Allegato A (articolo 2) Tassonomia degli incidenti ===================================================================== |Identificativo| | | |(incidente con| Categoria | Descrizione | | impatto-ICP) | | | +==============+=============+======================================+ | | |Infezione (Initial exploitation). Il | | | |soggetto ha evidenza dell'effettiva | | | Infezione |esecuzione non autorizzata di codice o| | ICP-A-1 | (Initial |malware veicolato attraverso vettori | | |exploitation)|di infezione o sfruttando | | | |vulnerabilita' di risorse esposte in | | | |rete. | +--------------+-------------+--------------------------------------+ | | |Violazione del livello di servizio | | | |atteso, definito dal soggetto incluso | | | |nel perimetro ai sensi di quanto | | ICP-A-2 | |previsto nelle misure di sicurezza di | | | |cui all'allegato B, in termini di | | | |risorse di calcolo, memoria e/o banda | | | |passante. | +--------------+ +--------------------------------------+ | | |Violazione del livello di servizio | | | |atteso, definito dal soggetto incluso | | | |nel perimetro ai sensi di quanto | | ICP-A-3 | |previsto nelle misure di sicurezza di | | | |cui all'allegato B, di hot-replica e/o| | | |cold-replica e/o sito(i) di disaster | | | |recovery, se previsti. | +--------------+ +--------------------------------------+ | | |Violazione del livello di servizio | | | |atteso, definito dal soggetto incluso | | | |nel perimetro ai sensi di quanto | | | |previsto nelle misure di sicurezza di | | ICP-A-4 | |cui all'allegato B, in termini di | | | |indisponibilita', di perdita | | | |irreversibile o di corruzione | | | |irreversibile dei dati provenienti | | | Guasto |dalle componenti di campo (attuatori e| | | (Fault) |sensori). | +--------------+ +--------------------------------------+ | | |Dati hot-replica e/o cold-replica e/o | | ICP-A-5 | |sito(i) di disaster recovery e/o | | | |backup, se previsti, persi o corrotti | | | |in modo irreversibile. | +--------------+ +--------------------------------------+ | ICP-A-6 | |Perdita di confidenzialita' o | | | |integrita'. | +--------------+ +--------------------------------------+ | ICP-A-7 | |Perdita e/o corruzione dati | | | |irreversibile. | +--------------+ +--------------------------------------+ | ICP-A-8 | |Perdita e/o compromissione di chiavi | | | |di cifratura e/o certificati. | +--------------+ +--------------------------------------+ | ICP-A-9 | |Perdita e/o compromissione di | | | |credenziali utenti. | +--------------+ +--------------------------------------+ | | |Violazione del livello di servizio | | | |atteso, definito dal soggetto incluso | | | |nel perimetro ai sensi di quanto | | ICP-A-10 | |previsto dalle misure di sicurezza di | | | |cui all'allegato B, in termini di | | | |impossibilita' di accesso fisico alle | | | |componenti. | +--------------+-------------+--------------------------------------+ | | |Ottenimento di privilegi di livello | | | |superiore (Privilege Escalation). Il | | ICP-A-11 |Installazione|soggetto ha evidenza dell'impiego non | | | |autorizzato di tecniche, condotte | | | |dall'interno della rete, utili ad | | | |ottenere | +--------------+-------------+--------------------------------------+ | | (Establish |permessi di livello superiore. | | |persistence) | | +--------------+ +--------------------------------------+ | | |Persistenza (Persistence). Il soggetto| | | |ha evidenza dell'impiego non | | ICP-A-12 | |autorizzato di tecniche, condotte | | | |dall'interno della rete, utili ad | | | |ottenere persistenza di codice | | | |malevolo o d'accesso. | +--------------+ +--------------------------------------+ | | |Evasione delle difese (Defence | | | |Evasion). Il soggetto ha evidenza | | ICP-A-13 | |dell'impiego non autorizzato di | | | |tecniche attraverso cui sono stati | | | |effettivamente elusi i sistemi di | | | |sicurezza. | +--------------+ +--------------------------------------+ | | |Comando e Controllo (Command and | | ICP-A-14 | |Control). Il soggetto ha evidenza di | | | |comunicazioni non autorizzate verso | | | |l'esterno della rete. | +--------------+-------------+--------------------------------------+ | | |Esplorazione (Discovery). Il soggetto | | | |ha evidenza dell'impiego non | | ICP-A-15 | |autorizzato di tecniche, condotte | | | |dall'interno della rete, utili a | | | |effettuare attivita' di ricognizione. | +--------------+ +--------------------------------------+ | | |Raccolta di credenziali (Credential | | | |Access). Il soggetto ha evidenza | | | Movimenti |dell'impiego non autorizzato di | | ICP-A-16 | laterali |tecniche utili ad acquisire, | | | (Lateral |dall'interno della rete, credenziali | | | Movement) |valide per l'autenticazione alle | | | |risorse di rete o ne rinviene copie | | | |non autorizzate. | +--------------+ +--------------------------------------+ | | |Movimenti laterali (Lateral Movement).| | | |Il soggetto ha evidenza dell'impiego | | ICP-A-17 | |non autorizzato di tecniche utili ad | | | |accedere o eseguire codice tra risorse| | | |interne della rete. | +--------------+-------------+--------------------------------------+ | | |Raccolta (Collection). Il soggetto ha | | | |evidenza dell'impiego non autorizzato | | ICP-A-18 | |di tecniche utili ad raccogliere, | | | |dall'interno della rete, dati di | | |Azioni sugli |interesse di terze parti o ne rinviene| | | obiettivi |copie non autorizzate. | +--------------+ (Action on +--------------------------------------+ | | objs) |Esfiltrazione (Exfiltration). Il | | | |soggetto ha evidenza dell'impiego non | | ICP-A-19 | |autorizzato di tecniche utili ad | | | |esfiltrare dati dall'interno della | | | |rete verso risorse esterne. | +--------------+-------------+--------------------------------------+ TABELLA 2 ====================================================================+ |Identificativo| Categoria | Descrizione | +==============+=============+======================================+ | ICP-B-1 | |Inibizione delle funzioni di risposta | | | |(Inhibit Response Function). Il | | | |soggetto ha evidenza dell'impiego non | | | |autorizzato di tecniche utili a | | | |inibire l'intervento delle funzioni di| | | |sicurezza, di protezione e di "quality| | | |assurance" dei sistemi di controllo | | | |industriale predisposte per rispondere| | | |a un disservizio o a uno stato | | | |anomalo. | +--------------+ +--------------------------------------+ | | |Compromissione dei processi di | | |Azioni sugli |controllo (Impair Process Control). Il| | | obiettivi |soggetto ha evidenza dell'impiego non | | ICP-B-2 | (Actions on |autorizzato di tecniche utili a | | | objectives) |manipolare, disabilitare o danneggiare| | | |i processi di controllo fisico di | | | |sistemi di controllo industriale. | +--------------+ +--------------------------------------+ | ICP-B-3 | |Disservizio intenzionale (Impact). Il | | | |soggetto ha evidenza dell'impiego non | | | |autorizzato di tecniche utili a | | | |manipolare, degradare, interrompere o | | | |distruggere i sistemi, i servizi o i | | | |dati. In tale ambito rientrano ad | | | |esempio gli eventi di tipo Denial of | | | |Service/Distributed Denial of Service | | | |che hanno impatto sui beni ICT. | +--------------+-------------+--------------------------------------+ | ICP-B-4 | |Violazione del livello di servizio | | | |atteso, definito dal soggetto incluso | | | |nel perimetro ai sensi di quanto | | | |previsto nelle misure di sicurezza di | | | |cui all'allegato B, specie in termini | | | Disservizio |di disponibilita', del bene ICT. | +--------------+ (Failure) +--------------------------------------+ | ICP-B-5 | |Divulgazione di dati corrotti o | | | |esecuzione operazioni corrotte tramite| | | |il bene ICT. | +--------------+ +--------------------------------------+ | ICP-B-6 | |Divulgazione non autorizzata di dati | | | |digitali relativi ai beni ICT. | +--------------+-------------+--------------------------------------+