CyberOps Associate v1 Módulos 1 – 2: Examen del Grupo, Atacantes y Defensores de Amenazas Respuestas
1. Un usuario llama al soporte técnico y se queja de que la contraseña para acceder a la red inalámbrica ha cambiado sin advertencia previa. El usuario puede cambiar la contraseña, pero una hora después sucede lo mismo. ¿Qué podría estar ocurriendo en esta situación?
Política de contraseñas (password policy)
Error de usuario
Punto de acceso malicioso (rogue access point)*
Contraseña débil
Computadora portátil (Laptop) del usuario
Explicación: Los ataques Man-in-the-middle son una amenaza que genera la pérdida de credenciales y datos. Estos tipos de ataques pueden producirse por diversos motivos, incluido el análisis del tráfico (traffic sniffing).
2. ¿Qué tipo de arma de guerra cibernética fue Stuxnet?
Ransomware
Virus
Botnet
Gusano*
Explicación: El gusano Stuxnet fue un excelente ejemplo de un arma de guerra cibernética sofisticada. En el 2010, se utilizó para lanzar un ataque en los controladores lógicos programables con los cuales funcionaban las centrifugadoras de enriquecimiento de uranio en Irán.
3. ¿Por qué los dispositivos de IdC representan un riesgo mayor que otros dispositivos informáticos en una red?
Los dispositivos de IdC requieren conexiones inalámbricas sin encriptar.
La mayoría de los dispositivos de IdC no requieren una conexión a Internet y, por ende, no pueden recibir actualizaciones nuevas.
La mayoría de los dispositivos de IdC no reciben actualizaciones de firmware frecuentes.*
Los dispositivos de IdC no pueden funcionar en una red aislada con una sola conexión a Internet.
Explicación: Por lo general, los dispositivos IdC funcionan usando su firmware original y no reciben actualizaciones con la misma frecuencia que equipos portátiles, de escritorio y plataformas móviles.
4. Un grupo de usuarios en la misma red informa que sus computadoras se ejecutan lentamente. Después de investigar, el técnico determina que estas computadoras son parte de una red zombie. ¿Qué tipo de malware se utiliza para controlar estas computadoras?
Botnet*
Spyware
Virus
Rootkit
Explicación: Un botnet es una red de computadoras infectadas, llamada red zombie. Las computadoras son controladas por un hacker y se utilizan para atacar a otras computadoras o para robar datos.
5. Una compañía acaba de sufrir un incidente de ciberseguridad. Al parecer, el atacante buscaba interrumpir el servicio de la red y utilizar una herramienta de alteración en la seguridad común que saturaría un servidor en particular de una gran cantidad de tráfico. Este tráfico haría que el servidor quedara en un estado inoperable. ¿Cómo clasificaría a este tipo de atacante un analista certificado especializado en ciberseguridad?
Aficionado*
Hacktivista
Terrorista
Patrocinado por el estado
Explicación: Los atacantes aficionados o script kiddies usan herramientas comunes existentes en Internet para lanzar ataques. Los hacktivistas interrumpen servicios en protesta contra una idea política o social particular de organizaciones o gobiernos. Los atacantes patrocinados por el estado utilizan el ciberespacio para espionaje industrial o para interferir de alguna manera en otro país. Los grupos terroristas atacan por una causa específica.
6. En una casa inteligente, el propietario ha conectado muchos dispositivos domésticos a Internet, como el refrigerador y la cafetera. Al propietario le preocupa que estos dispositivos hagan que la red inalámbrica sea vulnerable a los ataques. ¿Qué medidas podrían adoptarse para evitar este problema?
Asignar direcciones IP estáticas a los dispositivos inalámbricos.
Instalar las versiones de firmware más recientes para los dispositivos.*
Configurar el funcionamiento inalámbrico en modo mixto.
Deshabilitar la transmisión SSID.
Explicación: El Internet de las cosas (IoT) está facilitando la conexión de diferentes tipos de dispositivos a Internet, tales como dispositivos domésticos, por ejemplo, cafeteras y refrigeradores, y también dispositivos portátiles. Para que estos dispositivos sean seguros y no sean vulnerables a los ataques, deben actualizarse con el firmware más reciente.
7. ¿Cuál de las siguientes afirmaciones describe la guerra cibernética?
Es un software de simulación para los pilotos de la Fuerza Aérea que les permite practicar en situaciones de guerra simuladas.
Es un conflicto basado en Internet que involucra la penetración de sistemas de información de otras naciones.*
La guerra cibernética es un ataque realizado por un grupo de «script kiddies».
Es una serie de equipos de protección personal desarrollada para los soldados involucrados en una guerra nuclear.
Explicación: La guerra informática es un conflicto basado en Internet que involucra la penetración de las redes y los sistemas de cómputo de otras naciones. Generalmente, los hackers organizados están involucrados en este tipo de ataques.
8. ¿Cuál es el objetivo principal de una guerra cibernética?
Simular posibles casos de guerra entre las naciones.
Proteger los centros de datos basados en la nube.
Obtener ventaja sobre los adversarios.*
Desarrollar dispositivos de red avanzada.
Explicación: La guerra informática es un conflicto basado en Internet que involucra la penetración de las redes y los sistemas de cómputo de otras naciones. El propósito principal de la guerra informática es ganar ventajas sobre los adversarios, ya sea que se trate de naciones o competidores.
9. Un trabajador del departamento de Registros de un hospital envía accidentalmente el registro médico de un paciente a una impresora de otro departamento. Cuando el trabajador llega a la impresora, falta la copia impresa del registro del paciente. ¿Cuál violación a la confidencialidad describe esta situación?
PII
PHI*
PSI
EMR
Explicación: La información de salud protegida (PHI, Protected Health Information) incluyen el nombre del paciente, las direcciones, las fechas de visitas y más. La ley de portabilidad y responsabilidad del seguro médico (HIPAA) regula y establece penalidades severas para las violaciones de la PHI. Los registros médicos electronicos (EMRs, Electronic Medical Records) son documentos creados por la comunidad médica que contienen la PHI. La información Personal Identificable (PII, Personally Identifiable Information) es cualquier información que pueda utilizarse para identificar inequívocamente a una persona.La información de seguridad personal (PSI, Personal Security Information) está relacionada con información sobre un individuo, como contraseñas, claves de acceso y detalles de la cuenta.
10. ¿Qué es la web oscura (Dark Web)?
Es un sitio web que vende tarjetas de crédito robadas.
Es parte de Internet a la que sólo se puede acceder con un software especial.*
Es un sitio web que informa de las actividades más recientes de los cibercriminales en todo el mundo.
Es parte de Internet donde una persona puede obtener información de identificación personal de cualquier persona de forma gratuita.
Explicación: Uno de los objetivos más lucrativos de los cibercriminales es obtener listas de PII que puedan vender en la web oscura. Solamente es posible tener acceso a la web oscura con software especializado y la utilizan los ciberdelincuentes para proteger sus actividades. La PII robada puede utilizarse para crear cuentas falsas, como tarjetas de crédito y préstamos a corto plazo.
11. Señale las tres categorías principales de elementos en un centro de operaciones de seguridad? (Elija tres opciones).
Personas*
Conexión a Internet
Centro de datos
Procesos*
Tecnologías*
Motor de base de datos
Explicación: Las tres categorías principales de elementos de un centro de operaciones de seguridad son personas, procesos y tecnologías. Un motor de base de datos, un centro de datos y una conexión a Internet son componentes en la categoría de tecnologías.
12. ¿A qué miembro del personal de un SOC se le asigna la tarea de buscar amenazas potenciales e implementar herramientas de detección de amenazas?
Gerente de SOC
Analista, nivel 1
Experto en la materia, nivel 3*
Encargado de la respuesta ante los incidentes, nivel 2
Explicación: En un SOC, los expertos en la materia de nivel 3 tienen conocimientos expertos en la red, los terminales, la inteligencia de amenazas y la ingeniería inversa (RE) de malware. Participan intensamente en la búsqueda de amenazas potenciales y en la implementación de herramientas de detección de amenazas.
13. ¿A qué grupo del personal en un SOC hace referencia el término «analista especializado en operaciones cibernéticas»?
Personal, nivel 2
Personal, nivel 3
Gerentes de SOC
Personal, nivel 1*
Explicación: En un SOC típico, los miembros del personal de nivel 1 se llaman analistas especializados en alertas, también conocidos como analistas especializados en ciberoperaciones.
14. ¿Cuáles son las tres tecnologías que se deberían incluir en un sistema de administración de información y eventos de seguridad de SOC? (Elija tres opciones).
dispositivo de firewall
monitoreo de la seguridad*
inteligencia de amenazas*
prevención de intrusiones
Administración de registros*
Servicio proxy
Explicación: Las tecnologías de un SOC deberían incluir las siguientes:
- Recopilación, correlación y análisis de eventos
- Monitoreo de la seguridad
- Control de la seguridad
- Administración de registros
- Evaluación de vulnerabilidades
- Seguimiento de vulnerabilidades
- Inteligencia de amenazas
- Los servidores proxy, VPN e IPS son dispositivos de seguridad implementados en la infraestructura de red.
15. Un SOC está buscando un profesional para llenar una vacante. El empleado debe tener habilidades de nivel experto en redes, dispositivos finales, inteligencia de amenazas e ingeniería inversa de malware para buscar amenazas cibernéticas ocultas dentro de la red. ¿Qué trabajo dentro de un SOC requiere un profesional con esas habilidades?
Gerente de SOC
Cazador de amenazas*
Personal de respuesta ante los incidentes
Analista de alertas
Explicación: Los profesionales de nivel 3 son llamados Cazadores de Amenazas y deben tener habilidades de nivel experto en redes, dispositivos finales, inteligencia de amenazas e ingeniería inversa de malware. Ellos son especialistas en seguir los procesos del malware para determinar su impacto y cómo eliminarlo.
16. ¿Qué trabajo requeriría la verificación de que una alerta representa un verdadero incidente de seguridad o un falso positivo?
Generador de informes de incidentes.
Cazador de amenazas
Analista de alertas*
Gerente de SOC
Explicación: Un analista de ciberseguridad supervisa las colas de alertas de seguridad y utiliza un sistema de emisión de tiquetes para asignar alertas a una cola para que un analista las investigue. Debido a que el software que genera alertas puede activar falsas alarmas, una de las tareas del analista de ciberseguridad puede ser verificar que una alerta sea realmente un incidente de seguridad.
17. ¿Cuál métrica de KPI utiliza SOAR para medir el tiempo necesario para detener la propagación de malware en la red?
MTTR
MTTC
Time to Control (Tiempo de Control).*
MTTD
Explicación: Las métricas del indicador de rendimiento clave común (KPI, siglas en inglés) compiladas por los gerentes de SOC son las siguientes:
- Tiempo de permanencia: el tiempo que los atacantes tienen acceso a una red antes de ser detectados y el acceso de los atacantes sea detenido
- Tiempo medio para detectar (MTTD, siglas en inglés): el tiempo medio que tarda el personal del SOC en identificar que se han producido incidentes de seguridad válidos en la red
- Tiempo medio de respuesta (MTTR, siglas en inglés): el tiempo medio que tarda en detenerse y remediar un incidente de seguridad
- Tiempo medio para contener (MTTC, siglas en inglés): el tiempo necesario para evitar que el incidente cause más daños a los sistemas o datos
- Tiempo de control: el tiempo necesario para detener la propagación de malware en la red
18. ¿Cuál es un beneficio de utilizar SOAR para una organización como parte del sistema SIEM?
La automatización de SOAR garantiza un factor de tiempo de actividad de “5 nueves (99.999%)”.
SOAR beneficiaría a las organizaciones más pequeñas porque no requiere la participación de un analista de ciberseguridad una vez instalado.
SOAR automatiza la investigación de incidentes y responde a los flujos de trabajo basados en playbooks.*
SOAR fue diseñado para abordar eventos críticos de seguridad e investigaciones de gama alta.
Explicación: Los sistemas SEIM se utilizan para recopilar y filtrar datos, detectar y clasificar amenazas, y para analizar e investigar amenazas. La tecnología SOAR hace lo mismo que los SIEMs, pero también incluye automatización. SOAR integra la inteligencia contra amenazas y automatiza la investigación de incidentes. SOAR también responde a eventos utilizando flujos de trabajo de respuesta basados en playbooks desarrollados previamente.
19. ¿Qué organización es una organización sin fines de lucro internacional que ofrece la certificación CISSP?
CompTIA
(ISC)²*
IEEE
GIAC
Explicación: (ISC)² es una organización sin fines de lucro internacional que ofrece la certificación CISSP.
20. Haga coincidir la métrica SOC con su respectiva descripción. No se utilizan todas las opciones.
Explicación: Los SOC utilizan muchas métricas como indicadores de rendimiento de cuánto tiempo le toma el personal localizar, detener y corregir incidentes de seguridad.
- Tiempo de permanencia
- Tiempo Medio para Detectar (MTTD, Mean Time to Detect)
- Tiempo Medio para Responder (MTTR, Mean Time to Respond)
- Tiempo medio para contener (MTTC, Mean Time to Contain)
- Tiempo de Control (Time to Control)
21. ¿Cómo puede utilizarse un sistema de administración de información y eventos de seguridad (SIEM) en un SOC para que ayude al personal a luchar contra las amenazas de seguridad?
Mediante la aplicación dinámica de reglas de firewall
Mediante el análisis de datos de registro en tiempo real
Mediante la integración de todos los dispositivos de seguridad y las aplicaciones en una organización
Mediante la combinación de datos de múltiples tecnologías*
Explicación: Un Sistema de administración de información y eventos de seguridad (Security Information and Event Management System, SIEM) combina datos provenientes de varias fuentes para que el personal de SOC pueda recopilar y filtrar datos más fácilmente, detectar, clasificar, analizar e investigar amenazas y administrar recursos para implementar medidas de prevención.
22. ¿Qué ataque cibernético consiste en un ataque coordinado de un botnet de computadoras zombies?
suplantación de direcciones
DDoS*
Redireccionamiento ICMP
MITM
Explicación: DDoS es un ataque de denegación de servicio distribuido. Un ataque DDoS se lanza desde múltiples fuentes coordinadas. Las fuentes del ataque son hosts zombies que el ciberdelincuente creó en un botnet. Cuando esté listo, el ciberdelincuente le indica al botnet de zombies que ataque el blanco elegido.
23. ¿Qué sitios web debe evitar un usuario al conectarse a un punto de acceso inalámbrico (hotspot) abierto y gratuito?
Sitios web para comprobar las tarifas de la cuenta (account fees)
Sitios web para consulta detalles de un producto
Sitios web para realizar compras*
Sitios web para consultar los precios de las acciones (stock prices)
Explicación: Muchas zonas de cobertura inalámbrica (hotspots) abiertas funcionan sin autenticación o con un mecanismo de autenticación débil. Los atacantes pueden, con facilidad, capturar el tráfico de red que entra y sale de dicha zona de cobertura y robar información del usuario. Por lo tanto, los usuarios que utilizan puntos de acceso inalámbricos gratuitos y abiertos para conectarse a sitios web deben evitar proporcionar información personal a los sitios web.
24. Un empleado conecta inalámbrica con la red de la empresa mediante un teléfono celular. El empleado luego configurar el teléfono celular para operar como un punto de acceso inalámbrico que permite que los nuevos empleados se conecten con la red de la empresa. ¿Qué mejor de amenazas por tipo de seguridad se describe esta situación?
suplantación de identidad
denegación de servicio
el agrietarse
punto de acceso dudoso*
Explicación: Si se configura un teléfono celular para que funcione como punto de acceso inalámbrico, el teléfono celular se convierte en un punto de acceso no autorizado. El empleado infringió accidentalmente la seguridad de la red de la empresa al permitir que un usuario accediera a la red sin conectarse a través del punto de acceso de la empresa. La decodificación es el proceso de obtención de contraseñas a partir de los datos almacenados o transmitidos en una red. Los ataques por denegación de servicio se refieren a enviar una gran cantidad de datos a un dispositivo conectado en red, como un servidor, para impedir el acceso legítimo al dispositivo. La suplantación de identidad se refiere al acceso a una red o a datos por parte de un atacante que se hace pasar por un dispositivo de red o un usuario legítimo.
25. ¿Qué ejemplo muestra cómo es que el malware puede estar oculto?
Un botnet de zombies transporta información personal al hacker.
Se inicia un ataque contra el sitio web público de un minorista en línea con el objetivo de bloquear su respuesta a los visitantes.
Se envía un correo electrónico a los empleados de una organización con un archivo adjunto que asemeja una actualización de antivirus, pero el archivo adjunto en realidad consta de un spyware.*
Un hacker utiliza técnicas para mejorar la clasificación de un sitio web a fin de redirigir a los usuarios a un sitio malicioso.
Explicación: Un archivo adjunto de correo electrónico que parece un software válido pero que, de hecho, contiene spyware muestra cómo podría ocultarse un malware. Un ataque para bloquear el acceso a un sitio web es un ataque DoS. Un hacker usa envenenamiento de optimización para motores de búsqueda (SEO, Search Engine Optimization) para mejorar la clasificación de un sitio web a fin de que los usuarios sean dirigidos a un sitio malicioso que aloje malware o que use métodos de ingeniería social para obtener información. Para iniciar un ataque DDoS, se usa un botnet de equipos zombie.
26. ¿Qué ley reguladora regula la identificación, el almacenamiento y la transmisión de la información médica personal del paciente?
GLBA
FISMA
PCI-DSS
HIPAA*
Explicación: Ley de Transferibilidad y Responsabilidad del Seguro Médico (HIPAA) requiere que toda la información médica que permita identificar a cada paciente se almacene, preserve y transmita en formas que garanticen la privacidad y confidencialidad de los pacientes.
27. Cuando un usuario enciende la PC el miércoles, la PC muestra un mensaje que indica que se han bloqueado todos los archivos de usuario. Para obtener los archivos sin cifrar, se supone que el usuario debe enviar un correo electrónico e incluir una ID específica en el título del correo electrónico. El mensaje también debe incluir formas de adquirir y enviar bitcoines como pago para el descifrado de los archivos. Después de inspeccionar el mensaje, el técnico sospecha que se produjo una infracción a la seguridad. ¿Qué tipo de malware podría ser responsable?
Adware
Spyware
Troyano
Ransomware*
Explicación: El ransomware requiere el pago para acceder a la computadora o los archivos. Bitcóin es un tipo de moneda digital que no atraviesa ningún banco en particular.
28. ¿Cuáles de las siguientes son tres ejemplos de información de carácter personal (PII)? (Elija dos opciones).
Número de tarjeta de crédito*
Dirección IP
Preferencia de idioma
Primer nombre
Dirección*
Explicación: La información de carácter personal (PII) es todo aquel dato a través del cual se que podría identificar y rastrear potencialmente a un individuo específico. El número de tarjeta de crédito y la dirección son los mejores ejemplos de PII.
