Cap 1 - Security Fundamentals

Table of Contents

Cosa fa
#

Introduce i fondamenti della sicurezza: CIA Triad, concetti di rischio, categorie e tipi di controllo, logging e SIEM. Base di tutto — ogni incidente, ogni controllo, ogni scenario d'esame si riconduce a questi concetti.

TL;DR
#

CIA = Confidentiality + Integrity + Availability — per ogni scenario d'esame chiedi: quale dei tre sta violando? Risk = Threat sfrutta Vulnerability → impatto sulla CIA Controlli: 4 categorie (Managerial/Operational/Technical/Physical) x 6 tipi (Preventive/Deterrent/Detective/Corrective/Compensating/Directive) Logs: Windows Event Viewer, /var/log Linux, Firewall, IDS/IPS SIEM: centralizza, aggrega, correla, allerta

mindmap
  root((Cap 1
Security
Fundamentals))
    CIA Triad
      Confidentiality · Integrity · Availability
    Risk
      Threat · Vulnerability · Risk Response
    Security Controls
      4 Categorie · 6 Tipi
    Logging
      Windows · Linux · Network
    SIEM
      Aggregation · Correlation · Alerts
    Compliance
      HIPAA · PCI-DSS · GDPR · SOX

CIA Triad
#

mindmap
  root((CIA Triad))
    Confidentiality
      Solo chi e autorizzato
      Come: Encryption
      Come: Access Controls
      Viola: unauthorized disclosure
    Integrity
      Dati non alterati
      Come: Hashing SHA-256
      Viola: data tampering
    Availability
      Sempre accessibile
      Come: Ridondanza RAID failover
      Come: Patching
      Viola: DoS downtime SPOF

        [C]
    Confidentiality
   "solo chi e' autorizzato"
       /        \
      /          \
[I] ____________ [A]
Integrity      Availability
"non alterato"  "sempre disponibile"

Pilastro	Definizione Gibson	Come si ottiene	Remember This!
Confidentiality	Previene la divulgazione non autorizzata	Encryption (meglio), Access Controls	Il modo migliore per proteggere la confidentiality e' cifrare. Copre PII (Personally Identifiable Information), database, mobile.
Integrity	Previene l'alterazione non autorizzata — intenzionale o accidentale	Hashing (SHA-256: output fisso, irreversibile)	L'integrity verifica che i dati non siano stati modificati. Se gli hash corrispondono, i dati sono intatti.
Availability	Garantisce l'accesso quando serve	Ridondanza, fault tolerance, patching	Il nemico della Availability e' il SPOF: un componente unico che se si rompe porta giu' tutto. La soluzione e' duplicare i componenti critici (ridondanza) cosi' che il sistema sopravviva al guasto (fault tolerance). Nessun SPOF = alta disponibilita'.

Barno's mindset: per ogni incidente chiedi "quale dei tre sta violando?" — quella e' la risposta all'esame.

Come funziona l'hashing per l'Integrity
#

Definizione: una funzione di hashing prende un input di qualsiasi dimensione e produce sempre un digest di dimensione fissa, determinata dall'algoritmo. Questa e' la proprieta' fondamentale che definisce l'hashing.

Algoritmo	Digest (sempre fisso)
MD5	128 bit
SHA-1	160 bit
SHA-256	256 bit
SHA-512	512 bit

Un file da 1 KB e un file da 10 GB producono entrambi un digest da 256 bit con SHA-256.

File originale → [SHA-256] → hash A (es. 3f4a...)
File dopo N giorni → [SHA-256] → hash B

Se A == B → file intatto
Se A != B → file modificato

L'algoritmo e' irreversibile: non si puo' risalire al file dall'hash.

Hashing vs Encryption — confronto
#

	Hashing	Encryption
Reversibile?	No — one-way, impossibile tornare all'originale	Si' — con la chiave corretta
Chiave?	No	Si' (simmetrica o asimmetrica)
Output	Sempre fisso (determinato dall'algoritmo)	Varia con l'input (block/stream) o fisso (RSA)
Scopo	Verificare integrita' — "il dato e' cambiato?"	Proteggere confidentiality — "nascondere il contenuto"
CIA coperta	Integrity	Confidentiality
Esempi	MD5, SHA-1, SHA-256, SHA-512	AES (simmetrica), RSA (asimmetrica)
Caso d'uso	Confrontare hash prima/dopo per rilevare modifiche	Cifrare dati in transito o a riposo

Hook: hashing = impronta digitale (unica, non si torna alla persona). Encryption = cassaforte (si apre con la chiave).

Access Controls — Identification, Authentication, Authorization
#

mindmap
  root((Access
Controls))
    Identification
      Dichiara identita
      Esempio: username
    Authentication
      Prova identita
      Esempio: password token biometrico
    Authorization
      Verifica permessi
      Esempio: ACL ruoli cartelle

Access controls = chi puo' vedere/fare cosa.

Fase	Cosa succede	Esempio Gibson
Identification	Maggie dichiara la sua identita' con un username	"Sono Maggie"
Authentication	Maggie prova di essere Maggie con la password	Solo lei conosce la password
Authorization	Il sistema verifica cosa puo' fare Maggie	Maggie ha accesso a /dati-hr (folder), Homer no

Nota: Homer puo' avere un account valido ma zero permessi su certi file — identification e authentication OK, authorization lo blocca.

Availability — Ridondanza e Fault Tolerance
#

mindmap
  root((Availability))
    SPOF
      Single Point of Failure
      Elimina con ridondanza
    Ridondanza
      Disk: RAID
      Server: Failover cluster
      Network: Load balancing NIC teaming
      Power: UPS generatori
    Scalability
      Manuale lo fa l admin
      Scale OUT aggiunge server
      Scale UP aggiunge risorse
    Elasticity
      Automatica lo fa il sistema
      Alta domanda risorse crescono
      Bassa domanda risorse calano
    Resiliency
      Auto-ripara con minimo downtime
      Backup testati retry automatico

Obiettivo principale: eliminare ogni SPOF (Single Point of Failure).

SENZA ridondanza:
[Server] → [1 disco] ← SPOF: disco muore = server down

CON ridondanza (RAID):
[Server] → [disco1 + disco2] ← un disco muore, l'altro continua

Tipi di ridondanza
#

Tipo	Esempi
Disk	RAID
Server	Failover cluster
Network	Load balancing (piu' server per un servizio), NIC teaming
Power	UPS (Uninterruptible Power Supply), generatori

Scalability vs Elasticity
#

Scalability (manuale — lo fa l'admin):

Scale OUT / orizzontale: aggiunge server → [S1] diventa [S1][S2][S3]
Scale UP / verticale: aggiunge risorse allo stesso server → [S1: 16GB RAM] diventa [S1: 32GB RAM]
Scale IN / Scale DOWN: l'inverso, rimozione manuale di server o risorse

Elasticity (automatica — lo fa il sistema):

Domanda alta → risorse aggiunte automaticamente
Domanda bassa → risorse rimosse automaticamente
Come un elastico: si allunga e torna da solo. Esempi: AWS Auto Scaling, GCP

Remember This! Scalability = manuale. Elasticity = automatica.

Resiliency
#

I sistemi resilienti si auto-riparano con minimo downtime. Usano le stesse tecniche di alta disponibilita' ma con un focus sul recupero automatico:

backup periodici testati
NIC teaming (se una NIC smette, l'altra prende il traffico)
ridondanza dischi
retry automatico dei processi falliti (es. TCP ritrasmette i pacchetti persi, Chrome si riconnette dopo che la rete torna)

Patching
#

Mantenere i sistemi aggiornati con le patch è essenziale per la Availability. I bug del software causano problemi di sicurezza, crash casuali e comportamenti imprevisti. Quando i vendor scoprono i bug, rilasciano codice che li corregge (patch). Le organizzazioni implementano patch management programs per assicurarsi che i sistemi siano always up-to-date e che le vulnerabilità note vengano corrette prima di essere sfruttate.

Remember This! Il patching è un controllo preventivo che protegge la Availability — un sistema non patchato è una vulnerabilità aperta.

Resource Availability Versus Security Constraints
#

Le organizzazioni devono bilanciare disponibilità di risorse e sicurezza. La cifratura massimizza la Confidentiality — perché allora non cifrare tutto? Perché la sicurezza consuma risorse:

Un file cifrato con AES-256 occupa circa il 60% di spazio in più sul disco
Cifrare e decifrare richiede CPU e memoria, rallentando le applicazioni

I security expert direbbero che il costo vale la sicurezza. Gli executive hanno la responsabilità di minimizzare i costi senza sacrificare la sicurezza. L'obiettivo è trovare il punto ottimale tra resource costs e security needs.

Barno's note: stesso trade-off dei sistemi PHP/Symfony — abilitare HTTPS, cifrare sessioni, usare bcrypt per le password ha un costo computazionale reale. Non è gratis.

Risk Concepts
#

mindmap
  root((Risk))
    Threat
      Circostanza che minaccia CIA
      Interna esterna naturale accidentale
    Vulnerability
      Debolezza nel sistema
      HW SW configurazione utenti
    Risk
      Probabilita che Threat sfrutti Vulnerability
      Formula: Likelihood x Impact
    Risk Response
      Mitigate: riduci con controlli
      Transfer: assicurazione MSSP
      Accept: dentro soglia tolleranza
      Avoid: elimina l attivita

graph TD
    T["THREAT (minaccia)
    interna · esterna · naturale · accidentale"]
    V["VULNERABILITY (debolezza)
    hardware · software · configurazione · utenti"]
    R["RISK
    probabilita' che T sfrutti V
    con impatto sulla CIA"]
    M["RISK MITIGATION
    riduce la probabilita' O l'impatto
    tramite security controls"]

    T -->|sfrutta| V
    V -->|genera| R
    R -->|si gestisce con| M

Definizioni esatte Gibson (esame):

Risk = the possibility or likelihood of a threat exploiting a vulnerability resulting in a loss
Threat = any circumstance or event that has the potential to compromise confidentiality, integrity, or availability
Vulnerability = a weakness in hardware, software, configuration, or users using the system
Risk mitigation = reduces risk by reducing the chances that a threat will exploit a vulnerability OR reduces the risk's impact

Risk rating formula:

Risk Rating = Likelihood × Impact

Likelihood = quanto è probabile che accada. Impact = quanto è grave se accade. Exam trap: "owners and thresholds" = risk register (chi è responsabile). "probability and exposure factor" = ALE formula quantitativa. La domanda generica sul risk rating → sempre Likelihood × Impact.

Security incident = adverse event or series of events that can negatively affect the CIA of an organization's IT systems and data.

Barno's mindset: ogni incident e' una violazione di uno o piu' pilastri CIA. Identificare quale e' il primo passo.

Risk Response Strategies — le 4 opzioni

Quando un'organizzazione identifica un rischio, ha quattro possibili risposte:

Strategia	Cosa fa	Esempio concreto
Mitigate	Riduce la probabilita' o l'impatto del rischio	Installare firewall, applicare patch, fare training
Transfer	Sposta l'impatto finanziario su una terza parte	Comprare cyber insurance, outsourcing a un MSSP
Accept	Riconosce il rischio e non agisce (consapevolmente)	Rischio troppo costoso da gestire, dentro la soglia di tolleranza
Avoid	Elimina completamente l'attivita' che genera il rischio	Non lanciare un prodotto, chiudere un servizio vulnerabile

Important

Exam anchor obbligatorio:

Insurance = sempre Transfer. Nessuna eccezione.
Firewall / patch / training = sempre Mitigate.
"We've decided to live with it" = Accept.
"We're not doing that activity anymore" = Avoid.

Exam trap: "mitigate" suona come "fare qualcosa" — ma comprare un'assicurazione e' fare qualcosa. Il discriminante e' a chi va il rischio: se rimane all'org (con controlli) = mitigate. Se passa a terzi = transfer.

Security Controls — Categorie
#

mindmap
  root((Categorie
Controlli))
    Managerial
      Chi: Management
      Policy scritte risk assessment
    Operational
      Chi: Persone day-to-day
      Training change management
    Technical
      Chi: Tecnologia HW SW
      Firewall antivirus IDS IPS
    Physical
      Chi: Puoi toccarlo
      Lock fences CCTV mantrap

Risponde a: chi o cosa implementa il controllo?

Categoria	Chi	Come	Esempi Gibson
Managerial	Management	Policy scritte, risk assessment	Risk assessment, vulnerability assessment, security policy
Operational	Persone (day-to-day)	Procedure umane	Security awareness training, change management, media protection
Technical	Tecnologia	Hardware, software, firmware	Encryption, antivirus, IDS, IPS, firewall, least privilege
Physical	Chi puoi toccare	Dispositivi fisici	Locks, fences, bollards, mantrap, lighting, CCTV

graph TD
    SC[Security Controls]
    SC --> M["Managerial
    Chi: Management
    Policy scritte, risk assessment"]
    SC --> O["Operational
    Chi: Persone day-to-day
    Training, change management"]
    SC --> T["Technical
    Chi: Tecnologia HW/SW
    Firewall, antivirus, IDS, IPS"]
    SC --> P["Physical
    Chi: Puoi toccarlo
    Locks, fences, CCTV, mantrap"]

Barno's hook: Physical = "quello che si puo' toccare" — facile da ricordare.

Security Controls — Tipi
#

mindmap
  root((Tipi
Controlli))
    Prima dell incidente
      Preventive
        Blocca l incidente
        Firewall training IPS AUP
      Deterrent
        Scoraggia psicologicamente
        Warning signs login banner
      Directive
        Istruisce come comportarsi
        SOP incident procedure
    Durante l incidente
      Detective
        Rileva che sta succedendo
        Log SIEM IDS video surveillance
    Dopo l incidente
      Corrective
        Ripristina normalita
        Backup incident handling
      Compensating
        Alternativa al controllo primario
        TOTP invece di smart card

Risponde a: quando agisce il controllo rispetto all'incidente?

PRIMA dell'incidente:
  Preventive  → blocca l'incidente
  Deterrent   → scoraggia psicologicamente
  Directive   → istruisce su come comportarsi

DURANTE l'incidente:
  Detective   → rileva che sta succedendo

DOPO l'incidente:
  Corrective  → corregge e ripristina
  Compensating → alternativa al controllo primario (usato anche prima)

Tipo	Funzione	Esempi Gibson
Preventive	Blocca l'incidente	Hardening, training utenti, security guards, account disablement process, IPS, AUP
Deterrent	Scoraggia la minaccia	Warning signs, login banners (MOTD), guard visibile all'ingresso
Detective	Rileva vulnerabilita' sfruttate	Log monitoring, SIEM, video surveillance, IDS, motion detection, security audit
Corrective	Ripristina normalita'	Backup & system recovery, incident handling procedures
Compensating	Alternativa al controllo primario	TOTP invece di smart card per nuovi dipendenti in attesa del badge
Directive	Istruisce come comportarsi	SOP (Standard Operating Procedure), incident response procedure, job aids

EXAM TRAP — AUP vs Directive: AUP (Acceptable Use Policy) = Preventive, NON Directive.

AUP impedisce comportamenti vietati prima che accadano → Preventive
Directive = fornisce istruzioni su come comportarsi in risposta a situazioni di sicurezza (es. "se ricevi un'email sospetta, fai X")
La differenza: AUP dice "non fare questo". Directive dice "fai questo quando succede quello".
Change management = sia Operational sia Directive (caso speciale esplicito nel libro).

Barno's key: capire se il controllo agisce PRIMA, DURANTE o DOPO e' la chiave per classificarlo correttamente all'esame.

Combinare categorie e tipi
#

Un controllo appartiene SEMPRE ad almeno una categoria E un tipo.

Controllo	Categoria	Tipo
Firewall	Technical	Preventive
Fire suppression system	Physical + Technical	Corrective
Lock sulla porta	Physical	Preventive + Deterrent
Login banner	Technical	Deterrent
CCTV	Physical	Detective (+ Deterrent se visibile)
Encryption	Technical	Preventive

Lock = sia preventive (blocca fisicamente) sia deterrent (scoraggia chi vede il lucchetto).

Hardening
#

Rendere un sistema piu' sicuro della configurazione di default. Strategia defense-in-depth:

disabilitare porte e servizi non necessari
implementare protocolli sicuri
mantenere il sistema patchato
password forti + policy robuste
disabilitare account di default e non necessari

Logging and Monitoring
#

mindmap
  root((Logging))
    Windows Event Viewer
      Security log: accessi e audit
      System log: eventi OS
      Application log: eventi app
    Linux var log
      syslog o messages: sistema generale
      secure: autenticazione sessioni
    Network
      Firewall: traffico bloccato e permesso
      IDS: alert only non blocca
      IPS: IDS + blocca il traffico
      Wireshark: singoli pacchetti
    Application
      Web server log formato W3C
      Metadata: descrivono altri dati

Windows — Event Viewer
#

Log	Contenuto
Security log	Log di sicurezza, audit, accessi
System log	Eventi OS: startup, shutdown, errori di sistema
Application log	Eventi delle applicazioni in esecuzione

Linux — /var/log/
#

File	Contenuto
/var/log/syslog o /var/log/messages	Messaggi generali di sistema (startup, kernel, mail)
/var/log/secure	Autenticazione e autorizzazione sessioni utente

Network Logs
#

Fonte	Cosa registra
Firewall	Tutto il traffico bloccato/permesso — border guard della rete
IDS	Traffico anomalo rilevato (solo alert, non blocca)
IPS	Come IDS ma blocca anche il traffico sospetto
Packet capture	Singoli pacchetti — tool: Wireshark

Application Logs
#

Web server log (formato Common Log W3C): ogni richiesta include host, user-identifier, authuser, date, request, status HTTP, bytes.

Metadata: dati che descrivono altri dati. Utili in indagini forensi (es. header email, metadata immagini).

Centralized Logging and Monitoring — SIEM
#

mindmap
  root((SIEM))
    Input
      Log collectors e sensors
      Windows Linux firewall IDS app
    Processo
      Log aggregation: normalizza fonti diverse
      Correlation engine: trova pattern
    Output
      Alerts e Triggers: notifiche real-time
      Automated reports
      Trends: pattern nel tempo
    Extra
      UBA: User Behavior Analysis
      Archiving: storage grandi volumi
      Syslog: formato e trasporto standard
    Attenzione
      Alert tuning: falsi positivi vs negativi
      NTP sync: tutti i server stesso orologio

Soluzione centralizzata per raccogliere, analizzare e gestire dati da sistemi multipli.

graph LR
    A[Windows Logs] --> S[SIEM]
    B[Linux /var/log] --> S
    C[Firewall Logs] --> S
    D[IDS/IPS] --> S
    E[App Logs] --> S
    S --> F[Log Aggregation]
    F --> G[Correlation Engine]
    G --> H[Alerts]
    G --> I[Trends]
    G --> J[Reports]
    H --> K[SOC Analyst]

Componente	Funzione
Log collectors / Sensors	Agenti installati sui sistemi che inviano log al SIEM
Log aggregation	Normalizza log da fonti diverse in formato comune
Correlation engine	Analizza eventi da piu' sistemi cercando pattern
Automated reports	Report predefiniti e personalizzabili
UBA (User Behavior Analysis)	Analizza comportamento utenti — app e attivita' di rete
Alerts e Triggers	Alert predefiniti + trigger su soglie (es. N login falliti → blocca IP)
Archiving	Gestione dello storage su grandi volumi di log

Barno's note: i sensori/agenti SIEM sono quelli che abbiamo installato sul nostro server Ubuntu.

Alert Tuning
#

Bilanciare la sensitivita' per ridurre falsi positivi (alert su eventi non pericolosi) senza generare falsi negativi (mancanza di alert su eventi reali).

Esempio Gibson: Homer inserisce la password sbagliata per errore → il SIEM alerta → falso positivo. Sistema sotto attacco con 100 login falliti in 5 minuti → il SIEM non alerta → falso negativo. Il valore soglia (quanti login falliti triggerano l'alert) è configurabile, tipicamente tra 1 e 100.

Regola pratica: se alzi troppo la sensitivita' → alert-fatigue, gli analisti ignorano gli alert. Se la abbassi troppo → perdi eventi reali.

SIEM Dashboards
#

Il dashboard SIEM è la visualizzazione in tempo reale di tutto ciò che succede nella rete — come il cruscotto di un'auto. Fornisce continuous monitoring e real-time reporting. In grandi organizzazioni (NOC), il dashboard può occupare un intero display. Le viste sono customizzabili per ruolo e obiettivo.

Elemento	Funzione
Sensors	Agenti installati sui sistemi della rete — raccolgono log dai device e li inviano al SIEM
Alerts	Notifiche in tempo reale quando scatta un trigger (email al gruppo, pop-up su dashboard)
Correlation	Analisi dei log in arrivo — il dashboard può mostrare i dati correlati in modi diversi
Trends	Identificazione di pattern nel tempo (es. spike di login falliti) — visualizzati su grafici

Syslog
#

Protocollo standard per il formato e il trasporto dei log. La maggior parte dei SIEM usa syslog e include un syslog server per raccogliere log da dispositivi di rete. Syslog definisce solo formato e trasporto — non come il server gestisce i log dopo.

Time synchronization: tutti i server che inviano dati al SIEM devono essere sincronizzati con lo stesso orologio (NTP) — altrimenti la correlazione temporale degli eventi e' inutile.

Domande Sbagliate — Test Fine Capitolo
#

Q: AES crea un output fixed-length non reversibile? No. AES e' cifratura (encryption) — reversibile con la chiave. MD5 e' hashing — irreversibile per definizione. La domanda chiedeva "cannot re-create the original" = one-way = hashing = MD5. Hook: AES = cassaforte (si apre con la chiave). MD5 = tritacarne (non si torna indietro).

Q: Server e-commerce con picchi casuali di traffico — Elasticity o Scalability? Elasticity. I picchi sono casuali e imprevedibili — serve che il sistema reagisca da solo. Scalability sarebbe corretta se l'admin aggiungesse risorse manualmente sapendo in anticipo quando arriva il picco. Distinzione: Scalability = manuale e permanente. Elasticity = automatica, sale e scende da sola.

Q: Quale NON e' un controllo di fault tolerance — UPS / SIEM / RAID / NIC teaming? SIEM. UPS, RAID e NIC teaming sono ridondanze: se qualcosa si rompe, l'altro prende il posto. SIEM e' un controllo Detective — vede cosa succede, non sostituisce nulla se cade. Hook: fault tolerance = "se si rompe, l'altro prende il suo posto". SIEM non prende il posto di nulla.

Q: Kate scrive una SOP per i vulnerability assessment — quale categoria? Managerial, non Technical. Il tool che esegue la scansione e' Technical. La procedura che definisce come e quando farla e' Managerial. Hook: "Lo scrivi o lo configuri?" — se lo scrivi e' Managerial, se lo configuri e' Technical.

Scenario Reale
#

Un attaccante prova brute force su SSH (Threat). Il server non ha account lockout policy (Vulnerability). L'IDS rileva il pattern (Detective control) e il SIEM correla i log di piu' server vedendo lo stesso IP attaccare altri host (Correlation engine). Il trigger sul SIEM dopo N tentativi modifica il firewall per bloccare quell'IP (Corrective/Technical). Il SOC analyst riceve l'alert, segue il playbook (Directive/Operational) e documenta l'incidente. La CIA violata e' Availability (se il brute force avesse avuto successo e il servizio fosse stato compromesso).

Compliance Frameworks — Quale regola cosa
#

mindmap
  root((Compliance
Frameworks))
    HIPAA
      Healthcare USA
      PHI dati sanitari cartelle cliniche
    PCI-DSS
      Pagamenti e retail
      Numeri carta CVV PIN
    GDPR
      Tutti chi tratta dati cittadini UE
      PII dati personali europei
    SOX
      Finance aziende quotate USA
      Reporting finanziario
    FERPA
      Education USA
      Registri studenti
    GLBA
      Banche e istituzioni finanziarie USA
      Dati finanziari consumatori

Domanda tipo esame: "Which regulation primarily governs X?" La risposta dipende dal tipo di dato e dal settore.

Sigla	Nome completo	Cosa regola	Settore
HIPAA	Health Insurance Portability and Accountability Act	PHI — Protected Health Information (dati sanitari, cartelle cliniche, diagnosi)	Healthcare (USA)
PCI-DSS	Payment Card Industry Data Security Standard	Dati di carte di pagamento (numeri carta, CVV, PIN)	Pagamenti / Retail
GDPR	General Data Protection Regulation	Dati personali di cittadini UE (PII)	Tutte le organizzazioni che trattano dati UE
SOX	Sarbanes-Oxley Act	Reporting finanziario delle aziende pubbliche quotate	Finance / Pubbliche imprese (USA)
FERPA	Family Educational Rights and Privacy Act	Dati degli studenti (educational records)	Education (USA)
GLBA	Gramm-Leach-Bliley Act	Dati finanziari personali dei consumatori	Banche e istituzioni finanziarie (USA)

Important

Exam trap rapida:

Dati sanitari → HIPAA
Carte di credito / pagamento → PCI-DSS
Dati personali UE → GDPR
Report finanziario aziende quotate → SOX
Registri studenti → FERPA
Dati finanziari consumatori (banche) → GLBA

"Financial data security" e' il trap tipico: se la domanda parla di dati sanitari e ci metti financial, e' sbagliato. HIPAA = healthcare, non finance.

NIST SP 800-53
#

NIST (National Institute of Standards and Technology) pubblica la serie SP 800. SP 800-53 "Security and Privacy Controls for Information Systems and Organizations" è il catalogo ufficiale dei security control, diviso in 20 famiglie. Molte certificazioni security (inclusa Security+) e regolamentazioni referenziano questo documento. Appendice C = catalogo completo di centinaia di controlli divisi in categorie.

Rilevanza esame: potresti vedere riferimenti a "NIST framework" o "SP 800-53" — è il documento di riferimento per i controlli federali US, non un tool ma uno standard.

Risorse
#

Gibson SY0-701 Study Guide — Chapter 1, pp. 1-80 circa

Collegato a
#

iam — CIA Triad, Access Controls, IAAA
log — Logs, SIEM, syslog, correlation
indice-gibson-messer-burning-Ice — indice completo del libro
indice-gibson-messer-burning-Ice — indice completo del libro
pre-assessment-risultati — Q2 e Q5 sbagliati su preventive/detective/corrective (Cap 1)
01-security-fundamentals-concepts — nota video stesso argomento (angolo BurningIceTech)

Cosa fa#

TL;DR#

CIA Triad#

Come funziona l'hashing per l'Integrity#

Hashing vs Encryption — confronto#

Access Controls — Identification, Authentication, Authorization#

Availability — Ridondanza e Fault Tolerance#

Tipi di ridondanza#

Scalability vs Elasticity#

Resiliency#

Patching#

Resource Availability Versus Security Constraints#

Risk Concepts#

Security Controls — Categorie#

Security Controls — Tipi#

Combinare categorie e tipi#

Hardening#

Logging and Monitoring#

Windows — Event Viewer#

Linux — /var/log/#

Network Logs#

Application Logs#

Centralized Logging and Monitoring — SIEM#

Alert Tuning#

SIEM Dashboards#

Syslog#

Domande Sbagliate — Test Fine Capitolo#

Scenario Reale#

Compliance Frameworks — Quale regola cosa#

NIST SP 800-53#

Risorse#

Collegato a#

Related