2 Examen Tema 3 (156-173 pags)

Questions and Answers

¿Cuál es el propósito principal de utilizar motores de búsqueda en la investigación de incidentes de ciberseguridad?

Identificar y descargar software de seguridad libre.

Encontrar información sobre actividades inusuales. (correct)

Recopilar información personal de los usuarios.

Buscar actualizaciones de seguridad directamente desde los fabricantes.

¿Qué estrategia es recomendada para manejar la gran cantidad de datos durante la investigación de incidentes?

Utilizar solo un único indicador para la investigación.

Filtrar las categorías de indicadores menos relevantes. (correct)

Registrar todos los indicadores durante el incidente.

Analizar todos los grupos de indicadores disponibles.

¿Cuál es una consideración crítica al priorizar el tratamiento de un incidente de ciberseguridad?

El impacto funcional del incidente. (correct)

La antigüedad del incidente.

El tipo de software utilizado en la organización.

La cantidad de personal disponible.

¿Qué se debe tener en cuenta si un incidente puede comprometer la confidencialidad de la información sensible?

La posibilidad de que no valga la pena los recursos para la recuperación.

¿Qué acción se sugiere al no poder determinar la causa completa de un incidente?

Solicitar ayuda de recursos internos y externos.

¿Cuál de las siguientes afirmaciones justifica la necesidad de conservar los datos de los registros en ciberseguridad?

Los incidentes pueden no descubrirse hasta mucho tiempo después.

¿Por qué es importante mantener todos los relojes de los hosts sincronizados en el análisis de incidentes?

Para facilitar la correlación de eventos entre distintos registros.

¿Cuál es el objetivo principal de realizar una correlación de eventos en ciberseguridad?

Determinar si se produjo un incidente a partir de múltiples fuentes de información.

¿Qué debe incluir una base de conocimientos durante el análisis de incidentes?

Información variada que los gestores necesiten consultar rápidamente.

¿Cuál de las siguientes opciones describe mejor un registro útil en el contexto de un incidente de ciberseguridad?

Un registro de aplicación que incluye nombres de usuario y comportamientos de acceso.

Study Notes

Investigación de Incidentes de Ciberseguridad

• Conservación de Datos de Registros: Es crucial conservar datos de registros para analizar incidentes, ya que las entradas antiguas pueden mostrar actividades de reconocimiento o ataques anteriores. El tiempo de conservación depende de las políticas de la organización y el volumen de datos.

Correlación de Eventos

• Varios Registros: Evidencia de incidentes puede estar en múltiples registros con diferentes datos (firewall, aplicación, IDPS). Los analistas pueden necesitar revisar registros de hosts para validar incidentes.

• Sincronización de Relojes: Protocolos como NTP sincronizan relojes de hosts para una correlación de eventos más precisa y evidencia más confiable.

Base de Conocimientos

• Información Accesible: Una base de conocimientos debe contener información de apoyo para consultar rápidamente durante el análisis. Puede ser una estructura simple usando documentos, hojas de cálculo o bases de datos. Incluye explicaciones de precursores e indicadores de incidentes.

Investigación en Internet

• Motores de Búsqueda: Emplear buscadores web para investigar actividades inusuales. Ejemplos incluyen analizar intentos de conexiones inusuales a puertos específicos, usando términos clave pertinentes. Usar estaciones de trabajo separadas para minimizar riesgos a la organización.

Herramientas de Captura de Datos

• Packet Sniffers: Utilizar packet sniffers para recopilar datos adicionales si los indicadores no proporcionan suficiente detalle. Configurar el rastreador para registrar tráfico específico para un análisis eficiente y minimizar captura de información irrelevante. Al necesitar permiso por privacidad, asegurar autorización previa para uso.

Filtrado de Datos

• Priorización de Análisis: El análisis de todos los indicadores es inviable. Filtrar categorías de indicadores poco relevantes, o centrarse únicamente en las más importantes a riesgo de perder indicadores no identificados previamente con importancia.

Búsqueda de Ayuda

• Recursos Auxiliares: El equipo de respuesta puede pedir ayuda a recursos internos (personal de seguridad) o externos (otros CSIRT, contratistas) cuando la información faltante impide contener o erradicar el incidente. Es esencial entender la causa para responder adecuadamente e impedir incidentes similares.

Priorización o Triaje

• Consideraciones de Priorización: La priorización de incidentes no se debe a su orden de llegada, sino a características como:

  • Impacto Funcional: Impacto en los sistemas y servicios TI para los usuarios, considerando el impacto actual y potencial futuro si no se contiene inmediatamente.
  • Impacto en la Información: Considerar la afectación a la confidencialidad, integridad y disponibilidad, incluyendo posibles filtraciones de información sensible.
  • Capacidad de Recuperación: Estimación del tiempo y esfuerzo necesarios para recuperar de incidente considerando casos con recuperación imposible (información comprometida) y aquellos que requieren más recursos que los disponibles por la organización.

• Impacto Empresarial: Combinación del impacto funcional y en información crea el impacto empresarial total. Ejemplo: ataque DDoS vs acceso raíz no autorizado.

• Respuestas a Incidentes: La capacidad de recuperación define respuestas; incidentes con alto impacto y bajo esfuerzo de recuperación son ideales para acciones inmediatas. Otros requieren respuestas más estratégicas (por ejemplo, filtración de datos sensible). El equipo debe priorizar basadas en el impacto empresarial y esfuerzo de recuperación estimado.

Análisis de Evidencias

• Preservar Evidencia: Evitar alterar evidencias al recopilarlas, desde equipos a la red y escenario del incidente.
• Evidencias Volátiles: Componentes volátiles incluyen memoria RAM, caché (redes, navegadores, sesiones), variables de entorno, tareas programadas, tabla de procesos, registros temporales, registros de sistemas, información de red.
• Evidencias No Volátiles: Componentes no volátiles incluyen clonado de disco, documentos, logs de sistema (tareas programadas, eventos), correos, e imágenes completo del sistema.

Auditorías Técnicas

• Evaluación de Salud del Sistema: Realizar auditorías de seguridad, ya sea preventiva o después de un incidente, para determinar la salud de los sistemas o reconocer brechas. Estas consisten en diversos tipos de análisis y pruebas de seguridad.

Análisis de Malware

• Entorno Controlado: Implementar un laboratorio aislado para analizar malware sin riesgo a la red principal. Debe incluir procedimientos para obtener línea base de configuración del equipo víctima, clasificar y ejecutar el malware, evaluar los datos obtenidos, análisis estático del código y un análisis dinámico del ambiente real de ejecución para comprender su ciclo de vida.

Monitorización, Detección, Identificación y Análisis de OSINT

• Inteligencia de Fuente Abierta (OSINT): Colectar información de fuentes públicas como medios de comunicación, gobierno, foros, redes sociales, blogs, conferencias, etc. para buscar patrones útiles en seguridad, reputación online, o evaluación de riesgo nacional.

• Fuentes y Usos de OSINT: Fuentes pueden ser medios, gobierno, foros, redes sociales. Ejemplos de uso incluyen reputación online, estudios sociológicos, auditorías empresariales, identificación de amenazas, evaluación de tendencias de mercados, e investigación de brechas de seguridad.

• Consideraciones OSINT: El volumen de información pública es abrumador, así que la selección de fuentes de información es crítica para la eficiencia y evitar la desinformación. La confiabilidad de las fuentes es también algo a evaluar.

• Información en la web: Con millones de usuarios online, existe mucha información personal, empresarial y de gobierno. Google maneja billones de bytes de datos; Facebook creció dramáticamente desde su inicio. Sin embargo, la Deep y Dark Web alberga información no indexada o inaccible.

• Huella Digital: La información personal dejada en internet (fotos, comentarios, compras online, redes sociales, dispositivos) crea una huella digital accesible mediante OSINT.

• Proceso OSINT: Los procesos de OSINT incluyen requisitos, identificación de fuentes, adquisición, procesamiento, análisis e informes de la inteligencia recopilada.

• Herramientas OSINT: Se utilizan buscadores web comunes (Google, Bing, Yahoo), buscadores especializados (Shodan, NameCHK, Knowem, Tineye), buscadores de información de personas (Spokeo, Pipl), herramientas de recolección de metadatos (Metagoofil, Libextractor), servicios para obtener información (Domaintools, Robtex), APIs de redes sociales, y otras herramientas (GooScan, SiteDigger, etc.). Métodos para buscar datos específicos en un sitio web mediante parámetros específicos también son parte de estas herramientas.