# Nuove Frontiere della Sicurezza Informatica: La Tassonomia Cyber dell’ACN

Nel panorama sempre più complesso della sicurezza informatica, un aspetto fondamentale è rappresentato dalla classificazione degli incidenti. A tal proposito, la Tassonomia Cyber dell’ACN (TC-ACN) si propone come un nuovo standard italiano, adottato ufficialmente a luglio 2024. Questo strumento offre una piattaforma comune per descrivere eventi e incidenti di sicurezza informatica, contribuendo a superare la frammentazione terminologica che caratterizza attualmente il settore.

## Obiettivi della Tassonomia ACN

L’interesse principale della TC-ACN è quello di creare un linguaggio uniforme, che faciliti la comunicazione e lo scambio di informazioni tra le diverse entità coinvolte nella gestione della sicurezza informatica. Con una struttura metodologica ben definita, la TC-ACN si propone di rappresentare un valido supporto sia per la condivisione d’informazioni riguardanti gli eventi cyber, sia per la corretta notifica degli incidenti al CSIRT Italia.

Questo nuovo standard si distingue per la sua complessità, superando i tradizionali modelli di classificazione degli incidenti. Infatti, mentre la “Reference Incident Classification Taxonomy” di ENISA si basa su 11 classi e 32 tipi di incidente, la TC-ACN offre una prospettiva molto più dettagliata, con ben 144 attributi e 22 predicati organizzati in quattro macrocategorie principali.

## Le Quattro Macrocategorie della TC-ACN

La tassonomia ACN è articolata in quattro macrocategorie, ognuna delle quali fornisce informazioni specifiche e dettagliate sugli incidenti:

1. **Baseline Characterization (BC)**: Questa categoria rappresenta il punto di partenza per l’analisi degli incidenti. Essa si concentra sul livello zero dell’investigazione, che include la valutazione dei danni subiti, la natura dell’attacco e la sua estensione. Inoltre, contribuisce a definire i confini geografici e organizzativi dell’evento, offrendo così una visione globale della situazione.

2. **Threat Type (TT)**: In questa sezione, si approfondiscono gli aspetti tecnici legati all’incidente, analizzando le vulnerabilità sfruttate e le tecniche d’attacco utilizzate (ad esempio, phishing, malware, exploit di sistema, etc.). Questo livello di dettaglio è cruciale per comprendere le modalità di attacco e prevenire future minacce.

3. **Threat Actor (TA)**: Qui si evidenziano l’origine e la responsabilità dell’attacco. L’attore che ha perpetrato l’incidente può essere un individuo, un gruppo criminale organizzato, un insider o persino un’entità statale. Comprendere le motivazioni e le risorse a disposizione dell’attore consente di valutare in modo più preciso i rischi associati all’incidente e di adottare contromisure adeguate.

4. **Additional Context (AC)**: Infine, questa categoria raccoglie dettagli ulteriore che possono influenzare la comprensione dell’evento e le strategie di risposta. Include informazioni su sistemi colpiti (server, endpoint, reti specifiche), eventuali correlazioni con eventi precedenti, strumenti di sicurezza in uso e possibili scenari di escalation.

## Un Cambiamento di Paradigma

A differenza della tassonomia tradizionale di ENISA, che tende a categorizzare gli eventi in classi rigide (come disponibilità, frode, raccolta di informazioni, ecc.), la TC-ACN adotta un approccio più espressivo. Essa si ispira alla gestione delle vulnerabilità secondo il Common Vulnerability Scoring System (CVSS), fornendo vettori descrittivi che delineano in modo più dettagliato la tipologia di minaccia, l’origine e la motivazione dell’attacco, l’impatto, le tecniche e i sistemi coinvolti.

Ad esempio, un vettore TC-ACN come “BC:IM-DE BC:RO-MA BC:SE-HI BC:VG-IT” indicherebbe un incidente che ha provocato l’esposizione di dati riservati sul territorio nazionale, classificato come grave, e causato da atti malevoli. La capacità di esprimere una simile complessità di informazioni permette una caratterizzazione degli incidenti da molteplici punti di vista, facilitando sia la mitigazione delle minacce che la condivisione delle informazioni tra tutti i soggetti coinvolti.

## L’Implementazione della Tassonomia Cyber dell’ACN

Adottare la TC-ACN presenta sfide, poiché la