Gestión de Incidentes y Respuesta

Questions and Answers

¿Cuál es la clave del éxito en la respuesta a incidentes de seguridad?

• Infracción
• Análisis posterior
• Detección temprana (correct)
• Implementación de nuevos sistemas

La explotación es el tercer paso en la cadena de eliminación de amenazas.

True (A)

¿Cuáles son los tres tipos de sensores mencionados en el proceso de detección?

Técnicos, humanos y de terceros

La respuesta a incidentes comienza con la _____ del incidente.

detección

Relaciona los pasos de la cadena de eliminación con su descripción.

Recolección = Preparar el ataque Entregar = Enviar el malware Explotar = Acceder al sistema Controlar = Mantener el acceso

¿Qué indica que un ataque ha comenzado?

Un sistema comprometido (A)

La conciencia de seguridad no tiene importancia en la respuesta a incidentes.

False (B)

¿Qué se debe tener para separar las alertas relevantes de las que no lo son?

Una buena red de sensores

¿Cuál es la principal ventaja de firmar un acuerdo de servicios de IR antes de un incidente?

Permite acción inmediata en caso de emergencia (B)

El equipo de IR debe estar preparado para actuar las 24 horas del día siempre que ocurra un incidente.

False (B)

¿Qué tres dimensiones se deben considerar al clasificar un incidente?

Impacto, urgencia y severidad

El equipo de IR debe determinar la ______ de un incidente para decidir la respuesta adecuada.

urgencia

Asocia las siguientes dimensiones de incidentes con su descripción:

Impacto = Clasificación según posibles pérdidas Urgencia = Necesidad de mitigar el incidente rápidamente Severidad = Gravedad del daño causado Clasificación = Criterios sobre cómo evaluar un incidente

¿Qué medida preventiva se sugiere para facilitar la respuesta a incidentes?

Visitar al proveedor de servicios de IR (A)

Es necesario establecer y revisar periódicamente los criterios de clasificación de incidentes.

True (A)

La ______ de un incidente puede determinar si se necesita una respuesta inmediata o puede esperar.

urgencia

¿Cuál de los siguientes es un indicador típico de ataque o compromiso?

Tráfico saliente a una dirección IP específica (D)

El cierre de un incidente se determina únicamente por el resultado de respuesta al incidente.

False (B)

¿Qué es el análisis postmortem en la gestión de incidentes?

Es una revisión del incidente y cómo fue manejado para mejorar procesos futuros.

La gestión de incidentes se implementa mediante dos documentos: la política de gestión de incidentes (IMP) y el __________.

plan de respuesta a incidentes (IRP)

Empareja los indicadores de ataque con su descripción:

Tráfico DDoS = Tráfico de red que sobrecarga un servidor Consultas DNS anormales = Patrones inusuales de consultas a servidores DNS Grandes solicitudes HTTP = Solicitudes y respuestas HTTP inusualmente grandes Nuevas entradas de registro = Entradas en el registro que no estaban presentes previamente

¿Cuál es el objetivo de compartir las lecciones aprendidas de un incidente?

Evitar que otras organizaciones sean explotadas (B)

Es recomendable no incluir a todos los grupos afectados en la reunión de cierre del incidente.

False (B)

¿Qué tipo de respuesta debes dar primero ante un ataque?

Detener la amenaza.

¿Cuál de las siguientes afirmaciones es correcta en relación a los incidentes de seguridad?

Todos los incidentes deben ser tratados como si tuvieran un elemento criminal hasta que se demuestre lo contrario. (B)

Las agencias de aplicación de la ley siempre garantizan la privacidad de una investigación.

False (B)

¿Qué es la informática forense?

Es el arte de recuperar evidencia y preservarla de manera que sea admisible en court.

La falta de _____ de evidencia es una de las razones más comunes por las que se considera inadmisible en court.

cadena de custodia

Empareja las razones por las que se involucra a la ley con las circunstancias correspondientes:

Seguridad nacional = Puede ser obligatorio involucrar a la ley Pornografía infantil = No hay opción, se debe llamar a la ley Investigación criminal = La organización puede perder control Evidencia pública = Secrecía no está garantizada

¿Cuál de los siguientes es un aspecto crítico en la investigación de incidentes de ordenador?

Entender los requisitos legales específicos (B)

Es seguro suponer que cualquier fallo de hardware es resultado de un ataque malicioso.

False (B)

¿Por qué es importante la evidencia sólida en la persecución de un crimen?

Para poder presentar con éxito el caso en court.

¿Cuál de las siguientes tareas se debe completar antes de ejecutar un plan de respuesta a incidentes?

Identificar activos afectados (D)

La validación de mecanismos de detección se realiza en la fase de Respuesta.

True (A)

¿Qué significa IOCs en el contexto de respuesta a incidentes?

Indicadores de compromiso

Durante la fase de ______, se restauran copias de seguridad conocidas y buenas de los sistemas afectados.

Recuperación

Relaciona cada fase del manejo de incidentes con su tarea correspondiente:

Pre-Ejecución = Iniciar un plan de comunicación Respuesta = Desarrollar un plan de mitigación Recuperación = Restaurar sistemas a copias de seguridad Remediación = Identificar IOCs y IOAs

¿Cuál de las siguientes citas describe mejor el propósito de los runbooks?

Documentan procedimientos especializados para incidentes repetitivos. (B)

La activación de sistemas de respaldo solo se debe hacer si ningún sistema crítico ha sido comprometido.

False (B)

Nombre dos requisitos de evidencia forense que se deben determinar antes de un incidente.

Requisitos de cumplimiento y requisitos de evidencia forense.

En la fase de Mitigación, se deben ______ los activos afectados.

aislar

¿Cuál es la función principal de la lista de verificación de tareas operativas en un plan de respuesta a incidentes?

Asegurar la ejecución de tareas en el orden correcto (A)

¿Cuál de las siguientes afirmaciones describe mejor lo que puede suceder si no se aplican parches regularmente a los sistemas de una organización?

Los atacantes tendrán oportunidades dentro de la red. (B)

El 'MO' de un criminal es siempre el mismo y no cambia a lo largo del tiempo.

False (B)

¿Qué tres factores son clave para entender la criminalidad, según el contenido?

motivo, oportunidad, medio

El análisis psicológico de la escena del crimen utiliza el ___ y los ___ del criminal.

MO, comportamientos característicos

Combina los ejemplos de comportamiento delictivo con su descripción correcta:

Uso de herramientas específicas = Método de operación de un criminal informático Envió de correos electrónicos = Comportamiento repetitivo que puede identificar al criminal Conocimiento general = Capacidad básica que no permite realizar delitos complejos Programador y analista de sistemas = Persona con mayores medios para cometer fraude

¿Cuál de las siguientes es una consecuencia de no implementar el control de acceso en una organización?

Oportunidades para el desfalco por parte de empleados. (B)

El conocimiento técnico no es importante para los investigadores de delitos informáticos.

False (B)

Nombra una forma en que las fuerzas del orden pueden usar el conocimiento del 'MO' de un criminal.

Identificar otros delitos por el mismo criminal

Flashcards

Cadena de Ataque

Proceso de pasos que sigue un atacante para comprometer un sistema.

Detección Temprana

Identificar un ataque en una etapa temprana de la cadena de ataque.

Explotación

Etapa en la cadena de ataque donde el atacante realiza acciones para lograr su objetivo.

Respuesta a Incidentes

Conjunto de acciones que se toman cuando se produce un incidente de seguridad.

Detección de Incidentes

Primer paso de la respuesta a incidentes; reconocer que hay un problema de seguridad.

Sensores Técnicos

Sistemas como SIEM, EDR, NDR y SOAR para monitorear la red y actividades de seguridad.

Sensores Humanos

Consiste en la concienciación sobre seguridad de todos los empleados; reconocer eventos inusuales.

Sensores de Terceros

Fuentes externas proporcionan información de seguridad sobre el entorno.

Acuerdo de Servicios de Respuesta a Incidentes (IR)

Contrato con un proveedor especializado para la respuesta a incidentes informáticos antes de que ocurra un suceso.

Visita de Familiarización con el Proveedor IR

Visita previa al proveedor de respuesta a incidentes para conocer la infraestructura, políticas y personal.

Clasificación de Incidentes

Método para determinar la urgencia y alcance de la respuesta a un incidente, definiendo niveles de respuesta.

Impacto (Clasificación Incidentes)

Evaluación del daño potencial de un incidente, usando la información de gestión de riesgos.

Urgencia (Clasificación Incidentes)

Prioridad de la respuesta a un incidente. Indica la rapidez con la que se debe actuar.

Respuesta 24/7

Activar al equipo de respuesta a incidentes para un incidente urgente las 24 horas del día, los 7 días de la semana.

Lista de verificación de tareas operacionales

Un documento que establece las tareas necesarias para gestionar un incidente de seguridad, en orden cronológico, indicando cuándo se completó cada tarea.

Tareas pre-ejecución

Acciones que se realizan antes de responder a un incidente, como identificar activos afectados y determinar requisitos de evidencia forense.

Tareas de respuesta

Acciones inmediatas para mitigar el impacto del incidente, validar mecanismos de detección y obtener inteligencia de amenazas.

Tareas de mitigación

Acciones para reducir el alcance del incidente, como aislar activos y eliminar las amenazas activas.

Tareas de recuperación

Restaurar sistemas a un estado anterior aceptable, validar controles y reconectar sistemas a la red.

Tareas de remediación

Identificar la causa raíz, implementar controles y gestionar cambios para evitar la recurrencia del incidente.

Libro de procedimientos (Runbook)

Documentos que detallan los procedimientos especializados, especialmente para tipos de incidentes que se repiten.

¿Qué indican los indicadores de ataque y compromiso?

Los indicadores típicos de ataque y compromiso incluyen tráfico saliente a una dirección IP o nombre de dominio específico, patrones anormales de consulta DNS, solicitudes y respuestas HTTP inusualmente grandes, tráfico DDoS y nuevas entradas de registro (en sistemas Windows).

Fase de remediación

Fase en la respuesta a incidentes donde se tiene alta confianza de que el ataque no será exitoso nuevamente.

Beneficios de la colaboración

Compartir información sobre incidentes (IOAs e IOCs) con otros ayuda a otros a evitar ataques similares, haciendo que el atacante tenga más dificultades.

Cierre de un incidente

Depende de la naturaleza del incidente, el resultado deseado de la respuesta a incidentes (por ejemplo, reanudación del negocio o restauración del sistema) y el éxito del equipo en determinar el origen y la causa raíz del incidente.

Reunión de información sobre el incidente

Revisión del incidente y su manejo, análisis post-mortem para identificar mejoras en el proceso de respuesta a incidentes y la documentación.

Documentación de la respuesta a incidentes

Los documentos de la gestión de incidentes incluye las políticas de gestión de incidentes (IMP) y el plan de respuesta a incidentes (IRP).

Preguntas en la reunión sobre el incidente

¿Qué sucedió? ¿Qué aprendimos? ¿Cómo podemos hacerlo mejor la próxima vez?

Incidentes como posibles delitos

Todos los incidentes de seguridad deben tratarse como si tuvieran un componente criminal hasta que se demuestre lo contrario.

Investigación de delitos informáticos

Proceso para investigar y documentar adecuadamente pruebas de delitos informáticos para su uso en la corte.

Necesidad de la policía

La decisión de llamar a las fuerzas del orden durante la respuesta a un incidente de seguridad, considerando ventajas, desventajas y requisitos específicos.

Evidencia inadmisible

Evidencia que no se puede usar en un tribunal debido a la falta de personal calificado, procedimientos establecidos, políticas deficientes o una cadena de custodia rota.

Forense informático

Técnica para recopilar y preservar evidencia digital para su uso en la corte, esencial en la persecución de delitos informáticos.

Decisión sobre la policía

La responsabilidad de determinar si se debe llamar a las fuerzas del orden durante una respuesta a un incidente.

Control de la investigación

Posible pérdida de control sobre la dirección de la investigación cuando se involucra a las fuerzas del orden.

Evidencia potencialmente pública

La posibilidad de que la investigación se vuelva pública.

Motivación del Delito

La razón por la que un delincuente busca cometer un delito, como obtener ganancias o poder.

Oportunidad Criminal

Las circunstancias que permiten a un delincuente llevar a cabo el delito con éxito, como la vulnerabilidad de un sistema.

Medios para Delitos Informáticos

Las habilidades o conocimientos técnicos necesarios para cometer un delito informático, como programación o conocimiento de redes.

Modus Operandi (MO)

El método de operación distintivo de un delincuente, incluyendo las herramientas y el procedimiento utilizado.

Firma Conductual

Acciones o patrones repetitivos que caracterizan el MO de un delincuente informático, como ciertos comandos o mensajes repetitivos.

Análisis del Modus Operandi

Uso del MO para identificar un posible delincuente, sus acciones pasadas y, potencialmente, futuras.

Investigación de Delitos Informáticos

Necesidad de conocimiento tecnológico para investigar delitos informáticos con precisión, a diferencia de delitos tradicionales.

Análisis Psicológico de la Escena del Crimen

Aplicación del perfil del delincuente usando el método de operación (MO) y el comportamiento característico.

Study Notes

Incident Management

• Incident management encompasses seven phases: detection, response, mitigation, reporting, recovery, remediation, and lessons learned.
• A security event is an observable and verifiable occurrence, not necessarily harmful.
• A security incident involves one or more related events negatively affecting the organization's security posture.
• Incident response is crucial, as it deals with negatively affecting the organization.

Incident Response Planning

• Incident management is implemented through two documents: the incident management policy (IMP) and the incident response plan (IRP).
• The IMP establishes authorities and responsibilities, identifying the incident response lead and employee responsibilities.
• The IRP details operational tasks, roles, responsibilities, incident classification, and notifications.
• Runbooks are detailed procedural steps for frequent or complex incidents.

Roles and Responsibilities

• The core incident response team consists of personnel from various business units (legal, HR, executive management, communications, and IT).
• External vendors or specialist consultants may be contracted for complex incidents.

Incident Classification

• Incident classification uses criteria, such as impact, urgency, and type, to categorize incidents and prioritize responses.
• Classifying incidents helps allocate resources effectively.

Evidence Collection

• Evidence acquisition involves the physical control of potential evidence and the creation of a chain-of-custody log
• Evidence should be carefully handled to avoid contamination, which affects admissibility in court.
• Digital evidence consists of many pieces (processes, documents, logs, files etc.), and it must be properly preserved.

Forensic Artifacts

• Examples of forensic artifacts can include deleted files, browser history, website cache, or email attachments.
• Forensic experts use unique tools and techniques when analyzing evidence.

Investigative Techniques

• Interviews are crucial for gathering information and should be structured and unbiased.
• Surveillance can be physical in nature, utilizing security cameras or personnel, or digital in nature, employing network monitoring, and keyboard monitoring tools.
• Undercover operations require careful consideration for legal issues and to avoid entrapment.

Reporting

• Clear and well-documented reporting procedures are needed to document actions, findings, and next steps.
• Reporting includes a detailed summary of the incident, including any damage caused.