PASO 6 ACTIVIDAD COLABORATIVA 3

STUDENT NAME
CRISTIAN ANDRES RICAURTE RINCON
GROUP 2150521_36
IDENTIFICATION: 1006558648

TEACHER:

JUAN ESTEBAN TAPIAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

ACCESO A LA WAN

26 DE NOVIEMBRE DE 2021

ACACIAS – META
Práctica de laboratorio: Manejo de incidentes

Objetivos

Apliquen todo lo que saben sobre procedimientos para el manejo de seguridad para formular
preguntas sobre determinados escenarios de incidentes.

Antecedentes / Escenario

La respuesta a ante incidentes de seguridad informática se ha convertido en un componente vital

de cualquier organización. El proceso para manejar un incidente de seguridad puede ser
complicado e implicar a muchos grupos diferentes. Una organización debe tener estándares para
responder ante incidentes. Estos estándares deben ser políticas, procedimientos y listas de
comprobación. Para responder correctamente a un incidente de seguridad, el analista debe estar
capacitado para saber qué hacer, y también tiene que seguir todas las pautas estipuladas por la
organización. Las organizaciones disponen de muchos recursos que les permiten crear y mantener
una política para el manejo de las respuestas ante incidentes de seguridad informática, pero en los
temas de los exámenes de SECOPS (Operaciones de seguridad) de la CCNA se hace referencia
específicamente a la Publicación especial 800-61 del NIST. Aquí pueden encontrar esta
publicación:

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Paso 1: Infestación por gusanos y agentes de Denegación distribuida de servicio (Distributed

Denial of Service, DDoS)

Estudien el siguiente escenario para analizar y determinar las preguntas sobre el manejo de la
respuesta ante incidentes que se deberían formular en cada etapa del proceso de respuesta ante
incidentes. Consideren los detalles de la organización y el CSIRC cuando formulen sus preguntas.

Este escenario es una firma de inversiones pequeña y familiar. La organización tiene solo una sede
y menos de 100 empleados. Es martes por la mañana y se libera un gusano nuevo; se propaga por
medios extraíbles, y se puede copiar a sí mismo en recursos compartidos de Windows. Cuando el
gusano infecta a un host, instala un agente de DDoS. Solo hubo firmas de antivirus disponibles
varias horas después de que el gusano comenzara a propagarse. La organización ya había sufrido
infecciones masivas.

La firma de inversiones ha contratado a un pequeño grupo de expertos en seguridad que suelen

utilizar el modelo diamante para el manejo de incidentes de seguridad.
Preparación:

RESPUESTA:

Escanearé todo tipo de malware y escanearé la dirección IP para asegurarme de que otras PC estén
limpias, prepararé un antivirus confiable, documentaré cada cambio y también investigaré mucho
sobre los gusanos actuales para aprender cómo funcionan, etc.

Detección y análisis:

RESPUESTA:

Mi primer paso para la detección y el análisis es ejecutar un antivirus para detectar virus y verificar
si todo el software se ha actualizado. después de eso, escanearé la dirección IP para encontrar el
próximo objetivo. Las direcciones IP adyacentes pueden ser un buen lugar para detectar si un host
está infectado con un gusano. En general, todos los programas legítimos se ejecutan en una
determinada ubicación de la red. Los gusanos, por otro lado, necesitan encontrar un objetivo. Si
monitoreamos la cantidad de direcciones IP escaneadas por el host, y si excede un cierto límite,
podemos asumir con seguridad que el gusano ha sido detectado.

Contención, erradicación y recuperación:

RESPUESTA:

Pondré en cuarentena agresivamente cualquier proceso que muestre un comportamiento errático.

Después de aislar el proceso, se debe monitorear durante un período de tiempo que coincida con
el comportamiento errático indicado por el proceso. Si el proceso no muestra un comportamiento
desviado durante el monitoreo, el proceso puede liberarse. Si muestra el mismo comportamiento
una y otra vez, se pone en cuarentena y se etiqueta como gusano.

Actividad posterior al incidente:

RESPUESTA:

El archivo de registro del sistema debe revisarse para determinar si se ha comprometido alguna
información confidencial. Debo notificar inmediatamente al cliente para que detecte el virus. los
hosts que no están actualmente en la red deben identificarse y escanearse antes de poder
conectarse a la red.

Muhamad Amar Jadid 13.2.2.13 Laboratorio de manejo de incidentes Escenario 2: Acceso no

autorizado a los registros de nómina
Paso 2: Acceso no autorizado a registros de nómina

Estudien el siguiente escenario. Analicen y determinen las preguntas sobre el manejo de la

respuesta ante incidentes que se deberían formular en cada etapa del proceso de respuesta ante
incidentes. Consideren los detalles de la organización y el CSIRC cuando formulen sus preguntas.

Este escenario se trata de un hospital de mediana magnitud con varios consultorios y servicios
médicos externos. La organización tiene decenas de sedes y más de 5000 empleados. Debido al
tamaño de la organización, han adoptado un modelo CISRC con equipos distribuidos de respuesta
ante incidentes. También tienen un equipo de coordinación que controla a los CSIRT y les ayuda
a comunicarse entre sí.

Son las últimas horas de la tarde de un miércoles, el equipo de seguridad física de la organización
recibe una llamada de una administradora de nómina que vio salir de su oficina a un desconocido,
correr por el pasillo y salir del edificio. La administradora se había alejado de su estación de
trabajo solo durante unos pocos minutos y la había dejado desbloqueada. El programa de nóminas
sigue con la sesión abierta y en el menú principal, tal como ella lo había dejado, pero cree que
han movido el mouse. Se le ha solicitado al equipo de respuesta ante incidentes que reúna
evidencia relacionada con el incidente y determine qué medidas se deben tomar.

Los equipos de seguridad ponen en práctica el modelo de la cadena de eliminación y saben utilizar
la base de datos VERIS. A modo de nivel de protección adicional, han tercerizado parcialmente
el personal a una MSSP para tener monitoreo las 24 horas del día, los 7 días de la semana.

Preparación:

RESPUESTA:

comprobará qué herramientas están instaladas en el sistema, como cámaras de seguridad, etc.

Detección y análisis:

RESPUESTA:

Intentaré ingresar al control de acceso del sistema y la cámara de seguridad, para tener evidencia
si hay un intruso.

Contención, erradicación y recuperación:

RESPUESTA:
 Busqué evidencia y le dije quién estaba involucrado y el impacto después de que sucedió. tomar
medidas para minimizar el impacto, educar al departamento relevante y guardar evidencia si es
necesario.

Actividad posterior al incidente:

RESPUESTA:

Proporcionaré aprendizaje a las personas que manejan información organizacional para incidentes
similares para que no ocurran en el futuro y sugeriré tener más seguridad personal y tener un
mejor control de acceso.

CONCLUSION

El proceso de este trabajo se dio manejo de incidentes de seguridad puede ser complejo e involucrar
a muchos grupos diferentes. Una organización debe tener estándares para responder a incidentes.
Estos estándares deben ser políticas, procedimientos y listas de verificación. Para responder
adecuadamente a los incidentes de seguridad, los analistas deben estar capacitados, saber qué hacer
y también deben cumplir con todas las pautas establecidas por la organización.