CSIR Incident Command
INC-— SEV-— LIVE
CSIR
Cyber Security Incident Roleplay

Centro di comando per la gestione simulata di incidenti cyber. Configura il deployment, assumi il comando e affronta le conseguenze tecniche, legali e normative sotto pressione.

💾 Sessione in corso ()
Junior SOCGuidato, conseguenze indulgenti, più contesto
Incident ResponderBilanciato, realismo standard
CISO in crisiSpietato, pressione massima, scoring severo
🎲 GenerataOrganizzazione realistica auto-generata
✏️ PersonalizzataDefinisci settore e dimensioni qui sotto

MAX 10 SESSIONI · PAUSA SICUREZZA 10 MIN · 100% LOCALE · NO DATA EXFIL

Powered by StepDesign
SIMULAZIONE CONCLUSA
INVIO = esegui · SHIFT+INVIO = a capo · pulsanti rapidi sopra

// REGOLE OPERATIVE

CSIR è una simulazione di Cyber Incident Response a bivi, ancorata a framework reali (MITRE ATT&CK, NIST IR) e obblighi normativi (NIS2, GDPR). Vesti il ruolo del responsabile della gestione di un incidente informatico.

Configurazione

  • Livello operatore — Junior SOC (guidato), Incident Responder (standard), CISO in crisi (spietato)
  • Scenario — casuale o da libreria curata (ransomware sanità, BEC banca, supply chain, insider PA, cloud M365, OT utility…)
  • Organizzazione — generata automaticamente o personalizzata

Struttura

Circa 20 nodi. Ogni nodo: scenario narrativo + tecnica MITRE ATT&CK + pressione organizzativa + 5-6 scelte.

Le scelte

Opz.TipoEsempi
ATecnicaIsolamento, containment, blocco account, patching, reset credenziali
BLegale/ComunicazioneDPO, notifica autorità, comunicazione, media
CForensics/MonitoringThreat hunting, log, forensics, timeline
DEscalationMSSP, consulenti, BCP, negoziazione
EAlternativaRecovery, continuità, azione rischiosa
F🎓 ConsulenteConsiglio senza azione (max 5/partita)

Doppia scelta: combina due lettere (AC, BD). Esiti: entrambe / solo una / nessuna funziona.

Punteggio e valutazione

Ogni scelta riceve 1–10 (severo). Criteri: impatto tecnico, economico, normativo, reputazionale, tempestività. La IR Dashboard a destra traccia in tempo reale severità, punteggio, kill-chain, clock simulato e stato degli obblighi.

MediaEsito
8.5–10⭐⭐⭐ Successo completo
6.5–8.4⭐⭐ Successo parziale
4.5–6.4⭐ Compromissione significativa
2.5–4.4❌ Fallimento della gestione
<2.5💀 Crisi aziendale

Filosofia

  • Nessun successo automatico
  • Conseguenze cumulative e realistiche
  • Trade-off reali (velocità vs accuratezza, contenimento vs continuità)
  • Gli obblighi NIS2/GDPR scattano nel tempo: notificare tardi penalizza

A fine sessione puoi scaricare il report After-Action (stampabile / PDF) con timeline decisioni, punteggi e gap normativi.

🛡️ NIS2

Network and Information Security Directive 2 (UE 2022/2555) — la direttiva europea che ridefinisce la cybersecurity per le organizzazioni critiche.

18
settori regolamentati
160k+
organizzazioni UE
€10M
sanzione max (essenziale)
24h
notifica iniziale
72h
notifica completa
1 mese
rapporto finale

Cos'è

NIS2 sostituisce NIS1 con requisiti più stringenti, responsabilità diretta del management, obblighi di notifica e sanzioni significative. In Italia recepita dal D.Lgs. 138/2024; l'autorità competente è l'ACN.

Chi è soggetto

🔴 Soggetti Essenziali

  • Energia, trasporti, banche, mercati finanziari
  • Sanità, farmaceutico
  • Acqua potabile e reflue
  • Infrastrutture digitali, cloud
  • PA, spazio

🟡 Soggetti Importanti

  • Servizi postali, corrieri
  • Gestione rifiuti, chimica, alimentare
  • Manifattura (dispositivi medici, macchinari)
  • Fornitori digitali, ricerca

Obblighi

  • Governance — il management approva e supervisiona; responsabilità personale dei dirigenti
  • Gestione del rischio — politiche, business continuity, sicurezza supply chain
  • Misure tecniche — MFA, cifratura, patch management, endpoint security
  • Incident response — procedure documentate e testate
  • Notifica incidenti — al CSIRT nazionale in tre fasi

Tempistiche di notifica

ENTRO 24 ORE
Early warning al CSIRT: si sospetta atto intenzionale? Impatto transfrontaliero?
ENTRO 72 ORE
Notifica incidente: valutazione iniziale, gravità, IoC.
SU RICHIESTA
Rapporto intermedio, se richiesto dall'autorità.
ENTRO 1 MESE
Relazione finale: descrizione completa, root cause, misure, impatto.

Sanzioni

Soggetti Essenziali

Fino a €10.000.000 o 2% del fatturato mondiale annuo (il maggiore).

Soggetti Importanti

Fino a €7.000.000 o 1,4% del fatturato mondiale annuo.

Possibile sospensione delle certificazioni e — per gli essenziali — divieto temporaneo ai dirigenti di esercitare funzioni manageriali.

GDPR in parallelo

In caso di violazione di dati personali si applica anche il GDPR: notifica al Garante entro 72h (art. 33) e, se alto rischio, comunicazione agli interessati (art. 34). Le due notifiche coesistono e nella simulazione vengono tracciate separatamente.

// THREAT INTEL 2024-2025

Dati sullo stato della sicurezza informatica globale e in Italia.

4.88M$
costo medio data breach (IBM 2024)
277
giorni medi per identificare un breach
94%
malware via email
74%
breach con elemento umano
+49%
ransomware 2024
3.5M
posizioni cyber aperte (mondo)

Vettori di attacco principali

🎣 Phishing / Spear Phishing

Vettore n°1. ~36% dei breach inizia qui. T1566

🔐 Credenziali compromesse

Credential stuffing, dark web. T1078

💣 Ransomware

Riscatto medio ~$2.7M. Sanità, PA, manifattura. T1486

🔗 Supply Chain

Fornitori e software terzi (SolarWinds, Log4j). T1195

🕵️ Insider Threat

~19% dei breach. Difficile da rilevare. T1078.002

☁️ Cloud Misconfig

Bucket pubblici, API key esposte. T1530

🔓 VPN / Remote Access

Vulnerabilità su edge device. T1133

🏭 OT/ICS

Infrastrutture critiche, impatto fisico. T0867

NIST Incident Response — le 6 fasi

1

Preparazione

Politiche, runbook, CSIRT, SIEM/EDR, tabletop. ~60% non ha un piano documentato.

2

Identificazione

Rilevamento via alert, log, segnalazioni. Tempo medio ~194 giorni.

3

Contenimento

Isolamento sistemi compromessi (short e long term).

4

Eradicazione

Rimozione malware, chiusura backdoor, reset credenziali, patch.

5

Recovery

Ripristino in produzione, test integrità, monitoraggio intensificato.

6

Lessons Learned

Root cause, aggiornamento runbook, comunicazioni, notifiche normative.

🇮🇹 Italia 2024

  • Tra i paesi UE più colpiti da ransomware
  • PA settore più attaccato
  • ACN gestisce migliaia di eventi/anno via CSIRT Italia
  • Solo ~34% delle PMI ha un piano di incident response
  • D.Lgs. 138/2024 recepisce NIS2

Framework

NIST CSF 2.0

Govern, Identify, Protect, Detect, Respond, Recover.

ISO/IEC 27001

ISMS certificabile a livello internazionale.

MITRE ATT&CK

Tattiche e tecniche degli attaccanti; base per detection e threat hunting.

DORA (UE 2022/2554)

Resilienza operativa digitale per il settore finanziario (dal 2025).