Ripasso rapido: Operazioni di sicurezza – ISC2 CC

Cosa devi sapere davvero

Le operazioni di sicurezza sono le attività quotidiane che mantengono sicuri sistemi, dati, reti e servizi. Per ISC2 CC devi capire che la sicurezza non è solo progettazione o risposta agli incidenti: deve essere gestita ogni giorno con controlli, procedure, monitoraggio e manutenzione continua.

Le security operations includono attività come logging, monitoraggio, patching, hardening, backup, gestione delle vulnerabilità, gestione dei cambiamenti e controllo degli accessi operativi.

Concetti chiave

• Security operations: attività quotidiane per mantenere sicuri sistemi e servizi.
• Logging: registrazione di eventi e attività.
• Monitoring: osservazione continua di sistemi, reti e anomalie.
• Hardening: riduzione della superficie di attacco.
• Patching: applicazione di aggiornamenti e correzioni di sicurezza.
• Backup: copia dei dati per supportare il recupero.
• Change management: gestione controllata delle modifiche.
• Vulnerability management: identificazione, valutazione e trattamento delle vulnerabilità.
• Baseline: configurazione o comportamento normale di riferimento.
• Alerting: generazione di avvisi quando vengono rilevati eventi importanti.
• Operational procedures: procedure documentate per attività ricorrenti.

Differenze da non confondere

Concetto	Significato principale
Logging	Registra eventi
Monitoring	Osserva eventi e anomalie
Alerting	Avvisa quando qualcosa richiede attenzione
Hardening	Riduce la superficie di attacco
Patching	Corregge vulnerabilità note
Backup	Supporta il recupero dei dati
Change management	Controlla le modifiche
Vulnerability management	Gestisce vulnerabilità nel tempo
Baseline	Stato normale di riferimento
Procedure operative	Passi documentati per attività ripetibili

Logging

Il logging consiste nel registrare eventi e attività che avvengono su sistemi, applicazioni, reti e dispositivi.

Esempi di log utili:

• accessi riusciti e falliti;
• modifiche di configurazione;
• attività amministrative;
• errori di sistema;
• eventi di sicurezza;
• traffico sospetto;
• modifiche ai permessi;
• attività su file sensibili.

I log sono importanti perché aiutano a rilevare problemi, ricostruire eventi, supportare audit, investigazioni e incident response.

Monitoring

Il monitoraggio consiste nell’osservare sistemi, reti, applicazioni e comportamenti per individuare anomalie o attività sospette.

Esempi:

• traffico di rete anomalo;
• picchi insoliti di utilizzo;
• accessi da luoghi insoliti;
• fallimenti ripetuti di login;
• processi sospetti;
• modifiche non autorizzate;
• endpoint non aggiornati;
• sistemi non raggiungibili.

Per ISC2 CC devi ricordare che logging e monitoring sono collegati, ma non identici: il logging registra, il monitoring osserva e analizza.

Alerting

L’alerting serve a notificare quando un evento richiede attenzione.

Un buon alert deve essere utile, comprensibile e prioritizzato. Troppi alert inutili possono causare alert fatigue, cioè la perdita di attenzione da parte degli operatori.

Esempio: un singolo login fallito può non essere grave, ma centinaia di login falliti in pochi minuti possono indicare un attacco brute force.

Hardening

L’hardening consiste nel rendere un sistema più sicuro riducendo servizi, configurazioni e funzionalità non necessarie.

Esempi di hardening:

• disabilitare servizi inutili;
• chiudere porte non necessarie;
• rimuovere account non usati;
• applicare configurazioni sicure;
• limitare privilegi amministrativi;
• disabilitare protocolli insicuri;
• configurare correttamente firewall e accessi;
• usare baseline di sicurezza.

L’obiettivo è ridurre la superficie di attacco.

Patching

Il patching consiste nell’applicare aggiornamenti e correzioni, soprattutto per vulnerabilità note.

Un sistema non aggiornato può diventare un punto debole sfruttabile da malware, attaccanti o exploit automatici.

Un buon processo di patching include:

• identificare aggiornamenti disponibili;
• valutare criticità e impatto;
• testare quando necessario;
• pianificare l’applicazione;
• installare la patch;
• verificare che il sistema funzioni correttamente.

Per ISC2 CC devi ricordare che il patching è una attività operativa fondamentale, ma deve essere gestita in modo controllato.

Backup

I backup servono a recuperare dati e sistemi dopo errori, guasti, cancellazioni, ransomware o altri incidenti.

Un backup è utile solo se:

• viene eseguito regolarmente;
• è protetto da accessi non autorizzati;
• è conservato in modo sicuro;
• viene testato;
• può essere ripristinato in tempi compatibili con le esigenze del servizio.

Un errore comune è pensare che avere un backup significhi automaticamente poter recuperare. In realtà, i backup devono essere verificati e testati.

Change management

Il change management serve a gestire le modifiche in modo controllato.

Esempi di modifiche:

• aggiornare un sistema;
• cambiare una configurazione firewall;
• modificare permessi;
• installare software;
• sostituire componenti;
• aggiornare una applicazione;
• modificare una policy di accesso.

Lo scopo è ridurre errori, interruzioni e rischi causati da cambiamenti non pianificati o non autorizzati.

Un processo di change management può includere richiesta, valutazione, approvazione, test, implementazione, documentazione e revisione.

Vulnerability management

La vulnerability management è il processo continuo di identificazione, valutazione, prioritizzazione e trattamento delle vulnerabilità.

Include:

• scansioni di vulnerabilità;
• valutazione della criticità;
• analisi dell’impatto;
• prioritizzazione;
• patching;
• mitigazioni temporanee;
• verifica della correzione;
• report e tracciamento.

Il punto chiave è che le vulnerabilità non vanno solo trovate: devono essere gestite e corrette in base al rischio.

Baseline

Una baseline è uno stato normale o una configurazione di riferimento.

Può indicare:

• configurazione standard sicura;
• comportamento normale del traffico;
• utilizzo medio di risorse;
• impostazioni approvate;
• servizi normalmente attivi.

Le baseline aiutano a riconoscere anomalie. Se un sistema si comporta in modo molto diverso dal normale, potrebbe esserci un problema operativo o di sicurezza.

Procedure operative

Le procedure operative servono a rendere ripetibili e controllabili le attività quotidiane.

Esempi:

• procedura di creazione account;
• procedura di revoca accessi;
• procedura di backup;
• procedura di patching;
• procedura di escalation;
• procedura di gestione alert;
• procedura di ripristino;
• checklist di hardening.

Le procedure riducono errori, improvvisazione e dipendenza da singole persone.

Errori comuni nei quiz

• Confondere logging e monitoring.
• Pensare che i backup siano utili anche se non vengono testati.
• Pensare che il patching sia sempre immediato e senza rischio.
• Dimenticare che le modifiche devono essere approvate e documentate.
• Confondere hardening con monitoraggio.
• Pensare che vulnerability management significhi solo fare una scansione.
• Dimenticare che le baseline aiutano a riconoscere anomalie.
• Pensare che le procedure operative siano meno importanti dei controlli tecnici.
• Ignorare il rischio di alert fatigue.

Mini scenario d’esame

Un amministratore deve modificare una regola firewall in produzione. Prima di applicare la modifica, apre una richiesta, documenta il motivo, ottiene approvazione, pianifica l’intervento e verifica il risultato dopo l’implementazione.

Questa è una attività di change management, perché la modifica viene gestita in modo controllato per ridurre errori e rischi operativi.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

• la differenza tra logging e monitoring;
• perché gli alert devono essere prioritizzati;
• cosa significa hardening;
• perché il patching è importante;
• perché i backup devono essere testati;
• a cosa serve il change management;
• cosa include la vulnerability management;
• cosa significa baseline;
• perché le procedure operative sono importanti;
• perché la sicurezza deve essere mantenuta ogni giorno.