CA Module 28

Análisis y respuesta de incidentes
e informática forense digital

Materiales del Instructor
CyberOps Associate v1.0

Materiales para el instructor: Guía de planificación del módulo 28
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor
• Información que le ayudará a familiarizarse con el módulo
• Ayuda didáctica
• Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva n.º 8
Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales , diríjase a la Página principal del instructor y a los recursos del curso
para este curso. También puede visitar el sitio de desarrollo profesional en www.netacad.com, la página oficial de
Facebook de Cisco Networking Academy, o el grupo de Facebook exclusivo para instructores.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
¿Qué esperar en este módulo?
Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser incluidas en
este módulo:
Característica Descripción
Prueba por tema en línea para ayudar a los alumnos a medir la comprensión del
Verifique su aprendizaje contenido.
Laboratorios diseñados para trabajar con equipos físicos.
Laboratorios prácticos
Cuestionarios de Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo de
módulo los temas presentados en el módulo.
Resumen del módulo Resumiendo brevemente el contenido del módulo.

Verificar el Aprendizaje
• Las actividades de "Verifique su aprendizaje" están diseñadas para permitir que los
estudiantes determinen si están entendiendo el contenido y pueden continuar, o si es
necesario un repaso.
• Las actividades de "Verifique su aprendizaje" no afectan las calificaciones de los alumnos.
• No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de

notas de la diapositiva que aparece antes de estas actividades.

Módulo 28: Actividades
¿Qué actividades están asociadas con este módulo?
N.° de
Tipo de actividad Nombre de la actividad ¿Opcional?
página
Identifique los pasos en el proceso de análisis forense
28.1.3 Verifique su aprendizaje Recomendado
digital
28.1.5 Verifique su aprendizaje Identificación de tipos de evidencias Recomendado
28.2.9 Verifique su aprendizaje Identificación de pasos de la cadena de eliminación Recomendado
Identificación de características del modelo de
diamante
Identificación de elementos del plan de respuesta
ante incidentes
Identificación de términos relativos al manejo de
incidentes
28.4.12 Práctica de laboratorio Manejo de incidentes Recomendado

Módulo 28: Mejores prácticas
Antes de enseñar el Módulo 28, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a
los estudiantes concentrados durante la presentación.
Tema 28.1
• Explicar los procesos forenses digitales con un ejemplo de la vida real.
• Definir los tipos de evidencias. Luego. proporcionar ejemplos a los aprendices y pídales
identificarlos.
• Describir un ejemplo de recopilación de evidencia desde la más volátil a la menos volátil.

Módulo 28: Mejores prácticas
Tema 28.2
• Analizar los pasos de Cyber Kill Chain escribiendo cada paso en la pizarra para dar a los
alumnos una visión general completa de Cyber Kill Chain.
Tema 28.3
• Informar a los alumnos sobre el modelo Diamond y explique el pivoting con la ayuda de un
ejemplo.
• Diferenciar entre el modelo de diamante y el proceso de la cadena Cyber Kill.
Tema 28.4
• Dé a los aprendices una introducción sobre la Guía de manejo de incidentes de seguridad
informática del NIST.
• Discutir los niveles de dominio de la Certificación del Modelo de Madurez de
Ciberseguridad (CMMC).
• Utilice un diagrama de flujo para explicar cada fase del ciclo de vida de la respuesta NIST.
Módulo 28: Análisis y respuesta
de incidentes e informática
forense digital
CyberOps Associate v1.0

Objetivos del módulo
Título de módulo : Análisis y respuesta de incidentes e informática forense digital
Objetivo del módulo: Explicar la manera en la que CyberOps Associate responde a los
incidentes de ciberseguridad.
Título del tema Objetivo del tema

Manejo de evidencia y atribución del ataque Explicar la función de los procesos forenses digitales.
Identificar los pasos en la cadena de eliminación
La Cadena de eliminación cibernética
cibernética.
Análisis del modelo de diamante de las Clasificar un evento de intrusión mediante el modelo de
intrusiones diamante.
Aplicar los procedimientos de manejo de incidentes NIST
Respuesta ante los incidentes
800-61r2 para una situación de incidentes determinada.

28.1 Manejo de evidencia y
atribución del ataque

Análisis y respuesta de incidentes e informática forense digital
Informática forense digital
• La informática forense digital consiste en la recuperación e investigación de la información que
se encuentra en dispositivos digitales en relación con actividades delictivas.
• Los indicadores de compromiso son la evidencia de que se ha producido un incidente de
ciberseguridad.
• Por ejemplo, las regulaciones de US HIPAA estipulan que, si ocurre una violación de datos que
involucra información de pacientes, se debe notificar a las personas afectadas.
• La investigación de informática forense digital debe utilizarse para determinar qué personas
fueron afectadas y certificar la cantidad de individuos involucrados a fin de que pueda
efectuarse la notificación correspondiente de acuerdo con las reglas de la HIPAA.
• Los analistas de ciberseguridad pueden encontrarse en contacto directo con evidencia forense
digital que detalle la conducta de los miembros de la organización.
• Los analistas deben conocer los requisitos relativos a la preservación y el manejo de dicha
evidencia.
El proceso de informática forense digital
• A continuación se describen las cuatro fases básicas del proceso forense de pruebas
digitales.
• Recopilación- la identificación de posibles fuentes de datos forenses y la obtención, el
manejo y el almacenamiento de esos datos.
• Examen - evaluar y extraer información relevante de los datos recopilados.
• Análisis - Extraer conclusiones a partir de los datos y la correlación de datos de
múltiples fuentes
• Informes - Preparación y presentación de información resultante de la fase de análisis.

Tipos de evidencia
En las acciones legales, la evidencia se clasifica en general de esta manera:
• La evidencia directa: Aquella que consta de la evidencia que indudablemente
poseía el acusado o de afirmaciones de un testigo presencial que vio directamente
el comportamiento delictivo.
• Evidencia indirecta - Es la que, combinada con otros hechos, establece una
hipótesis. También se conoce como evidencia circunstancial.
• Mejor evidencia - Esta evidencia podrían ser los dispositivos de almacenamiento
utilizados por un acusado o archivos que se pueda probar que no fueron
alterados.
• Evidencia confirmatoria - Es la evidencia que respalda una afirmación
desarrollada a partir de la mejor evidencia.

Orden de recopilación de evidencia
• IETF RFC 3227 describe un orden para la
recopilación de evidencia digital según la
volatilidad de los datos.
• Los datos almacenados en la memoria RAM
son los más volátiles y se perderán cuando
se apague el dispositivo.
• Por lo tanto, la recopilación de evidencia
digital debe comenzar con las pruebas más
volátiles hasta llegar a las menos volátiles.
• Deben registrarse detalles de los sistemas
desde los que se recopiló la evidencia, lo que
incluye quién tiene acceso a los sistemas y
en qué nivel de permisos.
Cadena de custodia
• La cadena de custodia implica la recopilación, el manejo y el almacenamiento seguro
de la evidencia.
• Deben mantenerse registros detallados de lo siguiente:
• ¿Quién descubrió y recopiló la evidencia?
• Todos los detalles sobre el manejo de la evidencia, incluidos momentos, lugares y

personal involucrado.
• ¿Quién era el responsable principal de la evidencia, cuándo se le asignó la
responsabilidad y cuándo cambió la custodia?
• Quién tiene acceso físico a la evidencia mientras está almacenada. El acceso
debe limitarse solamente al personal esencial.

Integridad y preservación de los datos
• Se debe conservar la marca de tiempo de los archivos. Por esto, debe copiarse la
evidencia original y los análisis deben realizarse solamente en las copias del original.
• Dado que las marcas de hora pueden formar parte de la evidencia, se debe evitar abrir
archivos desde el medio original.
• Por esta razón, es importante archivar y proteger el disco original para mantenerlo en su
condición original, sin alteraciones.
• Deben utilizarse herramientas especiales para preservar la evidencia forense antes de
que el dispositivo se apague y las pruebas se pierdan.
• Los usuarios no deben desconectar, desenchufar ni apagar máquinas infectadas, a
menos que el personal de seguridad lo indique explícitamente.
• El seguimiento de estos procesos garantizará que se conserven todas las pruebas de
conducta ilícita y que se puedan identificar indicadores de avenencia.
Atribución de ataques
• La atribución de una amenaza hace referencia a la acción de determinar a la persona, organización o
nación responsable de una intrusión o ataque exitosos.
• La identificación de los atacantes responsables debe darse por medio de la investigación sistemática y
fundamentada de la evidencia.
• En las investigaciones con base en evidencias, el equipo de respuesta ante los incidentes correlaciona
las tácticas, las técnicas y los procedimientos (TTP, Tactics, Techniques and Procedures) empleados en
el incidente con los de otros ataques conocidos.
• Algunos aspectos de una amenaza que pueden ayudar a la atribución son la ubicación de los hosts o
dominios originarios, las características del código utilizado en malware, las herramientas utilizadas y
otras técnicas.
• Para las amenazas internas, la administración de activos desempeña un papel fundamental. Descubrir
los dispositivos desde donde se inició un ataque puede llevar directamente al agente de amenaza.
• Las direcciones IP, las direcciones MAC y los registros de DHCP pueden ayudar a rastrear las
direcciones usadas en el ataque hasta llegar a un dispositivo específico.
El marco MITRE ATT&CK
• El marco de tácticas adversariales, técnicas y conocimiento común (ATT&CK) de MITRE permite
detectar tácticas, técnicas y procedimientos del atacante como parte de la defensa de amenazas y
la atribución de ataques.
• Las tácticas consisten en los objetivos técnicos que un atacante debe lograr para ejecutar un
ataque.
• Las técnicas son el medio por el cual se llevan a cabo las tácticas.
• Por último, los procedimientos son las acciones específicas tomadas por los actores amenazadores
en las técnicas identificadas.
• El marco MITRE ATT&CK es una base de conocimiento global sobre el comportamiento de los
atacantes
• Está diseñado para permitir el intercambio automatizado de información mediante la definición de
estructuras de datos para el intercambio de información entre su comunidad de usuarios y MITRE.
Nota: Haga una búsqueda en Internet en MITRE ATT&CK para obtener más información sobre la herramienta.

El marco MITRE ATT&CK
• La figura muestra un análisis de una ataque de ransomware de la excelente sandbox en
línea ANY.RUN. Las columnas muestran las tácticas de matriz de ataque empresarial, con
las técnicas que utiliza el malware dispuestas debajo de las columnas.
Matriz MITRE ATT&CK para una explotación de ransomware

28.2 Cadenas de Eliminación
Cibernética

Pasos de la cadena de ciber-eliminación
• La cadena de ciber-eliminación fue
desarrollada por Lockheed Martin para
identificar y evitar ciber-intrusiones.
• Al responder a un incidente de seguridad, el
objetivo es detectar y detener el ataque lo
antes posible en el transcurso de la cadena
de eliminación.
• Si el atacante es detenido en cualquier
etapa, la cadena de muerte se rompe y el
defensor frustró con éxito la intrusión del
actor amenaza. Pasos de la Cadenas de Eliminación Cibernética
Nota: Atacante se refiere a la parte que instigó el ataque. Sin embargo, Lockheed Martin utiliza el término “adversario” en su
descripción de la cadena de ciber-eliminación. Por lo tanto, los términos adversario y agente de amenaza, se usan como
sinónimos en este tema.

La cadena de eliminación cibernética
Reconocimiento Tácticas de los atacantes Defensas del SOC
• El reconocimiento tiene lugar Planificar y dirigir la Descubrir la intención del
cuando el atacante realiza una investigación: atacante:
búsqueda, reúne inteligencia y • Recolectar direcciones • Alertas de archivos de
selecciona objetivos. de correo electrónico registro web y datos de
• Identificar empleados en búsqueda históricos
• El atacanteescogerá objetivos redes de medios sociales • Análisis de navegadores
descuidados o sin protección • Reunir toda la para minería de datos
información de • Elaborar guías prácticas
porque es mayor la posibilidad de
relaciones públicas para detectar
penetrarlos y atacarlos (comunicados de prensa, comportamientos que
exitosamente. galardones, asistentes a indiquen actividades de
• La tabla resume algunas de las conferencias, etc.) reconocimiento
• Detectar servidores que • Priorizar la defensa en torno
tácticas y defensas que se utilizan tienen contacto con a las tecnologías y las
durante el paso de Internet personas a las que se dirige
reconocimiento. • Realice análisis de la red la actividad de
para identificar reconocimiento.
direcciones IP y puertos
abiertos.
Tácticas de los
Armamentización atacantes
Defensas del SOC
• El objetivo de armamento es utilizar la Preparar y organizar la Detectar y reunir artefactos

información de reconocimiento para operación: relacionados con las armas:
desarrollar un arma contra sistemas o • Conseguir una • Asegúrese de que las reglas y
herramienta firmas de IDS estén
individuos que sean blancos
automatizada para actualizadas.
específicos en la organización. aplicar la carga útil • Realizar un análisis de malware
• A menudo, es más eficaz utilizar un del malware completo.
ataque de día cero para evitar los (componente para • Desarrollar detecciones para el
diseñar armas). comportamiento de componentes
métodos de detección. • Seleccionar o crear conocidos para diseñar armas.
• Un ataque de día cero utiliza un arma un documento que se • ¿El malware es antiguo, está
desconocida para los defensores y los presentará a la “descatalogado”, o se trata de
víctima. malware nuevo que podría
sistemas de seguridad de la red.
• Seleccionar o crear la indicar un ataque a medida?
• La tabla resume algunas de las puerta trasera y la • Reunir archivos y metadatos
tácticas y defensas que se utilizan infraestructura de para análisis futuros.
comando y control. • Determinar qué artefactos
durante el paso de preparación.
relacionados con el diseño de
armas son comunes en qué
campañas.
Entrega Tácticas de los
• Durante este paso, el arma se transmite al
Defensas del SOC
atacantes
objetivo mediante un vector de entrega. Si Iniciar el malware en el Aplicación de malware en
no se entrega el arma, el ataque no tiene objetivo: bloque:
éxito. • En forma directa • Analizar la ruta de la
contra servidores web infraestructura utilizada
• El atacante utilizará métodos diferentes
• Aplicación indirecta para la entrega.
para aumentar las posibilidades de entrega por medio de: • Saber los detalles de los
de la carga útil, como encriptar las • Correo electrónico servidores, las personas y
comunicaciones, modificar el código para malicioso los datos objetivo
que parezca legítimo u ocultar el código. • Malware en disponibles para el
unidad USB ataque.
• Los sensores de seguridad son tan • Interacciones de • Inferir el propósito del
avanzados que pueden detectar el código los medios atacante a partir de sus
malicioso, a menos que se altere para sociales objetivos.
evitarlo. • Sitios web • Reunir archivos de
afectados registro web y de correo
• La tabla resume algunas de las tácticas y electrónico para una
defensas que se utilizan durante el paso de reconstrucción forense.
entrega. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Explotación
• Una vez aplicada el arma, el actor de la amenaza la utiliza para quebrar la vulnerabilidad y obtener el
control del objetivo.
• Los objetivos de ataque más comunes son las aplicaciones, las vulnerabilidades de sistemas operativos y
los usuarios.
• La tabla resume algunas de las tácticas y defensas que se utilizan durante el paso de aprovechamiento.
Tácticas de los atacantes Defensas del SOC

Aprovechar una vulnerabilidad para obtener Capacitar a los empleados, asegurar los códigos y
acceso: fortalecer los dispositivos:
• Utilizar software, hardware o una • Capacitación de conciencia de los empleados de
vulnerabilidad humana seguridad y pruebas de correo electrónico
• Adquirir o desarrollar ataque • Capacitación para desarrolladores web sobre
• Utilizar un ataque iniciado por un atacante formas de asegurar códigos
para vulnerabilidades de servidores • Escaneo de vulnerabilidades y pruebas de
• Utilizar un ataque iniciado por una víctima penetración en forma periódica
como abrir un adjunto de correo electrónico • Medidas para fortalecer terminales
o un enlace web malicioso • Auditoría de terminales para determinar el origen
del ataque con métodos forenses
Instalación
• En el paso de instalación, el atacante establece una puerta trasera al sistema para poder seguir
accediendo al objetivo.
• Para preservar esta puerta trasera, es importante que el acceso remoto no alerte a los analistas de
ciberseguridad ni a los usuarios. Para ser eficaz, el método de acceso debe sobrevivir a los análisis
antimalware y al reinicio de la computadora.
• La tabla resume algunas de las tácticas y defensas que se utilizan durante el paso de instalación.

Instalar una puerta trasera persistente: Detectar, registrar y analizar la actividad de instalación:
• Instalar un shell web en el servidor web para • HIPS para alertar sobre rutas de instalación
un acceso persistente. comunes o bloquearlas.
• Agregar servicios como claves de AutoRun, • Determinar si el malware requiere privilegios
etc. para crear puntos de persistencia. elevados o privilegios de usuario
• Algunos atacantes modifican la marca de • Auditoría de terminales para detectar archivos
hora del malware para que parezca parte creados de manera anómala.
del sistema operativo. • Determinar si el malware es una amenaza conocida
o una variante nueva.

Comando y control Abrir canal para la Última oportunidad para bloquear la
• En este paso, el objetivo es manipulación de destinos: operación:
establecer el comando y control • Abrir canal de • Investigar posibles
(CnC o C2) con el sistema objetivo. comunicaciones infraestructuras de CnC nuevas.
• Los hosts atacados suelen enviar bidireccional a la • Detectar la infraestructura de
infraestructura de CNC. CnC a través del análisis de
información fuera de la red a un
• Los canales de CNC más malware.
controlador en Internet. comunes sobre la web, • Aislar el tráfico DNS a
• El agente de amenaza utiliza los DNS y los protocolos de servidores DNS sospechosos,
canales de CnC para emitir correo electrónico. especialmente DNS dinámico
comandos al software que instala en • La infraestructura de CNC • Evitar el impacto bloqueando o
el objetivo. puede ser propiedad del deshabilitando el canal de CNC.
atacante o de otra red • Consolidar la cantidad de
• El analista de ciberseguridad debe víctima en sí. puntos de presencia en Internet.
ser capaz de detectar • Personalizar el bloqueo de
comunicaciones de CnC para reglas de protocolos de CNC en
descubrir el host atacado. proxis web.
• La tabla resume algunas de las tácticas y defensas que se utilizan durante el paso de comando y control.
Acciones en objetivos Tácticas de los
Defensas del SOC
atacantes
• Acciones sobre Objetivos es el paso
Cosechar los frutos de un Detectar mediante evidencias
final de la Cadenas de Eliminación ataque exitoso: forenses:
Cibernética que describe al atacante • Reunir credenciales • Establecer una guía de
logrando su objetivo original. de usuarios. respuesta ante los
• En este punto, el actor de la • Escalamiento de incidentes.
privilegios. • Detectar ex-filtración de
amenaza está profundamente • Reconocimiento datos, movimiento lateral y
arraigado en los sistemas de la interno uso no autorizado de
organización, ocultando sus • Movimiento lateral a credenciales.
movimientos y cubriendo sus huellas. través del entorno. • Respuesta inmediata del
• Es extremadamente difícil eliminar el • Recopilar y exfiltrar analista para todas las
datos. alertas.
agente de amenaza de la red. • Destruir sistemas. • Análisis forense de
• La tabla resume algunas de las • Sobrescribir, modificar terminales para una
tácticas y defensas que se utilizan o corromper datos. priorización rápida de las
medidas a tomar.
durante el paso de acciones en
• Capturas de paquetes de red
objetivos. para recrear la actividad.
© 2016 Cisco•y/o sus
Evaluar
filiales. Todos losdaños.
derechos reservados.
28.3 Análisis del modelo de
diamante de las intrusiones

Análisis del modelo de diamante de las intrusiones
Descripción general del modelo de diamante
El modelo de diamante de análisis de intrusiones representa
un incidente o un evento de seguridad.
Las cuatro características principales de un evento de
intrusión son:
• Adversario - Partes responsables de la intrusión.
• Capacidad - Se trata de una herramienta o técnica que
utiliza el adversario para atacar a la víctima.
• - Infraestructura - La ruta o rutas de red que utilizan los
adversarios para establecer y mantener el comando y
control de sus funcionalidades
• Víctima - El objetivo del ataque.
• Las metas – Características que amplían ligeramente el
modelo para incluir los elementos importantes: Marca de
tiempo, Fase, Result , Direction, Metodología y
Recursos
Cómo desplazarse por el modelo de diamante
• El Modelo de diamante es ideal para ilustrar de qué
manera el atacante pasa de un evento al siguiente.
Por ejemplo:
• Un empleado informa que su computadora se
comporta de manera extraña. El técnico de
seguridad realiza un análisis del host que indica que
la computadora está infectada con malware.
• Un análisis del malware revela que el malware
contiene una lista de nombres de dominio de CnC
que se resuelven en una lista de direcciones IP.
• Estas direcciones IP se utilizan para identificar al
Caracterización del modelo de diamante de un ataque
adversario, así como para investigar los registros a
fin de determinar si otras víctimas de la organización
utilizan el canal de CnC.

El modelo de diamante y la Cadenas de Eliminación Cibernética
• Los eventos se enhebran juntos en una cadena en la que cada evento debe completarse antes
del siguiente evento. Esta serie de eventos puede asignarse a la cadena de ciber-eliminación.
• El ejemplo ilustra el proceso de extremo a extremo de un
adversario a medida que atraviesan la Cadenas de
Eliminación Cibernética:
• El adversario realiza una búsqueda web sobre la
empresa víctima Gadgets, Inc. y recibe, como parte de
los resultados, el nombre de dominio gadgets.com.
• Búsqueda adversario "administrador de red
gadget.com" y descubre las publicaciones del foro de
los usuarios que dicen ser administradores de red de
gadget.com y los perfiles revelan sus direcciones de
correo electrónico.
• El adversario envía correos electrónicos de
suplantación de identidad con un troyano adjunto a los
administradores de red.
• Un administrador de red (NA1) abre el archivo
adjunto malicioso que ejecuta el ataque
incluido.
• El host del NA1 se registra con un controlador
de CnC enviando un mensaje HTTP publicado
y recibe una respuesta HTTP de vuelta.
• Se revela de la ingeniería inversa que el
malware tiene direcciones IP de copia de
seguridad adicionales.
• Mediante un mensaje de respuesta HTTP de
CnC enviado al host de NA1, el malware
comienza a actuar como un proxy para nuevas
conexiones de TCP.
• Mediante la información del proxy ejecutado en el host de
NA1, el adversario realiza una búsqueda web con las palabras
“la investigación más importante de todos los tiempos” y
encuentra a la víctima 2, Interesting Research Inc.
• El adversario consulta la lista de contactos de correo
electrónico de NA1 para buscar contactos de
Interesting Research, Inc. y descubre el contacto del Director
principal de investigaciones de Interesting Research, Inc.
• El Director principal de investigaciones de
Interesting Research, Inc. recibe un correo electrónico de
phishing dirigido desde la dirección de correo electrónico de
NA1 de Gadget, Inc. enviado desde el host de NA1 con la
misma carga útil del evento 3.
• El adversario tiene ahora dos víctimas afectadas desde las que
puede iniciar ataques adicionales.

28.4 Respuesta ante
incidentes

¿Cómo establecer una capacidad de respuesta ante los
incidentes?
• Los objetivos de la respuesta ante incidentes
son limitar el impacto del ataque, evaluar los
daños causados e implementar procedimientos
de recuperación.
• La respuesta a incidentes implica los métodos,
políticas y procedimientos que utiliza una
organización para responder a un ataque
cibernético.
Nota: Aunque este capítulo resuma gran parte del contenido en

el estándar NIST 800-61r2, debería familiarizarse con la
publicación entera para cubrir todos los temas del examen
Entendiendo Operaciones Fundamentales de Cisco
Ciberseguridad (Understanding Cisco Cybersecurity
Operations Fundamentals)..
Establecer una capacidad de respuesta ante los incidentes
• La siguiente tabla resume los elementos de política, plan y procedimiento en una respuesta a incidentes:
Elementos de la política Elementos del plan Elementos del
procedimiento
• Declaración del compromiso de la • Misión • Procesos técnicos
gerencia • Estrategias y metas • Usar técnicas
• Propósito y objetivos de la política • Aprobación de la cúpula gerencial • Rellenar formularios
• Alcance de la política • Enfoque organizativo para la • Siguiendo listas de
• Definición de incidentes de respuesta ante los incidentes comprobación
seguridad informática y términos • Cómo se comunicará el equipo de
relacionados respuesta ante los incidentes con
• Estructura organizacional y el resto de la organización y con
definición de roles, otras organizaciones
responsabilidades y niveles de • Métricas para medir la
autoridad funcionalidad de respuesta ante los
• Calificaciones de priorización o incidentes.
gravedad de incidentes • Cómo encaja el programa en la
• Acciones de desempeño organización general
• Formularios de informes y contacto
Partes interesadas de la respuesta ante los incidentes
• Las partes interesadas involucradas en la entrega de un incidente de seguridad son las
siguientes:
• Administración
• Protección de la información
• Soporte de TI
• Departamento Legal
• Relaciones públicas y con los medios
• Recursos humanos
• Planificadores de continuidad del negocio
• Administración de instalaciones y seguridad física

Partes interesadas de la respuesta ante los incidentes
La certificación del modelo de madurez de ciberseguridad
(CMMC)
• La CMMC certifica las organizaciones por nivel. Para la mayoría de
los dominios, hay cinco niveles, sin embargo, para la respuesta a
incidentes, sólo hay cuatro.
• Nivel 2 - Establecer un plan de respuesta a incidentes que siga
el proceso NIST.
• Nivel 3 - Documentar e informar a las partes interesadas que
hayan sido identificadas en el plan de respuesta a incidentes.
• Nivel 4 - Utilice el conocimiento de las tácticas, técnicas y
procedimientos del atacante (TPT) para refinar la planificación y
ejecución de la respuesta a incidentes.
• Nivel 5 - Utilizar técnicas informatizadas aceptadas y
sistemáticas de recopilación de datos forenses, incluido el
manejo y almacenamiento seguros de datos forenses .
Ciclo útil de la respuesta ante los incidentes de NIST
• NIST define cuatro pasos en el ciclo de vida del proceso de respuesta ante los incidentes:
• Preparación: los miembros del CSIRT reciben capacitación sobre cómo responder ante un
incidente.
• Detección y análisis: mediante el monitoreo continuo, el CSIRT identifica, analiza y valida
rápidamente un incidente.
• Contención, erradicación y recuperación: el CSIRT implementa procedimientos para
contener la amenaza, erradicar el impacto en los activos de la organización y utilizar copias de
respaldo para restaurar datos y software.
• Actividades posteriores al incidente: luego, el CSIRT documenta cómo se manejó el
incidente, recomienda cambios para respuestas futuras y especifica cómo evitar que vuelva a
suceder.

Preparación
La fase de preparación tiene lugar cuando se crea el CSIRT y se lo capacita. Esta fase ocurre
cuando se adquieren e implementan las herramientas y los activos que serán necesarios para que
el equipo investigue los incidentes.
Los ejemplos de las acciones de la fase de preparación son las siguientes:
• Se crean instalaciones para alojar al equipo de respuesta y al SOC.
• Las evaluaciones de riesgos se utilizan para implementar controles que limitarán la cantidad de
incidentes.
• Se desarrollan materiales de capacitación para usuarios con el fin de concientizarlos sobre la
seguridad.
• Se adquiere el hardware y software necesario para el análisis de incidentes y la mitigación.

Detección y análisis
• Los distintos tipos de incidentes requieren respuestas diferentes.
• Vectores de Ataque: Web, Correo Electrónico, Pérdida o Robo, Suplantación, Desgaste y

Medios.
• Detección: Detección automatizada - Software antivirus, IDS, detección manual - informes
de usuario.
• Análisis: utilice la generación de perfiles de red y del sistema para determinar la validez de
los incidentes de seguridad.
• Scooping: Proporcione información sobre la contención del incidente y un análisis más
profundo de los efectos del incidente.
• Notificación de Incidentes:
Notificar a las partes interesadas
apropiadas y a las partes externas,
una vez que el incidente sea
analizado y priorizado, © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Contención, erradicación y recuperación
• Después de determinar la validez del incidente a través de la detección y el análisis, debe ser
contenido.
• Estrategia de contención: Para cada tipo de incidente, se debe crear y aplicar una estrategia de
contención dependiendo de algunas condiciones.
• Evidencia: Durante un incidente, se deben reunir pruebas para resolverlo. Es necesario para la
investigación posterior por parte de las autoridades.
• Identificación de atacantes: la identificación de atacantes minimizará el impacto en los activos y
servicios empresariales críticos.
• Erradicación, recuperación y
remediación: para erradicar, identificar
todos los hosts que necesitan ser
remediado; para recuperar hosts, utilizar
copias de seguridad limpias y recientes,
o reconstruirlos con medios de
instalación.
Actividades posteriores al incidente
• Es importante realizar una reunión posterior al incidente y periódicamente con todas las
partes implicadas para analizar los eventos que tuvieron lugar y las acciones de todas las
personas mientras se controla el incidente.
¿Cómo aprovechar las lecciones para fortalecerse?:
• La organización debe realizar una reunión sobre "lecciones aprendidas" para:
•Revisar la eficacia del proceso de manejo de incidentes.
•Identificar el refuerzo necesario para las prácticas y los controles de seguridad
actuales.

Recopilación de datos y retención de incidentes
• La tabla siguiente resume la recopilación y retención de datos de incidentes:
Recopilación de datos y retención de incidentes de clientes
• En las reuniones de 'lecciones aprendidas', los datos Estos son algunos de los factores que determinan la
recopilados pueden utilizarse para: retención de evidencia:
• Determinar el costo de un incidente por motivos de • Acusaciones: cuando se acusa judicialmente
presupuestos. a un atacante por un incidente de seguridad,
• Determinar la eficacia del CSIRT. la evidencia debe conservarse hasta después
de finalizar con todas las acciones legales.
• Identificar los puntos débiles de seguridad posibles
en todo el sistema. • Tipo de datos: una organización puede
especificar qué tipos específicos de datos
• El tiempo de cada incidente proporciona información deben mantenerse durante un período
sobre la cantidad total de mano de obra utilizada y el determinado.
tiempo total que tomó cada fase del proceso de
respuesta ante los incidentes. • Costo: si hay mucho hardware y muchos
medios de almacenamiento que deben
• Solo deben recopilarse datos que puedan utilizarse almacenarse durante un tiempo prolongado,
para definir y refinar el proceso de manejo de eso puede ser costoso.
incidentes.
• Es importante realizar una evaluación objetiva de cada
incidente. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Requisitos para la creación de informes y el intercambio de información
• El equipo legal debe consultar las regulaciones gubernamentales para determinar la
responsabilidad de la organización de informar el incidente.
• Además, los directivos necesitarán determinar qué comunicación adicional es necesaria con otras
partes interesadas, como clientes, proveedores, socios, etc.
• NIST recomienda que una organización trabaje en conjunto con otras para compartir información
sobre incidentes. Las recomendaciones fundamentales del NIST para el intercambio de
información son las siguientes:
• Planificar la coordinación de incidentes con participantes externos antes de que ocurran
incidentes.
• Consultar con el departamento legal antes de iniciar cualquier tarea de coordinación.
• Intercambiar información sobre el incidente durante todo el ciclo de vida de respuesta ante los
incidentes.
• Intentar automatizar al máximo el proceso de intercambio de información.
• Sopesar los beneficios del intercambio de información con las desventajas de compartir
información confidencial. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Práctica de laboratorio: Manejo de incidentes
En esta práctica de laboratorio, se aplicará todo el conocimiento adquirido sobre
procedimientos para el manejo de incidentes de seguridad a fin de formular preguntas sobre
determinadas situaciones de incidentes.

28.5 Resumen: Análisis y
respuesta de incidentes e
informática forense digital

Resumen: Análisis y respuesta de incidentes e informática forense digital
¿Qué aprendí de este módulo?
• La informática forense digital consiste en la recuperación e investigación de la información
que se encuentra en dispositivos digitales en relación con actividades delictivas.
• Los indicadores de compromiso son la evidencia de que se ha producido un incidente de
ciberseguridad.
• El proceso forense incluye cuatro pasos: recolección, examen, análisis y presentación de
informes.
• En los procedimientos judiciales, las pruebas se clasifican ampliamente como pruebas
directas, indirectas, mejores y que corroboran.
• La atribución de una amenaza hace referencia a la acción de determinar a la persona,
organización o nación responsable de una intrusión o ataque exitosos.
• En las investigaciones con base en evidencias, el equipo de respuesta ante los incidentes
correlaciona las tácticas, las técnicas y los procedimientos (TTP, Tactics, Techniques and
Procedures) empleados en el incidente con los de otros ataques conocidos.
Resumen: Análisis y respuesta de incidentes e informática forense digital
¿Qué aprendí de este módulo?
• El marco de tácticas adversariales, técnicas y conocimiento común (ATT&CK) de MITRE permite
detectar tácticas, técnicas y procedimientos del atacante como parte de la defensa de
amenazas y la atribución de ataques.
• La cadena de ciber eliminación (Cyber Kill Chain) fue desarrollada para identificar y evitar ciber
intrusiones.
• Los pasos de la cadena de ciber eliminación (Cyber Kill Chain) son reconocimiento, armamento,
entrega, explotación, instalación, comando y control, y acciones sobre objetivos.
• El modelo de diamante de análisis de intrusiones representa un incidente o un evento de
seguridad.
• Las cuatro características principales de un evento de intrusión son el adversario, la capacidad,
la infraestructura y la víctima.
• La respuesta a incidentes implica los métodos, políticas y procedimientos que utiliza una
organización para responder a un ataque cibernético.

CA Module 28

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CA Module 28

Cargado por

Copyright:

Formatos disponibles

Análisis y respuesta de incidentes

e informática forense digital

CyberOps Associate v1.0

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

CyberOps Associate v1.0

Título del tema Objetivo del tema

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• ¿Quién descubrió y recopiló la evidencia?

• Todos los detalles sobre el manejo de la evidencia, incluidos momentos, lugares y

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Matriz MITRE ATT&CK para una explotación de ransomware

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• El objetivo de armamento es utilizar la Preparar y organizar la Detectar y reunir artefactos

Tácticas de los atacantes Defensas del SOC

Tácticas de los atacantes Defensas del SOC

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Nota: Aunque este capítulo resuma gran parte del contenido en

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Vectores de Ataque: Web, Correo Electrónico, Pérdida o Robo, Suplantación, Desgaste y

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

También podría gustarte