Tema 3: Investigación de ciberseguridad 2 examen (1 parte - 139-156 pags)

Questions and Answers

¿Cuál es la función principal de un producto SIEM?

Comprobar la integridad de archivos mediante algoritmos de hash.

Detectar malware en archivos adjuntos de correo electrónico.

Generar alertas sobre spam en bandejas de entrada.

Centralizar eventos de seguridad y correlacionarlos para detectar incidentes. (correct)

¿Qué efectividad tienen los software antivirus actuales cuando sus firmas están actualizadas?

Pueden detener muchos casos de malware. (correct)

No pueden detectar spyware en tiempo real.

Son igualmente efectivos independientemente de las actualizaciones.

Son ineficaces para detener ataques dirigidos.

¿Cómo detecta el software de comprobación de la integridad de archivos cambios en archivos importantes?

Al realizar copias de seguridad de los archivos periódicamente.

Recalculando la suma de comprobación usando un algoritmo de hash. (correct)

Mediante la comparación manual de los archivos importantes.

Al cambiar las contraseñas de los archivos en tiempo real.

¿Cuál es un ejemplo de un precursor de un posible incidente de ciberseguridad?

Entradas de registro del servidor web que muestran el uso de un escáner de vulnerabilidad

¿Cuál es un ejemplo de servicio de monitorización de terceros?

Listas negras en tiempo real que informan sobre actividad sospechosa.

¿Cuál de las opciones no refleja un desafío en el análisis de incidentes?

Evaluar la efectividad de los software antivirus.

¿Qué es un indicador en el contexto de la ciberseguridad?

Una señal de que un incidente puede haber ocurrido o estar ocurriendo ahora

¿Cuál de los siguientes es un reto al identificar un incidente de ciberseguridad?

Confirmar que se ha producido una violación de ciberseguridad

¿Cuál de las siguientes afirmaciones describe un desafío en el análisis de incidentes de ciberseguridad?

La cantidad de datos relacionados con incidentes puede ser abrumadora

¿Qué tipo de ataque se menciona como un resultado potencial de un incidente de ciberseguridad?

Un ataque de DDOS

Study Notes

Tema 3. Investigación de los incidentes de ciberseguridad

• 3.1. Introducción a la unidad formativa:

  • La unidad formativa 3 enfoca la detección y análisis de incidentes de ciberseguridad.
  • Se divide en bloques: controles, herramientas y mecanismos de monitorización, detección, identificación y análisis de ciberincidentes.
  • Recopilación de información a través de diferentes fuentes es crucial.
  • Técnicas de análisis y priorización (triage) de evidencias se explican.
  • Análisis de evidencias obtenidas, auditorías técnicas de seguridad y análisis de malware se introducen.

• 3.2. Controles, herramientas y mecanismos de monitorización:

  • Detectar y evaluar incidentes con precisión es difícil para muchas organizaciones.
  • Se requiere precisión en la identificación del tipo, alcance, y magnitud de los problemas.
  • La automatización juega un papel fundamental en la detección con IDS, software antivirus y otras herramientas.
  • La monitorización manual también es importante (notificaciones de usuarios, entre otros).
  • El volumen de alertas puede ser abrumador, lo que requiere análisis técnico y experiencia.

• Identificar un presunto incidente:

  • Supervisar actividad inusual, comportamientos anormales y evaluar puntos de activación.

• Determinar la naturaleza del incidente:

  • Tipos como DDOS, ataques de malware, secuestro de sesión o corrupción de datos.

• Confirmar un incidente de ciberseguridad:

  • Verificar ataques u otras violaciones relacionadas con la seguridad.

• Precursores e indicadores de incidentes:

  • Un precursor es una señal de un posible incidente futuro.

• Un indicador es una señal que indica un incidente actual.

• Ejemplos de precursores e indicadores:

  • Incluyen entradas de registro del servidor web, anuncios de exploits, amenazas de grupos atacantes, sensores de detección de intrusiones, alertas de antivirus, cambios de configuraciones en los registros de hosts, y más.

• Importancia de los incidentes:

  • Miles de posibles indicios de incidentes pueden registrarse cada día.
  • Dos tipos de indicios: precursores e indicadores.

• Supervisión de eventos relevantes:

  • Recopilación de datos, recursos y conocimientos.

• Procedimientos de gestión de incidentes:

  • Análisis, detección, supervisión, colaboración y medidas correctivas.

• 3.3. Procedimientos de análisis de evidencias y auditorías técnicas:

  • El análisis de incidentes es complejo porque los indicadores pueden ser precisos, pero no implican necesariamente un incidente.
  • Determinar si un evento es un incidente requiere juicio y colaboración.
  • Es fundamental elaborar perfiles y comprender los comportamientos normales de las redes y sistemas.

• Técnicas para la detección de incidentes:

  • Incluyen la supervisión de los comportamientos normales, correlación de eventos e indicadores obtenidos en varias fuentes, y la sincronización de los relojes de los hosts para mejorar la confiabilidad en el análisis.

• Otros temas:

  • Conocimiento común, matrices, tipos de ataques, medios externos, pérdida o robo de equipos, matriz MITRE ATT&CK.

Description

Este cuestionario aborda la investigación de incidentes de ciberseguridad, centrándose en la detección, análisis y priorización de evidencias. Explora los controles, herramientas y mecanismos de monitorización necesarios para abordar estos incidentes, así como la importancia de la recopilación de información. Ideal para quienes deseen profundizar en el tema.