No Secure SDLC, No Party. Perchè è fondamentale implementare la sicurezza in ogni fase del Ciclo di Vita del Prodotto

No Secure SDLC, No Party. Perchè è fondamentale implementare la sicurezza in ogni fase del Ciclo di Vita del Prodotto

“La sicurezza è un processo, non un prodotto. I prodotti offrono una certa protezione, ma l’unico modo per fare business in modo efficace in un mondo insicuro è mettere in atto processi che riconoscano l’insicurezza intrinseca nei prodotti.” Questa citazione, tratta dal saggio di Bruce Schneier intitolato “Il Processo della Sicurezza” scritto nel 2000, riassume…

Modello Cyber Kill Chain: 7 fasi di attacchi informatici - reconnaissance, weaponization, delivery, exploitation, installation, command and control, actions on objectives. Strategie di difesa cyber, prevenzione APT, mitigazione malware, e contromisure per sicurezza aziendale.

Email Security: Cyber Kill Chain come modello di Difesa

Per comprendere come difendersi da potenziali attacchi malevoli è necessario studiare come questi avvengano. Per fare ciò, esistono diversi modelli, tra questi uno dei più noti ed utilizzati è quello della “Cyber Kill Chain” ideato da Lockheed Martin nel 2011.   Cyber Kill Chain: Un Modello Essenziale per la Sicurezza Informatica e la Difesa Cibernetica…

La Direttiva NIS2: Il quadro giuridico italiano

La Direttiva NIS2: Il quadro giuridico italiano

Dall’entrata in vigore della Direttiva NIS nel 2016, il contesto delle minacce informatiche ha subito significative trasformazioni, registrando un incremento del numero, dell’entità, della sofisticazione e della frequenza degli incidenti informatici. Sebbene la Direttiva NIS abbia costituito un passo iniziale rilevante, questa evoluzione ha messo in luce l’insufficienza del quadro normativo vigente e le disparità…

Email Security: Social Engineering e Threat Intelligence

Email Security: Social Engineering e Threat Intelligence

Introduzione L’email security è un’area della cyber security che coinvolge un insieme di metodologie, procedure e tecnologie il cui scopo è quello di proteggere le comunicazioni che avvengono tramite email prevenendo l’esecuzione di potenziali malware, URL malevoli ed esfiltrazione di informazioni sensibili. Ogni minaccia e rischio per la sicurezza che viene veicolato tramite la posta…

Ecosistema ransomware

Ecosistema ransomware

Il ransomware è diventato una scelta sempre più popolare nel mondo criminale, grazie anche alla riduzione della barriera d’ingresso permessa dall’ecosistema ransomware e dal RaaS (Ransomware-as-a-Service). Infatti, in passato una intrusione ransomware richiedeva lo sviluppo di un malware che, a sua volta, richiedeva significative competenze di sviluppo software, crittografia e capacità di penetrazione nei sistemi…

Progettazione di sicurezza in Operational Technology: applicazioni militari dello standard ISA-62443

Progettazione di sicurezza in Operational Technology: applicazioni militari dello standard ISA-62443

Breve introduzione allo standard ANSI/ISA-62443 Lo standard tecnico ANSI/ISA-62443 (anche noto come IEC-62443) rappresenta un pilastro fondamentale nella protezione delle infrastrutture critiche e dei sistemi di automazione e controllo industriale (IACS). Questa serie di standard, sviluppata dal comitato ISA99 dell’International Society of Automation (ISA) in collaborazione con la International Electrotechnical Commission (IEC), offre linee guida…

Le infrastrutture critiche all’intersezione tra dispositivi cyber-fisici e Cyber Threat Intelligence

Le infrastrutture critiche all’intersezione tra dispositivi cyber-fisici e Cyber Threat Intelligence

Framework generale di riferimento I sistemi di controllo industriale (Industrial control systems) ICS/OT (Operational technology) costituiscono, ormai da diversi anni, uno dei target principali degli attori malevoli. Numerosi e significativi attacchi informatici si sono concentrati, difatti, su infrastrutture critiche e sistemi industriali e, tra questi, il più alto profilo di minacce è stato quello dell’attacco…

ISO/IEC 42001: un sistema di gestione dell’intelligenza artificiale

ISO/IEC 42001: un sistema di gestione dell’intelligenza artificiale

Lo standard ISO/IEC 42001:2023 offre un quadro normativo per l’integrazione responsabile dell’IA nelle organizzazioni. Fornisce linee guida per la valutazione dei rischi, l’implementazione di controlli efficaci e la gestione etica dei sistemi IA. Armonizzato con altri standard internazionali, promuove l’innovazione responsabile, la conformità normativa e la fiducia degli stakeholder, posizionando le organizzazioni come leader nell’IA…

Sicurezza cibernetica, Internet e processi industriali

Sicurezza cibernetica, Internet e processi industriali

Quando nel 1969 venne utilizzata per la prima volta la rete Arpanet per collegare tra loro quattro università statunitensi, mai si sarebbe immaginato un pianeta interconnesso ai livelli raggiunti oggi. Siamo ormai entrati nella Quarta Rivoluzione Industriale, cioè in un mondo in cui il più piccolo dispositivo – sia esso un computer personale, un oggetto…

Bias nell’Intelligenza Artificiale: Strategie e Norme ISO per la Valutazione e il Controllo

Bias nell’Intelligenza Artificiale: Strategie e Norme ISO per la Valutazione e il Controllo

I sistemi AI trovano ormai dilagante applicazione in ogni ambito della nostra vita e cultura attraverso, ad esempio, i modelli di Machine Learning (ML), ma, come molte volte accade, non si hanno informazioni chiare su come il modello abbia “imparato” e prodotto un determinato output. Ecco, quindi, come un sistema di gestione dedicato all’AI può…