Risposta agli incidenti

Processo di risposta agli incidenti: rilevazione, analisi, contenimento, eradicazione e ripristino, seguiti da lesson learned. Include classificazione della gravità, raccolta e preservazione delle evidenze, catena di custodia, comunicazione ed escalation.

La risposta agli incidenti è un elemento chiave della certificazione CompTIA Security+. Questo argomento riguarda la gestione degli eventi di sicurezza, dalla rilevazione fino al recupero, per ridurre danni e tempi di inattività.

🚀 Inizia quiz

Domande disponibili: 200

Cosa imparerai in questo topic

Questo argomento fa parte del percorso CompTIA Security+. In questa pagina puoi capire meglio cosa copre questo argomento, quali concetti vengono richiesti e perché è utile esercitarti con un quiz dedicato prima di passare all’esame completo o ai quiz misti.

Il quiz su Risposta agli incidenti ti aiuta a concentrarti su nozioni specifiche, definizioni, scenari pratici e concetti ricorrenti che possono comparire durante la preparazione alla certificazione.

Perché questo argomento è importante

Studiare bene Risposta agli incidenti è importante perché questo argomento contribuisce alla comprensione generale della certificazione CompTIA Security+. Una buona preparazione sui singoli topic rende più semplice affrontare sia le domande teoriche sia quelle applicative, migliorando la sicurezza e la rapidità nel rispondere.

Allenarti topic per topic ti permette anche di individuare con precisione i tuoi punti deboli, ripassare meglio e costruire una preparazione più solida nel tempo.

Cosa è la risposta agli incidenti

La risposta agli incidenti è il processo utilizzato per gestire e risolvere eventi di sicurezza come attacchi informatici, violazioni o anomalie.

Fasi della risposta agli incidenti

Preparazione: definizione di strumenti e procedure
Identificazione: rilevazione dell’incidente
Contenimento: limitare l’impatto
Eradicazione: eliminare la causa
Recupero: ripristinare i sistemi
Lessons learned: analisi post-incidente

Importanza della velocità

Intervenire rapidamente riduce i danni economici, operativi e reputazionali.

Strumenti utilizzati

SIEM, sistemi di logging e monitoraggio aiutano a individuare e analizzare gli incidenti.

Ruoli e responsabilità

Team dedicati (CSIRT o SOC) gestiscono la risposta agli incidenti seguendo procedure definite.

Miglioramento continuo

Ogni incidente deve essere analizzato per migliorare i processi e prevenire eventi futuri.

Argomenti correlati

Fondamenti di sicurezza

Principi fondamentali della sicurezza informatica, inclusa la triade CIA (riservatezza, integrità, disponibilità), tipologie di attaccanti e motivazioni, vettori di attacco comuni, vulnerabilità e concetti di rischio. Introduzione ai controlli di sicurezza amministrativi, tecnici e fisici, alla difesa in profondità, al principio del minimo privilegio e alla consapevolezza della sicurezza.

Concetti di rete

Concetti essenziali di networking applicati alla sicurezza: modello OSI/TCP-IP, indirizzamento IPv4/IPv6, subnetting di base, porte e protocolli comuni (DNS, DHCP, HTTP/HTTPS, SSH, RDP). Comprende segmentazione e VLAN, firewall e NAT, proxy e VPN, basi di sicurezza wireless (WPA2/WPA3) e monitoraggio del traffico.

Procedure di sicurezza

Procedure operative e policy di sicurezza: gestione degli account e dei privilegi (joiner/mover/leaver), politiche di password e MFA, patch management e change management, backup e conservazione dei dati. Include hardening dei sistemi, configurazioni sicure, logging, auditing e conformità.

Strumenti di sicurezza

Strumenti di sicurezza utilizzati in ambienti reali: antivirus ed EDR, SIEM e gestione dei log, IDS/IPS, strumenti di vulnerability scanning e patch management. Include PKI e certificati digitali, MFA e SSO, oltre a utility di rete per analisi e troubleshooting.

Security Monitoring & Threat Detection

Monitoraggio della sicurezza, logging, SIEM, detection engineering e threat hunting: analisi eventi, correlazione, regole di rilevamento, riduzione dei falsi positivi e triage degli alert.