RESPUESTA A INCIDENTES

El objetivo de respuesta de incidentes introduce al estudiante a cómo analizar, manejar y responder de manera efectiva a inci dentes de
seguridad. Al finalizar, el estudiante será capaz de adquirir las competencias básicas para iniciar una carrera profesional dentro del área
de respuesta a incidentes.
Descripcion

En este módulo de información se hablará de la fundamental que debemos conocer a la hora de organizar una respuesta a un
incidente, desde los conceptos básicos a la diferencia entre vulnerabilidad y amenaza, pasando por cómo enfocar la respuesta en
función al tiempo, el riesgo y los recursos de los que disponemos. También se da información introductoria sobre cómo funciona el
grabado de la información o cómo detectar y anticipar cierto tipo de ataques.

Lecciones

Aprenderemos qué son y las diferencias entre vulnerabilidad y amenaza, qué son los incidentes de seguridad, qué es la criptografía
y qué tipos existen, sobre privacidad y anonimato, conceptos como Hacker y Cracker y las problemáticas de la investigación.

IR A MATRIZ TÉCNICA MITRE AQUI

Técnicas MITRE

• Habilidad para identificar, capturar, contener y reportar malware.

• Habilidad para preservar la integridad de la evidencia de acuerdo con los procedimientos operativos
estándar o las normas nacionales.
• Habilidad en asegurar las comunicaciones de red.
• Habilidad para reconocer y categorizar tipos de vulnerabilidades y ataques asociados.
• Habilidad en la protección de una red contra el malware. (p. ej., NIPS, antimalware, restringir/prevenir
dispositivos externos, filtros de spam).
• Habilidad en la realización de evaluaciones de daños.
• Habilidad en el uso de herramientas de correlación de eventos de seguridad.
• Habilidad para diseñar respuesta a incidentes para modelos de servicios en la nube.
Conocimientos NICE

• Conocimiento de conceptos y protocolos de redes informáticas, y metodologías de seguridad de redes.

• Conocimiento de los procesos de gestión de riesgos (p. ej., métodos para evaluar y mitigar el riesgo).
• Conocimiento de leyes, reglamentos, políticas y ética en relación con la ciberseguridad y la privacidad.
• Conocimiento de los principios de ciberseguridad y privacidad.
• Conocimiento de ciberamenazas y vulnerabilidades.
• Conocimiento de los impactos operativos específicos de los fallos de ciberseguridad.
• Conocimientos en respaldo y recuperación de datos.
• Conocimiento de la continuidad del negocio y la recuperación ante desastres de los planes de continuidad
de las operaciones.
• Conocimiento de los mecanismos de control de acceso de host/red (p. ej., lista de control de acceso, listas
de capacidades).
• Conocimiento de los servicios de red y las interacciones de los protocolos que proporcionan las
comunicaciones de red.
• Conocimiento de las categorías de incidentes, respuestas a incidentes y plazos para las respuestas.
• Conocimiento de metodologías de respuesta y manejo de incidentes.
• Conocimiento de metodologías y técnicas de detección de intrusiones para detectar intrusiones basadas
en el host y la red.
• Conocimiento de métodos de análisis de tráfico de red.
• Conocimientos de análisis a nivel de paquete.
• Conocimiento de las amenazas y vulnerabilidades de seguridad de sistemas y aplicaciones (p. ej.,
desbordamiento de búfer, código móvil, secuencias de comandos entre sitios, lenguaje de
procedimiento/lenguaje de consulta estructurado [PL/SQL] e inyecciones, condiciones de carrera, canal
encubierto, repetición, ataques orientados al retorno, código malicioso).
• Conocimiento de lo que constituye un ataque a la red y la relación de un ataque a la red con amenazas y
vulnerabilidades.
• Conocimiento de las políticas, procedimientos y regulaciones de ciberdefensa y seguridad de la
información.
• Conocimiento de diferentes clases de ataques (p. ej., ataques pasivos, activos, internos, de proximidad, de
distribución).
 • Conocimiento de los atacantes cibernéticos (p. ej., script kiddies, amenazas internas, patrocinados por
estados no nacionales y patrocinados por naciones).
• Conocimiento de administración de sistemas, redes y técnicas de fortalecimiento del sistema operativo.
• Conocimiento de las etapas del ataque cibernético (p. ej., reconocimiento, escaneo, enumeración,
obtención de acceso, escalada de privilegios, mantenimiento del acceso, explotación de la red, cobertura
de pistas).
• Conocimiento de los conceptos de arquitectura de seguridad de la red, incluida la topología, los protocolos,
los componentes y los principios (p. ej., aplicación de defensa en profundidad).
• Conocimiento del modelo OSI y los protocolos de red subyacentes (p. ej., TCP/IP).
• Conocimiento de los modelos de servicios en la nube y cómo esos modelos pueden limitar la respuesta a
incidentes.
• Conocimiento de conceptos y metodologías de análisis de malware.
• Conocimiento del programa de clasificación de información de una organización y los procedimientos
para el compromiso de la información.
• Conocimiento de protocolos de red como TCP/IP, configuración dinámica de host, sistema de nombres de
dominio (DNS) y servicios de directorio.
• Conocimiento de los protocolos comunes de red y enrutamiento (p. ej., TCP/IP), servic ios (p. ej., web, correo,
DNS) y cómo interactúan para proporcionar comunicaciones de red.
• Conocimiento de los riesgos de seguridad de las aplicaciones (p. ej., lista de los 10 principales del proyecto
de seguridad de aplicaciones web abiertas

Capacidades NICE

• Capacidad para diseñar respuestas a incidentes para modelos de servicios en la nube.

• Capacidad para aplicar técnicas para detectar intrusiones basadas en el host y la red utilizando
tecnologías de detección de intrusiones.

Técnicas MITRE
Durante el desarrollo de esta píldora vas a ir usando una serie de tácticas MITRE. Puedes verlas a continuación.
 MODULO 1 FUNDAMENTOS DE LA SEGURIDAD

¿Cuáles son los pilares básicos de la seguridad de la información?

Privacidad, autenticidad y veracidad.
Confidencialidad, integridad y disponibilidad.
Autenticidad, responsabilidad y confianza.
Confidencialidad, intimidad y privacidad.
¿Cuáles son los controles principales para reducir los riesgos de las compañías?
Controles preventivos, controles de detección, medidas de reacción y recuperación.
Instalación de antivirus, plan de respuesta a incidentes, seguros anti-ataques.
No conectarse a redes y dispositivos desconocidos y/o no confiables, desconfiar del e-mail o enlaces sospechosos, política de
contraseñas seguras.
Capacitación a empleados, actualización de software, medidas de detección.
¿Qué tipo de ataques son utilizados por los grupos hacktivistas habitualmente?
Robo y divulgación de información sensible.
Denegaciones de servicio.
Desarrollo de software malicioso.
Todas las respuestas anteriores son correctas.
¿Qué es el cibercrimen como servicio (CaaS)?
Es el manual de la metodología abierta de cibercrimen.
Es una guía de desarrollo seguro de herramientas maliciosas de código libre.
Es la personalización y el desarrollo a medida de ataques y servicios ilegales bajo demanda a compañías, gobiernos y particulares.
Es un término que se acuñó en 2005 pero en desuso en la actualidad.
¿Cuál es una de las vulnerabilidades más importantes de la ciberseguridad en la actualidad?
El comportamiento y la sensibilidad de los usuarios finales, el eslabón más débil de la cadena.
La formación de los administradores de sistemas.
La publicidad en redes sociales.
Que los adolescentes tengan acceso a herramientas de hacking.
¿Qué respuesta es correcta si hablamos de una Botnet?
Son usadas para ataques de denegación de servicio, envío de spam, minería y robo de bitcoins.
El artífice de la botnet puede controlar todos los ordenadores/servidores activados de forma remota.
Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y
automática.
Todas las respuestas anteriores son correctas.
¿Qué es el Spam en ciberseguridad?
La publicidad encubierta como artículos o secciones y los enlaces externos masivos.
Es un producto americano de carne de cerdo enlatada.
Es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y
automática.
Es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada.
¿Qué respuestas son las referencias correctas al ransomware?
Es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear un dispositivo desde una
ubicación remota y encriptar nuestros archivos quitándonos el control de la información y datos almacenados.
El virus lanza una ventana emergente en la que nos pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual
(bitcoins por ejemplo).
Pagar el rescate no siempre nos garantiza que recuperemos la información.
Todas las respuestas son correctas.
¿Cómo se realiza un ataque DDoS?
Consiste en realizar un número considerable de peticiones a un servidor, desde múltiples ordenadores, para conseguir que se sature
y colapse.
Se puede realizar a través de la utilización de botnets, equipos realizados con troyanos cuyos dueños no saben que están formando
parte del ataque.
Muchos proveedores de internet ofrecen soluciones Anti-DDoS.
Todas las respuestas anteriores son correctas.
¿Qué emperador romano introdujo un método de cifrado?
Calígula
Marco Aurelio
Cayo Julio César
nerón
¿Cuáles de las siguientes respuestas corresponden a algoritmos matemáticos usados en criptografía?
Algoritmo de Metrópolis.
El compilador Fortran.
El algoritmo de clasificación rápida.
DES, 3DES, AEDES, BlowFish.
¿Cuál es la principal diferencia entre los métodos de criptografía de clave simétrica y asimétrica?
La diferencia es que la criptografía de clave simétrica es de código abierto y gratuito.
La principal diferencia entre estos métodos es que los sistemas asimétricos utilizan dos claves en lugar de una única clave empleada
por los esquemas simétricos.
La diferencia es que debe existir voluntad de comunicacion encubierta entre emisor y receptor.
No hay diferencias relevantes.
Cuando se revoca un certificado, ¿qué debemos hacer?
Establecer nuevas claves de vencimiento.
Actualización de la lista de revocación de certificados.
Eliminación de la clave privada de todos los directorios.
Notificación a todos los empleados de que el certificado ha sido revocado.
¿Qué dos métodos son usados para cifrar datos?
Sustitución y transposición.
Bloquear y transmitir.
Simétrico y asimétrico.
DES y AES.
¿Con qué principio básico de seguridad de la información no es compatible la criptografía?
Disponibilidad.
confidencialidad.
Integridad.
Autenticidad.
 MÓDULO 2 - INTRODUCCIÓN RESPUESTA A INCIDENTES

¿Cuáles son los pasos del ciclo de vida de un ataque?

Fase de recolección de información, fase de análisis de vulnerabilidades, fase de Explotación y fase de post-explotación.
Credenciales robadas, direcciones IP, malware y exploits.
Compromiso inicial, posicionamiento, elevación de privilegios, reconocimiento interno, ataque exitoso.
Adversario, infraestructura, víctima y capacitación del atacante.
¿Qué tipos de reconocimiento existen?
Reconocimiento activo y reconocimiento pasivo.
Reconocimiento activo, reconocimiento pasivo y spear phishing.
Los tipos de reconocimiento que el atacante pueda imaginar.
Ninguna de las respuestas es correcta.
¿De qué manera podemos reducir una fase de reconocimiento activo?
Con una solución de protección antivirus y antimalware potente del mercado.
Con una buena política de compartimiento de información, con listas de control de accesos (ACL) y con firewalls bien configurados
dentro de nuestra red.
Con antivirus internos, con una buena política de parcheado y una buena política de contraseñas seguras.
No es posible reducir un ataque en esta fase.
¿De qué manera podemos reducir una fase de reconocimiento pasivo?
Monitorizando continuamente el tráfico en busca de anomalías o patrones fuera de lo habitual en nuestra red.
Educando a los usuarios sobre qué tipo de información publicar en línea.
Cuidando los metadatos de los ficheros expuestos en internet.
Todas las respuestas son correctas.
¿Qué tipo de ataques podrán usar para crear un acceso o compromiso inicial?
Troyanos/spyware/keyloggers.
Ataques de diccionario y fuerza bruta a contraseñas.
Ataques de phishing.
Todas las respuestas son correctas.
¿Qué herramientas de monitorización de Microsoft podemos usar para monitorizar o detectar un escalado de
privilegios?
Equipos de Microsoft.
Fundamentos de Ciberseguridad de Microsoft.
Evaluación de ciberseguridad SAM de Microsoft.
Sysinternals Process Monitor (procmon), Sysinternals Process Explorer (procexplor) y Sysinternals System Monitor (sysmon).
¿Cómo podemos reducir las escaladas de privilegios?
Reforzando la política de contraseñas.
Con la creación de usuarios especiales y grupos de usuarios con privilegios mínimos.
Usar guías de desarrollo seguro en nuestra programación de aplicaciones.
Todas las respuestas son correctas.
¿Cómo podemos limitar los movimientos de un atacante una vez que este haya accedido a nuestra red?
Segmentar las redes por departamentos, imponer controles de acceso y monitorear el tráfico entre ellas (Modelo Zero Trust).
Limitar el número de usuarios con permisos elevados y llevar a cabo un estricto control sobre ellos.
Entrenar a los usuarios a identificar posibles infecciones de malware y como contenerlas.
Todas las respuestas son correctas.
¿Cómo podemos detectar actividades de reconocimiento interno en nuestros sistemas?
Ver que comandos están ejecutando scripts en Batch o en Powershell.
Ver si los horarios de ejecución son correctos.
Buscar comandos que normalmente no se ejecuten en esos servidores.
Todas las respuestas son correctas.
¿A qué nos referimos cuando hablamos de IOC en ciberseguridad?
Indicador de Compromiso (IOC) es un término que utiliza los peritos forenses informáticos para referirse a la evidencia encontrada
en un dispositivo que indica una brecha de seguridad.
Se denominan IOC a las técnicas anti-forense utilizadas por los atacantes a la hora de borrar sus evidencias y ocultar sus pistas en
un sistema.
Es el Estándar de Comunicaciones Seguras de la seguridad de la información.
Es un software utilizado por los peritos informáticos para analizar permisos, accesos y autorizaciones de los usuarios y sus niveles de
acceso.
¿De qué manera podemos preservar evidencias forenses?
Es necesario conocer los procedimientos establecidos y conocer la cadena de custodia y cómo conservar las evidencias
electrónicas.
Creando duplicidad obteniendo imágenes forenses mediante copias binarias y manteniendo la integridad de la evidencia.
Los datos incluyen tanto información volátil como no volátil que rápidamente responderá a preguntas de investigación.
Todas las respuestas son correctas.
¿Qué desventajas nos encontramos a la hora de recolectar memoria en un equipo para presentarla como
evidencia?
Tenemos un límite máximo de recolección de memoria volátil.
Tiene beneficios limitados para una investigación porque no proporciona datos necesarios para responder preguntas de alto nivel.
Solo puede capturar la memoria ROM.
No merece la pena recopilar memoria a la hora de preservar evidencias originales.
¿Qué es un activo crítico?
Cualquier activo valioso para la compañía, como pueden ser bases de datos, información financiera, planes estratégicos, patentes y
derechos de autor.
Toda la información contenida en servicios en la nube, desde su generación, tránsito, procesamiento y almacenamiento.
Direcciones de correo, perfiles de linkedin, perfiles de redes sociales.
Si la empresa usa software libre se compromete a que toda su información sea pública.
¿Cómo podemos prevenir la exfiltración de datos sensibles?
Identificar correctamente las fuentes de los datos.
Determinar los flujos y el tráfico de datos.
Asignar y revisar las credenciales a los responsables de la información.
Todas las respuestas son correctas.
¿Cuáles son los distintos grados en los que pueden estar clasificados en España La información en función del
perjuicio que puede ocasionar su difusión no autorizada?
SECRETO, RESERVADO y CONFIDENCIAL.
PÚBLICO, EXTERNO, RESERVADO y CONFIDENCIAL.
SECRETO, RESERVADO, CONFIDENCIAL y DIFUSIÓN LIMITADA.
El sistema de clasificación lo impone el CNI (Centro Nacional de Inteligencia) anualmente.