Ciberseguridad: Investigación de Incidentes Examen final (2 parte-156-173 pags)

Questions and Answers

¿Cuál es la primera acción recomendada al investigar un intento de conexión inusual hacia un puerto específico?

Realizar una búsqueda en Internet utilizando términos relacionados. (correct)

Consultar con el personal de seguridad de la información.

Ejecutar un rastreador de paquetes inmediatamente.

Filtrar los datos de los indicadores disponibles.

¿Qué factor no debe considerarse al priorizar el tratamiento de un incidente de ciberseguridad?

Capacidad de recuperación del incidente.

Impacto funcional del incidente.

Tiempo de investigación anterior. (correct)

Impacto en la información.

¿Qué estrategia se recomienda para gestionar la gran cantidad de datos de incidentes registrados?

Filtrar las categorías de indicadores menos significativas. (correct)

Solicitar ayuda a otros CSIRT antes de filtrar.

Registrar solo el tráfico que coincida con criterios especificados.

Analizar todos los datos disponibles sin filtrar.

¿Cuál es una razón para que algunas organizaciones exijan permiso antes de usar rastreadores de paquetes?

Debido a preocupaciones por la privacidad.

Cuando un incidente compromete la confidencialidad de la información sensible, ¿cuál es la acción más adecuada a seguir?

Analizar el incidente para evitar futuras ocurrencias.

¿Por qué es importante conservar los registros de ciberseguridad?

Porque pueden mostrar la actividad de reconocimiento o ataques similares anteriores.

¿Cuál es un desafío al correlacionar eventos de ciberseguridad?

Los ajustes de reloj inconsistentes complican la correlación de eventos.

¿Qué papel juega la base de conocimientos en el análisis de incidentes de ciberseguridad?

Ofrece información que permite consultas rápidas durante el análisis.

¿Qué aspecto debe considerarse al mantener los registros de ciberseguridad?

El tiempo de conservación depende de factores como las políticas de la organización.

¿Cuál de los siguientes protocolos ayuda a mantener los relojes de los hosts sincronizados?

Protocolo de Tiempo de Red (NTP)

Study Notes

Investigación de incidentes de ciberseguridad

• Conservación de datos de registros: Es útil conservar registros de incidentes para analizar actividades de reconocimiento o ataques anteriores. El tiempo de conservación depende de políticas de la organización y volumen de datos.

Correlación de eventos

• Evidencia en múltiples registros: Incidentes se reflejan en varios registros con distintos tipos de datos (firewall, aplicación, IDPS). Correlacionar información de diversas fuentes valida incidentes.

• Sincronización de relojes: Relojes de hosts sincronizados (NTP) facilitan correlación de eventos. Marcas de tiempo consistentes mejoran la evidencia.

Base de conocimientos

• Información útil para analistas: La base de conocimientos debe contener información para análisis rápidos de incidentes. Documentos, hojas de cálculo y bases de datos sencillas son eficaces.

• Precursores e indicadores: Incluye explicaciones sobre significado y validez de indicadores (alertas IDPS, registros del SO, códigos de error).

Investigación en internet

• Motores de búsqueda: Utilizar motores de búsqueda para encontrar información sobre actividades inusuales (ej: intentos de conexión al puerto TCP 22912).

• Estaciones de trabajo separadas: Utilizar estaciones de trabajo independientes para minimizar riesgos durante investigaciones en Internet.

Packet Sniffers

• Información adicional: Usar capturadores de tráfico (packet sniffers) para recopilar detalles adicionales si información de indicadores no es suficiente.

• Criterios específicos: Configurar sniffer para capturar solo tráfico relevante minimizando la recolección de datos innecesarios.

• Consentimientos: En algunos casos, se requieren permisos para usar rastreadores de paquetes.

Filtrado de datos

• Investigación selectiva: Filtrar indicadores sospechosos para investigar eficientemente.

• Prioridad y riesgo: Filtrar solo indicadores importantes, pero alto riesgo de perder nueva actividad maliciosa.

Ayuda externa

• Recursos internos y externos: Consultar recursos internos (seguridad de la información) y externos (CSIRTs, contratistas) si faltan datos para contener y erradicar incidentes.

• Causa y vulnerabilidades: Detallar la causa del incidente para contenerlo y evitar incidentes similares.

Priorización de incidentes

• Impacto funcional: Considerar impacto en funcionalidad de sistemas TI y usuarios. Tener en cuenta el impacto actual y futuro.

• Impacto en la información: Valorar confidencialidad, integridad y disponibilidad de la información. Evaluar exfiltración de datos.

• Recuperación del incidente: Evaluar tiempo y recursos para la recuperación. Priorizar incidentes con alto impacto y esfuerzo de recuperación bajo.

Análisis de evidencias

• No alterar evidencias: Manejar evidencias con cuidado para no alterar la información.
  • Volátiles: Memoria RAM, cachés, información de sistema, procesos, registros temporales, información de red
  • No Volátiles: Clonado de disco, documentos, logs del sistema, buzones de correo, imagen de sistemas.

Auditorías técnicas

• Preventivas e incidentes: Evaluar la seguridad de los sistemas (prevención) o las brechas de seguridad desatadas.

Análisis de malware

• Entorno controlado: Analizar malware en entornos de pruebas aisladas, sin propagación a redes de producción.

• Ciclo de vida del malware: Estudiar comportamiento, ocultación, actualizaciones y comunicaciones del malware. Obtén información completa del malware incluyendo detalles sobre su funcionamiento, ocultación y métodos de funcionamiento.

Monitorización, detección, identificación y análisis de OSINT

• OSINT (Open Source Intelligence): Recopilar información pública para análisis de incidentes.

• Fuentes: Medios de comunicación, información gubernamental, foros, redes sociales, conferencias, etc. Utiliza fuentes de información pública (como medios de comunicación, y foros) para llevar a cabo investigaciones.

Información online

• Gran cantidad de datos: Mucha información online, tanto visible como en Deep/Dark Web.

• Huella digital: La huella digital son los rastros dejados en la red mediante actividades online.

  • Sitios web: Cookies, anuncios dirigidos, spyware.
  • Redes sociales: Comentarios, publicaciones, interacciones.
  • Dispositivos: Ubicación, geolocalización, dispositivos utilizados.

Proceso OSINT

• Fases: Requerimientos, identificación de fuentes, adquisición, procesamiento, análisis y presentación de análisis.

Herramientas OSINT

• Buscadores: Google, Bing, Yahoo, Shodan, etc. Explora herramientas de búsqueda especializadas para obtener información precisa y detallada.

• Especializadas: Shodan, NameCHK, Knowem, Tineye. Utiliza herramientas especializadas en este tipo de búsquedas.

• Información de personas: Spokeo, Pipl, Wink. Localiza información sobre personas.

• Metadatos: Metagoofil, Libextractor. Extrae metadatos de documentos.

• Dominios: Domaintools, Robtex, MyIPNeighbors. Investiga información de dominios y servidores.

• APls: Facebook, Twitter, etc. Utiliza APIs para obtener datos automatizados.

• Otras: GooScan, SiteDigger, OsintStalker, Cree.py, TheHarvester. Utiliza herramientas para extraer información desde distintas fuentes online.

Description

Este cuestionario se centra en los aspectos clave de la investigación de incidentes de ciberseguridad, incluyendo la conservación de datos, correlación de eventos y la importancia de una base de conocimientos. Los participantes aprenderán sobre la recolección y análisis de información para mejorar la respuesta ante incidentes.