Examen de práctica de certificación CyberOps Associate (200-201) Respuestas

24/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 4, 2022

CyberOps Associate (Versión 1.0) – Examen de práctica de certificación CyberOps Associate (200-201) Preguntas y Respuestas Español

1. Una la definición con el término Microsoft Windows. (No se utilizan todas las opciones).

Otro caso:

2. Una el término de Windows con la descripción.

3. Consulte la ilustración. Un especialista en seguridad comprueba si los archivos en el directorio contienen datos ADS. ¿Qué switch debe usarse para demostrar que un archivo tiene ADS conectados?

  • /r
  • /a
  • /d
  • /s
Explique: Mediante el uso de NTFS, los flujos de datos alternativos (ADS) pueden conectarse con un archivo como un atributo denominado $DATA. El comando dir /r puede utilizarse para ver si un archivo contiene datos ADS.

4. Consulte la ilustración. ¿Qué porcentaje aproximado de la memoria física sigue estando disponible en este sistema de Windows?

  • 32%
  • 53%
  • 68%
  • 90%
Explique: En el gráfico vemos que hay 5,1 GB (187 MB) de memoria en uso y que todavía hay 10,6 GB disponibles. Esto suma 16 GB de memoria física total. 5 GB es aproximadamente el 32% de 16 GB, de manera que sigue habiendo un 68% disponible.

5. ¿Qué aplicación de Windows suele utilizar un analista especializado en ciberseguridad para ver registros de acceso de IIS de Microsoft?

  • Word
  • SIEM
  • Bloc de notas
  • Visor de eventos
Explique: El Visor de eventos es una aplicación en un dispositivo con Windows que se usa para visualizar registros de eventos, incluidos registros de acceso de IIS.

6. ¿Qué herramienta de Windows puede utilizar un administrador de ciberseguridad para asegurar computadoras independientes que no forman parte de un dominio de Active Directory?

  • PowerShell
  • Política de seguridad local
  • Firewall de Windows
  • Windows Defender
Explique: Los sistemas de Windows que no son parte de un dominio de Active Directory pueden utilizar la política de seguridad local de Windows para aplicar la configuración de seguridad cada sistema autónomo.

7. Consulte la ilustración. Un analista especializado en seguridad está revisando los registros de un servidor web Apache. ¿Qué medida debería adoptar el analista en función de la salida que se muestra?

  • Ignorar el mensaje.
  • Reiniciar el servidor.
  • Notificar a la administración de seguridad correspondiente del país.
  • Notificar al administrador del servidor.
Explique: Un servidor web Apache es un servidor de código abierto que ofrece páginas web. Los registros de acceso de seguridad de un servidor web Apache incluyen un código HTTP de 3 dígitos que representa el estado de la solicitud web. Un código que empieza con 2 indica acceso satisfactorio. Un código que empieza con 3 representa redireccionamiento. Un código que empieza con 4 representa un error de cliente. Un código que empieza con 5 representa un error de servidor. El administrador del servidor debe recibir una notificación si se produce un error de servidor como el código 503.

8. Consulte la ilustración. ¿Qué tecnología contendría información similar a los datos que se muestran para los dispositivos de infraestructura dentro de una compañía?

  • Servidor Apache
  • HIDS
  • Firewall
  • Servidor Syslog
Explique: Un servidor Syslog se consolida y mantiene mensajes de dispositivos de infraestructura que se han configurado para enviar información de registro. Los datos del servidor Syslog pueden ser analizados para detectar anomalías.

9. ¿Qué dos algoritmos usan una función hash para garantizar la integridad en los mensajes? (Elija dos opciones).

  • AES
  • MD5
  • SEAL
  • SHA
  • 3DES
Explique: Los algoritmos de hash se utilizan para proporcionar integridad de los datos, lo que garantiza que los datos no se cambien durante la transmisión. MD5 y SHA son algoritmos de hash de uso frecuente.

10. Un profesional de seguridad le hace recomendaciones a una empresa para mejorar la seguridad de los terminales. ¿Qué tecnología de seguridad de terminal se recomendaría como un sistema basado en agentes para brindar protección a hosts contra malware?

  • IPS
  • HIDS
  • Determinación de líneas de base
  • Listas negras
Explique: Un sistema de detección de intrusiones basado en host (HIDS) es una aplicación de seguridad integral que ofrece aplicaciones de antimalware, firewall, monitoreo y elaboración de informes.

11. ¿Qué configuración de seguridad de terminales utilizaría un analista especializado en seguridad para determinar si una computadora ha sido configurada para impedir la ejecución de una aplicación en particular?

  • Servicios
  • Determinación de líneas de base
  • Listas negras
  • Listas blancas
Explique: Las listas negras pueden utilizarse en un sistema local o actualizarse en dispositivos de seguridad, como un firewall. Las listas negras pueden ingresarse manualmente u obtenerse de un sistema de seguridad centralizado. Las listas negras son aplicaciones que no se ejecutan porque suponen un riesgo de seguridad para el sistema individual y, potencialmente, para la empresa.

12. ¿Qué tipo de evidencia no puede comprobar un hecho de seguridad de RI por sí sola?

  • Confirmatoria
  • La mejor
  • Rumores
  • Indirecta
Explique: La evidencia indirecta no puede comprobar un hecho por sí sola; en cambio, la evidencia directa sí puede. La evidencia confirmatoria es información de respaldo. La mejor evidencia es más confiable porque es algo concreto, como un contrato firmado.

13. El administrador SOC está revisando las métricas del trimestre del calendario anterior y descubre que el MTTD sufrió una violación de la seguridad de contraseñas llevada a cabo a través de Internet y que fue de cuarenta días. ¿Qué representa la métrica MTTD dentro del SOC?

  • El tiempo promedio que se tarda en identificar incidentes de seguridad válidos que se han producido
  • El tiempo necesario para evitar que el incidente cause más daños a los sistemas o datos
  • El tiempo promedio que tarda en detenerse y remediarse un incidente de seguridad
  • El tiempo necesario para detener la propagación de malware en la red
Explique: Cisco define MTTD como el tiempo promedio que tarda el personal SOC en identificar que se han producido incidentes de seguridad válidos en la red.

14. Una el término de sistema de archivos utilizado en Linux con la función.

Explique: Los objetivos de certificación catalogan la frase “sistema de intercambio de archivos” como un término que se pueden definir en relación con el sistema de archivos de Linux. Espacio de intercambio, archivo de intercambio o partición de intercambio son otros términos que describen el espacio de disco duro que se utiliza cuando el sistema necesita más memoria de la que hay en la RAM.

15. Una el concepto de seguridad con la descripción.

16. ¿Qué modelo de control de acceso permite que los usuarios controlen el acceso a sus datos como dueños de esos datos?

  • Control de acceso obligatorio
  • control de acceso basado en atributos
  • Control de acceso no discrecional
  • Control de acceso discrecional
Explique: En el modelo de control de acceso discrecional (DAC), los usuarios pueden controlar el acceso a datos como dueños de los datos.

17. ¿En qué principio se basa el modelo de control de acceso no discrecional?

  • Permite que los usuarios controlen el acceso a sus datos como dueños de esos datos.
  • Permite el acceso basado en los atributos del objeto al que se accederá.
  • Aplica el control de acceso más estricto posibles.
  • Permite que las decisiones de acceso se basen en roles y responsabilidades de un usuario dentro de la organización.
Explique: El modelo de control de acceso no discrecional utilizó los roles y las responsabilidades del usuario como base para las decisiones de acceso.

18. Una el componente de seguridad informática con la descripción.

19. ¿Qué componente de seguridad de la información se ve comprometido en un ataque DDoS?

  • Disponibilidad
  • Contabilidad
  • Confidencialidad
  • Integridad
Explique: La confidencialidad, integridad y disponibilidad son los elementos que contiene la tríada CIA. Disponibilidad significa que todos los usuarios autorizados tienen acceso ininterrumpido a los recursos y datos. En un ataque DDoS, los servidores y los servicios están sobrecargados y las aplicaciones ya no están disponibles para los usuarios.

20. ¿Qué modelo de control de acceso asigna privilegios de seguridad en basado en la posición, responsabilidades o clasificación de puestos de un individuo o grupo dentro de una organización?

  • Discrecional
  • Obligatorio
  • Basado en roles
  • Basado en reglas
Explique: Los modelos de control de acceso basados en roles asignan privilegios en función de la posición, las responsabilidades o la clasificación de puestos. Los usuarios y grupos con las mismas responsabilidades o clasificación de puestos comparten los mismos privilegios asignados. Este tipo de control de acceso también se conoce como control de acceso no discrecional.

21. ¿Qué componente es un pilar del enfoque de seguridad zero trust que se centra en el acceso seguro de dispositivos, como servidores, impresoras y otros dispositivos finales, incluidos los dispositivos conectados a IoT?

  • Cargas de trabajo
  • Flujos de trabajo
  • Fuerza laboral
  • Lugar de trabajo
Explique: El pilar del lugar de trabajo se centra en el acceso seguro para todos y cada uno de los dispositivos, incluidos los dispositivos en el Internet de las cosas (IoT), que se conectan a redes empresariales, como puntos terminales de usuario, servidores físicos y virtuales, impresoras, cámaras, sistemas HVAC, quioscos, bombas de infusión, sistemas de control industrial y mucho más.

22. ¿Qué métrica en el Grupo de métricas base de CVSS se utiliza con un vector de ataque?

  • La determinación de si la autoridad inicial cambia a una segunda autoridad durante el ataque
  • La proximidad del actor de la amenaza a la vulnerabilidad
  • La presencia o ausencia de la necesidad de interacción con el usuario para que el ataque tenga éxito
  • La cantidad de componentes, software, hardware o redes fuera del control del atacante y que deben estar presentes para poder atacar una vulnerabilidad con éxito
Explique: El vector de ataque es una de las distintas métricas definidas en el Grupo de métricas base del Sistema común de puntuación de vulnerabilidades (CVSS). El vector de ataque es la proximidad del actor de la amenaza al componente vulnerable. Cuanto más lejos esté el actor de la amenaza del componente, mayor la gravedad porque los actores próximos a la red son más fáciles de detectar y mitigar.

23. Un analista especializado en ciberseguridad realiza una evaluación, conforme a CVSS, de un ataque en el cual se envió un enlace web a varios empleados. Un ataque interno se inició tras hacer clic en el enlace. ¿Qué métrica en el Grupo de métricas base de CVSS se utiliza para documentar que el usuario tuvo que hacer clic en el enlace para que se produzca el ataque?

  • Interacción con el usuario
  • Alcance
  • Requisito de integridad
  • Requisito de disponibilidad
Explique: El grupo de métricas base de CVSS está compuesto de la siguiente manera: vector de ataque, complejidad de ataque, privilegios necesarios, interacción con el usuario y alcance. La métrica «interacción con el usuario» hace referencia a la presencia o ausencia de la necesidad de la interacción con el usuario para que el ataque tenga éxito.

24. ¿Cuáles son las tres métricas de impacto incluidas en el Grupo de métricas base de CVSS 3.0? (Elija tres opciones).

  • Disponibilidad
  • Nivel de corrección
  • Integridad
  • Vector de ataque
  • Confidencialidad
  • Ataque
Explique: El Sistema común de puntuación de vulnerabilidades (CVSS) es un marco abierto, independiente y estándar del sector que se utiliza para ponderar los riesgos de una vulnerabilidad mediante el uso de diversas métricas. CVSS utiliza tres grupos de métricas para evaluar una vulnerabilidad: el grupo de métricas base, el grupo de métricas temporal y el grupo de métricas ambiental. El grupo de métricas base tiene dos clases de métricas (aprovechamiento e impacto). Las métricas de impacto se basan en las siguientes áreas: confidencialidad, integridad y disponibilidad.

25. Consulte la ilustración. Un especialista en seguridad está usando Wireshark para revisar un archivo PCAP generado por tcpdump . Cuando el cliente inició una solicitud de descarga de archivo, ¿qué socket de origen se utilizó?

  • 209.165.202.133:6666
  • 209.165.200.235:6666
  • 209.165.200.235:48598
  • 209.165.202.133:48598
Explique: La combinación de la dirección IP de origen y el número de puerto de origen, o la dirección IP de destino y el número de puerto de destino, se conoce como «socket». Un socket se muestra como la dirección IP y el número de puerto asociado separados por dos puntos (dirección_IP:número_puerto).

26. ¿Qué tres campos se encuentran en las encabezados TCP y UDP? (Elija tres opciones).

  • Suma de comprobación
  • Puerto de destino
  • Opciones
  • Puerto de origen
  • Ventana
  • Número de secuencia
Explique: El encabezado UPD tiene cuatro campos. Tres de ellos también también están presentes en el encabezado TCP. Estos tres campos son el puerto de origen, el puerto de destino y la suma de comprobación.

27. ¿Cuál es una característica de IPS?

  • Se implementa en modo sin conexión.
  • Se centra principalmente en la identificación de posibles incidentes.
  • No afecta la latencia.
  • Puede detener los paquetes maliciosos.
Explique: Una ventaja de un sistema de prevención de intrusiones (IPS) es que puede identificar y detener los paquetes maliciosos. Sin embargo, como se implementa en línea, puede añadir latencia a la red.

28. ¿Qué campo en el encabezado IPv6 apunta a la información de capa de red opcional que se incluye en el paquete IPv6?

  • Encabezado siguiente
  • Versión
  • Identificador de flujo
  • Clase de tráfico
Explique: La información opcional de capa 3 sobre la fragmentación, la seguridad y la movilidad se incluye en los encabezados de extensión de un paquete IPv6. El encabezado siguiente del encabezado IPv6 apunta a estos encabezados de extensión opcionales si están presentes.

29. ¿Qué tres campos del encabezado IPv4 no están en un encabezado IPv6? (Elija tres opciones).

  • Desplazamiento de fragmentos
  • Identificación
  • Señalización
  • Versión
  • TTL
  • Protocolo
Explique: A diferencia de IPv4, los routers IPv6 no realizan fragmentación. Por lo tanto, los tres campos relacionados con la fragmentación en el encabezado IPv4 se quitan y no están presentes de igual manera en el encabezado IPv6. Estos tres campos son desplazamiento de fragmentos, señalización e identificación. IPv6 sí admite la fragmentación de paquetes del host mediante el uso de encabezados de extensión, que no son parte del encabezado IPv6.

30. ¿Cuál es una diferencia clave entre los datos capturados por NetFlow y los datos capturados por Wireshark?

  • Los datos de NetFlow muestran contenido del flujo de red, mientras que los datos de Wireshark muestran estadísticas del flujo de red.
  • NetFlow utiliza tcpdump para analizar los datos, mientras que Wireshark utiliza nfdump .
  • NetFlow recopila metadatos de un flujo de red, mientras que Wireshark captura paquetes de datos completos.
  • NetFlow proporciona datos de transacciones, mientras que Wireshark proporciona datos de sesiones.
Explique: Wireshark captura todo el contenido de un paquete. NetFlow, en cambio, recopila metadatos o datos sobre el flujo.

31. Consulte la ilustración. ¿Cuál tecnología generó el registro de evento (event log)?

  • Proxy web
  • NetFlow
  • Wireshark
  • SysLog
Explique: El origen de la salida es Netflow.

32. Una la alarma IPS con su descripción.

33. ¿Qué clasificación se utiliza para una alerta que identifica de manera correcta que se ha producido un ataque?

  • Negativo verdadero
  • Falso positivo
  • Positivo verdadero
  • Falso negativo
Explique: Un positivo verdadero se produce cuando una firma IDS e IPS se activa correctamente y se genera una alarma cuando se detecta tráfico incorrecto.

34. ¿Con qué coincidirá la expresión regular ^83?

  • Cualquier cadena que comience con 83
  • Cualquier cadena que incluya 83
  • Cualquier cadena que termine con 83
  • Cualquier cadena de valores superiores a 83
Explique: La expresión ^83 indica que se vinculará cualquier cadena que comience con 83.

35. ¿Cuál expresión regular coincidiría con cualquier String (cadena) que contenga 4 ceros consecutivos?

  • ^0000
  • [0-4]
  • {0-4}
  • 0{4}
Explique: La expresión regular 0 {4} coincide con cualquier String que contenga 4 repeticiones de cero o 4 ceros consecutivos.

36. Un analista especializado en seguridad usa Tcpdump y Wireshark para obtener un archivo descargado de un archivo pcap. El analista sospecha que el archivo es un virus y quiere saber de qué tipo de archivo se trata para analizarlo en más detalle. ¿Qué comando de Linux puede utilizarse para determinar el tipo de archivo?

  • file
  • tail
  • nano
  • ls -l
Explique: El comando file de Linux puede utilizarse para determinar un tipo de archivo, como si es ejecutable, texto ASCII o zip.

37. ¿Qué superficie de ataque, definida por SANS Institute, se proporciona través del aprovechamiento de vulnerabilidades en aplicaciones web, en la nube o basadas en host?

  • Humana
  • Red
  • Software
  • Host
Explique: El SANS Institute describe tres componentes de la superficie de ataque:
Superficie de ataque de red : aprovechamiento de vulnerabilidades en redes
Superficie de ataque de software : aprovechamiento de vulnerabilidades web, en la nube o de aplicaciones de software basado en hosts
Superficie de ataque humana : aprovechamiento de debilidades en el comportamiento del usuario

38. ¿Cuál de las siguientes opciones ejemplifica un ataque local?

  • El actor de una amenaza realiza un ataque de fuerza bruta en un router perimetral empresarial para obtener acceso ilegal.
  • El escaneo de puertos se usa para determinar si el servicio Telnet se está ejecutando en un servidor remoto.
  • El actor de una amenaza intenta obtener la contraseña de usuario de un host remoto mediante el uso de un software de captura de teclado instalado por un troyano.
  • Un ataque de desbordamiento del búfer se lanza contra un sitio web de compras en línea y hace que el servidor deje de funcionar.
Explique: Una vulnerabilidad se puede aprovechar para un ataque local o remoto. En un ataque local, el actor de una amenaza tiene algún tipo de acceso de usuarios al sistema final, ya sea físicamente o a través de acceso remoto. La actividad del ataque se realiza en la red local.

39. ¿Qué tipo de ataque cibernético es una forma de MiTM en la que el perpetrador copia paquetes IP fuera de la red sin modificarlos?

  • Clave comprometida
  • Intercepción pasiva
  • Denegación de servicio (DoS)
  • suplantación de IP
Explique: Un ataque de intercepción pasiva es una forma de man-in-the-middle en la que el perpetrador simplemente lee o copia paquetes IP fuera de la red, pero no los altera.

40. ¿A qué categoría de ataques de seguridad pertenece man-in-the-middle?

  • DoS
  • Reconocimiento
  • Acceso
  • Ingeniería social
Explique: Con un ataque man-in-the-middle, el actor de una amenaza se ubica entre dos entidades legítimas para leer, modificar o redirigir los datos que pasan entre las dos partes.

41. ¿Con qué método de evasión el actor de una amenaza, tras obtener acceso a la contraseña del administrador en un host comprometido, intenta iniciar sesión en otro host utilizando las mismas credenciales?

  • Sustitución de tráfico
  • Pivoting
  • Interpretación errónea a nivel de protocolos
  • Agotamiento de recursos
Explique: Pivoting es un método de evasión que supone que el actor de una amenaza ha comprometido un host interno y quiere tener más acceso a la red comprometida.

42. ¿Cuáles serían dos ejemplos de ataques de denegación de servicio? (Elija dos opciones).

  • Desbordamiento del búfer
  • Escaneo de puertos
  • Suplantación de identidad
  • Ping de la muerte
  • Inyección SQL
Explique: Los ataques de denegación de servicio de desbordamiento del búfer y el ping de la muerte aprovechan fallas relacionadas con la memoria del sistema en un servidor mediante el envío de una cantidad inesperada de datos o datos con formato incorrecto al servidor.

43. ¿Qué ataque se integra en los niveles más bajos del sistema operativo de un host e intenta ocultar totalmente las actividades del actor de la amenaza en el sistema local?

  • Cifrado y tunelizado
  • Inserción de tráfico
  • Rootkit
  • Sustitución de tráfico
Explique: Un rootkit es una herramienta de ataque complejo y se integra en los niveles más bajos del sistema operativo. Su objetivo es ocultar totalmente las actividades del actor de la amenaza en el sistema local.

44. ¿Qué tipo de técnica de evasión divide las payloads maliciosas en paquetes más pequeños para evitar los sensores de seguridad que no vuelven a ensamblar las cargas antes de escanearlas?

  • Interpretación errónea a nivel de protocolos
  • Pivoting
  • Inserción de tráfico
  • Fragmentación de tráfico
Explique: Con el fin de evitar que las payloads maliciosas sean detectadas por sensores de seguridad, como IPS o IDS, los perpetradores fragmentan los datos en paquetes más pequeños. Estos fragmentos pueden ser pasados por sensores que no vuelven a ensamblar los datos antes de escanear.

45. ¿Qué dos ataques se dirigen a servidores web a través del aprovechamiento de posibles vulnerabilidades de funciones de entrada usadas por una aplicación? (Elija dos opciones).

  • Escaneo de puertos
  • Inyección SQL
  • Ataque de confianza
  • Redireccionamiento de puertos
  • Scripts entre sitios
Explique: Cuando una aplicación web utiliza campos de entrada para recopilar datos de clientes, los actores de amenazas pueden aprovechar posibles vulnerabilidades para ingresar comandos maliciosos. Los comandos maliciosos que se ejecutan a través de la aplicación web pueden afectar el sistema operativo en el servidor web. La inyección SQL y los scripts entre sitios son dos tipos diferentes de ataques de inyección de comandos.

46. ¿Qué función de seguridad proporcionan los algoritmos de cifrado?

  • Confidencialidad
  • Integridad
  • Autorización
  • Administración de claves
Explique: Los algoritmos de cifrado se utilizan para mantener la confidencialidad de los datos, es decir que, si los datos se interceptan en tránsito, no se pueden leer.

47. ¿Cómo puede NAT/PAT dificultar el monitoreo de la seguridad de la red si se utiliza NetFlow?

  • Oculta las direcciones IP internas al permitirles que compartan una o varias direcciones IP externas.
  • Disfraza la aplicación iniciada por un usuario mediante la manipulación de los números de puertos.
  • Cambia las direcciones MAC de origen y de destino.
  • Oculta el contenido de un paquete mediante el cifrado de la carga útil de datos.
Explique: NAT/PAT asigna múltiples direcciones IP internas con solo una o algunas direcciones IP que interrumpen los flujos completos. El resultado hace que sea difícil registrar el dispositivo interno que está solicitando y recibiendo el tráfico. Esto constituye un problema especialmente con una aplicación de NetFlow porque los flujos de NetFlow son unidireccionales y definidos por las direcciones y los puertos que comparten.

48. ¿Qué afirmación describe la función que ofrece la red Tor?

  • Permite que los usuarios naveguen por Internet de forma anónima.
  • Distribuye paquetes de usuario a través de equilibrio de carga.
  • Manipula los paquetes mediante la asignación de direcciones IP entre dos redes.
  • Oculta el contenido de paquetes estableciendo túneles completos.
Explique: Tor es una plataforma de software y red de hosts P2P que funcionan como routers de Internet en la red de Tor. La red Tor permite que los usuarios naveguen por Internet en forma anónima.

49. ¿Qué tipo de datos utiliza Cisco Cognitive Intelligence para encontrar actividad maliciosa que ha eludido los controles de seguridad, o que ha ingresado a través de canales no monitoreados y que está funcionando dentro de una red empresarial?

  • Estadística
  • Sesión
  • Alerta
  • Transacción
Explique: Cisco Cognitive Intelligence utiliza datos estadísticos para el análisis estadístico con el fin de encontrar actividad maliciosa que haya pasado por alto los controles de seguridad o ingresada a través de canales no monitoreados (incluidos los medios extraíbles) y que esté operando dentro de la red de una organización.

50. ¿Qué dispositivo de Cisco puede utilizarse para filtrar contenido del tráfico de red e informar y denegar el tráfico en función de la reputación del servidor web?

  • ESA
  • AVC
  • WSA
  • ASA
Explique: Cisco Web Security Appliance (WSA) actúa como un proxy web para una red empresarial. WSA puede proporcionar muchos tipos de registros relacionados con la seguridad del tráfico web, como registros de decisiones de ACL, registros de análisis de malware, reputación web y registros de filtrado de reputación de sitios web. El dispositivo de seguridad de correo electrónico (ESA) de Cisco es una herramienta para controlar la mayoría de los aspectos de la entrega de correos electrónicos, el funcionamiento del sistema, los antivirus, las operaciones antispam y las decisiones relativas a listas negras y listas blancas. El Cisco ASA es un dispositivo de firewall. El sistema Cisco Application Visibility and Control (AVC) combina varias tecnologías para reconocer, analizar y controlar más de 1000 aplicaciones.

51. Consulte la ilustración. Un analista especializado en seguridad revisa un mensaje de alerta generado por Snort. ¿Qué indica el número 2100498 en el mensaje?

  • La longitud del mensaje en bits
  • El número de sesión del mensaje
  • La regla de Snort activada
  • El ID del usuario que activa la alerta
Explique: El campo sid en un mensaje de alerta de Snort indica la regla de seguridad de Snort que se activa.

52. Cuando se establece el perfil de una red para una organización, ¿qué elemento describe el tiempo que transcurre entre el establecimiento de un flujo de datos y su finalización?

  • Ancho de banda de la conexión a Internet
  • Convergencia de protocolo de routing
  • Rendimiento total
  • Duración de la sesión
Explique: Un perfil de red debería incluir algunos elementos importantes, como los siguientes:
Rendimiento total : la cantidad de datos que pasa de un origen dado a un destino determinado en un período de tiempo especificado
Duración de la sesión : el tiempo transcurrido desde que se establece el flujo de datos y su finalización
Puertos utilizados : una lista de procesos de TCP o UDP que están disponibles para aceptar datos
Espacio de direcciones para activos críticos : las direcciones IP o la ubicación lógica de los sistemas o datos esenciales

53. Cuando se establece un perfil de servidor para una organización, ¿qué elemento describe el tipo de servicio que una aplicación tiene permitido ejecutar en el servidor?

  • Cuenta de servicio
  • Puerto de escucha
  • Entorno de software
  • Cuenta de usuario
Explique: Un perfil de servidor debe incluir algunos elementos importantes, como los siguientes:
Puertos de escucha : los daemons y puertos TCP y UDP que pueden estar abiertos en el servidor
Cuentas de usuario : los parámetros que definen el acceso y comportamiento de los usuarios
Cuentas de servicio : las definiciones del tipo de servicio que una aplicación tiene permitido ejecutar en un servidor
Entorno de software : las tareas, los procesos y las aplicaciones que tiene permiso para ejecutarse en el servidor

54. Cuando se establece un perfil de servidor para una organización, ¿qué elemento describe los daemons y puertos TCP y UDP que pueden estar abiertos en el servidor?

  • Entorno de software
  • Puertos de escucha
  • Cuentas de servicio
  • Espacio de direcciones para activos críticos
Explique: Un perfil de servidor a menudo contendrá lo siguiente:
Puertos de escucha : los daemons y puertos TCP y UDP que pueden estar abiertos en el servidor
Cuentas de usuario : los parámetros que definen el acceso y comportamiento de los usuarios
Cuentas de servicio : las definiciones del tipo de servicio que una aplicación tiene permitido ejecutar en un servidor
Entorno de software : las tareas, los procesos y las aplicaciones que tiene permiso para ejecutarse en el servidor

55. ¿Qué hará el actor de una amenaza para crear una puerta trasera a un objetivo comprometido según el modelo de cadena de eliminación cibernética?

  • Abrir un canal de comunicación de dos vías a la infraestructura de CnC.
  • Recopilar y exfiltrar datos.
  • Conseguir una herramienta automatizada para aplicar la carga útil del malware.
  • Agregar servicios y claves de ejecución automática.
Explique: Una vez que un sistema objetivo está comprometido, el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo. Agregar servicios y claves de ejecución automática es una manera de crear un punto de acceso persistente.

56. ¿Qué tres cosas hará el actor de una amenaza para preparar un ataque DDoS contra un sistema objetivo en Internet? (Elija tres opciones).

  • Comprometer muchos hosts en Internet.
  • Instalar software de ataque en zombies.
  • Recopilar y exfiltrar datos.
  • Establecer canales de comunicaciones de dos vías a la infraestructura de CnC con zombies.
  • Conseguir una herramienta automatizada para aplicar la carga útil del malware.
  • Instalar una puerta negra al sistema objetivo.
Explique: Con el fin de prepararse para el lanzamiento de un ataque DDoS, el actor de una amenaza comprometerá muchos hosts en Internet, llamados «zombies». El actor de la amenaza luego instalará el software de ataque en los zombies y establecerá un canal de comunicaciones de dos vías a la infraestructura de CnC con los zombies. El actor de la amenaza emitirá el comando a los zombies a través de la infraestructura de CnC para lanzar un ataque DDoS contra un sistema objetivo.

57. ¿Qué dos medidas deben adoptarse durante la fase de preparación del ciclo de vida de respuesta ante los incidentes definido por NIST? (Elija dos opciones).

  • Crear el CSIRT y capacitar a sus miembros.
  • Adquirir e implementar las herramientas necesarias para investigar los incidentes.
  • Detectar todos los incidentes que se produjeron.
  • Analizar completamente el incidente.
  • Reunirse con todas las partes involucradas para hablar sobre el incidente ocurrido.
Explique: De acuerdo con las pautas definidas en el ciclo de vida de la respuesta ante los incidentes de NIST, deben adoptarse varias medidas durante la fase de preparación, que incluyen (1) crear el CSIRT y capacitar a sus miembros, y (2) adquirir e implementar las herramientas que necesita el equipo para investigar los incidentes.

58. Durante la fase de detección y análisis del ciclo de vida del proceso de respuesta ante los incidentes de NIST, ¿qué categoría de señal se utiliza para describir que un incidente podría ocurrir en el futuro?

  • Indicador
  • Desgaste
  • Precursor
  • Suplantación de identidad
Explique: Las señales que indican un incidente se clasifican en dos categorías:
Precursor : una señal de que un incidente podría ocurrir en el futuro
Indicador : una señal de que un incidente ya puede haber haber ocurrido o está ocurriendo en el presente

59. Una compañía aplica el proceso de manejo de incidentes NIST.SP800-61 r2 a eventos relacionados con la seguridad. ¿Cuáles son dos ejemplos de incidentes que se encuentran en la categoría «precursor»? (Elija dos opciones).

  • Una vulnerabilidad recién descubierta en servidores web Apache
  • Envío de un mensaje de alerta de IDS
  • Entradas de registro que muestran una respuesta a un escaneo de puertos
  • Múltiples inicios de sesión fallidos de origen desconocido
  • Un host que, según se comprobó, se infectó con malware
Explique: La categoría de incidente «precursor» indica que un incidente podría ocurrir en el futuro. Algunos ejemplos de incidentes «precursores» son las entradas de registro que muestran una respuesta a un escaneo de puertos o una vulnerabilidad recién descubierta en servidores web con Apache.

60. ¿Qué se define en el elemento «política» del plan de respuesta ante los incidentes de NIST?

  • Cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización
  • Una guía para actualizar la funcionalidad de respuesta ante los incidentes
  • Las métricas utilizadas para medir la funcionalidad de respuesta ante los incidentes en una organización
  • Cómo el equipo de respuesta ante los incidentes de una organización se comunica con las partes interesadas de la organización
Explique: En el elemento de política del plan de respuesta ante los incidentes de NIST se detalla cómo se deben manejar los incidentes de acuerdo con la misión y las funciones de la organización

61. A pedido de los inversionistas, una compañía realiza la determinación de la atribución de un ataque cibernético especial que se llevó a cabo desde una fuente externa. ¿Qué término en materia de seguridad se utiliza para describir a la persona o el dispositivo responsable del ataque?

  • Actor de la amenaza
  • Responsable de fragmentación
  • Esqueleto
  • Responsable de tunelizado
Explique: Para hablar del actor de una amenaza, algunas personas pueden utilizar la palabra común «hacker». El actor de una amenaza es la entidad que participa en un incidente que afecta o tiene el potencial de afectar a una organización de tal manera que se considera un riesgo o una amenaza para la seguridad.

62. ¿Cuáles son los dos factores motivadores para los atacantes patrocinados por el Estado? (Escoja dos opciones).

  • Espionaje industrial
  • Causas sociales o personales
  • Beneficio financiero
  • Interrupción del comercio o infraestructura
  • Mostrar su habilidad de hackeo
Explique: Los atacantes que amenazan a los Estados nacionales no suelen estar interesados ni motivados por las ganancias financieras. Participan principalmente en el espionaje corporativo o en la perturbación del comercio o de la infraestructura crítica.

63. Cuando se intenta mejorar el rendimiento del sistema de computadoras con Linux con una cantidad de memoria limitada, ¿por qué aumentar el tamaño del sistema de archivos de intercambio no se considera la mejor solución?

  • Un sistema de archivos de intercambio utiliza espacio en disco duro para almacenar contenido de RAM inactiva.
  • Un sistema de archivos de intercambio no se puede montar en una partición MBR.
  • Un sistema de archivos de intercambio solo admite el sistema de archivos ex2.
  • Un sistema de archivos de intercambio no tiene un sistema de archivos específico.
Explique: Linux utiliza el sistema de archivos de intercambio cuando se queda sin memoria física. Cuando sea necesario, el kernel traslada el contenido de la RAM inactiva a la partición de intercambio en el disco duro. El almacenamiento y la recuperación de contenido en la partición de intercambio son mucho más lentos que en memoria RAM y, por lo tanto, el uso de la partición de intercambio no debe considerarse la mejor solución para mejorar el rendimiento del sistema.

64. Haga coincidir la descripción con su respectivo enfoque antimalware.

65. ¿Qué técnica podría utilizar el personal de seguridad para analizar un archivo sospechoso en un entorno seguro?

  • Espacio seguro
  • Listas blancas
  • Listas negras
  • Determinación de líneas de base
Explique: El espacio seguro permite que los archivos sospechosos se ejecuten y analicen en un entorno seguro. Hay espacios seguros públicos gratuitos que permiten que las muestras de malware se carguen o se envíen y analicen.

66. Un analista especializado en ciberseguridad debe acudir a la escena de un crimen que involucra varios elementos de tecnología, incluso una computadora. ¿Qué técnica se utilizará para que la información encontrada en la computadora pueda utilizarse ante el juez?

  • Tor
  • Imagen de disco sin modificaciones
  • Rootkit
  • Recopilación de archivos de registro
Explique: Una copia de archivo normal no recupera todos los datos de un dispositivo de almacenamiento, por lo que habitualmente se realiza una imagen de disco sin modificaciones. Una imagen de disco sin modificaciones conserva la evidencia original y evita, de esta manera, la modificación inadvertida durante la fase de detección. También permite la reconstrucción de la evidencia original.

67. ¿Cuál es la primera línea de defensa cuando una organización usa un enfoque de defensa en profundidad para la seguridad de la red?

  • Servidor proxy
  • Firewall
  • Router perimetral
  • IPS
Explique: Un enfoque de defensa en profundidad utiliza capas de medidas de seguridad que comienzan en el perímetro de la red, avanzan por la red y finalizan en los terminales de la red. Los routers en el perímetro de la red son la primera línea de defensa y reenvían el tráfico destinado a la red interna al firewall.

68. ¿Cuál de las siguientes opciones hace referencia a un beneficio de un enfoque de defensa en profundidad?

  • La eficacia de otras medidas de seguridad no se ven afectadas cuando falla un mecanismo de seguridad.
  • Todas las vulnerabilidades de la red son mitigadas.
  • Se elimina la necesidad de firewalls.
  • Se requiere una sola capa de seguridad en el núcleo de la red.
Explique: El beneficio del enfoque de defensa en profundidad es que las defensas de la red se implementan en capas para que la falla de cualquier mecanismo de seguridad individual no afecte otras medidas de seguridad.

69. ¿Cuál de las siguientes opciones ejemplifica un ataque de escalamiento de privilegios?

  • El actor de una amenaza envía un correo electrónico a un administrador de TI para solicitar acceso raíz.
  • Un ataque de escaneo de puertos descubre que el servicio FTP se está ejecutando en un servidor que permite el acceso anónimo.
  • Se lanza ataque DDoS contra un servidor del gobierno y hace que el servidor deje de funcionar.
  • El actor de una amenaza realiza un ataque de acceso y obtiene la contraseña de administrador.
Explique: Con el ataque de escalamiento de privilegios, se aprovechan las vulnerabilidades en servidores o sistemas de control de acceso para otorgar a un usuario no autorizado, o proceso de software, niveles de privilegio más altos de los que debería tener. Una vez otorgado el privilegio de nivel más alto, el actor de la amenaza puede acceder a información confidencial o tener el control del sistema.

70. ¿Qué modelo de control de acceso aplica el control de acceso más estricto y suele utilizarse en aplicaciones militares o esenciales?

  • No discrecional
  • Obligatorio
  • Basado en atributos
  • Discrecional
Explique: Por lo general, las aplicaciones militares y esenciales utilizan control de acceso obligatorio que aplica el control de acceso más estricto para proteger los recursos de red.

71. Haga coincidir el servicio de seguridad con su respectiva descripción

72. ¿Cuál es un ejemplo de ingeniería social?

  • una computadora que muestra adware y elementos emergentes no autorizados
  • la infección de una computadora mediante un virus enviado por un troyano
  • un programador anónimo que dirige un ataque de DDoS en un centro de datos
  • una persona no identificada que dice ser un técnico que recopila información sobre el usuario de los empleados
Explique: Un ingeniero social busca ganar la confianza de un empleado y convencerlo de que divulgue información confidencial, como nombres de usuario y contraseñas. Los ataques de DDoS, los elementos emergentes y los virus son ejemplos de amenazas de seguridad basadas en software; no son un tipo de ingeniería social.

73. ¿Cuál es el principal objetivo por el cual los actores de amenazas usan técnicas de evasión diferentes?

  • Lanzar ataques DDoS contra los objetivos
  • Evitar ser detectados por las defensas de las redes y los hosts
  • Ganarse la confianza de un empleado de la empresa con el fin de obtener sus credenciales
  • Identificar las vulnerabilidades de los sistemas objetivo
Explique: Muchos actores de amenazas utilizan técnicas de evasión sigilosa para disfrazar una carga útil de ataque porque los métodos de ataque y malware son más eficaces si no son detectados. El objetivo es evitar ser detectados por las defensas de las redes y los hosts.

74. ¿Qué tipo de ataque llevan a cabo los actores de amenazas contra una red para determinar qué direcciones IP, protocolos y puertos están permitidos por las ACL?

  • Suplantación de identidad
  • Ingeniería social
  • Denegación de servicio
  • Reconocimiento
Explique: Las ACL de filtrado de paquetes utilizan reglas para filtrar el tráfico entrante y el tráfico saliente. Estas reglas se definen mediante la especificación de direcciones IP, números de puertos y protocolos que se vincularán entre sí. Los actores de amenazas pueden utilizar un ataque de reconocimiento que implique escaneo de puertos o pruebas de penetración para determinar qué direcciones IP, protocolos y puertos permiten las ACL.

75. ¿Qué herramienta captura paquetes de datos completos con una interfaz de línea de comandos solamente?

  • Wireshark
  • NBAR2
  • tcpdump
  • nfdump
Explique: La herramienta de línea de comandos tcpdump es un analizador de paquetes. Wireshark es un analizador de paquetes con una interfaz GUI.

76. Según el modelo de cadena de eliminación cibernética, ¿qué paso llevaría a cabo el actor de una amenaza después de aplicar un arma a un sistema objetivo?

  • Aprovechamiento
  • Armamentización
  • Instalación
  • Acción en objetivos
Explique: La Cadena de eliminación cibernética especifica siete pasos (o fases) y secuencias que debe seguir el actor de una amenaza para realizar un ataque:
Reconocimiento : el actor de la amenaza realiza una búsqueda, reúne información y selecciona objetivos.
Armamentización : el actor de la amenaza utiliza la información que obtuvo en la fase de reconocimiento para desarrollar un arma que utilizará contra sistemas objetivo específicos.
Aplicación : el arma se transmite al objetivo mediante un vector de aplicación.
Aprovechamiento : el actor de la amenaza utiliza el arma aplicada para quebrar la vulnerabilidad y obtener el control del objetivo.
Instalación : el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
Comando y control (CnC) : el actor de la amenaza establece comando y control (Command and Control, CnC) con el sistema objetivo.
Acción en objetivos : el actor de la amenaza puede realizar acciones en el sistema objetivo y, por lo tanto, lograr su meta original.

77. Coloque los siete pasos definidos en la cadena de destrucción cibernética (Cyber Kill Chain) en el orden correcto.

78. ¿Qué se especifica en el elemento «plan» del plan de respuesta ante los incidentes de NIST?

  • Estructura organizacional y definición de roles, responsabilidades y niveles de autoridad
  • Métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia
  • Calificaciones de prioridad y gravedad de incidentes
  • Manejo de incidentes de acuerdo con la misión y las funciones de la organización
Explique: NIST recomienda crear políticas, planes y procedimientos para establecer y mantener un CSIRC. Uno de los componentes del elemento «plan» es desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su eficacia.

79. ¿Qué parte interesada en la respuesta ante los incidentes definida por NIST es responsable de coordinar una respuesta con otras partes interesadas para minimizar el daño de un incidente?

  • Departamento de TI
  • Recursos Humanos
  • Gerencia
  • Departamento de Asuntos legales
Explique: El equipo gerencial crea las políticas, diseña el presupuesto y tiene a su cargo la dotación de personal de todos los departamentos. La gerencia también es responsable de coordinar la respuesta antes los incidentes con otras partes interesadas y de minimizar el daño causado por un incidente.

80. ¿Qué término describe a un atacante que tiene habilidades avanzadas y persigue una agenda social?

  • Script kiddie
  • Espías corporativos/industriales
  • Hacktivista
  • Crimen organizado
Explique: Los atacantes que tienen habilidades avanzadas de hackeo y persiguen una agenda social o política son conocidos como hacktivistas.

81. ¿Cuáles son tres ventajas de usar enlaces simbólicos en lugar de enlaces rígidos en Linux? (Elija tres opciones).

  • Pueden establecer el enlace a un archivo en un sistema de archivos diferente.
  • Pueden comprimirse.
  • Pueden cifrarse.
  • Pueden mostrar la ubicación del archivo original.
  • Pueden establecer el enlace a un directorio.
  • Los enlaces simbólicos se pueden exportar.
Explique: En Linux, un enlace rígido es otro archivo que apunta a la misma ubicación que el archivo original. Un enlace lógico (también llamado «enlace simbólico») es un enlace a otro nombre de sistema de archivos. Los enlaces rígidos se limitan al sistema de archivos en que son creados y no pueden establecer el enlace a un directorio; los enlaces lógicos no se limitan al mismo sistema de archivos y pueden establecer el enlace a un directorio. Para ver la ubicación del archivo original de un enlace simbólico, utilice el comando ls-l .

82. Una la descripción con el término de Linux. (No se utilizan todas las opciones).

83. Un cazador de amenazas está preocupado por un aumento significativo en el tráfico TCP procedente del puerto 53. Se sospecha que el tráfico malintencionado de transferencia de archivos está siendo tunelizado hacia afuera utilizando el puerto DNS de TCP. ¿Qué herramienta de inspección profunda de paquetes puede detectar el tipo de aplicación que originó el tráfico sospechoso?

  • IDS/IPS
  • Wireshark
  • Syslog analyzer
  • NetFlow
  • NBAR2
Explique: NBAR2 se utiliza para descubrir las aplicaciones que son responsables del tráfico de red. NBAR es un motor de clasificación que puede reconocer una amplia variedad de aplicaciones, incluidas aplicaciones basadas en web y aplicaciones cliente/servidor.

84. Un analista de seguridad está revisando la información contenida en una captura de Wireshark creada durante un intento de intrusión. El analista quiere correlacionar la información de Wireshark con los archivos de registro de dos servidores que pueden haber sido comprometidos. ¿Qué tipo de información se puede usar para correlacionar los eventos encontrados en estos múltiples conjuntos de datos?

  • Cuenta de usuario que ha iniciado sesión
  • Cinco-tuplas IP
  • Datos de geolocalización ISP
  • Metadatos de propiedad
Explique: La dirección IP de origen y destino, los puertos y el protocolo (las cinco tuplas IP) se pueden utilizar para correlacionar diferentes conjuntos de datos al analizar una intrusión.

85. Un administrador de red está creando un perfil de red para generar una línea de base de red. ¿Qué está incluido en el elemento de espacio para recursos críticos?

  • Los daemons y puertos TCP y UDP que pueden estar abiertos en el servidor
  • La lista de procesos de TCP o UDP que están disponibles para aceptar datos
  • El tiempo transcurrido desde que se establece el flujo de datos y su finalización
  • Las direcciones IP o la ubicación lógica de los sistemas o datos esenciales
Explique: Un perfil de red debería incluir algunos elementos importantes, como los siguientes:
Rendimiento total : la cantidad de datos que pasa de un origen dado a un destino determinado en un período de tiempo especificado
Duración de la sesión : el tiempo transcurrido desde que se establece el flujo de datos y su finalización
Puertos utilizados : una lista de procesos de TCP o UDP que están disponibles para aceptar datos
Espacio de direcciones para activos críticos : las direcciones IP o la ubicación lógica de los sistemas o datos esenciales

86. Una la fase de ciclo de vida de respuesta ante los incidentes de NIST con la descripción.

87. Una las partes interesadas en la respuesta ante los incidentes de NIST con su rol.

88. ¿Qué componente de la seguridad de datos proporcionan los algoritmos de hash?

  • Intercambio de claves
  • Confidencialidad
  • Integridad
  • Autenticación
Explique: Los algoritmos de hash se utilizan para proporcionar integridad en los mensajes, lo que asegura que los datos en tránsito no se cambien ni modifiquen.

89. ¿Cuál es la responsabilidad del grupo del Departamento de TI al ocuparse de un incidente según lo define NIST?

  • Tomar medidas para minimizar la efectividad del ataque y preservar la evidencia
  • Revisar las políticas, los planes y los procedimientos relacionados con incidentes para infracciones a pautas locales o federales
  • Adoptar medidas disciplinarias si un incidente es causado por un
  • Coordinar la respuesta antes los incidentes con otras partes interesadas y minimizar el daño causado por un incidente
Explique: El departamento de TI es quien mejor comprende la tecnología que se utiliza en la organización y puede tomar las medidas correctivas necesarias para minimizar la efectividad del ataque y preservar la evidencia.

90. ¿Cuál es la responsabilidad del departamento de Recursos Humanos al ocuparse de un incidente de seguridad según lo define NIST?

  • Tomar medidas para minimizar la efectividad del ataque y preservar la evidencia.
  • Revisar las políticas, los planes y los procedimientos relacionados con incidentes para infracciones a pautas locales o federales.
  • Coordinar la respuesta antes los incidentes con otras partes interesadas y minimizar el daño causado por un incidente.
  • Adoptar medidas disciplinarias si un incidente es causado por un empleado.
Explique: Se le puede solicitar al departamento de Recursos Humanos que imponga sanciones disciplinarias si un empleado causa un incidente.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax