Certified Incident Management Engineer

Certified Incident Management Engineer
Test preparation guide
Edition: July 201S
Copyright16 2015 The rights of Men MI are reserved.
This document may not be. In whole or in part it will be copied. Photocopying.
Reproduced. translated, reduced or transferred to any electronic medium or machine•
readable form without prior written consent of
1Ailen IT Security Training
11928 Sheldon Road Tampa FL 33626 (813)920-6799 (813) 354-2367 (fax)
winw.mlle2.com
Introducción.
El propósito de este libro es ayudar a los controladores de incidentes, administradores

del sistema e ingenieros de seguridad general a entender cómo planificar. crear y utilizar
sus sistemas con el fin de prevenir, detectar y responder a las brechas de seguridad.
Cada negocio conectado a Internet está siendo sondeado por hackers que intentan
obtener acceso. La situación ideal es evitar que esto suceda, pero de manera realista
cada negocio necesita saber cómo detectar y resolver las brechas de seguridad.
Los candidatos deben tener experiencia en manejo de incidentes, líderes de equipos

de manejo de incidentes, administradores de sistemas que están en primera línea
defendiendo sus sistemas y respondiendo a ataques, y otro personal de seguridad que
es socorrista cuando los sistemas son atacados. Este curso fue diseñado para
proporcionar a los estudiantes una introducción en profundidad del mundo real al
proceso de manejo de incidentes. Este curso preparará a los estudiantes que son
responsables de responder a los incidentes en sus respectivas organizaciones con la
metodología para preparar, administrar y resolver eficazmente los incidentes en la
Infraestructura.
Capítulo 1: Manejo de incidentes explicado
Temas
• ¿Qué es la gestión de incidentes?
• ¿Por qué la respuesta a incidentes?
• ¿Qué es un plan de respuesta a incidentes?
• ¿Cuándo se inicia el plan?
• ¿Qué es la gestión de incidentes?
La gestión de incidentes es la preparación, detección, gestión y resolución de

incidencias o eventos que puedan producirse en el sistema de información. Implica el
proceso de administración del ciclo de vida de un incidente Un evento de seguridad Es
cualquier evento que se produce en la organización relacionado con la seguridad.
Algunos ejemplos de eventos de seguridad dañinos o benignos son:
• Un inicio de sesión de usuario es un evento de seguridad
• Una nueva cuenta de usuario creada es un evento de seguridad
Eventos de seguridad comunes de interés
• Eventos de código malintencionado
• Escaneos de redes y aplicaciones, sondas e intentos de penetración
• Ataques de denegación de servicio
• Uso inapropiado de los activos de la empresa
• Espionaje
• Acceso no autorizado o intentado acceso no autorizado
• Incumplimiento o intento de violación de información sensible (ataques a la

confidencialidad, integridad y/o disponibilidad)
• Ciertos eventos pueden superponerse Un incidente de seguridad es cualquier evento
de seguridad que justifique la activación de un equipo de respuesta a incidentes para
administrar el evento Esto es único para cada organización y por lo general se basa en
la naturaleza del evento Por ejemplo, en la mayoría organizaciones si una cuenta de
usuario es creada automáticamente por un administrador desprevenido que instala
software legítimo, una organización puede estar interesada en este evento, pero no
llamará en el escaso. Sin embargo. si esta cuenta es creada por un hacker que logró
obtener acceso administrativo interno, este evento será muy importante para tratar con
rápidamente.
¿Por qué la respuesta a incidentes?
¿Por qué invertir en un proceso que no contribuye al resultado final? El manejo y la

respuesta de incidentes se pasarán por alto hasta que ocurra un incidente importante.
Un incidente importante resultará en una enorme cantidad de costo innecesario de
tiempo y dinero. Para manejar correctamente y rápidamente incidentes que podrían
tener uno o más de los siguientes impactos:
• Amenaza a la vida humana
• Pérdidas financieras
• Exposición a responsabilidad legal
• Pérdida de confianza del cliente
• Daño a la reputación organizacional
• Pérdida de datos o su integridad
Un sólido programa de manejo y respuesta de incidentes puede ahorrar a una

organización una cantidad sustancial de dinero. La implementación proactiva de
medidas preventivas y detectivesas minimizará la pérdida de dinero y tiempo en caso
de que ocurran incidentes. Proporcionar información estadística y de tendencias para
una mejor comprensión de las amenazas y una mejor toma de decisiones de inversión
en seguridad.
Los Módulos Comunes de Gestión de Respuesta a Incidentes.

• Detección y respuesta a incidentes de seguridad • Proporcionar locus y recursos para
la documentación, planificación y capacitación de una capacidad de respuesta a
incidentes • Proporcionar marco para la detección, comunicación. respuesta y
escalamiento/desescalamiento de incidentes de seguridad • Permitir la identificación
del impacto incidente y la posterior priorización y planificación de 4 esfuerzos de
respuesta • Reducir las pérdidas incurridas por un incidente de seguridad • Reducir el
tiempo de inactividad incurrido por incidente de seguridad • Identificar al atacante.
posible protección • Cumplir con los requisitos del cliente y/o el cumplimiento
¿Qué es un plan de respuesta a incidentes?
Un plan de respuesta a incidentes es un documento que define, entre otras cosas:
• Incidentes • Niveles de gravedad de incidente • Planes de respuesta para cada nivel

de incidente • Responsabilidades y autorizaciones del equipo de gestión de incidentes
• Planes de comunicaciones y reporte • Prácticas y/o directrices
¿Cuándo se inicia el plan?
Esto será diferente para cada organización en función de su tipo de negocio, activos,
datos, responsabilidades y tolerancia al riesgo. Por ejemplo, una agencia puede
necesitar promulgar su plan de respuesta a incidentes inmediatamente después de la
detección de cualquier cuenta de usuario no autorizada independientemente de su
origen. Por otro lado, una pequeña instalación de fabricación sólo puede querer
promulgar su plan de respuesta si un hacker ha irrumpido en sus sistemas de contabilidad
o RRHH. La tolerancia al riesgo y las filosofías de gestión de la organización deben
tenerse en cuenta al crear el plan de respuesta a incidentes de una organización.
Enfoque de seis pasos para el manejo de incidentes
• Preparación • Recuperación
• Identificación y respuesta inicial • Seguimiento
• Contención •Seguimiento
• Erradicación
Preguntas y respuestas
1. Es la preparación, detección, gestión y resolución de incidentes o eventos que

puedan ocurrir en el sistema de información.
a. Manejo de Incidentes b. Computer Forensics c. Network Forensics d. Digital Forensics
Respuesta: A
Módulo 01: Inddent Handling es la preparación, detección, gestión y resolución de

Incidentes o eventos que puedan producirse en el sistema de información.
2. ¿Cuál es cualquier evento que ocurra en la organización relacionado con la

seguridad? a. Aplicación b. Software c. Seguridad d. Hardware
Respuesta: C
Módulo 01: Un evento de seguridad es cualquier evento que se produce en la

organización relacionado con la seguridad.
3. ¿Cuáles son algunos eventos de seguridad comunes de interés?
a. b. v. C.
Eventos de código malintencionado Ataque de denegación de servicio Espionaje Todo

lo anterior
Respuesta: D
Módulo 01: Algunos eventos comunes de seguridad de interés son eventos de código
malicioso, exploraciones de redes y aplicaciones, sondas e intentos de penetración,
ataques de denegación de servicio, uso inapropiado de los activos de la empresa,
espionaje, no autorizado o intento de no autorizado acceso, y violación o intento de
violación de información sensible (ataques a la confidencialidad, integridad y / o
disponibilidad.
4. Verdadero o Falso. Un plan de respuesta a incidentes es un documento que define

incidentes, niveles de gravedad de incidentes, planes de respuesta para cada nivel de
incidente, responsabilidades y autorizaciones del equipo de gestión de incidentes,
planes de comunicaciones y informes, y prácticas y/o prácticas y/o Directrices.
a. Verdadero b. Falso
Respuesta: A
Módulo 01: Un plan de respuesta a incidentes es un documento que define incidentes,

niveles de gravedad de incidente, planes de respuesta para cada nivel de incidente.
Responsabilidades y autorizaciones del equipo de gestión de incidentes, planes de
comunicaciones y informes, y prácticas y/o directrices.
S. ¿Cuál es el primer paso al prepararse para un evento de manejo de incidentes?
a. Seguimiento b. Preparación c. Erradicación d. Contención
Respuesta: Módulo B 01: Paso uno del enfoque de seis pasos para el manejo de
incidentes es la preparación.
Capítulo 2: Amenazas, vulnerabilidades y vulnerabilidades
Temas
• Ma!ware • Denegación de servicio y

• Arp Poisoning denegación de servicio distribuida
• DNS Spoofing • Amenazas internas
• Secuestro de sesión • Ataques inalámbricos
• Phishing • Ataques de software
• Ingeniería Social • VA&PT
• Uso de SET
Malware
Es muy fácil infectar a los usuarios y a veces muy difícil de eliminar o asegurarse de que
se elimina. Tiene múltiples funciones:
• Registradores de teclas • Daños en HD y datos • Agentes distribuidos de denegación

de servicio
• APT • Acceso remoto
Atiware:
• Software apoyado por patrocinadores de publicidad • Inofensivo por naturaleza pero

podría contener maiware adicional • Podría contener software de recopilación de
información que se conoce como Spyware • Herramientas de detección o Spybot o
Spyware Doctor
Virus:
• Recibidos como archivos • Necesidad de residir en el sistema de archivos • Necesita

que se active la intervención del usuario o del evento • Autorreplicación • De múltiples
tipos: o Virus macro o Multipartito o Sector de arranque
Bulos:
• Por lo general advierte al usuario de una amenaza inexistente

• Solicitar al usuario que tome medidas que comprometan la máquina • El mensaje le
pide al usuario que lo reenvíe a todos los que conozcan
Gusanos:
• Recibidos como programas en ejecución • Reside en la RAM • NO necesita la

intervención del usuario ya que ya está activo • Autorreplicación • más difícil de eliminar
y controlar
Spyware.
• Considerado un tipo de virus • Puede ser de diferentes formas Adware troyanos Key
registradores software de vigilancia - Anton Tracker
Troons
• Un programa que presente; como inofensivo • Un virus suele estar oculto • Ihrs Social
Engineering para convencer a la víctima de activar el programa
Backdoors:
• Virus de acceso remoto • Permita que el atacante se conecte al ordenador de la

víctima con los privilegios de la víctima
Rootkits:
• Malware de alto privilegio • Capaz de ocultar procesos o programas en ejecución •

Utilizado por un atacante para mantener el acceso privilegiado • Muy sigiloso •
Detección o Microsoft Rootkit Detector o Sophos Anti•Rootkit
Bomba lógica:
• Un virus que se activará con una condición lógica como una fecha, hora o acción del
usuario
Botnets:
• Un grupo de computadoras comprometidas controladas por un hacker • Los

protocolos del controlador son IRC, HTTP y DNS
• Un centro de comando y control tiene la intención de activar todos los sistemas para
realizar una acción al mismo tiempo • Por lo general establecido a través de malware
Ataques: Suplantación de IP
Un ataque donde un atacante crea paquetes con una dirección IP falsa o falsificada
con el fin de ocultar la identidad del remitente o para suplantar a otro sistema
informático. El encabezado de cada paquete IP contiene la dirección numérica de
origen y destino del paquete. La dirección de origen es típicamente la dirección desde
la que se envió el paquete. Al falsificar o falsificar el encabezado, un atacante hace
que parezca que el paquete fue enviado por una máquina diferente.
CM: Filtrado de ingresos
Técnica utilizada para asegurarse de que los paquetes entrantes son realmente de las
redes de las que dicen ser. Normalmente, un paquete contiene la dirección IP del
equipo que lo envió originalmente, lo que permite que los otros equipos de las redes
sepan de dónde proviene. En algunos casos, la dirección IP de envío se suplanta como
parte de un ataque, por lo que el equipo atacado no sabe de dónde viene el ataque.
Intoxicación por ARP
El Address Resolution Protocol (ARP) asocia las direcciones IP a las direcciones MAC.
Cuando los paquetes viajan una red conmutada, el Switch transmitirá el paquete en el
cable/puerto que el MAC de destino existe encendido y ningún otro. Los
emparejamientos IP y MAC se almacenan temporalmente en la memoria caché ARP.
Para ver la memoria caché ARP: arp -a. para borrar la memoria caché ARP: arp -d.
Cuando usted quiere comunicar con otra máquina, el OS marca la memoria caché ARP
para cualquier entrada, si no hay ninguna, transmitirá un paquete de la detección ARP
cuando usted recibe la respuesta ARP, los datos relevantes se ingresan en el caché ARP.
La base del envenenamiento es que el protocolo ARP permite las respuestas ARP no
solicitadas. Puesto que las entradas en el tiempo de espera de caché ARP, el atacante
debe enviar un par de paquetes de respuesta ARP suplantados sobre una base
recurrente.
Contramedidas
Utilice los productos IDS (tales como Snort) para monitorear para cambiar los
emparejamientos de dirección IP a MAC. Utilice programas de monitoreo ARP•cache,
como ARPWatch. ARPWatch es un programa Unix que mantiene una tabla de
emparejamientos IP-a-MAC con el objetivo de alertar a un administrador de la
intoxicación ARP. Utilice interruptores sofisticados. Dispositivos de red sofisticados como
Cisco
Los switches Catalyst tienen inspección mtP dinámica (DAI) para detectar la
intoxicación DE ARI.
Suplantación de DNS
La suplantación de DNS es un término que se utiliza cuando un servidor DNS acepta y

utiliza información incorrecta de un host que no tiene autorización que proporciona esa
información. DNS suplantación de IA. de hecho, la intoxicación de caché
malintencionada donde los datos falsificados se colocan en la memoria caché de los
servidores de nombres Los ataques en spool pueden causar graves problemas de
seguridad para los servidores DNS vulnerables a estos ataques. ejemplo haciendo que
los usuarios sean dirigidos a sitios de Internet incorrectos.
Estos Cols pueden emitir respuestas DNS falsas para redirigir a un cliente al servidor
falso/fraudulento de un atacante
DN Sspoot - Win DNSspool - Cain and Alwl - DNS Dilater
Secuestro de sesiones
Muchos atacantes suplantan sus direcciones, lo que significa que la dirección dentro de
la trama que se utiliza para confirmar el ataque tiene una dirección IP que no es suya.
Esto hace que sea mucho más difícil rastrear al atacante, que es el propósito del
atacante de suplantar en primer lugar. Esto también permite a un atacante secuestrar
sesiones entre dos usuarios sin ser notado.
Secuestro de sesión TCP:
• Suplanta la dirección de una entidad en una conexión activa, interviene a sí mismo

en el diálogo, puede desconectar a otra entidad con Denegación de servicio • La
víctima se está comunicando con un atacante y pensando que se está comunicando
con una entidad legítima • El atacante debe adivinar adecuadamente los números de
secuencia TCP para la interjección adecuada
Cuatro métodos principales para realizar un secuestro de sesión:
Corrección de sesión: el atacante establece el identificador de sesión de un usuario en

uno conocido por él. Al enviar al usuario un correo electrónico con un vínculo que tiene
un id de sesión determinado, el atacante sólo tiene que esperar hasta que el usuario
inicie sesión
Sidejacking de sesión: el atacante utiliza el rastreo de paquetes para leer el tráfico de

red entre dos partes para robar la cookie de sesión. Muchos sitios utilizan el cifrado SSL
para las páginas de inicio de sesión para evitar que los atacantes vean la contraseña,
pero no usan el cifrado para el resto del sitio. Esto permite a los atacantes interceptar los
datos enviados al servidor. Porque estos datos contienen la cookie de sesión. el
atacante puede pretender ser la víctima_ Puntos calientes WI-Fu no seguros son
extremadamente vulnerables a este
El atacante con acceso físico puede intentar oralmente la clave de sesión mediante la
obtención del archivo o el contenido de memoria de la panorámica adecuada del
usuario. computadora o servidor.
Secuencias de comandos entre sitios: el atacante engaña al sistema del usuario para
que ejecute código. que parece confiable porque Weals pertenece al servidor, que a
su vez. permite al atacante obtener una copia de la cookie o realizar otras operaciones.
Métodos para evitar que la sesión 'Marcado Use un número aleatorio largo como clave
de sesión para evitar que un atacante adivine la clave de sesión. La regeneración del
identificador de sesión después de iniciar sesión correctamente evita la corrección de
la sesión porque el atacante no conoce el identificador de sesión del usuario después
de iniciar sesión. especialmente la clave de sesión. Esto evita los ataques de estilo de
sniffing. Algunos servicios realizan comprobaciones secundarias con respecto a la
identidad del usuario. Un servidor Web podía comprobar, con cada solicitud realizada,
que la dirección IP del usuario era la misma que la última utilizada durante esa sesión.
Algunos servicios cambiarán el valor de la cookie con cada solicitud. Esto reduce el
tiempo en el que el atacante tiene que hacer un ataque y hace que sea fácil descubrir
si se ha producido un ataque.
Desbordamientos de búfer
Uno de los mayores riesgos de seguridad de la historia, esta técnica de explotación es

directa y letal. La pila del programa almacena los datos en orden, por lo que los
parámetros pasados a las funciones se almacenan primero, a continuación, la dirección
de retorno, a continuación, el puntero de pila anterior y, posteriormente, las variables
locales. Si las variables (como matrices) se pasan sin comprobaciones de límites, se
pueden desbordar enviando grandes cantidades de datos. que corrompe la pila Esto
lleva a sobrescribir la dirección de retorno y, en consecuencia, un error de
segmentación. Si el truco se realiza de forma manual, puede modificar los búferes para
que apunten a cualquier ubicación, lo que conduce a la ejecución del código.
Phishing
El phishing es el ataque de adquirir información como credenciales de acceso o detalles

de tarjetas de crédito al posar un sitio web como un sitio de confianza. Spear phishing ft
selectivamente elegir sus objetivos de phishing a través del correo. Whaling es ataques
de phishing dirigidos hacia la alta dirección.
Ingeniería Social
El arte de manipular a las personas para que divulguen información o realicen una
acción, lo que en última instancia pondría en peligro la seguridad de la información.
Se puede hacer por:
• Teléfono • Correo electrónico • Entrevista • Navegación de hombros
Uso de SET
Facilita los aspectos de la "ingeniería social". que existe en cada ataque. Facilita la
creación de:
• Enlaces maliciosos • Archivos adjuntos maliciosos • Medios infecciosos • gemelos

malvados inalámbricos • Clonar sitio web
Denegación•de•Servicio y denegación de servicio distribuida
Un ataque contra la disponibilidad con dos tipos diferentes:
• Consumo de recursos • Consumo de ancho de banda
Dcnial•of•Service distribuido:
• Aproveche las redes de bots
Amenazas internas
Uno de cada cinco trabajadores permite a familiares y amigos utilizar computadoras

portátiles y PC de la empresa para acceder a Internet. Más de la mitad de los
trabajadores de la empresa conlan sus propios dispositivos a su PC de trabajo
corporativo. Una cuarta parte de ellos lo hacen todos los días. Uno de cada diez confesó
haber descargado material inapropiado en el trabajo. Dos tercios admitieron que tienen
un conocimiento muy limitado de la seguridad de TI. Más de la mitad no tenía idea de
cómo actualizar la protección antivirus en el dispositivo de su empresa.
Ataques inalámbricos
Los puntos de acceso no fiables pueden proporcionar una puerta trasera seria que son
muy fáciles de implementar. Podría conducir a la compartición de acceso inalámbrico.
Algunas contramedidas son:
• Encuestas periódicas o tutoriales • Habilitación de la autenticación IEEE 802.1X
The Evil Twin
• Un punto de acceso con la misma configuración de un punto de acceso legal o mismo

SSID o mismo ajustes de seguridad • Sobre alimentación el punto de acceso existente •
Muy fácil de implementar utilizando SET o ataques inalámbricos 9 Evil Twin •
Countermeasure: Encryption
Conducción de guerra
• Detección de punto de acceso inalámbrico • Herramientas o Netstumbler o Kismet o

Aircrackmg • Se puede combinar con la funcionalidad GPS
Inicialización de ataques vectoriales
• Un mecanismo de cifrado tiene como objetivo producir variaciones de una clave de

cifrado simétrica • Idealmente se produce una nueva IV cada vez que se envían datos
• IEEE 801.11 WEP utiliza el cifrado RC4 utiliza un mecanismo IV con defectos o IV se utiliza
como entrada para cifrar los datos o IV se envía junto con el texto cifrado
Vulnerabilidades WEP
• El espacio IV es de 24 bits • Una nueva IV para cada paquete • Los IV se reutilizan

finalmente • IV débiles • Inyectar tramas inalámbricas a IV duplicados • Ataques de
software
Scripting entre sitios
• Una vulnerabilidad En la aplicación de software que permite a los atacantes inyectar

scripts del lado cliente en páginas web vistas por otros usuarios • Tipos o Reflejados o
Almacenados
Inyección SQL
• ¿Un ataque se aprovecha de la vulnerabilidad de una aplicación web? • Permite al

atacante comunicarse directamente con la base de datos back-end • Ataques
comúnmente conocidos
o 71 intentos por hora en producción normal o Más de 800 intentos mientras está bajo
ataque
Open Web Application Security Project Top 10
• Inyección • Scripting entre sitios • Autenticación rota y administración de sesiones •

Referencias directas de objetos inseguras • Falsificación de solicitudes entre sitios •
Configuración incorrecta de seguridad • Almacenamiento criptográfico inseguro • Error
de restricción del acceso URL • Insuficiente Protección de la capa de transporte •
Redireccionamientos y reenvíos no validados
Evaluación de vulnerabilidades y pruebas de penetración

El análisis de vulnerabilidades es la acción de determinar una susceptibilidad a
vulnerabilidades conocidas. Diferentes herramientas de escaneo realizan diferentes
funciones de diferentes maneras.
Herramientas de escaneado
• Analizadores de protocolo o Wireshark • Escáneres de aplicación o Nikto • Escáneres

OS o SAINT
Técnicas de evaluación
• Escaneo automático • Informes de línea de base o Auditoría o Cumplimiento de

políticas • Revisión de código o Manual o Automático o Dinámico o Estático • Pruebas
de Penetración
Pruebas de penetración
Metodología genérica:
• Reconocimiento • Escaneado • Penetración / Explotación • Mantener el acceso •

Cubrir pistas
1. : El atacante establece el ID de sesión de un usuario en uno conocido por él. Al enviar

al usuario un correo electrónico con un vínculo que tiene un identificador de sesión
determinado, el atacante solo tiene que esperar hasta que el usuario inicie sesión.
a. b. c. d.
Solución de sesión Sesión Sidejacking Attacker Cross•site scripting
Respuesta: A
Módulo 02: Corrección de sesión: El atacante establece el ID de sesión de un usuario en

uno conocido por él. Al enviar al usuario un correo electrónico con un vínculo que tiene
un identificador de sesión determinado, el atacante solo tiene que esperar hasta que el
usuario inicie sesión.
2. : El atacante utiliza el rastreo de paquetes para leer el tráfico de red entre dos partes
para robar la cookie de sesión. Muchos sitios utilizan el cifrado SSL para las páginas de
inicio de sesión para evitar que los atacantes vean la contraseña, pero no usan el cifrado
para el resto del sitio.
a. Fijación de sesión b. Sidejacking de sesión c. Atacante. Scripting entre sitios
Respuesta: B
Módulo 02: Sidejacking de sesión: El atacante utiliza el rastreo de paquetes para leer el
tráfico de red entre dos partes para robar la cookie de sesión. Muchos sitios utilizan el
cifrado SSL para las páginas de inicio de sesión para evitar que los atacantes vean la
contraseña, pero no usan el cifrado para el resto del sitio.
3. con acceso físico puede tratar de robar la clave de sesión mediante la obtención del
archivo o el contenido de memoria de la parte apropiada del ordenador o servidor del
usuario.
a. Fijación de sesión b. Secuestro lateral de sesión c. Atacante d. Scripting entre sitios
Respuesta: C
Módulo 02: El atacante con acceso físico puede intentar robar la clave de sesión
obteniendo el contenido del archivo o la memoria de la parte adecuada del equipo o
servidor del usuario.
4. • El atacante engaña al sistema del usuario para que ejecute código, que parece
confiable porque parece pertenecer a la
servidor, que a su vez, permite al atacante obtener una copia de la cookie o realizar
otras operaciones.
a. b. c. d.
Solución de sesión sesión Sidejacking Attacker Cross-site scripting
Respuesta: D
Módulo 02: Scripting entre sitios: El atacante engaña al sistema del usuario para que
ejecute código, que parece confiable porque parece pertenecer al servidor, que a su
vez, permite al atacante obtener una copia de la cookie o realizar otras operaciones.
5. ¿Qué es una anomalía en la que un proceso almacena datos en un búfer fuera de la

memoria que el programador reserva para él?
a. b. c.
Desbordamiento del búfer de desbordamiento de la pila de pulverización del montón
Respuesta: C
Módulo 02: Desbordamiento de búfer o saturación de búfer, es una anomalía donde un

proceso almacena datos en un búfer fuera de la memoria que el programador reserva
para él.
Capítulo 3: Preparación
Políticas y procedimientos de soporte de alta dirección El plan de comunicación de
incidentes del equipo de gestión de incidentes de creación de capacidades de
informes prepara tecnologías de subrayado
Soporte de Alta Dirección
La comunicación con la Alta Dirección debe mantenerse en todo momento. Un buen

informe a la Administración incluye apoyo financiero, soporte operativo y decisiones
rápidas.
¿Qué necesitas?
• Power/Authorization o Aprobación de políticas y aplicación o presencia de Active

Management en sesiones de Concienciación o Constante resaltado de IN en
comunicaciones de gestión regulares o Apoyo financiero y logístico
• Requiere Informes Constantes
Qué informar
• Costos operativos y si son suficientes • Riesgos más significativos o Beneficios

financieros o organizativos o de recursos
• Resultados de operaciones de IH o
humanos
Número de incidentes o Número de
alarmas o Número de formación • Resumen ejecutivo o Hacer que sea
proporcionada a diferentes entidades breve
• EventualPositives o Reducción de la • Los temas más importantes o Máximo

resolución del tiempo de incidente o 10 puntos
Número de máquinas infectadas
• Diagramas y Estadísticas de
reducción o Reducción del costo de los
Representación Gráfica
incidentes
• Informe completo como archivo
• Plan IH Plan futuro o Mejora del servicio
adjunto
o Requisitos de contratación o
Herramientas y dispositivos necesarios
Políticas y Procedimientos
Las políticas establecen principios y se pronuncian para la toma de decisiones. Debe ser
fácil de entender, y sólo se puede entender de una manera. No puede superponerse
con otras directivas. Se debe seguir una política, pero la gente debe ser capaz de seguir
una política.
Políticas básicas
• Carta de Manejo de Incidentes o El propósito de la función IH o el equipo de CERT o

Grants IH la autorización necesaria
• Política de Clasificación de la Información o Esencial para cualquier programa de IH

no puede ser tratado de manera diferente por diferentes títulos o Describe los principios
que son esencial para otras políticas subyacentes o La complejidad de la clasificación
depende de la organización y otras políticas superiores
• Política de divulgación de información o El intercambio de información en el contexto

IN es esencial o ¿Qué información deben divulgarse? o ¿A quién debe divulgarse la
información? o ¿Cuándo debe divulgarse la información? o ¿Qué puede hacer el
destinatario con la información recibida?
• Política de medios o ¿Quién debe manejar los medios de comunicación? o ¿Cómo

responder a preguntas específicas de los medios de comunicación? o ¿Qué debe
esperar la administración del proceso de relaciones públicas del IH? o Definir los medios
que prefiere comunicarse con o Definir expertos en manejo de medios que puedan ser
necesarios
• Política de privacidad o Asegúrese de cumplir con las leyes y regulaciones de

privacidad locales o Cuando se trata con organizaciones internacionales, diferentes
interpretaciones de privacidad existen o Una política debe resaltar qué tipo de datos
privados personales deben almacenarse ¿Qué responsabilidades legales implica el
almacenamiento de dichos datos?
• Políticas de seguridad o Seguridad Física o Seguridad del Personal o Seguridad Lógica

Los procedimientos son una descripción detallada de qué, cuándo y cómo se hace
algo dentro de los principios de una política.
Plan IH
• Define lo que constituye un incidente • Define la pérdida potencial

(ingresos/reputación) • Plan detallado de escalamiento de incidentes • Define los
equipos de IH y su autorización • Define el plan y los procedimientos de comunicación
del equipo • Necesita ser lo más simple posible
El equipo de manejo de incidentes
Se deben establecer dos equipos:
• Equipo de gestión o Proporciona comando, liderazgo y decisión • Equipo en el sitio o

El equipo que ejecuta el plan IR
Equipo de gestión
• Compuesto por altos directivos. A menudo incluye la administración de nivel C (como

CIO) y otros ejecutivos
• Membresía no específica de TI, debe incluir representación de cada segmento de

negocio
• Definir y autorizar responsabilidades de los miembros del equipo de respuesta a

incidentes
• Toma decisiones de gestión relacionados con los esfuerzos de respuesta y, por lo

general, solo directamente involucrados en los esfuerzos de alta gravedad
• Maneja las solicitudes y autorizaciones, tales como los gastos de esfuerzo de respuesta
a incidentes
• Asegura que los recursos adecuados se asignan a los equipos y los esfuerzos de
respuesta
• Aprueba planes de comunicación, especialmente con clientes, administración de

negocios y aplicación de la ley
• Revisa periódicamente los planes de respuesta
• Responsabilizco de otros del seguimiento del Plan de Respuesta a Incidentes y las

políticas relacionadas
• Puede revisar las métricas relacionadas con Respuesta a incidentes y pastorear

mejoras organizativas que tienen un impacto positivo en estas métricas clave
Funciones del equipo de respuesta a incidentes
• Desarrolla y proporciona liderazgo durante la ejecución del plan de incidentes
• Proporciona respuesta en el sitio cuando es necesario
• Borradores informes de incidentes post mortem
• Proporciona capacitación, conciencia y pruebas periódicas del plan de IR
• Construye relaciones intradepartamentales y procedimientos según sea necesario
• Identifica las carencias del plan y las necesidades de capacitación
• Documentación de actualizaciones, incluye procedimientos de respuesta específicos
• Recomienda políticas / estándares
• Realiza las lecciones aprendidas después de cada esfuerzo de respuesta a incidentes
• Genera métricas clave
• Informa periódicamente al Equipo directivo de un "estado del sindicato"
Maquillaje de Equipo IRT
• Administradores • Recursos Humanos
• Manejadores de Respuesta a • Representación de la unidad de

Incidentes negocio
• Escritores Técnicos • Puede ser necesario investigar posibles

infracciones a petición del cliente
• Entrenadores
• Asesores Jurídicos
• La estructura del equipo virtual a
menudo es efectiva cuando recursos
dedicados no están disponibles
Organización del equipo
Diferentes tipos de organización del equipo I H:
• Equipo de seguridad • Común en pequeñas y medianas

organizaciones
• Equipo interno distribuido
• Sin autoridad organizativa
• Equipo centralizado interno
• Sin equipo formal de IH
• Equipo estructurado combinado
• Funciones o Detectar anomalías en la
• Equipo de coordinación Equipo de
red o Responder a incidentes, si es
seguridad (IH Police)
necesario
• Personal de TI existente
El equipo de seguridad debe centrarse en los síntomas del problema, no en las causas
raíz, la correlación limitada de los datos de incidentes, ningún análisis de tendencias,
ningún proceso de análisis coherente y ningún punto único de generación de informes.
Equipo Distribuido Interno
• Un gerente/coordinador de IH • Proporcionó un punto de apoyo en

recibiendo informe de incidentes de unidades de negocio
varias unidades de negocio
• Una formalizada enfoque que requiere
• Asociación de IH entre unidades de que se aplique algún conjunto de
negocio políticas
• Común en grandes organizaciones • Sigue los procesos formales de IH
• Utiliza una amplia base de experiencia

entre la organización
• El Gerente/Coordinador del IH coordina las tareas de IH entre los equipos o Punto único
de contacto con la alta dirección o Actúa como enlace de Ili con entidades externas
o Tendencias de incidentes de investigación, alcance e impacto
• Desafíos o Diferentes antecedentes y experiencia dentro de la equipo o Conflicto de

intereses y prioridades es probable o Ejecución inconsistente de tareas relacionadas o
Diferentes niveles de compromiso o Muy difícil de implementar en empresas distribuidas
geográficamente
Equipo Centralizado Interno
• Equipo de Tiempo IH de TIEMPO MI dedicado
• Aplicable a una amplia variedad de organizaciones
• Autoridad total o parcial para responder a incidentes
• Mantener los datos de incidentes en la ubicación central
• Proporcionar herramientas, directrices, conciencia ción y capacitación a diferentes

miembros del personal de la organización
• Recopilar y analizar información sobre incidentes y producir recomendaciones

"lecciones aprendidas"
• Garantizar el cumplimiento de las políticas, procedimientos y procesos relacionados

con IH Ejecución
• Miembros del equipo o Expertos en TI o Expertos Legales o Entrenadores o Escritores

técnicos
• Desafíos o Creación inicial e integración en la estructura de la organización o

Designación de la Autoridad o Enlaces de enlace con otros departamentos y unidades
de negocio
Equipo combinado
• Una combinación de equipo centralizado pero con miembros distribuidos del equipo
en unidades asociadas
• El objetivo es ofrecer los beneficios de los modelos centralizados y distribuidos
• Los principales desafíos o Costo o Mantener una colaboración efectiva.
Equipo Coordinador
• Promueve la idea de CERT
• Adecuado para una circunscripción amplia y colectiva con entidades independientes

• Consiste en una entidad central de IH (CERT) que coordina varias unidades Ili en
diferentes entidades
• El CERT puede ser o Autoritativo o No Autorizado
• Autorizado: Coordinar y gestionar el manejo de incidentes y vulnerabilidades entre las

organizaciones asociadas
• No autorizado: Facilitar el manejo de incidentes y vulnerabilidades
• Desafíos o Determinar el tamaño correcto o Construir relaciones efectivas con las

entidades asociadas o Encontrar experiencia en todas las tecnologías y plataformas o
Implementar un sólido Plan de Comunicación de Incidentes del Sistema de Entradas
Asegúrese de que todas las listas de contactos estén disponibles para su equipo.
Establezca un punto de contacto principal y asigne un 'toma de notas'. Usted tendrá
que planificar posibles turnos de noche y horas extras. El plan de comunicación
ampliado debe consistir en:
• Directrices y mejores prácticas de o Conferencias de prensa o Comunicados de

medios o Relaciones con los medios de comunicación o Relaciones policiales o Redes
sociales
Creación de capacidades de generación de informes
El primer paso en la creación de la capacidad de notificación de incidentes es:
• Educación del usuario o sesiones de concienciación o Programa de conciencia

continua o Nueva orientación de los empleados
• Educación de reconocimiento de incidentes o Lista y publicar una lista clara de
indicadores de incidentes
Publique canales de informes claros con información de contacto:
• Direcciones de correo electrónico • Números de extensión especiales
• Teléfono • Cualquier formulario web
Parámetros de incidente:
• Establecer los requisitos que deben cumplirse antes de la escalada a la alta dirección
o la aplicación de la ley
• Incidentes menores o Fomentar el manejo por parte del personal de TI
• Help Desk o Primera línea de defensa o Utilizar para la notificación de incidentes
Capacitación y sensibilización sobre la respuesta a incidentes
• Los miembros del Equipo IRT deben recibir capacitación técnica o Recibir
capacitación sobre sus responsabilidades de acuerdo con el plan de respuesta y las
políticas y procedimientos asociados. o Comprender los objetivos de la respuesta a
incidentes y cómo reportar un incidente
• Los administradores deben recibir capacitación técnica cuando sea apropiado para
otorgarles las habilidades para identificar posibles incidentes y saber a quién reaccionar
• Los gerentes deben tener un comprensión y apreciación del plan de respuesta a

incidentes o Estar informado sobre cómo reportar eventos sospechosos o Estar
informado para proporcionar apoyo al permitir que sus empleados asistan a cualquier
capacitación o Ser informado de su representación de gestión en la Administración de
IR Equipo o Recibir un contacto para preguntas, inquietudes y comentarios adicionales
• Los usuarios deben saber los conceptos básicos de la identificación de eventos

sospechosos y cómo informar de ellos o Estar al tanto de cualquier capacitación
obligatoria u opcional de respuesta a incidentes disponible para ellos
• Clientes/Clientes o En algunos casos, los clientes serán incluidos en la formación similar

a los
Preparar tecnologías de subrayado
Las tecnologías de subrayado empresarial son:
Antivirus: Asegúrese de seleccionar un antivirus de nivel empresarial y mantenerlo

actualizado. No hay un solo antivirus que detendrá todo el malware. Es necesario aplicar
el principio de defensa en profundidad. SEIM: Gestión centralizada de eventos e
información con recopilación, correlación y gestión centralizadas de registros de
eventos de seguridad desde el sistema operativo, firewalls/IDS/IPS, sistemas de
autenticación y antivirus. Las capacidades generales incluyen administración de
registros, integración de sistemas diferentes, correlación de datos, alertas, paneles e
informes, diferentes roles y administración de usuarios, y retención de registros.
Administración de identidades: la capacidad de vincular la identidad a la actividad es
un requisito de cumplimiento importante. Acortará el ciclo de análisis de eventos,
eliminará las actividades no importantes y proporcionará una alta confianza en los
resultados. Sistema de venta de entradas: Los CSIRT más conocidos utilizan sistemas de
venta de entradas. El sistema de venta de entradas más popular es RTIR.
Un código abierto, mantiene el proceso de gestión de incidentes organizado y

estructuras, y generalizado para el proceso estándar. Digital Forensics: Las herramientas
son necesarias para el análisis de incidentes y la identificación de la causa raíz y
proporcionar información de confianza a las entidades legales y policiales. Diferentes
herramientas son adquisiciones de datos, análisis de imágenes, informes de casos,
duplicación de imágenes y desinfección de escritorio. eDiscovery: Todo el esfuerzo de
recopilar información relacionada con una tecnología de exhibición de documentos
electrónicos incidente incluye un software con alta capacidad de procesamiento,
puede procesar, reconocer y clasificar información, y puede extraer datos en discos
duros, memoria flash, teléfonos inteligentes, recursos compartidos de archivos y
servidores de correo electrónico. Copia de seguridad y recuperación de datos:
tecnología que permitirá la administración centralizada de copias de seguridad y
recuperación de datos. Contribuye a la recuperación rápida de un incidente Puede
extenderse a la copia de seguridad de aplicaciones o máquinas virtuales. Puede
permitir opciones de duplicación de datos fuera del sitio o a través de la nube.
Las tecnologías de subrayado en el sistema son:
Línea de base técnica: La responsabilidad del departamento de seguridad. Proporcione

una confirmación de incidente más rápida. Proporcione al controlador una lista de
servicios normales en ejecución, puertos abiertos normales, procesos en ejecución
normales, archivos hash del sistema limpios y usuarios actuales. Auditoría del sistema:
Habilitación de la auditoría del sistema operativo y de las aplicaciones y sincronización
de tiempo para facilitar el análisis de la línea de tiempo. Deshabilite los servicios de red
innecesarios. Aseegurese al cliente AV es
actualizado y totalmente funcional. Puede utilizar el software de integridad de archivos

para archivos críticos.
1. Verdadero o Falso. Un resumen ejecutivo es una manera de reportar un incidente a

la alta gerencia.
Respuesta: A
Módulo 03: Las formas de informar a la alta dirección son resúmenes ejecutivos,
representación gráfica e informes completos con archivos adjuntos.
2. poner principios y normas para la toma de decisiones. debe ser fácil de entender, y
sólo puede ser entendido de una manera, y debe ser seguido.
a. Procedimientos b. Políticas c. Directrices d. Reglas
Respuesta: B
Módulo 03: Las políticas establecen principios y normas para la toma de decisiones,
entender, y sólo puede ser entendido de una manera, y debe ser seguido.
3. Verdadero o Falso. Los procedimientos no son una descripción detallada de qué,

cuándo y cómo se hace algo dentro de los principios de una política.
d. True e. Falso
Respuesta: B
Módulo 03: Los procedimientos son una descripción detallada de qué, cuándo y cómo
se hace algo dentro de los principios de una política.
4. ¿Cuáles son algunas de las ubicaciones en las que pueden ocurrir eventos de
seguridad y administración de información?
a. b. c. d.
El sistema operativo registra los sistemas de autenticación Firewall/IDS/IPS todo lo anterior
Respuesta: D
Módulo 03: Algunas ubicaciones que los registros de seguridad y gestión de información
pueden revisar son Sistema operativo, firewall/IDS/IPS, sistemas de autenticación y
registros antivirus.
S. tiene diferentes tipos de herramientas: adquisición de datos, análisis de imágenes,

informes de casos, duplicación de imágenes y desinfección de escritorio.
a. b. c.
Análisis forense de la red Gestión de incidentes
Respuesta: B
Módulo 03: La ciencia forense digital tiene diferentes tipos de herramientas: adquisición
de datos, análisis de imágenes, informes de casos, duplicación de imágenes y
desinfección de escritorio.
Capítulo 4: Solicitar rastreador para el manejo de
incidentes
Temas
• ¿Qué es Request Tracker?
• ¿Por qué usar Request Tracker?
• Solicitar componentes de respuesta a incidentes del rastreador
¿Qué es Request Tracker?
Un sistema de venta de entradas desarrollado por las mejores prácticas y cuenta con
características ricas y altamente personalizables y distribuidas de forma gratuita. Utiliza
varios complementos que se pueden agregar al rastreador de solicitudes básico. El
rastreador de solicitudes sigue un diseño muy flexible que permite su uso con muchos
motores de base de datos. La interfaz principal para el rastreador de solicitudes es a
través de un navegador web. El rastreador de solicitudes se puede integrar con las
puertas de enlace de correo electrónico para enviar notificaciones por correo
electrónico. El rastreador de solicitudes proporciona un gran conjunto de API que lo
permiten integrarse con otros sistemas. ¿Por qué usar Request Tracker?
Ayuda a mantener el flujo de trabajo organizado mientras evita que los equipos se
vuelven locos. Cada conversación es identificada y rastreada. El rastreador de
solicitudes se puede utilizar como base de conocimiento dentro de una organización. El
rastreador de solicitudes se puede utilizar para la gestión de incidentes. Seguimiento de
solicitudes Se utiliza para realizar un seguimiento del flujo de trabajo mediante el
seguimiento de la persona que es responsable de completar una determinada tarea
Tiene la capacidad de realizar un seguimiento de absolutamente todo y proporciona
un motor de búsqueda muy eficiente.
Solicitar componentes de respuesta a incidentes del rastreador

Entradas: Cada una tiene un número de identificación único y un propietario. Llevan un
registro de la correspondencia. Colas: agrupa los vales relacionados y cada cola tiene
su propio control de acceso y campos personalizados.
Más componentes
Informes de incidentes: Informes que indican que algo es "equivocado". Investigaciones:

Los intentos del equipo de IH de resolver un problema.
Bloques: Realice un seguimiento de la intervención a nivel de red frente a incidentes de

amenazas: Ate todo. Presentar un informe de incidentes: un cliente o un empleado
emite un informe de incidentes que indica que algo salió mal o que pide ayuda. Crear
un incidente: se utiliza para realizar un seguimiento y une todos los informes relacionados.
Los incidentes son privados y clasificados. Poner en marcha una investigación: Objetivos
para la investigación y el descubrimiento de causas. Puede incluir conversación con
socios externos (expertos externos, fuerzas del orden, ISP). Iniciar un bloque: A veces es
apropiado bloquear el tráfico dentro de la red. Los registros de bloqueos de red se
podrían utilizar para actualizar ftrewalls y es opcional.
Capítulo 5: Respuesta preliminar
Temas
• Antecedentes
• Windows
• Linux
Fondo
El equipo debe crear un kit de herramientas de respuesta con una ROM de CD de

confianza, todas las herramientas y comandos que necesita ejecutar deben estar en el
kit y no ejecutar los comandos del sistema operativo desde el sistema bajo examen. No
se pueden recopilar pruebas sobre el sistema objeto de examen. Utilice Netcat para
canalizar los resultados del comando al sistema del respondedor.
Qué buscar
Como respondedor, usted querrá responder a las preguntas iniciales:
• ¿Quién encontró el incidente?
• ¿Ahora se descubrió el incidente?
• ¿Cuándo ocurrió el incidente?
• ¿Cuál fue el nivel de daño?
• ¿Dónde se inició el ataque?
• ¿Qué técnicas se estaban utilizando para comprometer el sistema? ATENCION ¿No le

corresponde a:
• Escribir en el medio original
• Matar cualquier proceso
• Meddle la marca de tiempo
• Utilice herramientas que no sean de confianza

• Meddle el sistema (reiniciar, parchear, actualizar o reconfigurar el sistema)
Volatilidad
Si desactiva el sistema, perderá:
• Registros, contenidos de caché • Estado de las conexiones de red
• Contenidos de memoria • Estado de los procesos en ejecución
Lo primero es lo primero
Primeras piezas de información para reunir
• Fecha y hora del sistema • Puertos abiertos actuales
• Procesos actuales en ejecución y • Aplicaciones que escuchan en los

activos sockets abiertos
• Conexiones de red actuales • Usuarios actuales de inicio de sesión
Windows
Eventos de registro
Cuando esté mirando los eventos de registro, querrá usar Windows 'Event Viewer
(ejecute eventvwr.msc). El evento sospechoso incluye:
• "Event log service was stopped"
• "Windows File protection is not active in this system"
• El archivo del sistema protegido (nombre de archivo) no se almacenó en su versión

original válida porque Windows File Protection.?
• 'El servicio Microsoft Telnet ha comenzado con éxito
• Gran número de intentos fallidos de inicio de sesión
Servicios
Cuando esté mirando los servicios, querrá usar el 'Administrador de tareas" de Windows
(ejecutar taskmgr.exe). Compruebe los procesos con un usemame de ''SYSTEM- o
"Administrador. Ejecutar "net start" y buscar sospechoso
servicios de red instalados. Ejecute "services-msr y busque servicios de red inusuales

iniciados. Debería haberse establecido una línea de base de los procesos y servicios
normales.
Uso de la red
Ejecuta la "vista neta n.o 127.0.0.1" y comprueba si hay recursos compartidos de archivos
inusuales en el sistema informático. Ejecute "sesiones netas" y compruebe quién ha
iniciado una sesión abierta actual. Ejecute "net use" y compruebe con quién esta
máquina ha iniciado una sesión. Ejecute -nbtstat -s' y compruebe el NetBIOS sobre la
actividad TCP/IP. Ejecute enetstat • ano" y compruebe los puertos de escucha inusuales
y el identificador del proceso de propiedad.
Tareas programadas
Ejecute los comandos "at" o "schtasks" o utilice la interfaz gráfica de usuario del
programador de tareas. Compruebe las tareas programadas por 'SYSTEM' o con un
nombre de usuario en blanco Compruebe los directorios de inicio automático de los
usuarios:
• C: - Documentos y configuracionesMUserNamel - Menú Inicio - Programas - Inicio
• C: ? Winnt - Perfiles ( Nombre de usuario) - Menú Inicio - Programas - InicioAccounts
Ejecute "lusrmgr.msc" y compruebe las cuentas bloqueadas. cuentas recién creadas y

compruebe el grupo Administradores.
Herramientas
Analizador del Registro de Windows - RegExtract Network Usage Information - Fport

System and Process Analysis - Sysinternals and MIR-ROR
Eventos de registro de Linux
Estos archivos de registro se encuentran en /var/log. Los eventos sospechosos incluyen:

• "Modo promiscuo"
• Gran número o fallos de inicio de sesión (locales o remotos)
• Comprobar registros de todos los servicios remotos (telnetd. sshd)
• Programas RPC con entradas de registro con un gran número de caracteres de

almacenamiento
• Sistemas Apache o Mayor número de entradas que digan "error" o Gran número de
reinicios Gran número de reinicios de aplicaciones
Procesos
Ejecute "top o
•ps aux' para comprobar si hay procesos con privilegios raíz (MD 0). Ejecute "Isof -p (pid)"
para mostrar todos los archivos y puertos abiertos mediante un solo proceso. Es mejor
tener "chkconflg" para comprobar los procesos en ejecución. Se necesita una línea de
base de los procesos normales.
Uso de la red
Ejecutar "netstat -nap - enumera los puertos de escucha
• Run1501-1" - enumera los procesos de escucha en los puertos
• Ejecutar "arp -a" - buscar evidencia de envenenamiento arp
• Ejecutar "ip link 1 grep PROMISC" - comprobar promiscuo hecho
Tareas programadas
• Ejecute acrontab -u root -r - comprobar las tareas programadas por las cuentas DID 0
• Runt "cat /etc/crontab" - para revisar los trabajos cron • Ejecutar "Is /etc/cron", - lista
de trabajos cron de todo el sistema.
Cuentas
• Ejecutar "sort -nk3 -t: /etc/passed I less" -comprobar si hay nuevas cuentas y para UID
inferior a 500
• Ejecutar "grep :0: /etc/passwd" - comprobar si hay cuentas con UID 0
• Ejecutar "encontrar / -nousuario -imprimir" - comprobar si hay archivos sin uso y

potencialmente evidencia de una cuenta de hacker que ha sido dele dele Ted
Archivos
• Ejecutar "find /
•uid 0 -perm 4000 -print" -comprobar archivos raíz SUID
• Ejecutar "encontrar /
•tamaño
•9000k
•imprimir" - comprobar si hay archivos grandes
• Ejecutar "encontrar / -nombre " -impresión" - archivos con espacios en el nombre
• Ejecutar "Isar
•I.1 " - comprobar los procesos de acceso a archivos ocultos y evidencia de archivos
ocultos
• Ru • n "rpm -Va I sort" - comprobar archivos con información de rpm diferente o

modificada o Tamaño o modo (permisos) o M DS o Número de dispositivo o Ruta de
enlace o Propiedad o Tiempo de modificación
Herramientas - Tripwire y AIDE

Chapter 6: Identificación y Respuesta Inicial
Temas
• Antecedentes • Analizar
• Clasificar incidentes • Documentación de incidentes
• Signos de incidentes • Priorización de incidentes
• Recibir • Notificación de incidentes
Fondo
Determine si se ha producido un incidente y, si es así, cuál es su naturaleza y gravedad.

Los incidentes pueden detectarse a través de varios medios, pero con diferentes niveles
de información y confianza. El volumen de señales de incidentes es relativamente
enorme. Se requieren conocimientos técnicos para obtener resultados de análisis fiables.
Clasificar incidentes
Los incidentes pueden ocurrir de innumerables maneras. Con el tiempo, es importante

desarrollar un para manejar todo tipo de incidentes. Las categorías comunes de
incidentes incluyen:
• Denegación de servicio • Uso inapropiado
• Código malicioso • Múltiples componentes
• Acceso no autorizado
Establezca un conjunto común de signos para activar cada categoría. Señales de

incidente
Una indicación puede haber ocurrido o puede estar ocurriendo ahora
Los ejemplos de indicación incluyen:
• Bloqueo del servidor web
• IDS alertando un desbordamiento de búfer contra un servidor FT P

• Alerta antivirus de un gusano
• Los usuarios experimentan un acceso lento a Internet
• Una aplicación registra varios intentos fallidos de inicio de sesión desde un host remoto
desconocido
Un precursor puede ocurrir en el futuroEjemplos de precursores incluyen.
• Una alerta IDS que muestra el uso de un escáner de puertos
• Un registro de aplicación web que muestra el uso de un wanner de vulnerabilidad
• El n nombre de un nuevo weskit; que apunta a la versión exacta del servidor del centro
comercial
• La amenaza de un grupo de fondo que indica Su intención de atacar a la

organización
Recibir
Implementar el sistema a w-atch, monitor. y recopilar información Identifique áreas

donde existe poca o ninguna supervisión y visibilidad e Implemente sensores para recibir
y recopilar datos. Los sensores pueden ser electrónicos o humanos.
Analizar
El análisis inicial debe comprometerse con los datos después de que lleguen al
mecanismo de recopilación. Se debe proporcionar un análisis automatizado y manual
durante esta fase
• Análisis automatizado y alertas
• Capacidad para analizar y determinar falsos positivos
• Recopilar, administrar y archivar eventos
• Permitir a los analistas la capacidad de profundizar e investigar datos de una manera

inteligible
• Permitir que varios analistas trabajen juntos o pasen la investigación a otros analistas
• Extracción de datos e informes
Documentación de incidentes
Comience a registrar todos los hechos relacionados con un incidente inmediatamente.

Registre cada paso dado durante el proceso de gestión de incidentes. Todos los eventos
deben tener la marca de tiempo para mostrar la hora en que se produjo el evento. Un
sistema de seguimiento debe ofrecer información sobre el estado del incidente.
Priorización de incidentes
Un punto de decisión crítico donde los incidentes no se pueden manejar por orden de
llegada. Los factores prioritarios
• Impacto potencial (actual y potencial)
• Criticidad de los recursos afectados
Puede elaborar su propio esquema de clasificación de incidentes.
Notificación de incidentes
Una vez que el incidente es analizado y priorizado, las entidades indicadas deben ser
notificadas. Los informes oportunos permitirán a las personas y organizaciones
desempeñar correctamente su función. Los requisitos exactos de información sobre
incidentes pueden variar entre las partes interesadas.
1. puede ser detectado a través de varios medios, pero con diferentes niveles de
información y confianza.
a. Forenses b. Incidentes c. Investigaciones
Respuesta. B
Módulo 06: Los incidentes pueden detectarse a través de varios medios pero con
diferentes niveles de información y confianza.
2. Algunas categorías de incidentes comunes son:
a. Denegación de servicio b. Código malicioso c. Acceso no autorizado d. Todo lo

anterior
Respuesta D
Módulo 06: Algunas categorías de incidentes comunes son la denegación de servicio,

el código malintencionado, el acceso no autorizado, el uso inapropiado y varios
componentes.
3. es un incidente que podría haber ocurrido o podría estar ocurriendo ahora.
a. Indicación b. Precursor
Respuesta. Un
Módulo 06: La indicación es un incidente que podría haber ocurrido o podría estar
ocurriendo ahora.
4. es un incidente que puede ocurrir en el futuro.
a. Indicación b. Precursor
Respuesta B
Módulo 06: Precursor es un incidente que puede ocurrir en el futuro.
S. Verdadero o Falso. No es necesario realizar un análisis inicial de los datos después de

que lleguen al mecanismo de recopilación.
a True b. False
Respuesta B
Módulo 06: El análisis inicial debe realizarse en los datos después de que lleguen al
mecanismo de recolección.
Capítulo 7: Sysinternals
Temas
• Antecedentes
• Gestión de procesos
• Autoruns
• Pstools
• Disco
• Seguridad
• Red
Fondo
Sysintemals es un conjunto de más de 70 herramientas que se desarrollaron para ser

utilizados como utilidades de diagnóstico y solución de problemas para plataformas
Microsoft Windows. Desarrollado por Mark Russinovich y Bryce Cogswell y se distribuye
de forma gratuita. Desempeña un papel vital en el manejo de incidentes y forenses.
Puede descargarlos directamente desde technetmicrosoft.com/sysinternals. Ejecutarlos
directamente utilizando sysinternals en vivo en servicelive.sysinternals.com. Ejecutarlos
directamente desde un dispositivo extraíble.
Gestión de Procesos
Process Explorer: Se considera una de las herramientas más famosas de la suite.

Proporciona una forma muy sofisticada de comprender qué procesos se ejecutan en el
sistema y ayuda a identificar el uso de CPU y otros recursos en un momento dado. tiene
un montón de características, que ayudan al administrador en la gestión de procesos.
Monitor de procesos: es una herramienta de registro avanzada que captura información
detallada sobre el registro, los archivos, los procesos y la actividad de la red. Puede
mostrarle qué operaciones de bajo nivel está realizando un determinado proceso en un
icono específico, cuándo se produjeron y cuánto tiempo tardaron. Dice si tuvieron éxito
o por qué fracasaron. Proporciona capacidades de filtrado y resaltado potentes y
flexibles para que pueda encontrar rápidamente los eventos de interés para usted.
Autoruns
Windows ofrece la Utilidad de configuración del sistema (msconflg.exe). que

proporciona cierta información a esas aplicaciones. Sin embargo, muestra solo un
subconjunto de ellos y es de facilidad de uso limitada. Autoruns es una herramienta que
proporciona una visión más detallada de Autostarts -aplicaciones que se ejecutan sin
necesidad de usuario
prompt - y hace que sea fácil de desactivar o eliminar esos Inicios Automáticos.
Pstools
Una colección de 12 utilidades, que tienen interfaz de usuario de consola y están

diseñadas para ejecutarse en un símbolo del sistema Funcionan en el equipo local, así
como en equipos remotos. Psexec ejecuta procesos tanto locales como remotamente
con salida redirigida.
Disco
Estas utilidades se desarrollan y utilizan con dispositivos de almacenamiento. Su trabajo

principal es supervisar el rendimiento y el estado de los discos, ver su información
detallada y registrar las operaciones realizadas en ellos (como leer y escribir). Disk
Monitor es una utilidad de supervisión en tiempo real que registra la actividad del disco
duro a nivel de sector. registra todas las operaciones de disco (lectura/escritura) e
identifica el disco y el número de sector, la cantidad de datos implicados y la duración
de cada una de las operaciones. La vista de disco es una gran herramienta para
mostrarle una representación gráfica orientada al plumero de un volumen con formato
NTFS, lo que le permite determinar en qué clúster se encuentra un archivo y si un archivo
está fragmentado o no. o determinar qué archivo ocupa un sector en particular.
Seguridad
Sysintertuds proporciona un conjunto de utilidades dirigidas a la investigación de

seguridad y managernem. Sigcheck es una herramienta de línea de comandos que se
utiliza para verificar las firmas digitales de archivos y la lista de hashes Ilk. Es muy útil en el
manejo de incidentes con el fin de wordy el Integnty y la autenticación de las moscas-
Red
Tcpview. Software GUI que muestra listas detalladas y de up•to-bate o todas las
conexiones TCP y UDP desde y hacia el sistema.
1. Se considera que es una de las herramientas más famosas de la suite Sysinternals.
a b.
Monitor de procesos de PsTools Process Explorer
Respuesta. B
Módulo 07: Process Explorer está considerado como una de las herramientas más
famosas de la suite Sysinternals.
2. ejecuta procesos tanto locales como remotamente con salida redirigida.
a. Psexec b. Process Explorer c. Process Monitor
Respuesta. Un
Módulo 07: Psexec ejecuta procesos tanto locales como remotamente con salida
redirigida
3. Es una utilidad de monitoreo en tiempo real que registra la actividad del disco duro a
nivel de sector.
un Diskviewb. Monitor de disco c. Utilidades de disco d. Sigcheck
Respuesta: B
Módulo 07: El monitor de disco es una utilidad de supervisión en tiempo real que registra
la actividad del disco duro a nivel de sector. 4. Es una gran herramienta para mostrarle
una representación gráfica orientada a clústeres de un volumen con formato NIBS, que
le permite determinar en qué clúster se encuentra un archivo y si un archivo está
fragmentado o no, o determinar qué Ale ocupa un sector en particular.
a. Diskview b. Monitor de disco c. Utilidades de disco d. Sigcheck
Respuesta. Un
Módulo 07: Utilidades de disco es una gran herramienta para mostrarle una
representación gráfica orientada al clúster de un volumen NTFS.formatted, que le
permite determinar en qué clúster se encuentra un archivo y si un archivo está
fragmentado o no, o determinar qué archivo ocupa un sector en particular.
S. es una herramienta de línea de comandos que se utiliza para verificar la firma digital
de Ales y la lista de hashes de archivo.
a. Diskview b. Monitor de disco c. Utilidades de disco d. Sigcheck
Respuesta. D
Módulo 07: Sigcheck es una herramienta de línea de comandos que se utiliza para
verificar la firma digital de Ales y la lista de los hashes.
Capítulo 8: Contención
Temas
• Antecedentes • Procedimientos de contención
• Elección de una estrategia de • Hacer recomendaciones

contención
Fondo
La contención siempre sigue la confirmación de dicho incidente. La acción tomada

para evitar más intrusiones o daños y eliminar la causa del problema. Es posible que
deba desconectar los sistemas afectados, cambiar las contraseñas y bloquear algunos
puertos o conexiones de algunas direcciones IP.
El objetivo es detener la pérdida potencial de datos confidenciales. Evitar más daños al

sistema y/o información comprometidos. Proteja otros equipos e información en la red
del campus e Internet (por ejemplo, evitar que el malware se propague a otros equipos
dentro o fuera del campus). Identifique la ubicación y el propietario de los equipos para
que puedan participar en la contención. erradicación y recuperación.
A veces, la contención puede necesitar ser retrasada para monitorear la actividad del
atacante. Por lo general, para recoger más pruebas. El riesgo del sistema comprometido
podría dar lugar a responsabilidades legales. Consulte con el director de seguridad
antes de decidir retrasar la contención.
Elegir una estrategia de contención
Las estrategias de contención varían en función del tipo de incidente. La estrategia para
contener una infección por malware transmitida por correo electrónico es muy diferente
de la de un ataque de Distributed Dental-of-Service basado en la red
Los criterios para determinar la estrategia adecuada incluyen:
• Posible daño a los recursos
• Robo de recursos
• Necesidad de preservación de pruebas
• Disponibilidad del servicio
• Tiempo y recursos necesarios para implementar la estrategia
• Efectividad de la estrategia
• Duración de la soluciónEn ciertos casos, algunas organizaciones redirigir al atacante a

un entorno limitado (una forma de contención) para que pueda naser la actividad del
atacante. por lo general para reunir evidencia adicional. El equipo de respuesta a
incidentes debe discutir esta estrategia con su departamento legal para determinar si
es factible. Despliegue el equipo de incidentes en el sitio de incidentes cuando esté
brumoso. Mantenga el equipo pequeño donde cada miembro podría ser llamado
como testigo si el caso va a la corte
Asegure el área y el equipo/ordenador si es posible/necesario. Bien significado los

administradores y usuarios pueden destruir valiosas pruebas digitales. Mantenga la
información confidencial de incidentes segura. Solo comparta información con esas
personas sobre una base de necesidad de saber.
Recopilar y revisar la información de incidentes:
• Encuesta el entorno y la información de incidentes recopilada hasta el momento
• Revise cualquier procedimiento. listas de verificación o formularios
• Realizar entrevistas in situ, si es necesario Utilice dispositivos de audio y vídeo para

ayudar en la "toma de notas"
• Revisar los registros de los sistemas vecinos. firewalls, sistemas de detección de

intrusiones y servidores sysiog
Procedimientos de contención
Identifique la ubicación y/o el propietario de los sistemas involucrados en el incidente

comprobando cualquiera de los siguientes:
• Tablas ARP de red para asignar la dirección IP a una dirección MAC

• Registros DHCP para la dirección MAC y el nombre de host
• "nbtscan- comando para consultar el host NetBIOS Information Impulse SafeConnect

(o el sistema de control de acceso a la red actual) para el equipo registrado del
estudiante en el equipo de estudiante registrado en el equipo de estudiante registrado
en el equipo de estudiante registrado en el equipo de estudiante registrado en el equipo
de estudiante registrado en el equipo de estudiante registrado en el equipo de
estudiante registrado en el equipo de estudiante registrado en el equipo de estudiante
registrado en el equipo estudiante registrado en el equipo estudiante registrado en el
equipo de estudiante registrado en el equipo de estudiante registrado en el equipo de
estudiante registrado en el equipo de estudiante registrado en el equipo de estudiante
registrado en el residencias
• Información de "netsum" en unix.lcsu.edu
• Software de gestión de dispositivos de red 'Nomad'
• Sistema de gestión QRadar log Me
Determine si el equipo necesita tener su acceso de red bloqueado. Si es así, esto puede
ser logrado de varias maneras por el equipo de la red CTS:
• En el puerto del switch, la interfaz del router, el borde del campus
• Bloquee la dirección MAC en todas las redes inalámbricas del campus (asegúrese de
bloquearla en todas las redes inalámbricas, no solo en las salas de residencia. Además,
bloquee la interfaz de red cableada para el mismo equipo si se conoce)
• Desactivar el acceso al módem de acceso telefónico
• Desactivar el acceso VPN
• Si el dispositivo infractor es un punto de acceso inalámbrico no autorizado, su conexión

a la red de datos de K-State debe bloquearse o eliminarse
• Esto puede ser a través del puerto del conmutador de red al que está conectado, o
localizando físicamente el dispositivo y desenchufándolo.
Mantenga una lista de equipos bloqueados en un sitio protegido con contraseña y al
que solo se pueda acceder desde las direcciones IP del campus. Este sitio enumera la
dirección IP, la dirección MAC, la ubicación del edificio, el nombre de NetBIOS si se
conoce, el motivo del bloque y la fecha del bloque. El procedimiento para
bloquear/desbloquear equipos comprometidos debe publicarse en un sitio y
mantenerlo accesible para los usuarios. Una alternativa al bloqueo de todo el acceso a
la red es poner el equipo en una cuarentena de red que redirige su tráfico de red a un
servidor web con instrucciones para el propietario sobre cómo proceder. Esto se puede
hacer en Impulse SafeConnect.
Puede haber casos en los que un protocolo específico o un puerto UDP/TCP necesite ser
bloqueado en el borde del campus o en alguna otra interfaz de red para evitar la
propagación del malware o para proteger el campus de nuevos ataques. Consulte al
equipo de seguridad si considera esto, ya que tendrán que implementarlo en los firewalls
del campus o en las listas de controles de acceso del enrutador.
Hacer recomendaciones
Haga recomendaciones sobre si los sistemas/sitio afectados deben permanecer

operativos, eliminados de la red o apagarse por completo.
• ¿Cuál es el riesgo de continuar las operaciones?
• Consulte con los propietarios del sistema cuando sea necesario
• Registre sus recomendaciones y comuníquelas con comando y control o Reciba

autorizaciones o Comunique decisiones o Asigne responsabilidades
Establecer intervalos para actualizaciones periódicas y comunicación. Comando de

actualización
•control, miembros del equipo RT, grupos de apoyo. propietarios de sistemas y otras
partes enlazadas en los progresos realizados.
Capture Digital Evidence con datos de estado actuales del sistema* y copia de
seguridad/copia forense de la(s) unidad(es):
• Utilice herramientas forenses cuando sea posible Capturan todo el disco incluyendo
archivos borrados o Le permiten demostrar que la copia de seguridad no ha sido
manipulada
Cuidado con las trampas explosivas
• Los binarios del sistema pueden producir resultados falsos o Por ejemplo, el comando
ps en un servidor Linux comprometido puede ser una versión hackeada y no reture los
procesos de hackers o Asegúrese de que su kit de respuesta tiene los binarios que
necesita
• Dispositivo homing que alerta a los intrusos
• Si la red fuente de intruso se encuentra, no haga ping, dedo, telnet la fuente, ya que
esto puede incitar al atacante a cubrir sus huellas
Cambie las contraseñas de las cuentas que interactúan con los sistemas afectados. Si
se encuentra un sniffer, amplíe la solicitud de cambio de contraseña a todos los sistemas
y usuarios que posiblemente se vean comprometidos. No escatimes en este paso) Lo
peor que puede suceder es que todo el esfuerzo de respuesta se va a desperdiciar
debido a una repetición causada por credenciales comprometidas.
i. La contención verdadera o falsa siempre sigue a HR.confirmation de dicho incidente
a True b. False
Answcr. Un
El módulo 08 La contención siempre sigue la confirmación de dicho incidente.
2 Un miembro del equipo podría ser enjaulado a él un perro en el perro.
a. Acusado b Fiscal c. Testigo d. ido de estos
Respuesta: C
Módulo 08. Usted querrá mantener sus equipos pequeños porque cada miembro podría
ser llamado como testigo .1 en el caso va a la corte.
3 Mantenga una lista de computadoras en un sitio que sea protetado por pasword•y al
que solo se pueda acceder desde las direcciones IP del campus
a Desbloqueado b. Bloqueado
Respuesta: B
Módulo 08: Mantenga una lista de equipos bloqueados en un sitio protegido con
contraseña y al que solo se pueda acceder desde las direcciones IP del campus.
4. Si hay un incidente, recomendamos cambiar para todas las cuentas que interactúan
con el sistema Impacted.
a b. C
Contraseñas Control de acceso Imágenes del ordenador
Respuesta: A
Módulo 08: Si hay un incidente, recomienda cambiar las contraseñas de todas las
cuentas que interactúan con el sistema impactado.
S. Verdadero o Falso. Cambie las contraseñas de las cuentas que interactúan con los
sistemas afectados.
a True b. False
Respuesta. Un módulo 08: cambie las contraseñas de las cuentas que interactúan con
los sistemas afectados.
Capítulo 9. Erradicación
Temas
• Antecedentes
• ihriredui es for Eradkation
Fondo
La erradicación siempre sigue la contención de esos imidentes. Las acciones) tomadas

para eliminar la causa del incidente Los pasos que se toman aquí varían en función del
tipo de incidente. El objetivo es presentar evidencia si aún no se ha hecho Usted necesita
realizar un análisis adicional; según sea necesario. para completar la investigación
Necesita mitigar el vector de ataque para que no se produzca un incidente similar (por
ejemplo, parchear la vulnerabilidad utilizada para poner en peligro el sistema).
Procedimientos para la erradicación
Determine el alcance completo del incidente averiguando cuántos sistemas afectó y

necesitó ser reparado. Debe tener en cuenta lo siguiente para determinar la causa del
incidente:
• Aislar ataque: Dónde se originó y qué afectó
• Debe saber qué sucedió y qué se vio afectado para recuperarse del incidente
• Se debe realizar un análisis en profundidad de toda la información
• Determinar dónde se originó el ataque y qué afectó. Si puede determinar

exactamente lo que sucedió, utilice la información disponible para determinar los
escenarios más probables para que se puedan tomar medidas de seguimiento para
defenderse de ataques futuros
• Ejemplos de información que se puede analizar o Sistemas vulnerables, servicios(s) y/o
personal que fueron explotados o Archivos de registro del sistema o registros ISP o
registros de Hawái o Registros de enrutador o Registros web o Registros de acceso o
Registros antivirus o E-mall
Realice análisis adicionales. que pueden incluir:
• Buscar malware mediante la ejecución de un análisis antivirus y / o software de

detección de rootkit. o en busca de archivos específicos que se sabe que están
asociados con amenazas actuales
• Recuperar archivos eliminados y fragmentos de archivos • Realizar un análisis de

vulnerabilidades
• Compruebe si hay procesos en ejecución inusuales y entradas de registro sospechosas.

especialmente aquellos que se ejecutan en el arranque
• Determinar los puertos de red abiertos y los procesos que escuchan esos puertos
• Tome una captura de paquetes de red y analice el tráfico de red • Datos de flujo de
red de Analyre
• Analizar los mosaicos de registro para una actividad inusual
• Buscar datos confidentul que pueden haberse perdido en los analistas iniciales
Defiende de los ataques de follnw-on
• Soluciones a corto plazo a Memd inmediatamente contra ataques adicionales

Defiende inmediatamente de posibles ataques de seguimiento. Una vez identificados
los sistemas y servicios vulnerables. implementar la seguridad adecuada, tanto
técnicos y de procedimiento, para dosis vulnerabilidades conocidas o Cambiar las

contraseñas que pueden haber sido comprometidas o Habilitar el registro adicional.
controles de acceso y políticas de seguridad
Más defensas:
• Configurar reglas de firewall y otras ACL y habilitar el registro detallado

• Utilice una política de denegación predeterminada para aislar segmentos de red y
supervisar el tráfico malintencionado
• Bloquear y registrar el tráfico de amenazas entrante y saliente conocido
• Implementar IDS y firmas actualizadas en infectados sistemas o segmentos de red para

ayudar a garantizar la erradicación de todos los sistemas
• No vuelva a conectar un sistema comprometido hasta que el ataque haya sido

analizado y entendido, y el sistema haya pasado por procedimientos de erradicación
adecuados
• En algunos casos, el sistema puede no ser reconectado, sino más bien,

reimplementado en un sistema operativo más seguroAnalizar amenaza y vulnerabilidad
• Ampliar el alcance y el análisis de su entorno Utilice herramientas de vulnerabilidad

para determinar otros sistemas que puedan vulnerables o comprometidos basado en
host Network bawd teit ilize un experto en seguridad de terceros 3'4 para ayudar con las
evaluaciones de vulnerabilidad Buscar vulnerabilidades y sistemas explotados
Retire el Caín del incidente
• Virus/Malware: Eliminar y erradicar • Desconectar acuñado sistemas de la

todos los virus red y realizar análisis forenses
• Ilse ant onrus software para todos los • Monitorear el tráfico de la red en
sistemas y medios busca de actividad maliciosa
• Trabajar con el proveedor de AV para • Personal

bard para eliminar los leones de entrada
• Los empleados pueden ser la causa
• Intrusiones de red principal
• Bloquear el acceso a la red a menos • Falta de capacitación o errores en los

que la aplicación de la ley quiera sistemas
supervisar al atacante
• Intención maliciosa
• Desconectar al atacante
• Espionaje
• Ganancia monetaria • Trabajar con la administración y los
recursos humanos para determinar el
curso de acción adecuado
Determine si se requiere un reformatear/reinstalar. Los compromisos que permiten el

control remoto del sistema, obtener privilegios de root/administrador y/o instalar una
puerta trasera requieren un completo. reinstalar limpiamente o el sistema para la
erradicación. Es aceptable reformatear el disco duro y volver a instalarlo desde una
cinta de copia de seguridad antes del compromiso, al igual que la restauración a partir
de una imagen limpia para aquellos sistemas que utilizan tecnología de imágenes de
disco como Symantec Ghost. Tenga en cuenta que la reinstalación debe producirse sin
exponer el sistema vulnerable a la red del campus y a Internet.
Localice la copia de seguridad limpia más reciente:
• Buscar una copia de seguridad muy reciente antes de una intrusión • En caso de un
ataque de estilo rootkit, no utilice copias de seguridad • Si hay evidencia de un ataque
de estilo rootkit, puede ser mejor evitar las copias de seguridad. En su lugar, vuelva a
formatear el disco, vuelva a generar el sistema operativo (sin la vulnerabilidad y vuelva
a cargar las aplicaciones y los datos
Tome las medidas apropiadas para poner en línea un sistema limpio
• Eliminar/limpiar el malware
• Utilice copias de seguridad para restaurar el sistema
• Se debe tener mucho cuidado para asegurarse de que la copia de seguridad no se

ha visto comprometida
• La fecha y hora de ataque y explotación debe determinarse, si es posible. Elija copias

de seguridad antes del incidente
• Reinstalar/Reconstruir sistema. Si las copias de seguridad no se pueden utilizar o no

están disponibles, es posible que sea necesario realizar una reconstrucción del sistema
• Asegúrese de que se han solucionado vulnerabilidades anteriores antes de rodar

nuestra nueva compilación
• Nueva arquitectura. En algunos casos, es posible que sea necesario poner en línea
una nueva arquitectura mientras el sitio principal se desconecta
• Nuevo segmento de red con medidas de seguridad y control adicionales

1. siempre sigue la fase de contención de un incidente.
a. Preparación b. Seguimiento c. Erradicación d. Recuperación
Respuesta. C
Módulo 09: La erradicación siempre sigue la fase de contención de un incidente
2. Verdadero o Falso. Ataque aislado: Dónde se originó y qué afectó.
Respuesta :A
Módulo 09: Aislar ataque: Dónde se originó y qué afectó.
3. En Erradicación, realice análisis adicionales, que pueden incluir:
a. Recuperar archivos eliminados y fragmentos de archivos b. Realizar un análisis de

vulnerabilidades
C. Compruebe si hay procesos de ejecución inusuales d. Todo lo anterior
Respuesta. D
Módulo 09: Realizar análisis adicionales, que pueden incluir: Buscar malware mediante
la ejecución de un antivirus y / o software de detección de rootkit, o buscando moscas
específicas que se sabe que están asociadas con amenazas actuales, recuperar
archivos eliminados y fragmentos de archivos, realizar un análisis de vulnerabilidades, y
comprobar si hay procesos en ejecución inusuales y entradas de registro sospechosas,
especialmente los que se ejecutan en el inicio.
4. Verdadero o Falso. Los compromisos que permiten el control remoto del sistema,
obtener privilegios de root/Admhilstrator y/o Instalar una puerta trasera requieren una
reinstalación completa del sistema.
Respuesta A
Módulo 09: Los compromisos que permiten el control remoto del sistema, obtener
privilegios de root/administrador y/o instalar una puerta trasera requieren una
reinstalación completa del sistema.
S. Verdadero o Falso. Si hay evidencia de un ataque de estilo rootldt debe instalar desde
las copias de seguridad más recientes.
Respuesta. B
Módulo 09: Si hay evidencia de un ataque de estilo rootkit, puede ser mejor evitar las
copias de seguridad. En su lugar, vuelva a formatear el disco, vuelva a generar el sistema
operativo (sin la vulnerabilidad y vuelva a cargar las aplicaciones y los datos.
Capítulo 10: Recuperación
Temas
• Antecedentes
• Procedimiento de recuperación
Fondo
La quinta etapa en el proceso de manejo de incidentes. además de que debe seguir el

paso de erradicación. A continuación, tome medidas para restaurar el sistema a su
funcionamiento normal. Aquí desea restaurar el sistema al servicio normal y verificar la
operación realizada, así como la calidad del servicio/sistema. Vuelva a conectar el
sistema a la red, restaure a partir de copias de seguridad si es necesario e informe de
acciones para el equipo de decisión de comando, el personal de soporte de TI y el
servicio de asistencia.
Procedimiento para la recuperación
• Informe de los hallazgos o Informe de los hallazgos y el estado a las partes necesarias,
incluidos los propietarios de comandos y control y sistemas
• Restaurar sistema
o Realizar una evaluación de seguridad previa a la producción para asegurarse de que

el sistema comprometido y sus componentes relacionados están protegidos
• Restaurar el sistema o Restaurar a partir de copias de seguridad. Si es necesario o

Algunos incidentes, como código malintencionado, pueden requerir una restauración
completa de la operación a partir de copias de seguridad. En este caso, es esencial
determinar primero la integridad de la propia copia de seguridad. En general, la idea es
restaurar desde la copia de seguridad más reciente realizada antes de que el sistema
se vio comprometido o Hacer todo lo posible para asegurarse de que no está
restaurando código comprometido o Si no se han realizado copias de seguridad antes
de comprometerse, es posible que tenga que volver a cargar el sistema y aplicar
parches . o para obtener y utilizar una copia de seguridad de un sistema similar que no
se ha visto comprometido
• Validar el sistema o La gestión y los usuarios quieren saber si el problema ha
en realidad ha sido erradicado y que su sistema ha sido completamente restaurado o

Una vez que el sistema ha sido restaurado. verificar que la operación fue exitosa y el
sistema está de vuelta en su estado normal o Hay un plan de prueba del sistema para
evaluar el sistema contra o El sistema se ejecuta a través de sus tareas normales mientras
que está supervisado de cerca por una combinación de técnicas como la red
registradores y archivos del sistema o A veces los parches o técnicas utilizadas para
evitar una vulnerabilidad rausará el sistema para funcionar de manera diferente a lo que
lo hizo antes del evento o Una vez que los sistemas / sitios se han restaurado, comprobar
que la operación se realizó correctamente y que todos los los sistemas se restauran a las
operaciones normales
• Decidir cuándo restaurar las operaciones o Incertidumbre sobre si se ha eliminado todo

el código malicioso puede causar largos retrasos o Poner la decisión final en manos de
los propietarios del sistema
o Sugerimos que la gestión de los sistemas afectados y sus administradores de sistemas

tome estas decisiones con bastante frecuencia. es posible que deseen dejar el sistema
sin conexión durante un par de días para realizar una actualización del sistema
operativo o incluso para instalar parches o Algunas de las decisiones importantes a
tomar durante esta fase son:
• Operaciones de restauración de hora y fecha
• Cómo probar y verificar que los sistemas comprometidos son limpios y totalmente
funcionales La duración de la supervisión para observar comportamientos anormales
• Las herramientas para probar, monitorear y validar el comportamiento del sistema
• Monitorear los sistemas o Puertas traseras y otro código malicioso puede estar muy bien
oculta o Una vez que el sistema está de vuelta en línea, continuar monitoreando para
las puertas traseras que escaparon de la detección o Continuar monitoreando para la
actividad sospechosa
1. La recuperación es la etapa del proceso de incidente.
a.b. d.
Primera Tercera Quinta Quinta
Respuesta D
Módulo 10: La recuperación es la quinta etapa del proceso de incidente.
2. Verdadero o Falso. No es necesario informar de los hallazgos y el estado a las partes

necesarias, incluidos los propietarios de comandos y controles y sistemas.
Respuesta: B
Módulo 10: Informar de los hallazgos y el estado a las partes necesarias, incluidos los
propietarios de sistemas y comandos y control.
3. Verdadero o Falso. Sistema de restauración Está llevando a cabo una evaluación de

seguridad de preproducción para garantizar que el sistema comprometido y sus
componentes relacionados están protegidos.
Respuesta: A
Módulo 10: El sistema de restauración está llevando a cabo una evaluación de la

seguridad previa a la producción para garantizar que el sistema comprometido y sus
componentes relacionados estén protegidos.
4. Verdadero o Falso. Una vez que el sistema se ha restaurado, verifique que la operación
se realizó correctamente y que el sistema está de nuevo en su estado normal.
Respuesta. Un
Módulo 10: Una vez que el sistema se ha restaurado, verifique que la operación se realizó
correctamente y que el sistema está de nuevo en su estado normal.
S. Verdadero o Falso. Supervise los sistemas y busque (o puertas traseras y otro código
malicioso
a. Verdadero
b. Respuesta falsa. Un
Módulo 10: Supervise los sistemas y busque puertas traseras y otro código malicioso.
Capítulo 11: Seguimiento
Temas
• Antecedentes • Procedimiento de seguimiento.arriba
Fondo
El paso final del proceso de incidente es seguir. hacia arriba. Siga siempre el proceso de
recuperación. Siga los pasos realizados para que el incidente no pueda volver a
producirse. Haga recomendaciones para evitar que incidentes similares vuelvan a
ocurrir. Emitir informes finales. archivo evidente y documentación, y cerrar el incidente.
Procedimiento de seguimiento
Desarrollar un informe de seguimiento
• Problema
La experiencia debe ser capturada rápidamente Un informe de seguimiento,

incluyendo las lecciones aprendidas, es el método aceptado de proteger el
conocimiento para que pueda usar en el futuro
• Comience lo antes posible o Las personas que esperan hasta semanas después de
que el polvo se haya asentado aprender que la memoria humana, a diferencia del vino
fino, no mejora con el paso del tiempo
• Asignar la tarea al equipo en el sitio o Con el fin de hacer que la sección aprendida
de las lecciones sea tan positiva y efec tive como sea posible, la mayoría de los sitios
requieren que el equipo de manejo de incidentes para redactar el informe de lecciones
aprendidas como una parte integral de su manejo del incidente o El trabajo no está
terminado hasta que se hace el papeleo
• El informe del incidente es generalmente una versión electrónica de la Formularios de

identificación, encuesta, contención y erradicación
• Pida a las personas que preparen el informe que se centren en responder a las
preguntas sobre las lecciones aprendidas
• Aliente a todas las partes afectadas a revisar el proyecto
• Presentar las lecciones aprendidas junto con el proyecto de Informe de incidentes

para su revisión por todas las partes afectadas
• Intento de llegar a un consenso Reunir respuestas. desacuerdos, adiciones y

sugerencias de todas las partes interesadas o Anímelos a presentar sus respuestas
electrónicamente para que lo hagan rápidamente o conserven sus comentarios como
parte del registro
• Lleve a cabo una reunión de lecciones aprendidas o porque usted tiene recopiló
comentarios de todas las partes, y los distribuyó por adelantado, generalmente puede
planificar una reunión de lecciones aprendidas de una hora o Enfocar la reunión en el
recuento del incidente y ratificar cualquier cambio en el proceso
• Crear un resumen ejecutivo o Resumir el incidentes que induyen el costo y los impactos
para la administración o Incluir los costos de tiempo y dinero gastado tratando con el
incidente o Enviar el resumen a la gerencia con la promesa de que los cambios
recomendados seguirán
• Enviar los cambios recomendados a la administración
o Proporcionar a la administración un conjunto de cambios recomendados derivados

del proceso aprendido de las lecciones o Incluir un cálculo del costo. horario, y los
impactos de hacer o no hacer las acciones
• Implementar acciones aprobadas o Para esos cambios, que obtengan la aprobación

de la gerencia, asegúrese de que los cambios se realicen
Gestión de Pruebas
• ¿Es necesario conservar alguna evidencia durante más tiempo?
• Si es así, ¿durante cuánto tiempo y por quién?
• Liberar o destruir adecuadamente cualquier evidencia que ya no sea necesaria
Completar un informe posterior al incidente

• Los incidentes de seguridad con una categoría de gravedad de "alta" deben
completar un informe posterior al incidente
• El CIO puede solicitar un informe posterior al incidente para cualquier informe de

Seguridad IncidentArchive
• Archivar informes y otros documentos y comunicaciones relevantes ("producto de

trabajo") de acuerdo con la política y los procedimientos de retención de registros de k-
States
• Esto incluye archivos de registro, plazos, archivos recuperados, notas, datos de flujo de
red y correos electrónicos.
Cerrar tickets de incidentes en el sistema de seguimiento de incidentes
1. El paso final del proceso de manejo de incidentes es:
a Eradication b. Recuperación c. Seguimiento d. Contención
Respuesta C
Módulo 11: El seguimiento es el proceso final en el proceso de gestión de incidentes.
2. ¿Qué es una cosa que se debe crear durante la fase de seguimiento?
a Informe b. Plan c. Directrices d. Instrucciones
Respuesta:A
Módulo 11: Lo único que debe crear es un informe de seguimiento.
3. Con el fin de solucionar los problemas, usted debe llevar a cabo una reunión
aprendida.
a. Lecciones b. Procesos
Respuesta. Un
Módulo 10: Llevar a cabo una reunión de lecciones aprendidas
4. Verdadero o Falso. Debe crear un resumen ejecutivo.

Respuesta A
Módulo 11: Debe crear un resumen ejecutivo.
S. Verdadero o Falso. Archivar informes y otros documentos y comunicaciones

relevantes ("producto de trabajo") de acuerdo con la política y los procedimientos de
retención de registros de K-State.
Módulo 11: Informes de archivo y otros documentos y comunicaciones pertinentes

(«producto de trabajo») de acuerdo con la política y los procedimientos de retención
de registros de los Estados K.
Capítulo 12: Seguridad de la virtualización
Temas
• Antecedentes
• Componentes de virtualización
• Ataques de virtualización
• Identificar máquinas virtuales
Fondo
La virtualización de computadoras es ampliamente utilizada hoy en día debido a los

beneficios y ventajas que esta tecnología trae. Presenta problemas de seguridad
adicionales debido al hecho de que los sistemas de virtualización son más complejos y
requieren atención adicional en comparación con los dedicados convencionales.
Componentes Virtualizatlon
Hardware: todo el hardware físico que hospedará los sistemas operativos invitados, así
como el hipervisor. Hipervisor: una pieza de software que se utiliza para asignar sistemas
operativos invitados al hardware. Funciona como intermediario proporcionando a las
máquinas virtuales invitadas los recursos que necesitan. Sistemas operativos invitados:
Múltiples imágenes de diferentes sistemas operativos que se ejecutan en la parte
superior del hipervisor y cada uno de ellos aparecen como si tuvieran su propio
hardware dedicado.
Ataques de virtualización
Ataques de máquina virtual invitado: estos ataques se dirigen a las máquinas invitadas
mediante la explotación de vulnerabilidades en el sistema operativo de la máquina
virtual o los ataques de hipervisor de aplicaciones: estos ataques se dirigen al hipervisor
que se ejecuta en el hardware, este tipo de ataque explota vulnerabilidades en el
hipervisor y podría afectar a todas las máquinas virtuales invitadas que se ejecutan
encima de él. Ataques de escape del hipervisor: estos ataques se producen debido a
la vulnerabilidad del hipervisor. por lo tanto. permitiendo que una máquina virtual
invitada escape y ataque a otras máquinas virtuales violando el principio de separación
mencionado anteriormente.
Identificar máquinas virtuales
Inspeccione el sistema y/o el registro en busca de firmas de entorno de máquina virtual.

Algunos entornos de vIrtualhation insertan archivos específicos en los sistemas de
archivos de los Huéspedes con el fin de distinguirlos y administrarlos fácilmente. Estos
archivos se pueden utilizar para determinar que el sistema de destino es en realidad una
máquina virtual y no un sistema dedicado. Inspeccione la memoria principal del sistema
y busque las anomalías introducidas por el sistema de virtualización. Esto se hace
volcando archivos en la memoria de las máquinas y buscando referencias a máquinas
virtuales en la memoria del sistema.
Busque hardware virtual específico del entorno de máquina virtual. Concéntrese en

buscar hardware virtualizado específico, como tarjetas de red con direcciones MAC de
VMware, controladores USE y adaptadores de audio. Algunos entornos de máquinas
virtuales agregan SCSI con firmas especiales que indican que el sistema es realmente
una máquina virtual.
Busque instrucciones de procesador específicas de WME. Algunos entornos de

virtualización agregan instrucciones de máquina adicionales al conjunto de
instrucciones estándar de la máquina host, con el fin de fomentar la comunicación
Guest•to-Host.
1. Un software de pieza 01 que se utiliza para asignar los sistemas operativos invitados al
hardware.
Ha dw•re h. Hipervisor c. Sistema operativo invitado
Responder la
El hipervisor del módulo 12 es una pieza de software que se utiliza para asignar sistemas
operativos invitados al hardware.
2. Múltiples imágenes de diferentes sistemas operativos que se ejecutan en la parte

superior del hipervisor y cada uno de ellos aparecen como si tuvieran su propio
hardware dedicado.
a. Hipervisor de hardware r. Sistema operativo invitado
Respuesta C
Módulo 12 Un sistema operativo invitado es varias imágenes de diferentes sistemas

operativos que se ejecutan en la parte superior del hipervisor y cada uno de ellos
aparece como si tuviera su propio hardware dedicado.
3. Verdadero o Falso. La máquina virtual invitada ataca los ataques de arco dirigidos al
hipervlsor que se ejecuta en el hardware.
a True b. False
Respuesta: B
Módulo 12: Los ataques de máquina virtual invitado se dirigen a las máquinas invitadas
mediante la explotación de vulnerabilidades en el sistema operativo o las aplicaciones
de la máquina virtual.
4. Verdadero o Falso. Los ataques de hipervisor son ataques dirigidos al hipervisor que se
ejecuta en el hardware.
a True b. False
Respuesta: A
Módulo 12: Los ataques de hipervisor son ataques dirigidos al hipervlsor que se ejecuta
en el hardware.
S. Verdadero o Falso. ataques de escape liypervlsor se producen debido a una

vulnerabilidad del hipervisor.
a. Verdadero
b. Respuesta falsa: A
Módulo 12: los ataques de escape de liypervisor se producen debido a una

vulnerabilidad del hipervisor.
Capítulo 13: Manejo de incidentes de malware
Temas
• Categorías de Maiware
• Prevención de Maiware
• Respuesta a incidentes de malware
Categorías de malware
Historia de Malware
El malware no se hizo común hasta finales de la década de 1980:
• Virus y troyanos del sector de arranque
• Morris Worm en 1988
Años 1990:
• El uso ampliado del correo electrónico
• Número ampliado de usuarios de PC
• Virus interpretados (Melissa y La Carta de Amor)
• RATs: Orifice trasero
2000:
• Los gusanos prevalecen
• Los virus del sector de arranque se vuelven poco comunes
• Los virus macro se vuelven más comunes
• Ataques combinados: Nimda
• Ataques de código móvil o correos electrónicos basados en web
• Rootkits
• Registrador de claves
Virus
Virus informáticos - El tipo más común de malware:
• Un autorreplicante para otros programas de archivos u ordenadores
• La carga útil es el código del objetivo del virus
• El disparador es la condición que ejecuta la carga útil (Bomba lógica)
• Virus compilados
• Virus interpretados
Virus compilados - Un virus donde su código fuente se ha compilado en un formato

ejecutable:
• Infector de archivos: Un virus que se adjuntó a otro programa ejecutable
• Sector de arranque: infecta y reside en el sector de arranque maestro de un disco duro

o en el sector de arranque de un medio extraíble
• Multipartito: Un virus que utiliza ambos métodos de infección
Virus interpretados - Un código que puede ser ejecutado por una aplicación o servicio
en particular como un navegador
• Virus macro: código adjunto a un documento de aplicación. como el procesamiento

de textos o archivos de hoja de cálculo. Los virus más exitosos. • Virus de scripting: código
escrito en un lenguaje entendido por un servicio que se ejecuta en el sistema operativo
como el host de scripting de Windows.
Gusanos
A continuación se muestra una lista de tipos de gusanos informáticos:
• Autocontenido
• Autopropagación
• Autorreplicación
Aproveche las vulnerabilidades conocidas del sistema y las configuraciones
predeterminadas:
• Gusanos de servicio de red: Se propaga mediante la explotación de una

vulnerabilidad
• Gusanos de correo masivo: Un correo autoconectado podría ser utilizado
Troyanos
Estos son programas noreplicantes que parecen ser benignos con propósito malicioso
oculto. El programa continúa realizando la función del programa original pero añade
una actividad maliciosa separada, reemplaza por completo la función del programa
original con una actividad maliciosa.
Programas maliciosos que aceptan comandos remotos a través de un protocolo

basado en TCP o UDP:
• Zombies (hots) Un programa que ordena a un sistema en tat k otro sistema •

Herramientas de administración remota. Un programa que permite al atacante remoto
controlar el sistema local
Envoltorios ejecutables: Un programa que "envuelve-dos o más archivos ejecutables o

scripts en un Ilk o script Algunos contenedores están diseñados para crear troyanos.
Rootkits:
• Una colección de archivos
• Propósito: alterar la funcionalidad estándar
• Muy sigiloso
• Llnux Rootkits: Puede reemplazar cientos de archivos
• Rootkits de Windows: Puede residir sólo en RAM
• Usualmente se utiliza para instalar u ocultar otras herramientas
Código móvil malintencionado

Código móvil malicioso puede ser software que se transmite desde un sistema remoto y
se ejecuta en el sistema de una víctima. Es muy popular entre servidores web maliciosos
o servidores de correo electrónico que proporcionan código para ser ejecutado en
navegadores o clientes de correo electrónico. Este tipo de código malicioso no es
sell•propagación. Los privilegios predeterminados de exploits se conceden a javaScrIpt
y ActiveX.
Ataques combinados
Un malware con múltiples métodos de infección o replicación:
• Correo electrónico: El malware se recibe como un virus en un archivo adjunto de

correo electrónico y se propaga a través de correo electrónico • Recursos compartidos
de archivos: El mismo virus, una vez que infecta el sistema, Se analizará el host en busca
de recursos compartidos de archivos e infectarlos como un mecanismo de propagación
• Servidores web: El mismo virus escanea f o ejecutar servidores web e intenta explotar
una vulnerabilidad conocida • Cliente web: Un servidor infectado infectará a cualquier
visitante
Herramientas de ataque
Cookies
Un pequeño archivo de datos que contiene la actividad del usuario en un sitio web
determinado se conoce como una cookie. Las cookies de sesión son cookies temporales
de una sola vez. Las cookies persistentes se almacenan en el equipo cliente. Las cookies
de seguimiento son cookies almacenadas con el propósito de realizar un seguimiento
de las actividades en todos los sitios.
Complementos del navegador
Se podrían crear complementos maliciosos y habilitar algunos servicios del navegador

para facilitar la ejecución de virus interpretados. Puede actuar como Spyware e incluso
acceder al módem del sistema y a los números de marcado.
Los generadores de correo electrónico son malware, que se puede utilizar para crear y
enviar grandes cantidades de mensajes de correo electrónico sin el conocimiento del
usuario.
Registradores de llaves
Un programa que supervisa el uso del teclado y la recuperación de datos:
• Manual y localmente
• Automáticamente por correo electrónico
• Automáticamente por FTP
Hay registradores de claves de hardware y software.
Prevención de malware
La política de prevención de Ma!ware
Debe hacer declaraciones claras que se dirijan a la prevención de malware. Debe servir
de base para esfuerzos adicionales. Es poco probable que se realicen actividades
adicionales sin una política muy querida.
Consideraciones de política común:
• Los medios requieren escaneo antes de que se puedan utilizar
• Se requieren archivos adjuntos de correo electrónico para escanear antes de abrirse
• Restricciones para enviar o recibir ciertos tipos de archivos
• Restringir el uso de privilegios de nivel de administrador local por parte de los usuarios
del dispositivo
• Requerir que los sistemas se mantengan actualizados con las actualizaciones y

parches del sistema operativo y de las aplicaciones
• Restringir el uso de medios extraíbles
• Restringir el uso de dispositivos móviles en redes de confianza
Conciencia del usuario

La conciencia del usuario es un programa estructurado continuo. El objetivo es explicar
las reglas de comportamiento adecuadas para el uso de los sistemas de TI y la
información de una organización. Debe incluir orientación a los usuarios sobre el
comportamiento de malware y la prevención de incidentes. Resaltar la importancia de
la conciencia del usuario para prevenir incidentes. Hace que los usuarios conozcan las
directivas y procedimientos existentes. Reduce la gravedad y la frecuencia de los
incidentes de malware. Educa a los usuarios sobre cómo identificar sistemas infectados
y cómo informar de incidentes. Aclara cómo se comunicarán los principales incidentes
de malware.
Resalte las prácticas generalmente recomendadas para evitar incidentes de malware,

como:
• No abrir archivos adjuntos de correo electrónico sospechosos de remitentes

desconocidos o conocidos
• No hacer clic en ventanas emergentes sospechosas del navegador web
• No abrir archivos con extensiones de archivo que probablemente se asocian con

malwareVulnerability vs. Mitigación de vulnerabilidades: Gestión de parches
La forma más común de mitigación de vulnerabilidades y debe considerarse un proceso

empresarial, que incluye:
• Evaluar la crítica de los parches y el impacto de aplicarlos o no aplicarlos
• Probar los parches a fondo
• Aplicar los parches de forma controlada y documentar el proceso de evaluación y

decisión de parches
• Los parches deben desplegarse rápidamente
• Se deben implementar rápidamente
• es bastante difícil instalar parches en todos los sistemas
• Otras opciones de mitigación de vulnerabilidades deben ser consideradas
Seguridad de la cuenta
Los hosts deben configurarse para proporcionar solo los derechos mínimos a los usuarios,
procesos u otros hosts: privilegios mínimos. El malware requiere acceso administrativo y
los permisos adecuados pueden minimizar el daño y la propagación del malware.
Endurecimiento del anfitrión
Defina una línea base de configuraciones de seguridad de todas las aplicaciones y

sistemas operativos:
• Software del lado del cliente
• Puertos abiertos normales
• Procesos y servicios normales en ejecución
• Cuentas y grupos de usuarios normales
Mantener un proceso de gestión de cambios. Algunos ejemplos de endurecimiento del

host son:
• Desactivación de protocolos innecesarios
• Eliminación de recursos compartidos Ale no seguros
• Eliminación o cambio de usuarios predeterminados y contraseñas para sistemas

operativos y aplicaciones
• Requerir autenticación antes de permitir el acceso a un servicio de red
• Deshabilitar el nombre automático de usuarios y contraseñas ejecución de binarios y

scriptsMitigación de amenazas:
Aplicaciones anti-Malware
Anti-virus es el control de mitigación de amenazas de malware más común. Una

necesidad para prevenir incidentes de malware. Característica anti-virus común
• Análisis de componentes críticos del sistema
• Monitoreo de actividad en tiempo real
• Analizar ales en busca de malware conocido

• Capacidad para identificar categorías comunes de malware
• Desinfección de malware
Precisión de detección:
• Una firma es una característica conocida de un malware
• Los principales proveedores liberan firmas de nuevo malware en pocas horas
• Eficaz en la identificación de nuevas variantes de malware
• No es eficaz en la detección de malwares completamente nuevos
• Se incorporan técnicas heurísticas a detectar nuevos malwares
Colocación y Gestión
• Se recomienda encarecidamente que se implementen antivirus en todos los sistemas
• El antivirus de gestión centralizada aumentará la eficacia y reducirá los costos
• Los usuarios no deben poder desactivar el antivirus
• Los administradores deben realizar comprobaciones periódicas
Un antivirus no puede detener todos los incidentes de malware y las nuevas firmas deben
probarse e implementarse. Los sistemas antivirus basados en red siguen siendo
necesarios y los controles de seguridad de red deben configurarse para detener la
propagación del malware.
Software de detección y eliminación de spyware
Utilidades utilizadas para detectar spyware y capacidades de manejo de spyware más

robustas que el software antivirus. Supervisa el comportamiento de las aplicaciones y los
análisis regulares de spyware conocido. Pone en cuarentena o elimina archivos de
spyware mientras supervisa los controladores de red y la configuración del shell de
Windows. Evita varios métodos de instalación de spyware, incluidos los anuncios
emergentes, las cookies de seguimiento, las instalaciones de complementos del
navegador y el secuestro del navegador.
Sistemas de seguridad de red

Sistemas de prevención de intrusiones
Realice el análisis de paquetes del tráfico de red para identificar y detener actividades
malintencionadas y se implementan en línea, de forma similar a un firewall de red.
Permite la detección de algunos ataques antes de que alcancen sus objetivos previstos.
El IPS utiliza una combinación de firmas de ataque para el análisis del protocolo de
aplicación. Los productos IPS basados en red pueden ser eficaces para detener los
gusanos de servicio de red.
Los productos IPS generalmente no son capaces de detener código móvil malicioso o
caballos de Troya. Los productos IPS podrían ser capaces de detectar y detener algunas
amenazas desconocidas a través del análisis del protocolo de aplicación.
Los sistemas IPS basados en host supervisan las características y los eventos de un único
host. Supervisa el tráfico de red del host, los registros del sistema, los procesos en
ejecución, el acceso a archivos y la modificación. Supervisa los cambios intentados en
las moscas y puede detectar virus que intentan infectar archivos y caballos de Troya que
intentan reemplazar archivos.
Firewall y enrutadores
Examinan el tráfico de red y lo permiten o lo niegan en función de un conjunto de reglas.

Un router utiliza un ACL que dirija solamente las características más básicas del tráfico
de red. Hay dos tipos de firewalls: firewalls de red y firewalls basados en host.
Un firewall de red es un dispositivo implementado entre redes para restringir qué tipos de
tráfico pueden pasar de una red a otra. Un firewall basado en host es una pieza de
software que se ejecuta en un único host que puede restringir la actividad de red
entrante y saliente solo para ese host.
Configuración de seguridad específica de la aplicación Esta configuración incluye:
• Bloquear archivos adjuntos sospechosos de correo electrónico
• Filtro de spam
• Filtrar contenido del sitio web
• Umit Mobile Code Execution

• Restringir cookies del navegador web
• Bloquear Web Browser Popup Windows
• Prevenir la instalación de software dentro de los navegadores web
• Evitar la carga automática de correo electrónico Imágenes
• Alterar asociaciones de archivos
• Restringir el uso de macros
• Prevenir la retransmisión abierta de E-Mall
Respuesta a incidentes de malware
- Flujo de respuesta a incidentes
El flujo de decisión es el siguiente:
I. Confirme la infección
2. Determine el curso de acción a. Intento de limpiar el sistema b. Intentar restaurar el

estado del sistema c. Reconstruir el sistema
3. Evaluar la eficacia
4. Llevar a cabo la revisión posterior al ataque
Confirmación de infección
Aísle la máquina infectada y la amenaza inmediata realizando una de las siguientes

acciones:
• Apague el sistema
• Desconecte el sistema de la red
• Deje el sistema encendido y conectado a la red para permitir el servicio de asistencia
personal para solucionar problemas remotos del sistema
• Desconecte el sistema de su red real y conéctelo a una red de prueba
Notificar a la organización:
• Esté atento a un brote emergente de maiware
• El tiempo puede ser un factor importante
• Recopilar informes para ayudar a evaluar el alcance y la gravedad de la amenaza
Recopilar información:
• Recopilar información del usuario o Determinar la actividad inusual que provocó el

informe
• Recopilar información del sistema o Determinar si el software antivirus y anti-mal ware

están instalados, en ejecución y actualizados o Determinar si todas las actualizaciones y
parches para el sistema operativo y las aplicaciones son actuales
Determinar la amplitud del problema:
• ¿Se trata de un incidente aislado o varios sistemas experimentan los mismos

problemas? o Múltiples sistemas afectados pueden aumentar el nivel de alerta
• Determinar si el malware está presente
• Evaluar la evidencia para determinar si la organización está experimentando un

ataque de malware
La información de respuesta generalmente se encuentra en los Planes de Continuidad

del Negocio y manuales de respuesta. Si no se encuentra, debe preguntar a los
propietarios de negocios que sigue:
• ¿Existe una expectativa para el tiempo de respuesta necesario para devolver los
sistemas a la operación?
• ¿Se han documentado políticas y procedimientos para aislar equipos infectados con
malware para que los usuarios y la empresa estén preparados para el impacto en la
productividad?
Determinar el curso de acción
Determinar el riesgo para los datos:

• Considere el riesgo para los datos y verifique si los datos se han copiado o Archivos del
sistema operativo y ajustes de configuración o Fuentes de instalación de la aplicación,
ajustes de configuración y datos o Datos de usuario
• Examinar efectos de malware en el sistema o Considerar tomando una imagen del

sistema para el examen o Determinó la urgencia de volver a las operaciones
Consulte las políticas y procedimientos relacionados con la organización para responder

a las siguientes preguntas:
• ¿El plan de recuperación presupuesta adecuadamente los recursos presupuestarios,

dependiendo del alcance del brote y del impacto empresarial del equipo afectado?
• ¿Existen diferentes expectativas de respuesta para abordar diferentes tipos de datos

y sistemas, como las designaciones de Alto Impacto, Impacto Medio y/o Bajo Impacto
para estos diferentes activos?
Limpiar el sistema
• Utilice herramientas de análisis para detectar y eliminar potencialmente

automáticamente el malware del sistema o eliminar manualmente el malware
• Las opciones de limpieza son o Utilice software anti-malware instalado localmente con
firmas actualizadas, con el sistema operativo iniciado normalmente y/o en modo seguro
o Utilice herramientas de escaneo en línea, con el sistema operativo iniciado
normalmente y/o en modo seguro con soporte de red o Ejecutar un análisis en línea
utilizando el kit de escaneo fuera de línea o Limpie manualmente el sistema
• Evaluar la eficacia o Al final de cada opción , evaluar su eficacia y considerar si las

medidas adicionales, incluidas las re-reproducción de los análisis, deben tomarse para
asegurarse de que el sistema puede ser devuelto de forma segura a la producción:
• No se encuentra malware"
• Es posible que se hayan cambiado los permisos o la configuración si el malware sigue

presente. intentar restaurar el estado del sistema o reconstruir el sistema
Restaurar estado del sistema

• Las herramientas para restaurar el estado del sistema varían dependiendo del sistema
operativo instalado, pero los mecanismos son similares
• Evaluar la eficacia o ¿Parece que el malware todavía está en el sistema? o ¿No se

corrige nado la configuración de seguridad o del sistema? o ¿Funciona correctamente
el sistema de acuerdo con las expectativas del usuario (prueba de tipo de aceptación
del usuario)?
Reconstruir el sistema
• Como recordatorio... cualquier dato crítico en el sistema debe ser respaldado porque
la reconstrucción del sistema destruirá cualquier dato en el disco duro
• Restaurar la configuración del usuario y los datos o Asegúrese de que los archivos están
limpios antes de restaurarlos escaneándolos con un escáner mahvare
• Evaluar Eficacia o Compruebe que el sistema está limpio de malware y protegido

contra futuras infecciones
Realizar una revisión de post-ataque
• Documenta las lecciones aprendidas
• Trabajar con un abogado, si es necesario
• Considerar la estimación de cuánto puede haber costado el negocio para fines de

informes internos
• Revisar la política de defensa en profundidad anti-malware
• Agregar lecciones aprendidas a las políticas de seguridad

1. se almacenan en la máquina de viáticos.
a b.c.
Cookies de sesión Cookies persistentes Cookies de seguimiento
Respuesta. B
Módulo 13: Las cookies persistentes se almacenan en el equipo cliente.
2. son cookies almacenadas con el propósito de rastrear actividades en todos los sitios.
a b.c.
Cookies de sesión Cookies persistentes Cookies de seguimiento
Respuesta C
Módulo 13: Las cookies de seguimiento son cookies almacenadas con el propósito de
rastrear actividades en todos los sitios.
3. Verdadero o Falso. Los hosts deben configurarse para proporcionar solo los derechos
mínimos a los usuarios, procesos. u otros anfitriones - Privilegio I.east.
a True
b. Falso
Respuesta. Un
Módulo 13: Los hosts deben configurarse para proporcionar solo los derechos mínimos a
los usuarios. Procesos. u otros hosts - Menos privilegio.
4. Verdadero o Falso. El malware requiere acceso administrativo y los permisos

adecuados pueden minimizar el daño y la propagación del malware.
Respuesta:A
Módulo 13: El malware requiere acceso administrativo y los permisos adecuados pueden
minimizar el daño y la propagación del malware.
S. Verdadero o Falso. El objetivo de la concienciación del usuario es explicar las reglas

de comportamiento adecuadas para el uso de los sistemas de TI y la información de
una organización.
Respuesta: A
Módulo 13: El objetivo de concienciar al usuario es explicar las reglas de

comportamiento adecuadas para el uso de los sistemas de TI y la información de una
organización.

Certified Incident Management Engineer

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Certified Incident Management Engineer

Cargado por

Copyright:

Formatos disponibles

Certified Incident Management Engineer

Test preparation guide

Edition: July 201S

Copyright16 2015 The rights of Men MI are reserved.

1Ailen IT Security Training

11928 Sheldon Road Tampa FL 33626 (813)920-6799 (813) 354-2367 (fax)

El propósito de este libro es ayudar a los controladores de incidentes, administradores

Los candidatos deben tener experiencia en manejo de incidentes, líderes de equipos

• ¿Qué es la gestión de incidentes?

• ¿Por qué la respuesta a incidentes?

• ¿Qué es un plan de respuesta a incidentes?

• ¿Cuándo se inicia el plan?

• ¿Qué es la gestión de incidentes?

La gestión de incidentes es la preparación, detección, gestión y resolución de

• Un inicio de sesión de usuario es un evento de seguridad

• Una nueva cuenta de usuario creada es un evento de seguridad

Eventos de seguridad comunes de interés

• Eventos de código malintencionado

• Escaneos de redes y aplicaciones, sondas e intentos de penetración

• Ataques de denegación de servicio

• Uso inapropiado de los activos de la empresa

• Acceso no autorizado o intentado acceso no autorizado

• Incumplimiento o intento de violación de información sensible (ataques a la

¿Por qué la respuesta a incidentes?

¿Por qué invertir en un proceso que no contribuye al resultado final? El manejo y la

• Amenaza a la vida humana

• Exposición a responsabilidad legal

• Pérdida de confianza del cliente

• Daño a la reputación organizacional

• Pérdida de datos o su integridad

Un sólido programa de manejo y respuesta de incidentes puede ahorrar a una

Los Módulos Comunes de Gestión de Respuesta a Incidentes.

¿Qué es un plan de respuesta a incidentes?

Un plan de respuesta a incidentes es un documento que define, entre otras cosas:

• Incidentes • Niveles de gravedad de incidente • Planes de respuesta para cada nivel

¿Cuándo se inicia el plan?

Enfoque de seis pasos para el manejo de incidentes

1. Es la preparación, detección, gestión y resolución de incidentes o eventos que

a. Manejo de Incidentes b. Computer Forensics c. Network Forensics d. Digital Forensics

Módulo 01: Inddent Handling es la preparación, detección, gestión y resolución de

2. ¿Cuál es cualquier evento que ocurra en la organización relacionado con la

Módulo 01: Un evento de seguridad es cualquier evento que se produce en la

3. ¿Cuáles son algunos eventos de seguridad comunes de interés?

Eventos de código malintencionado Ataque de denegación de servicio Espionaje Todo

4. Verdadero o Falso. Un plan de respuesta a incidentes es un documento que define

Módulo 01: Un plan de respuesta a incidentes es un documento que define incidentes,

S. ¿Cuál es el primer paso al prepararse para un evento de manejo de incidentes?

a. Seguimiento b. Preparación c. Erradicación d. Contención

• Ma!ware • Denegación de servicio y

• Registradores de teclas • Daños en HD y datos • Agentes distribuidos de denegación

• APT • Acceso remoto

• Software apoyado por patrocinadores de publicidad • Inofensivo por naturaleza pero

• Recibidos como archivos • Necesidad de residir en el sistema de archivos • Necesita

• Por lo general advierte al usuario de una amenaza inexistente

• Recibidos como programas en ejecución • Reside en la RAM • NO necesita la

• Virus de acceso remoto • Permita que el atacante se conecte al ordenador de la

• Malware de alto privilegio • Capaz de ocultar procesos o programas en ejecución •

• Un grupo de computadoras comprometidas controladas por un hacker • Los

CM: Filtrado de ingresos

Intoxicación por ARP

La suplantación de DNS es un término que se utiliza cuando un servidor DNS acepta y

DN Sspoot - Win DNSspool - Cain and Alwl - DNS Dilater

Secuestro de sesión TCP:

• Suplanta la dirección de una entidad en una conexión activa, interviene a sí mismo