Lainate – 0236541838 | Milano – 02437408 studio@muliari.com
Condividi
Come anticipato, ecco la seconda puntata della piccola guida introduttiva per (cominciare a) di diventare esperti in materia di cybersecurity, qualora la frequentazione di un apposito corso di laurea non fosse (stata) possibile. Riportiamo di seguito, per comodità, l’elenco degli argomenti principali (nella prima puntata avevamo esaminato i primi quattro).
  1. Applicazione Web e sicurezza dei browser
  2. Sicurezza delle reti e dei protocolli informatici
  3. Sicurezza interna dei sistemi operativi
  4. Valutazioni di sicurezza, test di penetrazione
  5. Tools e frameworks per gestire la sicurezza
  6. Crittografia e protocolli di sicurezza
  7. Sicurezza in ambienti virtualizzati e soluzioni cloud
  8. Hardware, firmware e soluzioni embedded
  9. Norme e policies
  10. Intrusion detection
  11. Monitoraggio e gestione degli incidenti
  12. Repertorio di attacchi informatici

Alessandro Fontana, ingegnere elettronico specializzato in cyber security ed intelligenza artificiale

  1. TOOLS DI SICUREZZA

L’elenco dei tool di sicurezza, cosi come l’elenco dei tool in generale, è praticamente infinito, ed in continua crescita. La scelta dei tool piu’ appropriati dipende ovviamente dalle specifiche esigenze aziendali, che richiedono una valutazione ad hoc: ecco perchè il settore della consulenza in materia di cybersecurity potrebbe diventare strategico. Di seguito alcuni esempi di tool di cybersecurity:

─ BURP suite (pentesting)

─ Nmap (network scanner)

─ Wireshark (packet analyzer)

─ John the Ripper (password cracking)

─ Cain and Abel (password cracking)

─ Splunk (log and network analyzer)

─ Linux (knowledge of basic commands)

─ Metasploit (pentesting)

─ OSINT and other Open Source tools

─ Shodan (search engine for hackers)

─ BluVector (network analyzer)

─ Bricata (intrusion detection)

─ Cloud Defender (cloud security)

─ Cofense (defender against phishing)

─ Digital Guardian (intrusion detection)

─ Intellecta (focus on compliance)

─ Mantix4 (threat hunting)

─ SECBI (network analysis)

Risorse formative:

  • Top 7 Tools for Cyber Security 2021 | Best Cyber Security Tools 2021
  • Cybersecurity Tools | Popular Tools for Cybersecurity Threats | Edureka
  1. CRITTOGRAFIA

Un ruolo centrale nella cybersecurity è ricoperto dalla crittografia, la disciplina che si occupa dell’ideazione e realizzazione di sistemi resistenti alla manipolazione e alla lettura non autorizzata delle informazioni. L’elenco dei temi include: aritmetica modulare, codici di cifratura (stream e block ciphers), Advanced Encryption Standard (AES), schema RSA, Diffie-Hellman, elliptic curves, hash functions, Message Authentication Code e firma digitale, schemi di crittografia simmetrica e asimmetrica. certificati e Public Key Infrastructure.

Gli algoritmi crittografici in uso si basano sull’ipotesi che alcuni problemi matematici (esempio: fattorizzazione di un numero molto grande) non possono essere risolti in tempi ragionevoli, con i calcolatori piu’ potenti a nostra disposizione. L’avvento dei computer quantistici potrebbe rendere invalidare tale ipotesi, e rendere insicuri

i sistemi attuali. Per questo motivo la ricerca è impegnata a sviluppare nuovi algoritmi “a prova di futuro”, in grado di resistere ad attacchi quantistici.

Risorse formative:

  • Introduction to Cryptography by Christof Paar

https://www.youtube.com/channel/UC1usFRN4LCMcfIV7UjHNuQg

  • Computerphile

https://youtube.com/user/Computerphile

  1. SICUREZZA IN AMBIENTI VIRTUALIZZATI E SOLUZIONI CLOUD

In informatica, con il termine “virtualizzazione” si intende la creazione di una versione virtuale di piattaforme hardware, dispositivi di archiviazione e risorse di rete. Un componente chiave del sistema è rappresentato dallo hypervisor: un emulatore, un software che crea ed esegue macchine virtuali. La virtualizzazione consente di gestire le risorse hardware in modo efficiente, ma pone anche dei problemi di sicurezza, derivanti dalla condivisione delle risorse.

Un importante concetto di cybersecurity per i sistemi virtualizzati è rappresentato dal meccanismo noto come “sandboxing”, utilizzato per separare i programmi in esecuzione, nel tentativo di mitigare gli errori di sistema e/o la diffusione delle vulnerabilità del software. Una sandbox fornisce un insieme strettamente controllato di risorse in cui eseguire i programmi guest, in termini di spazio di archiviazione e memoria RAM. L’accesso alla rete, al sistema host e ai sistemi di input sono generalmente non consentiti o fortemente limitati.

Risorse formative:

  • Introduction to virtualization concepts
  • Virtualization and VMware for beginners
  • Sandboxing in Linux with zero lines of code (Ignat Korchagin, Cloudfare)
  1. HARDWARE, FIRMWARE E SOLUZIONI EMBEDDED

Un sistema integrato è un sistema informatico (processore, memoria del computer e dispositivi periferici di input/output) che ha una funzione dedicata all’interno di un sistema meccanico o elettronico più ampio. Un’automobile moderna, ad esempio, contiene decine di ECU (electronic control units) dedicate alla gestione di tutte le funzioni del veicolo: motore, sterzo, freni, luci, ecc.

I sistemi embedded presentano caratteristiche peculiari dal punto di vista della sicurezza. Se da un lato l’accesso a tali sistemi è generalmente piu’ difficoltoso, esistono d’altra parte vincoli di sistema (elaborazione in tempo reale, possibilità di causare incidenti) che pongono problemi specifici. La tendenza verso il costante aumento del ruolo del software e della connettività si traduce d’altronde in una continua estensione della superficie d’attacco.

Risorse formative

  • Computer Architecture – ETH Zürich – Fall 2019
  • Automotive Security Research Group (automotive cybersecurity)

https://www.youtube.com/c/AutomotiveSecurityResearchGroup

  • Electronic control unit (ECU) (Dr. B. Ashok)
  • Hardware security (Coursera) (Gang Qu)

https://www.coursera.org/learn/hardware-security

  • Development of Secure Embedded Systems Specialization (Coursera) (Farhoud Hosseinpour)

https://www.coursera.org/specializations/embedded-systems-security

… TO BE CONTINUED ….

Sfoglia e leggi gli articoli di questo numero

RIFLESSIONI DOPO L'INCONTRO DI NETWORKING A FANUC ITALIA

Lo scorso 25 marzo abbiamo partecipato ad un incontro di networking alla Fanuc Italia. Un bel momento di confronto, utile anche per stimolare alcune riflessioni sul rapporto tra impresa e territorio.

SPORTWIG: UN PROGETTO DI BUSINESS VINCENTE UNENDO SPORT E FORMAZIONE

E’ possibile coniugare sport e formazione in un progetto di business vincente? La storia di Sportiwg ci consegna una risposta ricca di speranza.

LA PICCOLA GUIDA ALLA CYBERSECURITY A CURA DI ALESSANDRO FONTANA: SECONDA PUNTATA

Sei un imprenditore o un manager che ha bisogno di formare personale sulla cybersecurity? Oppure sei proprio tu che vuoi specializzarti in questo campo, pur non avendo fatto questi studi all’università? Ecco la seconda puntata della piccola guida introduttiva a cura dell’Ingegner Alessandro Fontana per approcciarsi alla materia.

COS’E’ IL WELFARE AZIENDALE E LA SUA UTILITA’

Cos’è il welfare aziendale? Perchè è importante? Come attuarlo nel concreto?
Il nostro esperto Dario Cassata ci dà qualche spunto in merito

UN ANNO DI GREEN BUILD NET: PERCHE’ CONVIENE UNA RETE DI IMPRESE

Green Build Net, rete di imprese promossa e sostenuta da Studio Muliari, ha approvato il suo primo rendiconto annuale. Quale valore aggiunto GBN alle aziende che vi aderiscono? Quali i prossimi progetti? Ne parliamo con il suo presidente, Agostino Panzeri

LA XI GIORNATA DEL CARABINIERE, NEL SEGNO DELLA TUTELA DELL’AMBIENTE

Studio Muliari sostiene l’XI Giornata del Carabiniere, dedicata alla tutela dell’Ambiente. Scopri il programma della rassegna in programma a Lainate tra eventi, mostre e ospiti d’eccezione.

MIND, L’APPELLO DI GERRY GENTILE: MUOVIAMOCI O SARA’ TROPPO TARDI

Riapriamo la nostra finestra su MIND con Gerardo Gentile, detto Gerry, volto molto noto nel territorio per la sua attività di agente immobiliare e per il suo impegno nel volontariato e nella divulgazione.