Informática forense

Relacione: Aplicación que se implementa en los servidores de los atacantes en lugar de instalarse en el equipo de la víctima. Server side spyware. Browser hijackers. Scumware. Adware.

Qué dato no está contenido en un evento en el registro de auditoría. El usuario que ha reaccionado a la acción. La funcionalidad del evento. La acción realizada. El éxito o fracaso del evento.

Que opción no se corresponde con los beneficios que aporta una correcta gestión de incidentes en una organización. Menor control de los procesos del sistema de información. Rápida restauración del sistema con la menor pérdida de información. Mejora continua de la gestión y tratamiento de incidentes. Optimización de los recursos disponibles.

Indique que impacto tienen las intrusiones: Ataques enmascarados. Alto. Medio. Bajo. Super alto.

A qué registro de auditoria corresponde: Eventos no importantes que pueden causar problema en el futuro. Error. Advertencia. Información. Auditoría incorrecta.

A que registro de auditoria corresponde: para eventos de seguridad importantes. Auditoria incorrecta. Error. Informática. Advertencia.

Indique si son activos o pasivos los siguientes ataques: Ataque de fabricación. Ataque Activo. Ataque pasivo.

Indique el incidente según su tipo: Detección de vulnerabilidades. Intentos de obtención de información. Mal uso de los recursos. Denegación de servicio. Accesos no autorizados.

Indique que impacto tienen las intrusiones: Penetración en el sistema de control. Alto. Super alto. Medio. Bajo.

Relacione: aplicación que modifica características del explorador actuando sobre el registro del Sistema Operativo. Browser Hijackers. Adware. Scumware. Server side spyware.

A que registro de auditoria corresponde: para operaciones realizadas con éxito. Información. Error. Auditoria incorrecta. Advertencia.

Clasifique el incidente según su tipo: Violación de políticas de seguridad informática. Mal uso de recursos. Accesos no autorizados. Denegación de servicio. Intentos de obtención de información.

Clasifique el incidente según su tipo: Troyanos. Mal uso de los recursos. Malware. Denegación de servicio. Accesos no autorizados.

Relaciona: el IDS/IPS detecta como evento inofensivo un ataque. Verdadero negativo. Falso negativo. Verdadero positivo. Falso positivo.

IDS basados en ___ detectan ___ en equipo, analizando su ___ para comprobar si ha habido alteración en los archivos del ___. Host // Intrusiones // trafico // Sistema Operativo. Abusos // intrusiones // equipo // Linux. Anomalías // Tráfico // vulnerabilidad // windows. Red // atacantes // equipo // sistema.

Indique el tipo de evento: Eventos ocurridos en los accesos del sistema, como los intentos de inicio de sesión. Registros de seguridad. Registro de instalación. Registros de aplicación. Registros de eventos reenviados.

Relacione: Aplicación para obtener información del comportamiento del usuario y después vender los datos. Fin Lucrativo. Troyano. Spyware. Virus.

Relacione: Aplicación que incluye ventanas de publicidad en sus interfaces de usuario. Adware. Scumware. Server side spyware. Browser hijackers.

A qué zona hace referencia: Zona de confianza donde cualquier acceso anómalo detectado es acceso hostil. Zona Azul. Zona verde. Zona roja.

Que documento nos guía sobre la correcta recolección y análisis de evidencias. Todas son correctas. RFC 3227. UNE 71506. ISO 27037.

Relacione: tienen conocimiento profundo del sistema, intrusiones y ataques, puede desarrollar respuestas rápidas. Desarrolladores y analistas. Administrador de sistemas. Centro de servicios.

Indique que impacto tienen las intrusiones: intentos de entrada. Alto. Super alto. Bajo. Medio.

Relacione: Software con funcionalidades ocultas para fines maliciosos contra el usuario. Troyano. Spyware. Virus.

¿Cuáles son los objetivos principales de la informática forense?. Las dos primeras son correctas. Ninguna es correcta. Analizar un incidente para obtener evidencias digitales del mismo. Certificar la manipulación o no de un hecho digital.

¿Que es un registro oficial de los eventos producidos a lo largo de un periodo de tiempo?. Todas son correctas. Historial. Registro. Log.

A qué zona hace referencia: Zona de riesgo elevado donde los IDS/IPS deben configurarse con poca sensibilidad. Zona Roja. Zona verde. Zona azul.

Que no se corresponde con las ventajas de los sistemas de detección de intrusos basados en red o NIDS. Son sistemas de fácil instalación y actualización. Pueden operar y detectar ataques ante datos cifrados que circulan por la red. Detectan accesos no deseados en la red. Tienen bajo impacto en la red por no intervenir en sus operaciones habituales.

Relacione: 1er nivel de gestión, punto de contacto entre usuarios y gestión de intrusiones. Registran y monitorizan. Desarrolladores y analistas. Centro de servicios. Administradores de sistemas.

Cual de las opciones no se incluye en el análisis previo para implantar un IDS/IPS en la organización. Análisis de los servicios que ofrece la organización. Análisis de las zonas externas de la organización. Análisis de los protocolos de red utilizados. Análisis de los procesos de negocio y su información valiosa.

Indique si son activos o pasivos los siguientes ataques: Ataque de intercepción. Ataque pasivo. Ataque activo.

Relaciona: El IDS/IPS detecta como ataque tráfico de datos que es inofensivo. Falso positivo. Falso negativo. Verdadero negativo. Verdadero positivo.

A que política de respuesta pertenece: Almacenamiento de los paquetes sospechosos. Política de respuesta pasiva. Política de respuesta activa.

Indique el tipo de evento: Eventos que se han reenviado a este registro desde otros equipos. Registros de instalación. Registros de eventos reenviados. Registros de seguridad. Registros de aplicación.

A que política de respuesta pertenece: El envío de un mail para notificar la detección del ataque. Política de respuesta pasiva. Política de respuesta activa.

Que no es común a los distintos tipos de códigos maliciosos. Necesitan un sistema de cómputo anfitrión. Se instalan con el consentimiento del usuario. Su funcionamiento interfiere con la operación normal del sistema al que atacan. Son componentes de software diseñados con un fin específico.

Relacione: Capacidad del IDS/IPS para detectar ataques y diferenciarlos del tráfico normal de red. Precisión. Completitud. Rendimiento. Tolerancia a fallos.

Identifique categoría: Medidas que sirven para detectar y controlar incidentes de seguridad. Medidas de detección. Medidas correctivas. Medidas preventivas. Medidas proactivas.

Los sistemas de ___ de intrusos o IDS son programas para detectar ___ que se encargan de monitorizar ____. Detección // intrusiones // eventos. Prevención // intrusiones // registros. Detección // vulnerabilidades // problemas. Prevención // ataques // logs.

Cual no se corresponde con una vía de acceso de código malicioso al equipo. Antivirus. Red local. Navegadores. Correo electrónico.

Relaciona: El IDS/IPS detecta como ataque, un ataque. Verdadero Positivo. Falso negativo. Falso positivo. Verdadero negativo.

Relacione: Capacidad del IDS/IPS cuando detecta todos los tipos de ataques sucedidos en el equipo. Completitud. Rendimiento. Tolerancia a fallos. Precisión.

Indique si son activos o pasivos los siguientes ataques: Ataque de interrupción. Ataque pasivo. Ataque Activo.

Que aspecto no es necesario que este contenido en el registro de gestión de incidencias. Los efectos que no han derivado de la misma. El tipo de incidencia. El momento en el que produce la incidencia. La persona que realiza la notificación.

La gestión de incidentes calcula y utiliza los ___ necesarios para aplicar medidas de prevención, ___ y corrección. Atacantes // detección. Recursos // detección. Atacantes // proacción. Recursos // proacción.

Propiedad mediante la que se garantiza el acceso a la misma solo a usuarios autorizados. Confidencialidad. Disponibilidad. Accesibilidad. Integridad.

Indique categoría: Medidas que se aplican para evitar la ocurrencia de incidentes de seguridad. Medidas Preventivas. Medidas proactivas. Medidas de detección. Medidas correctivas.

Que fases básicas nos llevan a completar una investigación forense. Evaluación del caso, obtención de evidencias, análisis e informe. Entrevista personal, recolección de evidencias, análisis y defensa en sala. Obtención de evidencias y análisis forense.

Clasifique el incidente según su tipo: Ataques a páginas web o servidores para saturarlos. Denegación de servicio. Intentos de obtención de información. Accesos no autorizados. Mal uso de los recursos.

A que registro de auditoria corresponde: en eventos ocurridos cuando ha habido algún fallo de auditoría. Auditoria incorrecta. Error. Información. Advertencia.

Relaciona: El IDS/IPS detecta como evento inofensivo tráfico de red normal. Falso negativo. Verdadero Negativo. Verdadero positivo. Falso positivo.

Relacione: Cantidad de eventos que puede analizar el sistema IDS/IPS. Rendimiento. Completitud. Tolerancia a fallos. Precisión.

A que política de respuesta pertenece: Almacenaje de los detalles de la alerta en una base de datos. Política de respuesta pasiva. Política de respuesta activa.

¿por qué, a pesar de usar herramientas forenses, puede que no estemos haciendo forense?. Porque es el procedimiento seguido lo que determina que sea forense de verdad. Porque son herramientas gratuitas. Porque no he usado hashes. Porque forense es lo que va a juicio.

A que política de respuesta pertenece: Envío de un ResetKill. Política de respuesta activa. Política de respuesta pasiva.

Indique el tipo de evento: Eventos que hacen referencia a la instalación de aplicaciones en el equipo. Registros de instalación. Registro de eventos reenviados. Registros de aplicación. Registros de seguridad.

Identifique categoría: Medidas implementadas una vez sucedido el evento para evitar que vuelva a ocurrir y restaurar el sistema: Medidas correctivas. Medidas preventivas. Medidas de detección. Medidas proactivas.

Relacione: Software para hacer daño en el equipo sin que se dé cuenta el usuario. Necesitan anfitrión para hacer daño y propagarse. Virus. Spyware. Troyano.

Indique el tipo de evento: Eventos registrados por aplicaciones o programas. Registros de seguridad. Registros de aplicación. Registros de eventos reenviados. Registros de instalación.

Indique si son activos o pasivos los siguientes ataques: Ataque de modificación. Ataque activo. Ataque pasivo.

A qué zona hace referencia: Zona de menos riesgo, e IDS/IPS mayor sensibilidad que la roja por que el firewall filtra accesos. Zona azul. Zona verde. Zona roja.

Indique que impacto tienen las intrusiones: Fuga. Bajo. Alto. Medio. Super alto.

Relacione: aplicación que personaliza la publicidad que se muestra en el navegador del usuario. Scumware. Server side spyware. Adware. Browser hijackers.

Propiedad de la información que garantiza que no ha sido alterada y que se ha mantenido intacto el documento original de la misma. Integridad. Accesibilidad. Disponibilidad. Confidencialidad.

Clasifique el incidente según su tipo: Intentos de acceso no autorizados recurrentes. Accesos no autorizados. Denegación de servicio. Intentos de obtención de información. Mal uso de los recursos.

Cual no es ventaja del IDS/IPS situado detrás del cortafuegos. Permite correlación entre ataques antes y después del firewall. Al identificar ataques más comunes, permite configuración más efectiva del firewall. Menos logs pero la información está mejor seleccionada y es más relevante. El riesgo de ataques exitosos disminuye considerablemente.

Clasifique el incidente según su tipo: Borrado de información. Accesos no autorizados. Mal uso de los recursos. Intentos de obtención de información. Denegación de servicios.

Propiedad de la información en la que se garantiza que esté disponible para los usuarios cuando estos lo requieran. Disponibilidad. Confidencialidad. Accesibilidad. Integridad.

Relacione: tienen conocimientos de intrusiones, comportamiento y funcionamiento. Pueden desarrollar herramientas y protección. Desarrolladores y analistas. Administrador de sistemas. Centro de servicios.

Clasifique el incidente según su tipo: Violación de la normativa de acceso a internet. Mal uso de recursos. Denegación de servicio. Accesos no autorizados. Intentos de obtención de información.

Sistema para monitorizar y gestionar eventos a tiempo real... SIEM Sistema de información y eventos. SEM Sistema de gestión de eventos. SIM Sistema de gestión de la seguridad de la información.

Relaciones con los tipos de medidas: Desconectar el equipo afectado de la red para impedir que se propague a los demás equipos. Recuperación. Contención. Erradicación.

Relacione con los tipos de medidas: Localizar el virus y eliminarlo del equipo con la utilización de un antivirus. Erradicación. Contención. Recuperación.

Qué función no se corresponde con los sistemas de información y eventos de seguridad o SIEM. Detección de anomalías y amenazas. Conocimiento del comportamiento del usuario y su contexto. Incumplimiento de nuevas normativas de seguridad. Administración más efectiva del riesgo.

Relacione con los tipos de medidas: Restaurar el sistema dañado con la última copia de seguridad realizada con datos del equipo. Erradicación. Contención. Recuperación.

Sistemas de supervisión cuya meta es recogida, correlación y análisis de información de seguridad en diferido, no a tiempo real. SIM Sistema de gestión de la seguridad de la información. SEM Sistema de gestión de eventos. SIEM Sistema de información y eventos.

Sistemas que recogen logs de equipos, sistemas y dispositivos, los almacena a largo plazo y correlación en tiempo real. SIEM Sistema de información y eventos. SEM Sistema de gestión de eventos. SIM Sistema de gestión de la seguridad de la información.

Qué funcionalidad no es válida para un Sistema de gestión de seguridad de la información o SIM. Predecir y pronosticar amenazas. Centralizar y monitorizar los componentes de la infraestructura de la organización. Realizar un análisis forense de los eventos de seguridad. Seguimiento de los incidentes de seguridad a tiempo real.