Security threats and their consequences for institutions, businesses, and society are widely acknowledged. This well-established awareness has surely contributed to the birth of numerous instruments for the common regulation of the security domain. Worldwide institutions, especially the European ones, enact complex security legislation to protect the citizens and the infrastructure. This legislation, which encompasses regulations and directives, aims to safeguard data and harmonise security across the European region. Addressed entities must navigate this evolving legal landscape to implement and update their security measures. However, although the legislative text serves to provide a common overview of security practices, its implementation is far from being easily adopted to cover the relevant technical aspects. It follows that understanding, implementing and correlating this legislation towards full compliance and technical security can be difficult and expensive. This dissertation proposes a research stream aimed at deconstructing security legislation, that is, identifying weaknesses in its underlying structure for uncovering potential shortcuts in compliance verification and attack derivation. These aspects are examined by designing sequential methodologies and developing concrete tools that, particularly focusing on the NIS 2 Directive, starting with an analysis of the legislative text, culminate in vulnerability assessment. First, ontologies are used to model the security measures provided in the Directive in a structured manner, allowing the relationships between legal concepts, requirements and controls to be represented in a formalised and structured way. Ontological reasoning then allows compliance to be verified, identifying ambiguities, discrepancies or gaps between regulatory obligations and practical implementation. Attack patterns relating to the security measures of the directive are subsequently identified. The combination of semantic methods, such as semantic similarity and ontological semantics, appropriately codified in algorithms and human expertise, allows the detection of potentially exploitable attack patterns, highlighting possible weaknesses derivable from non-compliance with the measures themselves. These patterns form the basis for building killchains, in which different security frameworks are correlated to simulate realistic attack chains, showing how the attack patterns found can be used in sequence for offensive security activities. Finally, vulnerability confirmation is deepened by advancing an integrated technique with machine learning and fuzzing, allowing the presence of any non-compliance-derived software vulnerability to be confirmed.

Le minacce alla sicurezza e le loro conseguenze per istituzioni, aziende e società sono ampiamente riconosciute. Questa consolidata consapevolezza ha sicuramente contribuito alla nascita di numerosi strumenti per la regolamentazione comune del settore della sicurezza. Le istituzioni di tutto il mondo, in particolare quelle europee, emanano una complessa legislazione in materia di sicurezza per proteggere i cittadini e le infrastrutture. Questa legislazione, che comprende regolamenti e direttive, mira a salvaguardare i dati e ad armonizzare la sicurezza in tutta la regione europea. Gli enti interessati devono orientarsi in questo panorama giuridico in continua evoluzione per implementare e aggiornare le proprie misure di sicurezza. Tuttavia, sebbene il testo legislativo serva a fornire una panoramica comune delle pratiche di sicurezza, la sua implementazione è tutt'altro che semplice da adottare per coprire gli aspetti tecnici rilevanti. Ne consegue che comprendere, implementare e correlare questa legislazione per garantire la piena conformità e la sicurezza tecnica può essere difficile e costoso. Questa tesi propone un filone di ricerca volto a decostruire la legislazione sulla sicurezza, ovvero a identificare i punti deboli nella sua struttura sottostante per individuare potenziali scorciatoie nella verifica della conformità e nella derivazione degli attacchi. Questi aspetti vengono esaminati attraverso la progettazione di metodologie sequenziali e lo sviluppo di strumenti concreti che, concentrandosi in particolare sulla Direttiva NIS 2, a partire dall'analisi del testo legislativo, culminano nella valutazione della vulnerabilità. In primo luogo, le ontologie vengono utilizzate per modellare in modo strutturato le misure di sicurezza previste dalla Direttiva, consentendo di rappresentare in modo formalizzato e strutturato le relazioni tra concetti giuridici, requisiti e controlli. Il ragionamento ontologico consente quindi di verificarne la conformità, individuando ambiguità, discrepanze o lacune tra gli obblighi normativi e l'attuazione pratica. Successivamente vengono identificati i pattern di attacco relativi alle misure di sicurezza della Direttiva. La combinazione di metodi semantici, come la similarità semantica e la semantica ontologica, opportunamente codificati in algoritmi e competenze umane, consente di individuare pattern di attacco potenzialmente sfruttabili, evidenziando possibili debolezze derivanti dalla non conformità alle misure stesse. Questi pattern costituiscono la base per la costruzione di killchain, in cui diversi framework di sicurezza vengono correlati per simulare catene di attacco realistiche, mostrando come i pattern di attacco individuati possano essere utilizzati in sequenza per attività di sicurezza offensive. Infine, la conferma delle vulnerabilità viene approfondita sviluppando una tecnica integrata con apprendimento automatico e fuzzing, consentendo di confermare la presenza di qualsiasi vulnerabilità software derivante dalla non conformità.

Non-Compliance as Insecurity: from Compliance Verification to Attack Derivation [Non-Conformità come Insicurezza: dalla Verifica di Conformità alla Derivazione di Attacchi] / Castiglione, G.. - (2026 Feb 20).

Non-Compliance as Insecurity: from Compliance Verification to Attack Derivation [Non-Conformità come Insicurezza: dalla Verifica di Conformità alla Derivazione di Attacchi]

CASTIGLIONE, Gianpietro
2026-02-20

Abstract

Security threats and their consequences for institutions, businesses, and society are widely acknowledged. This well-established awareness has surely contributed to the birth of numerous instruments for the common regulation of the security domain. Worldwide institutions, especially the European ones, enact complex security legislation to protect the citizens and the infrastructure. This legislation, which encompasses regulations and directives, aims to safeguard data and harmonise security across the European region. Addressed entities must navigate this evolving legal landscape to implement and update their security measures. However, although the legislative text serves to provide a common overview of security practices, its implementation is far from being easily adopted to cover the relevant technical aspects. It follows that understanding, implementing and correlating this legislation towards full compliance and technical security can be difficult and expensive. This dissertation proposes a research stream aimed at deconstructing security legislation, that is, identifying weaknesses in its underlying structure for uncovering potential shortcuts in compliance verification and attack derivation. These aspects are examined by designing sequential methodologies and developing concrete tools that, particularly focusing on the NIS 2 Directive, starting with an analysis of the legislative text, culminate in vulnerability assessment. First, ontologies are used to model the security measures provided in the Directive in a structured manner, allowing the relationships between legal concepts, requirements and controls to be represented in a formalised and structured way. Ontological reasoning then allows compliance to be verified, identifying ambiguities, discrepancies or gaps between regulatory obligations and practical implementation. Attack patterns relating to the security measures of the directive are subsequently identified. The combination of semantic methods, such as semantic similarity and ontological semantics, appropriately codified in algorithms and human expertise, allows the detection of potentially exploitable attack patterns, highlighting possible weaknesses derivable from non-compliance with the measures themselves. These patterns form the basis for building killchains, in which different security frameworks are correlated to simulate realistic attack chains, showing how the attack patterns found can be used in sequence for offensive security activities. Finally, vulnerability confirmation is deepened by advancing an integrated technique with machine learning and fuzzing, allowing the presence of any non-compliance-derived software vulnerability to be confirmed.
20-feb-2026
Le minacce alla sicurezza e le loro conseguenze per istituzioni, aziende e società sono ampiamente riconosciute. Questa consolidata consapevolezza ha sicuramente contribuito alla nascita di numerosi strumenti per la regolamentazione comune del settore della sicurezza. Le istituzioni di tutto il mondo, in particolare quelle europee, emanano una complessa legislazione in materia di sicurezza per proteggere i cittadini e le infrastrutture. Questa legislazione, che comprende regolamenti e direttive, mira a salvaguardare i dati e ad armonizzare la sicurezza in tutta la regione europea. Gli enti interessati devono orientarsi in questo panorama giuridico in continua evoluzione per implementare e aggiornare le proprie misure di sicurezza. Tuttavia, sebbene il testo legislativo serva a fornire una panoramica comune delle pratiche di sicurezza, la sua implementazione è tutt'altro che semplice da adottare per coprire gli aspetti tecnici rilevanti. Ne consegue che comprendere, implementare e correlare questa legislazione per garantire la piena conformità e la sicurezza tecnica può essere difficile e costoso. Questa tesi propone un filone di ricerca volto a decostruire la legislazione sulla sicurezza, ovvero a identificare i punti deboli nella sua struttura sottostante per individuare potenziali scorciatoie nella verifica della conformità e nella derivazione degli attacchi. Questi aspetti vengono esaminati attraverso la progettazione di metodologie sequenziali e lo sviluppo di strumenti concreti che, concentrandosi in particolare sulla Direttiva NIS 2, a partire dall'analisi del testo legislativo, culminano nella valutazione della vulnerabilità. In primo luogo, le ontologie vengono utilizzate per modellare in modo strutturato le misure di sicurezza previste dalla Direttiva, consentendo di rappresentare in modo formalizzato e strutturato le relazioni tra concetti giuridici, requisiti e controlli. Il ragionamento ontologico consente quindi di verificarne la conformità, individuando ambiguità, discrepanze o lacune tra gli obblighi normativi e l'attuazione pratica. Successivamente vengono identificati i pattern di attacco relativi alle misure di sicurezza della Direttiva. La combinazione di metodi semantici, come la similarità semantica e la semantica ontologica, opportunamente codificati in algoritmi e competenze umane, consente di individuare pattern di attacco potenzialmente sfruttabili, evidenziando possibili debolezze derivanti dalla non conformità alle misure stesse. Questi pattern costituiscono la base per la costruzione di killchain, in cui diversi framework di sicurezza vengono correlati per simulare catene di attacco realistiche, mostrando come i pattern di attacco individuati possano essere utilizzati in sequenza per attività di sicurezza offensive. Infine, la conferma delle vulnerabilità viene approfondita sviluppando una tecnica integrata con apprendimento automatico e fuzzing, consentendo di confermare la presenza di qualsiasi vulnerabilità software derivante dalla non conformità.
Security; NIS 2 Directive; Compliance; Attacks
Sicurezza informatica; Direttiva NIS 2; Conformità; Attacchi
Non-Compliance as Insecurity: from Compliance Verification to Attack Derivation [Non-Conformità come Insicurezza: dalla Verifica di Conformità alla Derivazione di Attacchi] / Castiglione, G.. - (2026 Feb 20).
File in questo prodotto:
File Dimensione Formato  
PhD_Thesis.pdf

accesso aperto

Licenza: PUBBLICO - Pubblico con Copyright
Dimensione 9.63 MB
Formato Adobe PDF
9.63 MB Adobe PDF Visualizza/Apri

I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.11769/724674
Citazioni
  • ???jsp.display-item.citation.pmc??? ND
  • Scopus ND
  • ???jsp.display-item.citation.isi??? ND
social impact