Gestión de Incidentes y Respuesta

Questions and Answers

¿Cuál es la clave del éxito en la respuesta a incidentes de seguridad?

Infracción

Análisis posterior

Detección temprana (correct)

Implementación de nuevos sistemas

La explotación es el tercer paso en la cadena de eliminación de amenazas.

True

¿Cuáles son los tres tipos de sensores mencionados en el proceso de detección?

Técnicos, humanos y de terceros

La respuesta a incidentes comienza con la _____ del incidente.

detección

Relaciona los pasos de la cadena de eliminación con su descripción.

Recolección = Preparar el ataque Entregar = Enviar el malware Explotar = Acceder al sistema Controlar = Mantener el acceso

¿Qué indica que un ataque ha comenzado?

Un sistema comprometido

La conciencia de seguridad no tiene importancia en la respuesta a incidentes.

False

¿Qué se debe tener para separar las alertas relevantes de las que no lo son?

Una buena red de sensores

¿Cuál es la principal ventaja de firmar un acuerdo de servicios de IR antes de un incidente?

Permite acción inmediata en caso de emergencia

El equipo de IR debe estar preparado para actuar las 24 horas del día siempre que ocurra un incidente.

False

¿Qué tres dimensiones se deben considerar al clasificar un incidente?

Impacto, urgencia y severidad

El equipo de IR debe determinar la ______ de un incidente para decidir la respuesta adecuada.

urgencia

Asocia las siguientes dimensiones de incidentes con su descripción:

Impacto = Clasificación según posibles pérdidas Urgencia = Necesidad de mitigar el incidente rápidamente Severidad = Gravedad del daño causado Clasificación = Criterios sobre cómo evaluar un incidente

¿Qué medida preventiva se sugiere para facilitar la respuesta a incidentes?

Visitar al proveedor de servicios de IR

Es necesario establecer y revisar periódicamente los criterios de clasificación de incidentes.

True

La ______ de un incidente puede determinar si se necesita una respuesta inmediata o puede esperar.

urgencia

¿Cuál de los siguientes es un indicador típico de ataque o compromiso?

Tráfico saliente a una dirección IP específica

El cierre de un incidente se determina únicamente por el resultado de respuesta al incidente.

False

¿Qué es el análisis postmortem en la gestión de incidentes?

Es una revisión del incidente y cómo fue manejado para mejorar procesos futuros.

La gestión de incidentes se implementa mediante dos documentos: la política de gestión de incidentes (IMP) y el __________.

plan de respuesta a incidentes (IRP)

Empareja los indicadores de ataque con su descripción:

Tráfico DDoS = Tráfico de red que sobrecarga un servidor Consultas DNS anormales = Patrones inusuales de consultas a servidores DNS Grandes solicitudes HTTP = Solicitudes y respuestas HTTP inusualmente grandes Nuevas entradas de registro = Entradas en el registro que no estaban presentes previamente

¿Cuál es el objetivo de compartir las lecciones aprendidas de un incidente?

Evitar que otras organizaciones sean explotadas

Es recomendable no incluir a todos los grupos afectados en la reunión de cierre del incidente.

False

¿Qué tipo de respuesta debes dar primero ante un ataque?

Detener la amenaza.

¿Cuál de las siguientes afirmaciones es correcta en relación a los incidentes de seguridad?

Todos los incidentes deben ser tratados como si tuvieran un elemento criminal hasta que se demuestre lo contrario.

Las agencias de aplicación de la ley siempre garantizan la privacidad de una investigación.

False

¿Qué es la informática forense?

Es el arte de recuperar evidencia y preservarla de manera que sea admisible en court.

La falta de _____ de evidencia es una de las razones más comunes por las que se considera inadmisible en court.

cadena de custodia

Empareja las razones por las que se involucra a la ley con las circunstancias correspondientes:

Seguridad nacional = Puede ser obligatorio involucrar a la ley Pornografía infantil = No hay opción, se debe llamar a la ley Investigación criminal = La organización puede perder control Evidencia pública = Secrecía no está garantizada

¿Cuál de los siguientes es un aspecto crítico en la investigación de incidentes de ordenador?

Entender los requisitos legales específicos

Es seguro suponer que cualquier fallo de hardware es resultado de un ataque malicioso.

False

¿Por qué es importante la evidencia sólida en la persecución de un crimen?

Para poder presentar con éxito el caso en court.

¿Cuál de las siguientes tareas se debe completar antes de ejecutar un plan de respuesta a incidentes?

Identificar activos afectados

La validación de mecanismos de detección se realiza en la fase de Respuesta.

True

¿Qué significa IOCs en el contexto de respuesta a incidentes?

Indicadores de compromiso

Durante la fase de ______, se restauran copias de seguridad conocidas y buenas de los sistemas afectados.

Recuperación

Relaciona cada fase del manejo de incidentes con su tarea correspondiente:

Pre-Ejecución = Iniciar un plan de comunicación Respuesta = Desarrollar un plan de mitigación Recuperación = Restaurar sistemas a copias de seguridad Remediación = Identificar IOCs y IOAs

¿Cuál de las siguientes citas describe mejor el propósito de los runbooks?

Documentan procedimientos especializados para incidentes repetitivos.

La activación de sistemas de respaldo solo se debe hacer si ningún sistema crítico ha sido comprometido.

False

Nombre dos requisitos de evidencia forense que se deben determinar antes de un incidente.

Requisitos de cumplimiento y requisitos de evidencia forense.

En la fase de Mitigación, se deben ______ los activos afectados.

aislar

¿Cuál es la función principal de la lista de verificación de tareas operativas en un plan de respuesta a incidentes?

Asegurar la ejecución de tareas en el orden correcto

¿Cuál de las siguientes afirmaciones describe mejor lo que puede suceder si no se aplican parches regularmente a los sistemas de una organización?

Los atacantes tendrán oportunidades dentro de la red.

El 'MO' de un criminal es siempre el mismo y no cambia a lo largo del tiempo.

False

¿Qué tres factores son clave para entender la criminalidad, según el contenido?

motivo, oportunidad, medio

El análisis psicológico de la escena del crimen utiliza el ___ y los ___ del criminal.

MO, comportamientos característicos

Combina los ejemplos de comportamiento delictivo con su descripción correcta:

Uso de herramientas específicas = Método de operación de un criminal informático Envió de correos electrónicos = Comportamiento repetitivo que puede identificar al criminal Conocimiento general = Capacidad básica que no permite realizar delitos complejos Programador y analista de sistemas = Persona con mayores medios para cometer fraude

¿Cuál de las siguientes es una consecuencia de no implementar el control de acceso en una organización?

Oportunidades para el desfalco por parte de empleados.

El conocimiento técnico no es importante para los investigadores de delitos informáticos.

False

Nombra una forma en que las fuerzas del orden pueden usar el conocimiento del 'MO' de un criminal.

Identificar otros delitos por el mismo criminal

Study Notes

Incident Management

• Incident management encompasses seven phases: detection, response, mitigation, reporting, recovery, remediation, and lessons learned.
• A security event is an observable and verifiable occurrence, not necessarily harmful.
• A security incident involves one or more related events negatively affecting the organization's security posture.
• Incident response is crucial, as it deals with negatively affecting the organization.

Incident Response Planning

• Incident management is implemented through two documents: the incident management policy (IMP) and the incident response plan (IRP).
• The IMP establishes authorities and responsibilities, identifying the incident response lead and employee responsibilities.
• The IRP details operational tasks, roles, responsibilities, incident classification, and notifications.
• Runbooks are detailed procedural steps for frequent or complex incidents.

Roles and Responsibilities

• The core incident response team consists of personnel from various business units (legal, HR, executive management, communications, and IT).
• External vendors or specialist consultants may be contracted for complex incidents.

Incident Classification

• Incident classification uses criteria, such as impact, urgency, and type, to categorize incidents and prioritize responses.
• Classifying incidents helps allocate resources effectively.

Evidence Collection

• Evidence acquisition involves the physical control of potential evidence and the creation of a chain-of-custody log
• Evidence should be carefully handled to avoid contamination, which affects admissibility in court.
• Digital evidence consists of many pieces (processes, documents, logs, files etc.), and it must be properly preserved.

Forensic Artifacts

• Examples of forensic artifacts can include deleted files, browser history, website cache, or email attachments.
• Forensic experts use unique tools and techniques when analyzing evidence.

Investigative Techniques

• Interviews are crucial for gathering information and should be structured and unbiased.
• Surveillance can be physical in nature, utilizing security cameras or personnel, or digital in nature, employing network monitoring, and keyboard monitoring tools.
• Undercover operations require careful consideration for legal issues and to avoid entrapment.

Reporting

• Clear and well-documented reporting procedures are needed to document actions, findings, and next steps.
• Reporting includes a detailed summary of the incident, including any damage caused.

Description

Este cuestionario abarca las fases de la gestión de incidentes, desde la detección hasta la recuperación. También detalla la planificación de la respuesta a incidentes, incluyendo documentos clave como la política de gestión de incidentes y el plan de respuesta. Además, se exploran los roles y responsabilidades del equipo de respuesta a incidentes.