Incidentes de ciberseguridad

¿A qué metodología pertenece la Creación de Políticas de Lecciones Aprendidas?: Agile. Lean Manufacturing. PMI. ITIL. Seis Sigma.

¿A qué se debe normalmente la reproducción a corto plazo de un incidente ya identificado y contenido?: A no dotar Planes de Respuesta de Emergencia. A no tomar todas las precauciones necesarias. A no mantener las cuarentenas requeridas. Todas las anteriores.

¿A qué se debe principalmente la repetición de ataques anteriores?. A no actualizar las medidas antimalware. A no aplicar medidas preventivas. A no documentar adecuadamente la causa y el coste del incidente.

¿Cuál de estas medidas de mitigación está ligada a la Filosofía Lean?: Determinar las causas y los síntomas del ciberincidente para decidir la estrategia más eficaz. Identificar y eliminar todo el software utilizado por los atacantes. Recuperar la última copia de seguridad limpia.

¿Cuál de las siguientes cuestiones deberá estar recogida en la estrategia de ciberseguridad de una empresa?: Las cuestiones de Lean Manufacturing. La definición y caracterización de los Niveles de Operación. Los umbrales de Seis Sigma. La Integración Continua del software.

¿Cuál de las siguientes cuestiones no es un criterio para la toma de decisión en relación con la contención de un incidente?: Hurto de activos y detalle de su valor. Tiempo de espera online. Premisas para preservar las evidencias, de cara a una investigación posterior. Daño potencial a la organización.

¿Cuál de los siguientes detalles no resulta relevante durante la reflexión tras un incidente de seguridad?: Qué problemas han estado asociados a la gestión del incidente. El análisis de las causas del problema. Cómo se ha desarrollado la actividad durante la manifestación del incidente. Los Planes Productivos para la siguiente etapa.

¿Cuál es la orientación principal de la política de combate de los incidentes en la actualidad?: De análisis forense y lecciones aprendidas. Reactiva. Proactiva y Preventiva.

¿Cuáles son las Medidas de Ciberseguridad que se deben implantar para prevenir y combatir los incidentes?: Bastionado, alerta temprana y cuestiones preventivas. Instalación de IDS, IPS, SIEM y NAS cifrado. Procedimientos, capacidades, flujos de decisión y mecanismos de restablecimiento.

¿Cuáles son las principales ventajas de disponer de un SOC?: El almacenamiento de datos relevantes en relación con los incidentes. El análisis de los datos con posterioridad a una incidencia. La centralización de la actividad de ciberseguridad de la empresa. Todas las anteriores.

¿En caso de ausencia de procedimientos de actuación, qué suele ocurrir en los momentos iniciales de afectación por un incidente?: Por lo general hay un cierto desconcierto en lo relativo a las medidas que se deben tomar. Se cortan súbitamente las comunicaciones LAN/WAN. Se levantan inmediatamente todos los escudos antimalware.

¿Qué compañía desarrolla y mantiene la distro de hacking ético Kali Linux?: Offensive Security. Kaspersky Lab. Elastic Enterprise. McAfee. Norton.

¿Qué es fundamental a la hora de diseñar un flujo de toma de decisión y escalado de incidentes?: La adhesión a las comunidades del ámbito de la ciberseguridad. La Excelencia Operativa. La Metodología Agile. La Metodología PMI.

¿Qué organismo edita la publicación "Plan de Contingencia y Continuidad de Negocio"?: El CCN. El CNI. El CSIRT. El INCIBE.

¿Qué resulta clave durante la fase de recuperación tras un incidente?: Que las áreas de negocio afectadas puedan retomar su actividad cuanto antes. Devolver el nivel de operación a su estado normal. No precipitarse en la puesta en producción de sistemas que se hayan visto implicados en ciberincidentes.

¿Qué se deberá detallar durante el proceso de Documentación de un Ciberincidente?: Las medidas a tomar para prevenir futuros incidentes similares. La causa del incidente. El coste del incidente, por compromiso de información o por impacto en los servicios que se hayan visto afectados. Todas las anteriores.

Ante la proliferación masiva de incidentes de Ciberseguridad, se deben efectuar: Labores preventivas, para protegerse frente a esta plaga. Labores de registro y documentación de las lecciones aprendidas. Labores operativas en caso de la manifestación de un incidente. Todas las anteriores.

Estadísticamente hablando, ¿cuáles son los ataques más frecuentes?: Los que se efectúan a través de servicios legítimos. Los que instalan un troyano que pasa desapercibido mucho tiempo. Los que se efectúan utilizando brechas de los sistemas.

Los que se efectúan utilizando brechas de los sistemas. La resistencia informática extrema. La capacidad para resistir, proteger y defender el uso del ciberespacio frente a los atacantes. La resistencia a los incidentes recursivos. La resistencia frente a la repetición de incidentes conocidos.

La clave de las Lecciones Aprendidas es: La Ciber-Resiliencia de la organización. La precisión del análisis del incidente. La calidad de las evidencias recopiladas. La documentación del incidente.

La distribución Linux más popular en el área del Hacking Ético es: Ninguna de las anteriores. Fedora. Red Hat. . SUSE.

La identificación de la Causa Raíz suele suponer: El 75% del trabajo de análisis. El 10% del trabajo de análisis. El 80% del trabajo de análisis. El 50% del trabajo de análisis.

La mayoría de las empresas están poco preparadas para enfrentarse a los ciberataques, debido a: Falta de formación o de recursos para hacer frente a los ataques. Falta de pruebas para evaluar la capacidad real ante los ataques. Poca preparación para detener los ataques. Todas las anteriores. Falta de medidas técnicas para mitigar los ataques.

Según el INCIBE, ¿cuándo se considera que se ha alcanzado un nivel de ciberresiliencia “Repetible”?: Cuando se han establecido requisitos de ciberresiliencia, pero no se han documentado. Cuando se gestionan, actualizan y verifican los requisitos de ciberresiliencia. Cuando se aplican acciones de mejora en la definición de requisitos de ciberresiliencia.

Tras un incidente de ciberseguridad, la cuarentena es: La vigilancia específica de 40 días por si se repite el incidente. Las pruebas de penetración durante 40 días tras la resolución del incidente. La espera de 40 días antes de reactivar la funcionalidad afectada. El período de tiempo establecido con medidas adicionales de monitorización.

¿Cómo se actúa cuando un determinado suceso puede asociarse a más de un tipo de incidente contenido en la Tabla de Clasificación?: Se recopilará más información y se volverá a analizar el incidente, hasta que quede suficientemente clara la categoría a la que se debe asociar. Se asociará a todos los tipos de incidentes relacionados con él. Se asociará a aquel tipo que tenga un Nivel de peligrosidad superior, de acuerdo con los criterios correspondientes.

¿Cuál de los siguientes elementos no tiene por qué estar contenido en un procedimiento de notificación de incidentes de una empresa?: Las entidades destinatarias de la información . Las indicaciones relativas a la apertura del incidente. Las ventanas temporales de reporte del incidente. El impacto del incidente sobre el EBITDA.

¿Cuál es la misión de un Equipo de Respuesta a Incidentes de Seguridad?. Notificar los incidentes a las Administraciones Públicas. Es el SOC de una empresa privada. Evaluar el impacto de un incidente sobre una empresa privada. Recibir, revisar y responder a informes y actividad sobre incidentes de seguridad.

¿Qué contiene, entre otras cosas, el ENS?: La relación entre Niveles de Peligrosidad y Niveles de Impacto. Los Niveles de Peligrosidad de los incidentes. Los Niveles de Impacto de los incidentes. Nada de lo anterior.

¿Qué Nivel de Peligrosidad tiene el "Contenido Sexual o Violento"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene el "Discurso de Odio"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene el "Fraude"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene el "Phishing"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene el "Scanning o Sniffing"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene el "Spam"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene el "Uso No Autorizado de Recursos"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene la "Denegación de Servicio Distribuida"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene la "Denegación de Servicio"?. Crítico. Muy Alto. Alto. Medio. Bajo.

Qué Nivel de Peligrosidad tiene la "Distribución y Configuración de Malware"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene la "Infección por Código Dañino?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene la "Ingeniería Social"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene la "Intrusión o Intento de Intrusión"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tiene la "Revelación de Información"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué Nivel de Peligrosidad tienen las "Amenazas Persistentes Avanzadas"?. Crítico. Muy Alto. Alto. Medio. Bajo.

¿Qué organismo edita y mantiene la Guía Nacional de Notificación y Gestión de Ciberincidentes?: El INCIBE. El Esquema Nacional de Seguridad. El Consejo Nacional de Ciberseguridad.

El CSIRT puede considerar Cerrado un incidente si: Permanece sin Resolución y con respuesta por parte del organismo afectado. Está resuelto y sin respuesta por parte del organismo afectado. Si es un Falso Positivo. Todos los anteriores.

Para la notificación de los incidentes de ciberseguridad se utiliza como referencia: El Nivel de Peligrosidad. El Nivel de Impacto. Los datos recopilados por los sistemas de alerta temprana. La Taxonomía de Referencia.

Señalar cuál de los siguientes incidentes tiene un nivel de peligrosidad Crítico: Revelación de Información. Amenaza Persistente Avanzada. Scanning o Sniffing. Infección por Código Dañino.

Si un incidente afecta a una infraestructura crítica, se debe notificar a: CCN-CERT. ESP-DEF-CERT. INCIBE-CERT. CNPIC.

Un ciberincidente sin respuesta se cerrará tras: 15 días. 20 días. Un número de días que depende de su nivel de peligrosidad o impacto. 10 días.

¿Con qué reglas de detección puede trabajar Snort?: Con las reglas personalizadas si se arranca en Modo Custom. Siempre funciona con las reglas de la comunidad y las personalizadas a la vez. Con las reglas de la comunidad si se arranca en Modo Community.

¿Cuál es la condición básica para activar Snort como un IPS?. Que Snort esté conectado con una base de datos relacional. Disponer de una máquina con al menos dos interfaces de red. Que Snort esté en la misma máquina que el SIEM.

¿Cuál es la misión de Snort en el SOC?: Monitorización de la información. Filtrado de la información de los logs. Almacenamiento de la información. Detección y Prevención de Intrusiones.

¿Cuáles de las siguientes labores se asocian con el segundo principio pragmático de la Ciberseguridad?: La dotación de políticas de respaldo. La detección y análisis rápido de los incidentes de seguridad. La instalación de la última versión del software infraestructural y de aplicación.

¿En qué capa de la Torre ISO-OSI se sitúa el protocolo ICMP?: Capa Enlace de Datos. Capa Red. Capa Sesión. Capa Transporte.

¿En qué posición de una regla Snort se sitúa el "Mensaje"?. Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúa el "Protocolo"?: Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúa el "Puerto IP Destino"?: Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúa el "Puerto IP Origen"?: Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúa la "Acción de la Regla"?: Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúa la "Dirección de la Operación"?: Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúa la "Dirección IP Origen"?: Header. No Aplica. Trailer.

¿En qué posición de una regla Snort se sitúan las "Opciones"?: Header. No Aplica. Trailer.

¿Para qué se utiliza el protocolo SSH?: Para las dos funciones anteriores. Para abrir sesiones en máquinas remotas. Para abrir sesiones en máquinas remotas.

¿Para qué sirve el protocolo ICMP?: Para ninguna opción de las anteriores. Para transmitir información de señalización. Para comprobar la alcanzabilidad de una máquina. Para implementar las primitivas de mantenimiento remoto.

¿Qué capa de la Torre ISO-OSI asegura que la información se transfiere de forma comprensible para un sistema?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué capa de la Torre ISO-OSI controla la transferencia de datos en la red?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué capa de la Torre ISO-OSI define el hardware de conexión?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué capa de la Torre ISO-OSI habilita el inicio, desarrollo y fin de una transmisión?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué capa de la Torre ISO-OSI introduce el concepto de Integridad, asegurando que los datos no se deterioran durante la transferencia?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué capa de la Torre ISO-OSI introduce el direccionamiento y la comunicación entre diferentes redes?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué capa de la Torre ISO-OSI se compone de los servicios de comunicación estándar a disposición de cualquier usuario?: Capa Sesión. Capa Aplicación. Capa Enlace de Datos. Capa Transporte. Capa Red. Capa Física. Capa Presentación.

¿Qué entidad técnica utiliza Snort para enviar la información de logging a una máquina remota?. Un Socket. Un Linux Pipe. Una Linux Facility.

¿Que estrategia permite estar preparado ante cualquier incidente?: Las instalaciones gemelas que pueden entrar en acción en cualquier momento. Las políticas consistentes de respaldos. Todas las anteriores. El análisis forense. Los planes de respuesta. Los planes de acción.

¿Qué funcionalidad tiene Snort?: Es un IDS con algunas funciones de IPS. Es un IDS/IPS totalmente funcional. Es sólo un IDS.

Para qué sirve el patrón Greedydata?: Para capturar sólo letras, mayúsculas y minúsculas. Para capturar información en formato hexadecimal. Para discriminar entre números y letras. Para capturar una cadena de caracteres completa y grabarla en una variable.

Qué software se debe instalar en un PC para trabajar con Kibana?: Ninguno, basta con disponer de un navegador de Internet. El cliente de Kibana para PC. El framework .net.

¿En qué módulo del SOC se utiliza el lenguaje Grok?: En Elasticsearch. En Logstash. En Kibana.

¿Qué módulos de la Pila ELK precisan un ajuste de los límites de memoria RAM?: Todos los módulos de la pila. Logstash y Elasticsearch. Sólo Logstash. Sólo Kibana.

¿Cuál debe ser el orden de arranque de las aplicaciones en el SIEM ELK?. Kibana, Logstash y Elasticsearch. Se debe arrancar Elasticsearch en primer lugar, el orden del resto de aplicaciones es indiferente. Logstash, Kibana y Elasticsearch.

¿Cuál es la opción del menú de Kibana que sirve para crear métricas con los Datos de un índice de Elasticsearch?: Discover. Dashboard. Visualize.

¿Cuál es la opción del menú de Kibana que sirve para visualizar los índices de Elasticsearch y la información contenida en ellos?: Discover. Dashboard. Visualize.

¿En qué módulo del SOC se preparan los Cuadros de Mando?: En Logstash. En Elasticsearch. En Kibana.

¿Cuál es la opción del menú de Kibana que sirve para crear tableros de visualización con las métricas?: Discover. Visualize. Dashboard.

¿Cuál es el Comodín en el lenguaje Grok?: El carácter "ampersand". El carácter "punto". El carácter "asterisco".

¿Cuál es la misión de Kibana en el SOC?: Detección y Prevención de Intrusiones. Filtrado de la información de los logs. Almacenamiento de la información. Monitorización de la información.

¿Qué ocurre cuando una base de datos es NoSQL?: Ninguna de las anteriores. Que sólo entiende comandos no escritos en SQL. Que entiende cualquier lenguaje, sea SQL o no.

¿Cómo se presenta la información de Elasticsearch a través del navegador?: Como un POJO. En UML. En JSON. Como un EJB. En XML.

¿Cuál es el puerto por defecto de Elasticsearch?: 1200. 8200. Ninguno de los anteriores. 9200.

¿En qué consiste la etapa final del proceso en un SIEM?: En el análisis de información para detectar patrones y sacar conclusiones de cara a la Prevención de Incidentes. En la presentación de información en forma de tableros. En la presentación de información en forma de métricas e histogramas.

¿Dónde se ajusta la RAM consumida por la Pila ELK?: En las opciones de la Máquina Virtual Java. En los ajustes de los ficheros de log. En los ajustes de los Pipelines.

¿En qué formato se presenta la salida del Grok Debugger?: En JSON. En XML. En UML.

¿En qué entorno se basa Kibana?: Microsoft .net. Ninguno de los anteriores. Node.js. IBM WebSphere.

¿En qué módulo del SOC se definen los Pipelines?: En Elasticsearch. En Logstash. En Kibana.

¿En qué módulo del SOC está ubicado el Grok Debugger?: En Elasticsearch. En Logstash. En Kibana.

¿A qué categoría de herramientas pertenece Logstash?: Es un conmutador de paquetes. Es un conmutador de paquetes. Es un ETL. Es un compilador.

¿Cuál es la misión de Elasticsearch en el SOC?: Detección y Prevención de Intrusiones. Monitorización de la información. Filtrado de la información de los logs. Almacenamiento de la información.

¿Cuál es la misión de Logstash en el SOC?: Detección y Prevención de Intrusiones. Monitorización de la información. Filtrado de la información de los logs. Almacenamiento de la información.

¿Dónde se guarda la información del SIEM?: En los ficheros de log del IDS. En un índice de Elasticsearch. En los Pipelines de Logstash.

¿Qué se puede comprobar con la aplicación Nmap?: Sólo si una aplicación está utilizando un puerto determinado de una dirección IP. Si una aplicación usa un puerto, se encuentra a la escucha y con qué servicio o protocolo. Ninguna de las anteriores. Si una aplicación usa un puerto y además está escuchando por él en un momento dado.