Docs Italia beta

Documenti pubblici, digitali.

Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

Glossario

A

Alert
Una breve notifica di tipo tecnico, di solito leggibile dall’uomo, relativa a vulnerabilità, exploit e altri problemi di sicurezza correnti. Spesso noto anche avviso, bollettino o nota di vulnerabilità.
APT (Advanced Persistent Threat)
Minaccia consistente in un attacco mirato, volto ad installare una serie di malware all’interno delle reti del bersaglio al fine di riuscire a mantenere attivi dei canali che servono a far uscire informazioni di valore dalle reti dell’ente obiettivo.
Audit di sicurezza
Riesame di un sistema finalizzato a valutarne il livello di sicurezza. Tipicamente, ci si riferisce con questo termine sia al riesame del codice che dei log di audit.
Autenticazione
Garanzia che una caratteristica rivendicata di un’entità sia corretta.
Autorizzazione
Processo per determinare, mediante una valutazione dei criteri di controllo sugli accessi applicabili, se un soggetto può ottenere i tipi richiesti di accesso a una particolare risorsa.

B

Backdoor
Letteralmente, «porta posteriore» o «porta di servizio». In informatica indica una procedura o canale di accesso, per lo più nascosto e non noto all’utente, che consente di aggirare in parte o in tutto i meccanismi di sicurezza di un sistema informatico o di un programma per computer.
Backup
Copia di file e programmi creata per facilitare il recupero degli stessi se necessario.
Biometria
Una tecnica di sicurezza che verifica l’identità di una persona analizzando un attributo fisico univoco, come un’impronta digitale.
Botnet
Letteralmente “rete di robot”. Indica un insieme di computer o dispositivi che, precedentemente compromessi da parte di un malware, permette a un soggetto terzo di impartire istruzioni da remoto. Una botnet può essere controllata da un malware specializzato, arrivando a manipolare un gran numero di computer o perfino milioni di dispositivi.
Brute force
Letteralmente, «attacco a forza bruta». Indica generalmente il metodo utilizzato da un attaccante per individuare una password di accesso ad un sistema provando in maniera esaustiva tutte le possibili combinazioni di caratteri ammesse e tutte le lunghezze di stringa ammesse dal particolare sistema.
Buffer overflow
Condizione di errore che si verifica quando in un programma informatico si tenta di immagazzinare un dato in una zona di memoria preallocata (buffer), la cui dimensione è inferiore a quella necessaria per ospitare il dato per intero. Ciò comporta la sovrascrittura di parti di memoria circostanti al buffer che sono necessarie all’esecuzione del codice del programma stesso, causando gravi malfunzionamenti che possono anche tradursi in potenziali vulnerabilità di sicurezza.
Business Continuity (o Continuità operativa)
Capacità di un’organizzazione di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente destabilizzante.

C

Campagna hacker (o hacking)
Accesso intenzionale ad un sistema informatico senza l’autorizzazione dell’utente o del proprietario.
CAPEC (Common Attack Pattern Enumeration and Classification)
Dizionario completo dei pattern di attacco noti utilizzati dagli attaccanti per sfruttare le vulnerabilità note nelle funzionalità informatiche.
CED (Centro Elaborazione Dati)
Anche indicati con il termine inglese «Data Center», si intende una struttura fisica, normalmente un edificio compartimentato, unitamente a tutti gli impianti elettrici, di condizionamento, di attestazioni di rete, di cablaggi, ecc. e a sistemi di sicurezza fisica e logica, che in tale edificio sono presenti, progettato e allestito per ospitare e gestire un numero elevato di apparecchiature e infrastrutture informatiche e i dati ivi contenuti, allo scopo di garantirne la sicurezza fisica e gestionale.
Cloud computing
Modello per abilitare, tramite la rete, l’accesso diffuso, agevole e a richiesta, ad un insieme condiviso e configurabile di risorse di elaborazione (ad esempio reti, server, memoria, applicazioni e servizi) che possono essere acquisite e rilasciate rapidamente e con minimo sforzo di gestione o di interazione con il fornitore di servizi.
Codifica base 64
Sistema di codifica che consente la traduzione di dati binari in stringhe di testo ASCII, rappresentando i dati sulla base di 64 caratteri ASCII diversi.
Community
Rete di individui che interagiscono attraverso specifici canali fisici e/o virtuali, potenzialmente superando i confini geografici e politici al fine di perseguire interessi o obiettivi comuni.
Confidenzialità
Proprietà di un’informazione di non poter essere resa disponibile o divulgata ad individui, entità o processi non autorizzati.
Constituency
Insieme di utenti, clienti ed organizzazioni che costituiscono la comunità di riferimento di un CSIRT/CERT/CIRT.
Controllo / Contromisura
Mezzi e modalità per gestire il rischio, comprese politiche, procedure, linee guida, pratiche o strutture organizzative, che possono essere di natura amministrativa, tecnica, gestionale o legale.
I cookie sono informazioni immesse sul browser quando viene visitato un sito web o utilizzato un social network con un pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc. I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.
CSIRT/CERT/CIRT/IRT/SERT
Con tali termini si indica genericamente un gruppo di gestione degli incidenti di sicurezza informatica, con compiti di prevenzione e coordinamento della risposta ad eventi cibernetici. Il termine CSIRT viene usato prevalentemente in Europa per il termine protetto CERT, che è registrato negli Stati Uniti dal CERT Coordination Center (CERT/CC). A seguire si riportano le varie abbreviazioni usate per lo stesso genere di gruppi: - CERT o CERT/CC (Computer Emergency Response Team / Coordination Center) - CSIRT (Computer Security Incident Response Team) - IRT (Incident Response Team) - CIRT (Computer Incident Response Team) - SERT (Security Emergency Response Team)
CVE (Common Vulnerabilities and Exposures)
Elenco di voci relative a vulnerabilità di sicurezza informatica note pubblicamente, ciascuna contenente un numero di identificazione, una descrizione e almeno un riferimento pubblico.
CWE (Common Weaknesses Enumeration)
Elenco sviluppato dalla comunità professionale nel campo della sicurezza sulle tipiche debolezze di sicurezza dei software. Rappresenta un linguaggio comune, un mezzo di confronto per gli strumenti di sicurezza del software e una base per l’identificazione delle debolezze, la loro mitigazione e le azioni di prevenzione.
Cyber
Relativo ad un’interazione, più o meno avanzata, tra uomo e computer.
Cyber Event
Qualsiasi evento osservabile in un sistema informativo. Gli eventi possono fornire l’indicazione che si sta verificando un incidente cibernetico.
Cyber Incident
Azione intrapresa attraverso l’utilizzo di reti informatiche che determina un effetto negativo reale o potenziale su un sistema informativo e/o sulle informazioni che vi risiedono.
Cyber Risk
Combinazione della probabilità che si verifichi un evento cibernetico e delle sue conseguenze.
Cyber Security
Pratica che consente a una entità (ad esempio, organizzazione, cittadino, nazione ecc.) la protezione dei propri asset fisici e la confidenzialità, integrità e disponibilità delle proprie informazioni dalle minacce che arrivano dal cyber space.
Cyber Threat
Qualsiasi circostanza o evento potenzialmente in grado di influenzare negativamente le attività di un’organizzazione (incluse la missione, le funzioni, l’immagine o la reputazione), le risorse organizzative, le persone fisiche, altre organizzazioni attraverso l’accesso non autorizzato, la distruzione, la divulgazione o la modifica di informazioni e/o il rifiuto del servizio (DoS) di un sistema di informazioni.
Cyber Threat Intelligence
Informazioni sulle minacce che sono state aggregate, trasformate, analizzate, interpretate o arricchite per fornire il contesto necessario a supporto dei processi decisionali.
Cyber warfare
Letteralmente “guerra cibernetica”, indica l’insieme delle attività di preparazione e conduzione di operazioni di contrasto nello spazio cibernetico. Si può tradurre nell’intercettazione, nell’alterazione e nella distruzione dell’informazione e dei sistemi di comunicazione nemici, procedendo a far sì che sul proprio fronte si mantenga un relativo equilibrio dell’informazione. La guerra cibernetica si caratterizza per l’uso di tecnologie elettroniche, informatiche e dei sistemi di telecomunicazione e contempla diverse tipologie di attacco, quali: attacco a infrastrutture critiche; vandalismo web; intralcio alle apparecchiature; raccolta di informazioni riservate, rendendo possibile lo spionaggio; propaganda di messaggi politici.

D

Data breach
Incidente di sicurezza in cui dati sensibili, riservati, protetti vengono consultati, copiati, trasmessi, rubati o utilizzati da soggetti non autorizzati. Solitamente si realizza attraverso una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezza (come ad esempio il web) in maniera involontaria o volontaria. Tale divulgazione può avvenire in seguito a perdita accidentale, furto, infedeltà aziendale, accesso abusivo. Ai sensi del GDPR, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.
Dati personali
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati sensibili
Dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
DCOM (Distributed Component Object Model)
Tecnologia informatica proprietaria di Microsoft che permette di effettuare chiamate di procedure remote attraverso una rete, occupandosi di tutte le mediazioni necessarie, in maniera indipendente dal linguaggio.
Deep/Dark Web
Surface web, Deep web e Dark web possono essere definite come tre modalità d’accesso diverse a contenuti online che possono essere sicuri o pericolosi, legali o illegali, morali o immorali. Al primo livello si trova il “surface web” (web in “chiaro»), cui appartengono tutti i siti e in generale gli indirizzi indicizzati dalla maggior parte dei motori di ricerca. Sotto la superfice del “surface web” troviamo il “deep web” (“Invisible Web”), ossia quella parte di WWW non indicizzata dai motori di ricerca, ma accessibile tramite i normali browser a patto di conoscerne l’indirizzo (es. papers accademici e scientifici, documenti legali, cartelle mediche, risorse contenute in database governativi o nei repository di aziende private). Al livello più basso troviamo il «dark web», quella parte del WWW che utilizza le cosiddette reti darknet, ossia reti che si appoggiano all’Internet pubblico, ma che sono accessibili solo tramite particolari software (es. TOR). Il termine “dark” descrive sia le caratteristiche di “non- visibilità” delle informazioni sia il fatto che questo livello della rete è spesso utilizzato per attività criminali, pornografia, traffici illeciti e transazioni illegali.
Defacement
Modifica illecita della home page di un sito web (la sua “faccia”) o la sostituzione di una o più pagine interne. Questo tipo di attacco, viene eseguito all’insaputa di chi gestisce il sito ed è illegale in tutti i paesi del mondo.
Disaster Recovery
Insieme delle misure tecniche e organizzative adottate per assicurare all’organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate.
Disponibilità
Proprietà di un’informazione di poter essere accessibile e utilizzabile su richiesta da un’entità autorizzata.
DMZ (Demilitarized zone)
Letteralmente «zona demilitarizzata», indica una sottorete isolata, fisica o logica, che contiene dei servizi informatici offerti da un’organizzazione, accessibili sia da reti esterne non protette, che da workstation interne alla stessa organizzazione (intranet) e il cui scopo è quello di far usufruire questi servizi nella maniera più sicura possibile, senza compromettere la sicurezza della rete dell’organizzazione.
DNS (Domain Name System)
Sistema di denominazione del dominio consistente in un database distribuito che converte in automatico un indirizzo web in un codice numerico di protocollo internet (indirizzo IP) che identifica il server web che ospita il sito.
Domain Name
Serie di stringhe separate da punti, che identifica il dominio dell’autonomia amministrativa, dell’autorità o del controllo all’interno di internet. Sono formati dalle regole e dalle procedure del Domain Name System (DNS). Qualsiasi nome registrato nel DNS è un nome di dominio. Essi vengono utilizzati in diversi contesti di rete e in ambito specifico per la denominazione o l’indirizzamento.
DoS (Denial of Service)
Malfunzionamento dovuto ad un attacco informatico che causa la saturazione deliberata delle risorse di un sistema informatico, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio. Un attacco DoS può essere anche di tipo distribuito (DDoS – Distributed Denial of Service). Il DDoS mantiene gli stessi scopi del DoS, ma in questo caso il traffico che colpisce la vittima proviene da molteplici fonti distribuite anche geograficamente e, per tale motivo, avrà bisogno di un lasso di tempo minore per avere successo.

E

Escalation
Casistiche e modalità con cui, nell’ambito di un’iniziativa, di un progetto o di un processo, vengono trasferite gerarchicamente verso l’alto le responsabilità di una certa decisione.
Esfiltrazione
Azione di compromissione di un computer alla ricerca di dati specifici, che abbiano valore per l’attaccante.
Exploit
Codice che sfrutta un bug o una vulnerabilità di un codice informatico.
Exploit
Letteralmente «sfruttare”. Identifica una tipologia di script, virus, worm o binario in grado di sfruttare una specifica vulnerabilità presente in un software o sistema informatico. Di solito un exploit permette l’esecuzione di codice malevolo con lo scopo di far ottenere all’attaccante l’acquisizione dei privilegi amministrativi.

F

Falso negativo
Attacco reale che non genera una segnalazione.
Falso positivo
Segnalazioni di anomalie non dovute ad attacchi ma ad effettivi schemi di traffico benigni ma inusuali.
Firewall
Un sistema o una combinazione di sistemi che definisce un confine tra due o più reti, formando tipicamente una barriera tra un ambiente sicuro e un ambiente aperto (es. Internet).

H

Hacker
Studioso dei sistemi informatici, che tenta di violare per saggiarne i limiti e la sicurezza senza provocare danni. L’hacker deve essere distinto dal cracker, ossia colui che agisce allo scopo di violare sistemi informatici, per acquisire informazioni riservate o per puro vandalismo.
Hash
Algoritmo che mappa o traduce un insieme di bit in un altro (generalmente più piccolo) in modo che un messaggio restituisca lo stesso risultato ogni volta che l’algoritmo viene eseguito utilizzando lo stesso messaggio di input.
Hosting
Concessione, tipicamente a fronte del pagamento di un canone, di un’infrastruttura formata da server, storage, switch, firewall, ecc. Per poter accedere ai servizi il cliente deve unicamente interfacciarsi con i client all’infrastruttura in hosting. Tutte le attività sistemistiche così come l’assistenza, le metodologie di sicurezza, la protezione e conservazione dei dati, fanno parte integrante del servizio offerto dal fornitore.
Housing
Concessione in locazione ad un utente o ad un’organizzazione di uno spazio fisico, generalmente all’interno di appositi armadi detti rack, dove inserire il server, di proprietà del cliente. Tipicamente i server vengono ospitati in Data Center in cui il fornitore garantisce la gestione degli aspetti hardware, software ed infrastrutturali. In pratica, il proprietario della macchina fisica (compreso il relativo storage) trasferisce fisicamente questa presso il fornitore che svolgerà le attività sistemistiche facenti parte del servizio di locazione dell’infrastruttura (il Data Center).

I

Identificazione
Capacità di identificare in modo univoco un utente di un sistema o un’applicazione in esecuzione nel sistema.
Identità digitale
Insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore, nell’ambito di un processo di identificazione.
IDS (Intrusion Detection System)
Dispositivo software o hardware utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Tali accessi includono gli attacchi alle reti informatiche tramite lo sfruttamento di servizi vulnerabili, attacchi attraverso l’invio di dati malformati e applicazioni malevole, tentativi di accesso agli host tramite innalzamento illecito dei privilegi degli utenti, accessi non autorizzati a computer e file, e programmi malevoli.
Impersonation
Utilizzo di una falsa identità con l’obiettivo di accedere ad aree e informazioni riservate o a sistemi informativi aziendali.
Incident Management
Esercizio di un approccio coerente ed efficace alla gestione degli incidenti (di sicurezza delle informazioni)
Incident Management Plan
Piano che descrive in dettaglio come un incidente verrà gestito dall’occorrenza al ripristino del normale funzionamento e che fornisce informazioni sulla struttura del team di gestione degli incidenti, i criteri per attivare i processi di continuità operativa e la gestione dell’incidente, i requisiti in termini di risorse, i processi critici e la necessità di eventuali spostamenti necessari del personale.
Incidente
Situazione che potrebbe costituire, o potrebbe portare a una interruzione dell’attività, perdita, emergenza o crisi.
Indirizzo IP (Internet Protocol)
Etichetta numerica che identifica univocamente un dispositivo (detto host) collegato a una rete informatica che utilizza l’Internet Protocol (IP) come protocollo di rete.
Indirizzo MAC (Media Access Control)
Rappresenta l’indirizzo fisico, indirizzo ethernet o indirizzo LAN assegnato in modo univoco dal produttore ad un dispositivo di rete (es. scheda di rete ethernet o wireless) a livello di rete locale.
Information Sharing
Scambio di dati, informazioni e/o conoscenza che possono essere utilizzati per gestire i rischi cyber o rispondere agli incidenti informatici.
Infrastruttura critica
Infrastruttura, ubicata in uno Stato membro dell’Unione Europea, che è essenziale peril mantenimento delle funzioni vitale della società, della salute, della sicurezza e del benessere economico e sociale della popolazione ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in quello Stato, a causa dell’impossibilità di mantenere tali funzioni.
Integrità
Proprietà di un’informazione di essere accurata e completa.
IOA (Indicator of Attack)
Evento che potrebbe rivelare un attacco attivo prima che diventino visibili gli IoC. Gli IOA si concentrano sul rilevamento di ciò che un utente malintenzionato sta tentando di realizzare, indipendentemente dal malware o dall’exploit utilizzato in un attacco.
IOC (Indicator of Compromise)
Artefatto osservato in una rete o all’interno di un sistema che con un’alta probabilità è correlabile, o indica, un’intrusione. Tipici IOC sono le firme antivirus, un Indirizzo IP, un hash MD5 con cui si identifica univocamente un file malevolo, una URL e/o un nome di dominio da cui è stato veicolato un attacco o verso cui un malware si connette una volta attivato.

K

Keylogger
Strumento (hardware o, più diffusamente, software) che realizza uno sniffing monitorando e/o registrando quello che un utente digita sulla tastiera del computer. Può essere utilizzato per l’assistenza tecnica o come malware per sottrarre credenziali di accesso, numeri di carte di credito o altri dati sensibili.

L

Livelli di servizio
Livelli che caratterizzano le attività di forniture nei contratti e/o negli accordi di servizio, e che consentono di misurare il raggiungimento degli obiettivi concordati tra Fornitore e committente
Log
Registrazione dei dettagli di informazioni o eventi in un sistema di conservazione organizzato (registro), solitamente sequenziati nell’ordine in cui si sono verificati.

M

Malspam (Malware Spam)
Identifica il malware che viene fornito tramite messaggi di posta elettronica.
Malware
In italiano «codice malevolo», è un software creato allo scopo di introdursi in un computer senza autorizzazioni per trafugarne i dati o causare danni al sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole malicious e software e significa “programma malvagio” e comprende adware, bot, keylogger, spyware, trojan, virus e worm.
MD5
Funzione hash crittografica unidirezionale che prende in input una stringa di lunghezza arbitraria e ne produce in output un’altra a 128 bit.
Minimo Privilegio
Principio generale sviluppato nella gestione dei sistemi di sicurezza secondo il quale un processo, un programma o un utente abbia visibilità delle sole risorse/informazioni immediatamente necessarie al suo funzionamento.
MiTM (Man in The Middle)
È una tipologia di attacco informatico in cui l’attaccante si introduce nella comunicazione tra la vittima e il server con il quale quest’ultima sta cercando di dialogare. Lo scopo è quello di carpire o alterare le informazioni trasmesse.
Modello di maturità
In ambito cyber, è una misura della capacità di un’organizzazione di migliorare continuamente il suo approccio alla cyber security. Maggiore è la maturità, maggiori saranno le probabilità che incidenti o errori porteranno a miglioramenti nella qualità o nell’uso delle risorse implementate dall’organizzazione. I modelli di maturità cyber valutano qualitativamente persone, processi, strutture e tecnologie riguardanti la cyber security.
Monitoring
Insieme delle regole che definiscono le modalità in cui le informazioni sull’uso di computer, reti, applicazioni e informazioni sono raccolte ed interpretate.

N

NAT (Network Address Translation)
Metodologia per modificare gli indirizzi IP contenuti negli header dei pacchetti in transito su un sistema che agisce da router all’interno di una comunicazione tra due o più host.
Need to know
Principio generale sviluppato nella gestione dei sistemi di sicurezza secondo il quale i soggetti che devono compiere attività di trattamento di informazioni sono autorizzati a trattare i soli dati essenziali allo svolgimento del mansionario loro attribuito
NTLM (NT LAN Manager)
Protocollo di autenticazione NTLM utilizzato su diverse reti Microsoft, che consente di impostare la periferica in modo che un utente possa effettuare l’autenticazione tramite il pannello di controllo con le proprie credenziali di rete Microsoft.

O

OLE (Object Linking and Embedding)
Tecnologia di transclusione per la creazione di documenti composti (compound document) sviluppata da Microsoft.
One-time password
Password valida solo per una singola sessione di accesso o una transazione
OSINT/CLOSINT
Con il termine OSINT, acronimo di Open Source Intelligence, si fa riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio definite anche “fonti aperte“. Fare OSINT significa descrivere l’informazione disponibile e aperta al pubblico (mezzi di comunicazione, motori di ricerca, social network, forum, blog, ecc.), attraverso un processo di ricerca, selezione, vaglio e reportizzazione verso uno specifico destinatario al fine di soddisfare una necessità informativa. Si distingue dalla semplice ricerca d’informazioni perché applica un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in un determinato ambito/contesto. Con il termine CLOSINT si fa invece riferimento alla Close Source Intelligence, cioè al processo di raccolta d’informazioni attraverso consultazione di “fonti chiuse“, non accessibili al pubblico.

P

Pacchetto di rete
Indica ciascuna sequenza finita e distinta di dati trasmessa su una rete o in generale su un canale o linea di comunicazione che utilizzi il modo di trasferimento a commutazione di pacchetto. Le reti che utilizzano tale modalità di trasmissione sono dette reti di trasmissione a pacchetto. Tipicamente un pacchetto si compone delle seguenti tre parti: i) header (intestazione): contiene tutte le informazioni di overhead necessarie alla trasmissione, quali l’indirizzo del trasmettitore, quello del ricevitore, la vita del pacchetto, i dati che riguardano l’assemblaggio con gli altri pacchetti e così via; ii) data: contiene i dati utili trasmessi; iii) checksum: un codice di controllo utilizzato per controllare la corretta ricezione dei dati ovvero l’eventuale presenza di errori.
Password
Stringa di caratteri protetta, generalmente cifrata, che autentica un utente su un sistema informatico.
Patch
Porzione di software progettata per risolvere/correggere errori di programmazione e vulnerabilità.
Payload
Sezione del software (malevolo) contenente il codice e/o i dati dannosi.
PE (Portable Executable)
Formato di file per file eseguibili, file oggetto, librerie condivise e device drivers, usato nelle versioni a 32-bit e 64-bit del sistema operativo Microsoft Windows. Il termine «portable» si riferisce alla versatilità del formato per numerose architetture differenti. Il formato PE è praticamente una struttura dati che incapsula le informazioni necessarie al loader di Windows per gestire il codice eseguibile.
Penetration Test
Processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un utente malintenzionato. L’analisi comprende più fasi ed ha come obiettivo evidenziare le debolezze del sistema, sfruttando le vulnerabilità rilevate al fine di ottenere più informazioni possibili per accedere indebitamente allo stesso.
Phishing
Frode informatica, realizzata attraverso l’invio di e-mail contraffatte, finalizzata all’acquisizione, per scopi illegali, di dati riservati oppure a far compiere alla vittima determinate operazioni/azioni. I malintenzionati che si avvalgono delle tecniche di phishing usano tecniche di social engineering, attraverso le quali vengono studiate ed analizzate le abitudini delle persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili.
Policy
Intenzioni e direzione di un’organizzazione, come espresse formalmente dalla direzione.
Porta di rete
Porta virtuale o logica che identifica e discrimina il traffico dati di una connessione da quello di un’altra in una rete.
Privacy
Diritto alla riservatezza delle informazioni personali e della propria vita privata, cioè strumento posto a salvaguardia e a tutela della sfera privata del singolo individuo, da intendere come la facoltà di impedire che le informazioni riguardanti tale sfera personale siano divulgate in assenza dell’autorizzazione dell’interessato, od anche il diritto alla non intromissione nella sfera privata da parte di terzi.
Privilege escalation
Sfruttamento di una vulnerabilità, di un errore di progettazione o di configurazione di un software applicativo e/o sistema operativo al fine di acquisire il controllo delle risorse della macchina normalmente precluse.

R

Ransomware
Malware che limita l’accesso al sistema informatico infettato e richiede il pagamento di un riscatto per la rimozione del blocco. Alcune forme di questo malware crittografano i file sul disco del sistema mentre altre bloccano il sistema visualizzando messaggi che inducono l’utente a pagare.
RAT (Remote Access Trojan)
Malware che contiene una backdoor che consente ad un utente non autorizzato il controllo amministrativo da remoto del computer su cui è installato. I RAT vengono generalmente scaricati da Internet e installati all’insaputa dell’utente, ad esempio mascherati come un’applicazione apparentemente innocua, come un gioco o un’utility, o inviati come allegati ad Email malevole. Una volta che il sistema è compromesso, il RAT fornisce una porta attraverso la quale un’attaccante può inviare comandi al malware. Poiché un RAT viene eseguito con i privilegi di amministratore, chi lo controlla può compiere qualsiasi tipo di azione malevola.
RBAC (Role-Based Access Control)
Letteralmente “controllo degli accessi basato sui ruoli”, indica una tecnica di accesso a sistemi ristretto per utenti autorizzati. Si basa sui concetti di ruolo e privilegio e sulle seguenti regole: i) Assegnazione dei ruoli: un soggetto può eseguire una transazione solo se il soggetto ha selezionato o è stato assegnato ad un ruolo; ii) Autorizzazione dei ruoli: un ruolo attivo per un soggetto deve essere stato autorizzato per il soggetto; iii) Autorizzazione alla transazione: un soggetto può eseguire una transazione solo se la transazione è autorizzata per il ruolo attivo del soggetto.
Registro (in ambiente Windows)
Il registro nei sistemi operativi Windows in cui risiedono le impostazioni a livello centrale e informazioni necessarie per eseguire le operazioni.
Reverse engineering
Analisi volta a comprendere i lfunzionamento di prodotti hardware e software al fine di reingegnerizzarli, ad esempio, per migliorarne il funzionamento o per impiegarli per fini diversi e ulteriori rispetto a quelli originari.
Rischio
Effetto dell’incertezza sugli obiettivi.
Risk appetite
La quantità e il tipo di rischio che un’organizzazione è disposta ad assumere per raggiungere i propri obiettivi strategici.
Rootkit
Software creato per prendere il controllo di un sistema senza bisogno di autorizzazione da parte di un utente o di un amministratore.

S

Sessione
Una sessione è una connessione virtuale tra due host tramite cui viene trasmesso il traffico di rete.
SHA (Secure Hash Algorithm)
Famiglia di diverse funzioni crittografiche di hash sviluppate a partire dal 1993 dalla National Security Agency (NSA) e pubblicate dal NIST come standard federale dal governo degli USA (FIPS PUB 180-4). Come ogni algoritmo di hash, l’SHA produce un message digest, o «impronta del messaggio», di lunghezza fissa partendo da un messaggio di lunghezza variabile. La sicurezza di un algoritmo di hash risiede nel fatto che la funzione non sia reversibile (non sia cioè possibile risalire al messaggio originale conoscendo solo questo dato) e che non deve essere mai possibile creare intenzionalmente due messaggi diversi con lo stesso digest. Gli algoritmi della famiglia sono denominati SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512. SHA-1, il più diffuso ma ritenuto oggi poco sicuro, produce un digest del messaggio di soli 160 bit, mentre gli altri producono digest di lunghezza in bit pari al numero indicato nella loro sigla (SHA-256 produce un digest di 256 bit).
SIEM (Security information and event management)
Tecnologia che supporta il rilevamento di minacce e la risposta agli incidenti di sicurezza, attraverso la raccolta in tempo reale, l’analisi storica e la correlazione delle informazioni su eventi di sicurezza da un’ampia varietà di fonti dati.
Sinkhole
Server verso il quale viene reindirizzato traffico potenzialmente malevolo, impedendo che raggiunga la sua destinazione originaria (tecnica del «sinkholing»). Più comunemente, la tecnica di sinkholing viene utilizzata dai ricercatori di sicurezza per reindirizzare il traffico di una botnet verso macchine specifiche allo scopo di acquisire dati utili alla loro analisi e contrasto.
Sistema Informativo
Insieme di applicazioni, servizi, risorse informatiche o altri componenti di gestione delle informazioni.
SLA (Service Level Agreement)
Accordo documentato tra il fornitore del servizio e il cliente che identifica i servizi e i traguardi per il servizio.
Sniffer
Software che osserva e registra il traffico di rete.
Social engineering
Letteralmente indica lo studio del comportamento di un individuo con l’obiettivo finale di ricavarne informazioni utili per perpetrare un successivo attacco nei suoi confronti.
Spam
Invio anche verso indirizzi generici, non verificati o sconosciuti, di messaggi ripetuti ad alta frequenza o a carattere di monotematicità tale da renderli indesiderati (generalmente commerciali o offensivi), e noto anche come posta spazzatura (in inglese «junk mail»). Può essere attuato attraverso qualunque sistema di comunicazione, ma il più usato è Internet, attraverso messaggi di posta elettronica, chat, tag board, forum, Facebook e altri servizi di rete sociale.
Spear phishing
Indica un tipo particolare di phishing realizzato mediante l’invio di Email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è tipicamente quello di ottenere accesso ad informazioni riservate di tipo finanziario, a segreti industriali, di stato o militari.
Spoofing
Tipologia di attacco informatico comunemente utilizzata insieme al Social Engineering per falsificare l’identità di un utente, di un dispositivo all’interno di una rete, il mittente di un messaggio di posta elettronica o un certificato.
SQL injection
Vulnerabilità che permette a terzi di alterare le basi dati utilizzate da un sito web.

T

Ticket
Richiesta di assistenza, tracciata da un sistema informatico di gestione durante l’intero ciclo di risoluzione.
TLP (Traffic Light Protocol)
Protocollo utilizzato per lo scambio di informazioni al fine di garantire la diffusione delle stesse in modo controllato. Sono definiti quattro livelli di criticità crescenti associati a diversi tag cromatici: bianco, verde, ambra, rosso (in ordine di crescente criticità).
Triage
Il triage (o categorizzazione) è un elemento essenziale di qualunque funzione di gestione degli incidenti, in particolare per qualsiasi CSIRT costituito. Il triage si inserisce nel percorso critico per comprendere cosa viene segnalato attraverso tutta l’organizzazione. Esso funge da veicolo tramite il quale tutte le informazioni confluiscono verso un unico punto di contatto, rendendo possibile una visione aziendale dell’attività in corso e una correlazione completa di tutti i dati segnalati. Il triage consente una valutazione iniziale di un rapporto in entrata, aiutando ad individuare i problemi potenziali di sicurezza e a stabilire le priorità nel carico di lavoro.
Trojan (horse)
Particolare categoria di malware le cui funzionalità sono nascoste all’interno di un software apparentemente legittimo facendo sì che l’installazione avvenga in modo inconsapevole da parte dell’utente permettendo in questo modo il controllo da remoto del computer. A causa della specifica modalità di contagio, il malware non è in grado di diffondersi in modo autonomo.

U

URL (Uniform Resource Locator)
La stringa di caratteri che forma un indirizzo web.

V

Virus
Particolare malware che, se legato ad un eseguibile, è in grado di riprodursi e propagarsi autonomamente allo scopo di infettare file, programmi e computer. Alcuni particolari virus sono in grado di danneggiare, oltre ai dati, anche i componenti hardware del computer.
VPN (Virtual Private Network)
Rete privata protetta che utilizza l’infrastruttura di telecomunicazioni pubblica per trasmettere dati.
Vulnerability
Una debolezza, suscettibilità o difetto di un asset o controllo che può essere sfruttato da una o più minacce.
Vulnerability Assessment
Insieme di attività volte ad identificare, e successivamente correggere, le vulnerabilità presenti sui sistemi prima che vengano rilasciati in esercizio oppure controllare con continuità quelle presenti su sistemi già rilasciati.

W

Worm
Particolare categoria di malware capace di autoreplicarsi ma che, a differenza di un virus, non ha bisogno di legarsi ad un eseguibile per diffondersi in quanto modifica direttamente il sistema operativo del computer che lo ospita ed utilizza le connessioni internet.

X

XSS (Cross Site Scripting)
Vulnerabilità che permette a terzi di alterare le funzionalità di un sito web.

Z

Zero-day (vulnerabilità o attacco zero-day)
Indica qualsiasi vulnerabilità di sicurezza informatica non pubblicamente nota e definisce anche il programma - detto “exploit” - che sfrutta questa vulnerabilità per eseguire azioni non normalmente permesse nel sistema in questione. Vengono chiamati zero-day proprio perché lo sviluppatore ha “zero giorni” per riparare la falla nel programma prima che qualcuno la possa sfruttare. Nel momento in cui il bug viene risolto, lo zero-day perde la sua importanza perché non può più essere usato contro quel sistema.
Zombie (computer)
Computer contenente software nascosto che consente di controllare la macchina da remoto, in genere per eseguire un attacco su un altro computer.

Le definizioni precedentemente fornite sono state individuate a partire dall’analisi delle seguenti fonti:

  • AGID, Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni
  • AGID, Linee Guida per la razionalizzazione dei CED delle Pubbliche Amministrazioni
  • AGID, Linee Guida sulla qualità dei beni e dei servizi ICT per la definizione ed il governo dei contratti della Pubblica Amministrazione
  • Codice in materia di protezione dei dati personali (Codice «Privacy»)
  • Codice in materia di protezione dei dati personali (Codice «Privacy»), Allegato «B»
  • Cyber Security Report La Sapienza
  • ENISA, Un approccio graduale alla creazione di un CSIRT, Documento WP2006/5.1(CERT-D1/D2)
  • FIRST
  • Garante per la protezione dei dati personali
  • Glossario CERT-Nazionale
  • Glossario CERT-PA
  • Glossario ENISA
  • Glossario OWASP
  • ISACA, Cybersecurity Fundamentals Glossary
  • ISO 22300:2012, Security and resilience – Vocabulary
  • ISO 31000:2018, Risk management – Guidelines
  • ISO/IEC 20000-1:2011, Part 1: Service management system requirements
  • ISO/IEC 27000:2018, Information security management systems – Overview and vocabulary
  • ISO/IEC 27032:2012, Guidelines for cybersecurity
  • ISO/IEC 27035-1:2016, Information security incident management – Part 1: Principles of incident management
  • NIST SP 800-145, The NIST Definition of Cloud Computing
  • NIST SP 800-150, Guide to cyber threat information sharing
  • NIST SP 800-34 Rev. 1, Contingency Planning Guide for Federal Information Systems
  • NISTIR 7298 Revision 2, Glossary of Key Information Security Terms
  • Quadro strategico nazionale per la sicurezza dello spazio cibernetico
  • Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR)
  • SANS Glossary of Security Terms
  • The Institute of Risk Management
  • The MITRE Corporation
  • US Department of Homeland Security, NICCS - National Initiative for Cybersecurity Careers and Studies