Implementar la gestión de incidentes

Monitoreo en tiempo real y medidas preventivas.

Registro e instrumentación

Respuesta automatizada a incidentes

Enumere y describa los pasos de gestión de incidentes. El dominio de Operaciones de Seguridad del CISSP enumera los pasos de gestión de incidentes: detección, respuesta, contención, informes, recuperación, remediación y lecciones aprendidas. Una vez detectado y probado un incidente, la primera respuesta es limitar o contener el alcance del incidente protegiendo al mismo tiempo la evidencia. Dependiendo de las leyes pertinentes, es posible que las organizaciones deban informar incidentes a las autoridades pertinentes. Si la información de identificación personal (PII) se ve comprometida, las personas relevantes también deberán ser notificadas de la situación. La fase de remediación y lecciones aprendidas incluye la realización de un análisis de la causa raíz para determinar la causa y proponer soluciones para evitar que el incidente vuelva a ocurrir.

Aprenda las precauciones básicas. Las precauciones básicas pueden evitar que ocurran muchos incidentes. Estos incluyen mantener los sistemas actualizados, eliminar o deshabilitar protocolos y servicios innecesarios, usar sistemas de prevención y detección de intrusiones, usar programas antimalware equipados con las últimas firmas y habilitar firewalls basados ​​en host y red.

Comprenda la diferencia entre lista blanca y lista negra. La lista blanca de software proporciona una lista de software aprobado para evitar que se instale en el sistema cualquier otro software que no esté en la lista. La lista negra proporciona una lista de software no aprobado para evitar que se instale en el sistema cualquier software de la lista.

Obtenga más información sobre las zonas de pruebas. Un sandbox proporciona un entorno aislado que evita que el código que se ejecuta dentro del sandbox interactúe con elementos fuera del sandbox.

Conozca los servicios de seguridad proporcionados por terceros. Los servicios de seguridad de terceros ayudan a las organizaciones a mejorar los servicios de seguridad proporcionados por su personal interno. Muchas organizaciones utilizan soluciones basadas en la nube para mejorar la seguridad interna.

Obtenga información sobre botnets, controladores de botnets y molestos. Las botnets pueden movilizar una gran cantidad de computadoras para lanzar ataques y representar una amenaza importante. Por lo tanto, es necesario comprender qué es una botnet. Una botnet es una colección de dispositivos informáticos comprometidos (a menudo llamados títeres o zombis) que forman una red y están controlados por delincuentes conocidos como pastores de zombis. Los pastores de zombis controlan remotamente a los zombis a través de servidores C&C, y a menudo utilizan botnets para lanzar ataques a otros sistemas o enviar correos electrónicos no deseados o de phishing. Los pastores de zombis también alquilan el acceso a sus botnets a otros delincuentes.

Obtenga más información sobre los ataques de denegación de servicio (DoS). Los ataques DoS impiden que un sistema responda a solicitudes de servicio legítimas. El ataque de inundación SYN que destruye el protocolo de enlace de tres vías TCP es un método de ataque DoS común. Incluso si los ataques de la vieja escuela son menos comunes hoy en día debido a precauciones básicas, aún encontrará preguntas en esta área porque muchos ataques nuevos a menudo son solo variaciones de métodos más antiguos. El ataque pitufo utiliza un Fang Dawang para enviar una gran cantidad de paquetes de respuesta a la víctima. El ataque Ping of Death envía una gran cantidad de paquetes ping extremadamente grandes a la víctima, lo que hace que el sistema de la víctima se congele, falle o se reinicie.

Obtenga más información sobre los exploits de día cero. Un exploit de día cero es un ataque que aprovecha una vulnerabilidad que nadie más que el atacante conoce y que sólo conoce un número limitado de personas. A primera vista, esto parece un exploit desconocido que no se puede prevenir, pero las instrucciones de seguridad básicas aún pueden ser de gran ayuda para prevenir los exploits de día cero. Al eliminar o deshabilitar protocolos y servicios innecesarios, se puede reducir la superficie de ataque del sistema: un firewall puede bloquear muchos puntos de acceso y un sistema de detección y prevención de intrusiones puede detectar y bloquear fácilmente ataques potenciales; Además, mediante el uso de herramientas como los honeypots, también puedes ayudar a proteger las redes activas.

Obtenga más información sobre los ataques de intermediario. Un ataque de intermediario ocurre cuando un usuario intencional puede ocupar una posición lógica entre dos puntos finales de una línea de comunicación. Aunque el atacante necesita hacer muchas cosas complicadas para completar un ataque de intermediario, la cantidad de datos que obtiene del ataque también es bastante grande.

Obtenga información sobre la detección y prevención de intrusiones. IDS e IPS son importantes herramientas de detección y prevención contra ataques. Debe comprender la diferencia entre la detección basada en conocimientos (que utiliza una base de datos similar a la biblioteca de firmas Anti-Aware) y la detección basada en el comportamiento. La detección basada en el comportamiento primero crea una línea de base para identificar el comportamiento normal y luego compara varias actividades con la línea de base para detectar actividades anormales. Si la red cambia, la línea base puede quedar obsoleta, por lo que la línea base debe actualizarse tan pronto como cambie el entorno.

Comprender las respuestas de IDS/IPS. IDS puede responder pasivamente registrando y enviando notificaciones, o proactivamente cambiando el entorno. Algunas personas llaman IDS activo IPS. Pero es importante darse cuenta de que los IPS colocados en las líneas en línea que transportan tráfico pueden interceptar el tráfico antes de que alcance su objetivo.

Conozca la diferencia entre HIDS y NIDS. Los IDS basados ​​en host (HIDS) solo pueden monitorear la actividad en un único sistema. La desventaja es que un atacante puede descubrirlos y desactivarlos. Los IDS basados ​​en red (NIDS) pueden monitorear las actividades en una red y son invisibles para los atacantes.

Describir honeypots y honeynets. Un honeypot es un sistema que a menudo utiliza fallas y datos falsos para atraer a intrusos. Una Honeynet son dos o más Honeypots en una red. Los administradores pueden observar las actividades de los atacantes después de que ingresan al honeypot. Mientras los atacantes estén en el honeypot, no estarán en la red activa.

Aprenda a bloquear código malicioso. Varias herramientas pueden bloquear códigos maliciosos cuando se usan juntas. Entre ellos, los programas antimalware, instalados en cada sistema, borde de red y servidor de correo electrónico y equipados con las últimas definiciones, son las herramientas más obvias. Sin embargo, las políticas basadas en principios de seguridad básicos, como el principio de privilegio mínimo, también pueden impedir que los usuarios comunes instalen software potencialmente malicioso. Además, educar a los usuarios sobre los riesgos y los métodos comúnmente utilizados por los atacantes para propagar virus también puede ayudar a los usuarios a comprender y evitar comportamientos riesgosos.

Comprenda los tipos de archivos de registro. Los datos de registro se registran en bases de datos y varios archivos de registro. Los archivos de registro comunes incluyen registros de seguridad, registros del sistema, registros de aplicaciones, registros de firewall, registros de agentes y registros de cambios. Los archivos de registro deben almacenarse de forma centralizada y protegerse restringiendo los permisos de acceso, mientras que los registros archivados deben configurarse como de solo lectura para evitar manipulaciones.

Obtenga información sobre las pruebas y para qué se utilizan las herramientas de prueba. Las salas de detección se centran en una forma de auditoría que revisa de forma proactiva los datos de los archivos de registro. La detección se utiliza para responsabilizar a los sujetos por sus acciones y para detectar actividades inusuales o maliciosas. La instrumentación también se utiliza para monitorear el desempeño del sistema. Las herramientas de monitoreo como IDS y SIEM pueden monitorear y proporcionar análisis de eventos en tiempo real de manera automática y continua, incluido el monitoreo de la situación dentro de la red, el flujo de comunicación que ingresa a la red y el flujo de comunicación que sale de la red. La gestión de registros incluye registros de análisis y registros archivados.

Interpretar la pista de auditoría. Una pista de auditoría es un registro creado cuando la información sobre un evento y las circunstancias que lo rodean se escribe en una o más bases de datos o archivos de registro. Los seguimientos de auditoría se pueden utilizar para reconstruir eventos, extraer información sobre eventos, demostrar culpabilidad o refutar acusaciones. El uso de una pista de auditoría es una forma pasiva de implementar controles de seguridad detectivescos. Las pistas de auditoría también son pruebas esenciales para procesar a los delincuentes.

Aprenda a ser responsable. Mediante el uso de auditorías se puede mantener la rendición de cuentas de los actores individuales. Los registros registran las actividades de los usuarios y los usuarios son responsables de las acciones registradas. Esto tiene un papel directo en promover que los usuarios formen buenos hábitos de comportamiento y cumplan con las políticas de seguridad de la organización.

Aprenda sobre muestreo y corte. El muestreo, también llamado extracción de datos, se refiere al proceso de extraer elementos específicos de una gran cantidad de datos para formar una descripción general o un resumen significativo. El muestreo estadístico utiliza funciones matemáticas precisas para extraer información significativa de grandes cantidades de datos. El recorte actúa como una forma de muestreo no estadístico, registrando sólo eventos que exceden un umbral.

Describir las fuentes de amenazas y la búsqueda de amenazas. Las fuentes de amenazas proporcionan a las organizaciones un flujo constante de datos sin procesar. Al analizar las fuentes de amenazas, los administradores de seguridad pueden comprender el panorama de amenazas actual. Luego pueden usar esta información para buscar en la red signos de estas amenazas.

Comprender la relación entre el aprendizaje automático (ML) y la inteligencia artificial (IA). ML es un componente de la IA y se refiere a la capacidad de aprendizaje del sistema. La IA es un tema amplio que incluye el aprendizaje automático.

Obtenga más información sobre SOAR. La tecnología SOAR puede responder automáticamente a los eventos. Uno de los principales beneficios de SOAR es que reduce la carga de trabajo de los administradores. También elimina el error humano al hacer que los sistemas informáticos respondan.

1. ¿Cuáles de las siguientes opciones son pasos o fases válidas de gestión de incidentes enumerados en los objetivos del CISSP? (Seleccione todas las que correspondan.) A. Prevención B. Detección C.Informe D. Resumir las lecciones E. Copia de seguridad

2. Está solucionando un problema en la computadora del usuario. Verifique los registros del sistema de detección de intrusiones basado en host (HIDS) y confirme que Se determina que esta computadora ha sido comprometida por malware. A continuación, ¿cuál de las siguientes opciones debería elegir? A. Aislar la computadora de la red B. Ver los registros HIDS de las computadoras cercanas C. Realizar un análisis antivirus D. Analizar el sistema para descubrir cómo se infectó.

3. Entre los pasos de gestión de incidentes propuestos por (ISC)2, ¿cuál paso se debe realizar primero? Una respuesta B. Inhibir C. Remedio D. Detección

4. ¿Cuáles de las siguientes opciones son controles de seguridad básicos que pueden prevenir muchos ataques? (Elija 3.) A. Mantener actualizados los sistemas y aplicaciones B. Implementar tecnologías de orquestación, automatización y respuesta de seguridad (SOAR) C. Eliminar o desactivar servicios o protocolos innecesarios D. Utilice los últimos programas de software antispam E. Utilice WAF en la frontera

5. El administrador de seguridad está revisando todos los datos recopilados por el registro de eventos. ¿Cuál de las siguientes es la mejor representación de este conjunto de datos? A. Identificación B. Pista de auditoría C.Autorización D.Confidencialidad

6. Un servidor de archivos en su red falló recientemente. La investigación reveló que los registros habían crecido tanto que ocupaban todo el disco duro. Decide habilitar el registro continuo para evitar que esto vuelva a suceder. ¿Cuál de los siguientes es el primer paso que debes dar? A. Configure el registro para que sobrescriba automáticamente las entradas antiguas. B. Copie los registros existentes a otra unidad C. Busque cualquier signo de ataque en los registros. D. Eliminar la entrada de registro más antigua

7. Sospechas que un atacante ha lanzado un ataque fraggle en tu sistema. Verifica los registros y filtra sus búsquedas utilizando el protocolo utilizado por fraggle. ¿Qué protocolo usarías en el filtro? A. Protocolo de datagramas de usuario (UDP) B. Protocolo de control de transmisión (TCP) C. Protocolo de mensajes de control de Internet (ICMP) D. Orquestación, automatización y respuesta de seguridad (SOAR)

8. Está revisando el manual de capacitación del administrador de seguridad para agregar contenido sobre exploits de día cero. ¿Cuál de las siguientes opciones describe mejor un exploit de día cero? A. Ataques que aprovechan vulnerabilidades que aún no cuentan con parches o correcciones B. Vulnerabilidades recién descubiertas que aún no cuentan con parches o revisiones C. Ataques a sistemas sin parches preparados D Malware que elimina su carga útil después de que el usuario inicia la aplicación

9 Los usuarios de la organización se quejaron de que no podían acceder a varios sitios web normalmente accesibles. Al solucionar problemas, descubre que un sistema de prevención de intrusiones (IPS) está interceptando el tráfico, pero que el tráfico no es malicioso. ¿Esto pertenece a? Un falso negativo B. Red de miel C. Falso positivo D. Sandbox

10. Está instalando un nuevo sistema de detección de intrusiones (IDS). IDS requiere que usted cree una serie de líneas base antes de ejecutarlo por completo. ¿Cuál de las siguientes opciones describe mejor este IDS? A. Coincidencia de patrones DDS B. DDS basado en el conocimiento 1S basado en firma C D. DDS basado en anomalías

11. Un administrador implementa un sistema de detección de intrusos. Una vez instalado, el sistema monitorea todo el tráfico y genera alertas si se detecta tráfico sospechoso. ¿Cuál de las siguientes opciones describe mejor este sistema? A. Sistema de detección de intrusiones basado en host (HIDS) B. Sistema de detección de intrusiones basado en red (NIDS) C. Red de miel D. Cortafuegos de red

12. Está instalando un sistema que la administración espera que reduzca los incidentes en la red. La directiva de configuración requiere que lo configure en una línea en línea que transporta tráfico para que todo el tráfico deba pasar a través de ella antes de llegar a la red interna. ¿Cuál de las siguientes opciones describe mejor este sistema? ^.Sistema de prevención de intrusiones basado en red (VIPS) B. Sistema de detección de intrusiones basado en red (NIDS) C. Sistema de prevención de intrusiones basado en host (HIPS) D. Sistema de detección de intrusos basado en host (HIDS)

13. Después de instalar una aplicación en el sistema del usuario, su supervisor le dice que, dado que la aplicación consume la mayor parte de los recursos del sistema, debe eliminarla. ¿Cuál de los siguientes sistemas de prevención es más probable que tengas instalado? A. Sistema de detección de intrusiones basado en red (NIDS) B. firewall de aplicaciones web (WAF) C. Sistemas de gestión de eventos e información de seguridad (SIEM) D. Sistema de detección de intrusos basado en host CHIDS)

14. Está reemplazando un interruptor fallido. El archivo de configuración del conmutador original indica que es necesario configurar un puerto específico como puerto espejo. ¿Cuál de los siguientes dispositivos de red se conectaría a este puerto? A. Sistema de Prevención de Intrusiones (PS) B. Sistema de detección de intrusiones (IDS) c.honeypot caja de arena D

15 Un dispositivo de red está equipado con un sistema de detección de intrusos basado en red (NIDS). Luego, el administrador de seguridad descubrió que había un ataque en Internet, pero el NIDS no envió una alerta. ¿Esto pertenece a? A. Falso positivo B. Falso negativo C. ataque fragmentado Ataque D. pitufo

16 La administración solicitó la adición de un sistema de detección de intrusiones (IDS) para detectar nuevas amenazas a la seguridad. ¿Cuál de las siguientes es una elección del estudiante? A. IDS basado en firmas B. IDS basado en anomalías C. IDS activo D. IDS basado en web

17. La organización para la que trabaja implementó recientemente una aplicación centralizada de monitoreo. ¿Esta situación describe mejor el siguiente artículo original? A. ELEVARSE B.SIEM C.HIDS D. Alimentación de amenazas

18. Después de un ataque reciente, la dirección decidió implementar un sistema de seguimiento del portal para evitar filtraciones de datos. ¿Cuál de las siguientes es la mejor opción? A. NIDS B. PNI C. Cortafuegos Sistema D.DLP

19. Los administradores de seguridad revisan periódicamente las fuentes de amenazas y utilizan esta información para inspeccionar los sistemas dentro de la red. Su objetivo es descubrir cualquier infección o ataque que no haya sido detectado por las herramientas existentes. ¿Cuál de las siguientes descripciones se adapta mejor a esta situación? A. Caza de amenazas B. Inteligencia sobre amenazas C. Ejecutar la cadena de eliminación D. Utilizar inteligencia artificial

20. Los administradores se encuentran realizando repetidamente los mismos pasos para verificar las alertas de los sistemas de detección de intrusiones y realizando otros pasos repetitivos para suprimir ataques conocidos. ¿Cuál de las siguientes opciones automatiza estos pasos? A. ELEVARSE B.SIEM C. NIDS D.DI