Ciberseguridad Tema 4: Medidas de Implementación

Questions and Answers

Cuál es una de las principales consideraciones durante un incidente de seguridad cibernética?

• Actuar sin ningún proceso
• Evaluar el alcance y el impacto del incidente (correct)
• No recoger pruebas
• Esperar a que el hacker se rinda

Qué herramienta se considera útil para el análisis durante un incidente?

• Documentos de texto
• Imágenes de disco y memoria de la máquina sospechosa (correct)
• Archivos de audio
• Software de procesamiento de texto

Cuál es un posible efecto negativo de desconectar un sistema crítico?

• Reducción de la carga en los servidores
• Mejora en la seguridad de la red
• Pérdidas económicas significativas (correct)
• Aumento en la velocidad de procesamiento

¿Cuál es el objetivo principal de la contención de un incidente de ciberseguridad?

Limitar los daños y detener al atacante (D)

Qué debe hacerse si se necesita preservar pruebas durante un incidente?

Determinar la fuente y almacenamiento de las pruebas (D)

Qué balanza debe encontrar la organización durante un incidente?

Entre la velocidad y el análisis de pruebas (D)

¿Qué aspecto es crucial tras la detección de un incidente de ciberseguridad?

Recopilar toda la información disponible sobre el incidente (A)

¿Cuál de las siguientes es una actividad clave en la fase de recuperación ante un ciberincidente?

Erradicación de amenazas (B)

¿Qué información es importante conservar durante el proceso de contención de un incidente?

Los registros del sistema y la política de cortafuegos (B)

Durante un incidente de ciberseguridad, ¿qué debe evitarse para proteger a la organización?

Que el incidente se extienda a otros sistemas y redes (C)

Flashcards

Contención de un incidente de ciberseguridad

Limitar los daños y detener al atacante, evitando la propagación del incidente a otros sistemas o redes.

Conciencia situacional en ciberseguridad

Recopilar información sobre un incidente para comprender su alcance temporal y espacial, incluyendo registros del sistema y cortafuegos

Archivo centralizado de información de seguridad

Recopilación y organización centralizada de registros de sistemas y cortafuegos para facilitar el análisis de un incidente.

Integridad de la información

Asegurar que la información recopilada sobre el incidente no se modifique durante el proceso, manteniendo su exactitud.

Indexación de la información de seguridad

Organizar la información recopilada para facilitar las búsquedas y el análisis orientados en grandes volúmenes de registros.

Investigación forense para ataques cibernéticos

Proceso para recopilar y analizar evidencia de un ataque cibernético para determinar la magnitud del daño y las posibles nuevas intrusiones.

Contener vs. Investigar un ataque

Decisión estratégica durante un ataque cibernético sobre si desconectar sistemas inmediatamente para contenerlo o tomar tiempo para recopilar evidencia.

Impacto de la contención en las operaciones

Consideración del efecto de las estrategias de contención en la capacidad de una organización para operar de forma efectiva.

Criterios para la evaluación de un incidente

Factores que ayudan a determinar si es necesario contener un ataque o priorizar la investigación de pruebas: daños, robo de activos, preservación de pruebas, etc.

Herramientas de análisis forense

Utilización de instrumentos para analizar imágenes de disco completo, memoria y otras evidencias de un dispositivo sospechoso.

Study Notes

Tema 4. Implementación de medidas de ciberseguridad

• Introducción a la unidad formativa 4: Muestra las actividades de las fases de contención, remediación y recuperación de incidentes de seguridad, con los procedimientos y planes asociados.
• Medidas de contención: Describe diferentes estrategias de contención de incidentes, las actividades del proceso de contención, la importancia de la conciencia situacional y la obtención de evidencia forense.
• Medidas de recuperación: Explica los procesos de erradicación, limpieza y recuperación ante ciberincidentes, mostrando escenarios de recuperación y métricas de mejora.
• Procedimientos y planes de contención y recuperación: Detalla el contenido de un plan de recuperación, incluyendo los procesos de recuperación, criterios de inicio y fin de un incidente, la identificación de la causa raíz, la estrategia de contención y comunicaciones. Explica la realización de un playbook para incidentes de seguridad.

Tema 4.2. Medidas de contención de incidentes

• Contención: Consiste en limitar los daños y detener al atacante, manteniendo la organización en funcionamiento, evitando que el incidente se extienda a otros sistemas o redes.
• Conciencia situacional: Recopilar toda la información disponible tras la detección de un incidente, con registros del sistema, registros de política de cortafuegos y otros datos de seguridad. Se debe asegurar la integridad y la indexación de la información para poder realizar búsquedas orientadas.
• Evidencias: Recopilar evidencias y analizar la magnitud del ataque, realizar una investigación forense.
• Gestión de dispositivos: Disponer de un punto de gestión central para consultar las evidencias, acelerar el proceso y verificar si se ha robado o perdido información. Se recomienda el uso de herramientas para crear y analizar imágenes de disco.

Tema 4. Estrategias de contención

• Estrategias: La organización debe considerar el impacto de las estrategias de contención en su capacidad operativa, evaluando posibles daños y costos. Algunos criterios para la evaluación son: ¿Qué podría ocurrir si el incidente no se contuviera? ¿Hay daños o robo de activos? ¿Es necesario preservar las pruebas? y ¿Es necesario evitar alertar al atacante?.
• Priorización: Es esencial tomar una decisión estratégica sobre cómo proceder, si desconectar inmediatamente los sistemas o recopilar primero toda la información.
• Minimizar interrupciones: Minimizar el tiempo de inactividad del sistema para evitar pérdidas monetarias.
• Mantenimiento de la operación: Priorizar que la organización pueda seguir operando de forma eficaz.

Tema 4. Implementación de medidas de ciberseguridad

• Disponer de mecanismos para la suspensión del servicio: Es posible que no sea posible retornar a la normalidad, y el objetivo es mantener, en la medida de lo posible, la operación con acceso para usuarios válidos, e impedir el acceso al atacante.
• Evidencias: La obtención de las evidencias y el análisis para determinar la causa raíz es esencial en una investigación forense.
• Análisis forense: Es un proceso de investigación para determinar qué se ha alterado, cómo se ha alterado y quién lo ha realizado.
• Protección de Datos: Es importante la preservación de pruebas para la investigación.
• Actualización de cortafuegos: Actualizar las reglas de filtrado de los cortafuegos para evitar intrusiones.

Tema 4.3. Medidas de recuperación de incidentes

• Erradicación y sanitización: Eliminación de los artefactos del incidente, como el código malicioso, para retornar a la normalidad las operaciones.
• Conciencia situacional: Asegurarse de todos los medios de acceso persistente a la red han sido contabilizados y la actividad del adversario contenida.
• Medidas: Identificar y mitigar las vulnerabilidades explotadas, informar a partes afectadas external e internas (incluyendo medios de comunicación, clientes y entidades gubernamentales), y realizar la limpieza o sanitización de sistemas afectados.
• Restauración: Hay distintos escenarios para la recuperación, desde la limpieza de los artefactos maliciosos al reemplazo de archivos con versiones limpias, hasta la reconstrucción total del sistema.

Tema 4.4. Procedimientos y planes de contención y recuperación

• Plan de recuperación: Un componente crucial para la recuperación ante incidentes, estableciendo procedimientos, roles y responsabilidades para abordar incidentes futuros.
• Puntos clave: El plan debe incluir una lista de las partes afectadas, criterios de inicio y fin, comunicación efectiva, y procesos a seguir.
• Autoridad y personal: Definir a los responsables de activar el plan, miembros del equipo, contacto, y preparación previa para implementar el plan.
• Acuerdos de nivel de servicio: Especificar compromisos de disponibilidad y servicios.
• Almacenamiento: Detalles sobre el almacenamiento fuera de las instalaciones para seguridad en caso de cifrado de datos (ransomware).
• Información: Detalles de las tareas y recuperación de instalaciones físicas y digitales. Incluye cómo se comunicará con el personal externo o interno.

Description

En este cuestionario, explorarás las estrategias y procedimientos esenciales de contención y recuperación en ciberseguridad. Aprenderás sobre la importancia de la conciencia situacional y las actividades clave para la remediación de incidentes. Además, se abordarán los planes de recuperación y la creación de un playbook para incidentes de seguridad.