Cosa fa#
I controlli di sicurezza sono misure che riducono il rischio. Ogni controllo ha un tipo (dove agisce) e una funzione (come agisce).
TL;DR#
Tipo → dove si trova il controllo
Funzione → cosa fa il controlloUn controllo può avere sia un tipo che una funzione: "Una telecamera CCTV è un controllo Physical + Detective"
Tipi di controllo#
| Tipo | Dove agisce | Esempio |
|---|---|---|
| Technical | Sistemi, software, hardware | Firewall, IDS, encryption, MFA |
| Administrative | Policy, procedure, persone | AUP, training, change management |
| Physical | Spazio fisico | Serrature, badge, telecamere, guardie |
Funzioni di controllo#
| Funzione | Quando agisce | Scopo | Esempio |
|---|---|---|---|
| Preventive | Prima dell'attacco | Impedisce che accada | Firewall, patch, MFA |
| Detective | Durante/dopo | Rileva che è accaduto | SIEM, IDS, audit log, CCTV |
| Corrective | Dopo | Ripristina dopo l'incidente | Backup restore, patch post-breach |
| Compensating | Quando non puoi fixare | Riduce l'esposizione senza risolvere il problema | Firewall davanti a legacy system |
| Deterrent | Prima | Scoraggia l'attaccante | Cartelli "sorveglianza attiva", policy sanzionatorie |
| Directive | Prima | Guida il comportamento | Policy, procedure, training obbligatorio |
Compensating è il più importante per l'esame: quando non puoi fixare o sostituire un sistema (legacy), metti controlli intorno ad esso. Non risolve la vulnerabilità — limita l'esposizione.
Caso reale — Legacy system#
Scenario classico dell'esame e dei SOC reali:
Sistema legacy critico — non può essere patchato o sostituito
|
├── Patch the system → Corrective (ma non puoi farlo)
├── Block from network → Preventive
├── Firewall + disable services → Compensating ← risposta corretta
└── Monitor for anomalies → DetectiveExam anchor: compensating = you can't fix it, so you protect around it.
Per l'esame Security+#
Le domande chiedono spesso di identificare il tipo E la funzione:
"A company posts signs warning of video surveillance" → Tipo: Physical | Funzione: Deterrent
"An organization implements MFA for all logins" → Tipo: Technical | Funzione: Preventive
"A SIEM reviews logs weekly" → Tipo: Technical | Funzione: Detective
Scenario Reale#
Lab 2026-05-10 — Ubuntu con Wazuh:
- Wazuh = Technical + Detective (rileva la reverse shell via auditd)
- UFW firewall = Technical + Preventive (blocca traffico in ingresso)
- auditd = Technical + Detective (monitora syscall)
- Segmentazione rete host-only = Technical + Compensating (isola il lab)
Collegato a#
- dfir — detective controls in azione
- observability — SIEM come detective control
- incident-response-lifecycle — i controlli nel ciclo IR
