Cuestionario del módulo 28 – Prueba de evaluación de alertas Respuestas

14/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 1, 2022

1. Para asegurar que se mantenga la cadena de custodia, ¿qué tres elementos deben registrarse sobre la evidencia que se recopila y se analiza después de un incidente de seguridad? (Elija tres opciones).

  • Hora y fecha en que se recolectó la evidencia
  • Medidas adoptadas para evitar un incidente
  • Vulnerabilidades aprovechadas en un ataque
  • Números de serie y nombres de host de los dispositivos usados como evidencia
  • Ubicación de toda la evidencia
  • Magnitud de los daños ocasionados en los recursos y medios
Explique: El término «cadena de custodia» hace referencia al registro correspondiente de la evidencia recopilada sobre un incidente que es usado como parte de la investigación. La cadena de custodia debe incluir la ubicación de toda la evidencia, la información identificatoria de toda la evidencia (como números de serie y nombres de host), la información identificatoria de todas las personas que manipulan la evidencia, y la fecha y hora en que se recopiló la evidencia.

2. El actor de una amenaza obtuvo acceso administrativo a un sistema y logró controlar el sistema para lanzar un futuro ataque DDoS mediante el establecimiento de un canal de comunicación con un CnC propiedad del actor de la amenaza. ¿Qué fase de modelo de cadena de eliminación cibernética describe la situación?

  • Acción en objetivos
  • Aplicación
  • comando y control
  • Aprovechamiento
Explique: La Cadena de eliminación cibernética especifica siete pasos (o fases) y secuencias que debe seguir el actor de una amenaza para realizar un ataque:
  • Reconocimiento ─ El atacante realiza una búsqueda, reúne información y selecciona objetivos.
  • Preparación ─ El atacante utiliza la información que obtuvo en la fase de reconocimiento para desarrollar un arma que utilizará contra sistemas objetivo específicos.
  • Entrega ─ El arma se transmite al objetivo mediante un vector de aplicación.
  • Aprovechamiento ─ El atacante utiliza el arma aplicada para quebrar la vulnerabilidad y obtener el control del objetivo.
  • Instalación ─ El atacante establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
  • Comando y control (CnC) ─ El atacante establece comando y control (CnC) con el sistema objetivo.
  • Acción en objetivos ─ El atacante puede realizar acciones en el sistema objetivo y, por lo tanto, lograr su meta original.

3. ¿Qué metacaracterística en el modelo de diamante describe herramientas e información (como software, base de conocimientos Black Hat, nombre de usuario y contraseña) que utiliza el adversario para el evento de intrusión?

  • Dirección
  • Metodología
  • Recursos
  • Resultados
Explique: El elemento de recursos en el modelo de diamante se utiliza para describir uno o más recursos externos utilizados por el adversario para el evento de intrusión. Los recursos incluyen software, conocimientos adquiridos por el adversario, información (como nombres de usuario o contraseñas) y medios para llevar a cabo el ataque.

4. ¿Qué acción se debe incluir en un elemento del plan que es parte de una funcionalidad de respuesta ante los incidentes de seguridad informática (CSIRC)?

  • Priorizar las clasificaciones de gravedad de los incidentes de seguridad.
  • Desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.
  • Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.
  • Crear una estructura organizacional y definición de roles, responsabilidades y niveles de autoridad.
Explique: NIST recomienda crear políticas, planes y procedimientos para establecer y mantener un CSIRC. Un fin del elemento del plan es desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.

5. ¿Qué dos acciones pueden ayudar a identificar un host atacante durante un incidente de seguridad? (Elija dos opciones).

  • Validar la dirección IP del actor de la amenaza para determinar si es viable.
  • Registrar la fecha y hora en que se recopiló la evidencia y se corrigió el incidente.
  • Determinar la ubicación de la recuperación y el almacenamiento de toda la evidencia.
  • Desarrollar criterios de identificación para todas la evidencia, como número de serie, nombre de host y dirección IP.
  • Utilizar un motor de búsqueda en Internet para obtener más información sobre el ataque.
Explique: Las siguientes acciones pueden ayudar a identificar un host atacante durante un incidente de seguridad:
  • Utilizar bases de datos de incidentes para investigar actividades relacionadas.
  • Validar la dirección IP del actor de la amenaza para determinar si es viable.
  • Utilizar un motor de búsqueda en Internet para obtener más información sobre el ataque.
  • Monitorear los canales de comunicación que usan algunos actores de amenazas, como IRC.

6. ¿Qué es un marco MITRE ATT&CK?

  • procesos y procedimientos documentados para el análisis forense digital
  • una colección de vulnerabilidades de malware y soluciones de prevención
  • líneas guía para la recolección de evidencia
  • una base de conocimientos sobre el comportamiento de los actores de amenazas
Explique: El marco MITRE es una base mundial de conocimientos sobre el comportamiento de los agentes de amenazas. Se basa en la observación y el análisis de hazañas del mundo real con el propósito de describir el comportamiento del atacante, no el ataque en sí. Está diseñado para permitir el intercambio automatizado de información mediante la definición de estructuras de datos para el intercambio de información entre su comunidad de usuarios y MITRE.

7. Según NIST, ¿qué paso en el proceso forense digital implica identificar fuentes potenciales de datos forenses, su adquisición, manejo y almacenamiento?

  • Análisis
  • Examen
  • Recopilación
  • Elaboración de informes
Explique: NIST describe el proceso de informática forense digital como uno compuesto por los siguientes cuatro pasos:
  • Recopilación – la identificación de posibles fuentes de datos forenses y la obtención, el manejo y el almacenamiento de esos datos
  • Examen – evaluar y extraer información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
  • Análisis – sacar conclusiones a partir de los datos. Se deben documentar las características salientes; por ejemplo: personas, lugares, horas y eventos, entre otras.
  • Elaboración de informes – preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.

8. Cuando se ocupa de amenazas de seguridad y utiliza el modelo de cadena de eliminación cibernética, ¿qué dos enfoques puede utilizar una organización para bloquear posibles ataques en un sistema? (Elija dos opciones).

  • Auditar terminales para determinar el origen del ataque con métodos forenses.
  • Realizar capacitación de toma de conciencia de los empleados y pruebas de correo electrónico.
  • Reunir archivos de registro web y de correo electrónico para una reconstrucción forense.
  • Analizar la ruta de la infraestructura utilizada para la entrega.
  • Realizar un análisis de malware completo.
Explique: Los objetivos de ataque más comunes, una vez aplicada un arma, son las aplicaciones, las vulnerabilidades del sistema operativo y las cuentas de usuario. Entre otras medidas, la realización de capacitación de toma de conciencia de los empleados y pruebas de correo electrónico, así como la auditoría de terminales para determinar el origen del ataque con métodos forenses pueden ayudar a bloquear futuros ataques en los sistemas.

9. ¿Qué término se utiliza en el modelo de diamante para el análisis de intrusiones para describir una herramienta que utiliza un actor de amenazas contra un sistema objetivo?

  • Funcionalidad
  • Adversario
  • Infraestructura
  • Armamentización
Explique: El modelo de diamante para el análisis de intrusiones contiene cuatro partes:
  • Adversario – la parte responsable de la intrusión
  • Funcionalidad – una herramienta o técnica que utiliza el adversario para atacar a la víctima
  • Infraestructura – la ruta o rutas de red que utilizan los adversarios para establecer y mantener el comando y control de sus funcionalidades
  • Víctima – el objetivo del ataque.

10. Según lo recomendado por NIST, ¿qué fin tiene el elemento de política en una funcionalidad de respuesta ante los incidentes de seguridad informática de una organización?

  • Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.
  • Proporcionar una guía para perfeccionar la funcionalidad de respuesta ante los incidentes.
  • Definir cómo los equipos de respuesta ante los incidentes se comunicarán con el resto de la organización y con otras organizaciones.
  • Proporcionar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.
Explique: NIST recomienda crear políticas, planes y procedimientos para establecer y mantener un CSIRC. Uno de los fines del elemento de política es detallar cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización.

11. Según el NIST, ¿qué paso en el proceso de informática forense digital consiste en obtener información relevante a partir de los datos?

  • Examen
  • Análisis
  • Elaboración de informes
  • Recopilación
Explique: NIST describe el proceso de informática forense digital como uno compuesto por los siguientes cuatro pasos:
  • Recopilación– la identificación de posibles fuentes de datos forenses y la obtención, el manejo y el almacenamiento de esos datos
  • Examen – evaluar y extraer información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
  • Análisis – sacar conclusiones a partir de los datos. Se deben documentar las características destacadas, como personas, lugares, horas y eventos, entre otras.
  • Elaboración de informes – preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.

12. ¿Qué afirmación describe la cadena de eliminación cibernética?

  • Identifica los pasos que deben llevar a cabo los adversarios para lograr sus objetivos.
  • Es un conjunto de métricas diseñadas para proporcionar un lenguaje común para describir incidentes de seguridad de una manera estructurada y repetible.
  • Especifica protocolos TCP/IP comunes utilizados para frustrar ataques cibernéticos.
  • Utiliza el modelo OSI para describir ataques cibernéticos en cada una de las siete capas.
Explique: La cadena de eliminación cibernética se creó con el fin de identificar y prevenir intrusiones cibernéticas al especificar los pasos que deben llevar a cabo los actores de amenazas para cumplir con sus objetivos.

13. Después de contener un incidente que causó la infección con malware de las estaciones de trabajo de usuarios, ¿qué tres procedimientos de corrección eficaces puede implementar una organización para la erradicación? (Elija tres opciones).

  • Reconstruir servidores DHCP con medios de instalación limpios.
  • Desconectar o deshabilitar todos los adaptadores de red inalámbrica y por cable hasta que se complete la corrección.
  • Cambiar los valores de nombre y contraseña que tienen asignados todos los dispositivos.
  • Aplicar actualizaciones y parches al sistema operativo y al software instalado de todos los hosts.
  • Reconstruir los hosts con los medios de instalación si no hay copias de seguridad disponibles.
  • Usar copias de respaldo limpias y recientes para la recuperación de los hosts.
Explique: Para recuperar las estaciones de trabajo del usuario infectadas, use copias de respaldo limpias y recientes, reconstruya las PC con medios de instalación si no hay copias de respaldo disponibles o si se han comprometido. Además, aplique actualizaciones y parches al sistema operativo y al software instalado de todos los hosts. Se recomienda que todos los usuarios cambien sus contraseñas para las estaciones de trabajo que utilizan. La reconstrucción de servidores DHCP es necesaria solo si estos servidores se ven afectados por el incidente. Tenga en cuenta también que no todos los dispositivos deben cambiar la configuración de nombre y contraseña, a menos que se vea afectada por el incidente.

14. Después de que el actor responsable de una amenaza realiza una exploración de puerto del servidor web público de una organización e identifica una vulnerabilidad potencial, ¿en qué fase debe entrar el actor con el fin de preparar y lanzar un ataque, tal como se define en la cadena de eliminación cibernética?

Ooooo… You broke it. Bummer.
Show Error Details

  • Acción en objetivos
  • Armamentización
  • Aprovechamiento
  • Reconocimiento

15. ¿Qué tarea describe la atribución de amenazas?

  • Determinar quién es responsable del ataque
  • Obtener la evidencia más volátil
  • Evaluar los datos de alerta del servidor
  • Informar el incidente a las autoridades correspondientes
Explique: La atribución de una amenaza hace referencia a la acción de determinar la persona, la organización o la nación responsable de una intrusión o ataque exitosos. El equipo de investigación de seguridad correlaciona toda la evidencia con el fin de identificar similitudes entre las tácticas, las técnicas y los procedimientos (TPP) de actores de amenazas conocidos y desconocidos.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax