Tema 3. Investigación de ciberseguridad Examen final (1 parte-139-156 pags)

Questions and Answers

¿Cuál de las siguientes actividades es parte de la fase de análisis del incidente?

• Entrenamiento del personal en ciberseguridad
• Implementación de nuevas políticas de seguridad
• Análisis de evidencias obtenidas (correct)
• Monitorización de la actividad de los usuarios

¿Qué herramienta se menciona como parte de la detección de incidentes?

• Sistemas de Prevención de Pérdida de Datos (DLP)
• Software de gestión de vulnerabilidades
• Sondas de tráfico (correct)
• Firewalls de aplicación web

¿Qué desafío enfrentan las organizaciones al responder a incidentes de ciberseguridad?

• Capacitación insuficiente de los equipos de seguridad
• Dificultad para detectar y evaluar incidentes (correct)
• Falta de requisitos legales para la respuesta
• Exceso de información sobre ciberincidentes

¿Cuál es un método de detección de incidentes que no es automatizado?

Notificación de problemas por usuarios (B)

¿Qué significa OSINT en el contexto de análisis de ciberincidentes?

Inteligencia de Fuentes Abiertas (C)

Cuál de las siguientes definiciones describe mejor un precursor en el contexto de la ciberseguridad?

Una señal de que puede producirse un incidente en el futuro. (A)

Cuál de los siguientes elementos es un desafío clave para identificar un incidente de ciberseguridad?

La falta de personal técnico calificado. (B)

Cuál de las siguientes opciones describe mejor un indicador en el ámbito de la ciberseguridad?

Una señal de que un incidente puede estar ocurriendo ahora. (C)

Cuál de los siguientes ejemplos se clasifica como un precursor?

Un escáner de vulnerabilidades que accede a un servidor. (D)

Cuál de las siguientes afirmaciones describe un reto al analizar información sobre un incidente de ciberseguridad?

La alta cantidad de datos que pueden dificultar el análisis. (D)

Flashcards

Detección de incidentes de ciberseguridad

Proceso de identificar y evaluar posibles incidentes de seguridad, determinando si hubo uno, su tipo, alcance y magnitud.

Fuentes de detección de incidentes

Diversos métodos para detectar incidentes, incluyendo sistemas automatizados (IDPS, antivirus, etc.) y reportes de usuarios.

IDPS (Intrusion Detection and Prevention Systems)

Sistemas automatizados para detectar y prevenir intrusiones en la red y en el sistema.

Análisis de evidencias

Evaluación detallada de las pruebas obtenidas para comprender un incidente y el tipo de ciberataque.

OSINT (Open Source Intelligence)

Recopilación de información para comprender un incidente cibernético usando fuentes públicas (web, redes sociales, etc.).

Indicadores de incidentes de ciberseguridad

Señales que muestran que un incidente de seguridad puede haber ocurrido o está en progreso.

Precursores de incidentes de ciberseguridad

Señales que sugieren la posibilidad de un incidente futuro.

Análisis de incidentes de ciberseguridad

Proceso de investigación y evaluación de posibles incidentes cibernéticos.

Ejemplo de precursor

Registro de un escáner de vulnerabilidades en el servidor web, insinuando un posible ataque.

Ejemplo de indicador

Advertencia del software antivirus debido a una infección de malware en un host.

Study Notes

Tema 3. Investigación de los incidentes de ciberseguridad

• Introducción a la unidad formativa: La unidad formativa 3 se centra en la detección y análisis de incidentes de ciberseguridad, incluyendo controles, herramientas y mecanismos de monitorización, detección, identificación y análisis de ciberincidentes. Se revisan diferentes fuentes de información, técnicas de análisis, y el proceso de priorización de incidentes.

3.2. Controles, herramientas y mecanismos de monitorización

• Monitorización y evidencias: Para muchas organizaciones, detectar incidentes de ciberseguridad con precisión es complejo. Los incidentes pueden detectarse mediante diferentes medios, con distintos niveles de detalle, como sistemas IDPS (Intrusion Detection and Prevention Systems), software antivirus, sondas de tráfico, recolectores de eventos, y analizadores de registros. También medios manuales, como notificaciones de usuarios.

• Retos en la detección de incidentes: Las organizaciones enfrentan cuatro retos principales para la detección eficaz de incidentes de ciberseguridad: Identificar un presunto incidente, analizar la información, determinar qué sucedió realmente y confirmar el incidente.

3.3. Procedimientos de análisis de evidencias y auditorías técnicas

• Análisis del incidente: El análisis de incidentes es complejo debido a la posibilidad de falsos positivos y la gran cantidad de información. Es necesario evaluar cada indicador para determinar si es legítimo, lo cual puede ser una tarea compleja y exhaustiva.

• Detección: Esta fase implica la identificación de incidentes de ciberseguridad (alta y baja complejidad) a través de diferentes medios: alertas de sistemas, reportes de usuarios, anomalías detectadas por auditorías. La importancia de la regularidad y la precisión en la supervisión de eventos para la detección de incidentes.

• Análisis Inicial: El equipo de respuesta a incidentes debe realizar un análisis inicial para comprender el alcance del incidente: qué redes, sistemas o aplicaciones se ven afectadas; su origen y cómo se está produciendo.

• Recomendaciones para mejorar la eficacia en el análisis: Perfilar las redes y sistemas para identificar cambios, comprender los comportamientos normales para reconocer anomalías, mantener los registros con políticas claras para correlacionar eventos, manteniendo los relojes de los hosts sincronizados.