CSX BY ISACA

Il Concetto di CyberSecurity
Oggi la funzione dell’Information Security è triplice, garantire la CIA:

 Confidenzialità: protezione dagli accessi non autorizzati

 Integrità: protezione dalle modifiche non autorizzate garantendo la completezza e l’accuratezza del dato.
 Accessibilità: protezione dall’interruzione dell’accesso.

Spesso Information Security e CyberSecurity vengono intese come intercambiabili ma sono due concetti ben distinti.

 CyberSecurity: può essere definita come la protezione e salvaguardia dell’information assets (informazioni
contenute nei sistemi informativi) e delle informazioni che vengono processate, archiviate e trasferite- tra
sistemi informativi collegati alla rete.

La CyberSecurity di solito si riferisce a un'entità che avvia minacce a causa dell'esistenza di un cyberspazio globale (ad
esempio, Internet). A differenza della sicurezza delle informazioni, la CyberSecurity non include i rischi naturali, gli
errori personali o la sicurezza fisica.

Misure inadeguate di CyberSecurity possono avere un impatto sull’affidabilità e l’accessibilità di tutta l’infrastruttura
tecnologica (es: telecomunicazioni).
La CyberSecurity è strettamente legata alla rete Internet, rete pubbliche e domestiche. L’Information Security fa
quindi riferimento alla sicurezza delle informazioni di qualsiasi natura, cartacea, digitale, comunicazioni visive o verbali
mentre la CyberSecurity fa riferimento alla sola protezione dei digital assets ovvero hardware di rete, software di rete,
informazioni che vengono elaborate, archiviate all'interno di sistemi isolati o trasportate da informazioni collegate in
ambienti di rete.

Al centro del framework di CyberSecurity, il National Institute of Standards and Technology (NIST) identifica cinque
funzioni chiave necessarie per la protezione delle risorse digitali. Queste funzioni coincidono con la metodologia
utilizzata nella gestione degli incidenti e comprendono le seguenti 4 attività:

• Identify: utilizza la comprensione dell'organizzazione per ridurre al minimo i rischi per i sistemi, le risorse, i dati e le
capacità.

• Protect: progetta protezioni per limitare l'impatto di potenziali eventi su servizi e infrastrutture critiche.

• Detect: implementa attività per identificare il verificarsi di un evento di sicurezza informatica.

• Respond: intraprendere l'azione appropriata dopo aver appreso di un evento di sicurezza.

• Recovery: pianifica la resilienza e la riparazione tempestiva di funzionalità e servizi compromessi.

La CyberSecurity ha 5 Domini di riferimento:

• Cybersecurity Concepts

• Security Architecture Principles: Es Firewall, Segmentazione della Rete o sicurezza perimetrale

• Security of Networks, Systems, Applications and Data: ES VA/PT

• Incident Response: ES categorie di Incidenti, BCM/DR

• Security Implications and Adoption of Evolving Technology (Cloud): IOT, Devices Mobile, Cloud, Social Media.

La valutazione del rischio può partire da un approccio TOP – DOWN ovvero partendo dai business goals deginiti dal
Management considerando quindi come il rischio di evento possa influire sul raggiungimento di tali business goals.
Viceversa può partire da un approccio BOTTOM UP il quale si basa sulla descrizione del rischio di evento in specifici
processi con la difficoltà però che essendo sconnesso dai business goals probabilmente il commitment del
Management sarà basso.
CyberSecurity Concepts
include:

 Il Rischio
 I tipi di Cyber Attack e i vettori
 CyberSecurity Policies
 Controlli di CyberSecurity

La Valutazione del rischio Cyber

L’individuazione, la mitigazione e la gestione del Rischio è il compito principale della CyberSecurity. Una volta
individuato il rischio deve essere opportunamente valutato ed è questa la principale sfida per le aziende.

Esistono molte definizioni potenziali di rischio, alcune generali e altre più tecniche. Inoltre, è importante distinguere
tra rischio e minaccia. Sebbene molte persone usino le parole minaccia e rischio come sinonimi,hanno due significati
molto diversi. Come con qualsiasi concetto chiave, c'è qualche variazione nella definizione da unoorganizzazione a un
altro. Ai fini di questa guida, definiremo i termini come segue:

• Rischio: la combinazione della probabilità di un evento e delle sue conseguenze (ISO/IEC 73). Il rischio è mitigato
attraverso l'uso di controlli o tutele.

• Minaccia: qualsiasi cosa (ad es. oggetto, sostanza, essere umano) in grado di agire contro una risorsa in modo tale da
può causare danni. ISO/IEC 13335 definisce una minaccia in generale come una potenziale causa di un incidente
indesiderato. Alcuni le organizzazioni fanno un'ulteriore distinzione tra una fonte di minaccia e un evento di minaccia,
classificando una fonte di minaccia come il processo o l'agente effettivo che tenta di causare danni e un evento di
minaccia come risultato o esito di un agente di minaccia attività dannosa.

• Risorsa: qualcosa di valore tangibile o immateriale che vale la pena proteggere, incluse persone,
informazioni,infrastrutture, finanze e reputazione

• Vulnerabilità: una debolezza nella progettazione, implementazione, funzionamento o controllo interno di un

processo che potrebbe- esporre il sistema a minacce avverse da eventi di minaccia. Sebbene gran parte della sicurezza
informatica sia focalizzata sul design,implementazione e gestione dei controlli per mitigare il rischio, è fondamentale
che i professionisti della sicurezza lo comprendano quel rischio non può mai essere eliminato. Oltre alla definizione
generale di rischio sopra fornita, ce ne sono altre, di più tipi specifici di rischio che si applicano alla sicurezza
informatica.

• Rischio intrinseco: il livello di rischio o l'esposizione senza tener conto delle azioni intraprese dalla direzione o
potrebbe richiedere (ad esempio, attuare controlli).

• Rischio residuo: anche dopo l'adozione delle misure di sicurezza, ci sarà sempre un rischio residuo, definito come
rischio residuo dopo che la direzione ha implementato una risposta al rischio.

Uno scenario di rischio è la descrizione di un possibile evento il cui verificarsi avrà un impatto incerto sull'attività di
raggiungimento degli obiettivi aziendali, che possono essere positivi o negativi. Lo sviluppo di scenari di rischio
fornisce un modo per concettualizzare il rischio che può aiutare nel processo di identificazione del rischio. Anche gli
scenari sono abituati documentare il rischio in relazione agli obiettivi aziendali o alle operazioni influenzate dagli
eventi, rendendoli utili come base per la valutazione quantitativa del rischio. Ciascun rischio identificato dovrebbe
essere incluso in uno o più scenari e in ciascuno scenario dovrebbe basarsi su un rischio identificato. La valutazione del
rischio quindi parte dall’individuazione degli scenari di rischio.

La Probabilità è la frequenza con cui un evento può manifestarsi ed a sua volta dipende dalla vulnerabilità del sistema
e dalle relative minacce interne ed esterne. Nel contesto dell'identificazione del rischio, la probabilità viene utilizzata
per calcolare il rischio che l'organizzazione affronta in base al numero di eventi che possono verificarsi in un
determinato periodo di tempo (spesso su base annuale). Il rischio affrontato dalle organizzazioni consiste in una
combinazione di minacce note e sconosciute, dirette contro sistemi che presentano una combinazione di vulnerabilità
note e sconosciute. Non sempre l’organizzazione riesce ad individuare le vulnerabilità in maniera puntuale anche
perché alcune spesso rimangono latenti e sconosciute all’organizzazione.

Data la combinazione di minaccia sconosciuta e vulnerabilità sconosciuta, è difficile per il professionista della
CyberSecurity fornire una stima completa della probabilità di un attacco riuscito. VA/PT forniscono al professionista
della Cyber Security informazioni preziose su cui stimarlo parzialmente probabilità, perché:

• Sebbene la presenza di una vulnerabilità non garantisca una minaccia corrispondente, la natura a orario continuato
disistemi informativi e la rapida velocità di elaborazione rende molto più probabile che sia un sistema informativo a
subire un assortimento di attacchi in breve tempo rispetto a un sistema fisico.

• Una vulnerabilità nota a uno strumento di valutazione è conoscibile anche dagli agenti delle minacce, di cui tendono
tutti tranne la maggior parte delle élite per costruire i loro attacchi per prendere di mira le vulnerabilità comuni.

• La presenza di una o più vulnerabilità note, a meno che non siano state identificate in precedenza e il rischio sia
accettato dall'organizzazione per una buona ragione suggerisce una debolezza nel programma di CyberSecurity.

Quando valutano una minaccia, i professionisti della Cyber Security spesso analizzano la probabilità e l'impatto della
minaccia per classificare e assegnare la priorità tra le altre minacce esistenti. In alcuni casi in cui sono disponibili dati
chiari e statisticamente validi, la probabilità può essere una questione matematica. Questo è vero con situazioni come
eventi meteorologici o disastri naturali. Tuttavia, a volte semplicemente non sono disponibili dati accurati, come
spesso accade quando si analizzano agenti di minaccia umani nella Cyber Security. Alcuni fattori creano situazioni in
cui la probabilità di determinate minacce è più o meno prevalente per una determinata organizzazione. Ad esempio,
una connessione a Internet predisporrà un sistema alla scansione delle porte. Tipicamente, possono essere utilizzate
classifiche qualitative come “Alto, Medio, Basso” o “Certo, Molto Probabile, Improbabile, Impossibile” per classificare
e dare priorità alle minacce derivanti dall'attività umana. Quando si utilizzano classifiche qualitative, tuttavia, il passo
importante è definire rigorosamente il significato di ciascuna categoria e utilizzare le definizioni in modo coerente in
tutto il processo di valutazione. Per ciascuna minaccia identificata, dovrebbe essere determinato anche l'impatto o
l'entità del danno che si prevede ne deriverà. L'impatto di una minaccia può assumere molte forme, ma spesso ha una
conseguenza operativa di qualche tipo, sia finanziaria che reputazionale o legale. Gli impatti possono essere descritti
qualitativamente o quantitativamente, ma come con le probabilità,le classifiche qualitative sono più spesso utilizzate
nella valutazione del rischio di sicurezza informatica. Allo stesso modo, ogni classifica dovrebbe essere ben definita e
costantemente utilizzato. Nella cybersecurity, gli impatti sono valutati anche in termini di riservatezza, integrità e
disponibilità. Il professionista della Cyber Security dovrebbe garantire che l'alta dirigenza non sviluppi una corretta
consapevolezza della sicurezza informatica a seguito di valutazioni di VA/PT che non riescono a individuare
vulnerabilità, ma entrambe le forme di test forniscono informazioni dettagliate sull'organizzazione e sulla sua
posizione di sicurezza.

Esistono tre diversi approcci per implementare la sicurezza informatica. Ciascun approccio è descritto brevemente di
seguito:

• Ad hoc: un approccio ad hoc implementa semplicemente la sicurezza senza ragioni o criteri particolari. Le
implementazioni possono essere guidate dal marketing del fornitore o possono riflettere un'esperienza in materia
insufficiente, conoscenza o formazione durante la progettazione e l'attuazione delle salvaguardie.

• Basato sulla conformità: noto anche come sicurezza basata su standard, questo approccio si basa su normative o
standard per determinare le implementazioni di sicurezza. I controlli sono attuati indipendentemente dalla loro
applicabilità o necessità, che spesso porta a un atteggiamento di "lista di controllo" nei confronti della sicurezza.

• Basata sul rischio: la sicurezza basata sul rischio si basa sull'identificazione e sulla progettazione del rischio unico che
una particolare organizzazione deve affrontare e l'implementazione di controlli di sicurezza per affrontare tale rischio
al di sopra e al di là della tolleranza al rischio e dell'attività dell’organizzazione. L'approccio basato sul rischio è
generalmente basato su scenari.

In realtà, la maggior parte delle organizzazioni con programmi di sicurezza maturi utilizza una combinazione di basata
sul rischio e basata sulla conformità In effetti, la maggior parte degli standard o delle normative come ISO 27001, la
sicurezza dei dati del settore delle carte di pagamento Standard (PCI DSS), Sarbanes–Oxley Act (SOX) o US Health
Insurance Portability and Accountability Act (HIPAA) richiedono valutazioni del rischio per guidare la particolare
attuazione dei controlli richiesti.

Attacchi Cyber e Vettori

L'Agenzia dell'Unione europea per la sicurezza delle reti e delle informazioni (ENISA) ha identificato agenti di minaccia
che attualmente esistono nel panorama delle minacce.

Gli agenti di minaccia comuni includono quanto segue:

• Aziende: è noto che le aziende violano i limiti di sicurezza e compiono atti dannosi per ottenere a vantaggio
competitivo.

• Hacker: spinti dal desiderio di profitto, questi individui sono coinvolti in transazioni finanziarie fraudolente.

• Cyberterroristi: caratterizzati dalla loro volontà di usare la violenza per raggiungere i propri obiettivi, i cyberterroristi
spesso prendono di mira infrastrutture critiche e gruppi governativi.

• Cyberwarriors: spesso paragonati agli hacktivist, i cyberwarrior, chiamati anche cyberfighter, sono a livello nazionale
cittadini motivati che possono agire per conto di un partito politico o contro un altro partito politico che li minaccia.

• Dipendenti: sebbene in genere dispongano di metodi e strumenti a bassa tecnologia, dipendenti insoddisfatti o ex
dipendenti rappresentano un chiaro rischio per la sicurezza informatica.

• Hacktivist: sebbene spesso agiscano in modo indipendente, gli hacker politicamente motivati possono prendere di
mira individui specifici o organizzazioni per raggiungere vari fini ideologici.

• Stati nazione: gli stati nazione spesso prendono di mira il governo e gli enti privati con un alto livello di
sofisticatezzaottenere informazioni o svolgere altre attività distruttive.

• Hacker sociali online: esperti in ingegneria sociale, questi aggressori sono spesso coinvolti in cyberbullismo, furto di
identità e raccolta di altre informazioni o credenziali riservate.
• Script kiddies: i Script kiddies sono individui che stanno imparando ad hackerare; possono lavorare da soli o con altri
e sono principalmente coinvolti nelle iniezioni di codice e negli attacchi DDoS (Distributed Denial-of-Service).

Mentre il rischio è misurato dall'attività potenziale, un attacco è il verificarsi effettivo di una minaccia. Più
precisamente, l'attacco è un'attività di un agente di minaccia (o avversario) contro una risorsa. Dal punto di vista di un
attaccante, la risorsa è un bersaglio e il percorso o percorso utilizzato per accedere al bersaglio (risorsa) è noto come
vettore di attacco. Ci sono due tipi di vettori di attacco: ingresso e uscita (noto anche come esfiltrazione di dati).
Mentre la maggior parte dell'analisi degli attacchi si concentra in caso di ingresso, intrusione, hacking nei sistemi,
alcuni attacchi sono progettati per rimuovere i dati (ad es. dipendenti che rubano dati) da sistemi e reti. Pertanto, è
importante considerare entrambi i tipi di vettori di attacco. L'attaccante deve sconfiggere tutti i controlli in atto e/o
utilizzare un exploit per sfruttare una vulnerabilità. Altro l'attributo di un attacco è il meccanismo di attacco o il
metodo utilizzato per fornire l'exploit. A meno che non lo sia l'attaccante eseguendo personalmente l'attacco, il
meccanismo di attacco può comportare un exploit che fornisce il carico utile al bersaglio. Un esempio può essere un
pdf dannoso creato dall'attaccante e consegnato tramite e-mail. Gli attributi di un attacco sono mostrati in figura.

Sebbene ogni attacco sia diverso, la maggior parte degli eventi di minaccia contraddittoria segue un processo comune.

1. Eseguire la ricognizione: l'avversario raccoglie informazioni utilizzando una varietà di tecniche, passive o attive,
riportate di seguito

a. Passivo:

i. Sniffare il traffico di rete (Sniffing network traffic).

ii. Utilizzo del rilevamento open source di informazioni organizzative (gruppi di notizie; post aziendali sulla
progettazione IT e architettura IT)

iii. Google Hacking

b. Attivo:

io. Scansione del perimetro di rete

ii. Ingegneria sociale (telefonate false, phishing di basso livello)

2. Crea strumenti di attacco: l'avversario crea gli strumenti necessari per eseguire un attacco futuro, che includono:

a. Attacchi di phishing o spear phishing

b. Creazione di siti Web o certificati contraffatti

c. Creare e gestire false organizzazioni e inserirle nella catena di approvvigionamento per iniettare componenti
dannose.

3. Fornire funzionalità dannose: l'avversario inserisce o installa tutto ciò che è necessario per eseguire l'attacco, che

include quanto segue:

a. Introdurre malware nei sistemi informativi dell’organizzazione

b. Mettere individui sovvertiti in posizioni privilegiate all'interno dell'organizzazione

c. Installazione di sniffer o scansione di dispositivi su reti e sistemi mirati

d. Inserimento di hardware manomesso o componenti critici nei sistemi organizzativi o nelle catene di
approvvigionamento

4. Sfruttare e compromettere: l'attaccante sfrutta le informazioni:

a. Dividere il tunneling o ottenere l'accesso fisico alle strutture organizzative

c. Esfiltrazione di dati o informazioni sensibili

b. Sfruttare la multitenancy (ovvero più clienti su risorse condivise) in un ambiente cloud pubblico (ad es.

attaccare punti di accesso pubblici aperti; interfacce del programma applicativo [API])

d. Lanciare exploit zero-day

5. Condurre un attacco: l'attaccante coordina gli strumenti di attacco o esegue attività che interferiscono con

funzioni organizzative. I potenziali metodi di attacco includono:

a. Intercettazione della comunicazione o attacchi di disturbo wireless

b. Attacchi Denial of Service (DoS) o DDoS: Denial of Service (in italiano letteralmente negazione del servizio
abbreviato in DoS), nel campo della sicurezza informatica, indica un malfunzionamento dovuto ad un attacco
informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai
client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client
richiedenti. In un denial of service distribuito (Distributed Denial of Service), il traffico dei dati in entrata che inonda la
vittima proviene da molte fonti diverse. L'esempio in analogia è quello di un gruppo di persone che affollano la porta
d'ingresso o il cancello di un negozio o di un'azienda, e non consentendo alle parti legittime di entrare nel negozio o
nel business, interrompono le normali operazioni. Ciò rende effettivamente impossibile fermare l'attacco
semplicemente bloccando una singola fonte.

c. Interferenza remota o attacchi fisici a strutture o infrastrutture organizzative

d. Session hijacking o attacchi man-in-the-middle

6. Raggiungimento dell’obiettivo: l'attacante provoca un impatto negativo, che può includere:

a. Ottenere accessi non autorizzati a sistemi e/o informazioni sensibili

b. Rendere Servizi o capacità organizzative inefficaci.

c. Creazione, danneggiamento o eliminazione di dati critici

d. Modifica del flusso di controllo del sistema informatico (es. sistema di controllo industriale, controllo di
supervisione e sistemi di acquisizione dati (SCADA))

7. Mantenere una presenza o un insieme di capacità: l'avversario continua a sfruttare e compromettere il sistema che
utilizza le seguenti tecniche:

a. Offuscare le azioni avversarie o interferire con i sistemi di rilevamento delle intrusioni (IDS)

b. Adattare gli attacchi informatici in risposta alle misure di sicurezza organizzative.

Tipologie di Cyber Attack
Il malware, chiamato anche codice dannoso, è un software progettato per accedere a sistemi informatici mirati,
rubare informazioni o interrompere le operazioni del computer. Esistono diversi tipi di malware, i principali sono il
Computer Virus, Network Worm e Trojan Horses, che si differenziano per il modo in cui operano o si diffondono. Ad
esempio, il Network Worm noto come Stuxnet evidenzia il potenziale del malware di interrompere i sistemi SCADA e
controllori logici programmabili (PLC), generalmente utilizzati per automatizzare processi meccanici nelle impostazioni
di fabbrica o centrali elettriche. Scoperto nel 2010, Stuxnet è stato utilizzato per compromettere sistemi e software
nucleari iraniani. Esso ha tre componenti:

1. Un worm che esegue routine relative al carico utile

2. Un file di collegamento che propaga copie del worm

3. Un rootkit che nasconde i processi dannosi per impedirne il rilevamento

Di seguito i principali tipi di Malware:

• Virus: un virus informatico è un pezzo di codice che può replicarsi e diffondersi da un computer all'altro. Esso
richiede l'intervento o l'esecuzione per replicarsi e/o causare danni.

• Network Worm: una variante del virus informatico, che è essenzialmente un pezzo di codice autoreplicante
progettato per questo scopo, diffondersi attraverso le reti informatiche. Non richiede l'intervento o l'esecuzione per
replicarsi.

• Cavalli di Troia: un malware che accede a un sistema mirato nascondendosi all'interno di un'applicazione genuina. I
cavalli di Troia sono spesso suddivisi in categorie che riflettono i loro scopi.

– Un comune Trojan mobile è Hummer, un tipo di malware Android. Nei primi sei mesi del 2016, quasi 1,4 milioni
dispositivi giornalieri sono stati infettati da Hummer. Il malware utilizza uno dei 18 metodi di rooting per ottenere i
privilegi di root per il dispositivo. Quindi invia annunci e installa giochi e applicazioni pornografiche sul dispositivo
mobile.

• Botnets: derivano da una "rete robotica", una rete ampia di computer, automatizzata e precedentemente
compromessa che possono essere controllati simultaneamente per lanciare attacchi su larga scala come DoS.

Un certo numero di ulteriori termini vengono utilizzati anche per descrivere tipi più specifici di malware, caratterizzati
dalle loro finalità.

Loro includono:

• Spyware: una classe di malware che raccoglie informazioni su una persona o un'organizzazione a sua insaputa

quella persona o organizzazione.

• Adware: progettato per presentare annunci pubblicitari (generalmente indesiderati) agli utenti.

• Ransomware: chiamato anche "hostage code", una classe di malware estorsivo che blocca o cripta dati o funzioni e
richiede un pagamento per sbloccarli. Sono disponibili diversi tipi per ogni sistema operativo. Esempi recenti degli
attacchi ransomware includono:

– GhostCrypt: utilizzando la crittografia AES, GhostCrypt cripta i dati sul dispositivo infetto per ottenere

Bitcoin dalla vittima. Ogni volta che il ransomware cripta qualsiasi informazione, allega il .Z81928819

appendice. GhostCrypt genera anche un READ_THIS_FILE.txt come promemoria del riscatto da pagare.

– SNSLocker: utilizzando la crittografia AES e aggiungendo una stringa .RSNSlocked crittografa i dati e richiede un
riscatto di $ 300 (pagabile in Bitcoin).
Oltre a malware e ransomware, esistono molti altri tipi di attacchi. Alcuni degli attacchi più comuni

Sono riportati qui di seguito:

• Advanced persistent threats (APT): attacchi complessi e coordinati direttamente da un'entità specifica o
organizzazione. Richiedono una notevole quantità di ricerca e tempo, spesso impiegando mesi o addirittura anni per
essere completati. APT è un termine che indica la classe di complessità. Dopo che un attacco viene individuato, viene
determinato il livello di complessità, la quantità di tempo e le risorse spese per l'attacco e sulla base di questi criteri
può essere definito APT.

• Backdoor: un mezzo per riottenere l'accesso a un sistema compromesso installando software o configurando quello
esistente per consentire l'accesso remoto in condizioni definite dall'attaccante.

•Brute Force Attack: un attacco effettuato provando tutte le possibili combinazioni di password o chiavi di crittografia
fino al si trova quello corretto.

• Buffer OverFlow: si verifica quando un programma o un processo tenta di memorizzare più dati in un buffer di quelli
che può contenere. Poiché i buffer vengono creati per contenere una quantità definita di dati, le informazioni extra,
che devono andare da qualche parte, possono traboccare nei buffer adiacenti, danneggiando o sovrascrivendo i file o
dati validi in essi contenuti. Sebbene possa verificarsi accidentalmente a causa di un errore di programmazione,
l'overflow del buffer è un tipo sempre più comune di attacco alla sicurezza sull'integrità dei dati. Negli attacchi di
overflow del buffer, i dati extra possono contenere codici di attacco alla sicurezza dell'integrità dei dati.

• Cross-site scripting (XSS): un tipo di attacco in cui degli script dannosi vengono iniettati in siti Web affidabili. Gli
attacchi XSS si verificano quando un utente malintenzionato utilizza un'applicazione Web per inviare un codice
dannoso, in genere sotto forma di script lato browser, a un utente finale diverso.

• Attacco DoS: attacco a un servizio da un'unica fonte che lo inonda di così tante richieste che viene arrestato
completamente o funziona a una velocità notevolmente ridotta.

• Attacco Man-in-the-middle: una strategia di attacco in cui l'attaccante intercetta il flusso di comunicazione tra due
parti del sistema vittima e quindi sostituisce il traffico tra le due componenti con quello dell'intruso, eventualmente
assumendo il controllo della comunicazione.

•Social Engineering: qualsiasi tentativo di sfruttare le vulnerabilità sociali per accedere a informazioni e/o sistemi.
Esso comporta un "gioco di truffa" che induce gli altri a divulgare informazioni o ad aprire software o programmi
dannosi.

• Phishing: un tipo di attacco e-mail che tenta di convincere un utente che l'autore è autentico, ma con l’intenzione di
ottenere informazioni da utilizzare nell'ingegneria sociale.

• Spear phishing: un attacco in cui le tecniche di ingegneria sociale vengono utilizzate per mascherarsi come una parte
fidata da ottenere informazioni importanti come le password della vittima.

• Spoofing: falsificazione dell'indirizzo di invio di una trasmissione per ottenere l'ingresso illegale in un sistema sicuro.

• Keylogger: una classe di malware che registra segretamente le sequenze di tasti degli utenti e, in alcuni casi, il
contenuto dello schermo.

• Rootkit: una classe di malware che nasconde l'esistenza di altri malware modificando il sistema operativo
sottostante.
Cyber Security Policies
La maggior parte delle organizzazioni dispone di una politica di sicurezza delle informazioni generale e di alto livello
che può essere isolata come un'unica politica o fungere da base per altri documenti di conformità. Per le imprese più
grandi, è prassi comune suddividere le policies per argomento per affrontare tutta la sicurezza delle informazioni.
Viene mostrato un esempio di tale suddivisione.

Ciascuna di queste aree richiede l'input della sicurezza delle informazioni. Esempi di cluster rilevanti per la sicurezza
delle informazioni sono riportati di seguito:

• Business Continuity e Disaster Recovery:

– Analisi dell'impatto aziendale (BIA – Business Impact Analysis).

– Piani di emergenza aziendale con recupero affidabile

– Requisiti di ripristino per i sistemi critici

– Soglie e trigger definiti per contingenze ed escalation

– Disaster Recovery Plan (DRP)

– Formazione e test

• Gestione delle risorse:

– Classificazione e proprietà dei dati

– Classificazione e proprietà del sistema

– Utilizzo delle risorse e definizione delle priorità

– Gestione del ciclo di vita degli asset

– Protezione degli asset

• Regole di comportamento:

– Usi e comportamenti accettabili nella sede di lavoro, inclusi privacy, Internet/e-mail, dispositivi mobili, BYOD, ecc.

– Usi e comportamenti accettabili fuori sede, inclusi social media, blog

• Acquisizione/Sviluppo/Manutenzione dei Sistemi:

– Sicurezza delle informazioni all'interno del ciclo di vita, definizione dei requisiti e processi di
approvvigionamento/acquisizione.

– Pratiche di codifica sicura.

– Integrazione della sicurezza delle informazioni con la gestione delle modifiche e delle configurazioni

• Gestione fornitori:

- Gestione dei contratti

• Comunicazione e Operazioni:

– Architettura di sicurezza informatica e progettazione di applicazioni

– Accordi sui livelli di servizio (SLA).

• Compliance:

– Processo di valutazione della ICT Compliance.

– Sviluppo di metriche

– Repository di valutazione

• Risk Management:

– Piano di gestione del rischio organizzativo

– Profilo di rischio informativo

Access Control Policy

L’Access Control Policy regolamenta gli accessi ai sistemi degli stakeholder interni ed esterni.

Essi possono essere misurati da metriche come, ma non limitate a:

• Numero di violazioni di accesso che superano il numero massimo di violazioni consentite.

• Work disruption a causa di access right insufficienti o non in linea con le esigenze di business degli utenti.

• Numero di finding in materia di SOD.

Inoltre, l’Access Control Policy dovrebbe garantire che l'accesso di emergenza sia adeguatamente consentito e
revocato in modo tempestivo. Le metriche relative a questo obiettivo includono il numero di richieste di accesso di
emergenza e il numero di utenze di emergenza attivi oltre i limiti di tempo approvati (es: utenze FireCall).

L’Access Control Policy dovrebbe coprire, tra gli altri, i seguenti domini:

• Ciclo di vita del provisioning dell'accesso fisico e logico.

• Privilegi minimi/need to know (Access Rights).

• SOD

• Emergency Access.
Tale policy è pensata per tutte le unità aziendali, i fornitori e le terze parti. Attività di rivalidazione degli access rights e
dello status attivo/non attivo delle utenze dovrebbero coinvolgere le risorse umane, i proprietari di dati e sistemi, la
sicurezza delle informazioni e il top management.

Personnel Information Security Policy

La Personnel Information Security Policy include, a titolo esemplificativo, i seguenti obiettivi:

• Eseguire regolari controlli del background (competenze/conoscenze) di tutti i dipendenti e delle persone nelle key
position.

• Acquisire informazioni sul personale chiave in posizioni di sicurezza delle informazioni. Questo può essere seguito
contando il numero di personale in posizioni chiave che non hanno ruotato secondo una frequenza predefinita.

• Sviluppare un piano di successione per tutte le posizioni chiave nella sicurezza delle informazioni. Un punto di
partenza è elencare le posizioni di sicurezza delle informazioni prive di personale di backup.

• Definire e attuare procedure appropriate per la terminazione delle utenze. Queste dovrebbero includere i dettagli
sulla terminazione degli accessi e dei relativi privilegi di accesso.

Questa policy è pensata per tutte le unità aziendali corrispondenti, i fornitori e le terze parti. Aggiornamenti e
rivalidazioni dovrebbero coinvolgere le risorse umane, il responsabile della privacy, l'ufficio legale, la sicurezza delle
informazioni e la sicurezza delle strutture.

Security Incident Response Policy

Questa policy indirizza alla necessità di rispondere agli incidenti di sicurezza informatica in modo tempestivo al fine di
riprendere le attività di businees al fine di evitare rischi operativi, economico finanziari e reputazionali. La policy
dovrebbe includere:

• Una definizione di incidente di sicurezza delle informazioni.

• Una dichiarazione su come verranno gestiti gli incidenti.

• Requisiti per l'istituzione del team di risposta agli incidenti, con ruoli e responsabilità organizzative.

• Requisiti per la creazione di un incident response plan opportunamente testato, che fornirà procedure documentate
e linee guida per:

– Ranking e prioritizzazione degli incidenti

– Processi di reporting ed escalation

– Recovery che deve includere:

 Recovery Point Object (RPO): l'RPO rappresenta alla perdita di dati accettabile e massima in caso di
interruzione prima che si verifichi un danno operativo, economico finanziario, legale, reputazionale.
Generalmente è identificabile nell’ ultimo backup. RPO quantifica efficacemente la quantità massima di
perdita di dati in caso di interruzione prima che si verifichi un danno operativo, economico finanziario e
reputazionale. A seconda del volume dei dati, potrebbe essere consigliabile ridurre il tempo tra i backup e
l’altro per prevenire una situazione dove il ripristino diventa impossibile a causa del volume di dati da
ripristinare. Può anche accadere che il il tempo necessario per ripristinare un grande volume di dati rende
impossibile il raggiungimento dell'RTO.
 Recovery Time Object (RTO) per il ritorno allo stato di business as usual del sistema IT. Rappresenta il tempo
massima di interruzione che un sistema IT può sopportare prima che si verifichi un danno operativo,
economico finanziario, legale, reputazionale. Di seguito gli step necessari:

. Indagine e conservazione del processo

. Test e formazione
. Riunioni successive all'incidente per documentare l'analisi delle cause principali e il miglioramento delle pratiche di
sicurezza delle informazioni che impediscono simili eventi futuri

- Documentazione e chiusura dell'incidente

Il modo in cui i documenti di compliance si relazionano e si supportano a vicenda è chiamato Policy Framework. Esso
definisce diversi tipi di policy e cosa è contenuto in ciascuno. Le organizzazioni possono avere semplici o complessi
framework seconda delle loro esigenze specifiche. Le organizzazioni possono definire una framework di Cyber
Security separata, ma questo dovrebbe sempre far parte del framework della politica di sicurezza delle informazioni.

Cyber Security Controls

La Cyber Security è un tema dinamico e in continua evoluzione e richiede monitoraggio, aggiornamento, test di diversi
patch e cambiamenti man mano che la tecnologia e il business si evolvono. Questi controlli sono fondamentali per
mantenere la sicurezza all'interno l'infrastruttura IT di qualsiasi organizzazione. L'incapacità di affrontare questi
processi è una delle principali cause di violazione della sicurezza informatica nelle organizzazioni.

Un'ottima fonte per acquisire conoscenze più approfondite sui controlli di cybersecurity è il Center for Internet
Security (CIS), Controlli di sicurezza critici per una difesa efficace. Fornisce una guida praticabile per fermare di più
attacchi pervasivi e pericolosi nell'ambiente attuale. I controlli di sicurezza critici della CSI derivano da modelli di
attacco comuni forniti dai principali rapporti sulle minacce di un'ampia comunità di professionisti del settore. Essi
forniscono un mezzo organizzato ai professionisti della Cyber Security per affrontare queste minacce e attacchi
comuni. Di seguito viene riportato il file con la lista dei controlli CIS:

CIS_Controls_Version_8.xlsx CIS_Controls_v8_Italian_v21.08.pdf CIS_Controls_v8_Change_Log.xlsx

Identity Management
La Cyber Security si basa sulla creazione e il mantenimento di profili utente che definiscono l'autenticazione,
autorizzazioni e controlli di accesso per ciascun utente. Oggi le organizzazioni dispongono di una varietà di processi e
strumenti ad hoc per gestire e fornire informazioni sull'identità dell'utente. L’Identity Management si concentra sulla
razionalizzazione di varie attività, processi necessari per gestire tutte le forme di identità in un'organizzazione, dalla
creazione alla terminazione. La capacità di integrare i processi aziendali e la tecnologia è di fondamentale importanza
nel modello emergente perché collega le persone a sistemi e servizi. Un obiettivo chiave della gestione dell'identità è
centralizzare e standardizzare questo processo in modo che diventi un servizio coerente e comune in tutta
l'organizzazione.

L’Identity Management è composta da molti componenti che forniscono un'infrastruttura collettiva e comune, inclusi
servizi di directory, servizi di autenticazione (convalida dell'utente) e servizi di autorizzazione (garantire che l'utente
disponga di opportuni privilegi per accedere ai sistemi sulla base di un profilo personalizzato e in coerenza con le reali
esigenze di business – need to know). Include anche la gestione degli utenti funzionalità, come il provisioning e il
deprovisioning degli utenti, e possono includere l'utilizzo di Federated Identity Management (FIM). FIM consente a un
utente di un'entità aziendale di accedere senza problemi alle risorse di un'altra entità aziendale in modo sicuro e
modo affidabile. Single Sign-On (SSO) federato tra il dominio emittente (identity provider) e un relying dominio
(service provider) facilita il trasferimento sicuro e affidabile di identificatori utente e altri attributi. anche FIM supporta
l'attendibilità e la sicurezza basate su standard per le applicazioni esposte come servizi Web.

Provisioning & DeProvisioning

Il provisioning degli utenti fa parte del processo di assunzione dell'organizzazione in cui vengono create le utenze.
Password e accesso i diritti di controllo sono generalmente assegnati in base alle mansioni lavorative degli utenti.
Questo può essere un processo complicato, come utenti potrebbe richiedere l'accesso a molte risorse diverse come
sistemi, database, e-mail, applicazioni e servizi remoti, ognuno dei quali ha il proprio controllo di accesso, password,
chiavi di crittografia o altri requisiti di autorizzazione e autenticazione. Inoltre, i diritti di controllo dell'accesso spesso
cambiano in base allo spostamento dei requisiti di lavoro, quindi è frequente necessario per aggiornare i controlli di
accesso e rimuovere l'accesso non più necessario. Allo stesso modo, quando un utente esce dall’organizzazione, le
relative utenze devono essere rimosse, il che significa che tutti gli account e gli accessi devono essere disabilitati o
cancellato tempestivamente.

Iter Autorizzativo
Il processo di autorizzazione utilizzato per il controllo degli accessi richiede che il sistema sia in grado di identificare e
differenziare utenti. Le regole di accesso (autorizzazioni) specificano chi può accedere a cosa. Ad esempio, il controllo
degli accessi è spesso basato sul minimo privilegio, il che significa concedere agli utenti solo gli accessi necessari per
svolgere i propri compiti. L'accesso dovrebbe essere su documentati need to know e il need to do.

L'accesso al computer può essere impostato a vari livelli (ad es. file, tabelle, elementi di dati, ecc.). Quando i revisori
esaminano l’accessibilità, hanno bisogno di sapere le varie tipologie di profilazione. Ad esempio, l'accesso e le
restrizioni a livello di file generalmente includono quanto segue:

• Sola lettura

• Modifica

• Elimina solo

• Eseguire solo

• Una combinazione di quanto sopra

Il tipo di accesso meno pericoloso è di sola lettura, purché le informazioni a cui si accede non siano sensibili o
confidenziale. Questo perché l'utente non può alterare o utilizzare il file oltre alla visualizzazione o alla stampa di base.

ACCESS CONTROL LISTS

Per fornire autorizzazioni di sicurezza per i sistemi, meccanismi di controllo dell'accesso logico utilizzano tabelle di
autorizzazione di accesso, denominate anche liste di controllo di accesso (ACL) o tabelle di controllo di accesso. Le
Access Control Lists si riferiscono ad un registro di:

• Utenti (inclusi gruppi, macchine, processi) che dispongono dell'autorizzazione per utilizzare una particolare sistema

• I tipi di accesso consentiti

Le ACL variano considerevolmente nella loro capacità e flessibilità. Alcune consentono solo specifiche funzioni per
determinati gruppi preimpostati mentre ACL più avanzati consentono molta più flessibilità come definita dall'utente
gruppi. Inoltre, è possibile utilizzare ACL più avanzati per negare esplicitamente l'accesso a un determinato individuo o
gruppo.

Con ACL più avanzati, l'accesso può essere a discrezione del policy maker (e implementato dal security
amministratore) o singolo utente, a seconda di come i controlli sono tecnicamente implementati. Quando un utente
cambia funzione o ruolo all'interno di un'organizzazione, spesso i vecchi diritti di accesso non vengono rimossi prima di
aggiungere i nuovi accessi richiesti. Senza rimuovere i vecchi diritti di accesso, potrebbe esserci un potenziale
problema di SOD.

ACCESS LISTS
Gli elenchi di accesso filtrano il traffico alle interfacce di rete in base a criteri specificati, garantendo così la sicurezza di
base della rete. Senza liste di accesso, i dispositivi di rete passano tutti i pacchetti. Al contrario, dopo che un elenco di
accesso è stato creato e applicato a un’ interfaccia, quindi passa solo il traffico consentito dalle regole a causa di
un'implicita dichiarazione "nega tutto" aggiunta automaticamente alla lista. Comprendere il posizionamento e
l'impatto di un elenco di accesso è essenziale perché gli errori possono interamente arrestare il traffico della rete.
PRIVILEGED USER MANAGEMENT
L'accesso privilegiato consente agli amministratori di mantenere e proteggere sistemi e reti. Gli utenti privilegiati
possono spesso accedere a qualsiasi informazione memorizzata all'interno di un sistema, il che significa che possono
modificare o aggirare le salvaguardie esistenti come controlli di accesso e registrazione. "Utente privilegiato" si
riferisce in genere agli amministratori di sistemi, reti, servero postazioni di lavoro.

A causa di questo accesso privilegiato, le organizzazioni devono riflettere attentamente su utenti e account privilegiati
e performare controlli aggiuntivi su di loro. I controlli comuni includono:

• Limitare l'accesso privilegiato solo a coloro che lo richiedono per svolgere le proprie funzioni lavorative.

• Esecuzione di controlli sul background degli individui con accesso elevato.

• Implementazione dei log di tracciatura delle attività associate agli account privilegiati e relativa attività di
monitoraggio (annuale o semestrale).

• Prevedere utenze nominali non condividendo mai account privilegiati tra più risorse al fine di garantire una corretta
tracciatura.

• Utilizzo di password più complesse o altri controlli di autenticazione per proteggere gli account con privilegi da
accessi non autorizzati.

• Esaminare regolarmente gli account per i privilegi e rimuovere quelli non più necessari (Attività di rivalidazione –
annuale o semestrale)

• Richiedere agli utenti privilegiati di mantenere due utenze (da amministratore e da utenza generica) e imporre l'uso
dell’utenza generica per compiti generali, come e-mail, documentazione, accesso a Internet, ecc.

• Predisporre per ciascun utenza admin, una lettera di nomina che attesti l’effettiva esigenza e il background tecnico
per poter esercitare il ruolo da amministratore di sistema.

Change Management
Il Change Management è essenziale per l'infrastruttura IT. Il suo scopo è garantire che le modifiche ai processi, sistemi,
software, applicazioni, piattaforme e configurazione vengono introdotti in modo ordinato e controllato. I controlli
sono attuati sotto forma di un processo strutturato di revisione volto a valutare e minimizzare il potenziale per
l'interruzione che potrebbe introdurre una modifica proposta, un'attività di manutenzione o una patch. Controlli
efficaci lo garantiscono tutte le modifiche sono classificate, prioritizzate e autorizzate. Il processo generalmente
include meccanismi per il monitoraggio e documentare le modifiche per dimostrare la responsabilità e il rispetto delle
migliori pratiche.

È importante notare che il Change Management non è un processo autonomo; attinge a una serie di altri processi e
controlli. Pertanto, richiede una conoscenza completa delle operazioni e delle infrastrutture aziendali da attuare
efficacemente.

Configuration Management
Il mantenimento delle configurazioni di sicurezza dei dispositivi di rete, dei sistemi, delle applicazioni e di altre risorse
IT è fondamentale per garantire che i controlli di sicurezza siano installati e mantenuti correttamente. Man mano che
le organizzazioni crescono e si evolvono, così fa il potenziale di cambiamento e disfunzioni. Al fine di gestire tali
cambiamenti e ridurre al minimo il loro potenziale per interrompere operazioni, efficienza e profitti, è necessario
sviluppare processi formali. Questi processi di Configuration Management possono essere piuttosto complessi, poiché
supportano molte altre attività all'interno dell'azienda.

L'implementazione di un processo di gestione della configurazione offre numerosi vantaggi per la sicurezza, tra cui:

• Verifica dell'impatto su gli items correlati

• Valutazione del rischio di una modifica proposta

• Capacità di ispezionare diverse linee di difesa per potenziali punti deboli

• Tracciamento degli elementi di configurazione rispetto alle baseline di configurazione sicure e approvate

• Approfondimenti sulle indagini dopo una violazione della sicurezza o un'interruzione IT.

• Controllo della versione e autorizzazione alla produzione di componenti hardware e software.

Patch Management
Le patch sono soluzioni agli errori di programmazione del software. In molti casi, le vulnerabilità della sicurezza sono
introdotte da errori di codifica. Pertanto, è fondamentale che i bug del software identificati come vulnerabilità della
sicurezza vengano corretti tempestivamente. La maggior parte dei fornitori di software rilascia regolarmente
aggiornamenti software e patch man mano che le vulnerabilità vengono identificate. La mancata applicazione di
patch a vulnerabilità di sicurezza note è la causa più comune di violazioni della sicurezza. Dunque, l'applicazione di
patch è una parte importante della gestione delle vulnerabilità e le organizzazioni devono impostare processi per
identificare le patch rilevanti per la propria infrastruttura IT. Una volta identificata una patch necessaria, dovrebbe
essere testata per assicurarsi che non abbia un impatto negativo sulle operations. Dopo che la patch è stata verificata,
può essere programmata e installata dove appropriato.

OVERVIEW OF SECURITY ARCHITECTURE

La Security Architecture descrive la struttura, i componenti, le connessioni e la disposizione dei controlli di sicurezza
all'interno l'infrastruttura IT di un'organizzazione. Le organizzazioni hanno diversi tipi di architetture di sicurezza che
determinano i dettagli di vari sottosistemi, prodotti e applicazioni. Questi dettagli influenzeranno a loro volta un
approccio dell'organizzazione alla difesa in modo approfondito o la pratica della stratificazione delle difese per fornire
una protezione aggiuntiva. L'architettura di sicurezza mostra come viene implementata la difesa in profondità e come
sono collegati i livelli di controllo. Pertanto, è essenziale progettare e implementare controlli di sicurezza in qualsiasi
ambiente complesso. Ogni componente di un dato sistema pone il proprio rischio per la sicurezza. Perché la topologia
dell'architettura di sicurezza varia da un'organizzazione all'altra, quando si affronta il problema è necessario
considerare una serie di variabili e rischi diversi di una determinata organizzazione. Questa sezione discuterà queste
variabili individualmente, insieme alle migliori pratiche per gestire con successo il relativo rischio.

La Sicurezza Perimetrale
Molti degli attuali controlli di security architecture sono stati sviluppati con il concetto di perimetro, un ben definito
(se per lo più virtuale) confine tra l'organizzazione e il mondo esterno. In questi modelli di cybersecurity, il focus è
incentrato sulla rete o sul sistema. Nel modello incentrato sul sistema, l'enfasi è posta sul posizionamento dei controlli
nella rete e su livelli di sistema per proteggere le informazioni memorizzate all'interno. Un modello alternativo è data-
centrico, che enfatizza la protezione dei dati indipendentemente dalla loro ubicazione.
Con l'avvento di Internet, dell'outsourcing, dei dispositivi mobili, del cloud e di altri servizi in hosting, il perimetro è
ampliato notevolmente. Di conseguenza, ci sono nuovi significativi rischi e vulnerabilità da affrontare in questo
ambiente iperconnesso ed esteso. Il perimetro, poi, è un'importante linea di difesa che protegge il
aziendale contro le minacce esterne e il suo design dovrebbe riflettere una posizione proattiva verso la prevenzione
dei potenziali rischi.
Un componente importante del perimetro di sicurezza è il perimetro Internet. Questo perimetro garantisce un accesso
sicuro a Internet per i dipendenti aziendali e gli utenti ospiti residenti in tutte le sedi, comprese quelle coinvolte in
telelavoro o lavoro a distanza. Al fine di fornire sicurezza di e-mail, app mobili e web front-end, nome di dominio
sistema (DNS), ecc., il perimetro Internet dovrebbe:
• Instradare il traffico tra l'azienda e Internet
• Impedire il trasferimento di file eseguibili tramite allegati di posta elettronica o navigazione sul Web
• Monitorare le porte di rete interne ed esterne per attività non autorizzate
• Rilevare e bloccare il traffico dall'endpoint interno infetto
• Controllare il traffico degli utenti diretti verso Internet
• Identificare e bloccare il traffico anomalo e i pacchetti dannosi riconosciuti come potenziali attacchi
• Eliminare le minacce come posta indesiderata, virus e worm
• Applicare criteri di filtraggio per bloccare l'accesso a siti Web contenenti malware o contenuti discutibili
Il perimetro dovrebbe anche fornire protezione per reti private virtuali (VPN), reti geografiche (WAN) e
reti locali senza fili (WLAN).
Per le VPN, questa protezione dovrebbe essere tripla:
1. Terminare il traffico VPN crittografato avviato da utenti remoti.
2. Fornire un hub per terminare il traffico VPN crittografato da siti remoti, organizzazioni.
3. Fornire un hub per terminare gli utenti tradizionali con accesso esterno.

Interdipendenze
Come discusso in precedenza, le moderne architetture IT sono generalmente decentralizzate e deperimetrate. Ciò
include a numero crescente di piattaforme e servizi basati su cloud, nonché un cambiamento nella potenza di calcolo e
nei modelli di utilizzo verso dispositivi mobili intelligenti come tablet o smartphone.

Di conseguenza, sia il numero di potenziale bersagli di attacco al di fuori dei confini dell'organizzazione e il numero di
vettori di attacco è cresciuto. Al contrario, il grado di controllo sugli ambienti deperimetrati è stato notevolmente
ridotto, soprattutto nelle imprese consentendo l'integrazione parziale o totale dei dispositivi mobili di proprietà
dell'utente (ad esempio, BYOD). Questi cambiamenti sono importanti ramificazioni per l'architettura di sicurezza.

Nelle architetture IT distribuite e decentralizzate, è probabile che il rischio di terze parti aumenti, spesso in funzione di
spostare le applicazioni critiche, le piattaforme e gli elementi dell'infrastruttura al cloud. Per piattaforme,
archiviazione, infrastrutture e archivi di dati basati su cloud, l'attenzione della sicurezza informatica si sta spostando
verso contratti e servizi accordi di livello (SLA). Allo stesso tempo, i fornitori di servizi cloud di terze parti devono
affrontare un rischio maggiore di attacchi e violazioni dovute all'agglomerazione e al raggruppamento di dati e
informazioni sensibili. Oltre alle preoccupazioni per servizi di terze parti, esiste un rischio legale significativo. Le
aziende che subiscono una perdita di dati sensibili potrebbero non essere nella posizione per intentare un'azione
contro gli autori del reato perché il provider di servizi cloud deve spesso avviare un'azione legale a sua volta.

Indipendentemente dagli accordi generici per la sicurezza delle informazioni presi da un'impresa, ci sono spesso aree
esposte all'interno di architetture informatiche. Gli autori di criminalità informatica continuano a mirare ai "punti
deboli" dell'architettura. Contrariamente agli attacchi indiscriminati e opportunistici, gli APT e la criminalità
informatica fanno sempre affidamento sulla ricerca preparatoria e sulla comprensione dell'impresa target. Questo, a
sua volta, aumenta il livello di esposizione per i deboli o parti non protette dell'architettura complessiva. Questi punti
vulnerabili includono sistemi legacy, parti architettura non aggiornata da patch, uso condiviso di dispositivi mobili e
molti altri.

Security Architecture & Framework

I modelli di architettura di sicurezza rientrano in genere in due categorie: modelli di processo e modelli di framework.

I framework consentono una grande flessibilità nel modo in cui viene sviluppato ogni elemento dell'architettura.
L'essenza di un framework è descrivere gli elementi dell'architettura e come si relazionano tra loro, mentre un
modello di processo è più direttivo nel suo approccio ai processi utilizzati per i vari elementi. Un esempio recente di
modello di processo è un blocco costitutivo del server Web in cui viene specificato esattamente come deve essere
distribuito un server Web e quale elaborazione è consentita o meno all'interno di quel blocco.
The Open Systems Interconnection (OSI) Model
Il modello Open Systems Interconnection (OSI) viene utilizzato per descrivere i protocolli di rete. Poiché è raro che sia
implementato nelle reti reali, è considerato un riferimento per standardizzare lo sviluppo delle reti reali. OSI è stata la
prima definizione aperta non proprietaria per il networking. Il modello OSI definisce i gruppi di funzionalità richieste
per i computer di rete declinati per ciascun layer, implementando un protocollo standard per la relative funzionalità.
Ci sono sette layers nel modello OSI, mostrati nella figura di seguito.

Ciascun livello del modello OSI svolge una funzione specifica per la rete:

• Physical Layer (Livello 1): gestisce i segnali tra i sistemi di rete.

• Layer di collegamento dati (Livello 2): divide i dati in frame che possono essere trasmessi dal layer fisico.

• Network Layer (Livello 3): traduce gli indirizzi di rete e instrada i dati dal mittente al destinatario attraverso la TCP.

• Layer di trasporto (Livello 4): assicura che i dati vengano trasferiti in modo affidabile nella sequenza corretta
attraverso la TCP.

• Layer di sessione (Livello 5): coordina e gestisce le connessioni degli utenti.

• Layer di presentazione (Livello 6): formatta, crittografa e comprime i dati.

• Layer applicazione (Livello 7): media tra le applicazioni software e altri livelli di servizi di rete.

TCP/IP
La suite di protocolli utilizzata come standard de facto per Internet è nota come Transmission Control
Protocol/Internet Protocol. La suite TCP/IP include sia i protocolli orientati alla rete che all’applicazione e opera a
livello 3 e livello 4 del modello OSI. Si occupa di tradurre gli indirizzi di rete, instradare i dati dal mittente al
destinatario e di assicurare che i dati vengano trasferiti in modo affidabile nella sequenza corretta.

Internet Protocol Version

Attualmente, esistono due versioni di IP che operano a livello 3: IPv4 e IPv6. IPv4 è la quarta revisione di IP ed è l'IP
più comune utilizzato per connettere i dispositivi a Internet. Usa uno Schema di indirizzi a 32 bit che consente poco più
di 4 miliardi di indirizzi. Con l'attuale prevalenza di connessione a Internet dispositivi, si prevede che IPv4 finirà per
esaurire gli indirizzi inutilizzati. Per questo motivo, IPv6 è stato sviluppato per affrontare questa preoccupazione. IPv6,
chiamato anche IPng (di nuova generazione) è la versione più recente di IP ed è un aggiornamento evolutivo di IPv4.
IPv6 è stato creato per consentire la crescita costante di Internet sia per il numero di host collegati che per la quantità
di dati trasmesso. Si prevede che IPv4 e IPv6 coesisteranno per qualche tempo.

La Figura mostra alcuni degli standard associati alla suite TCP/IP e dove questi rientrano nel modello OSI.

Incapsulazione
L'incapsulazione è il processo di aggiunta delle informazioni di indirizzamento ai dati man mano che vengono
trasmessi al modello OSI. Ogni livello si basa sui servizi forniti dal livello sottostante. Ogni livello del modello OSI
comunica solo con il suo livello di destinazione. Lo fa utilizzando datagrammi o Protocol Data Unit (PDU). Fare
riferimento alla precedente figura per Nomi PDU mentre il modello OSI è mostrato nella figura sottostante. I dati del
livello superiore vengono passati al livello di trasporto come segmenti e con un'intestazione per l'identificazione.
Questi segmenti vengono trasmessi nuovamente al livello di rete come pacchetti con un'intestazione. I dati sono
suddivisi in frame a livello di collegamento dati e hanno anche informazioni di controllo aggiunte. A livello fisico, i dati
assumono la forma di bit (1s e 0s) per la consegna alla rete di destinazione. Una volta a destinazione, ogni layer
sull'estremità ricevente rimuove le informazioni di indirizzamento appropriate e le trasmette al modello OSI fino a
quando il messaggio non viene recapitato. Questo processo è chiamato decapsulazione.
I servizi di comunicazione su OSI Layer 4 sono classificati come orientati alla connessione o senza connessione. TCP
fornisce una consegna affidabile e in sequenza con controllo degli errori. Le connessioni vengono stabilite utilizzando
“una stretta di mano a tre vie”, e quindi sono orientati alla connessione, come mostrato nella figura sottostante. User
Datagram Protocol (UDP) è un protocollo di connessione utilizzato dove la velocità è più importante del controllo degli
errori e della consegna garantita. UDP utilizza dei checksum per l'integrità dei dati.

La Difesa in Profondità
Poiché nessun singolo controllo o contromisura può eliminare il rischio, spesso è importante utilizzare diversi controlli
per proteggersi

un bene. Questo processo di stratificazione delle difese è noto come difesa in profondità, ma può anche essere
chiamato protezione in profondità

o sicurezza in profondità. Costringe un avversario a sconfiggere o evitare più di un controllo per ottenere l'accesso a
una risorsa.

La difesa in profondità è un concetto importante nella progettazione di un'efficace strategia o architettura di sicurezza
delle informazioni.

Se progettati e implementati correttamente, più livelli di controllo offrono molteplici opportunità di monitoraggio

rilevare l'attacco. L'aggiunta di ulteriori controlli da superare crea anche un ritardo in modo che l'attacco possa essere
interrotto
e prevenuto.

Il numero e le tipologie di layer necessari sono in funzione del valore dell'asset, della criticità, dell'affidabilità di ciascun
controllo e della

grado di esposizione. È probabile che l'eccessivo affidamento su un unico controllo crei un falso senso di fiducia. Per
esempio,

un'azienda che dipende esclusivamente da un firewall può comunque essere soggetta a numerose metodologie di
attacco. Un'ulteriore difesa

potrebbe consistere nell'utilizzare l'educazione e la consapevolezza per creare un "firewall umano", che può costituire
un livello critico di difesa.

La segmentazione della rete può costituire un ulteriore livello difensivo.

L'utilizzo di una strategia di difesa approfondita per l'attuazione dei controlli presenta numerosi vantaggi, tra cui
l'aumento dello sforzo

necessario per un attacco riuscito e la creazione di ulteriori opportunità per rilevare o ritardare un utente
malintenzionato. Ce ne sono diversi

modi in cui la difesa in profondità può essere implementata, come mostrato nella figura