.ng, .ng *{ font-family: "Open Sans", sans-serif !important; }
NEXSYS / CYBERSECURITY KNOWLEDGE BASE

Glossario Cybersecurity
in Italiano

60 termini tecnici con definizioni operative, contesto aziendale e casi d'uso reali su Active Directory, Microsoft 365 Security, normative e cloud offensive.

+120 Aziende Supportate +3000 Professionisti Formati Microsoft Solutions Partner MCT · CEH · CRPT · BTL1 · AZ-500
Inizia a leggere Richiedi consulenza
GLOSSARIO
0 Termini
SCOPE
0 Categorie
FRAMEWORK
MITRE ATT&CK Mapped
NORMATIVA
NIS2 Compliance Ready
VERIFIED
0 Link ai Servizi

Contesto operativo reale

Ogni definizione include scenari aziendali concreti, non solo teoria. Saprai subito quando e perché un termine è rilevante per la tua organizzazione.

Per IT Manager e CISO

MITRE ATT&CK mapped

Ogni tecnica offensiva riporta il codice MITRE ufficiale e la fase della kill chain correlata, per collegare teoria e detection operativa.

Per SOC Analyst e Red Team

Normative integrate

NIS2 (D.Lgs. 138/2024), GDPR, ISO 27001 e CIS Controls v8 collegati a ogni termine dove rilevanti, con riferimenti precisi agli articoli.

Per DPO e Risk Manager

27 link verificati a servizi, corsi e approfondimenti nexsys.it. Da ogni termine accedi direttamente alla consulenza o alla formazione pertinente.

Nexsys verified links

Indice — 60 termini in 6 categorie

🔐

Identity & Access Management

Entra ID · Conditional Access · MFA · PIM · PAM · Passwordless

Zero Trust Microsoft

Zero Trust Security Model

Modello di sicurezza basato sul principio "Never Trust, Always Verify". Ogni richiesta — indipendentemente dall'origine, dalla rete o dall'utente — viene autenticata, autorizzata e validata continuamente prima di concedere l'accesso. Elimina il concetto di perimetro sicuro interno.

Quando è rilevante in aziendaProgetti di modern workplace, accesso remoto sicuro, segmentazione applicativa, compliance NIS2, Zero Trust Network Access (ZTNA) in sostituzione di VPN tradizionali.
Come lo implementa NexsysAttraverso Entra ID, Conditional Access policy tiered, Intune Compliance, MFA phishing-resistant (FIDO2/WHfB), segmentation strategy e Microsoft Secure Score come KPI. → Richiedi una consulenza cybersecurity
CorrelatiConditional Access · MFA · ZTNA · Entra ID · Segmentazione di rete

Conditional Access Entra ID

Microsoft Entra ID — Policy Engine

Motore di policy che consente di applicare controlli di accesso dinamici basati su identità, device, location, rischio calcolato e applicazione target. Rappresenta il piano di controllo del modello Zero Trust Microsoft.

Quando è rilevante in aziendaHardening Microsoft 365, accesso remoto sicuro, enforcement MFA selettivo, device compliance, protezione applicazioni legacy, Named Locations.
Come lo implementa NexsysPolicy tiered (baseline → privileged → sensitive apps), break-glass accounts, exclusion strategy, report-only validation, staged rollout e audit con Workbook Entra. → Consulenza Microsoft Security
CorrelatiZero Trust · MFA · Intune · Entra ID

MFA Microsoft

Multi-Factor Authentication

Metodo di autenticazione che richiede almeno due fattori distinti: qualcosa che sai (password), qualcosa che hai (device/token), qualcosa che sei (biometria). Riduce il rischio di account takeover anche in caso di credenziali compromesse.

Quando è rilevante in aziendaProtezione accessi privilegiati, compliance baseline NIS2/ACN, riduzione rischio BEC, accesso VPN e applicazioni cloud.
Come lo implementa NexsysEnforcement graduale con Conditional Access, Authentication Strength policy, migrazione SMS/OTP → Authenticator app → FIDO2 per account admin. → Identity Protection as a Service
CorrelatiZero Trust · FIDO2 · WHfB · Conditional Access

Windows Hello for Business Microsoft

Passwordless Authentication — WHfB

Tecnologia Microsoft per autenticazione passwordless basata su chiavi asimmetriche protette da TPM (Trusted Platform Module). Il fattore di sblocco locale (PIN/biometria) non viene mai trasmesso in rete.

Quando è rilevante in aziendaPasswordless rollout, riduzione superficie d'attacco phishing, modern authentication strategy, eliminazione password per utenti finali.
Come lo implementa NexsysHybrid/cloud deployment, scelta cloud trust vs certificate trust, provisioning Intune, pilot + rollout enterprise. → Microsoft Solutions Partner
CorrelatiFIDO2 · MFA · Entra ID · Intune

PIM Microsoft

Privileged Identity Management — Entra PIM

Soluzione Microsoft per la gestione just-in-time (JIT) dei ruoli privilegiati in Entra ID, Azure e Microsoft 365. Consente di attivare i ruoli solo quando necessario, con approvazione workflow e audit completo.

Quando è rilevante in aziendaRiduzione standing access per Global Admin, compliance audit, implementazione tier model identità, Zero Trust privileged access.
Come lo implementa NexsysDiscovery ruoli permanenti, migrazione a eligible assignments, configurazione approvatori, alert su attivazioni anomale, integration con Microsoft Sentinel. → Consulenza cybersecurity
CorrelatiPAM · Conditional Access · Entra ID · Zero Trust

PAM Enterprise

Privileged Access Management

Framework e tecnologie per proteggere, monitorare e controllare account privilegiati (admin locali, service account, account condivisi) in ambienti ibridi e on-premise. Include session recording, credential vaulting e password rotation.

Quando è rilevante in aziendaAudit account privilegiati, eliminazione local admin generici, protezione account di servizio, compliance ISO 27001 e NIS2.
Come lo implementa NexsysAudit account privilegiati, LAPS deployment, gMSA per service account, Tier Model AD, integrazione PAM solution enterprise. → Assessment & Hardening AD
CorrelatiPIM · LSASS · Privilege Escalation · Kerberoasting

Entra ID Microsoft

Microsoft Entra ID — già Azure Active Directory

Servizio cloud Microsoft di Identity and Access Management (IAM). Gestisce autenticazione, autorizzazione, SSO e accesso condizionale per utenti, applicazioni e dispositivi sia in cloud che in ambienti ibridi.

Quando è rilevante in aziendaCore identity per Microsoft 365, integrazione applicazioni SaaS, hybrid identity con AD Connect, Conditional Access, B2B/B2C federation.
Come lo implementa NexsysDesign identity ibrido, AD Connect sync/provisioning, hardening tenant, eliminazione legacy auth, Conditional Access design. → Nexsys Microsoft Solutions Partner
CorrelatiConditional Access · PIM · SSO · Entra ID Attacks

SSO Identity

Single Sign-On

Meccanismo che consente all'utente di autenticarsi una sola volta per accedere a più applicazioni e servizi senza reinserire le credenziali. Riduce il password fatigue e centralizza la gestione degli accessi.

Quando è rilevante in aziendaConsolidamento accesso applicazioni SaaS, riduzione helpdesk password reset, integrazione Entra ID con protocolli SAML e OIDC.
Come lo implementa NexsysIntegrazione Enterprise Apps in Entra ID, configurazione SAML/OIDC, provisioning SCIM, monitoring accessi con Entra Sign-in Logs. → Consulenza cybersecurity
CorrelatiEntra ID · SAML/OAuth/OIDC · MFA

FIDO2 / Passkey Passwordless

Fast Identity Online 2 — Standard W3C WebAuthn

Standard aperto per autenticazione passwordless forte basata su crittografia a chiave pubblica. La chiave privata non lascia mai il dispositivo, rendendo impossibili phishing, credential stuffing e MFA fatigue attack.

Quando è rilevante in aziendaProtezione account admin e privilegiati, requisiti di phishing-resistant MFA (NIS2, DORA), passwordless rollout.
Come lo implementa NexsysSecurity key FIDO2 per Global Admin, Passkey in Authenticator per utenti finali, configurazione Authentication Methods in Entra ID. → Identity Protection
CorrelatiWindows Hello for Business · MFA · Conditional Access

SAML / OAuth 2.0 / OIDC

Protocolli di Autenticazione e Federazione

SAML 2.0: protocollo XML per SSO federato. OAuth 2.0: framework di autorizzazione per delegare accesso a risorse. OIDC: strato di identità su OAuth 2.0 per autenticazione moderna. Fondamentali per l'integrazione SaaS enterprise.

Quando è rilevante in aziendaIntegrazione applicazioni SaaS, API security, B2B federation, app custom con accesso Microsoft Graph.
Come lo implementa NexsysConfigurazione Enterprise Applications su Entra ID, token claim mapping, audit app registrations, rimozione consent eccessivi. → Microsoft Solutions Partner
CorrelatiSSO · Entra ID · Microsoft Graph
⚔️

Offensive Security & Active Directory Attacks

Kerberoasting · Pass-the-Hash · Golden Ticket · LSASS · Lateral Movement

Kerberoasting MITRE T1558.003

Active Directory Attack — SPN Abuse

Tecnica offensiva che sfrutta SPN (Service Principal Name) configurati per richiedere ticket TGS cifrati con la chiave dell'account di servizio, per poi tentare il cracking offline della password tramite dizionario o brute force. Uno degli attacchi AD più diffusi nei Red Team engagement.

Quando è rilevante in aziendaAD Security Assessment, Red Team, Purple Team, verifica robustezza password account di servizio.
Come lo mitiga NexsysAudit SPN con BloodHound/PowerView, migrazione a gMSA, enforcement AES-only encryption, password 25+ char su account legacy, detection in Sentinel. → Assessment Hardening AD · Corso Active Directory
CorrelatiAS-REP Roasting · BloodHound · Privilege Escalation · MITRE ATT&CK

AS-REP Roasting MITRE T1558.004

Active Directory Attack — Kerberos Pre-Auth Disabled

Attacco che colpisce account AD con la flag "Do not require Kerberos preauthentication" abilitata. L'attaccante ottiene un blob cifrato con la password dell'utente senza autenticarsi, attaccabile offline. Spesso trovato su account legacy o service account non gestiti.

Quando è rilevante in aziendaAD Security Review, identificazione misconfigurazioni legacy, hardening domain accounts.
Come lo mitiga NexsysAudit account con preauth disabilitata (Get-ADUser -Filter), riabilitazione flag, password forte sugli account impattati, alerting in Sentinel. → Assessment Hardening AD · Guida Hardening AD
CorrelatiKerberoasting · BloodHound · LSASS

Pass-the-Hash MITRE T1550.002

Credential Abuse — NTLM Hash Reuse

Tecnica che consente di autenticarsi su sistemi remoti usando l'hash NTLM di un account invece della password in chiaro. L'hash viene estratto dalla memoria LSASS e riusato per muoversi lateralmente nella rete.

Quando è rilevante in aziendaAmbienti con autenticazione NTLM attiva, assessment post-compromise, lateral movement review.
Come lo mitiga NexsysDisabilitazione NTLM dove possibile, Protected Users group, Credential Guard, LAPS per admin locali, detection con Defender for Identity. → Hardening AD · Penetration Test
CorrelatiLSASS · Lateral Movement · Pass-the-Ticket · PAM

Pass-the-Ticket MITRE T1550.003

Credential Abuse — Kerberos Ticket Reuse

Tecnica che sfrutta ticket Kerberos (TGT o TGS) estratti dalla memoria per impersonare un utente senza conoscerne la password. Variante Kerberos del Pass-the-Hash, usata per lateral movement e privilege escalation in ambienti AD.

Quando è rilevante in aziendaAmbienti Kerberos-heavy, assessment Active Directory post-compromise, rilevamento movimenti laterali.
Come lo mitiga NexsysProtected Users group (blocca ticket cacheabili), Credential Guard, monitoring eventi 4768/4769/4770 in Sentinel. → Assessment Hardening AD
CorrelatiGolden Ticket · Pass-the-Hash · LSASS

Golden Ticket MITRE T1558.001

Kerberos Persistence — KRBTGT Hash Abuse

Tecnica di persistenza avanzata: dopo aver ottenuto l'hash di KRBTGT (il segreto di firma dei ticket Kerberos), l'attaccante può forgiare TGT arbitrari per qualsiasi utente con qualsiasi gruppo e qualsiasi durata — accesso illimitato e persistente al dominio.

Quando è rilevante in aziendaPost-compromise assessment, verifica integrità DC, incident response dopo breach accertato.
Come lo mitiga NexsysDouble reset KRBTGT password (intervallo 10h), audit eventi 4769 con durate anomale, monitoring DCSync rights, Defender for Identity alert. → Incident Response · Hardening AD
CorrelatiDCSync · Silver Ticket · Kerberoasting

Silver Ticket MITRE T1558.002

Kerberos Persistence — Service Account Hash Abuse

L'attaccante forgia un TGS (Service Ticket) usando l'hash dell'account di servizio target, senza comunicazione con il DC. Più stealth del Golden Ticket ma con scope limitato al singolo servizio. Comune in ambienti con account di servizio poco protetti.

Quando è rilevante in aziendaRed Team avanzato, audit account di servizio, verifica monitoring Kerberos.
Come lo mitiga NexsysMigrazione a gMSA (chiavi gestite automaticamente), PAC validation (ValidateKdcPacSignature), monitoring eventi Kerberos anomali. → Assessment AD
CorrelatiGolden Ticket · Kerberoasting · PAM

DCSync MITRE T1003.006

Directory Replication Abuse

Tecnica che abusa dei privilegi di replica AD (DS-Replication-Get-Changes-All) per estrarre hash NTLM e credenziali Kerberos dal Domain Controller, senza accesso interattivo al DC. Consente di estrarre l'hash di qualsiasi account, incluso KRBTGT.

Quando è rilevante in aziendaAudit ACL directory, verifica chi ha diritti di replica, compromise assessment post-breach.
Come lo mitiga NexsysAudit ACL su NC Head (Get-ObjectAcl), rimozione deleghe non necessarie, alerting su eventi 4662 in Sentinel, Defender for Identity detection. → Assessment Hardening AD · MITRE vs AD
CorrelatiGolden Ticket · BloodHound · Privilege Escalation

BloodHound Attack Path

Active Directory Attack Path Analysis

Framework open-source che mappa relazioni, ACL e trust in Active Directory tramite graph theory per identificare percorsi di privilege escalation verso Domain Admin. Usato sia dai Red Team che dai Blue Team per la remediation preventiva.

Quando è rilevante in aziendaSecurity assessment AD, privilege review, remediation permessi eccessivi, Red/Purple Team engagement.
Come lo implementa NexsysAnalisi attack path con SharpHound collector, prioritizzazione remediation su percorsi critici, redesign delegation model e admin tiering. → Assessment Hardening AD · 5 Tool Hardening AD
CorrelatiKerberoasting · DCSync · Privilege Escalation

LSASS MITRE T1003.001

Local Security Authority Subsystem Service — Credential Dumping

Processo Windows che gestisce autenticazione locale e mantiene in memoria credenziali (hash NTLM, ticket Kerberos, password in chiaro con WDigest attivo). Target primario di Mimikatz per il credential dumping post-compromise.

Quando è rilevante in aziendaHardening endpoint, post-compromise forensics, valutazione protezione credenziali su workstation e server.
Come lo mitiga NexsysCredential Guard (VSM isolation), RunAsPPL (Protected Process Light), disabilitazione WDigest, ASR rule "Block credential stealing from LSASS", Defender for Endpoint detection. → Endpoint Protection · Penetration Test
CorrelatiPass-the-Hash · Lateral Movement · EDR

Lateral Movement MITRE TA0008

Post-Exploitation — Network Traversal

Fase di attacco in cui l'avversario si sposta da un sistema compromesso ad altri sistemi nella rete per espandere l'accesso, raccogliere credenziali e avvicinarsi agli obiettivi finali (DC, backup, dati sensibili).

Quando è rilevante in aziendaNetwork segmentation review, SMB relay assessment, post-compromise impact analysis, threat hunting.
Come lo mitiga NexsysMicro-segmentazione, disabilitazione SMBv1, firewall host-based GPO, LAPS, monitoring movimenti con Defender for Identity e Sentinel. → Assessment AD · Penetration Test
CorrelatiPass-the-Hash · LSASS · Segmentazione · MITRE ATT&CK

Privilege Escalation MITRE TA0004

Active Directory — Domain Dominance

Processo con cui un attaccante eleva i propri privilegi da utente normale a livelli superiori (Local Admin → Domain Admin → Enterprise Admin). In Active Directory avviene tramite Kerberoasting, DCSync, Golden Ticket, ACL abuse e unconstrained delegation.

Quando è rilevante in aziendaAD Security Assessment, Tier Model design, Red Team, hardening privilegi.
Come lo mitiga NexsysBloodHound attack path remediation, Admin Tier Model, PIM JIT access, rimozione DA account da workstation, Protected Users group. → Assessment Hardening AD · MITRE ATT&CK vs AD
CorrelatiKerberoasting · DCSync · BloodHound · PAM

Ransomware MITRE T1486

Malware — Data Encryption for Impact

Malware che cifra i dati della vittima e richiede un riscatto. Gli attacchi moderni (double extortion) combinano cifratura e esfiltrazione. Spesso preceduti da lateral movement prolungato e compromise dell'AD prima della detonazione.

Quando è rilevante in aziendaBackup strategy, EDR deployment, incident response planning, business continuity, supply chain risk.
Come lo mitiga NexsysEDR con behavioral detection (SentinelOne/Defender), backup immutabile 3-2-1-1 (Veeam), network segmentation, disable macro, Defender for Business/Endpoint. → Ransomware Recovery · Endpoint Protection
CorrelatiEDR · Backup e Resilienza · Incident Response · Lateral Movement

Phishing / Spear Phishing MITRE T1566

Initial Access — Social Engineering

Tecnica di initial access basata su comunicazioni fraudolente (email, SMS, QR code) che inducono la vittima a rivelare credenziali o eseguire malware. Lo Spear Phishing è mirato a specifici individui con contenuto personalizzato (es. CEO, CFO).

Quando è rilevante in aziendaSecurity awareness training, email gateway tuning, MFA enforcement, phishing simulation.
Come lo mitiga NexsysMicrosoft Defender for Office 365 ATP, phishing simulation con Attack Simulator, MFA phishing-resistant, DMARC/DKIM/SPF, awareness training. → Consulenza cybersecurity
CorrelatiBEC · MFA · Security Awareness · Social Engineering

BEC MITRE T1534

Business Email Compromise

Attacco che compromette o impersona account email aziendali legittimi per frodare aziende tramite bonifici fraudolenti, furto dati o ordini falsi. Spesso non usa malware, solo ingegneria sociale avanzata. Causa perdite medie di oltre 50.000€ per incidente nelle PMI.

Quando è rilevante in aziendaProtezione account Finance/CEO/CFO, email gateway security, rilevamento account takeover M365.
Come lo mitiga NexsysMFA su tutti gli account, anti-spoofing DMARC, Defender for Office 365 impersonation protection, alert su inbox rule anomale in Sentinel. → Consulenza cybersecurity · Identity Protection
CorrelatiPhishing · MFA · Social Engineering

Living off the Land (LotL) MITRE TA0002

Fileless Attack — Native Tools Abuse

Tecnica offensiva che usa strumenti legittimi del sistema operativo (PowerShell, WMI, certutil, mshta, LOLbins) per eseguire azioni malevole, evitando detection basata su signature antivirus tradizionale. Tipica degli APT avanzati e dei ransomware operator.

Quando è rilevante in aziendaHardening endpoint, Script Block Logging, AMSI, rilevamento anomalie comportamentali in EDR.
Come lo mitiga NexsysPowerShell Constrained Language Mode, Script Block Logging, AMSI, ASR rules, behavioral detection Defender for Endpoint. → Endpoint Protection · Penetration Test
CorrelatiEDR · MITRE ATT&CK · Threat Hunting
🛡️

Detection & Response

EDR · SIEM · SOAR · Sentinel · Threat Hunting · Incident Response

EDR Microsoft Defender

Endpoint Detection and Response

Soluzione di sicurezza endpoint focalizzata su analisi comportamentale, telemetry collection e automated response. A differenza dell'antivirus tradizionale, analizza catene di eventi e comportamenti per rilevare minacce sconosciute e attacchi fileless.

Quando è rilevante in aziendaModern SOC, protezione endpoint avanzata, ransomware defense, rilevamento LotL attacks, risposta automatizzata agli incidenti.
Come lo implementa NexsysDeployment Microsoft Defender for Endpoint e SentinelOne, onboarding Intune/SCCM, tuning detection rules, integration Sentinel, ASR rules e threat hunting su telemetry. → Endpoint Protection · SentinelOne Partner
CorrelatiXDR · SIEM · Incident Response · Microsoft Defender XDR

SIEM Microsoft Sentinel

Security Information and Event Management

Piattaforma per raccolta, normalizzazione, correlazione e analisi centralizzata dei log di sicurezza provenienti da fonti eterogenee. Abilita threat detection, alerting, investigation e supporto alla compliance e ai forensics post-incident.

Quando è rilevante in aziendaSOC interno/esterno, compliance logging (NIS2, GDPR), threat detection centralizzata, audit e forensics.
Come lo implementa NexsysDeploy Microsoft Sentinel, connettori dati (M365, Entra, Defender, firewall), use-case engineering KQL, playbook SOAR, cost optimization data tiering. → SOC As a Service · Consulenza cybersecurity
CorrelatiSOAR · Microsoft Sentinel · Threat Hunting · EDR

SOAR Microsoft Sentinel

Security Orchestration, Automation and Response

Tecnologia che automatizza processi di risposta agli incidenti tramite playbook orchestrati: dall'alert al triage, dall'isolamento del dispositivo alla notifica degli stakeholder. Riduce MTTD e MTTR del SOC.

Quando è rilevante in aziendaSOC efficiency, riduzione alert fatigue, automazione response ripetitive, integrazione con ticketing system.
Come lo implementa NexsysPlaybook Microsoft Sentinel (Logic Apps), automazione isolamento device via Defender API, enrichment IoC automatico, integrazione Teams/ServiceNow. → SOC As a Service Nexsys
CorrelatiSIEM · Microsoft Sentinel · Incident Response

Microsoft Sentinel Microsoft

Cloud-Native SIEM/SOAR — Azure

Soluzione Microsoft cloud-native di SIEM e SOAR basata su Azure. Integra nativamente M365 Defender, Entra ID, Defender for Cloud e supporta oltre 200 connettori dati. Usa KQL (Kusto Query Language) per analisi, hunting e detection engineering.

Quando è rilevante in aziendaSOC moderno senza infrastruttura on-premise, ambienti M365/Azure, compliance logging, threat hunting avanzato.
Come lo implementa NexsysDesign architettura LAW, data tiering (Analytics/Basic/Auxiliary), content hub rules, custom KQL detection, Workbooks e Playbook SOAR. → SOC As a Service · Blog M365 Defender
CorrelatiSIEM · SOAR · Threat Hunting · Microsoft Defender XDR

Threat Hunting Proactive Security

Proactive Threat Detection

Processo proattivo di ricerca di indicatori di compromissione e comportamenti anomali all'interno dell'ambiente, prima che gli alert automatici li rilevino. Si basa su ipotesi (hypothesis-driven) e analisi della telemetry con KQL e framework strutturati.

Quando è rilevante in aziendaSOC maturo, post-compromise investigation, ricerca APT dormanti, validazione detection rules esistenti.
Come lo implementa NexsysKQL hunting queries su Sentinel/Defender, framework PEAK/Sqrrl, correlazione MITRE ATT&CK, hypothesis su TTP specifici del settore. → SOC As a Service
CorrelatiSIEM · Microsoft Sentinel · Threat Intelligence · MITRE ATT&CK

Threat Intelligence CTI

Cyber Threat Intelligence — CTI

Informazioni contestualizzate su minacce, attori, TTP e IoC raccolte da fonti OSINT, commerciali e settoriali per orientare decisioni di sicurezza in modo proattivo. Si distingue in strategica (CISO level), tattica (SOC) e operativa (tecnica).

Quando è rilevante in aziendaPrioritizzazione remediation, arricchimento alert SIEM, threat modeling, vendor risk assessment, intelligence-led penetration test.
Come lo implementa NexsysFeed STIX/TAXII in Sentinel, Microsoft Threat Intelligence, correlazione IoC con Defender TI, briefing threat landscape settoriale. → Consulenza cybersecurity
CorrelatiIoC / IoA · Threat Hunting · MITRE ATT&CK · OSINT

Incident Response NIST SP 800-61

Gestione degli Incidenti di Sicurezza

Processo strutturato per rilevare, contenere, eradicare e recuperare da incidenti di sicurezza, minimizzando l'impatto sul business. Fasi NIST: Preparation → Detection → Containment → Eradication → Recovery → Lessons Learned.

Quando è rilevante in aziendaNIS2 incident reporting (72h), business continuity, ransomware response, account compromise, data breach notification GDPR.
Come lo implementa NexsysIR Plan design, runbook development, tabletop exercise, integrazione con Sentinel SOAR per risposta automatizzata, supporto forensics post-incident. → Incident Response Plan Nexsys
CorrelatiSOAR · SIEM · Ransomware · NIS2

MDR Managed Service

Managed Detection and Response

Servizio gestito di detection e response 24/7 erogato da un provider esterno. Combina EDR/SIEM con analisti SOC umani per monitoraggio continuo, triage alert e risposta attiva anche fuori orario.

Quando è rilevante in aziendaPMI senza SOC interno, copertura notturna e festiva, rapido time-to-value sicurezza avanzata senza personale dedicato.
Come lo implementa NexsysValutazione requisiti, selezione piattaforma (Defender/Sentinel-based), SLA definition, handoff procedure, integration con processi aziendali. → SOC As a Service Nexsys
CorrelatiEDR · XDR · SIEM · Incident Response

XDR Microsoft Defender XDR

Extended Detection and Response

Evoluzione dell'EDR che correla telemetry da endpoint, identità, email, applicazioni cloud e rete in una visione unificata. Abilita detection e response multi-layer automatizzata e cross-domain incident investigation.

Quando è rilevante in aziendaSOC moderno, riduzione silos di detection, correlazione incidenti cross-domain, automazione response.
Come lo implementa NexsysMicrosoft Defender XDR (Endpoint + Identity + Office + Cloud Apps), unified incidents view, automated investigation, integration Sentinel. → Endpoint Protection · M365 Defender
CorrelatiEDR · SIEM · Microsoft Defender XDR · MDR

IoC / IoA Indicator

Indicator of Compromise / Indicator of Attack

IoC: evidenze forensi di una compromissione avvenuta (hash file, IP malevolo, dominio, registry key). IoA: segnali di comportamenti potenzialmente malevoli in corso, basati su pattern comportamentali indipendentemente dall'esito.

Quando è rilevante in aziendaEnrichment alert SIEM, threat sharing, blocklist firewall/proxy, hunting, post-incident forensics.
Come lo implementa NexsysFeed IoC su Sentinel (STIX/TAXII, Microsoft TI), correlation rule per IoA behavioral, integrazione Defender TI per context arricchito. → SOC As a Service
CorrelatiThreat Intelligence · Threat Hunting · SIEM
📋

Compliance & Framework Normativi

NIS2 · GDPR · ISO 27001 · CIS Controls · NIST CSF · VA · Pentest

NIS2 D.Lgs. 138/2024

Direttiva UE 2022/2555 — Cybersecurity

Framework normativo europeo recepito in Italia con D.Lgs. 138/2024. Impone obblighi di governance cyber, gestione del rischio, incident reporting entro 72 ore e sicurezza della supply chain a operatori di servizi essenziali e importanti.

Quando è rilevante in aziendaSettori energia, trasporti, sanità, PA, digitale, manifatturiero critico. Adeguamento obbligatorio per soggetti in perimetro ACN con scadenze progressiva dal 2025.
Come lo implementa NexsysGap assessment rispetto ai 10 requisiti minimi, roadmap remediation tecnico-organizzativa, supporto registrazione ACN, policy e procedure ISMS. → Risk Assessment NIS2 · Corso NIS2 · Checklist NIS2
CorrelatiISO 27001 · NIST CSF · Incident Response · Supply Chain Attack

GDPR Reg. UE 2016/679

General Data Protection Regulation

Regolamento europeo sulla protezione dei dati personali. In ambito cybersecurity rileva per gli obblighi di data breach notification (72h al Garante), misure tecnico-organizzative adeguate e gestione del ciclo di vita del dato personale.

Quando è rilevante in aziendaQualsiasi organizzazione che tratta dati di persone fisiche EU. Integrazione con DLP, encryption, IAM e incident response.
Come lo implementa NexsysData classification, Microsoft Purview Information Protection, DLP policy M365, encryption at rest/transit, incident response plan per data breach. → Data Protection as a Service · Consulenza cybersecurity
CorrelatiDLP · NIS2 · Incident Response

ISO 27001 ISMS Standard

Information Security Management System

Standard internazionale per la progettazione e gestione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Versione 2022 include 93 controlli in 4 temi: Organizzativi, Persone, Fisici, Tecnologici.

Quando è rilevante in aziendaCertificazione fornitori, requisiti gare pubbliche, governance cyber strutturata, integrazione con NIS2 e NIST CSF.
Come lo implementa NexsysGap assessment vs Annex A 2022, Statement of Applicability, supporto documentazione ISMS, mapping controlli con CIS Controls e NIS2. → Risk Assessment · Consulenza cybersecurity
CorrelatiNIS2 · CIS Controls · NIST CSF · Vulnerability Assessment

CIS Controls CIS v8

Center for Internet Security Controls — v8 (2021)

Set di 18 controlli prioritizzati per ridurre i rischi cyber più comuni, organizzati in 3 Implementation Group (IG1-IG3) in base alla maturità aziendale. Coprono inventory, patch management, protezione dati, risposta incidenti. Mapping diretto con NIS2 e MITRE ATT&CK.

Quando è rilevante in aziendaBaseline di sicurezza pragmatica per PMI, mapping NIS2, benchmark assessment, roadmap security prioritizzata.
Come lo implementa NexsysAssessment CIS Controls IG1/IG2, prioritizzazione gap per rischio, mapping MITRE e NIS2, piano remediation progressivo. → Risk Assessment
CorrelatiNIST CSF · ISO 27001 · NIS2 · Vulnerability Assessment

NIST CSF 2.0 Framework

NIST Cybersecurity Framework 2.0 (2024)

Framework volontario NIST organizzato in 6 funzioni: Govern, Identify, Protect, Detect, Respond, Recover. Fornisce un linguaggio comune per gestire e comunicare il rischio cyber a tutti i livelli organizzativi, incluso il board.

Quando è rilevante in aziendaGovernance cyber board-level, comunicazione del rischio, alignment NIS2, roadmap strategica sicurezza.
Come lo implementa NexsysSelf-assessment NIST CSF tiers, current vs target profile, piano roadmap per funzione, presentazione executive. → Risk Assessment Nexsys
CorrelatiCIS Controls · ISO 27001 · NIS2

Vulnerability Assessment VA

Identificazione e Classificazione Vulnerabilità

Processo sistematico di identificazione, classificazione e prioritizzazione delle vulnerabilità in sistemi e applicazioni tramite scanner automatizzati e analisi manuale. Produce un report con severity CVSS e remediation roadmap. Non verifica la sfruttabilità effettiva (→ Penetration Test).

Quando è rilevante in aziendaCompliance NIS2/ISO 27001, patch management, pre-migrazione cloud, assessment perimetro esposto, audit fornitori.
Come lo implementa NexsysScansione con Tenable/Defender TVM, analisi CVE critico/alto, correlazione asset inventory, report executive e tecnico, remediation tracking. → Vulnerability Assessment e Pentest · VA vs Pentest: le differenze
CorrelatiPenetration Testing · CIS Controls · MITRE ATT&CK

Penetration Testing Offensive

Test di Intrusione — Ethical Hacking

Simulazione controllata di un attacco reale da parte di un ethical hacker autorizzato per identificare e verificare la sfruttabilità effettiva delle vulnerabilità, prima che lo faccia un attaccante reale. Include exploitation, privilege escalation e post-exploitation controllata.

Quando è rilevante in aziendaPre-go-live applicazioni, compliance NIS2, audit annuale sicurezza, post-remediation validation, assicurazione cyber.
Come lo implementa NexsysExternal/internal pentest, AD-focused pentest (BloodHound, Impacket), web app OWASP, report con PoC e remediation, executive briefing. → Penetration Test Nexsys · Corso Penetration Test
CorrelatiRed Team · Vulnerability Assessment · MITRE ATT&CK

Red Team / Blue Team / Purple Team Adversarial

Simulazione Avversariale Strutturata

Red Team: simula APT reali con TTP avanzate e obiettivi specifici. Blue Team: opera SOC e detection. Purple Team: esercizio collaborativo Red+Blue per migliorare detection e response in modo strutturato, con mapping MITRE ATT&CK sistematico.

Quando è rilevante in aziendaMaturità SOC avanzata, validazione detection rules, simulazione threat actor settoriale, esercitazioni CISO-level.
Come lo implementa NexsysPurple Team con MITRE ATT&CK mapping, atomic test (Atomic Red Team), detection gap analysis, tuning regole Sentinel/Defender. → Penetration Test · MITRE ATT&CK vs AD
CorrelatiPenetration Testing · MITRE ATT&CK · Threat Hunting

Social Engineering MITRE TA0001

Manipolazione Psicologica

Tecniche che sfruttano la psicologia umana (autorità, urgenza, paura, reciprocità) per manipolare le persone a rivelare informazioni o bypassare controlli di sicurezza. Include phishing, vishing, pretexting, baiting e tailgating fisico.

Quando è rilevante in aziendaSecurity awareness training, simulazioni phishing, test di ingegneria sociale autorizzati, policy accesso fisico.
Come lo implementa NexsysPhishing simulation Attack Simulator, awareness training su vettori sociali, test vishing autorizzati, briefing utenti post-simulazione. → Consulenza cybersecurity
CorrelatiPhishing · BEC · Security Awareness · OSINT

OSINT Recon

Open Source Intelligence

Raccolta e analisi di informazioni da fonti pubblicamente disponibili (web, social, WHOIS, Shodan, LinkedIn, GitHub, paste site) per profilare target, identificare asset esposti e supportare attività di intelligence o penetration test (fase Reconnaissance).

Quando è rilevante in aziendaReconnaissance phase pentest, brand monitoring, data leakage detection, vendor risk assessment, threat intelligence.
Come lo implementa NexsysTool (theHarvester, Maltego, Shodan, Censys), ricerca credenziali leaked (HIBP, paste site), analisi esposizione perimetrale, report digital footprint. → Penetration Test
CorrelatiThreat Intelligence · Penetration Testing · Social Engineering

MITRE ATT&CK Framework

Adversarial Tactics, Techniques and Common Knowledge

Knowledge base globale di tattiche, tecniche e procedure (TTP) usate da attaccanti reali, organizzata per matrici (Enterprise, Mobile, ICS). Linguaggio comune per threat modeling, detection engineering e Purple Team in tutto il mondo.

Quando è rilevante in aziendaMapping detection rules, threat intelligence, red team planning, SOC use-case development, security assessment, audit.
Come lo implementa NexsysNavigator per coverage mapping, TTP-based hunting queries KQL, correlazione alert Sentinel con ATT&CK ID, Purple Team su TTP settoriali. → MITRE ATT&CK vs Active Directory · Consulenza cybersecurity
CorrelatiThreat Hunting · Red Team · Threat Intelligence · SIEM
☁️

Cloud Security & Microsoft 365

Entra ID Attacks · PRT · Graph · Defender · Intune · DLP · DevSecOps

Azure / Entra ID Attacks Cloud Offensive

Cloud Identity Attack Techniques

Tecniche offensive specifiche per Azure ed Entra ID: app consent abuse, service principal hijacking, guest account exploitation, Entra role escalation, Cross-Tenant access abuse e sfruttamento misconfigurazioni cloud. In espansione con l'adozione di Microsoft 365 E3/E5.

Quando è rilevante in aziendaCloud security assessment, tenant hardening, revisione app registrations e consent, audit External Identities.
Come lo mitiga NexsysAudit OAuth consent con Microsoft Graph, restrizione user consent, Entra ID Protection, PIM per ruoli cloud, monitoring Service Principal anomali in Sentinel. → Consulenza cybersecurity · Cloud Pentest
CorrelatiPRT / Token Theft · Microsoft Graph · Entra ID · PIM

PRT / Token Theft MITRE T1528

Primary Refresh Token Theft

Il Primary Refresh Token (PRT) è il token di lunga durata usato da Entra ID per Single Sign-On su dispositivi registrati. Se rubato (es. tramite AiTM phishing o malware), consente di impersonare l'utente su tutti i servizi Microsoft bypassando l'MFA.

Quando è rilevante in aziendaProtezione post-MFA, rilevamento AiTM phishing, hardening dispositivi Entra ID registered/joined.
Come lo mitiga NexsysConditional Access con Compliant Device requirement, Token Protection (Entra ID), Defender for Identity alert su token anomali, Continuous Access Evaluation (CAE). → Identity Protection
CorrelatiEntra ID Attacks · Phishing AiTM · Conditional Access

Microsoft Graph Enumeration Microsoft Graph

Cloud Reconnaissance — Graph API Abuse

Tecnica di ricognizione cloud che usa Microsoft Graph API (legittima) con token validi per enumerare utenti, gruppi, applicazioni, device, mail di un tenant M365. Spesso con permessi minimi già sufficienti (User.Read.All) per raccogliere intelligence critica sul tenant.

Quando è rilevante in aziendaAudit app registrations, revisione delegated permissions, detection accessi Graph anomali, cloud pentest.
Come lo mitiga NexsysAudit OAuth consent grants, restrizione application permissions, monitoring Graph API calls in Entra Sign-in Logs e Sentinel. → Cloud Penetration Test
CorrelatiEntra ID Attacks · OAuth 2.0 · PRT

Microsoft Defender XDR Microsoft

Extended Detection and Response — Microsoft 365 Defender

Suite Microsoft XDR che unifica: Defender for Endpoint (EDR), Defender for Identity (AD/Entra monitoring), Defender for Office 365 (email), Defender for Cloud Apps (CASB). Correlazione automatica degli incidenti cross-workload con incident unificato.

Quando è rilevante in aziendaM365 E3/E5, SOC Microsoft-centric, protezione multi-layer email/endpoint/identity/cloud, riduzione silos.
Come lo implementa NexsysOnboarding workload, tuning detection policy, unified incidents dashboard, integration Sentinel, Secure Score optimization. → Endpoint Protection · Approfondimento M365 Defender
CorrelatiXDR · EDR · Microsoft Sentinel · SIEM

Microsoft Intune Microsoft

Unified Endpoint Management — UEM

Soluzione Microsoft cloud-based per la gestione di endpoint (Windows, macOS, iOS, Android). Abilita device compliance, app deployment, configuration baseline e Autopilot provisioning. Fondamentale per l'enforcement del Conditional Access Zero Trust.

Quando è rilevante in aziendaModern workplace, BYOD policy, device compliance enforcement, Autopilot enrollment, software distribution.
Come lo implementa NexsysDesign enrollment (AADJ/Hybrid AADJ), compliance policy, configuration profiles, app deployment, Autopilot OOBE, integration Conditional Access. → Microsoft Solutions Partner
CorrelatiConditional Access · Zero Trust · Windows Hello for Business

DLP Microsoft Purview

Data Loss Prevention

Policy e tecnologie per prevenire la fuoriuscita non autorizzata di dati sensibili verso destinazioni esterne (email, USB, cloud storage, stampa). In M365 si implementa tramite Microsoft Purview DLP con sensitive information types e sensitivity labels.

Quando è rilevante in aziendaProtezione dati personali (GDPR), IP aziendale, dati finanziari, compliance settoriale (DORA, NIS2), controllo shadow IT.
Come lo implementa NexsysData classification Purview, policy DLP su Exchange/Teams/SharePoint/Endpoint, sensitivity labels, audit e alerting Compliance Manager. → Data Protection as a Service
CorrelatiGDPR · Intune · Zero Trust

DevSecOps Security by Design

Development + Security + Operations

Metodologia che integra la sicurezza fin dalle prime fasi del ciclo di sviluppo software (shift-left): SAST/DAST nei pipeline CI/CD, dependency scanning, secret detection, container security e Infrastructure as Code (IaC) security.

Quando è rilevante in aziendaSviluppo applicazioni custom, ambienti DevOps, sicurezza pipeline Azure DevOps/GitHub Actions, compliance OWASP, NIS2 supply chain security.
Come lo implementa NexsysSecurity gate in pipeline, Defender for DevOps (GitHub/ADO), SAST con Semgrep, secret scanning, dependency review, OWASP Top 10 training sviluppatori. → Consulenza cybersecurity
CorrelatiVulnerability Assessment · Penetration Testing · NIS2
🌐

Network Security & Infrastruttura

NGFW · VPN vs ZTNA · DDoS · Supply Chain · Segmentazione · Backup

NGFW — Next-Generation Firewall Network

Next-Generation Firewall

Firewall avanzato con Deep Packet Inspection (DPI), Application Layer filtering, IPS/IDS, SSL inspection e threat intelligence feed real-time. Supera i firewall tradizionali con visibilità applicativa e identità utente.

Quando è rilevante in aziendaPerimeter security, micro-segmentazione, protezione uscita internet, SSL inspection, IPS tuning, protezione OT/IoT.
Come lo implementa NexsysDesign regole NGFW (WatchGuard/Fortinet/Palo Alto), SSL inspection strategy, IPS tuning, integration threat intelligence, logging verso SIEM. → Servizio Firewall Nexsys
CorrelatiSegmentazione · VPN vs ZTNA · Zero Trust

VPN vs ZTNA Remote Access

Virtual Private Network vs Zero Trust Network Access

VPN tradizionale fornisce accesso completo al segmento di rete dopo autenticazione (trust once, access all). ZTNA applica accesso granulare per singola applicazione con verifica continua di identità e device posture — principio Zero Trust.

Quando è rilevante in aziendaSmart working, accesso remoto sicuro, dismissione VPN legacy, modernizzazione accesso applicazioni.
Come lo implementa NexsysValutazione maturità, migrazione progressiva VPN→ZTNA, Entra Application Proxy per app on-prem, Global Secure Access (Entra Private Access) per ZTNA Microsoft-native. → Consulenza cybersecurity · Firewall e Network Security
CorrelatiZero Trust · Conditional Access · Segmentazione

DDoS MITRE T1498

Distributed Denial of Service

Attacco che sfrutta una rete di sistemi distribuiti (botnet) per sovraccaricare un servizio target fino a renderlo indisponibile. Può essere volumetrico (bandwidth), protocol-based o application layer (Layer 7). In crescita come strumento hacktivista.

Quando è rilevante in aziendaServizi web esposti, e-commerce, PA, infrastrutture critiche, eventi pubblici ad alto profilo.
Come lo mitiga NexsysAzure DDoS Protection, Cloudflare/CDN anti-DDoS, rate limiting, geo-blocking, monitoring traffico anomalo, business continuity plan. → Consulenza cybersecurity
CorrelatiNGFW · Incident Response · NIS2

Supply Chain Attack MITRE T1195

Software/Hardware Supply Chain Compromise

Attacco che compromette un fornitore o componente fidato per raggiungere i suoi clienti (es. SolarWinds, 3CX, XZ Utils). Sfrutta la fiducia implicita nelle catene di approvvigionamento IT e software. Uno dei vettori di maggiore preoccupazione per la NIS2.

Quando è rilevante in aziendaVendor risk management, NIS2 supply chain security requirements, audit fornitori software, dipendenze open-source.
Come lo mitiga NexsysVendor risk assessment, inventory dipendenze software (SBOM), network monitoring traffico fornitori, least privilege per software terzi. → Risk Assessment · Consulenza cybersecurity
CorrelatiNIS2 · Threat Intelligence · DevSecOps

Segmentazione di Rete Network Defense

Network Segmentation — Micro-segmentation

Suddivisione della rete in zone logicamente isolate per limitare il blast radius in caso di compromissione. Un attaccante che ottiene accesso a un segmento non può muoversi liberamente verso gli altri. Si implementa con VLAN, ACL, firewall east-west e SDN.

Quando è rilevante in aziendaIsolamento produzione/sviluppo, protezione OT/IoT, riduzione lateral movement, compliance NIS2/PCI DSS.
Come lo implementa NexsysDesign VLAN e ACL, firewall east-west, Windows Firewall profiles GPO, separazione admin workstation, segmentazione OT/IT. → Firewall e Network Security · Consulenza cybersecurity
CorrelatiZero Trust · Lateral Movement · NGFW

Backup e Resilienza Business Continuity

Data Backup — Recovery — Business Continuity

Strategia di protezione e ripristino dati basata sulla regola 3-2-1-1: 3 copie, 2 media diversi, 1 offsite, 1 immutabile (air-gapped). Fondamentale per la resilienza anti-ransomware e la continuità operativa aziendale. Include definizione di RTO e RPO.

Quando è rilevante in aziendaRansomware defense, RTO/RPO definition, compliance NIS2, protezione dati M365, disaster recovery plan.
Come lo implementa NexsysAssessment backup attuale, design 3-2-1-1 (Veeam + Veeam Backup for M365), test restore periodici, immutable repository, monitoring Veeam ONE. → Cloud Backup Nexsys · Disaster Recovery
CorrelatiRansomware · Incident Response · NIS2

Security Awareness Human Security

Formazione e Consapevolezza sulla Sicurezza

Programma strutturato di formazione per costruire comportamenti sicuri negli utenti: riconoscimento phishing, password hygiene, gestione dati sensibili, reporting incidenti. Il fattore umano è coinvolto in oltre il 74% delle violazioni (Verizon DBIR 2024).

Quando è rilevante in aziendaOnboarding dipendenti, compliance NIS2 (formazione obbligatoria), post-phishing simulation, costruzione cultura della sicurezza.
Come lo implementa NexsysPhishing simulation Microsoft Attack Simulator, corsi e-learning M365 Security, workshop live, KPI: click rate, report rate, remediation score. → Formazione cybersecurity Nexsys · Corso NIS2
CorrelatiPhishing · Social Engineering · NIS2

Approfondimenti e Servizi Nexsys

Active Directory Security Assessment & Hardening

Audit completo con BloodHound, analisi attack path, Tier Model, PAM, remediation ACL, detection engineering su Defender for Identity.

Penetration Test per Aziende

External/internal pentest, AD-focused, cloud e web app. Report con PoC, remediation roadmap e presentazione executive. Conformità NIS2.

Consulenza Cybersecurity Nexsys

Assessment, gap analysis, roadmap sicurezza, implementazione Microsoft Security, Zero Trust design. Supporto tecnico-organizzativo completo.

Incident Response Plan

Design del piano IR, runbook operativi, tabletop exercise, gestione attiva degli incidenti ransomware e breach, forensics post-incident.

SOC As a Service

Monitoraggio 24/7 con Microsoft Sentinel e Defender XDR, triage alert, threat hunting proattivo, risposta automatizzata e reporting.

Formazione Cybersecurity

Corsi Active Directory Attack & Defense, Penetration Test, NIS2, Azure Security, Microsoft 365 Security, CEH, CRPT e awareness utenti.

Letture Tecniche Consigliate

MITRE ATT&CK vs Active Directory

Come le tecniche MITRE si applicano all'AD aziendale e come mappare detection e remediation per ogni fase dell'attacco.

5 Tool Gratuiti per Hardening AD

BloodHound, Locksmith, ScriptSentry, ADeleg e Group3r: guida pratica all'uso con checklist operativa per il tuo ambiente.

Checklist NIS2 in 7 Step

Guida pratica con 7 passaggi fondamentali per gestire i rischi e avviare il percorso di conformità alla Direttiva NIS2.

VA vs Penetration Test: le differenze

Analisi delle differenze tra Vulnerability Assessment e Penetration Test: obiettivi, metodologia, impatto e quando usarli.

Microsoft 365 Defender XDR

Architettura della suite XDR Microsoft: Defender for Endpoint, Identity, Office 365 e Cloud Apps in un'unica piattaforma integrata.

Oggetti Computer AD: rischi e sicurezza

CVE-2022-26923, CVE-2021-42278, RBCD abuse: come i machine account diventano vettori di compromissione avanzata.

Hai necessità operative su questi temi?

Nexsys supporta aziende italiane su assessment Active Directory, implementazioni Microsoft Security (Defender XDR, Sentinel, Intune, Entra ID), adeguamento NIS2, Penetration Test e formazione specialistica cybersecurity.

Richiedi una consulenza Vedi i corsi disponibili