Modules 18 - 20: Network Defense Group ExamExternal tool

1. ¿Cómo cambia BYOD la forma en que las empresas implementan las redes?

BYOD brinda flexibilidad con respecto a cuándo y cómo los usuarios pueden acceder
a los recursos de red.

2. ¿Qué dispositivo suele ser la primera línea de defensa de un enfoque de defensa en

profundidad con varias capas?

Router externo

3. Con la evolución de las redes sin fronteras, ¿qué vegetal se usa en este momento
para describir un enfoque de defensa en profundidad?

Alcachofa

4. ¿Qué tipo de política de la empresa establece las reglas de conducta y las

responsabilidades de los empleados y los empleadores?

Compañía

5. Un administrador está preocupado por restringir qué aplicaciones y usos de red son
aceptables para la organización. ¿Qué componente de directiva de seguridad utiliza el
administrador para resolver estas preocupaciones?

Política de uso aceptable

6. ¿Qué componente de una política de seguridad define explícitamente el tipo de tráfico

permitido en una red y lo que los usuarios tienen permitido hacer o no tienen permitido
hacer?

Política de uso aceptable

7. ¿Qué dispositivo se usaría como tercera línea de defensa en un enfoque de defensa

en profundidad?

Router interno
8.

Consultar la ilustración. La política de seguridad de una empresa permite a los

empleados conectarse a la intranet de la oficina desde sus hogares. ¿Qué tipo de
política de seguridad es ésa?

Acceso remoto

9. ¿Cuál de las siguientes es una característica de un enfoque para la seguridad de

defensa en profundidad con varias capas?

Una falla de protección no afecta la eficacia de otras medidas de protección.

10. ¿Cuál de las siguientes es una buena práctica de BYOD?

suscribirse a un servicio de localización de dispositivo con una característica de

barrido remoto.

11. ¿Qué definen las regulaciones de cumplimiento de seguridad?

que organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen.

12. ¿Qué dispositivo se usaría como segunda línea de defensa en un enfoque de defensa
en profundidad?

Firewall

13. ¿Qué dos áreas debe entender una persona responsable de la seguridad de TI para
identificar vulnerabilidades en una red? (Elija dos opciones).

Hardware utilizado por las aplicaciones

 Aplicaciones importantes utilizadas

Módulo 19: Cuestionario de control de acceso

1. ¿Qué componente de AAA se utiliza para determinar los recursos a los que puede
acceder el usuario y las operaciones que tiene permitido realizar?

Autorización

2. ¿Cuál es el mayor problema con la implementación local de AAA?

La implementación local no se escala bien.

3. Una empresa experimenta inmensas visitas en un servidor web principal. El

departamento de TI está desarrollando un plan para agregar un par más de servidores
web para equilibrar la carga y la redundancia. ¿Qué requisito de seguridad informática
se aborda en la implementación del plan?

Disponibilidad

4. ¿Cuál de las siguientes opciones ejemplifica un ataque de escalamiento de privilegios?

El actor de una amenaza realiza un ataque de acceso y obtiene la contraseña de

administrador.

5. ¿En qué principio se basa el modelo de control de acceso de privilegios mínimos?

Los usuarios reciben derechos según sea necesario.

6. Un servidor de registros incluye esta entrada: El usuario student accedió al servidor

host ABC utilizando Telnet ayer durante 10 minutos. ¿Qué tipo de entrada de registro
es esta?

Contabilidad

7. ¿Qué objetivo de las comunicaciones seguras se logra mediante el cifrado de los

datos?
 Confidencialidad

8. ¿Cuáles son tres servicios de seguridad de control de acceso? (Elija tres opciones).

autorización

autenticación

Contabilidad

9. ¿Qué modelo de control de acceso permite que los usuarios controlen el acceso a sus
datos como si fueran dueños de esos datos?

Control de acceso discrecional

10. ¿Cuáles son los dos protocolos que se usan para proporcionar autenticación de AAA
basada en servidor? (Elija dos opciones).

RADIUS

TACACS+

11. ¿Cuáles de los siguientes elementos son tres componentes de la tríada CIA? (Elija
tres opciones).

confidencialidad

disponibilidad

Integridad

12. ¿Qué tipo de control de acceso aplica el control de acceso más estricto y se utiliza
comúnmente en aplicaciones militares o fundamentales para la misión?

Control de acceso obligatorio (MAC)

Módulo 20: Cuestionario Inteligencia sobre Amenazas

1. ¿Qué servicio proporciona Cisco Talos Group?

recopilar información sobre las amenazas activas, existentes y emergentes.

2. ¿Qué crea y mantiene MITRE Corporation?

CVE

3. ¿Cuál es la función principal de (ISC2)?

proporcionar productos educativos neutrales a los proveedores y servicios de carreras

profesionales

4. ¿Qué estándar abierto de intercambio de información sobre amenazas especifica,

captura, caracteriza y comunica eventos y propiedades de las operaciones de red?

CybOX

5. ¿Cuáles son las Vulnerabilidades y Exposiciones Comunes (CVE) utilizadas por la

Corporacion MITRE?

Un diccionario de Identificadores de CVE de vulnerabilidades de ciberseguridad

públicamente conocidas.

6. ¿Qué servicio ofrece el Departamento de Seguridad Nacional de los Estados Unidos

(DHS) que permite el intercambio en tiempo real de indicadores de ciberamenazas
entre el Gobierno Federal de los Estados Unidos y el sector privado?

AIS

7. ¿Cuál es la función principal de SANS?

mantener el Internet Storm Center

8. ¿Por qué varias organizaciones de redes, profesionales y agencias de inteligencia

utilizan estándares abiertos compartidos para la inteligencia contra amenazas?
 para permitir el intercambio de CTI en un formato legible automatizado, uniforme y
que las máquinas puedan leer.

9. ¿Cuál es el objetivo principal del Foro de Equipos de Respuesta a Incidentes y

Seguridad (FIRST)?

permitir que una variedad de equipos de respuesta a incidentes de seguridad

informática colaboren, cooperen y coordinen el intercambio de información, la
prevención de incidentes y las estrategias de reacción rápida

10. ¿Qué grupo de inteligencia contra amenazas proporciona blogs y podcasts para
ayudar a los profesionales de seguridad de redes a mantenerse eficaces y
actualizados?

Talos

Módulo 21: Cuestionario de Criptografía de clave pública

1.
¿Qué afirmación describe el Algoritmo de Encriptación Optimizado por Software
(Software-Optimized Encryption Algorithm SEAL)?

SEAL es un cifrador de flujo.

2. ¿Qué afirmación hace referencia a una característica de HMAC?

HMAC utiliza una clave secreta como entrada para la función hash, lo que añade
autenticación para la garantía de la integridad.

3. ¿Qué requisito para las comunicaciones seguras se garantiza mediante la

implementación de algoritmos de generación de hash MD5 o SHA?

Integridad

4. ¿Qué algoritmo puede garantizar la confidencialidad de los datos?

AES

5. ¿De qué manera el uso de HTTPS aumenta los desafíos relacionados con el monitoreo
de seguridad dentro de redes empresariales?
 El tráfico HTTPS permite la encriptación punto a punto.

6. ¿Qué estándar de la IETF define el formato de certificado digital PKI?

X.509

7. ¿Cuáles son dos algoritmos de cifrado simétrico? (Elegir dos opciones).

AES

3DES

8. ¿Cuál es el propósito de la firma de código?

integridad de archivos .EXE de origen

9. ¿Qué afirmación describe el uso de las clases de certificados en la PKI?

Un certificado de clase 5 es más confiable que un certificado de clase 4.

10. ¿Qué función desempeña una Autoridad de Registro (Registration Authority RA) en una
PKI?

CA subordinada

11. ¿Qué tecnología admite la encriptación asimétrica con claves en redes VPN con IPsec?

IKE

12. ¿Qué tecnología permite que los usuarios verifiquen la identidad de un sitio web y
confíen en el código que se descarga de Internet?

firma digital

Módulo 22: Cuestionario Protección de terminales

1.
¿Qué enfoque de software de antimalware puede reconocer diversas características
de archivos de malware conocido para detectar una amenaza?

basado en firmas

2. En la mayoría de los suites de seguridad basados en host, ¿qué función realiza un

registro sólido de eventos relacionados con la seguridad y envía los registros a una
ubicación central?

Telemetría

3. ¿Qué tecnología podría aumentar la preocupación por la seguridad de la

implementación de IoT en un entorno empresarial?

computación en la nube

4. ¿Cuál de estas afirmaciones describe el término superficie de ataque?

Es la suma total de las vulnerabilidades presentes en un sistema a las que puede

acceder un atacante.

5. ¿Cuál HIDS es un producto basado en código abierto?

OSSEC

6. ¿Qué dispositivo en una infraestructura de LAN es propenso a sufrir desbordamiento

de la tabla de direcciones MAC y ataques de suplantación de identidad?

Switch

7. De acuerdo con el Instituto SANS, ¿qué superficie de ataque incluye el uso de

ingeniería social?

superficie de ataque humana

8. ¿Qué es un Sistema de Detección de Intrusiones basado en Host (host- based

intrusion detection system HIDS)?

Combina las funcionalidades de aplicaciones antimalware con protección de firewall.

 9. ¿Qué configuración de seguridad de terminales utilizaría un analista especializado en
seguridad para determinar si una computadora ha sido configurada para impedir la
ejecución de una aplicación en particular?

listas negras

10. En el firewall de Windows, ¿cuando se aplica el perfil de Dominio?

cuando el host está conectado con una red confiable, como una red empresarial
interna

11. De acuerdo con SANS Institute, ¿qué superficie de ataque incluye el aprovechamiento
de las vulnerabilidades en protocolos de redes cableadas e inalámbricas utilizados por
dispositivos IoT?

superficie de ataque de la red

12. ¿Qué afirmación describe la protección antivirus agent-less?

Se realizan análisis antivirus en los hosts desde un sistema centralizado.

Módulo 23 - Cuestionario sobre vulnerabilidad de

endpoints
1.
En un servidor de perfiles, ¿qué define lo que una aplicación tiene permitido hacer o
ejecutar en un servidor?

Cuentas de servicio

2. ¿Qué clase de métrica en el grupo de métricas base de CVSS identifica los impactos
en la confidencialidad, la integridad y la disponibilidad?

Impacto

3. ¿Cuál de las siguientes afirmaciones describe el emparejamiento amenaza-

vulnerabilidad (T-V)?
 Es la identificación de amenazas y vulnerabilidades, y el establecimiento de su
correspondencia.

4. Cuando se establece un perfil de servidor para una organización, ¿qué elemento

Cuenta de servicio

5. ¿Cuáles son los pasos del ciclo de vida de la gestión de vulnerabilidades?

descubrir, priorizar activos, evaluar, informar, corregir, verificar

6. ¿Qué función de gestión de seguridad se ocupa del inventario y control de las

configuraciones de hardware y software de los sistemas?

Administración de la configuración

7. Para hacer frente a un riesgo identificado, ¿qué estrategia pretende disminuir el riesgo
adoptando medidas para reducir la vulnerabilidad?

Reducción de riesgos

8. ¿Qué paso del ciclo de vida de la administración de vulnerabilidades realiza un

inventario de los recursos en toda la red e identifica datos del host, incluidos el sistema
operativo y los servicios abiertos?

Detectar

9. ¿Cuáles son las funciones básicas del NIST Cybersecurity Framework?

identificar, proteger, detectar, responder, recuperar

10. ¿Qué función de gestión de la seguridad se ocupa de la implementación de sistemas

que rastrean la ubicación y configuración de los dispositivos y software en red en una
empresa?

Administración de recursos

11. Cuando se establece una línea de base para la red de una organización, ¿qué
elemento del perfil de la red indica el tiempo que transcurre entre el establecimiento de
un flujo de datos y su finalización?
 Duración de la sesión

12. ¿Qué clase de métrica en el Grupo de métricas base de CVSS define las
características del ataque, tales como el vector, la complejidad y la interacción del
usuario necesaria?

Fortaleza de un ataque

Módulo 24: Cuestionario sobre tecnologías y protocolos

1.
Un ciberanalista está revisando una ACL de punto de entrada. ¿Qué tres tipos de tráfico
ICMP deben permitirse acceder a una red interna desde Internet? (Escoja tres
opciones).

destino inalcanzable

Aplastamiento

Respuesta

2. Una empresa decide comprar un dispositivo capaz de gestionar el equilibrio de carga

para que el tráfico se distribuya entre sus servidores. ¿Cuál podría ser un problema
potencial al usar el nuevo dispositivo en la red?

Los mensajes de sondeo LBM pueden aparecer como tráfico sospechoso.

3. ¿Qué método permite que el tráfico VPN permanezca confidencial?

Cifrado

4. Para facilitar el proceso de solución de problemas, ¿qué mensaje ICMP entrante se

debe permitir en una interfaz externa?

echo reply

5. ¿De qué manera el uso de HTTPS aumenta los desafíos relacionados con el monitoreo
de la seguridad dentro de redes empresariales?

El tráfico HTTPS permite el cifrado integral.

6. ¿Qué tipo de servidor admitiría los protocolos SMTP, POP e IMAP?

Correo electrónico

7. ¿Qué servicio de red sincroniza el tiempo en todos los dispositivos en la red?

NTP

8. ¿Qué número de puerto se utilizaría si el actor de una amenaza estuviera usando NTP
para dirigir ataques DDoS?

123

9. ¿Qué protocolo se utiliza para enviar mensajes de correo electrónico entre dos
servidores que se encuentran en dominios de correo electrónico diferentes?

SMTP

10. ¿Cómo utilizan los ciberdelincuentes un iFrame malicioso?

El iFrame permite que el navegador cargue una página web desde otra fuente.

11. ¿Qué tipo de daemon de servidor acepta mensajes enviados por dispositivos de red
para crear una colección de entradas de registro?

Syslog

12. ¿Para comunicarse con qué tipo de servidor pueden los actores responsables de una
amenaza usar DNS?

CnC

13. ¿Qué afirmación describe la función que ofrece la red Tor?

Permite que los usuarios naveguen por Internet de forma anónima.

14. ¿Cómo puede NAT/PAT dificultar el monitoreo de la seguridad de la red si se utiliza

NetFlow?
 Oculta las direcciones IP internas al permitirles que compartan una o varias direcciones
IP externas.

Módulo 25: Prueba de datos de seguridad de red

1.
¿Qué es una característica de la herramienta tcpdump?

Puede mostrar capturas de paquetes en tiempo real o escribir capturas de paquetes

en un archivo.

2. ¿Qué herramienta de Windows se puede utilizar para revisar registros de host?

Visor de eventos

3. ¿Qué tipo de dato de seguridad puede utilizarse para describir o predecir el

comportamiento de la red?

Estadística

4. ¿Qué afirmación describe la herramienta tcpdump?

Es un analizador de paquetes de la línea de comandos.

5. ¿Cuáles son las dos plataformas SIEM populares? (Escoja dos opciones).

Security Onion con ELK

Splunk

6. ¿Qué tipo de evento del registro del host de Windows describe el correcto
funcionamiento de una aplicación, de un controlador o de un servicio?

Información

7. ¿Qué registro de Windows registra eventos relacionados con los intentos de inicio de
sesión y las operaciones relativas al acceso a archivos u objetos?

Archivos de registro de seguridad

 8. Elija dos elementos de la tupla de cinco elementos. (Elija dos opciones).

Protocolo

Puerto de origen

9. En un sistema Cisco AVC, ¿en qué módulo se implementa NBAR2?

Reconocimiento de aplicaciones

10. Un NIDS/NIPS ha identificado una amenaza. ¿Qué tipo de dato de seguridad se

generará y enviará a un dispositivo de registro?

Alerta

11. ¿Qué afirmación describe una característica operativa de NetFlow?

NetFlow recolecta información básica sobre el flujo de paquetes, no los datos del flujo
propiamente dichos.

12. ¿Qué tipo de datos utiliza Cisco Cognitive Intelligence para encontrar actividad
maliciosa que ha eludido los controles de seguridad, que ha ingresado a través de
canales no monitoreados y que está funcionando dentro de una red empresarial?

Estadística

Módulo 26: Prueba de evaluación de alertas

1.
¿Qué clasificación se utiliza para una alerta que identifica de manera correcta que se
ha producido un ataque?

Positivo verdadero

2. ¿Qué tipo de análisis se basa en condiciones predefinidas y puede analizar las

aplicaciones que solo utilizan puertos fijos conocidos?

Determinista

3. ¿Qué herramienta incluida en Security Onion utiliza Snort para descargar

automáticamente las nuevas reglas?
 PulledPork

4. ¿Qué herramienta incluida en Security Onion es una interfaz de panel interactiva para
los datos de Elasticsearch?

Kibana

5. ¿Qué tipo de análisis se basa en diferentes métodos para establecer la probabilidad

de que un evento de seguridad haya ocurrido o de que ocurra?

Probabilístico

6. ¿Qué herramienta NIDS utiliza un enfoque basado en firmas y multithreading nativo

para la detección de alertas?

Suricata

7. ¿Cuál es la herramienta de detección de intrusiones basada en host que se integra en

Security Onion?

OSSEC

8. ¿Cuáles son las tres herramientas de análisis integradas en Security Onion? (Escoja
tres opciones).

Kibana

Wireshark

Sguil

9. ¿Qué función proporciona Snort como parte de la Security Onion?

para generar alertas de intrusión en la red mediante el uso de reglas y firmas

10. ¿Cuál de las siguientes herramientas es un sistema de detección de intrusiones

basado en host integrado en Security Onion?
 Wazuh

11. ¿Qué herramienta utilizaría un analista para iniciar una investigación de flujo de
trabajo?

Sguil

12. ¿Qué clasificación de alerta indica que los sistemas de seguridad instalados no están
detectando los ataques?

Falso negativo

Módulo 27: Trabajo con prueba de datos de seguridad de

red
1.
Cuando se recibe información en tiempo real de eventos de seguridad de múltiples
fuentes, ¿qué función en SIEM ofrece captura y procesamiento de datos en un formato
común?

Normalización

2. ¿Cuál es el valor de los hash de archivos para las investigaciones de seguridad de la

red?

Pueden servir como firmas de malware.

3. ¿Qué tecnología es un sistema SIEM de código abierto?

ELK

4. Un administrador de red está trabajando con ELK. La cantidad de tráfico de red que se
recopilará mediante la captura de paquetes y la cantidad de entradas de archivos de
registro y alertas que generarán los dispositivos de seguridad y de red puede ser
enorme. ¿Cuál es la hora predeterminada configurada en Kibana para mostrar las
entradas de registro?

48 horas.
5. ¿En qué lenguaje de programación está escrito Elasticsearch?

Java

6. ¿Durante cuánto tiempo requiere el Consejo de Normas de Seguridad de la Industria

de Tarjetas de Pago (PCI DSS) que se retenga una pista de auditoría de las
actividades de los usuarios relacionadas con la información protegida?

12 meses

7. ¿Cuál es la herramienta de detección de intrusiones basada en host que se integra en

Security Onion?

OSSEC

8. ¿Qué componente central de código abierto de Elastic Stack es responsable de

acceder, visualizar e investigar los datos?

Kibana

9. ¿Cuál es la hora predeterminada establecida en el archivo securityonion.conf para la

retención de datos de alerta de Sguil?

30 días

10. ¿Qué herramienta utilizaría un analista para iniciar una investigación de flujo de
trabajo?

Sguil

11. ¿Qué componente central de código abierto de Elastic Stack es responsable de

almacenar, indexar y analizar datos?

Elasticsearch

12. ¿Qué herramienta concentra los eventos de seguridad de múltiples fuentes y puede
interactuar con otras herramientas como Wireshark?

Sguil
Módulo 28: Prueba de evaluación de alertas
1.
Para asegurar que se mantenga la cadena de custodia, ¿qué tres elementos deben
registrarse sobre la evidencia que se recopila y se analiza después de un incidente de
seguridad? (Elija tres opciones).

Ubicación de toda la evidencia

Números de serie y nombres de host de los dispositivos usados como evidencia

Hora y fecha en que se recolectó la evidencia

2. El actor de una amenaza obtuvo acceso administrativo a un sistema y logró controlar

el sistema para lanzar un futuro ataque DDoS mediante el establecimiento de un canal
de comunicación con un CnC propiedad del actor de la amenaza. ¿Qué fase de
modelo de cadena de eliminación cibernética describe la situación?

Acción en objetivos

3. ¿Qué metacaracterística en el modelo de diamante describe herramientas e

información (como software, base de conocimientos Black Hat, nombre de usuario y
contraseña) que utiliza el adversario para el evento de intrusión?

Recursos

4. ¿Qué acción se debe incluir en un elemento del plan que es parte de una
funcionalidad de respuesta ante los incidentes de seguridad informática (CSIRC)?

Desarrollar métricas para medir la funcionalidad de respuesta ante los incidentes y su

eficacia.

5. ¿Qué dos acciones pueden ayudar a identificar un host atacante durante un incidente
de seguridad? (Elija dos opciones).

Utilizar un motor de búsqueda en Internet para obtener más información sobre el

ataque.

Validar la dirección IP del actor de la amenaza para determinar si es viable.

6. ¿Qué es un marco MITRE ATT&CK?

una base de conocimientos sobre el comportamiento de los actores de amenazas

7. Según NIST, ¿qué paso en el proceso forense digital implica identificar fuentes
potenciales de datos forenses, su adquisición, manejo y almacenamiento?

Recopilación

8. Cuando se ocupa de amenazas de seguridad y utiliza el modelo de cadena de

eliminación cibernética, ¿qué dos enfoques puede utilizar una organización para
bloquear posibles ataques en un sistema? (Elija dos opciones).

Auditar terminales para determinar el origen del ataque con métodos forenses.

Realizar capacitación de toma de conciencia de los empleados y pruebas de correo

electrónico.

9. ¿Qué término se utiliza en el modelo de diamante para el análisis de intrusiones para

describir una herramienta que utiliza un actor de amenazas contra un sistema
objetivo?

Funcionalidad

10. Según lo recomendado por NIST, ¿qué fin tiene el elemento de política en una
funcionalidad de respuesta ante los incidentes de seguridad informática de una
organización?

Detallar cómo se deben manejar los incidentes de acuerdo con la misión y las
funciones de la organización.

11. Según el NIST, ¿qué paso en el proceso de informática forense digital consiste en
obtener información relevante a partir de los datos?

Examen

12. ¿Qué afirmación describe la cadena de eliminación cibernética?

Identifica los pasos que deben llevar a cabo los adversarios para lograr sus objetivos.
13. Después de contener un incidente que causó la infección con malware de las
estaciones de trabajo de usuarios, ¿qué tres procedimientos de corrección eficaces
puede implementar una organización para la erradicación? (Elija tres opciones).

Usar copias de respaldo limpias y recientes para la recuperación de los hosts.

Aplicar actualizaciones y parches al sistema operativo y al software instalado de todos

los hosts.

Reconstruir los hosts con los medios de instalación si no hay copias de seguridad
disponibles.

14. Después de que el actor responsable de una amenaza realiza una exploración de
puerto del servidor web público de una organización e identifica una vulnerabilidad
potencial, ¿en qué fase debe entrar el actor con el fin de preparar y lanzar un ataque,
tal como se define en la cadena de eliminación cibernética?

Armamentización

15. ¿Qué tarea describe la atribución de amenazas?

Determinar quién es responsable del ataque