✓Descrivere il NIST Cybersecurity Framework 2.0 e le sue sei funzioni chiave, spiegando come si integrano nei processi aziendali
✓Illustrare le quattro fasi del ciclo NIST SP 800-61 di Incident Response e le attività principali di ciascuna
✓Distinguere il ruolo di SOC, SIEM e CERT indicando funzioni, differenze e come collaborano nelle fasi dell’Incident Response
✓Applicare il modello NIST a uno scenario reale di incidente informatico identificando le azioni appropriate per fase
📄
Slides
NIST CSF, IR Life Cycle, SOC/SIEM/CERT — slide complete
La difesa informatica — un approccio strutturato
Difendersi da attacchi informatici non significa semplicemente installare un antivirus. La difesa moderna richiede un approccio sistematico, misurabile e continuo, basato su framework standardizzati che guidano organizzazioni di qualsiasi dimensione nella gestione del rischio informatico.
Due riferimenti internazionali sono fondamentali:
NIST CSF 2.0
Framework strategico per gestire e ridurre il rischio informatico a livello organizzativo. Definisce cosa fare per essere sicuri.
NIST SP 800-61
Guida operativa per gestire gli incidenti informatici quando accadono. Definisce come rispondere passo per passo.
NIST Cybersecurity Framework (CSF) 2.0
Il NIST Cybersecurity Framework (CSF) è sviluppato dal National Institute of Standards and Technology degli USA ed è diventato il modello di riferimento internazionale per la gestione del rischio informatico, adottato da governi, aziende Fortune 500 e PMI in tutto il mondo. La versione 2.0, pubblicata nel 2024, introduce una sesta funzione rispetto alla versione originale.
Le sei funzioni del NIST CSF 2.0
🏛️
GOVERN
Nuova in CSF 2.0
Stabilisce la governance della cybersecurity: politiche, ruoli, responsabilità, supervisione e integrazione nei processi decisionali aziendali.
Es: definire chi è responsabile della sicurezza, policy aziendali, risk appetite
🗺️
IDENTIFY
Identificare
Comprendere il contesto: inventario degli asset, mappatura dei rischi, identificazione delle vulnerabilità e delle dipendenze critiche.
Es: inventario hardware/software, vulnerability assessment, mappatura dei dati sensibili
🛡️
PROTECT
Proteggere
Implementare controlli di sicurezza per limitare l’impatto degli incidenti: controllo degli accessi, crittografia, formazione, patch management.
Es: MFA, firewall, backup, formazione anti-phishing, hardening dei sistemi
🔍
DETECT
Rilevare
Sviluppare la capacità di individuare eventi di sicurezza in modo tempestivo: monitoraggio continuo, analisi anomalie, SIEM, IDS/IPS.
Es: SIEM alerts, monitoraggio 24/7, analisi comportamentale del traffico
⚡
RESPOND
Rispondere
Agire per contenere e gestire un incidente rilevato: attivazione dei piani di risposta, contenimento, eradicazione, comunicazione.
Es: isolamento sistemi compromessi, escalation al CERT, notifica agli stakeholder
🔄
RECOVER
Ripristinare
Ripristinare i servizi e tornare alla piena operatività in modo sicuro, incorporando le lezioni apprese per migliorare la resilienza.
Es: restore da backup, test di funzionamento, post-mortem, aggiornamento policy
📌 Novità CSF 2.0 — funzione GOVERN
La versione 2.0 del 2024 introduce GOVERN come funzione trasversale: riconosce che la cybersecurity è prima di tutto una questione di governance — non si può proteggere ciò che non si gestisce, e non si può gestire senza la supervisione del management. GOVERN permea tutte le altre funzioni.
Incident Response Life Cycle — NIST SP 800-61
Quando un incidente si verifica nonostante le difese, occorre gestirlo in modo strutturato. Il NIST SP 800-61 definisce un ciclo di risposta agli incidenti in quattro fasi sequenziali e cicliche, con l’obiettivo di ridurre l’impatto e migliorare continuamente.
🏗️
1 — Preparazione
→
🔍
2 — Rilevamento & Analisi
→
🚨
3 — Contenimento Eradicazione Ripristino
→
📋
4 — Post-Incident Activity
↩
Il ciclo è continuo — ogni incidente alimenta il miglioramento della fase di preparazione
Fase 1 — Preparazione (Preparation)
La fase più importante — precede qualsiasi incidente
Consiste nel costruire la capacità di risposta prima che un incidente si verifichi. Un’organizzazione non preparata improvviserà sotto pressione — con risultati prevedibilmente peggiori.
Attività principali
Definizione della governance della sicurezza
Costituzione dell’IR Team con ruoli chiari
Formazione del personale (inclusa simulazione)
Predisposizione di backup e piani di continuità
Configurazione di sistemi di monitoraggio e logging
Strumenti e artefatti
Firewall, IDS/IPS, antivirus, EDR
SIEM configurato con regole di correlazione
Runbook e playbook di risposta
Lista di contatti di emergenza (CERT, fornitori)
Policy di sicurezza documentate e approvate
Obiettivo
Ridurre il tempo di risposta e limitare i danni quando l’incidente si verifica. Un’organizzazione preparata risponde in ore, una non preparata in giorni.
Fase 2 — Rilevamento e Analisi (Detection & Analysis)
Individuare l’incidente e capirne la gravità
L’organizzazione rileva un possibile incidente e ne valuta la natura e l’impatto. La sfida principale è distinguere i falsi positivi dagli eventi realmente pericolosi — un compito che richiede esperienza e buoni strumenti.
Fonti di rilevamento
Alert da SIEM
Log di sistema e di rete
Segnalazioni degli utenti
Anomalie di traffico rilevate da IDS
Avvisi da CERT esterni
Threat intelligence feed
Attività di analisi
Verifica autenticità dell’evento
Classificazione per tipo e gravità
Valutazione impatto CIA (Confidentiality, Integrity, Availability)
Raccolta e preservazione delle evidenze
Timeline ricostruzione evento
⚠️ Punto critico
Un SIEM ben configurato può generare centinaia di alert al giorno. Il 90-95% sono falsi positivi. La capacità di triage — identificare rapidamente i veri positivi — è la competenza più preziosa di un analista SOC.
Fase 3 — Contenimento, Eradicazione e Ripristino
Il cuore operativo della risposta — agire per fermare il danno
🔒 Contenimento
Azioni immediate per limitare la propagazione e impedire ulteriori danni.
Isolamento dei sistemi compromessi dalla rete
Blocco di account sospetti
Filtraggio del traffico di rete
Contenimento a breve e lungo termine
🧹 Eradicazione
Rimozione completa e verificata della causa dell’incidente dal sistema.
Eliminazione del malware
Applicazione di patch di sicurezza
Correzione configurazioni errate
Reset credenziali compromesse
🔄 Ripristino
Ritorno alla piena operatività in condizioni sicure e verificate.
Restore da backup verificati
Monitoraggio rafforzato post-incidente
Riattivazione progressiva dei servizi
Test di funzionamento prima del ripristino completo
Obiettivo
Tornare alla piena operatività evitando recidive. Non basta rimuovere il malware: occorre eliminare la vulnerabilità che ha permesso l’attacco, altrimenti lo stesso attaccante — o un altro — la sfrutterà nuovamente.
Fase 4 — Attività post-incidente (Post-Incident Activity)
Trasformare ogni incidente in un’opportunità di miglioramento
Dopo la gestione tecnica, il NIST prevede una fase di analisi e apprendimento. È la fase più spesso trascurata — e quella che determina se l’organizzazione diventerà più forte dopo l’incidente o vulnerabile agli stessi attacchi.
Root cause analysis — identificare la causa radice
Valutazione dell’efficacia della risposta
Aggiornamento delle policy di sicurezza
Miglioramento di procedure e playbook
Il documento post-mortem
Un post-mortem di qualità risponde a: Cosa è successo? Quando e come è stato rilevato? Quanto tempo ha richiesto la risposta? Cosa avremmo potuto fare meglio? Cosa cambiamo nelle nostre difese?
📌 Punto chiave
Una gestione efficace degli incidenti non elimina gli attacchi, ma ne riduce drasticamente l’impatto e il costo. Il costo medio di un data breach (IBM 2023) è di 4,45 milioni di dollari. Le organizzazioni con IR plan testati riducono questo costo del 54%.
SOC, SIEM e CERT — l’ossatura della difesa moderna
La gestione della sicurezza non si basa su singoli strumenti isolati, ma su strutture organizzative e tecnologiche integrate. SOC, SIEM e CERT svolgono ruoli complementari all’interno del ciclo NIST.
🏢
SOC
Security Operations Center
Struttura operativa (fisica o virtuale) composta da personale specializzato responsabile del monitoraggio continuo e della prima risposta.
Funzioni principali:
Monitoraggio 24/7 di reti e sistemi
Analisi alert e triage degli eventi
Prima risposta agli incidenti
Coordinamento dell’Incident Response
Documentazione e reportistica
È il punto di contatto tra tecnologia, persone e processi di sicurezza
💻
SIEM
Security Information and Event Management
Piattaforma software che aggrega, correla e analizza log e dati di sicurezza provenienti da tutta l’infrastruttura.
Funzioni principali:
Raccolta centralizzata dei log
Correlazione degli eventi in tempo reale
Generazione di alert automatici
Supporto alle indagini forensi
Conformità normativa e auditing
Il SIEM non prende decisioni: fornisce informazioni al SOC che le interpreta
🚨
CERT
Computer Emergency Response Team
Team specializzato nella gestione avanzata degli incidenti gravi. Opera a livello aziendale, nazionale o internazionale.
Funzioni principali:
Supporto tecnico specialistico durante crisi
Analisi malware e minacce avanzate
Coordinamento con enti esterni
Diffusione bollettini di sicurezza
Gestione delle crisi su larga scala
Il CERT interviene in modo mirato, solo per incidenti rilevanti o complessi
Differenze chiave — tre concetti a confronto
Aspetto
SOC
SIEM
CERT
Natura
Struttura organizzativa (persone + processi)
Piattaforma tecnologica software
Team specialistico di risposta avanzata
Operatività
Continua — 24/7/365
Automatica — raccolta e correlazione in real-time
On-demand — attivato su incidenti gravi
Decisioni
Sì — analizza e risponde
No — fornisce dati al SOC
Sì — su scenari complessi
Scala
Aziendale
Aziendale
Aziendale, nazionale (es. CERT-AGID), internazionale
Collaborazione nelle fasi NIST
Chi fa cosa — per fase del ciclo NIST
Fase NIST
SOC
SIEM
CERT
1 — Preparazione
Definisce procedure operative e runbook
Configura regole di correlazione e baseline
Redige linee guida e best practice
2 — Rilevamento
Analizza gli eventi, valuta la gravità
Rileva anomalie, genera alert in real-time
Supporta l’analisi su minacce avanzate
3 — Risposta
Isola i sistemi, coordina la risposta
Monitora l’evoluzione dell’incidente in corso
Fornisce supporto specialistico e analisi malware
4 — Post-Incident
Redige il report dell’incidente
Conserva i log per analisi forensi future
Analisi cause e propone miglioramenti strategici
Scenario reale — applicare il modello NIST
📌 Scenario — attacco ransomware in un’azienda manifatturiera
SIEM rileva
Alert: traffico anomalo verso IP esterno sconosciuto da workstation contabilità alle 2:17
SOC analizza
Triage: correlazione con altri log. Individuato beacon C2 attivo da 48h su 3 workstation — classificato come incidente critico
SOC contiene
Isolamento immediato delle 3 workstation dalla rete. Blocco dell’IP di destinazione sul firewall perimetrale
CERT interviene
Analisi forensi del malware: identificato ransomware LockBit 3.0. Vettore: macro in email phishing ricevuta 3 giorni prima
Questo sito Web utilizza i cookie per migliorare la tua esperienza.Supponiamo che tu stia bene con questo, ma puoi rinunciare se lo desideri.
Read More
I cookie sono piccoli file di testo che possono essere utilizzati dai siti Web per rendere più efficiente l'esperienza dell'utente.La legge afferma che possiamo archiviare i cookie sul tuo dispositivo se sono rigorosamente necessari per il funzionamento di questo sito.Per tutti gli altri tipi di cookie, abbiamo bisogno del tuo permesso.Questo sito utilizza diversi tipi di cookie.Alcuni cookie sono collocati da servizi di terze parti che appaiono nelle nostre pagine.
I cookie necessari aiutano a rendere utilizzabile un sito Web consentendo funzioni di base come la navigazione di pagina e l\'accesso alle aree sicure del sito Web.Il sito Web non può funzionare correttamente senza questi cookie.
I cookie di marketing vengono utilizzati per tenere traccia dei visitatori sui siti Web.L\'intenzione è quella di visualizzare annunci pertinenti e coinvolgenti per il singolo utente e quindi più preziosi per gli editori e gli inserzionisti di terze parti.
I cookie di analisi aiutano i proprietari di siti Web a capire come i visitatori interagiscono con i siti Web raccogliendo e segnalando informazioni in modo anonimo.
I cookie di preferenza consentono a un sito Web di ricordare le informazioni che cambiano il modo in cui il sito Web si comporta o sembra, come la tua lingua preferita o la regione in cui ti trovi.
I cookie non classificati sono cookie che stiamo classificando, insieme ai fornitori di singoli cookie.
Cookie Settings
Gestisci Consenso
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.