Módulos 13 – 17: Examen del Grupo, Amenazas y Ataques Respuestas

Última actualización: diciembre 21, 2023

CyberOps Associate (Versión 1.0) – Módulos 13 – 17: Examen del Grupo, Amenazas y Ataques Preguntas y Respuestas Español

1. ¿Qué ataque cibernético consiste en un ataque coordinado de un botnet de computadoras zombies?

  • suplantación de direcciones
  • MITM
  • Redireccionamiento ICMP
  • DDoS
Explique: DDoS es un ataque de denegación de servicio distribuido. Un ataque DDoS se lanza desde múltiples fuentes coordinadas. Las fuentes del ataque son hosts zombies que el ciberdelincuente creó en un botnet. Cuando esté listo, el ciberdelincuente le indica al botnet de zombies que ataque el blanco elegido.

2. ¿Qué técnica es un ataque de seguridad que agota el grupo de direcciones IP disponibles para hosts legítimos?

  • Inanición de DHCP
  • Detección de DHCP
  • Ataque de reconocimiento
  • Suplantación de identidad de DHCP
Explique: Los ataques de inanición de DHCP crean una denegación de servicio para los clientes de red. El atacante envía mensajes de detección de DHCP que contienen direcciones MAC falsas en un intento de tomar todas las direcciones IP. Por el contrario, la suplantación de DHCP se produce cuando un ciberdelincuente configura un servidor DHCP dudoso para proporcionar a los clientes de red información de configuración de IP incorrecta.

3. ¿Cuál es el resultado de un ataque de envenenamiento ARP pasivo?

  • Se modifican datos en tránsito o se introducen datos maliciosos en tránsito.
  • Los clientes de red sufren una denegación de servicio.
  • Se crean múltiples subdominios.
  • Se roba información confidencial.
Explique: Los ataques ARP pueden ser pasivos o activos. El resultado de un ataque pasivo es el robo de información confidencial por parte de los ciberdelincuentes. Con un ataque activo, los ciberdelincuentes modifican datos en tránsito o inyectan datos maliciosos.

4. ¿Cuál es la vulnerabilidad que permite que los delincuentes inyecten scripts en sitios web que ven los usuarios?

  • Inyección SQL
  • Desbordamiento del búfer
  • Scripts entre sitios
  • Inyección XML
Explique: Los scripts entre sitios (XSS) permiten que los delincuentes inyecten los scripts que contienen el código malicioso en las aplicaciones web.

5. ¿Cuál sería el blanco de un ataque de inyección SQL?

  • DHCP
  • DNS
  • Correo electrónico
  • Base de datos
Explique: SQL es el lenguaje que se utiliza para consultar una base de datos relacional. Los ciberdelincuentes usan inyecciones SQL para obtener información, crear consultas falsas o maliciosas, o violar la base de datos de alguna otra manera.

6. ¿Cuáles son las dos características que describen un gusano? (Elija dos opciones).

  • Se desplaza a nuevas PC sin la intervención o el conocimiento del usuario.
  • Se oculta en estado latente hasta que un atacante lo requiere.
  • Infecta las PC al unirse a los códigos de software.
  • Se ejecuta cuando se ejecuta un software en una PC.
  • Se autoduplica.
Explique: Los gusanos son fragmentos de software que se autoduplican y que consumen el ancho de banda de una red al propagarse de sistema en sistema. A diferencia de los virus, no requieren una aplicación host. Por su parte, los virus llevan consigo código malintencionado ejecutable que daña al equipo de destino en el que residen.

7. ¿Cuáles son los tres componentes principales de un ataque de gusano? (Elija tres opciones).

  • Una carga útil
  • Una vulnerabilidad que infecta
  • Un mecanismo de sondeo
  • Un mecanismo de penetración
  • Una vulnerabilidad habilitante
  • Un mecanismo de propagación
Explique: Un gusano se pueden instalar en una computadora mediante un archivo adjunto a un correo electrónico, un archivo de programa ejecutable o un caballo de Troya. El ataque de gusano afecta a una computadora y, además, se replica en otras computadoras. El gusano deja en el camino la carga útil, que es el código que genera una determinada acción.

8. ¿Cuáles, de las siguientes opciones, son dos características de un virus? (Elija dos opciones).

  • Malware que se basa en la acción de un usuario o en la activación de un programa.
  • Código de programa diseñado específicamente para corromper la memoria de dispositivos de red.
  • Un ataque que se autorreplica y se lanza de forma independiente.
  • Código malicioso que puede permanecer inactivo antes de ejecutar una acción no deseada.
  • Malware que ejecuta código arbitrario e instala copias de sí mismo en la memoria.
Explique: Un virus es código malicioso que se adjunta a programas legítimos o archivos ejecutables. La mayoría de los virus requieren la activación del usuario final, pueden permanecer inactivos durante un período prolongado y luego activarse en un momento o en una fecha en particular. Un gusano, por otra parte, ejecuta un código arbitrario e instala copias de sí mismo en la memoria de la computadora infectada. El propósito principal de un gusano es la replicación automática para propagarse rápidamente a través de una red. Un gusano no necesita un programa host para ejecutarse.

9. Un usuario recibe una llamada telefónica de una persona que dice ser representante de servicios de TI y le pide al usuario que confirme su nombre de usuario y contraseña para propósitos de auditoría. ¿Qué tipo de amenaza para la seguridad representa esta llamada?

  • DDoS
  • Registro de pulsaciones de teclas anónimo
  • Ingeniería social
  • Correo no deseado
Explique: La ingeniería social busca ganar la confianza de un empleado y convencerlo de que divulgue información confidencial, como nombres de usuario y contraseñas. Los ataques de DDoS, el correo no deseado y el registro de pulsaciones de teclas son ejemplos de amenazas de seguridad basadas en software; no son un tipo de ingeniería social.

10. ¿Cuales dos tipos de ataques son ejemplos de ataques de reconocimiento? (Escoja dos opciones).

  • Barrido de ping (ping sweep)
  • Saturación de SYN (SYN flood)
  • Man-in-the-middle
  • Escano de puertos (port scan)
  • Fuerza bruta (brute force)
Explique: Los ataques de reconocimiento intentan recopilar información sobre los objetivos. Los barridos de ping indicarán cuales hosts están activos y responden a los pings, mientras que los escaneos de puertos indicarán en qué puertos TCP y UDP está escuchando el objetivo las conexiones entrantes. Los ataques Man-in-the-middle y de fuerza bruta son ejemplos de ataques de acceso, y una saturación de SYN (SYN flood) es un ejemplo de ataque de denegación de servicios (Denial of Services DoS).

11. ¿Por qué un atacante querría suplantar una dirección MAC (spoof a MAC address)?

  • Para que un switch en la LAN comience a reenviar tramas al atacante en lugar de reenviarlas al host legítimo
  • para que el atacante pueda lanzar otro tipo de ataque con el fin de obtener acceso al switch
  • Para que un switch en la LAN comience a reenviar todas las tramas hacia el dispositivo que está bajo control del atacante (que luego puede capturar el tráfico LAN)
  • Para que el atacante pueda capturar el tráfico de múltiples VLAN en lugar de sólo la VLAN asignada al puerto al que está conectado el dispositivo atacante
Explique: La suplantación de direcciones MAC (MAC address spoofing) se utiliza para evadir las medidas de seguridad al permitir que un atacante suplante un dispositivo host legítimo, generalmente con el propósito de recopilar tráfico de red.

12. ¿Qué campo en el encabezado IPv6 apunta a la información de capa de red opcional que se incluye en el paquete IPv6?

  • Encabezado siguiente
  • Clase de tráfico
  • Versión
  • Identificador de flujo
Explique: La información opcional de capa 3 sobre la fragmentación, la seguridad y la movilidad se incluye en los encabezados de extensión de un paquete IPv6. El encabezado siguiente del encabezado IPv6 apunta a estos encabezados de extensión opcionales si están presentes.

13. Un administrador de red revisa los registros del sistema y detecta pruebas de conectividad inusuales en varios puertos bien conocidos en un servidor. ¿Qué clase de ataque de red podría indicar esto?

  • Robo de información
  • reconocimiento
  • De acceso
  • Denegación de servicio
Explique: Un ataque de reconocimiento consiste en la detección y la asignación no autorizadas de sistemas, servicios o vulnerabilidades. Uno de los ataques de reconocimiento más comunes se realiza mediante las utilidades que detectan automáticamente los hosts en las redes y determinan qué puertos están atentos actualmente a las conexiones.

14. ¿Qué tipo de mensaje ICMP pueden utilizar los atacantes para crear un ataque Man-in-the-middle?

  • «Redirect» de ICMP
  • «Echo request» de ICMP
  • «Mask reply» de ICMP
  • «Unreachable» de ICMP
Explique: Los mensajes ICMP comunes que resultan de interés para los atacantes incluyen los siguientes:
ICMP echo request y echo reply: se utiliza para realizar la verificación del host y ataques DoS.
ICMP unreachable: se utiliza para realizar ataques de reconocimiento y escaneo (análisis) de la red.
ICMP mask reply: se utiliza para mapear una red IP interna.
ICMP redirects: se utiliza para lograr que un host objetivo envíe todo el tráfico a través de un dispositivo comprometido y crear así un ataque Man-in-the-middle.
ICMP router discovery: se utiliza para inyectar entradas de rutas falsas en la tabla de routing de un host objetivo

15. ¿Qué tipo de ataque llevan a cabo los actores de amenazas contra una red para determinar qué direcciones IP, protocolos y puertos están permitidos por las ACL?

  • Denegación de servicio
  • Suplantación de identidad
  • Reconocimiento
  • Ingeniería social
Explique: Las ACL de filtrado de paquetes utilizan reglas para filtrar el tráfico entrante y el tráfico saliente. Estas reglas se definen mediante la especificación de direcciones IP, números de puertos y protocolos que se vincularán entre sí. Los actores de amenazas pueden utilizar un ataque de reconocimiento que implique escaneo de puertos o pruebas de penetración para determinar qué direcciones IP, protocolos y puertos permiten las ACL.

16. ¿Cuáles dos tipos de piratas (hackers) suelen clasificarse como piratas (hackers) de sombrero gris? (Elija 2 opciones).

  • Piratas (hackers) patrocinados por el estado
  • Agentes de vulnerabilidad
  • Delincuentes informáticos
  • Hacktivistas
  • Script kiddies
Explique: Los piratas (hackers) de sombrero gris pueden hacer cosas poco éticas o ilegales, pero no para beneficio personal o para causar daños. Los hacktivistas usan su piratería como una forma de protesta política o social, y los agentes de vulnerabilidad piratean para descubrir debilidades y reportarlas a los vendedores. Dependiendo de la perspectiva que uno posea, los piratas (hackers) patrocinados por el estado son operadores de sombrero blanco o de sombrero negro. Los Script kiddies (individuo no calificado que utiliza scripts o programas desarrollados por otros para atacar sistemas informáticos) crean guiones de piratería para causar daños o interrupciones. Los delincuentes cibernéticos utilizan la piratería para obtener ganancias financieras por medios ilegales.

17. ¿Qué escenario describe a un atacante explotador de vulnerabilidades?

  • Un atacante que protesta públicamente contra organizaciones o gobiernos mediante la publicación de artículos y el filtrado de información confidencial.
  • Un atacante patrocinado por el Estado que roba secretos gubernamentales y sabotea redes de gobiernos extranjeros
  • Un atacante intentando descubrir vulnerabilidades para reportarlas a las compañías u proveedores, a veces a cambio de premios o recompensas
  • Un adolescente ejecutando scripts, herramientas, y vulnerabilidades, para causar daño, pero generalmente no para obtener ganancias.
Explique: Por lo general, los agentes de vulnerabilidad son hackers de sombrero gris que intentan descubrir las vulnerabilidades e informarlas a los proveedores, a veces a cambio de premios o recompensas.

18. ¿En qué tipo de ataque un ciberdelincuente intenta impedir que los usuarios legítimos tengan acceso a servicios de red?

  • MITM
  • Suplantación de direcciones
  • DoS
  • Secuestro de sesiones
Explique: En un ataque de denegación de servicio (DoS), el objetivo del atacante es impedir que los usuarios legítimos tengan acceso a servicios de red.

19. ¿Cuál ataque involucra agentes de amenaza que se posicionan a sí mismos entre un origen y un destino con la intención de monitorear, obtener y controlar la comunicación de manera transparente?

  • Ataque de ICMP
  • Ataque de inundación SYN
  • Ataque DoS
  • Ataque man-in-the-middle
Explique: El ataque man-in-the-middle es un ataque común relacionado con IP donde los agentes de amenazas se posicionan entre una fuente y un destino para monitorear, capturar y controlar la comunicación de manera transparente.

20. Un hacker de sombrero blanco está usando una herramienta de seguridad llamada Skipfish para descubrir las vulnerabilidades de un sistema informático. ¿Qué tipo de herramienta es esta?

  • Analizador de protocolos de paquetes
  • Escáner de vulnerabilidad
  • Fuzzer
  • Depurador
Explique: Los Fuzzers son herramientas usadas por los atacantes cuando intentan descubrir las vulnerabilidades de seguridad de un sistema informático. Algunos ejemplos de fuzzers son: Skipfish, Wapiti y W3af.

21. ¿Qué declaración describe la función de la herramienta SPAN utilizada en un switch de Cisco?

  • Proporciona interconexión entre las VLAN entre varios switches.
  • Admite la operación de notificación de SNMP en un switch.
  • Es un canal seguro para que un switch envíe el registro a un servidor syslog.
  • Copia el tráfico de un puerto de switch y lo envía a otro puerto de switch conectado a un dispositivo de monitoreo.
Explique: Para analizar el tráfico de red que atraviesa un switch, puede utilizarse el analizador de puertos conmutados (SPAN). El SPAN puede enviar una copia del tráfico desde un puerto a otro puerto en el mismo switch donde un dispositivo del analizador de red o de monitoreo está conectado. El SPAN no se requiere para syslog o SNMP. El SPAN se utiliza para duplicar el tráfico, mientras que syslog y SNMP se configuran para enviar datos directamente al servidor correspondiente.

22. ¿Qué dos métodos utilizan los ciberdelincuentes para ocultar ataques de DNS? (Elija dos opciones).

  • Fast flux
  • control de dominios y rotación de subdominios (shadowing)
  • Tunelizado
  • Algoritmos de generación de dominio
  • Reflexión
Explique: Los ciberdelincuentes utilizan fast flux, doble flujo IP y algoritmos de generación de dominio para atacar los servidores DNS y afectar a los servicios DNS. Fast flux es una técnica utilizada para ocultar los sitios de aplicación de malware y suplantación de identidad detrás de una red que cambia rápidamente de hosts DNS comprometidos (bots dentro de botnets). La técnica de doble flujo IP cambia rápidamente el nombre de host por asignaciones de dirección IP y el servidor de nombres autoritativo. Los algoritmos de generación de dominio generan nombres de dominio al azar para ser utilizados como puntos de encuentro.

23. Un atacante está redirigiendo el tráfico a una puerta de enlace por defecto (default gateway) falsa en un intento de interceptar el tráfico de datos de una red conmutada (switched network) ¿Qué tipo de ataque es este?

  • Suplantación DHCP (DHCP spoofing)
  • DHCP snooping
  • Snooping de direcciones MAC
  • Agotamiento direcciones MAC (MAC address starvation)
Explique: En los ataques de suplantación DHCP (DHCP spoofing), un atacante configura un servidor DHCP falso en la red para que proporcione direcciones DHCP a los clientes con el objetivo de forzar a los clientes a utilizar una puerta de enlace por defecto falsa o no válida. El DHCP snooping (espionaje DHCP) es una función de los switch de Cisco que puede mitigar los ataques DHCP. Agotamiento direcciones MAC (MAC address starvation) y el snooping de direcciones MAC no son ataques de seguridad reconocidos. La suplantación (spoofing) de direcciones MAC es una amenaza para la seguridad de red

24. ¿Cuáles son tres funcionalidades proporcionadas por SOAR? (Escoja tres opciones).

  • Ofrece auditoría completa de la información básica de todo el flujo de IP reenviado de un dispositivo.
  • Automatiza procedimientos e investigaciones complejos de respuesta a incidentes.
  • Utiliza inteligencia artificial para detectar incidentes y ayudar en su análisis y respuesta.
  • Proporciona herramientas de gestión de casos que permiten al personal de ciberseguridad investigar incidentes.
  • Proporciona estadísticas 24×7 sobre los paquetes que atraviesan un router o switch multicapa de Cisco.
  • Permite ver los datos sobre eventos correlacionados y agregados mediante monitoreo en tiempo real y resúmenes a largo plazo.
Explique: Las plataformas de seguridad SOAR ofrecen estas funcionalidades:
  • Recopilar datos de alarma de cada componente del sistema
  • Proporcionar herramientas que permitan investigar, evaluar e investigar casos
  • Enfatizar la integración como medio de automatizar flujos de trabajo de respuesta a incidentes complejos que permiten una respuesta más rápida y estrategias de defensa adaptativa
  • Incluye manuales predefinidos que permiten una respuesta automática a amenazas específicas

25. ¿Qué afirmación describe una característica operativa de NetFlow?

  • NetFlow recolecta información básica sobre el flujo de paquetes, no los datos del flujo propiamente.
  • Los registros de flujo de NetFlow se pueden ver a través de la herramienta tcpdump .
  • NetFlow captura todo el contenido de un paquete.
  • NetFlow puede prestar servicios de control de acceso del usuario.
Explique: NetFlow no captura todo el contenido de un paquete. NetFlow, en cambio, recopila metadatos o datos sobre el flujo, no los datos del flujo propiamente. La información de NetFlow puede verse a través de herramientas como nfdump y FlowViewer.

26. ¿Qué funcionalidad proporciona Cisco SPAN en una red conmutada (switched network)?

  • Copia el tráfico que pasa a través de una interfaz de switch y envía los datos directamente a un servidor syslog o SNMP para su análisis.
  • Mitiga los ataques de saturación de direcciones MAC.
  • Protege la red conmutada (switched network) de recibir tramas BPDU en puertos que no deberían recibir este tipo de tramas.
  • Duplica (refleja) el tráfico que pasa a través de un puerto de switch o VLAN a otro puerto para el análisis de tráfico.
  • Inspecciona los protocolos de voz (voice protocols) para garantizar que las solicitudes SIP, SCCP, H.323 y MGCP cumplan con los estándares de voz (voice standards).
  • Evita que el tráfico en una LAN sea interrumpido por una tormenta broadcast.
Explique: SPAN es una tecnología de Cisco utilizada por los administradores de red para monitorear el tráfico sospechoso o para capturar el tráfico que será analizado.

27. Una la solución de supervisión de red con su respectiva descripción. No se utilizan todas las opciones.

Respuestas:

28. Al lanzar un ataque de reconocimiento en una red, ¿qué es lo que se busca? (Elija dos opciones).

  • Escalar privilegios de acceso
  • Buscar oportunidades de acceso
  • Recuperar y modificar datos
  • Recopilar información sobre la red y los dispositivos
  • Evitar que otros usuarios accedan al sistema
Explique: Recopilar información sobre una red y buscar oportunidades de acceso es un ataque de reconocimiento. Impedir que otros usuarios accedan a un sistema es un ataque de denegación de servicio. Intentar recuperar y modificar datos, e intentar escalar privilegios de acceso son tipos de ataques de acceso.

29. Haga coincidir el tipo de ciberatacante con su respectiva descripción (No se utilizan todas las opciones).

Respuestas:

30. ¿Qué tipo de ataque de seguridad intentaría un desbordamiento del búfer?

  • Ransomware
  • Scareware
  • DoS
  • Reconocimiento
Explique: Los ataques de denegación de servicio (DoS) intentan interrumpir el servicio en la red al enviarle a dispositivo especial una cantidad abrumadora de datos para que ningún otro dispositivo pueda acceder al dispositivo atacado o al enviar paquetes mal formados.

31. ¿Qué tipo de ataque de red implica abrir aleatoriamente muchas solicitudes Telnet a un router y tiene como resultado que un administrador de red válido no pueda acceder al dispositivo?

  • Suplantación de identidad (spoofing)
  • Envenenamiento del DNS
  • Saturación SYN
  • Man-in-the-middle
Explique: El ataque de saturación de SYN de TCP ataca la comunicación de tres vías de TCP. El atacante envía constantemente a un objetivo paquetes de solicitud de sesión TCP SYN con una dirección IP de origen falsificada de manera aleatoria, hacia el objetivo previsto. El dispositivo de destino responde con un paquete SYN-ACK de TCP a la dirección IP falsificada y espera un paquete ACK de TCP. Las respuestas nunca llegan. Eventualmente el host objetivo es saturado con las conexiones TCP medio abiertas y deniega los servicios TCP.

32. Una la herramienta de seguridad con su respectiva descripción. (No se utilizan todas las opciones).

Respuestas:

33. ¿Cómo se puede mitigar un ataque de túnelización DNS (DNS tunneling)?

  • Mediante el uso de contraseñas seguras y autenticación de dos factores (two-factor)
  • Protegiendo todas las cuentas de propietario de dominio (owner accounts).
  • Mediante un filtro que inspeccione el tráfico DNS
  • Evitando que los dispositivos utilicen «ARP innecesario» (gratuitous ARP)
Explique: Para poder detener la tunelización de DNS (DNS tunneling), debe utilizarse un filtro que inspeccione el tráfico de DNS. También, las soluciones de DNS, como Cisco OpenDNS, bloquean gran parte del tráfico de tunelización DNS identificando dominios sospechosos.

34. ¿Qué protocolo aprovechan los ciberdelincuentes para crear iFrames maliciosos?

  • DHCP
  • HTTP
  • DNS
  • ARP
Explique: Un elemento HTML conocido como trama en línea o iFrame permite que el navegador cargue una página web diferente de otra fuente.

35. El departamento de TI informa que un servidor web de la empresa recibe una gran cantidad anormal de solicitudes de páginas Web desde distintos lugares simultáneamente. ¿Qué tipo de ataque a la seguridad se está produciendo?

  • Spyware
  • Adware
  • Ingeniería social
  • DDoS
  • Suplantación de identidad (phishing)
Explique: La suplantación de identidad, el spyware y la ingeniería social son ataques de seguridad que apuntan a recopilar información de la red y de los usuarios. El adware consta, generalmente, de ventanas emergentes molestas. A diferencia de un ataque DDoS, ninguno de estos ataques genera grandes cantidades de tráfico de datos que pueden restringir el acceso a los servicios de red.

36. ¿Qué tipo de amenaza de seguridad sería responsable si un complemento de la hoja de cálculo deshabilita el firewall de software local?

  • DoS
  • Desbordamiento del búfer
  • Caballo de Troya
  • Ataque de fuerza bruta
Explique: Un caballo de Troya es un software que ocasiona un daño, pero que está oculto en el código de software legítimo. Un ataque de denegación de servicio (DoS) genera la interrupción de los servicios de la red para usuarios, dispositivos de red o aplicaciones. Un ataque de fuerza bruta implica, comúnmente, tratar de acceder a un dispositivo de red. Un desbordamiento del búfer se produce cuando un programa intenta almacenar una cantidad de datos en una ubicación de la memoria superior a la que esta puede contener.

37. ¿Cuáles serían dos ejemplos de ataques de denegación de servicio? (Elija dos opciones).

  • Suplantación de identidad
  • Ping de la muerte
  • Desbordamiento del búfer
  • Inyección SQL
  • Escaneo de puertos
Explique: Los ataques de denegación de servicio de desbordamiento del búfer y el ping de la muerte aprovechan fallas relacionadas con la memoria del sistema en un servidor mediante el envío de una cantidad inesperada de datos o datos con formato incorrecto al servidor.

38. ¿Cuáles son dos métodos de evasión que utilizan los hackers? (Elija dos opciones).

  • Escaneando
  • Agotamiento de recursos
  • Ataque de acceso
  • Cifrado
  • Suplantación de identidad
Explique: Los hackers utilizan los siguientes métodos para evitar ser detectados:
Cifrado y tunelizado: ocultar o codificar el contenido del malware
Agotamiento de recursos: mantiene el dispositivo host demasiado ocupado como para detectar la invasión
Fragmentación de tráfico: divide el malware en varios paquetes
Interpretación errónea a nivel de protocolos: se escabulle por el firewall
Pivoting: utiliza un dispositivo de red comprometido para intentar acceder a otro dispositivo
Rootkit: permite que el hacker no sea detectado y esconde el software instalado por el hacker

39. ¿Cuál es el objetivo de un hacker de sombrero blanco?

  • robo de datos
  • modificación de datos
  • protección de datos
  • validación de datos
Explique: Los hackers de sombrero blanco son en realidad «buenos muchachos» y las empresas y los gobiernos les pagan para probar vulnerabilidades de seguridad de modo que los datos estén mejor protegidos.

40. Un administrador descubre una vulnerabilidad dentro de la red. Al analizar la vulnerabilidad, el administrador decide que el costo de la gestión del riesgo supera el costo del propio riesgo. El riesgo es aceptado y no se toma ninguna medida. ¿Qué estrategia de gestión de riesgos se ha adoptado?

  • Transferencia de riesgos
  • Evitar riesgos
  • Reducción de riesgos
  • Aceptación de riesgos
Explique: La aceptación de riesgos sucede cuando el costo de las opciones de gestión del riesgo sobrepasa el costo del riesgo mismo, el riesgo es aceptado, y no se toma ninguna medida de prevención al respecto.

41. ¿Qué tecnología es un sistema SIEM patentado?

  • StealthWatch
  • El recopilador NetFlow
  • Splunk
  • Agente de SNMP
Explique: El Sistema de administración de información y eventos de seguridad (SIEM) es una tecnología que se utiliza en organizaciones empresariales para proporcionar informes en tiempo real y análisis a largo plazo de los eventos de seguridad. Splunk es un sistema SIEM patentado.

42. Haga coincidir a los atacantes con su respectiva descripción. No se utilizan todas las opciones.

CyberOps Associate (Versión 1.0) - Módulos 13 - 17: Examen del Grupo, Amenazas y Ataques
CyberOps Associate (Versión 1.0) – Módulos 13 – 17: Examen del Grupo, Amenazas y Ataques

43. ¿Cuál es la función de un «ARP innecesario» (gratuitous ARP) enviado por un dispositivo conectado a red cuando se enciende?

  • Anunciar (informar) su dirección MAC a los dispositivos conectados en la red.
  • Solicitar el nombre netbios del sistema conectado
  • Solicitar la dirección IP de la red a la que está conectado
  • Solicitar la dirección MAC del servidor DNS
Explique: Un «ARP innecesario» (gratuitous ARP) es usualmente enviado cuando un dispositivo se inicia por primera vez para informar a todos los demás dispositivos de la red local sobre la dirección MAC del dispositivo nuevo.

44. ¿Cuáles dos funciones proporciona NetFlow? (Escoja dos opciones).

  • Utiliza inteligencia artificial para detectar incidentes y ayudar en su análisis y respuesta.
  • Permite a un administrador capturar tráfico de red en tiempo real y analizar todo el contenido de los paquetes.
  • Ofrece auditoría completa de la información básica de todo el flujo IP reenviado de un dispositivo.
  • Proporciona estadísticas 24×7 sobre los paquetes que atraviesan un router o switch multicapa de Cisco.
  • Permite ver los datos sobre eventos correlacionados y agregados mediante monitoreo en tiempo real y resúmenes a largo plazo.
Explique: NetFlow es una tecnología Cisco IOS que proporciona estadísticas y caminos de auditoría completos en flujos TCP/IP en la red. Algunas de las funciones de NetFlow son: monitoreo de red y seguridad 24×7, planificación de red, análisis de tráfico, identificación de los cuellos de botella de la red y la contabilidad de IP para fines de facturación.

45. Una vez que se ha verificado una ciber-amenaza, la Agencia de Seguridad e Infraestructura de Ciberseguridad de los Estados Unidos (CISA) comparte automáticamente la información de ciberseguridad con organizaciones públicas y privadas. ¿Cuál es el nombre de este sistema automatizado?

  • ENISA
  • NCASM
  • NCSA
  • AIS
Explique: La CISA de Estados Unidos utiliza un sistema llamado Intercambio Automatizado de Indicadores (AIS, siglas en inglés). El sistema AIS comparte vectores e indicadores de ataque verificados con los sectores públicos y privados.

46. Un usuario quiere saber cómo darse cuenta de que una computadora ha sido infectada con malware. ¿Cuáles son las conductas comunes malware ? (Elija dos opciones).

  • No se emite ningún sonido cuando se reproduce un CD de audio.
  • La computadora emite un pitido una vez durante el proceso de arranque.
  • La computadora responde cada vez con más lentitud.
  • La computadora se congela y es necesario reiniciarla.
  • La computadora emite un silbido cada vez que se utiliza el sacapuntas.
Explique: Síntomas comunes de computadoras infectadas con malware:
  • Aparición de archivos, aplicaciones o iconos de escritorio
  • Herramientas de seguridad, como software antivirus o firewalls, desactivada o modificadas
  • Bloqueos del sistema
  • Correos electrónicos enviados espontáneamente a otros usuarios
  • Archivos modificados o faltantes
  • Respuesta lenta del sistema o del navegador
  • Ejecución procesos o servicios desconocidos
  • Puertos TCP o UDP desconocidos abiertos
  • Establecimiento de conexiones con dispositivos remotos desconocidos

47. De las siguientes opciones, ¿cuál hace referencia a una causa de un desbordamiento de búfer?

  • Implementar una contramedida de seguridad para mitigar un caballo de Troya
  • Enviar conexiones repetidas, como Telnet, a un dispositivo en particular y, de esta manera, denegar otras fuentes de datos
  • Intentar escribir una cantidad de datos en una ubicación de la memoria superior a la que esa ubicación puede contener
  • Descargar e instalar muchas actualizaciones de software al mismo tiempo
  • Enviar mucha información a dos o más interfaces del mismo dispositivo, lo que ocasiona la pérdida de paquetes

48. ¿Cuál es la característica principal del malware «gusano»?

  • Una vez instalado en un sistema del host, un gusano no se autorreplica.
  • El malware «gusano» se disfraza de software legítimo.
  • Un gusano debe ser activado por un evento en el sistema del host.
  • Un gusano puede ejecutarse de forma independiente del sistema del host.

49. ¿Por qué un hacker utilizaría un rootkit?

  • Para obtener acceso a un dispositivo sin ser detectado
  • Para tratar de descubrir una contraseña
  • Para hacer reconocimiento
  • Para aplicar ingeniería inversa a archivos binarios
Explique: Los Hackers utilizan rootkits para evitar ser detectados y para ocultar cualquier software que instalen.

50. ¿Qué dispositivos requieren medidas de seguridad para mitigar ataques de suplantación de direcciones MAC?

  • Dispositivos de capa 2
  • Dispositivos de capa 3
  • Dispositivos de capa 7
  • Dispositivos de capa 4

51. Una el concepto de seguridad con la descripción.

52. ¿Qué tipo de violación a la seguridad por caballo de Troya utiliza la computadora de la víctima como el dispositivo de origen para lanzar otros ataques?

  • Proxy
  • FTP
  • Envío de datos
  • DoS
Explique: El atacante utiliza un ataque de caballo de Troya proxy para penetrar en un dispositivo y luego utilizar ese dispositivo para lanzar ataques en otros dispositivos. El caballo de Troya Dos ralentiza o detiene el tráfico de la red. El troyano FTP habilita servicios de transferencia de archivos no autorizados cuando el puerto 21 se ha visto comprometido. Un caballo de Troya que envía datos transmite datos al pirata informático que podrían incluir contraseñas.
Subscribe
Notify of
guest

2 Comments
Inline Feedbacks
View all comments
gulab
gulab
3 months ago

¿Qué tipo de violación a la seguridad por caballo de Troya utiliza la computadora de la víctima como el dispositivo de origen para lanzar otros ataques?

  • Proxy
  • FTP
  • Envío de datos
  • DoS
2
0
¿Tienes otra pregunta? Por favor comentax