6.6.2 Módulo 6 – Prueba de Análisis y Respuesta a Incidentes e Informática Forense Digital respuestas

19 segundos ago Administración de Amenazas Cibernéticas Leave a comment

Última actualización: mayo 13, 2025

6.6.2 Módulo 6 – Prueba de Análisis y Respuesta a Incidentes e Informática Forense Digital Respuestas Español

1. Se solicita al usuario crear un plan de recuperación tras un desastre para una empresa. El usuario necesita que la administración responda algunas preguntas antes de continuar. ¿Cuáles son las tres preguntas que el usuario debe realizar a la administración como parte del proceso de creación de un plan? (Elija tres opciones).

  • ¿Quién es responsable del proceso?
  • ¿Requiere aprobación el proceso?
  • ¿Dónde realiza el proceso la persona?
  • ¿Cuánto tiempo tarda el proceso?
  • ¿Cuál es el proceso?
  • ¿Puede la persona realizar el proceso?
Explicación: Se realizan planes de recuperación tras un desastre según la importancia de un servicio o proceso. Las respuestas a las preguntas de quién, qué, dónde y por qué son necesarias para que un plan sea exitoso.

2. ¿Qué dos acciones pueden ayudar a identificar un host atacante durante un incidente de seguridad? (Elija dos opciones).

  • Registrar la fecha y hora en que se recopiló la evidencia y se corrigió el incidente.
  • Desarrollar criterios de identificación para todas la evidencia, como número de serie, nombre de host y dirección IP.
  • Utilizar un motor de búsqueda en Internet para obtener más información sobre el ataque.
  • Determinar la ubicación de la recuperación y el almacenamiento de toda la evidencia.
  • Validar la dirección IP del actor de la amenaza para determinar si es viable.
Explicación: Las siguientes acciones pueden ayudar a identificar un host atacante durante un incidente de seguridad:

  • Utilizar bases de datos de incidentes para investigar actividades relacionadas.
  • Validar la dirección IP del actor de la amenaza para determinar si es viable.
  • Utilizar un motor de búsqueda en Internet para obtener más información sobre el ataque.
  • Monitorear los canales de comunicación que usan algunos actores de amenazas, como IRC.

3. Según el NIST, ¿qué paso en el proceso de informática forense digital consiste en obtener información relevante a partir de los datos?

  • elaboración de informes
  • análisis
  • examen
  • recolección
Explicación: NIST describe el proceso de informática forense digital como uno compuesto por los siguientes cuatro pasos:

  • Recolección – identificación de posibles fuentes de datos forenses y la obtención, manejo y almacenamiento de esos datos
  • Examen – evaluación y extracción de información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
  • Análisis – sacar conclusiones a partir de los datos. Se deben documentar las características destacadas, como personas, lugares, horas y eventos, entre otras.
  • Informes – preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.

4. ¿Qué acción se debe incluir en un elemento del plan que es parte de una funcionalidad de respuesta ante los incidentes de seguridad informática (CSIRC)?

  • Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.
  • Crear una estructura organizacional y definición de roles, responsabilidades y niveles de autoridad.
  • Priorizar las clasificaciones de gravedad de los incidentes de seguridad.
  • Desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.
Explicación: NIST recomienda crear políticas, planes y procedimientos para establecer y mantener un CSIRC. Un propósito del elemento del plan es desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.

5. Según lo recomendado por NIST, ¿qué fin tiene el elemento de política en una funcionalidad de respuesta ante los incidentes de seguridad informática de una organización?

  • Proporcionar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.
  • Definir cómo los equipos de respuesta ante los incidentes se comunicarán con el resto de la organización y con otras organizaciones.
  • Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.
  • Proporcionar una guía para perfeccionar la funcionalidad de respuesta ante los incidentes.
Explicación: NIST recomienda crear políticas, planes y procedimientos para establecer y mantener un CSIRC. Uno de los fines del elemento de política es detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.

6. Después de que el actor de amenaza realiza una exploración del puerto del servidor web público de una organización e identifica una vulnerabilidad potencial, ¿en qué fase debe entrar el actor de amenaza con el fin de preparar y lanzar un ataque, tal como se definir en la Cadena de Eliminación cibernética?

  • armamentización
  • explotación
  • acción en objetivos
  • reconocimiento
Explicación: La Cadena de Eliminación Cibernética especifica siete pasos (o fases) y secuencias que debe seguir el actor de una amenaza para realizar un ataque:

  • Reconocimiento ─ El actor de amenaza realiza una búsqueda, reúne información y selecciona objetivos.
  • Armamentización ─ El actor de amenaza utiliza la información que obtuvo en la fase de reconocimiento para desarrollar un arma que utilizará contra sistemas objetivo específicos.
  • Entrega ─ El arma se transmite al objetivo mediante un vector de aplicación.
  • Explotación ─ El actor de amenaza utiliza el arma aplicada para quebrar la vulnerabilidad y obtener el control del objetivo.
  • Instalación ─ El actor de amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
  • Comando y Control (CnC) ─ El actor de amenaza establece comando y control (CnC) con el sistema objetivo.
  • Acción en objetivos ─ El actor de amenaza puede realizar acciones en el sistema objetivo y, por lo tanto, lograr su meta original.

7. El actor de una amenaza obtuvo acceso administrativo a un sistema y logró controlar el sistema para lanzar un futuro ataque DDoS mediante el establecimiento de un canal de comunicación con un CnC propiedad del actor de la amenaza. ¿Qué fase de modelo de Cadena de Eliminación Cibernética describe la situación?

  • entrega
  • acción en objetivos
  • explotación
  • comando y control
Explicación: La Cadena de Eliminación Cibernética especifica siete pasos (o fases) y secuencias que debe seguir el actor de una amenaza para realizar un ataque:

  • Reconocimiento ─ El actor de amenaza realiza una búsqueda, reúne información y selecciona objetivos.
  • Armamentización ─ El actor de amenaza utiliza la información que obtuvo en la fase de reconocimiento para desarrollar un arma que utilizará contra sistemas objetivo específicos.
  • Entrega ─ El arma se transmite al objetivo mediante un vector de aplicación.
  • Explotación ─ El actor de amenaza utiliza el arma aplicada para quebrar la vulnerabilidad y obtener el control del objetivo.
  • Instalación ─ El actor de amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
  • Comando y Control (CnC) ─ El actor de amenaza establece comando y control (CnC) con el sistema objetivo.
  • Acción en objetivos ─ El actor de amenaza puede realizar acciones en el sistema objetivo y, por lo tanto, lograr su meta original.

8. Después de contener un incidente que causó la infección con malware de las estaciones de trabajo de usuarios, ¿qué tres procedimientos de corrección eficaces puede implementar una organización para la erradicación? (Elija tres opciones).

  • Desconectar o deshabilitar todos los adaptadores de red inalámbrica y por cable hasta que se complete la corrección.
  • Aplicar actualizaciones y parches al sistema operativo y al software instalado de todos los hosts.
  • Reconstruir servidores DHCP con medios de instalación limpios.
  • Usar copias de respaldo limpias y recientes para la recuperación de los hosts.
  • Reconstruir los hosts con los medios de instalación si no hay copias de seguridad disponibles.
  • Cambiar los valores de nombre y contraseña que tienen asignados todos los dispositivos.
Explicación: Para recuperar las estaciones de trabajo del usuario infectadas, use copias de respaldo limpias y recientes, reconstruya las PC con medios de instalación si no hay copias de respaldo disponibles o si se han comprometido. Además, aplique actualizaciones y parches al sistema operativo y al software instalado de todos los hosts. Se recomienda que todos los usuarios cambien sus contraseñas para las estaciones de trabajo que utilizan. La reconstrucción de servidores DHCP es necesaria solo si estos servidores se ven afectados por el incidente. Tenga en cuenta también que no todos los dispositivos deben cambiar la configuración de nombre y contraseña, a menos que se vea afectada por el incidente.

9. ¿Qué término se utiliza en el modelo de diamante para el análisis de intrusiones para describir una herramienta que utiliza un actor de amenazas contra un sistema objetivo?

  • capacidad
  • infraestructura
  • adversario
  • armamentización
Explicación: El Modelo de Diamante para el análisis de intrusiones contiene cuatro partes:

  • Adversario – la parte responsable de la intrusión
  • Capacidad – una herramienta o técnica que utiliza el adversario para atacar a la víctima
  • Infraestructura – la ruta o rutas de red que utilizan los adversarios para establecer y mantener el comando y control de sus funcionalidades
  • Víctima – el objetivo del ataque.

10. ¿Qué es un marco MITRE ATT&CK?

  • procesos y procedimientos documentados para el análisis forense digital
  • una base de conocimientos sobre el comportamiento de los actores de amenazas
  • una colección de vulnerabilidades de malware y soluciones de prevención
  • líneas guía para la recolección de evidencia
Explicación: El marco MITRE es una base mundial de conocimientos sobre el comportamiento de los actores de amenazas. Se basa en la observación y el análisis de ataques en el mundo real con el propósito de describir el comportamiento del atacante, no el ataque en sí. Está diseñado para permitir el intercambio automatizado de información mediante la definición de estructuras de datos para el intercambio de información entre su comunidad de usuarios y MITRE.

11. ¿Qué afirmación describe la Cadena de Eliminación Cibernética?

  • Es un conjunto de métricas diseñadas para proporcionar un lenguaje común para describir incidentes de seguridad de una manera estructurada y repetible.
  • Especifica protocolos TCP/IP comunes utilizados para frustrar ataques cibernéticos.
  • Identifica los pasos que deben llevar a cabo los adversarios para lograr sus objetivos.
  • Utiliza el modelo OSI para describir ataques cibernéticos en cada una de las siete capas.
Explicación: La Cadena de Eliminación Cibernética se creó con el fin de identificar y prevenir intrusiones cibernéticas al especificar los pasos que deben llevar a cabo los actores de amenazas para cumplir con sus objetivos.

12. ¿Cuál meta-característica en el Modelo de Diamante describe herramientas e información (como software, base de conocimientos Black Hat, nombre de usuario y contraseña) que utiliza el adversario para el evento de intrusión?

  • resultados
  • dirección
  • metodología
  • recursos
Explicación: El elemento de recursos en el Modelo de Diamante se utiliza para describir uno o más recursos externos utilizados por el adversario para el evento de intrusión. Los recursos incluyen software, conocimientos adquiridos por el adversario, información (como nombres de usuario o contraseñas) y medios para llevar a cabo el ataque.

13. La empresa para la que trabaja le ha pedido que cree un plan amplio que incluya DRP y lleve los sistemas críticos a otra ubicación en caso de desastre. ¿Qué tipo de plan se le pide que cree?

  • plan de recuperación ante un desastre
  • plan de continuidad empresarial
  • expectativa de pérdida anual
  • Control de admisión a la red
Explicación: Un plan que va más allá de una respuesta ante un incidente o DRP también permite la planificación de la sucesión en caso de desastre. El plan más amplio debe garantizar que la empresa pueda continuar operando ante un desastre.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2025, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax