Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Tassonomia degli incidenti informatici. Facciamo chiarezza

Agostino Pellegrino : 16 Gennaio 2023 08:31

In questo articolo proveremo a entrare più a fondo nella tematica delle classificazioni relative le varie tipologie di incidente informatico.

Data gli sforzi che si stanno facendo nella regolamentazione che ci troviamo ad affrontare come Sistema Paese, questo documento resta da intendersi più come un “trim” sulla rotta da seguire piuttosto che una critica fine a sé stessa.

L’analisi mira ad una disamina dei concetti proposti, delle definizioni applicate e della forbice applicativa che dovrebbe essere coperta, in particolar modo rispetto l’applicazione pratica delle definizioni proposte, in uno “scenario reale” relativo ad un incidente informatico.

Definizioni

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Per quanto riguarda il termine “tassonomia” possiamo trovare le seguenti definizioni:

    • La Treccani riporta quanto segue: Nelle scienze naturali, termine usato spesso come sinonimo di sistematica, ma che in modo più preciso viene utilizzato per indicare da un lato le regole nomenclaturali, dall’altro le tecniche per lo studio teorico della classificazione filogenetica dei viventi, attraverso la definizione esatta di principi, procedure e norme che la regolano. Basata un tempo su criteri essenzialmente morfologici e morfometrici, la t. si avvale anche di metodi e valutazioni di natura biomolecolare, fisiologica e sierologica, combinate ad avanzate tecniche di analisi statistica. Il termine taxon (pl. taxa) è impiegato genericamente per designare un raggruppamento sistematico di qualsiasi rango (specie, genere, famiglia ecc.).
    • Wikipedia invece riporta quanto segue: La tassonomia (dal greco: τάξις, tàxis, ordinamento e νόμος, nòmos, norma o regola) è la disciplina che si occupa della classificazione gerarchica di elementi viventi o inanimati. L’esempio tipico è la tassonomia biologica, ossia i criteri con cui si classificano gli organismi in una gerarchia di taxa annidati con cui si può per esempio risalire alla loro evoluzione.[1]

    Invece lato AgID per quanto riguarda “incidente informatico”, viene riportata la seguente definizione:

    • Viene definito incidente di sicurezza informatica qualsiasi evento o insieme di eventi che sottintendono una violazione delle politiche di sicurezza ICT fonte di danno per gli asset ICT ovvero per il patrimonio informativo dell’organizzazione e per il quale si rende necessaria l’applicazione di misure di contrasto e/o contenimento da parte delle strutture preposte. Da questa definizione si evince che l’elemento caratteristico distintivo di un incidente di sicurezza è rappresentato dal nesso di causa-effetto tra evento rilevato e danno subito dagli asset ICT. In altri termini, un incidente di sicurezza rappresenta una particolare tipologia di allarme i cui eventi sottintendono una constatazione conclamata di danni, già subiti al momento del loro rilevamento e segnalazione. Una lista non esaustiva di possibili incidenti per la PAL è la seguente:
      • accesso non autorizzato agli asset ICT;
      • diffusione non autorizzata di informazioni riservate provenienti dagli asset ICT;
      • impersonificazione di utenti, tramite la compromissione delle credenziali personali di autenticazione;
      • perdita o modifica delle configurazioni di sistema;
      • decadimento dei livelli di servizio standard;
      • interruzione di servizi ICT;
      • constatazione di illeciti o azioni criminose apportate con l’ausilio delle risorse ICT di una PAL ai danni della stessa PAL o di terzi.

    Tassonomia degli incidenti informatici

    La tassonomia degli incidenti informatici è un sistema di classificazione degli eventi che possono mettere a rischio la sicurezza delle informazioni e delle infrastrutture informatiche.

    Esistono diverse “tassonomie” degli incidenti informatici, tra cui quella sviluppata dal National Institute of Standards and Technology (NIST) degli Stati Uniti e quella sviluppata dall’Information Systems Audit and Control Association (ISACA).

    Una delle principali caratteristiche, che si rendono evidenti esaminando le suddette tassonomie, riguarda la complessità: la NIST, ad esempio, classifica gli incidenti informatici in cinque categorie:

    • attività di intelligence;
    • attività di preparazione;
    • attività di attacco;
    • attività di esfiltrazione;
    • attività di commissione.

    Queste classificazioni risultano di certo maggiormente utili all’intelligence che alla piccola e media impresa che riscontrano difficoltà nell’applicare determinate definizioni agli eventi di sicurezza critici subìti.

    La classificazione degli incidenti di sicurezza informatica italiani

    Nell’allegato A della Tassonomia degli incidenti che debbono essere oggetto di notifica (D.L.n. 105/2019) del 10/01/2023 si pone in essere una classificazione degli incidenti informatici (titolo dell’allegato “Tassonomia degli incidenti – in attuazione dell’articolo 1, comma 3-bis del D.L. 105/2019”) del tutto simile alla classificazione Mitre Att&ck della catena di attacco in tutte le sue fasi.

    Allegato A della Tassonomia degli incidenti di sicurezza

    L’elenco descrive varie fasi di un attacco informatico, come l’accesso iniziale, l’esecuzione, l’installazione, la persistenza, l’evasione delle difese, il comando e il controllo, i movimenti laterali, la raccolta di credenziali, le azioni sugli obiettivi e l’esfiltrazione.

    Queste categorie possono essere utilizzate per identificare le falle scatenanti di un evento di sicurezza informatica malevolo ed aiuta a capire come un attaccante sia stato in grado di compromettere una rete, ma non definiscono una classificazione degli incidenti stessi.

    Come dovrebbe essere interpretata la classificazione?

    La categorizzazione degli incidenti informatici non riporta la terna “CIA TRIAD” (o RID in italiano cioè riservatezza, integrità e disponibilità). La Confidenzialità, integrità e disponibilità dei dati risultano i tre elementi principali caratterizzanti le varie tipologie di incidente informatico nonché i “three main pillar” del lavoro dell’operatore di Incident Response e non solo.

    Gli incidenti stessi possono essere categorizzati, ad esempio, in questi termini:

    • Incidenti di confidenzialità: questi incidenti minacciano la confidenzialità dei dati, consentendo al threat actor di accedere a informazioni riservate. 
    • Incidenti di integrità: questi incidenti minacciano l’integrità dei dati, consentendo al threat actor di alterare o distruggere i dati.
    • Incidenti di disponibilità: questi incidenti minacciano la disponibilità del sistema o dei dati, rendendo impossibile per gli utenti accedere ai servizi o ai dati stessi.
    • Incidenti di sicurezza fisica: questi incidenti riguardano la sicurezza delle infrastrutture fisiche, come le violazioni dei perimetri aziendali, il furto di dispositivi di archiviazione o la manomissione dei sistemi.
    • Incidenti di compliance: questi incidenti riguardano la violazione delle norme e delle policies che determinano la classificazione di un’informazione.
    • Phishing: questi incidenti riguardano la ricezione di email o messaggi di testo apparentemente leciti, ma in realtà sono utilizzati per raccogliere informazioni sensibili o per diffondere malware.
    • Ransomware: questi incidenti riguardano l’utilizzo di malware crittografici che rendono inutilizzabili i file dell’utente e chiedono un riscatto per decrittarli.

    Questo è solo un esempio di classificazione. Esiste un’ampia varietà di incidenti informatici che potrebbe definire ulteriori categorie o sotto categorie che identificherebbero il “danno” di un incidente, prescindendo dalle fasi che lo abbiano in qualche modo caratterizzato.


    Quali sono le conseguenze di un’errata classificazione?

    L’operatore impegnato nelle attività di incident response potrebbe avvertire confusione dopo l’approvazione di questi nuovi parametri che scardinano le basi comuni a livello mondiale in termini di definizione di incidente informatico.

    Dal punto di vista legale si rende quindi necessario un riadattamento che prevede il dover trattare ogni singola fase di un incidente come un incidente a sé e per il quale bisognerà ricostruire la famosa “kill chain”. La domanda sorge spontanea: è possibile ricostruire una catena guardando ogni anello come una catena a sé?


    Conclusioni

    La nuova Tassonomia in realtà non definisce categorie, bensì le fasi di un attacco informatico. E’ sicuramente di aiuto come linea guida standard per l’individuazione di operatività malevole ma non come lista di classificazione di attacchi informatici.

    Mancano i riferimenti principali alle categorizzazioni standard, mancano tutti i possibili tipi di attacco suddivisi nella categorizzazione “CIA Triad” che costituisce la radice per l’albero di classificazione tassonomica, manca una classificazione per “impatto reale” dell’incident sulla CIA Triad, mancano le singole definizioni per sottocategoria di attacco, ad esempio sotto una possibile categoria “phishing” si sarebbe dovuto annotare “smishing”, “whaling”, ecc.…

    La soluzione proposta è un ottimo punto di partenza che deve però classificare sia le modalità di attacco ma soprattutto il “danno” ricevuto in base alle violazioni della CIA. Occorre quindi definire delle classi certe in modo da garantire all’operatore di Incident Response (IR) una facilità di identificazione dell’impatto subito secondo i già definiti standard internazionali.

    Ne beneficerebbero quindi sia gli operatori di Incident Response che i valutatori forensi durante le complesse fasi di ricostruzione e analisi degli incidenti, nonché l’intera catena dei fruitori delle documentazioni generate.

    Agostino Pellegrino
    E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

    Lista degli articoli

    Articoli in evidenza

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006