Investigación de Incidentes de Ciberseguridad 1 Examen (2 parte-156-173 pags)

Questions and Answers

¿Por qué es importante conservar los registros de ciberseguridad?

Porque siempre se requiere un análisis en tiempo real.

Porque todos los registros son igualmente relevantes.

Porque la cantidad de datos no afecta la conservación.

Porque los incidentes pueden no descubrirse inmediatamente. (correct)

¿Qué función tiene la correlación de eventos en la investigación de incidentes?

Verificar la efectividad de las políticas de retención.

Analizar sólo los registros de aplicaciones sin considerar otros datos.

Identificar si un ataque ha sido exitoso basándose solo en registros de firewall.

Proporcionar evidencia de un incidente a través de múltiples registros. (correct)

¿Por qué es esencial mantener sincronizados los relojes de los hosts?

Para asegurar que todos los registros sean enviados a la misma hora.

Para evitar la pérdida de datos en los registros.

Para mejorar la velocidad de procesamiento de los dispositivos.

Para simplificar el análisis forense mediante marcas de tiempo consistentes. (correct)

¿Qué aspecto debe tener la base de conocimientos utilizada durante el análisis de incidentes?

Ser accesible y flexible para los miembros del equipo.

¿Qué puede indicar la diferencia en los registros de diferentes tipos de dispositivos durante un incidente?

La discrepancia en los ajustes de reloj puede complicar el análisis.

¿Cuál es el propósito principal de utilizar motores de búsqueda de Internet en la investigación de incidentes de ciberseguridad?

Para encontrar información sobre actividades inusuales.

¿Qué se debe tener en cuenta al priorizar el tratamiento de un incidente en ciberseguridad?

El impacto funcional y la capacidad de recuperación.

¿Cuál es la función de un 'packet sniffer' en la investigación de incidentes de ciberseguridad?

Para capturar y analizar el tráfico de la red.

¿Por qué es importante consultar a recursos internos y externos durante un incidente de ciberseguridad?

Porque puede que no haya suficiente información para gestionar el incidente.

¿Cuál de las siguientes estrategias de filtrado debe considerar un analista al investigar incidentes?

Filtrar las categorías de indicadores más sospechosas.

Study Notes

Investigación de Incidentes de Ciberseguridad

• Conservación de Datos de Registro: Conservar registros de actividad es crucial para análisis de incidentes. Registros antiguos ayudan a identificar patrones de ataques previos. Tiempo de conservación depende de políticas de la organización y volumen de datos.

Correlación de Eventos

• Evidencia Múltiple: Evidencia de incidentes se encuentra en varios registros (firewall, aplicaciones, IDPS). Correlacionar eventos de múltiples fuentes ayuda a validar incidentes.

• Sincronización de Relojes: Relojes de hosts sincronizados (NTP) son esenciales para correlación precisa de eventos. Marcas de tiempo consistentes mejoran la investigación.

Base de Conocimientos

• Estructura Simple: Una base de conocimientos simple (documentos, hojas de cálculo, bases de datos básicas) es efectiva para compartir información entre el equipo.

• Información Variada: Contiene explicaciones sobre indicadores (alertas IDPS, registros del sistema, códigos de error de aplicaciones).

Investigación en Internet

• Motores de Búsqueda: Buscadores online ayudan a analizar actividades inusuales (ej., intentos de conexión a puertos específicos).

• Estaciones de Trabajo Separadas: Usar estaciones separadas para minimizar riesgo organizacional durante búsquedas de información online.

Packet Sniffers

• Datos Adicionales: Packet sniffers capturan tráfico de red cuando indicadores no registran suficientes detalles.

• Filtrado: Filtrar tráfico para capturar solo datos relevantes ayuda a manejar volumen de información. Considerar requerimientos de privacidad.

Priorización de Incidentes

• Impacto Funcional: Priorizar incidentes basados en impacto en funcionalidad de sistemas de TI. Considerar tanto impacto actual como potencial.

• Impacto en la Información: Evaluar el impacto en confidencialidad, integridad y disponibilidad de información.

• Capacidad de Recuperación: Recursos dedicados a recuperación dependen del tamaño y la gravedad del incidente. Evalúa esfuerzos de recuperación contra el valor del incidente.

Combinación de Impacto

• Impacto Empresarial: Combinación de impacto funcional y en la información determina impacto empresarial total.

• Priorización de la Respuesta: Priorizar incidentes basado en el impacto empresarial y el esfuerzo de recuperación necesario.

• Incidentes Complejos: Incidentes con alta exfiltración de datos pueden requerir un equipo especializado en contener el problema y prevenir futuros sucesos similares.

Análisis de Evidencias

• Evidencias Volátiles: Recolectar primero evidencias volátiles como memoria RAM, caches, registros temporales del sistema, información de red, información de procesos.

• Evidencias No Volátiles: Luego, clonar disco, recolectar archivos, registros de sistema (logs), buzones de correo, imagen de sistema.

Auditorías Técnicas

• Salud del Sistema: Auditorías identifican brechas de seguridad tanto preventivas como incidentes relevantes y detectan posibles vulnerabilidades.

Análisis de Malware

• Entorno de Pruebas: Ejecutar análisis de malware en entorno controlado y aislado de la red de producción.

• Análisis Estático y Dinámico: Diseñar análisis del ciclo de vida del malware incluyendo comportamiento, ocultamiento, y métodos de comunicación.

Monitorización, Detección, Identificación y Análisis de OSINT

• Open Source Intelligence (OSINT): Recopilar e interpretar información de fuentes públicas para obtener información útil (medios de comunicación, fuentes gubernamentales, foros, etc).

• Demasiada Información: Manejar cantidad masiva de información en internet requiere proceso selectivo para encontrar información relevante.

• Fiabilidad de las Fuentes: Evaluar la fiabilidad de las fuentes para evitar desinformación y generar inteligencia confiable.

Información en la Web

• Superficies y Profundidades de la Web: Distinguir entre la web superficial (indexada por buscadores) y la deep web (no indexada).

Huella Digital

• Vlas de la Huella Digital: Las huellas digitales online son rastros digitales dejando información personal a través de sitios web, redes sociales, y dispositivos electrónicos.

Proceso OSINT

• Pasos de un Sistema OSINT: Definir los requerimientos, identificar fuentes relevantes, adquisición, procesamiento, análisis e interpretación de resultados y presentación de inteligencia.

Herramientas OSINT

• Herramientas OSINT: Ejemplos incluyen buscadores populares (Google, Bing), buscadores especializados (Shodan, NameCHK, Knowem), servicios de recolección de metadatos (Metagoofil), servicios de información de dominio (Domaintools).

Description

Este cuestionario aborda la importancia de la conservación de datos de registro y la correlación de eventos en la investigación de incidentes de ciberseguridad. Analizamos cómo la evidencia múltiple y la sincronización de relojes son esenciales para una validación precisa. Además, exploramos la estructura y utilidad de una base de conocimientos dentro de los equipos de ciberseguridad.