Última actualización: abril 1, 2022
1. Para asegurar que se mantenga la cadena de custodia, ¿qué tres elementos deben registrarse sobre la evidencia que se recopila y se analiza después de un incidente de seguridad? (Elija tres opciones).
- Hora y fecha en que se recolectó la evidencia
- Medidas adoptadas para evitar un incidente
- Vulnerabilidades aprovechadas en un ataque
- Números de serie y nombres de host de los dispositivos usados como evidencia
- Ubicación de toda la evidencia
- Magnitud de los daños ocasionados en los recursos y medios
2. El actor de una amenaza obtuvo acceso administrativo a un sistema y logró controlar el sistema para lanzar un futuro ataque DDoS mediante el establecimiento de un canal de comunicación con un CnC propiedad del actor de la amenaza. ¿Qué fase de modelo de cadena de eliminación cibernética describe la situación?
- Acción en objetivos
- Aplicación
- comando y control
- Aprovechamiento
- Reconocimiento ─ El atacante realiza una búsqueda, reúne información y selecciona objetivos.
- Preparación ─ El atacante utiliza la información que obtuvo en la fase de reconocimiento para desarrollar un arma que utilizará contra sistemas objetivo específicos.
- Entrega ─ El arma se transmite al objetivo mediante un vector de aplicación.
- Aprovechamiento ─ El atacante utiliza el arma aplicada para quebrar la vulnerabilidad y obtener el control del objetivo.
- Instalación ─ El atacante establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
- Comando y control (CnC) ─ El atacante establece comando y control (CnC) con el sistema objetivo.
- Acción en objetivos ─ El atacante puede realizar acciones en el sistema objetivo y, por lo tanto, lograr su meta original.
3. ¿Qué metacaracterística en el modelo de diamante describe herramientas e información (como software, base de conocimientos Black Hat, nombre de usuario y contraseña) que utiliza el adversario para el evento de intrusión?
- Dirección
- Metodología
- Recursos
- Resultados
4. ¿Qué acción se debe incluir en un elemento del plan que es parte de una funcionalidad de respuesta ante los incidentes de seguridad informática (CSIRC)?
- Priorizar las clasificaciones de gravedad de los incidentes de seguridad.
- Desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.
- Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.
- Crear una estructura organizacional y definición de roles, responsabilidades y niveles de autoridad.
5. ¿Qué dos acciones pueden ayudar a identificar un host atacante durante un incidente de seguridad? (Elija dos opciones).
- Validar la dirección IP del actor de la amenaza para determinar si es viable.
- Registrar la fecha y hora en que se recopiló la evidencia y se corrigió el incidente.
- Determinar la ubicación de la recuperación y el almacenamiento de toda la evidencia.
- Desarrollar criterios de identificación para todas la evidencia, como número de serie, nombre de host y dirección IP.
- Utilizar un motor de búsqueda en Internet para obtener más información sobre el ataque.
- Utilizar bases de datos de incidentes para investigar actividades relacionadas.
- Validar la dirección IP del actor de la amenaza para determinar si es viable.
- Utilizar un motor de búsqueda en Internet para obtener más información sobre el ataque.
- Monitorear los canales de comunicación que usan algunos actores de amenazas, como IRC.
6. ¿Qué es un marco MITRE ATT&CK?
- procesos y procedimientos documentados para el análisis forense digital
- una colección de vulnerabilidades de malware y soluciones de prevención
- líneas guía para la recolección de evidencia
- una base de conocimientos sobre el comportamiento de los actores de amenazas
7. Según NIST, ¿qué paso en el proceso forense digital implica identificar fuentes potenciales de datos forenses, su adquisición, manejo y almacenamiento?
- Análisis
- Examen
- Recopilación
- Elaboración de informes
- Recopilación – la identificación de posibles fuentes de datos forenses y la obtención, el manejo y el almacenamiento de esos datos
- Examen – evaluar y extraer información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
- Análisis – sacar conclusiones a partir de los datos. Se deben documentar las características salientes; por ejemplo: personas, lugares, horas y eventos, entre otras.
- Elaboración de informes – preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.
8. Cuando se ocupa de amenazas de seguridad y utiliza el modelo de cadena de eliminación cibernética, ¿qué dos enfoques puede utilizar una organización para bloquear posibles ataques en un sistema? (Elija dos opciones).
- Auditar terminales para determinar el origen del ataque con métodos forenses.
- Realizar capacitación de toma de conciencia de los empleados y pruebas de correo electrónico.
- Reunir archivos de registro web y de correo electrónico para una reconstrucción forense.
- Analizar la ruta de la infraestructura utilizada para la entrega.
- Realizar un análisis de malware completo.
9. ¿Qué término se utiliza en el modelo de diamante para el análisis de intrusiones para describir una herramienta que utiliza un actor de amenazas contra un sistema objetivo?
- Funcionalidad
- Adversario
- Infraestructura
- Armamentización
- Adversario – la parte responsable de la intrusión
- Funcionalidad – una herramienta o técnica que utiliza el adversario para atacar a la víctima
- Infraestructura – la ruta o rutas de red que utilizan los adversarios para establecer y mantener el comando y control de sus funcionalidades
- Víctima – el objetivo del ataque.
10. Según lo recomendado por NIST, ¿qué fin tiene el elemento de política en una funcionalidad de respuesta ante los incidentes de seguridad informática de una organización?
- Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.
- Proporcionar una guía para perfeccionar la funcionalidad de respuesta ante los incidentes.
- Definir cómo los equipos de respuesta ante los incidentes se comunicarán con el resto de la organización y con otras organizaciones.
- Proporcionar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.
11. Según el NIST, ¿qué paso en el proceso de informática forense digital consiste en obtener información relevante a partir de los datos?
- Examen
- Análisis
- Elaboración de informes
- Recopilación
- Recopilación– la identificación de posibles fuentes de datos forenses y la obtención, el manejo y el almacenamiento de esos datos
- Examen – evaluar y extraer información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
- Análisis – sacar conclusiones a partir de los datos. Se deben documentar las características destacadas, como personas, lugares, horas y eventos, entre otras.
- Elaboración de informes – preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.
12. ¿Qué afirmación describe la cadena de eliminación cibernética?
- Identifica los pasos que deben llevar a cabo los adversarios para lograr sus objetivos.
- Es un conjunto de métricas diseñadas para proporcionar un lenguaje común para describir incidentes de seguridad de una manera estructurada y repetible.
- Especifica protocolos TCP/IP comunes utilizados para frustrar ataques cibernéticos.
- Utiliza el modelo OSI para describir ataques cibernéticos en cada una de las siete capas.
13. Después de contener un incidente que causó la infección con malware de las estaciones de trabajo de usuarios, ¿qué tres procedimientos de corrección eficaces puede implementar una organización para la erradicación? (Elija tres opciones).
- Reconstruir servidores DHCP con medios de instalación limpios.
- Desconectar o deshabilitar todos los adaptadores de red inalámbrica y por cable hasta que se complete la corrección.
- Cambiar los valores de nombre y contraseña que tienen asignados todos los dispositivos.
- Aplicar actualizaciones y parches al sistema operativo y al software instalado de todos los hosts.
- Reconstruir los hosts con los medios de instalación si no hay copias de seguridad disponibles.
- Usar copias de respaldo limpias y recientes para la recuperación de los hosts.
14. Después de que el actor responsable de una amenaza realiza una exploración de puerto del servidor web público de una organización e identifica una vulnerabilidad potencial, ¿en qué fase debe entrar el actor con el fin de preparar y lanzar un ataque, tal como se define en la cadena de eliminación cibernética?
Ooooo… You broke it. Bummer.
Show Error Details
- Acción en objetivos
- Armamentización
- Aprovechamiento
- Reconocimiento
15. ¿Qué tarea describe la atribución de amenazas?
- Determinar quién es responsable del ataque
- Obtener la evidencia más volátil
- Evaluar los datos de alerta del servidor
- Informar el incidente a las autoridades correspondientes