecOps) e sull’automazione.
Esempio: Invece di usare un firewall tradizionale, un team adotta un approccio cloud-native implementando policy di rete granulari direttamente tra i microservizi dell’applicazione.
Definizione: Uno strumento automatizzato che monitora continuamente gli ambienti cloud (AWS, Azure, GCP) per identificare errate configurazioni di sicurezza, rischi e violazioni della conformità. Aiuta a mantenere una “postura di sicurezza” corretta e a prevenire data breach causati da errori umani.
Esempio: Uno strumento CSPM rileva un bucket di storage S3 su AWS configurato come “pubblico” per errore e invia un alert immediato al team di sicurezza per correggerlo.
Definizione: Il processo di utilizzo di un certificato digitale per firmare un file eseguibile o uno script. La firma garantisce l’autenticità (chi ha creato il software) e l’integrità (il codice non è stato alterato dopo la firma), aumentando la fiducia dell’utente e del sistema operativo.
Esempio: Microsoft firma digitalmente gli aggiornamenti di Windows per garantire agli utenti che provengono da una fonte legittima e non sono stati manomessi da malware.
Definizione: Un sito di disaster recovery alternativo che fornisce solo lo spazio fisico e le utenze di base (elettricità, connettività), ma non include l’hardware IT. È l’opzione meno costosa, ma richiede più tempo per diventare operativo in caso di disastro.
Esempio: Un’azienda affitta un cold site che consiste in un ufficio vuoto. In caso di disastro, dovrà trasportare e installare tutti i propri server e computer prima di poter riprendere le operazioni.
Definizione: L’infrastruttura (server e software) utilizzata da un aggressore per comunicare e inviare comandi a distanza ai sistemi compromessi all’interno di una botnet o di una rete target. Le comunicazioni C2 sono spesso crittografate e mascherate per eludere il rilevamento.
Esempio: Un malware installato su un computer contatta periodicamente il suo server C2 per ricevere istruzioni, come “scarica un ransomware” o “inizia a esfiltrare file”.
Definizione: L’atto di aderire a un insieme di regole, standard, leggi o normative stabilite da un’autorità esterna. In cybersecurity, la compliance implica l’implementazione di controlli specifici per soddisfare i requisiti di normative come GDPR, PCI DSS o HIPAA.
Esempio: Un ospedale deve essere conforme alla normativa HIPAA, che impone rigidi controlli per proteggere la privacy e la sicurezza dei dati sanitari dei pazienti.
Definizione: Uno dei tre pilastri della triade CIA. Garantisce che le informazioni siano accessibili solo a persone o sistemi autorizzati, impedendo la divulgazione non autorizzata di dati sensibili. La crittografia è uno dei principali strumenti per garantire la riservatezza.
Esempio: Crittografare il disco rigido del proprio laptop assicura la riservatezza dei dati: anche se il laptop viene rubato, nessuno potrà leggere i file senza la password.
Definizione: L’insieme di pratiche e strumenti volti a proteggere l’intero ciclo di vita delle applicazioni basate su container (come Docker). Include la scansione delle immagini per vulnerabilità, la protezione dell’host, la sicurezza del runtime e la gestione dei segreti.
Esempio: Un processo di CI/CD scansiona automaticamente ogni immagine Docker per vulnerabilità note prima che possa essere distribuita in produzione, migliorando la container security.
Definizione: Un tipo di attacco web in cui un aggressore modifica il contenuto di un cookie memorizzato sul computer di un utente per ottenere un accesso non autorizzato o bypassare i controlli di sicurezza di un’applicazione web. Questo è possibile se l’applicazione si fida ciecamente dei dati contenuti nel cookie.
Esempio: Un aggressore modifica un cookie che memorizza il suo ID utente con quello di un amministratore. Se il sito non valida correttamente il cookie, l’aggressore potrebbe ottenere i privilegi di amministratore.
Definizione: Un tipo di attacco a forza bruta in cui un aggressore utilizza liste di credenziali (username e password) rubate da precedenti data breach per tentare di accedere a numerosi altri servizi. L’attacco ha successo perché molte persone riutilizzano la stessa password su più siti.
Esempio: Un gruppo di hacker ottiene un database di credenziali da un forum violato e usa bot automatici per provare le stesse combinazioni su siti di banche, social media e e-commerce.
Definizione: I sistemi e gli asset, fisici o virtuali, così vitali per una nazione che la loro incapacità o distruzione avrebbe un impatto debilitante sulla sicurezza, l’economia, la salute pubblica o la sicurezza nazionale. Esempi includono la rete elettrica, i sistemi idrici, le reti di trasporto e le telecomunicazioni.
Esempio: La protezione della rete elettrica da attacchi informatici è una priorità nazionale, poiché un blackout su larga scala potrebbe paralizzare l’intero paese.
Definizione: Un attacco che costringe un utente autenticato su un sito web a eseguire un’azione indesiderata (es. cambiare la password, effettuare un bonifico) senza il suo consenso. L’attacco sfrutta la fiducia che il sito ha nel browser dell’utente, che invia automaticamente i cookie di sessione con ogni richiesta.
Esempio: Mentre sei loggato nella tua banca online, visiti un sito malevolo che contiene un’immagine nascosta il cui src punta a un URL che esegue un bonifico a nome tuo.
Definizione: Una vulnerabilità di sicurezza web che consente a un aggressore di iniettare script malevoli (solitamente JavaScript) nelle pagine web visualizzate da altri utenti. Può essere utilizzata per rubare cookie di sessione, reindirizzare gli utenti a siti malevoli o modificare il contenuto della pagina.
Esempio: Un attaccante pubblica un commento su un blog che contiene uno script. Quando un altro utente visualizza quel commento, lo script viene eseguito nel suo browser e ruba il suo cookie di sessione.
Definizione: La scienza e la pratica di proteggere le comunicazioni e i dati attraverso l’uso di codici, in modo che solo le persone autorizzate possano leggerli ed elaborarli. Comprende tecniche per la cifratura, la decifratura, la firma digitale e l’hashing.
Esempio: La crittografia end-to-end utilizzata nelle app di messaggistica assicura che solo il mittente e il destinatario possano leggere il contenuto dei messaggi.
Definizione: L’uso non autorizzato del computer di un’altra persona per minare criptovalute. Gli aggressori lo fanno iniettando uno script di mining in un sito web o installando malware sul dispositivo della vittima, sfruttandone la potenza di calcolo all’insaputa del proprietario.
Esempio: Noti che la ventola del tuo computer gira al massimo e il sistema è molto lento mentre visiti un certo sito web. Questo potrebbe essere causato da uno script di cryptojacking in esecuzione in background.
Definizione: Un incidente di sicurezza in cui informazioni sensibili, protette o confidenziali vengono copiate, trasmesse, visualizzate, rubate o utilizzate da un individuo non autorizzato. Una violazione può essere causata da un attacco esterno o da un errore umano interno.
Esempio: Un’azienda di social media subisce un data breach e i nomi, le email e i numeri di telefono di milioni di utenti vengono pubblicati online.
Definizione: L’atto di trasferire dati in modo non autorizzato da un computer o da una rete. È la fase finale di molti attacchi informatici, in cui l’obiettivo è rubare le informazioni dopo aver ottenuto l’accesso al sistema.
Esempio: Un malware, dopo aver infettato un computer aziendale, comprime i documenti sensibili e li invia segretamente a un server controllato dall’attaccante.
Definizione: Uno dei tre pilastri della triade CIA. Assicura che i dati siano accurati, completi e non siano stati alterati o corrotti in modo non autorizzato durante la loro memorizzazione o trasmissione. L’hashing è una tecnica comune per verificare l’integrità.
Esempio: Quando scarichi un software, puoi confrontare l’hash del file scaricato con quello fornito sul sito ufficiale per verificare che il file non sia stato modificato da terzi.
Definizione: Un insieme di strumenti e processi utilizzati per garantire che i dati sensibili non vengano persi, utilizzati in modo improprio o accessibili da utenti non autorizzati. I sistemi DLP possono rilevare e bloccare tentativi di esfiltrazione di dati, ad esempio via email o tramite dispositivi USB.
Esempio: Il sistema DLP aziendale impedisce a un dipendente di inviare un’email a un indirizzo personale se rileva che l’allegato contiene numeri di carte di credito.
Definizione: Una variante dell’attacco DoS in cui un obiettivo (come un server web) viene inondato di traffico proveniente da molteplici fonti diverse, spesso una botnet. La natura distribuita dell’attacco rende molto più difficile bloccarlo rispetto a un DoS proveniente da un’unica fonte.
Esempio: Un gruppo di hacktivisti utilizza una botnet per lanciare un attacco DDoS contro il sito web di un governo, rendendolo inaccessibile a tutti i cittadini.
Definizione: Il processo di conversione di dati crittografati (ciphertext) nel loro formato originale e leggibile (plaintext). È l’operazione inversa della crittografia e richiede l’uso della chiave corretta.
Esempio: Quando ricevi un messaggio crittografato su un’app di messaggistica, il tuo dispositivo utilizza la tua chiave privata per decifrare il testo e renderlo leggibile.
Definizione: Una tecnica avanzata di filtraggio del traffico di rete che esamina in dettaglio il contenuto dei pacchetti di dati che attraversano un punto di ispezione. A differenza dei firewall tradizionali, che guardano solo le intestazioni, il DPI analizza anche il payload (i dati effettivi), permettendo di bloccare minacce specifiche o applicare policy granulari.
Esempio: Un firewall di nuova generazione utilizza il DPI per identificare e bloccare il traffico associato a un’applicazione di file-sharing non autorizzata, anche se tenta di mascherarsi su una porta standard come la 80 (HTTP).
Definizione: Una strategia di sicurezza informatica che impiega più livelli di controlli di sicurezza (difese a strati) per proteggere gli asset. L’idea è che se un livello di difesa viene superato, un altro livello successivo possa comunque fermare o rallentare l’attacco.
Esempio: Un’azienda protegge i suoi dati sensibili con un firewall perimetrale, un sistema di prevenzione delle intrusioni (IPS), l’autenticazione a più fattori per l’accesso e la crittografia dei dati sul disco.
Definizione: Una sottorete fisica o logica che si interpone tra la rete interna di un’organizzazione (la LAN fidata) e una rete esterna non fidata come Internet. La DMZ ospita i servizi esposti all’esterno (es. server web, mail server) per isolarli dalla rete interna e limitare i danni in caso di compromissione.
Esempio: Il server web di un’azienda è posizionato nella DMZ. Se un hacker riesce a comprometterlo, non avrà comunque accesso diretto alla rete interna dove si trovano i database dei clienti.
Definizione: Un tipo di attacco informatico il cui obiettivo è rendere un servizio o una risorsa di rete indisponibile ai suoi utenti legittimi. Questo viene tipicamente ottenuto inondando il sistema target con un volume di traffico o di richieste che ne esaurisce le risorse (CPU, RAM, banda).
Esempio: Un singolo computer attaccante invia un flusso continuo di richieste di connessione a un server, impedendo agli utenti reali di stabilire una connessione.
Definizione: Una cultura e una pratica organizzativa che integra la sicurezza informatica in ogni fase del ciclo di vita dello sviluppo del software (DevOps), dall’ideazione al rilascio. L’obiettivo è “spostare la sicurezza a sinistra” (shift left), automatizzando i controlli e rendendo la sicurezza una responsabilità condivisa da sviluppatori, operation e team di sicurezza.
Esempio: In una pipeline DevSecOps, ogni volta che uno sviluppatore invia nuovo codice, questo viene automaticamente scansionato per vulnerabilità prima di essere integrato nel prodotto finale.
Definizione: Un file elettronico, emesso da una Certificate Authority (CA), che utilizza la crittografia a chiave pubblica per legare un’identità (di una persona o di un server) a una chiave pubblica. I certificati SSL/TLS sono un esempio comune e vengono usati per abilitare le connessioni sicure HTTPS.
Esempio: Il certificato SSL del tuo sito di e-commerce preferito garantisce che stai comunicando con il vero sito e non con un impostore, e permette di crittografare i dati della tua carta di credito.
Definizione: La disciplina che si occupa dell’identificazione, acquisizione, analisi e presentazione di prove digitali recuperate da dispositivi elettronici (computer, smartphone, server). È fondamentale per investigare su crimini informatici, incidenti di sicurezza e controversie legali.
Esempio: Dopo un attacco ransomware, un team di digital forensics analizza i log del server e le immagini dei dischi per ricostruire le azioni dell’attaccante e identificare la vulnerabilità sfruttata.
Definizione: Un meccanismo crittografico utilizzato per verificare l’autenticità, l’integrità e il non ripudio di un documento o messaggio digitale. Viene creata crittografando l’hash del documento con la chiave privata del mittente; chiunque può verificarla usando la chiave pubblica del mittente.
Esempio: Un manager appone una firma digitale a un contratto in PDF. Questo garantisce al destinatario che il contratto proviene effettivamente dal manager e che non è stato modificato dopo la firma.
Definizione: Un piano documentato e strutturato che descrive come un’organizzazione può ripristinare rapidamente l’accesso e la funzionalità della sua infrastruttura IT dopo un evento catastrofico. È una componente del più ampio Business Continuity Plan (BCP) e si concentra specificamente sugli aspetti tecnologici.
Esempio: Il DRP di un’azienda prevede che, in caso di incendio del data center principale, tutti i sistemi critici vengano riavviati entro 4 ore su un sito di backup situato in un’altra città.
Definizione: Un tipo di attacco che reindirizza le richieste DNS (Domain Name System) verso server DNS malevoli o compromessi. Questo porta gli utenti su siti web falsi (es. un sito di phishing che imita quello di una banca) anche se hanno digitato l’URL corretto nel browser.
Esempio: Un attaccante modifica le impostazioni DNS sul router Wi-Fi di casa di una vittima. Da quel momento, ogni volta che la vittima cerca di visitare mybank.com, viene reindirizzata a un sito clone controllato dall’attaccante.
Definizione: Una tecnica di attacco che consiste nell’inserire dati DNS falsi nella cache di un server DNS. Quando un utente richiede di risolvere un dominio, il server risponde con l’indirizzo IP malevolo memorizzato nella sua cache, reindirizzando l’utente a un sito controllato dall’attaccante.
Esempio: Un hacker “avvelena” la cache del server DNS di un ISP. Di conseguenza, tutti i clienti di quell’ISP che cercano di accedere a un popolare social network vengono invece inviati a un sito che distribuisce malware.
Definizione: L’atto di cercare e pubblicare online informazioni private o identificative su un individuo senza il suo consenso, spesso con intento malevolo. Queste informazioni possono includere l’indirizzo di casa, il numero di telefono, il posto di lavoro e altri dati sensibili.
Esempio: In seguito a un dibattito online, un utente arrabbiato compie un’azione di doxing, pubblicando l’indirizzo e il numero di telefono del suo avversario su un forum pubblico.
Definizione: Una metrica cruciale nell’incident response che misura il tempo trascorso da quando un aggressore ottiene per la prima volta l’accesso a una rete fino a quando viene rilevato. Un dwell time lungo indica che l’attaccante ha avuto molto tempo per muoversi lateralmente, scalare i privilegi ed esfiltrare dati.
Esempio: Il report annuale di un’azienda di sicurezza ha rilevato che il dwell time medio per gli attacchi ransomware nel settore manifatturiero è di 45 giorni.
Definizione: Una soluzione di sicurezza avanzata per gli endpoint (PC, server, laptop) che va oltre l’antivirus tradizionale. Monitora continuamente gli endpoint, raccoglie dati sulle attività, utilizza l’analisi comportamentale per rilevare minacce avanzate e fornisce strumenti per investigare e rispondere agli incidenti in tempo reale.
Esempio: Un EDR rileva un processo di PowerShell che tenta di disabilitare i log di sicurezza su un server, un comportamento sospetto che un antivirus basato su firme potrebbe non notare, e allerta immediatamente il team di sicurezza.
Definizione: Un approccio alla crittografia a chiave pubblica basato sulla matematica delle curve ellittiche. Il suo vantaggio principale è che può offrire lo stesso livello di sicurezza di algoritmi tradizionali (come RSA) con chiavi molto più piccole, rendendolo ideale per dispositivi con risorse limitate come smartphone e dispositivi IoT.
Esempio: Molte criptovalute, come Bitcoin ed Ethereum, usano ECC per generare le coppie di chiavi pubblica/privata che proteggono i wallet degli utenti.
Definizione: Il processo di conversione di informazioni leggibili (plaintext) in un formato codificato e illeggibile (ciphertext) per impedirne l’accesso a persone non autorizzate. La crittografia è il metodo principale per garantire la riservatezza dei dati.
Esempio: Quando attivi la crittografia sul tuo smartphone, tutti i tuoi dati personali vengono trasformati in un formato incomprensibile, proteggendoli in caso di furto del dispositivo.
Definizione: Un sistema di comunicazione sicura in cui solo i due endpoint della comunicazione (es. il mittente e il destinatario di un messaggio) possono leggere i dati. Nessun intermediario, nemmeno il fornitore del servizio (es. WhatsApp, Signal), può decifrare e accedere al contenuto.
Esempio: Grazie alla E2EE, anche se un hacker intercettasse i messaggi di una chat di Signal mentre viaggiano sui server dell’azienda, vedrebbe solo dati cifrati e indecifrabili.
Definizione: Qualsiasi dispositivo connesso a una rete, come un computer desktop, un laptop, uno smartphone, un tablet, un server o un dispositivo IoT. Gli endpoint sono spesso il primo bersaglio degli attacchi perché sono utilizzati direttamente dagli utenti.
Esempio: La sicurezza degli endpoint è una priorità per le aziende con dipendenti in smart working, poiché i loro laptop personali sono endpoint che si connettono alla rete aziendale.
Definizione: Un pezzo di codice, una sequenza di comandi o un insieme di dati che sfrutta una vulnerabilità specifica in un software o hardware per causare un comportamento imprevisto o indesiderato. L’exploit è lo strumento che permette a un attaccante di “sfruttare” un punto debole.
Esempio: Un hacker utilizza un exploit per la vulnerabilità “BlueKeep” per ottenere il controllo remoto di un server Windows non aggiornato.
Definizione: Un toolkit software progettato per automatizzare lo sfruttamento di vulnerabilità sui computer delle vittime. Tipicamente ospitato su un server web compromesso, identifica le vulnerabilità del browser e dei plugin del visitatore (es. Flash, Java) e lancia l’exploit appropriato per installare malware.
Esempio: Un utente visita un sito web apparentemente innocuo, ma un exploit kit in esecuzione in background rileva che sta usando una versione obsoleta di Adobe Reader e la sfrutta per installare un trojan.
Definizione: Un errore in un sistema di sicurezza (come un antivirus o un IDS) che si verifica quando non rileva una minaccia o un attacco reale, classificandolo erroneamente come traffico o attività benigna. I falsi negativi sono estremamente pericolosi perché creano un falso senso di sicurezza.
Esempio: Un nuovo tipo di ransomware non viene rilevato dall’antivirus aziendale (un falso negativo) e riesce a crittografare i file di un intero reparto.
Definizione: Un errore in un sistema di sicurezza che si verifica quando un’attività o un file legittimo viene erroneamente identificato come malevolo. Troppi falsi positivi possono portare all’alert fatigue e far sì che gli analisti ignorino gli avvisi importanti.
Esempio: Il sistema di prevenzione delle intrusioni (IPS) blocca l’accesso di un dipendente a uno strumento di lavoro legittimo perché lo scambia per un’attività di hacking (un falso positivo).
Definizione: Un processo di sicurezza che consiste nel monitorare e rilevare le modifiche ai file critici del sistema operativo e delle applicazioni. Funziona creando una baseline (un’impronta) dei file e confrontandola periodicamente per identificare aggiunte, modifiche o cancellazioni non autorizzate.
Esempio: Uno strumento FIM avvisa l’amministratore di sistema che un file di configurazione critico del server web è stato modificato, il che potrebbe indicare una compromissione.
Definizione: Un dispositivo di sicurezza di rete, hardware o software, che monitora e controlla il traffico di rete in entrata e in uscita sulla base di un insieme di regole di sicurezza predefinite. Funziona come una barriera tra una rete fidata (es. la rete domestica o aziendale) e una rete non fidata (es. Internet).
Esempio: Il firewall del tuo router domestico è configurato per bloccare tutte le connessioni in entrata non richieste, proteggendo i dispositivi della tua rete da tentativi di scansione e attacco provenienti da Internet.
Definizione: Un tipo di software permanente programmato nella memoria di sola lettura (ROM) di un dispositivo hardware. Fornisce le istruzioni di basso livello per il funzionamento del dispositivo. La sicurezza del firmware è critica perché una sua compromissione può essere difficile da rilevare e rimuovere.
Esempio: L’aggiornamento del firmware del tuo router è importante per correggere le vulnerabilità di sicurezza che potrebbero consentire a un hacker di prenderne il controllo.
Definizione: Una tecnica di test automatico della sicurezza del software che consiste nell’inviare dati non validi, inaspettati o casuali (“fuzz”) a un programma per trovarne i bug. L’obiettivo è provocare crash, buffer overflow o altri comportamenti anomali che potrebbero indicare una vulnerabilità sfruttabile.
Esempio: Un team di sicurezza usa uno strumento di fuzzing per inviare migliaia di file immagine malformati a un software di fotoritocco per vedere se qualcuno di essi causa un crash sfruttabile.
Definizione: Una tecnologia di sicurezza che crittografa automaticamente tutti i dati presenti su un disco rigido o un’unità a stato solido. Rende i dati illeggibili senza la chiave di autenticazione (solitamente una password o una chiave di ripristino), proteggendoli in caso di furto o smarrimento fisico del dispositivo.
Esempio: BitLocker di Microsoft e FileVault di Apple sono due popolari strumenti di Full Disk Encryption integrati nei rispettivi sistemi operativi.
Definizione: Il Regolamento Generale sulla Protezione dei Dati è una normativa dell’Unione Europea che stabilisce regole rigorose sulla raccolta, l’uso e la protezione dei dati personali dei cittadini dell’UE. Impone obblighi di trasparenza, sicurezza e responsabilità alle organizzazioni che trattano tali dati, prevedendo sanzioni pesanti in caso di violazione.
Esempio: In base al GDPR, un utente può esercitare il “diritto all’oblio” e chiedere a un social network di cancellare tutti i dati personali che lo riguardano.
Definizione: Un attacco post-sfruttamento sofisticato che mira a un ambiente Microsoft Active Directory. Un aggressore che ha già ottenuto i privilegi di amministratore di dominio può creare uno speciale ticket di autenticazione Kerberos (un “golden ticket”) che gli garantisce accesso illimitato e persistente a qualsiasi risorsa del dominio, anche se le password vengono cambiate.
Esempio: Un APT, dopo aver compromesso un domain controller, crea un golden ticket valido per 10 anni, assicurandosi un accesso silente e a lungo termine all’intera rete aziendale.
Definizione: L’insieme di policy, ruoli, responsabilità e processi stabiliti dalla leadership di un’organizzazione per guidare le attività di sicurezza e allinearle agli obiettivi di business. La governance assicura che le decisioni sulla sicurezza siano strategiche, gestite in base al rischio e soggette a supervisione.
Esempio: Il comitato di governance della sicurezza, composto da CISO, CIO e altri dirigenti, si riunisce trimestralmente per approvare il budget per la cybersecurity e rivedere la strategia di gestione del rischio.
Definizione: Una popolare implementazione open-source dello standard OpenPGP per la crittografia e la firma dei dati. È comunemente usato per crittografare email e file, garantendo riservatezza e autenticità attraverso un sistema di crittografia a chiave pubblica.
Esempio: Un giornalista usa GPG per crittografare le email scambiate con una fonte anonima, assicurandosi che solo loro due possano leggere il contenuto.
Definizione: Un hacker che si colloca a metà strada tra un White Hat e un Black Hat. I Grey Hat possono violare sistemi senza permesso, come un Black Hat, ma lo fanno per trovare vulnerabilità e segnalarle ai proprietari, a volte richiedendo una ricompensa. Le loro azioni, seppur non malevole, sono spesso legalmente ambigue.
Esempio: Un hacker Grey Hat scopre una vulnerabilità in un sito web popolare e la rende pubblica per costringere l’azienda a risolverla rapidamente, agendo senza autorizzazione preventiva.
Definizione: In origine, un termine per descrivere una persona con profonde competenze tecniche e una passione per esplorare i limiti dei sistemi informatici. Oggi, il termine è comunemente usato per descrivere chiunque tenti di ottenere un accesso non autorizzato a un sistema, con connotazioni che variano in base all’intento (Black Hat, White Hat, Grey Hat).
Esempio: Un’azienda assume un “hacker etico” (White Hat) per testare la sicurezza della propria rete e trovare le falle prima che lo faccia un malintenzionato.
Definizione: Il processo di rafforzamento della sicurezza di un sistema (un server, un sistema operativo, un’applicazione) riducendone la superficie d’attacco. Questo si ottiene rimuovendo software non necessario, disabilitando servizi e porte inutilizzati, applicando configurazioni sicure e patch di sicurezza.
Esempio: Prima di mettere online un nuovo server web, un amministratore di sistema esegue un processo di hardening, disattivando tutti i servizi non essenziali e chiudendo tutte le porte di rete tranne la 443 (HTTPS).
Definizione: Il risultato a lunghezza fissa prodotto da un algoritmo di hashing. Un hash è un’impronta digitale univoca di un dato (un file, una password). È una funzione unidirezionale (non si può risalire al dato originale dall’hash) ed è fondamentale per verificare l’integrità dei dati e memorizzare le password in modo sicuro.
Esempio: Per verificare l’integrità di un file scaricato, confronti il suo hash SHA-256 con quello pubblicato sul sito ufficiale: se combaciano, il file è autentico e non è stato alterato.
Definizione: Una tecnica utilizzata da software di sicurezza (come gli antivirus) per rilevare malware nuovi o sconosciuti analizzandone le caratteristiche e il comportamento, anziché basarsi su firme note. Cerca attributi sospetti o sequenze di azioni tipiche del codice malevolo.
Esempio: L’antivirus rileva un programma sconosciuto che tenta di modificare file di sistema critici e di connettersi a un indirizzo IP noto per attività malevole, bloccandolo sulla base di un’analisi euristica.
Definizione: Una legge federale degli Stati Uniti che stabilisce standard nazionali per la protezione dei dati sanitari sensibili dei pazienti. Richiede l’implementazione di tutele fisiche, amministrative e tecniche per garantire la riservatezza e la sicurezza delle informazioni sanitarie protette (PHI).
Esempio: Un ospedale deve essere conforme a HIPAA, il che significa che deve crittografare le cartelle cliniche elettroniche e limitare l’accesso solo al personale medico autorizzato.
Definizione: Un sistema o una risorsa informatica progettata per fungere da esca (decoy) per attirare e intrappolare gli aggressori. Gli honeypot sembrano sistemi reali e vulnerabili, consentendo ai difensori di studiare le tattiche e gli strumenti degli hacker in un ambiente controllato, senza esporre i sistemi di produzione.
Esempio: Un’azienda imposta un server che sembra un database di clienti non protetto (un honeypot) per vedere come gli hacker tentano di accedervi e quali dati cercano.
Definizione: Un sito di disaster recovery completamente attrezzato e ridondante, con hardware, software e connettività di rete quasi identici al sito di produzione. È l’opzione più costosa ma consente un ripristino delle operazioni quasi istantaneo in caso di disastro.
Esempio: Una grande banca mantiene un hot site che viene costantemente sincronizzato con il data center principale, pronto a prendere il suo posto in pochi minuti in caso di guasto.
Definizione: Un meccanismo di sicurezza web che impone ai browser di comunicare con un server esclusivamente tramite connessioni sicure HTTPS, anche se l’utente digita http://. Previene attacchi di downgrade che tentano di forzare la connessione su un canale non crittografato.
Esempio: Dopo la prima visita a un sito con HSTS abilitato, il tuo browser si ricorderà di usare sempre HTTPS per le connessioni future a quel dominio, proteggendoti da intercettazioni su reti Wi-Fi pubbliche.
Definizione: L’insieme di processi, policy e tecnologie per gestire le identità digitali (utenti, servizi) e controllare il loro accesso alle risorse aziendali. L’IAM garantisce che le persone giuste abbiano il giusto livello di accesso alle risorse giuste, al momento giusto e per le giuste ragioni.
Esempio: Quando un nuovo dipendente si unisce all’azienda, il sistema IAM gli assegna automaticamente l’accesso alle applicazioni e ai dati necessari per il suo ruolo.
Definizione: La pratica di integrare la scansione e i controlli di sicurezza nel processo di gestione dell’infrastruttura tramite codice (IaC), come i template di Terraform o CloudFormation. Permette di identificare e correggere errate configurazioni di sicurezza nell’infrastruttura cloud prima che venga distribuita.
Esempio: Una pipeline di CI/CD scansiona un file di configurazione Terraform e rileva che sta per creare un security group troppo permissivo, bloccando la distribuzione e segnalando il problema allo sviluppatore.
Definizione: Un protocollo di supporto nella suite di protocolli Internet, utilizzato dai dispositivi di rete (come i router) per inviare messaggi di errore e informazioni operative. Non è destinato a scambiare dati, ma a segnalare problemi, come un host irraggiungibile. Il comando ping è l’uso più noto di ICMP.
Esempio: Gli aggressori possono usare tecniche come l’ICMP flood per lanciare attacchi DoS o l’ICMP tunneling per esfiltrare dati in modo nascosto.
Definizione: L’approccio organizzato per gestire le conseguenze di una violazione della sicurezza o di un attacco informatico. L’obiettivo è contenere il danno, eradicare la causa principale, ripristinare i sistemi e imparare dall’incidente per migliorare le difese future. Le fasi tipiche includono preparazione, identificazione, contenimento, eradicazione, ripristino e lezioni apprese.
Esempio: Dopo il rilevamento di un malware, il team di Incident Response isola immediatamente il computer infetto dalla rete per contenere la minaccia.
Definizione: Un documento formale che delinea passo dopo passo le procedure che un’organizzazione deve seguire in caso di incidente di sicurezza. L’IRP definisce ruoli, responsabilità, canali di comunicazione e azioni specifiche da intraprendere per ogni tipo di incidente.
Esempio: Quando un dipendente segnala un sospetto attacco di phishing, il team di sicurezza consulta l’IRP per sapere chi contattare e come analizzare l’email in modo sicuro.
Definizione: Una serie di azioni o comportamenti che indicano che un attacco è in corso. A differenza degli Indicatori di Compromissione (IoC) che sono prove forensi “post-fatto”, gli IoA si concentrano sull’intento e sulle tattiche dell’aggressore in tempo reale, consentendo un rilevamento proattivo.
Esempio: Un IoA potrebbe essere un processo che tenta di accedere e crittografare un gran numero di file, un comportamento tipico di un ransomware, anche se il malware specifico non è ancora noto.
Definizione: Un dato o un artefatto forense osservato su una rete o un sistema che, con alta probabilità, indica che si è verificata una compromissione della sicurezza. Gli IoC sono prove “post-fatto” utilizzate per rilevare e investigare incidenti.
Esempio: Esempi comuni di IoC includono un hash di un file malware noto, l’indirizzo IP di un server di Command and Control o un URL utilizzato in una campagna di phishing.
Definizione: La pratica di proteggere le informazioni da accessi, usi, divulgazioni, alterazioni o distruzioni non autorizzate. È un campo più ampio della cybersecurity, in quanto protegge le informazioni in qualsiasi forma (digitale, cartacea, ecc.), mentre la cybersecurity si concentra specificamente sulla protezione delle informazioni in formato digitale.
Esempio: Una policy di InfoSec aziendale include non solo regole per le password dei computer, ma anche la “politica della scrivania pulita” per evitare che documenti cartacei sensibili vengano lasciati incustoditi.
Definizione: Una minaccia alla sicurezza di un’organizzazione che proviene da persone al suo interno, come dipendenti, ex dipendenti, appaltatori o partner commerciali, che hanno accesso a informazioni o sistemi. La minaccia può essere malevola (furto intenzionale) o accidentale (un errore umano).
Esempio: Un dipendente scontento, prima di licenziarsi, copia il database dei clienti su una chiavetta USB per venderlo a un concorrente.
Definizione: L’area della cybersecurity dedicata alla protezione dei dispositivi connessi a Internet (IoT), come telecamere intelligenti, termostati, sensori industriali e dispositivi indossabili. Le sfide includono la gestione di un gran numero di dispositivi, password deboli predefinite e la mancanza di aggiornamenti di sicurezza.
Esempio: Per migliorare la propria IoT security, un utente cambia la password di default del suo nuovo router Wi-Fi e della sua telecamera di sorveglianza.
Definizione: Un sistema di sicurezza di rete che monitora il traffico per rilevare attività malevole e, a differenza di un IDS, è in grado di bloccare attivamente il traffico identificato come una minaccia. Un IPS si trova “in linea” sul percorso del traffico e può scartare pacchetti, bloccare indirizzi IP o terminare sessioni.
Esempio: Un IPS rileva una scansione di porte proveniente da un indirizzo IP esterno e aggiunge automaticamente una regola al firewall per bloccare tutto il traffico futuro da quell’IP.
Definizione: Un sistema di sicurezza che monitora il traffico di rete o le attività di un sistema per rilevare attività sospette o violazioni delle policy. A differenza di un IPS, un IDS è un sistema passivo: rileva e genera un avviso (alert), ma non interviene per bloccare la minaccia.
Esempio: Un IDS rileva un tentativo di sfruttare una vulnerabilità nota su un server e invia un’email di allerta all’amministratore di sistema, che interverrà manualmente.
Definizione: Uno standard internazionale che specifica i requisiti per istituire, implementare, mantenere e migliorare continuamente un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS). Ottenere la certificazione ISO 27001 dimostra che un’organizzazione segue le best practice per la gestione della sicurezza.
Esempio: Un’azienda di servizi cloud ottiene la certificazione ISO 27001 per dimostrare ai propri clienti che gestisce i loro dati secondo i più alti standard di sicurezza.
Definizione: Il processo di rimozione delle restrizioni software imposte da Apple sui suoi dispositivi iOS (iPhone, iPad). Permette agli utenti di installare applicazioni non approvate dall’App Store e di personalizzare profondamente il sistema operativo, ma allo stesso tempo disabilita importanti meccanismi di sicurezza, esponendo il dispositivo a maggiori rischi.
Esempio: Un utente esegue il jailbreak del proprio iPhone per installare un tema personalizzato, ma così facendo rende il dispositivo vulnerabile a malware che non potrebbero infettare un iPhone non modificato.
Definizione: Uno standard aperto (RFC 7519) per creare token di accesso che affermano una serie di “claim” (informazioni) in formato JSON. I JWT sono compatti, sicuri (possono essere firmati digitalmente o crittografati) e vengono comunemente utilizzati per l’autenticazione e lo scambio sicuro di informazioni tra parti, specialmente nelle API e nelle applicazioni web moderne.
Esempio: Dopo il login, un server di autenticazione rilascia un JWT all’utente. L’utente include questo token in ogni richiesta successiva alle API, che lo verificano per autorizzare l’accesso senza dover interrogare nuovamente il database delle credenziali.
Definizione: Un protocollo di autenticazione di rete che utilizza un sistema di “ticket” per consentire ai nodi che comunicano su una rete non sicura di dimostrare la propria identità l’un l’altro in modo sicuro. È il protocollo di autenticazione predefinito in Microsoft Active Directory e si basa sulla crittografia a chiave simmetrica.
Esempio: Quando un utente accede a un dominio Windows, il server Kerberos gli fornisce un ticket di autenticazione. L’utente presenta questo ticket ogni volta che vuole accedere a una risorsa di rete (es. una stampante o un file server) senza dover reinserire la password.
Definizione: In crittografia, una chiave è un’informazione (una sequenza di bit) utilizzata da un algoritmo (cifrario) per trasformare il testo in chiaro in testo cifrato e viceversa. La sicurezza di un sistema crittografico dipende principalmente dalla segretezza e dalla robustezza della chiave.
Esempio: In una connessione Wi-Fi protetta con WPA2, la password del Wi-Fi è la chiave utilizzata per crittografare tutto il traffico tra i tuoi dispositivi e il router.
Definizione: Un tipo di malware o hardware spia che registra segretamente ogni tasto premuto sulla tastiera di un computer. Gli aggressori utilizzano i keylogger per rubare informazioni sensibili come password, numeri di carte di credito, messaggi privati e dati bancari.
Esempio: Un cybercriminale inganna un utente facendogli installare un software che contiene un keylogger. Il malware registra la password della banca online digitata dall’utente e la invia all’attaccante.
Definizione: Il processo che governa la generazione, lo scambio, la memorizzazione, l’uso, la rotazione e la distruzione delle chiavi crittografiche. Una gestione delle chiavi inadeguata può compromettere anche il sistema di crittografia più robusto.
Esempio: Una policy di gestione delle chiavi aziendale richiede che le chiavi di crittografia dei database vengano cambiate (ruotate) ogni 90 giorni per limitare i danni in caso di compromissione di una chiave.
Definizione: Una tecnica crittografica utilizzata per rendere più robuste le password deboli o generate dagli utenti. Consiste nell’eseguire ripetutamente un algoritmo di hashing sulla password (migliaia di volte), rendendo gli attacchi a forza bruta o a dizionario molto più lenti e computazionalmente costosi.
Esempio: Invece di memorizzare hash(password), un sistema sicuro memorizza hash(hash(hash(…(password)…))) per 100.000 iterazioni, rallentando enormemente i tentativi di un hacker di indovinare la password originale.
Definizione: La tecnica utilizzata da un aggressore, dopo aver ottenuto un primo accesso a una rete, per spostarsi da un sistema all’altro all’interno della stessa rete. L’obiettivo è trovare asset di valore, scalare i privilegi e raggiungere l’obiettivo finale dell’attacco.
Esempio: Un hacker compromette il laptop di un dipendente e da lì si muove lateralmente per accedere a un file server, poi a un domain controller, fino a ottenere il controllo dell’intera rete.
Definizione: Un concetto fondamentale di sicurezza secondo cui a un utente, un programma o un processo dovrebbero essere concessi solo i permessi minimi necessari per svolgere le proprie funzioni legittime. Questo limita i danni in caso di errore, abuso o compromissione di un account.
Esempio: Un utente del reparto contabilità ha i permessi per accedere al software di fatturazione, ma non per installare nuove applicazioni o modificare le impostazioni di sistema, applicando il principio del minimo privilegio.
Definizione: Il processo di revisione, interpretazione e comprensione dei record generati da computer, reti e applicazioni (log). L’analisi dei log è cruciale per il monitoraggio della sicurezza, l’identificazione di attività sospette, la risoluzione di problemi e le indagini forensi.
Esempio: Un analista di sicurezza esamina i log del firewall e nota un gran numero di tentativi di connessione falliti da un singolo indirizzo IP, un possibile segno di un attacco a forza bruta.
Definizione: Un tipo di codice malevolo inserito in un software che rimane dormiente fino a quando non si verifica una condizione o una data specifica. Quando la condizione viene soddisfatta, la “bomba” si attiva, eseguendo un’azione dannosa come la cancellazione di file o il danneggiamento del sistema.
Esempio: Un amministratore di sistema scontento inserisce una logic bomb che cancellerà tutti i dati del server se il suo account utente verrà eliminato, come vendetta in caso di licenziamento.
Definizione: Un identificatore univoco assegnato a una scheda di interfaccia di rete (NIC) per le comunicazioni sul livello di collegamento dati (data link layer) di una rete locale. Sebbene sia unico a livello hardware, può essere “spoofato” (falsificato) via software.
Esempio: Un amministratore di rete può configurare un filtro MAC sul router Wi-Fi per consentire la connessione solo ai dispositivi con MAC address specifici, aggiungendo un livello di sicurezza.
Definizione: Un modello di controllo degli accessi in cui il sistema operativo vincola la capacità di un soggetto di accedere o eseguire operazioni su un oggetto. I permessi sono determinati da etichette di sicurezza assegnate a soggetti e oggetti, e non possono essere modificati dagli utenti. È un modello molto rigido, usato in ambienti ad alta sicurezza.
Esempio: In un sistema militare che usa MAC, un utente con un’autorizzazione “Segreto” non può leggere un file etichettato come “Top Secret”, anche se è il proprietario del file.
Definizione: Qualsiasi codice in qualsiasi parte di un software o script destinato a causare effetti indesiderati, violazioni della sicurezza o danni a un sistema. È un termine generico che include malware, script su siti web, macro in documenti, ecc.
Esempio: Un aggressore inserisce codice malevolo in un plugin di un sito WordPress popolare, che viene poi utilizzato per reindirizzare i visitatori a siti di phishing.
Definizione: Una forma di spam che non mira solo a pubblicizzare prodotti, ma a distribuire malware. Le email di malspam spesso contengono allegati infetti (es. documenti Word con macro malevole) o link a siti web che ospitano exploit kit.
Esempio: Ricevi un’email che sembra una fattura, con un file ZIP allegato. Se apri l’allegato, questo installa un ransomware sul tuo computer.
Definizione: Un termine generico che si riferisce a qualsiasi software progettato specificamente per danneggiare, interrompere o ottenere un accesso non autorizzato a un sistema informatico. Le categorie di malware includono virus, worm, trojan, ransomware, spyware e adware.
Esempio: L’installazione di un software scaricato da un sito non ufficiale può portare all’infezione da malware, che può rubare le tue password o rallentare il tuo computer.
Definizione: Un tipo di attacco Man-in-the-Middle in cui un trojan infetta il browser web di una vittima. Questo malware può intercettare e modificare le transazioni web in tempo reale, in modo invisibile per l’utente, ad esempio cambiando il numero di conto di destinazione in un bonifico online.
Esempio: Un utente crede di inviare 100€ a un amico, ma il malware MitB nel suo browser modifica la richiesta per inviare i soldi sul conto dell’attaccante, senza che l’utente se ne accorga sulla pagina web.
Definizione: Un attacco in cui un aggressore si interpone segretamente tra due parti che stanno comunicando, intercettando, e potenzialmente alterando, i loro messaggi. Le vittime credono di comunicare direttamente tra loro, ma in realtà tutte le comunicazioni passano attraverso l’attaccante.
Esempio: Su una rete Wi-Fi pubblica non sicura, un hacker si posiziona come MitM tra il tuo laptop e il router, intercettando tutto il tuo traffico non crittografato, incluse le password.
Definizione: Un metodo di sicurezza che richiede a un utente di fornire due o più fattori di verifica (credenziali) per ottenere l’accesso a una risorsa. I fattori sono tipicamente classificati in qualcosa che sai (password), qualcosa che hai (smartphone, token) e qualcosa che sei (impronta digitale). Aumenta drasticamente la sicurezza rispetto alla sola password.
Esempio: Per accedere al tuo account Google, dopo aver inserito la password (primo fattore), devi inserire un codice generato da un’app sul tuo telefono (secondo fattore).
Definizione: Una tecnica di sicurezza di rete che suddivide un data center o un ambiente cloud in segmenti distinti e granulari, fino al livello del singolo carico di lavoro (workload). Per ogni segmento vengono definite policy di sicurezza specifiche, limitando drasticamente il movimento laterale di un aggressore in caso di violazione.
Esempio: In un ambiente microsegmentato, l’applicazione A può comunicare solo con il database B, e qualsiasi tentativo di connessione verso altri server viene bloccato di default, anche se si trovano sulla stessa rete.
Definizione: Una base di conoscenza accessibile a livello globale che cataloga le tattiche, le tecniche e le procedure (TTP) degli avversari basate su osservazioni del mondo reale. È uno strumento prezioso per i team di sicurezza (Blue Team, Red Team, Threat Intelligence) per comprendere, modellare e contrastare il comportamento degli attaccanti.
Esempio: Un analista di sicurezza usa il framework ATT&CK per mappare le tecniche osservate durante un attacco e capire quali altre mosse l’aggressore potrebbe tentare in seguito.
Definizione: Un tipo di software utilizzato dal reparto IT per monitorare, gestire e proteggere i dispositivi mobili (smartphone, tablet) dei dipendenti utilizzati per scopi lavorativi. Le soluzioni MDM possono applicare policy di sicurezza, distribuire applicazioni, bloccare e cancellare i dati da remoto in caso di furto.
Esempio: L’azienda utilizza un MDM per garantire che tutti gli smartphone aziendali abbiano un codice di sblocco obbligatorio e la crittografia del disco abilitata.
Definizione: Una soluzione di sicurezza che implementa policy per controllare l’accesso dei dispositivi a una rete. Prima di concedere l’accesso, un sistema NAC può verificare che il dispositivo sia conforme ai requisiti di sicurezza aziendali, come avere un antivirus aggiornato e le patch di sistema installate. I dispositivi non conformi possono essere messi in quarantena o avere un accesso limitato.
Esempio: Quando un ospite tenta di connettersi alla rete Wi-Fi aziendale, il sistema NAC lo reindirizza a un portale dove deve registrarsi e accettare le policy prima di ottenere l’accesso a Internet.
Definizione: Una tecnica utilizzata nei router per mappare più indirizzi IP privati di una rete locale su un singolo indirizzo IP pubblico. Sebbene il suo scopo primario sia conservare gli indirizzi IPv4, funge anche da meccanismo di sicurezza basilare, nascondendo la struttura della rete interna da Internet.
Esempio: Tutti i dispositivi a casa tua (PC, smartphone, smart TV) hanno indirizzi IP privati (es. 192.168.1.x), ma su Internet appaiono tutti con l’unico indirizzo IP pubblico fornito dal tuo ISP, grazie al NAT del router.
Definizione: Un principio di sicurezza, ancora più restrittivo del “minimo privilegio”, secondo cui un utente autorizzato dovrebbe avere accesso solo alle informazioni strettamente necessarie per svolgere uno specifico compito o una mansione, e non a tutte le informazioni a cui i suoi permessi generali gli darebbero accesso.
Esempio: Un analista dell’intelligence che indaga su un caso specifico ha accesso ai documenti relativi a quel caso (ha il “need to know”), ma non può accedere ai file di altri casi gestiti dai suoi colleghi, anche se il suo livello di autorizzazione (“Top Secret”) sarebbe lo stesso.
Definizione: La pratica di suddividere una rete informatica in sottoreti più piccole e isolate (segmenti o VLAN). Questo migliora la sicurezza contenendo gli incidenti all’interno del segmento in cui si verificano, impedendo a un aggressore di muoversi facilmente attraverso l’intera rete.
Esempio: Un’azienda crea segmenti di rete separati per i reparti IT, Risorse Umane e Sviluppo. In questo modo, se un malware infetta un computer nel reparto Sviluppo, non può propagarsi direttamente ai server critici del reparto IT.
Definizione: Un firewall evoluto che combina le funzionalità di un firewall stateful tradizionale con funzionalità di sicurezza più avanzate. Queste includono deep packet inspection (DPI), prevenzione delle intrusioni (IPS), consapevolezza delle applicazioni (application awareness) e integrazione con la threat intelligence.
Esempio: Un NGFW può creare una regola che consente l’accesso a Facebook, ma blocca specificamente l’uso dei giochi o della chat di Facebook, offrendo un controllo molto più granulare rispetto a un firewall tradizionale.
Definizione: Un’agenzia del Dipartimento del Commercio degli Stati Uniti che sviluppa standard, linee guida e best practice per la tecnologia e la sicurezza. Il NIST Cybersecurity Framework (CSF) è un riferimento ampiamente adottato a livello globale per aiutare le organizzazioni a gestire e ridurre i rischi informatici.
Esempio: Un’azienda adotta il NIST Cybersecurity Framework per strutturare il proprio programma di sicurezza, organizzando le sue attività nelle cinque funzioni principali: Identify, Protect, Detect, Respond, Recover.
Definizione: Un principio di sicurezza che garantisce che una parte in una transazione o comunicazione non possa negare di averla eseguita. Si ottiene tipicamente attraverso l’uso di firme digitali, che legano in modo inequivocabile un’azione a una specifica identità.
Esempio: La firma digitale apposta su un ordine di acquisto fornisce il non ripudio, poiché il mittente non può in seguito affermare di non aver mai inviato quell’ordine.
Definizione: Uno standard di autorizzazione aperto che permette a un’applicazione di terze parti di ottenere un accesso limitato a un servizio web per conto di un utente, senza esporre le credenziali (password) dell’utente. Funziona tramite token di accesso con permessi specifici (scope).
Esempio: Quando usi il tuo account Google per accedere a un’app di terze parti (“Accedi con Google”), stai usando OAuth. L’app riceve un token per accedere al tuo nome e alla tua email, ma non alla tua password di Google.
Definizione: La pratica di rendere il codice di un programma o i dati difficili da comprendere per un essere umano o per un’analisi automatizzata, senza alterarne la funzionalità. Gli aggressori usano l’offuscamento per nascondere il codice malevolo, mentre gli sviluppatori lo usano per proteggere la proprietà intellettuale.
Esempio: Il codice JavaScript di un malware viene offuscato per renderne quasi impossibile l’analisi da parte dei ricercatori di sicurezza e per eludere i sistemi di rilevamento basati su firme.
Definizione: Un semplice livello di identità costruito sopra il protocollo OAuth 2.0. Permette alle applicazioni client di verificare l’identità di un utente basandosi sull’autenticazione eseguita da un server di autorizzazione, oltre a ottenere informazioni di base sul profilo dell’utente. È il protocollo dietro a molte funzionalità “Social Login”.
Esempio: OpenID Connect estende OAuth: mentre OAuth fornisce l’autorizzazione (“cosa puoi fare”), OIDC aggiunge l’autenticazione (“chi sei”).
Definizione: La raccolta e l’analisi di informazioni da fonti pubblicamente accessibili (open source) per produrre intelligence. In cybersecurity, l’OSINT viene utilizzata sia dagli attaccanti (per raccogliere informazioni su un target prima di un attacco) sia dai difensori (per arricchire la threat intelligence e comprendere le minacce).
Esempio: Un penetration tester utilizza tecniche OSINT per raccogliere informazioni su un’azienda target, cercando email dei dipendenti, tecnologie utilizzate e profili social, prima di lanciare una campagna di phishing simulata.
Definizione: L’hardware e il software dedicati al monitoraggio e al controllo di processi fisici, dispositivi e infrastrutture. È prevalente in ambienti industriali come fabbriche, centrali elettriche e reti di distribuzione idrica. La sicurezza OT è un campo specializzato che si concentra sulla protezione di questi sistemi critici.
Esempio: La sicurezza di un sistema SCADA che controlla una linea di produzione in una fabbrica è un esempio di sicurezza OT.
Definizione: Una risorsa web, spesso presentata come una mappa mentale interattiva, che cataloga e organizza una vasta gamma di strumenti e risorse per la raccolta di informazioni da fonti aperte (OSINT). Aiuta i ricercatori a trovare gli strumenti giusti per specifici tipi di indagine, come la ricerca di username, email o domini.
Esempio: Un investigatore utilizza l’OSINT Framework per trovare uno strumento che gli permetta di verificare su quali social network è registrato un determinato username.
Definizione: Una fondazione no-profit dedicata al miglioramento della sicurezza del software. OWASP è nota per le sue guide, gli strumenti open-source e, soprattutto, per la OWASP Top 10, una lista periodicamente aggiornata delle 10 vulnerabilità più critiche per la sicurezza delle applicazioni web.
Esempio: Uno sviluppatore web consulta la OWASP Top 10 per assicurarsi di aver implementato le difese necessarie contro attacchi comuni come l’injection e il cross-site scripting (XSS).
Definizione: Una piccola unità di dati formattata per essere trasmessa su una rete a commutazione di pacchetto, come Internet. Ogni pacchetto contiene una porzione dei dati da inviare e informazioni di controllo (header), come l’indirizzo IP del mittente e del destinatario.
Esempio: Quando guardi un video in streaming, il filmato viene suddiviso in migliaia di pacchetti che vengono inviati al tuo dispositivo e riassemblati nell’ordine corretto.
Definizione: Un programma o un dispositivo hardware che può intercettare e registrare il traffico che passa su una rete. Gli amministratori di rete usano gli sniffer per la risoluzione dei problemi, mentre gli aggressori li usano per catturare dati non crittografati, come password e cookie di sessione.
Esempio: Utilizzando lo sniffer Wireshark su una rete Wi-Fi non protetta, un hacker può visualizzare in chiaro le credenziali di accesso di un utente che si collega a un sito HTTP.
Definizione: Il processo di recupero di una password da dati memorizzati o trasmessi da un sistema informatico. Tecniche comuni includono l’attacco a forza bruta, l’attacco a dizionario e l’uso di rainbow table per invertire gli hash delle password.
Esempio: Dopo aver rubato un database di hash di password, un hacker utilizza un potente computer con GPU per eseguire un software di password cracking e scoprire le password originali.
Definizione: La pratica di sicurezza che consiste nel non memorizzare le password in chiaro, ma di salvarne una rappresentazione crittografica (hash). Quando un utente effettua il login, la password inserita viene “hashata” e confrontata con l’hash memorizzato. Questo impedisce a un aggressore di leggere le password anche se ruba il database.
Esempio: Un sito web sicuro non memorizza la tua password “P@ssw0rd123”, ma una lunga stringa come e8a3b1…, risultato di un algoritmo di hashing come bcrypt.
Definizione: Un tipo di attacco a forza bruta “lento e basso”. Invece di provare molte password per un singolo utente (che causerebbe il blocco dell’account), l’attaccante prova una o poche password comuni (es. “Inverno2024!”) su un gran numero di account utente.
Esempio: Un hacker tenta di accedere a tutti gli account di un’azienda provando la password “Benvenuto1” per ogni utente, sperando di trovare qualcuno che non l’abbia cambiata.
Definizione: Un pezzo di codice software progettato per aggiornare o correggere un programma, risolvendo un bug, una vulnerabilità di sicurezza o migliorandone le funzionalità. L’applicazione tempestiva delle patch (patch management) è una delle pratiche di igiene informatica più importanti.
Esempio: Microsoft rilascia una patch di sicurezza il secondo martedì di ogni mese (“Patch Tuesday”) per correggere le vulnerabilità scoperte nei suoi prodotti.
Definizione: La parte di un malware o di un exploit che esegue l’azione dannosa effettiva. Mentre il resto del codice si occupa della propagazione o dell’elusione, il payload è ciò che compie il danno, come crittografare file (ransomware), cancellare dati o aprire una backdoor.
Esempio: In un’email di phishing, il testo dell’email è il veicolo di consegna, ma il vero payload è il ransomware che si attiva quando la vittima apre l’allegato.
Definizione: Uno standard di sicurezza delle informazioni per le organizzazioni che gestiscono carte di credito dei principali circuiti. Lo standard impone un insieme di requisiti tecnici e operativi per proteggere i dati dei titolari di carta e prevenire le frodi.
Esempio: Un sito di e-commerce deve essere conforme a PCI DSS, il che significa che non può memorizzare il codice CVV delle carte di credito e deve crittografare i numeri di carta memorizzati.
Definizione: Un attacco informatico simulato e autorizzato su un sistema informatico, eseguito per valutare la sua sicurezza. I penetration tester (hacker etici) utilizzano le stesse tecniche degli aggressori reali per trovare e sfruttare le vulnerabilità, fornendo poi un report dettagliato per correggerle.
Esempio: Un’azienda assume una società di sicurezza per condurre un penetration test sulla sua nuova applicazione mobile prima di rilasciarla al pubblico.
Definizione: La tecnica utilizzata da un malware o da un aggressore per rimanere attivo su un sistema compromesso anche dopo un riavvio. Questo si ottiene modificando il registro di sistema, creando servizi o attività pianificate che eseguono nuovamente il malware all’avvio del sistema.
Esempio: Un trojan ottiene la persistenza aggiungendo una chiave al registro di Windows che lo avvia automaticamente ogni volta che l’utente accende il computer.
Definizione: Un tipo di attacco che reindirizza il traffico di un sito web verso un sito falso, senza che l’utente se ne accorga. A differenza del phishing, che richiede un’azione dell’utente (cliccare su un link), il pharming può avvenire a livello di DNS (DNS poisoning) o modificando il file hosts sul computer della vittima.
Esempio: A causa di un attacco di pharming sul suo file hosts, ogni volta che un utente digita www.banca.it nel browser, viene inviato a un sito clone senza saperlo.
Definizione: Un tipo di attacco di social engineering in cui un aggressore invia comunicazioni fraudolente (solitamente email) che sembrano provenire da una fonte attendibile. L’obiettivo è ingannare la vittima inducendola a rivelare informazioni sensibili come credenziali di accesso, numeri di carte di credito o ad installare malware.
Esempio: Ricevi un’email che sembra provenire dalla tua banca, che ti avvisa di un problema con il tuo account e ti chiede di cliccare su un link per verificare i tuoi dati.
Definizione: Qualsiasi informazione che può essere utilizzata da sola o insieme ad altre informazioni per identificare, contattare o localizzare un singolo individuo. Esempi includono nome, indirizzo, codice fiscale, data di nascita e indirizzo email. La protezione delle PII è un requisito fondamentale di molte normative sulla privacy come il GDPR.
Esempio: Un database clienti che contiene nomi, indirizzi e numeri di telefono è pieno di PII e deve essere protetto con controlli di sicurezza adeguati.
Definizione: Un insieme di ruoli, policy, hardware, software e procedure necessarie per creare, gestire, distribuire, utilizzare, archiviare e revocare i certificati digitali e la crittografia a chiave pubblica. La PKI è l’infrastruttura di fiducia che sta dietro alle comunicazioni sicure su Internet (HTTPS), alle firme digitali e altro.
Esempio: L’ecosistema di Certificate Authority (CA) e certificati SSL/TLS che protegge il web è l’esempio più grande e noto di una PKI.
Definizione: In una rete TCP/IP, una porta è un endpoint di comunicazione logico associato a un indirizzo IP, che permette di distinguere tra diversi servizi o processi in esecuzione su un singolo host. Le porte sono numerate da 0 a 65535 (es. la porta 80 per HTTP, la 443 per HTTPS).
Esempio: Quando ti connetti a https://www.google.com, il tuo browser stabilisce una connessione con l’indirizzo IP del server di Google sulla porta 443.
Definizione: L’atto di sondare un server o un host per scoprire quali porte sono aperte. Gli aggressori usano la scansione delle porte nella fase di ricognizione di un attacco per identificare i servizi in esecuzione su un target e trovare possibili punti di ingresso.
Esempio: Un hacker utilizza lo strumento nmap per eseguire una scansione delle porte su un server e scopre che la porta 22 (SSH) e la porta 80 (HTTP) sono aperte.
Definizione: Una tecnica di social engineering in cui un aggressore crea uno scenario inventato (un pretesto) per convincere una vittima a divulgare informazioni o a compiere un’azione che normalmente non farebbe. L’attacco si basa sulla costruzione di un rapporto di fiducia basato su una falsa identità.
Esempio: Un aggressore telefona a un dipendente, fingendosi un tecnico dell’help desk IT, e lo convince a rivelare la sua password con il pretesto di dover risolvere un problema urgente sul suo account.
Definizione: Un approccio allo sviluppo di sistemi e tecnologie che integra la protezione della privacy fin dalle primissime fasi della progettazione, anziché aggiungerla come un elemento a posteriori. L’obiettivo è garantire che la privacy sia una componente fondamentale e predefinita del sistema.
Esempio: Un social network progettato secondo i principi di “Privacy by Design” imposta di default il profilo di un nuovo utente come privato, anziché pubblico.
Definizione: L’insieme di strategie, policy e tecnologie per controllare, monitorare e proteggere gli account con privilegi elevati (es. amministratori, root) all’interno di un’organizzazione. Questi account sono un bersaglio primario per gli aggressori, poiché il loro controllo può garantire l’accesso completo ai sistemi critici.
Esempio: Un amministratore di sistema, invece di conoscere la password di un server critico, deve “richiederla” tramite un sistema PAM. Il sistema gli fornisce una password temporanea valida per 30 minuti, registra ogni sua azione e revoca automaticamente l’accesso allo scadere del tempo.
Definizione: L’atto di sfruttare un bug, un errore di progettazione o una configurazione errata in un’applicazione o in un sistema operativo per ottenere un accesso con privilegi più elevati di quelli inizialmente concessi. Esistono due tipi: verticale (da utente a amministratore) e orizzontale (da un utente a un altro utente con gli stessi privilegi).
Esempio: Un aggressore sfrutta una vulnerabilità in un servizio di sistema per passare da un account utente standard a un account con privilegi di amministratore (escalation verticale).
Definizione: Un server che agisce come intermediario per le richieste dei client che cercano risorse da altri server. Quando un utente si connette a un proxy, le sue richieste vengono inoltrate a Internet dal proxy, che può essere utilizzato per filtrare i contenuti, migliorare le prestazioni (caching) o nascondere l’indirizzo IP dell’utente.
Esempio: Un’azienda utilizza un proxy web per impedire ai dipendenti di accedere a siti di social media e per registrare tutto il traffico web in uscita.
Definizione: In un contesto di sicurezza informatica, la quarantena è un’azione eseguita da un software antivirus o EDR che consiste nell’isolare un file o un programma sospetto in una directory protetta del sistema. Questo impedisce al file di eseguire o danneggiare il sistema, ma ne consente l’analisi successiva da parte di un utente o di un amministratore.
Esempio: L’antivirus rileva un file sospetto in un allegato email e lo sposta automaticamente in quarantena, impedendone l’apertura e inviando una notifica all’utente.
Definizione: Una tabella precalcolata di hash utilizzata per invertire le funzioni di hash crittografico e recuperare le password in chiaro. A differenza di un attacco a dizionario, che calcola l’hash di ogni parola al momento, una rainbow table contiene già i risultati, rendendo il cracking delle password molto più veloce, anche se richiede un notevole spazio di archiviazione.
Esempio: Un hacker, dopo aver rubato un database di hash di password, usa una rainbow table per confrontare gli hash rubati con quelli presenti nella tabella e trovare le password corrispondenti.
Definizione: Un tipo di malware che impedisce agli utenti di accedere al proprio sistema o ai propri file personali e chiede il pagamento di un riscatto (ransom) per ripristinarne l’accesso. Il metodo più comune è la crittografia dei file, rendendoli inutilizzabili senza la chiave di decrittografia, che viene fornita solo dopo il pagamento.
Esempio: L’attacco WannaCry è stato un famoso ransomware che ha infettato centinaia di migliaia di computer in tutto il mondo, crittografando i file e chiedendo un riscatto in Bitcoin.
Definizione: Un tipo di malware che, una volta installato su un computer, fornisce all’aggressore un controllo amministrativo completo e remoto sul sistema della vittima. Un RAT permette all’hacker di fare quasi tutto, come spiare attraverso la webcam, registrare i tasti premuti, rubare file e usare il computer per lanciare altri attacchi.
Esempio: Un utente installa un gioco piratato che contiene un RAT. A sua insaputa, un hacker ora può vedere tutto ciò che fa sul suo computer e accedere a tutti i suoi file personali.
Definizione: La prima fase di un attacco informatico, in cui l’aggressore raccoglie quante più informazioni possibili sul target per identificarne i punti deboli e pianificare l’attacco. La ricognizione può essere passiva (usando fonti pubbliche come OSINT) o attiva (interagendo direttamente con il target, ad esempio con una scansione di porte).
Esempio: Prima di un attacco, un hacker esegue una fase di reconnaissance cercando i profili LinkedIn dei dipendenti dell’azienda target per pianificare una campagna di spear phishing.
Definizione: Un team di professionisti della sicurezza specializzato nell’emulare le tattiche, le tecniche e le procedure (TTP) di avversari reali per testare la sicurezza di un’organizzazione in modo realistico e obiettivo. L’obiettivo del Red Team è sfidare le difese (il Blue Team) e identificare i punti deboli prima che lo faccia un vero aggressore.
Esempio: Un Red Team viene ingaggiato da una banca per tentare di violare la sua rete e rubare dati sensibili, simulando un vero attacco informatico per testare la prontezza del team di difesa.
Definizione: Il processo di analisi di un software o di un dispositivo per capirne il funzionamento interno, la progettazione e l’architettura, solitamente quando il codice sorgente o la documentazione non sono disponibili. In cybersecurity, viene utilizzato per analizzare il malware e scoprirne le capacità o per trovare vulnerabilità nel software.
Esempio: Un analista di malware usa tecniche di reverse engineering per smontare un file eseguibile di un ransomware e capire come funziona il suo algoritmo di crittografia.
Definizione: Il processo di identificazione, analisi e valutazione dei rischi per la sicurezza delle informazioni di un’organizzazione. Include l’identificazione degli asset, delle minacce, delle vulnerabilità e la stima della probabilità e dell’impatto di un evento avverso, al fine di prioritizzare le misure di mitigazione.
Esempio: Un’azienda conduce un risk assessment e determina che la probabilità di un attacco ransomware è alta e l’impatto sarebbe catastrofico, decidendo quindi di investire in un sistema di backup immutabile.
Definizione: Il processo continuo di identificazione, valutazione e trattamento dei rischi per la sicurezza. Una volta valutato un rischio, un’organizzazione può decidere di mitigarlo (applicando controlli), trasferirlo (con un’assicurazione), accettarlo (se il costo della mitigazione è troppo alto) o evitarlo (interrompendo l’attività rischiosa).
Esempio: La politica di risk management di un’azienda stabilisce che tutti i rischi classificati come “critici” devono essere mitigati entro 30 giorni.
Definizione: L’account utente con i privilegi più alti nei sistemi operativi Unix-like (come Linux e macOS). L’utente “root” ha accesso illimitato a tutti i file e comandi del sistema. Ottenere l’accesso “root” (rooting) è l’obiettivo finale di molti aggressori su questi sistemi.
Esempio: Un aggressore che sfrutta una vulnerabilità del kernel di un server Linux mira a ottenere i privilegi di root per avere il controllo completo della macchina.
Definizione: Una metodologia di problem solving utilizzata dopo un incidente per identificare non solo la causa immediata, ma la causa fondamentale che ha permesso all’incidente di verificarsi. L’obiettivo è prevenire il ripetersi dello stesso tipo di problema in futuro.
Esempio: Dopo un data breach causato da un server non patchato, la root cause analysis rivela che il problema non era solo la patch mancante, ma un processo di patch management inefficace e senza supervisione.
Definizione: Il processo di ottenimento dell’accesso privilegiato (“root access”) su un dispositivo Android. Simile al jailbreaking su iOS, consente agli utenti di superare le limitazioni imposte dal produttore, ma espone il dispositivo a maggiori rischi di sicurezza e può invalidare la garanzia.
Esempio: Un utente esegue il rooting del suo smartphone Android per poter disinstallare le app preinstallate dal produttore (bloatware).
Definizione: Un tipo di malware estremamente furtivo progettato per nascondere la propria presenza e quella di altro codice malevolo su un sistema compromesso. I rootkit operano a un livello molto basso del sistema operativo (a volte anche a livello di kernel o firmware) e possono modificare le funzioni di sistema per rendersi invisibili agli strumenti di rilevamento.
Esempio: Un rootkit installato su un server modifica i comandi di sistema in modo che, quando un amministratore elenca i processi in esecuzione, i processi del malware non vengano visualizzati.
Definizione: Uno dei primi e più noti algoritmi di crittografia a chiave pubblica, ampiamente utilizzato per la trasmissione sicura dei dati. La sua sicurezza si basa sulla difficoltà computazionale di fattorizzare grandi numeri primi. È comunemente usato nello scambio di chiavi per protocolli come SSL/TLS e per le firme digitali.
Esempio: Quando il tuo browser avvia una connessione HTTPS, può usare l’algoritmo RSA per scambiare in modo sicuro la chiave simmetrica che verrà poi utilizzata per crittografare il resto della comunicazione.
Definizione: Una raccolta di procedure e operazioni documentate che un amministratore di sistema o un operatore del SOC esegue per gestire un sistema o rispondere a un evento specifico. In ambito di incident response, un runbook fornisce istruzioni passo-passo per gestire un particolare tipo di allarme o incidente.
Esempio: Quando il SIEM genera un allarme per “molteplici tentativi di login falliti”, l’analista del SOC segue il runbook specifico, che gli indica quali log controllare e come bloccare l’IP sospetto.
Definizione: La protezione di un’applicazione mentre è in esecuzione, a differenza della sicurezza analizzata nel codice statico o durante lo sviluppo. Gli strumenti di runtime security monitorano il comportamento dell’applicazione in tempo reale per rilevare e bloccare attività malevole, come tentativi di sfruttare vulnerabilità o deviazioni dal comportamento normale.
Esempio: Uno strumento di runtime security per container rileva che un processo all’interno di un container sta cercando di accedere a file di sistema a cui non dovrebbe, e blocca immediatamente l’operazione.
Definizione: Un modello di distribuzione del software in cui un fornitore di terze parti ospita le applicazioni e le rende disponibili ai clienti su Internet tramite un abbonamento. Dal punto di vista della sicurezza, l’uso di SaaS richiede una gestione attenta degli accessi e la comprensione del modello di responsabilità condivisa.
Esempio: Servizi come Salesforce, Microsoft 365 e Dropbox sono esempi popolari di SaaS.
Definizione: Un ambiente di test isolato e sicuro in cui è possibile eseguire codice o aprire file potenzialmente pericolosi senza alcun rischio per il sistema host o la rete. Le sandbox sono ampiamente utilizzate dagli analisti di malware per studiare il comportamento del codice malevolo in un ambiente controllato.
Esempio: Un sistema di sicurezza email avanzato apre automaticamente tutti gli allegati sospetti in una sandbox per vedere se tentano di compiere azioni dannose prima di consegnarli all’utente.
Definizione: Il processo di rimozione o offuscamento irreversibile dei dati sensibili da un documento, un database o un supporto di memorizzazione per garantirne la non divulgazione. È un processo più forte dell’eliminazione, che mira a rendere il recupero dei dati impossibile.
Esempio: Prima di dismettere un vecchio hard disk, un’azienda esegue un processo di sanificazione sovrascrivendo più volte l’intero disco con dati casuali per distruggere permanentemente le informazioni.
Definizione: Un tipo di sistema di controllo industriale (ICS) utilizzato per monitorare e controllare processi su larga scala in infrastrutture critiche come reti elettriche, oleodotti e impianti di trattamento delle acque. La sicurezza dei sistemi SCADA è di fondamentale importanza per la sicurezza nazionale.
Esempio: Un operatore in una sala di controllo utilizza un sistema SCADA per monitorare la pressione in un gasdotto e aprire o chiudere le valvole a distanza.
Definizione: Un approccio allo sviluppo software e hardware che integra le considerazioni sulla sicurezza in ogni fase del ciclo di vita del prodotto, dalla progettazione iniziale fino alla dismissione. È un approccio proattivo che mira a prevenire le vulnerabilità anziché correggerle a posteriori.
Esempio: Un team che segue i principi di “Security by Design” include la modellazione delle minacce (threat modeling) come una delle prime attività nella progettazione di una nuova funzionalità.
Definizione: L’insieme di pratiche e abitudini di base, ma fondamentali, che gli individui e le organizzazioni dovrebbero seguire per mantenere la salute e la sicurezza dei loro sistemi e dati. Include pratiche come l’uso di password robuste, l’applicazione di patch, l’esecuzione di backup e la cautela con le email.
Esempio: Cambiare regolarmente le password e abilitare l’autenticazione a più fattori sono due pratiche essenziali di buona igiene informatica.
Definizione: Una piattaforma tecnologica che consente alle organizzazioni di raccogliere dati da diverse fonti di sicurezza e automatizzare le risposte agli incidenti. I sistemi SOAR utilizzano “playbook” (simili a runbook) per eseguire azioni automatiche, come bloccare un IP o isolare un host, accelerando i tempi di risposta e riducendo il carico di lavoro manuale.
Esempio: Una piattaforma SOAR riceve un alert da un EDR, lo arricchisce automaticamente con dati di threat intelligence e, se il rischio è alto, esegue un playbook che mette in quarantena l’endpoint infetto.
Definizione: Un documento di alto livello, approvato dalla direzione, che definisce gli obiettivi, le regole e le responsabilità di un’organizzazione in materia di sicurezza delle informazioni. La politica di sicurezza guida lo sviluppo di standard, procedure e linee guida più specifici.
Esempio: La politica di sicurezza aziendale stabilisce che tutti i dati dei clienti devono essere crittografati sia a riposo (on-disk) sia in transito (over the network).
Definizione: Un principio di controllo interno fondamentale che mira a prevenire frodi ed errori, suddividendo i compiti e le responsabilità di un processo critico tra persone diverse. L’obiettivo è garantire che nessun singolo individuo abbia il controllo totale su un’attività, dall’inizio alla fine.
Esempio: In un’azienda, il dipendente che può emettere ordini di acquisto non può essere lo stesso che autorizza i pagamenti per quegli ordini. Questo previene la creazione di ordini fraudolenti a fornitori inesistenti.
Definizione: Una vulnerabilità di sicurezza web che consente a un aggressore di indurre un’applicazione lato server a effettuare richieste HTTP verso un dominio scelto dall’aggressore. Può essere sfruttata per interagire con servizi interni non esposti pubblicamente, scansionare la rete interna o interrogare i metadati di servizi cloud.
Esempio: Un aggressore sfrutta una vulnerabilità SSRF per costringere un server web a fare una richiesta all’endpoint dei metadati di AWS, rubando le credenziali temporanee del server.
Definizione: Un attacco in cui un aggressore prende il controllo di una sessione utente valida. Questo avviene tipicamente rubando il “session cookie” dell’utente (tramite XSS, sniffing o malware), che l’attaccante può poi utilizzare per impersonare l’utente sul sito web senza bisogno di conoscere la sua password.
Esempio: Dopo aver rubato il cookie di sessione di un utente tramite un attacco XSS, un hacker lo inserisce nel proprio browser e ottiene l’accesso all’account di home banking della vittima.
Definizione: Una famiglia di funzioni di hash crittografico standardizzate dal NIST. Le varianti più comuni oggi sono SHA-2 (che include SHA-256 e SHA-512) e SHA-3. Vengono utilizzate per garantire l’integrità dei dati, nelle firme digitali e in varie applicazioni di sicurezza.
Esempio: Il certificato SSL/TLS del tuo browser utilizza un hash SHA-256 per la sua firma digitale, garantendo che non sia stato manomesso.
Definizione: Un’interfaccia a riga di comando (CLI) che consente agli utenti di interagire con il sistema operativo eseguendo comandi. In un contesto di attacco, ottenere una “shell” su un sistema remoto significa aver ottenuto la capacità di eseguire comandi su di esso, un passo cruciale per il controllo del sistema.
Esempio: Sfruttando una vulnerabilità di command injection, un hacker ottiene una “reverse shell”, che costringe il server compromesso a connettersi al computer dell’hacker e a dargli un prompt dei comandi.
Definizione: Un piccolo pezzo di codice utilizzato come payload quando si sfrutta una vulnerabilità software. Il suo nome deriva dal fatto che il suo scopo più comune è quello di avviare una shell (riga di comando) sul sistema compromesso, dando all’aggressore il controllo.
Esempio: In un attacco di buffer overflow, l’aggressore sovrascrive lo stack con uno shellcode che apre una connessione di rete e gli fornisce l’accesso al sistema.
Definizione: Un principio fondamentale di DevSecOps che promuove l’integrazione della sicurezza il più presto possibile (“a sinistra”) nel ciclo di vita dello sviluppo del software (SDLC). Invece di testare la sicurezza solo alla fine, si introducono controlli e test automatizzati fin dalle prime fasi di progettazione e codifica.
Esempio: “Spostare a sinistra” significa che uno sviluppatore riceve un feedback istantaneo sulla sicurezza del suo codice direttamente nel suo ambiente di sviluppo (IDE), invece di aspettare un report di sicurezza settimane dopo.
Definizione: Una soluzione tecnologica che raccoglie, aggrega e analizza i dati di log e gli eventi da un’ampia varietà di fonti di sicurezza (firewall, server, EDR, ecc.) in tempo reale. Un SIEM aiuta a rilevare minacce, a investigare incidenti e a generare report per la conformità, correlando eventi che altrimenti sembrerebbero scollegati.
Esempio: Un SIEM correla un log di login fallito da un server con un alert da un IPS e un log di download di un file sospetto, creando un singolo incidente di sicurezza ad alta priorità per l’analista.
Definizione: Un metodo tradizionale utilizzato da antivirus e IDS per identificare il malware. Funziona confrontando l’hash o il contenuto di un file con un database di “firme” (pattern univoci) di malware noti. È efficace contro minacce conosciute, ma inefficace contro malware nuovi o polimorfici (zero-day).
Esempio: Il tuo antivirus scansiona un file scaricato, calcola il suo hash e lo confronta con il suo database. Poiché l’hash corrisponde a quello di un trojan noto, il file viene bloccato.
Definizione: Un componente di un sistema la cui rottura o malfunzionamento causerebbe l’interruzione dell’intero sistema. Identificare ed eliminare i Single Point of Failure attraverso la ridondanza e l’alta disponibilità è un obiettivo chiave della progettazione di sistemi resilienti.
Esempio: Se un’azienda ha un solo firewall per proteggere la sua connessione a Internet, quel firewall è un Single Point of Failure.
Definizione: Una forma di phishing che utilizza i messaggi di testo (SMS) come veicolo di attacco. Gli aggressori inviano SMS fraudolenti che spingono le vittime a cliccare su link malevoli, a scaricare malware o a fornire informazioni personali, spesso creando un senso di urgenza.
Esempio: Ricevi un SMS che sembra provenire da un corriere, con un link per “tracciare il tuo pacco”. Il link porta a un sito falso che ti chiede di inserire i dati della tua carta di credito.
Definizione: Il protocollo standard per l’invio di messaggi di posta elettronica su Internet. L’SMTP si occupa del trasferimento delle email da un client di posta a un server di posta e tra server di posta diversi.
Esempio: Quando premi “Invia” nella tua app di posta, il tuo client usa il protocollo SMTP per consegnare l’email al server del tuo provider.
Definizione: L’atto di intercettare e analizzare il traffico di dati che viaggia su una rete utilizzando un packet sniffer. Se il traffico non è crittografato, un aggressore può usare lo sniffing per catturare informazioni sensibili come nomi utente, password e contenuti delle comunicazioni.
Esempio: Su una rete Wi-Fi pubblica di un caffè, un hacker esegue un’operazione di sniffing per rubare le credenziali degli utenti che accedono a siti web non sicuri (HTTP).
Definizione: Una piattaforma tecnologica che consente alle organizzazioni di raccogliere dati da diverse fonti di sicurezza e automatizzare le risposte agli incidenti. I sistemi SOAR utilizzano “playbook” (simili a runbook) per eseguire azioni automatiche, come bloccare un IP o isolare un host, accelerando i tempi di risposta e riducendo il carico di lavoro manuale.
Esempio: Una piattaforma SOAR riceve un alert da un EDR, lo arricchisce automaticamente con dati di threat intelligence e, se il rischio è alto, esegue un playbook che mette in quarantena l’endpoint infetto.
Definizione: Un team centralizzato di persone, processi e tecnologie responsabile del monitoraggio continuo e del miglioramento della postura di sicurezza di un’organizzazione. Il SOC si occupa di prevenire, rilevare, analizzare e rispondere agli incidenti di sicurezza informatica.
Esempio: Un analista del SOC monitora costantemente la dashboard del SIEM alla ricerca di attività sospette e indaga sugli allarmi generati dai sistemi di sicurezza.
Definizione: L’arte di manipolare psicologicamente le persone per indurle a compiere azioni o a divulgare informazioni confidenziali. A differenza degli attacchi tecnici, l’ingegneria sociale sfrutta la natura umana, come la fiducia, la curiosità o la paura, per aggirare i controlli di sicurezza. Phishing, pretexting e baiting sono tutte tecniche di social engineering.
Esempio: Un aggressore chiama un dipendente, fingendosi un collega del reparto IT, e lo convince a rivelare la sua password con la scusa di dover effettuare un aggiornamento urgente.
Definizione: Un elenco formale e strutturato dei componenti, delle librerie e dei moduli software che costituiscono un’applicazione. Un SBOM è come una “lista degli ingredienti” del software e aiuta le organizzazioni a identificare rapidamente i sistemi affetti da una nuova vulnerabilità scoperta in una libreria di terze parti.
Esempio: Dopo la scoperta della vulnerabilità Log4Shell, le aziende con un SBOM aggiornato hanno potuto identificare immediatamente tutte le applicazioni che utilizzavano la libreria Log4j vulnerabile.
Definizione: Messaggi elettronici indesiderati, solitamente di natura commerciale, inviati in massa senza il consenso del destinatario. Sebbene spesso sia solo fastidioso, lo spam è anche un veicolo comune per truffe, phishing e distribuzione di malware.
Esempio: La tua casella di posta in arrivo è piena di email non richieste che promuovono prodotti farmaceutici o schemi per diventare ricchi in fretta.
Definizione: Una forma di phishing altamente mirata e personalizzata. A differenza del phishing di massa, lo spear phishing prende di mira un individuo o un’organizzazione specifica. L’aggressore raccoglie informazioni sulla vittima (tramite OSINT) per creare un’email estremamente convincente e credibile.
Esempio: Un aggressore invia un’email al responsabile finanziario di un’azienda, impersonando il CEO (un attacco di whaling), e chiedendo un bonifico urgente a un fornitore fittizio.
Definizione: L’atto di falsificare l’indirizzo del mittente (in un’email, un pacchetto di rete, ecc.) per far sembrare che la comunicazione provenga da una fonte diversa e fidata. Tecniche di spoofing comuni includono email spoofing, IP spoofing e MAC address spoofing.
Esempio: In un attacco di phishing, l’aggressore falsifica (“spoofa”) l’indirizzo email del mittente per far sembrare che l’email provenga dal servizio clienti della banca della vittima.
Definizione: Un tipo di malware che si installa segretamente su un dispositivo per raccogliere informazioni sull’utente, sulle sue attività e sui suoi dati senza il suo consenso. Lo spyware può registrare la cronologia di navigazione, le credenziali di accesso, i messaggi e altre informazioni sensibili.
Esempio: Un software gratuito scaricato da Internet installa di nascosto uno spyware che monitora tutti i siti web visitati dall’utente e invia i dati a un server pubblicitario.
Definizione: Una delle vulnerabilità più comuni e pericolose delle applicazioni web. Si verifica quando un aggressore riesce a “iniettare” ed eseguire comandi SQL malevoli attraverso un campo di input di un’applicazione (es. un form di login o una barra di ricerca). Questo può consentire all’aggressore di bypassare l’autenticazione, leggere, modificare o cancellare dati dal database.
Esempio: Un aggressore inserisce ‘ OR ‘1’=’1 nel campo username di un form di login. Se l’applicazione è vulnerabile, questa query potrebbe autenticare l’aggressore come primo utente del database, spesso l’amministratore.
Definizione: Protocolli crittografici che forniscono comunicazioni sicure su una rete di computer. TLS è il successore più moderno e sicuro di SSL. Sono la tecnologia alla base di HTTPS, che garantisce la riservatezza (crittografia), l’integrità (hashing) e l’autenticazione (certificati digitali) delle connessioni web.
Esempio: L’icona del lucchetto nel tuo browser indica che la tua connessione al sito web è protetta da SSL/TLS.
Definizione: Un firewall che tiene traccia dello stato delle connessioni di rete attive che lo attraversano. A differenza di un firewall stateless (che esamina ogni pacchetto in isolamento), un firewall stateful può prendere decisioni di filtraggio basate sul contesto della conversazione di rete, offrendo una sicurezza maggiore.
Esempio: Un firewall stateful consente il traffico di risposta dall’esterno solo se corrisponde a una richiesta che è stata precedentemente iniziata dall’interno della rete, bloccando tutto il resto.
Definizione: La pratica di nascondere un messaggio, un file o un’immagine all’interno di un altro messaggio, file o immagine. A differenza della crittografia, che nasconde il contenuto di un messaggio, la steganografia nasconde l’esistenza stessa del messaggio.
Esempio: Un aggressore nasconde un file di testo contenente password rubate all’interno dei dati di un’immagine apparentemente innocua (un file JPEG) per esfiltrarlo dalla rete senza essere rilevato.
Definizione: Un tipo di attacco informatico che mira a un’organizzazione compromettendo un anello debole nella sua catena di approvvigionamento, come un fornitore di software o un partner meno sicuro. L’aggressore inserisce codice malevolo in un prodotto legittimo, che viene poi distribuito a tutti i clienti del fornitore.
Esempio: L’attacco a SolarWinds è stato un famoso supply chain attack in cui gli aggressori hanno compromesso il software di gestione di rete dell’azienda, utilizzandolo per distribuire malware a migliaia dei suoi clienti, inclusi enti governativi.
Definizione: Una tecnica di ingegneria sociale per ottenere un accesso fisico non autorizzato a un’area protetta. Consiste nel seguire da vicino una persona autorizzata mentre attraversa un punto di accesso controllato (es. una porta con badge), sfruttando la sua cortesia per entrare prima che la porta si chiuda.
Esempio: Un aggressore con in mano una scatola di cartone aspetta vicino a una porta di un ufficio e, quando un dipendente apre con il suo badge, gli chiede di tenergli la porta, ottenendo così l’accesso.
Definizione: Qualsiasi circostanza o evento con il potenziale di causare un danno a un asset attraverso la sua divulgazione, modifica o distruzione non autorizzata. Una minaccia sfrutta una vulnerabilità. Le minacce possono essere intenzionali (un hacker), accidentali (un errore umano) o naturali (un’inondazione).
Esempio: Un dipendente scontento (minaccia) potrebbe sfruttare un controllo degli accessi debole (vulnerabilità) per rubare dati sensibili (rischio).
Definizione: Un individuo o un gruppo che compie un’azione che rappresenta una minaccia. Gli attori delle minacce sono classificati in base alle loro motivazioni e capacità, e includono cybercriminali (motivati dal denaro), stati-nazione (spionaggio, sabotaggio), hacktivisti (motivati politicamente) e insider (dipendenti).
Esempio: Il gruppo APT28, noto anche come Fancy Bear, è un threat actor ritenuto associato all’intelligence militare russa.
Definizione: Un’attività di ricerca proattiva all’interno delle reti e dei sistemi di un’organizzazione per rilevare e isolare minacce avanzate che eludono le soluzioni di sicurezza automatiche. A differenza dell’incident response, il threat hunting non parte da un alert, ma da un’ipotesi basata su intelligence e conoscenza delle tattiche degli avversari.
Esempio: Un team di threat hunting ipotizza che un aggressore possa usare PowerShell per il movimento laterale e inizia a cercare nei log attività di PowerShell anomale e non autorizzate.
Definizione: Informazioni basate sull’evidenza, contestualizzate e attuabili sulle minacce informatiche esistenti o emergenti. La threat intelligence aiuta le organizzazioni a prendere decisioni di sicurezza più rapide e informate, comprendendo chi sono gli aggressori, quali sono le loro motivazioni e come operano.
Esempio: Un feed di threat intelligence fornisce al SIEM aziendale una lista aggiornata di indirizzi IP noti per essere server di Command & Control, permettendo di bloccare qualsiasi comunicazione verso di essi.
Definizione: Un processo strutturato per identificare, analizzare e mitigare le potenziali minacce e vulnerabilità di un’applicazione o di un sistema durante la fase di progettazione. Risponde a domande come: “A cosa stiamo lavorando?”, “Cosa potrebbe andare storto?” e “Cosa faremo al riguardo?”.
Esempio: Durante la progettazione di una nuova app di online banking, il team esegue un’attività di threat modeling per identificare i rischi di furto di credenziali e implementare contromisure adeguate.
Definizione: Il processo di sostituzione di un dato sensibile (come un numero di carta di credito) con un identificatore unico non sensibile, chiamato “token”. Il token non ha alcun valore intrinseco e non può essere riconvertito nel dato originale senza accedere a un sistema di “vault” sicuro. È ampiamente utilizzato per la sicurezza dei pagamenti.
Esempio: Quando salvi la tua carta di credito su un sito di e-commerce, il sito non memorizza il tuo numero di carta, ma un token. In caso di data breach, gli aggressori ruberebbero solo token inutilizzabili.
Definizione: Un tipo di malware che si maschera da software legittimo o utile per ingannare un utente e convincerlo a installarlo. Una volta eseguito, il trojan esegue la sua funzione dannosa in background, come installare una backdoor, rubare dati o scaricare altro malware.
Esempio: Un utente scarica quello che sembra un videogioco gratuito, ma in realtà è un trojan che installa un keylogger per rubare le sue password.
Definizione: Un concetto utilizzato nella threat intelligence per descrivere il comportamento di un attore di minaccia. Le tattiche rappresentano l’obiettivo generale (es. “accesso iniziale”), le tecniche sono i metodi specifici per raggiungere l’obiettivo (es. “phishing”) e le procedure sono i dettagli implementativi di una tecnica. Il framework MITRE ATT&CK è basato sulle TTP.
Esempio: L’analisi di un attacco rivela che le TTP dell’aggressore includono l’uso di spear phishing per l’accesso iniziale, seguito da PowerShell per il movimento laterale.
Definizione: Una tecnica di rete che consiste nell’incapsulare un protocollo di rete all’interno di un altro. Viene usato legittimamente per le VPN (che incapsulano il traffico privato all’interno di un protocollo pubblico) ma anche dagli aggressori per bypassare i firewall o esfiltrare dati nascondendo il traffico malevolo all’interno di protocolli permessi, come DNS o ICMP.
Esempio: Un aggressore utilizza il DNS tunneling per inviare comandi al suo malware, nascondendo le comunicazioni come normali richieste DNS, che sono raramente bloccate dai firewall.
Definizione: Un sottotipo specifico di Multi-Factor Authentication (MFA) che richiede esattamente due fattori di verifica per l’accesso. Sebbene spesso usato in modo intercambiabile con MFA, 2FA si riferisce specificamente all’uso di due fattori, mentre MFA può includerne due o più.
Esempio: L’accesso al tuo conto bancario online richiede la tua password (qualcosa che sai) e un codice OTP inviato via SMS (qualcosa che hai), implementando così la 2FA.
Definizione: Una categoria di soluzioni di sicurezza che utilizzano il machine learning e l’analisi statistica per creare una baseline del comportamento normale di utenti ed entità (host, applicazioni, reti). Rilevano le minacce identificando le deviazioni significative da questa baseline, che potrebbero indicare una compromissione o una minaccia interna.
Esempio: Un sistema UEBA rileva che un account utente, che normalmente lavora dalle 9 alle 17 dall’Italia, sta improvvisamente accedendo a file sensibili alle 3 del mattino da un indirizzo IP estero, e genera un alert.
Definizione: Una tecnologia di sicurezza web che controlla l’accesso ai siti web bloccando gli URL basandosi su categorie predefinite (es. gioco d’azzardo, social media, malware) o su liste nere (blacklist) di siti noti per essere malevoli. È una funzionalità comune di proxy web, firewall e gateway di sicurezza.
Esempio: L’azienda configura il suo gateway web per bloccare l’accesso a tutte le categorie di siti web non pertinenti al lavoro, migliorando la produttività e la sicurezza.
Definizione: Un tipo di malware che viene eseguito automaticamente quando una chiavetta USB infetta viene collegata a un computer. Il suo scopo è quello di cercare e copiare (dump) file specifici (es. documenti, immagini, credenziali) dal computer della vittima sulla chiavetta USB, in modo che l’aggressore possa recuperarli in seguito.
Esempio: Un agente di spionaggio industriale utilizza una chiavetta USB con un dumper per rubare rapidamente i file di progetto da un computer in un ufficio non sorvegliato.
Definizione: Un termine che combina due diverse attività di test della sicurezza. Il Vulnerability Assessment (VA) è un processo automatico o manuale per identificare, quantificare e prioritizzare le vulnerabilità di un sistema. Il Penetration Testing (PT) è un’attività pratica che tenta di sfruttare attivamente tali vulnerabilità per simulare un attacco reale.
Esempio: Un’azienda esegue prima una scansione di vulnerabilità (VA) per ottenere una lista di potenziali punti deboli, e poi ingaggia un team per un penetration test (PT) per vedere quali di questi punti deboli sono effettivamente sfruttabili.
Definizione: Una tecnologia che crea una connessione sicura e crittografata (“tunnel”) su una rete pubblica come Internet. Una VPN maschera l’indirizzo IP dell’utente e crittografa il suo traffico, proteggendo la privacy e la sicurezza dei dati da intercettazioni, specialmente su reti non fidate come le Wi-Fi pubbliche.
Esempio: Un dipendente in smart working utilizza una VPN per connettersi in modo sicuro alla rete aziendale da casa sua, come se fosse fisicamente in ufficio.
Definizione: Un tipo di malware che si attacca a un programma o file legittimo (“host”) per potersi propagare. Un virus richiede l’intervento umano (es. l’esecuzione del file infetto) per attivarsi e diffondersi ad altri file e computer.
Esempio: Un virus si attacca a un file eseguibile di un programma. Quando l’utente lancia il programma, il virus si attiva e infetta altri file eseguibili sul computer.
Definizione: Una forma di phishing che utilizza le chiamate telefoniche (voce) come mezzo di attacco. Gli aggressori impersonano entità fidate (come banche, forze dell’ordine o supporto tecnico) per ingannare le vittime e indurle a rivelare informazioni sensibili o a compiere azioni dannose.
Esempio: Ricevi una telefonata da qualcuno che si spaccia per un tecnico Microsoft, sostenendo che il tuo computer è infetto e chiedendoti di installare un software di accesso remoto.
Definizione: Una rete locale virtuale che permette di raggruppare logicamente dispositivi di rete, anche se non sono collegati allo stesso switch fisico. Le VLAN sono uno strumento chiave per la segmentazione della rete, consentendo di isolare il traffico e migliorare la sicurezza e le prestazioni.
Esempio: Un’azienda crea una VLAN separata per i telefoni VoIP per isolare il traffico vocale dal resto del traffico dati e garantirne la qualità.
Definizione: Una debolezza in un sistema, processo o controllo che può essere sfruttata da una minaccia per causare un danno. Le vulnerabilità possono essere di natura tecnica (un bug nel codice), di configurazione (una password di default non cambiata) o procedurale (mancanza di formazione dei dipendenti).
Esempio: Un software non aggiornato con una vulnerabilità nota di remote code execution è un punto debole che un hacker può sfruttare per prendere il controllo del server.
Definizione: Il processo automatico di ispezione di sistemi, reti o applicazioni per identificare le vulnerabilità di sicurezza note. Gli scanner di vulnerabilità utilizzano un database di problemi noti e confrontano le configurazioni e le versioni del software del target per trovare corrispondenze.
Esempio: Un amministratore di sistema esegue una scansione settimanale di tutti i server aziendali per identificare eventuali patch di sicurezza mancanti o configurazioni errate.
Definizione: Un firewall specifico che si posiziona di fronte alle applicazioni web per proteggerle da attacchi comuni a livello applicativo, come SQL Injection, Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF). Un WAF analizza il traffico HTTP/HTTPS e applica una serie di regole per bloccare le richieste malevole prima che raggiungano l’applicazione.
Esempio: Un sito di e-commerce utilizza un WAF per bloccare i tentativi di SQL Injection che mirano a rubare il database dei clienti.
Definizione: Un tipo di attacco mirato in cui un aggressore compromette un sito web che sa essere frequentato dalle sue vittime target (la “pozza d’acqua”). L’aggressore infetta il sito con malware, aspettando che le vittime lo visitino e vengano infettate a loro volta.
Esempio: Per colpire gli impiegati di un’azienda aerospaziale, un aggressore compromette il sito web di un ristorante vicino all’azienda, sapendo che i dipendenti lo consultano spesso per il pranzo.
Definizione: Una forma di spear phishing altamente mirata che prende di mira specificamente dirigenti di alto livello o altri individui importanti all’interno di un’organizzazione (le “grandi balene”). I messaggi sono realizzati con cura per sembrare estremamente credibili e spesso impersonano altre figure di alto livello per richiedere azioni urgenti, come trasferimenti di denaro.
Esempio: Il CFO di un’azienda riceve un’email che sembra provenire dal CEO (un attacco di whaling) con l’ordine di effettuare immediatamente un bonifico segreto per chiudere un’acquisizione.
Definizione: Una metodologia di test della sicurezza (o del software) in cui il tester ha una conoscenza completa del funzionamento interno del sistema, incluso l’accesso al codice sorgente, alla documentazione di progettazione e all’architettura. Questo permette un’analisi molto più approfondita e mirata rispetto al black box testing.
Esempio: Un team di sicurezza interno esegue un white box test sulla propria applicazione, analizzando il codice sorgente riga per riga per trovare vulnerabilità logiche.
Definizione: Un hacker etico o un professionista della sicurezza che utilizza le proprie competenze per identificare le vulnerabilità nei sistemi informatici con il permesso dei proprietari. L’obiettivo di un White Hat è migliorare la sicurezza, a differenza di un Black Hat che agisce con intento malevolo.
Esempio: Un White Hat lavora come penetration tester per un’azienda, aiutandola a trovare e correggere le falle di sicurezza.
Definizione: Una serie di protocolli di sicurezza utilizzati per proteggere le reti wireless (Wi-Fi). WPA3 è lo standard più recente e sicuro, offrendo una protezione più robusta contro gli attacchi a forza bruta e una migliore crittografia rispetto ai suoi predecessori, WPA2 e l’ormai obsoleto WPA.
Esempio: Per proteggere la propria rete domestica, un utente imposta il suo router per utilizzare la sicurezza WPA3 e sceglie una password forte.
Definizione: Un tipo di malware auto-replicante che si diffonde autonomamente attraverso le reti informatiche, sfruttando le vulnerabilità dei sistemi per propagarsi da un computer all’altro senza bisogno di intervento umano. A differenza di un virus, un worm non ha bisogno di attaccarsi a un programma esistente.
Esempio: Il worm Stuxnet si è diffuso attraverso le reti sfruttando diverse vulnerabilità di Windows per raggiungere e sabotare specifici sistemi di controllo industriale.
Definizione: Una vulnerabilità di sicurezza web che consente a un aggressore di iniettare script malevoli (solitamente JavaScript) nelle pagine web visualizzate da altri utenti. Può essere utilizzata per rubare cookie di sessione, reindirizzare gli utenti a siti malevoli o modificare il contenuto della pagina. Esistono tre tipi principali: Stored XSS, Reflected XSS e DOM-based XSS.
Esempio: Un attaccante inserisce uno script in un commento di un blog. Quando un altro utente visualizza la pagina, lo script viene eseguito nel suo browser e ruba il suo cookie di sessione, permettendo all’attaccante di dirottare la sua sessione.
Definizione: Un termine che si riferisce a una vulnerabilità software che è sconosciuta al fornitore del software o al pubblico e per la quale non esiste ancora una patch. Un “attacco zero-day” è quello che sfrutta questa vulnerabilità prima che il fornitore abbia avuto il tempo di rilasciare una correzione (ha avuto “zero giorni” per risolverla).
Esempio: Un gruppo di hacker scopre una vulnerabilità zero-day in un browser popolare e la utilizza per attaccare obiettivi di alto profilo prima che venga scoperta e corretta.
Definizione: Un modello strategico di sicurezza che si basa sul principio “non fidarsi mai, verificare sempre” (never trust, always verify). In un’architettura Zero-Trust, nessun utente o dispositivo è considerato attendibile per impostazione predefinita, sia che si trovi all’interno o all’esterno della rete aziendale. L’accesso a ogni risorsa viene concesso in modo granulare, dopo una rigorosa verifica dell’identità e del contesto.
Esempio: In un modello Zero-Trust, anche un dipendente connesso dall’ufficio deve autenticarsi con MFA per accedere a ogni singola applicazione, e i suoi permessi sono strettamente limitati al minimo indispensabile.
Definizione: Un computer compromesso che è stato infettato da malware e fa parte di una botnet, controllato a distanza da un aggressore (il “botmaster”) senza la conoscenza del proprietario. Questi computer “zombie” vengono utilizzati in massa per sferrare attacchi come DDoS, inviare spam o eseguire altre attività malevole.
Esempio: Il laptop di un utente, infettato da un malware, viene usato come zombie per partecipare a un attacco DDoS contro un sito governativo, il tutto a sua insaputa.
Python per hacker
di Justin Seitz & Tim Arnold
⭐⭐⭐⭐⭐
Cybersecurity kit di sopravvivenza
di Giorgio Sbaraglia
⭐⭐⭐⭐⭐
Principles of Cybersecurity
di Linda Lavender
⭐⭐⭐⭐⭐