Examen de punto de control: Respuesta a incidentes

Última actualización: enero 18, 2024

Examen de punto de control: Respuesta a incidentes Preguntas y Respuestas Español

1. Una el evento de intrusión definido en el Modelo de Diamante de la intrusión con la descripción correspondiente.

Explique: Coloque las opciones en el siguiente orden:

ruta de red utilizada para establecer y mantener el comando y controlk infraestructura
una herramienta o técnica utilizada para atacar a la víctima capacidad
las partes responsables de la intrusión adversario
el objetivo del ataque víctima

2. ¿Qué tipo de evidencia respalda una afirmación basada en evidencia obtenida previamente?

  • evidencia directa
  • la mejor evidencia
  • evidencia corroborativa
  • evidencia indirecta
Explique: La evidencia corroborativa es la evidencia que respalda una propuesta ya respaldada por la evidencia inicial; por lo tanto, confirma la propuesta original. La evidencia circunstancial es evidencia distinta de la información de primera mano proporcionada por los testigos.

3. ¿Qué se especifica en el elemento «plan» del plan de respuesta a incidentes de NIST?

  • manejo de incidentes basado en la misión de la organización
  • métricas para medir la funcionalidad de la respuesta a incidentes y su eficacia
  • calificaciones de prioridad y gravedad de incidentes
  • estructura organizacional y definición de roles, responsabilidades y niveles de autoridad
Explique: NIST recomienda crear políticas, planes y procedimientos para establecer y mantener un CSIRC. Uno de los componentes del elemento «plan» es desarrollar métricas para medir la capacidad de respuesta ante los incidentes y su eficacia.

4. ¿Qué hará el actor de una amenaza para crear una puerta trasera a un objetivo comprometido según el modelo de cadena de eliminación cibernética?

  • Recopilar y exfiltrar datos.
  • Abrir un canal de comunicación de dos vías a la infraestructura de CnC.
  • Conseguir una herramienta automatizada para aplicar la carga útil del malware.
  • Agregar servicios y claves de ejecución automática.
Explique: Una vez que un sistema objetivo está comprometido, el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo. Agregar servicios y claves de ejecución automática es una manera de crear un punto de acceso persistente.

5. ¿Qué es una cadena de custodia?

  • una lista de todas las partes interesadas que fueron aprovechadas por un atacante
  • la documentación sobre la preservación de la evidencia relacionada con un incidente
  • un plan para garantizar que cada parte implicada en una respuesta ante los incidentes entienda cómo recopilar evidencia
  • las medidas disciplinarias que puede adoptar una organización si un incidente es causado por un empleado
Explique: El término «cadena de custodia» hace referencia a la documentación de la evidencia recolectada sobre un incidente que utilizan las autoridades durante una investigación.

6. ¿Qué tipo de controles restauran el sistema después de un desastre o un evento?

  • Controles preventivos
  • Controles de detección
  • Controles correctivos
Explique: Los controles correctivos restauran el sistema después de un desastre o un evento.
Los controles de detección descubren eventos no deseados y nuevas amenazas potenciales.
Los controles preventivos evitan que ocurra un desastre.

7. Una las partes interesadas en la respuesta a incidentes de NIST con su rol.

Explique: Coloque las opciones en el siguiente orden:

conserva la evidencia del ataque soporte de TI
diseña el presupuesto administración
revisa las políticas en busca de violaciones de las pautas locales o federales departamento legal
aplica medidas disciplinarias recursos humanos
desarrolla reglas de firewall aseguramiento de información

8. ¿Qué tipo de dato se consideraría un ejemplo de dato volátil?

  • caché del navegador web
  • archivos de registro
  • registros de la memoria
  • archivos temporales
Explique: Los datos volátiles son datos almacenados en la memoria, como registros, memoria caché y RAM, o datos que existen en tránsito. La memoria volátil se pierde cuando el equipo deja de recibir el suministro de corriente.

9. ¿Qué parte interesada en la respuesta ante los incidentes definida por NIST es responsable de coordinar una respuesta con otras partes interesadas para minimizar el daño de un incidente?

  • gerencia
  • departamento de TI
  • recursos humanos
  • el departamento legal
Explique: El equipo gerencial crea las políticas, diseña el presupuesto y tiene a su cargo la dotación de personal de todos los departamentos. La gerencia también es responsable de coordinar la respuesta antes los incidentes con otras partes interesadas y de minimizar el daño causado por un incidente.

10. Según NIST, ¿qué paso en el proceso forense digital implica identificar fuentes potenciales de datos forenses, su adquisición, manejo y almacenamiento?

  • elaboración de informes
  • recopilación
  • examen
  • análisis
Explique: NIST describe el proceso de informática forense digital como uno compuesto por los siguientes cuatro pasos:

Recolección – identificación de posibles fuentes de datos forenses y la obtención, manejo y almacenamiento de esos datos
Examen – evaluación y extracción de información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
Análisis – sacar conclusiones a partir de los datos. Se deben documentar las características salientes; por ejemplo: personas, lugares, horas y eventos, entre otras.
Informes – preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.

11. Coloque los siete pasos definidos en la Cadena de Eliminación Cibernética (Cyber Kill Chain) en el orden correcto.

Explique: Coloque las opciones en el siguiente orden:

paso 1 reconocimiento
paso 2 militarización
paso 3 entrega
paso 4 explotación
paso 5 instalación
paso 6 comando y control
paso 7 acción sobre objetivos

12. ¿En qué paso del proceso de respuesta ante los incidentes de NIST el CSIRT realiza un análisis para determinar qué redes, sistemas o aplicaciones se ven afectados, quién o qué originó el incidente, y cómo ocurre el incidente?

  • detección
  • alcance
  • identificación del atacante
  • notificación de incidentes
Explique: En la fase de detección y análisis del ciclo de vida del proceso de respuesta a incidentes de NIST, el CSIRT debe realizar inmediatamente un análisis inicial para determinar el alcance del incidente, que incluye qué redes, sistemas o aplicaciones se ven afectados, quién o qué originó el incidente, y cómo ocurre el incidente.

13. Una compañía aplica el proceso de manejo de incidentes NIST.SP800-61 r2 a eventos relacionados con la seguridad. ¿Cuáles son dos ejemplos de incidentes que se encuentran en la categoría «precursor»? (Elija dos opciones).

  • una vulnerabilidad recién descubierta en servidores web Apache
  • envío de un mensaje de alerta de IDS
  • múltiples inicios de sesión fallidos de origen desconocido
  • un host que, según se comprobó, se infectó con malware
  • entradas de registro que muestran una respuesta a un escaneo de puertos
Explique: La categoría de incidente «precursor» indica que un incidente podría ocurrir en el futuro. Algunos ejemplos de incidentes «precursores» son las entradas de registro que muestran una respuesta a un escaneo de puertos o una vulnerabilidad recién descubierta en servidores web con Apache.

14. ¿Qué tipo de ejercicio interrumpe los servicios para verificar que todos los aspectos de un plan de continuidad comercial puedan responder a un determinado tipo de incidente?

  • Ejercicio de mesa
  • Prueba funcional
  • Ejercicio operativo
Explique: Los ejercicios operativos interrumpen los servicios para verificar que los planes diseñados son suficientes para responder al incidente simulado.

15. ¿Cuál es el objetivo del actor de amenaza al establecer un canal de comunicación bidireccional entre el sistema objetivo y una infraestructura de CnC?

  • lanzar un ataque de desbordamiento del búfer
  • permitir que al actor de amenaza emita comandos al software que se instala en el objetivo
  • robar ancho de banda de la red donde se encuentra el objetivo
  • enviar datos del usuario almacenados en el objetivo del actor de la amenaza
Explique: En la fase de comando y control de la Cadena de Eliminación Cibernética, el actor de la amenaza establece comando y control (CnC) con el sistema objetivo. Con el canal de comunicación bidireccional, el actor de la amenaza puede emitir comandos al software de malware instalado en el objetivo.

16. ¿Mantener las copias de respaldo de datos externos es un ejemplo de qué tipo de control de recuperación tras un desastre?

  • administrativo
  • preventivo
  • de detección
  • correctivo
Explique: Un plan de recuperación ante desastres permite que una organización se prepare para los desastres potenciales y minimice el tiempo de inactividad resultante.

17. ¿Qué tarea describe la atribución de amenazas?

  • determinar quién es responsable del ataque
  • obtener la evidencia más volátil
  • evaluar los datos de alerta del servidor
  • informar el incidente a las autoridades correspondientes
Explique: La atribución de una amenaza hace referencia a la acción de determinar la persona, la organización o la nación responsable de una intrusión o ataque exitosos. El equipo de investigación de seguridad correlaciona toda la evidencia con el fin de identificar similitudes entre las tácticas, las técnicas y los procedimientos (TPP) de actores de amenazas conocidos y desconocidos.

18. Según el modelo de la Cadena de Eliminación Cibernética, ¿qué paso llevaría a cabo el actor de amenaza después de aplicar un arma a un sistema objetivo?

  • acción en objetivos
  • explotación
  • armamentización
  • instalación
Explique: La Cadena de Eliminación Cibernética especifica siete paso (o fases) y secuencias que debe seguir el actor de una amenaza para realizar un ataque:

Reconocimiento ─ El actor de amenaza realiza una búsqueda, reúne información y selecciona objetivos.
Armamentización ─ El actor de amenaza utiliza la información que obtuvo en la fase de reconocimiento para desarrollar un arma que utilizará contra sistemas objetivo específicos.
Entrega ─ El arma se transmite al objetivo mediante un vector de aplicación.
Explotación ─ El actor de amenaza utiliza el arma aplicada para quebrar la vulnerabilidad y obtener el control del objetivo.
Instalación ─ El actor de amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
Comando y Control (CnC) ─ El actor de amenaza establece comando y control (CnC) con el sistema objetivo.
Acción en objetivos ─ El actor de amenaza puede realizar acciones en el sistema objetivo y, por lo tanto, lograr su meta original.

19. Un analista especializado en ciberseguridad debe acudir a la escena de un crimen que involucra varios elementos de tecnología, incluso una computadora. ¿Qué técnica se utilizará para que la información encontrada en la computadora pueda utilizarse ante el juez?

  • Tor
  • imagen de disco sin modificaciones
  • recolección de archivos de registro
  • rootki
Explique: Una copia de archivo normal no recupera todos los datos de un dispositivo de almacenamiento, por lo que habitualmente se realiza una imagen de disco sin modificaciones. Una imagen de disco sin modificaciones conserva la evidencia original y evita, de esta manera, la modificación inadvertida durante la fase de detección. También permite la reconstrucción de la evidencia original.

20. ¿Qué actividad realiza normalmente el actor de amenaza en la fase de instalación de la Cadena de Eliminación Cibernética?

  • abrir un canal de comunicación de dos vías a la infraestructura de CnC.
  • conseguir una herramienta automatizada para aplicar la carga útil del malware.
  • reunir direcciones de correo electrónico de cuentas de usuario.
  • instalar una shell web en el servidor web objetivo para acceso persistente.
Explique: En la fase de instalación de la Cadena de Eliminación Cibernética, el actor de amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax