MDS

¿Cuál es el objetivo principal de la metodología Microsoft SDL en el desarrollo seguro de software?. Reducir el tiempo de desarrollo eliminando pruebas de seguridad. Reemplazar por completo el control de calidad tradicional. Detectar vulnerabilidades de software y mejorar herramientas de mitigación. Implementar software sin necesidad de pruebas de seguridad.

¿Qué metodología mide si un producto está lo más cerca posible de no tener desviaciones de los requisitos?. Six Sigma (6σ). OCTAVE. X. Flaw Hypothesis Method. CMMI.

¿Qué es y para qué sirve SonarQube?. Software completamente propietario para medir la calidad del código y detectar malas prácticas. Plataforma Open Source para medir la calidad del código y detectar malas prácticas. Servicio de detección de librerías y dependencias desactualizadas. Herramienta de análisis de la seguridad física.

Secure Development Life Cycle (SDL) se enfoca en evitar la aparición de errores de las aplicaciones en: Producción. Implementación. Diseño. Ninguna de las anteriores.

¿En qué tipos de amenazas se clasifica el modelo STRIDE?. Spoofing, Tampering, Replication, Information Disclosure, Denial of Service, Evasion. System Tampering, Risk Identification, Data Exposure. Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege. Security, Tampering, Risk, Intrusion, Detection, Encryption.

¿Qué opción se corresponde con el nivel 4 del modelo de madurez CMMI?. Procesos gestionados y medidos por métricas. Procesos enfocados en la mejora continua mediante tecnologías innovadoras. Procesos básicos repetibles controlados por coste y tiempo. Procesos definidos y con mejoras.

Como estudiante de ciberseguridad, te piden diseñar un pipeline de CI/CD seguro para desplegar una aplicación web. ¿Qué combinación de herramientas es la más completa sin ser redundante?. Integrar SonarQube para análisis estático, Snyk para vulnerabilidades en librerías, OSS Index para dependencias y LGTM para análisis de código en GitHub. Usar únicamente SonarQube con todos sus plugins (SonarLint, SonarCloud y SonarQube Scanner), asumiendo que cubre tanto análisis estático como dinámico y gestión de vulnerabilidades. Combinar SonarQube, SNYK, OWASP ZAP Y DEFECTDOJO en el mismo pipeline. Montar un pipeline donde solo se use SonarQube para análisis estático y dejar el escaneo de dependencias para cuando surja un fallo en producción.

¿Qué técnica especifica dentro de las metodologias de Software Assurance utiliza una fórmula específica para la evaluación de la gravedad del riesgo?. OCTAVE. OSSTMM. FHM. DREAD.

En el contexto del Microsoft SDL, ¿qué se busca principalmente durante la fase de comprobación?. Elaborar la arquitectura de seguridad inicial. Detectar vulnerabilidades mediante fuzz testing y análisis dinámico. Publicar la versión final del software. Integrar nuevas funcionalidades al sistema.

¿En qué método se estimula el pensamiento racional?. Capability Maturity Model Integration (CMMI). Six Sigma. Método socrático. STRIDE y DREAD.

¿Qué modelo se adaptaría mejor a una empresa de ciberseguridad en la que la adaptación ante nuevas vulnerabilidades es clave para la empresa?. Modelo ágil. Modelo en cascada. Ninguna es correcta. Modelo en espiral.

¿Qué metodología se utiliza para calificar, comparar y priorizar la severidad del riesgo presentado por cada amenaza?. Six Sigma. STRIDE AND DREAD. Capability Maturity Model Integration (CMMI). Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE®).

En la metodologia Microsoft SDL, ¿en qué fase se realiza el análisis de superficies de ataques y modelos de riesgos?. Fase de diseño. Fase de comprobación. Fase de requisitos. Fase de formación.

Una empresa desarrolla software sin falios aparentes, pero es vulnerable a ataques básicos. ¿Qué enfoque ha fallado probablemente?. Calidad del código. Definición de requisitos de seguridad. Diseño modular. Pruebas unitarias.

¿Cuál de las siguientes metodologías se centra especificamente en detectar fallos de seguridad durante la generación de código y optimizar el rendimiento de los equipos de desarrollo?. OWASP CLASP. OCTAVE. Microsoft SDL. TSP-Secure.

¿En cual de las fases del flujo de Microsoft SDL se suelen aplicar técnicas de fuzz testing y análisis de código dinámico?. Fase de implementación. Fase de anticipación. Fase de comprobación. Fase de diseño.

De las 4 metodologías de desarrollo de software vistas en clase, ¿Cuál NO está diseñada para gestionar los cambios en los requisitos de manera rápida?. Metodologia ágil. Modelo en espiral. Modelo incremental. Modelo en cascada.

¿Cuál es el objetivo del Método Socrático?. Definir un método de evaluación integral. Medir si un producto o servicio es perfecto. Estimar el pensamiento racional. Calificar la madurez de los procesos de desarrollo de software.

¿En qué fase de un proceso SDL. se codifica, se prueba y se integra el software?. Fase de diseño. Fase de lanzamiento. Fase de implementación. Fase de comprobación.

Cual de las siguientes no es una sección del Open Source Security Testing Methodology Manual (OSSTMM): Seguridad Inalámbrica. Seguridad de los Procesos. Seguridad del software. Seguridad Fisica.

¿Cuál es la característica principal del modelo en espiral en el desarrollo de software seguro?. Se prioriza la rapidez frente a la calidad del producto. No permite cambios en los requisitos tras el inicio del proyecto. Cada fase se ejecuta de forma estrictamente lineal sin retrocesos. Se basa en la revisión de riesgos en cada iteración.

Usando el modelado de amenazas STRIDE, ¿dónde se clasificaría una vulnerabilidad en la que se pueden modificar los atributos de un usuario pudiendo cambiar su rol?. Elevation of Privilege (Escalada de privilegios). Information Disclosure (Filtración de información). Spoofing (Suplantación). Elevation of Privilege (Escalada de privilegios).

Una empresa desarrolla software sin fallos aparentes, pero es vulnerable a ataques básicos. ¿Qué enfoque ha fallado probablemente?. Pruebas unitarias. Definición de requisitos de seguridad. Calidad del código. Diseño modular.

¿Cuál de las siguientes respuestas es cierta para Microsoft SDL?. Las potenciales amenazas para un activo y su probabilidad de ocurrencia se identifican en la fase de diseño. Posee dos versiones para el desarrollo ágil. En la fase de comprobación normalmente se aplican técnicas de fuzz testing y análisis de código estático. La fase de lanzamiento es aquella en la que el sistema se entrega, despliega y entra en funcionamiento.

¿Qué roles tienen predefinidos los participantes en Scrum?. Scrum Master, Product Owner, Team of Developers, Stakeholders. No hay ningún rol predefinido en scrum. Scrum master, Product builder, Team of Stakeholders, Developers. Scrum master, Product Owner y Team of Developers.

¿Cuál es la diferencia principal entre un control preventivo y un control proactivo en el desarrollo seguro de aplicaciones?. El control preventivo verifica datos de entrada mientras que el proactivo define planes de prueba de seguridad. El control preventivo detecta errores en tiempo de ejecución y el proactivo los evita antes del despliegue. El control preventivo establece planes de prueba y el proactivo verifica la precisión de los datos ingresados. No hay diferencia significativa, ambos términos se utilizan indistintamente en metodologías de desarrollo seguro.

¿De qué fases se compone SDL?. Formación, Diseño, Requisitos, Implementación, Verificación, Respuesta, Lanzamiento. Requisitos, Formación, Diseño, Implementación, Verificación, Lanzamiento, Respuesta. Formación, Requisitos, Diseño, Implementación, Lanzamiento, Verificación, Respuesta. Formación, Requisitos, Diseño, Implementación, Verificación, Lanzamiento, Respuesta.

¿Cuál es el objetivo principal durante la fase de requisitos en el Microsoft SDL?. Revisar los planes de seguridad y proporcionar recomendaciones para cumplir con las metas de seguridad. Definir la arquitectura del software. Identificar vulnerabilidades en el código fuente. Establecer medidas de mitigación de riesgos.

¿En qué consiste la metodología OWASP?. Protocolo de encriptación. Conjunto de guías y herramientas para el desarrollo seguro de aplicaciones web. Lenguaje de programación orientado a objetos para entornos seguros. Marco legal para la protección de datos personales en la web.

¿En qué fase de un proceso SDL se codifica, se prueba y se integra el software?. Fase de implementación. Fase de diseño. Fase de comprobación. Fase de lanzamiento.

¿En cuál de las siguientes fases de Microsoft SDL se realiza la evaluación de los riesgos de seguridad y privacidad?. Fase de requisitos. Fase de diseño. Fase de implementación. Fase de comprobación.

¿Qué acción no se realiza en la fase de comprobación en Microsoft SDL?. Análisis Dinámico. Fuzzing. Revisión de la superficie de ataque. Análisis estático.

¿Cuál es la fase del Microsoft SDL donde se realizan las pruebas de fuzz testing y el análisis dinámico de código?. Fase de comprobación. Fase de diseño. Fase de requisitos. Fase de respuesta.

¿Qué metodología de desarrollo seguro fue impulsada por Microsoft y se centra en incorporar seguridad en las fases del ciclo de vida del desarrollo. OWASP CLASP. Microsoft CWE. Microsoft CVE. Microsoft SDL.

¿Cuál de las siguientes fases del SDL es incorrecta?. La revisión final de seguridad y el seguimiento del sistema para responder ante nuevos incidentes de seguridad se realiza en la fase de entrega. La fase de requisitos conlleva definir los requisitos de seguridad. En la fase de comprobación se revisa el código profundamente y se actúa sobre las posibles zonas de ataque sobre el software. Los requisitos de diseño son establecidos en la fase de diseño.

¿Cómo funciona el Método Socrático?. Se cuestiona el punto de vista opuesto sobre la razón fundamental de su posición. Es una escala de calificación del 1 a 5 que se utiliza para calificar la madurez de los procesos de desarrollo. El defensor del punto de vista opuesto cuestiona con una forma negativa de la pregunta misma al resto. Ninguna es correcta.

En el modelo en cascada, ¿por qué es crítico definir los requisitos de seguridad en la primera fase?. Todas son correctas. Porque el cliente revisará los requisitos constantemente. Para minimizar el esfuerzo de documentación. Porque corregir fallos de seguridad en fases posteriores es costoso.

Según Common Criteria, ¿qué documento define los requisitos de seguridad que debe cumplir un producto específico (TOE)?. SAR (Security Assurance Requirements). PP (Protection Profile). SFR (Security Functional Requirements). ST (Security Target).

¿Cuál es la función de SELinux?. Limitar los recursos que utilizan los contenedores. Ejecutar un sistema operativo diferente al host. Ampliar las políticas de discretionary access control. Monitorear el tráfico de red entrante y saliente basado reglas de seguridad.

¿Cuál de las siguientes afirmaciones describe mejor la diferencia principal entre máquinas virtuales y contenedores en sistemas operativos de confianza?. Los contenedores ejecutan sistemas operativos diferentes al host, mientras que las máquinas virtuales comparten el mismo kernel. Las máquinas virtuales añaden una capa de aislamiento adicional y pueden ejecutar sistemas operativos diferentes al host, mientras que los contenedores comparten el kernel del host y aíslan procesos mediante tecnologías específicas del kernel. Los contenedores requieren hardware especializado para funcionar, mientras que las máquinas virtuales no. Las máquinas virtuales solo se utilizan para ejecutar aplicaciones ligeras, mientras que los contenedores son para cargas de trabajo pesadas.

Tienes que ejecutar una aplicación legada que requiere una versión específica de un sistema operativo, distinta a la del host actual, y la máxima prioridad es el aislamiento para prevenir compromisos del host derivados de posibles vulnerabilidades en la aplicación legada, ¿Qué utilizas?. SELinux, ya que amplía las políticas DAC y permite reglas muy específicas sobre acceso a recursos, lo que es ideal para aislar aplicaciones. Contenedores Docker, porque utilizan tecnologías del kernel del host como Namespaces y Cgroups para un aislamiento efectivo y son más ligeros. Máquinas Virtuales, porque permiten ejecutar un sistema operativo diferente al del host y añaden una capa de seguridad/aislamiento adicional. Virtualization-based Security (VBS) de Windows, porque puede usarse para mejorar la seguridad del Kernel del host y aislar procesos críticos.

¿Cuál de los siguientes componentes debe incluirse obligatoriamente en el Objetivo de Seguridad (ST) según los Common Criteria?. Requisitos Funcionales de Seguridad (SFRs). Control de acceso obligatorio (MAC). Nivel de Garantía de Evaluación (EAL). Perfil de protección (PP).

¿Qué tecnología de Linux se utiliza en contenedores Docker para restringir las syscalls que puede realizar un proceso?. Namespaces. Cgroups. SELinux. SECCOMP.

¿Qué definición se corresponde al concepto PP (Protection Profile) dentro del estándar Common Criteria?. Es el nivel de seguridad alcanzado por un producto tras la evaluación. Es el producto o sistema que se va a evaluar. Es un documento que describe las funciones de seguridad específicas de un producto. Es un listado de requisitos de seguridad genéricos que debe cumplir un producto de una determinada categoría.

¿Cuál de las siguientes tecnologías no forma parte de los mecanismos de aislamiento que utilizan los contenedores Docker en Linux?. Cgroups. Seccomp. Namespaces. Hipervisor.

¿Cuál es la principal diferencia entre el control de acceso DAC y MAC?. DAC permite una política de acceso centralizada, mientras que MAC es gestionada por los usuarios. MAC prioriza la usabilidad por encima de la seguridad. MAC permite a los usuarios modificar los privilegios de acceso a recursos. DAC permite a los usuarios con privilegios sobre un recurso modificarlos o transferirlos.

¿Cual de las siguientes afirmaciones es falsa sobre SELinux?. Si no hay una regla específico -> denegar. Permite implementar reglas generales con DAC. Amplía las políticas DAC. Cada objeto está etiquetado con un "contexto".

¿Qué afirmación es correcta sobre el SELinux (Security-Enhanced Linux)?. Implementa reglas genéricas. Si no existe una regla específica se deniega. Cada objeto está etiquetado con un usuario. Permite restringir algunas syscalls.

¿Qué significa que un producto tenga una certificación EAL 4 según Common Criteria?. Que ha sido estructuralmente probado y parcialmente verificado formalmente. Que ha sido diseñado, probado y revisado de manera metódica. Que está verificado formalmente y su diseño ha sido completamente comprobado. Que ha sido funcionalmente probado, pero sin garantías formales.

¿Cuál de los siguientes mecanismos NO es una tecnología utilizada para el aislamiento de procesos en contenedores Linux?. HYPER-V. SECCOMP. Namespaces. Cgroups.

¿Cuál de las siguientes tecnologías utilizadas en contenedores de Linux permite limitar las llamadas al sistema que puede hacer un proceso?. Seccomp. SELinux. Namespaces. Cgroups.

¿En qué modelo de control de accesos el usuario no puede transferir sus derechos de acceso a otro usuario?. Ninguna de las anteriores. DAC. MAC. RBAC.

Señale la opción incorrecta acerca de Common Criteria: Es una base de datos de productos certificados. Es un estándar internacional reconocido sólo en países de la Unión Europea. En España el responsable del proceso administrativo es el CCN. Su principal objetivo es verificar las afirmaciones relacionadas con la seguridad del producto que se evalúa.

¿Qué modelo de control de acceso permite a los propios usuarios con privilegios sobre un recurso modificar o transferir sus privilegios a otros usuarios?. DAC. RBAC. Ninguna de las anteriores. MAC.

¿Qué función tiene los SARs?. Especificar el tipo de ataque. Comprobar la funcionalidad del producto final. Describir las medidas aplicadas durante el desarrollo y evaluación. Verificar la compatibilidad con normativas locales.

¿Cuál de las siguientes características de los contenedores docker proporciona aislamiento mediante la restricción de llamadas al sistema?. SELinux. Cgroups. SECCOMP. Namespaces.

¿Cuál de las siguientes características de seguridad en Linux sirven para restringir algunas syscalls?. Cgroups. Seccomp. SELinux. Namespaces.

¿Cuál es una diferencia clave entre virtualización y contenedores en términos de aislamiento?. Los contenedores usan el kernel del host y dependen de tecnologías como seccomp y namespaces para aislamiento. Los contenedores proporcionan un aislamiento más fuerte que las máquinas virtuales. Las máquinas virtuales comparten el mismo kernel que el host, mientras que los contenedores no. La virtualización no permite ejecutar sistemas operativos diferentes al host.

En Linux, ¿qué tecnología permite aislar procesos ofreciendo múltiples vistas sobre el mismo recurso del sistema operativo?. Seccomp. Cgroups. SELinux. Namespaces.

En que se diferencian el Protection Profile (PP) y los Security Functional Requirements (SFR). PP es el producto os sistema que vamos a evaluar mientras que SFR son las funciones de seguridad específicas que puede proveer un producto. Ninguna es correcta. SFR son las funciones de seguridad específicas que puede proveer un producto, mientras que PP es un listado de los requisitos de seguridad que debería cumplir el producto por pertenecera una determinada categoría. El PP es un listado de funciones de seguridad que puede proveer un producto mientras que SFR son los requisitos de seguridad que debería cumplir el producto por pertenecer a una determinada categoría.

¿Qué componente de los Common Criteria define el conjunto de requisitos de seguridad específicos que debe cumplir el producto evaluado?. TOE (Target of Evaluation). PP (Protection Profile). EAL (Evaluation Assurance Level). ST (Security Target).

Indica cuál de estas frases es verdadera sobre Common Criteria. El ST (Security Target) es un documento que clasifica las amenazas detectadas en el TOE. EL PP (Protection Profile) establece requisitos comunes de seguridad para una categoría de productos como antivirus o firewalls. El EAL representa un conjunto de funciones de seguridad que ofrece el producto. El Common Criteria es un estándar nacional creado por el CCN en España.

¿Qué modelos de control de acceso permite a los usuarios transferir sus privilegios sobre un recurso a otros usuarios?. RBAC (Role-Based Access Control). MAC (Mandatory Access Control). DAC (Discretionary Access Control). Ninguno de los anteriores.

¿Cuál de las siguientes afirmaciones describe mejor la diferencia entre contenedores Docker y máquinas virtuales?. Los contenedores docker utilizan el kernel del host y herramientas como namespaces y Cgroups para aislar procesos. Las máquinas virtuales comparten el kernel del host, mientras que los contenedores usan su propio sistema operativo. Los contenedores Docker requieren hipervisores para ejecutarse, como las máquinas virtuales. Los contenedores Docker no comparten el kernel del host y son más seguros que las VMs.

¿Qué permite hacer SECCOMP en un entorno de contenedores Linux?. Cambiar el contexto de seguridad de un fichero. Limitar las llamadas al sistema que puede hacer un proceso. Compartir espacio de red entre contenedores. Asignar memoria estática a los procesos.

¿Cuál de los siguientes niveles de Common Criteria (EAL) indica que un producto ha sido "semiformally designed and tested"?. EAL 3. EAL 7. EAL 5. EAL 4.

¿Cuál de las principales amenazas a los sistemas operativos corresponde con un ataque que compromete el proceso de arranque para ganar el control antes incluso de que se ejecute el sistema operativo?. Memory corruption. Uninitalised data leakage. Deadlocks/hangs. Bootkit.

¿Cuál de las siguientes conceptos relacionados con el Common Criteria es incorrecto?. ST Requisitos de seguridad que debe cumplir el TOE. KK Los posibles atacantes del entorn. SFRs Funciones de seguridad específicas que puede proveer un producto. TOE El producto o sistema que vamos a evaluar.

Elige la respuesta correcta. Con DAC (Discretionary Access Control) los propios usuarios que tienen privilegios sobre un recurso pueden modificar o transferir sus privilegios a otros usuarios. MAC se utilizará en sistemas donde la flexibilidad de acceso es prioritaria. Con MAC (Mandatory Access Control) una política no centralizada determina que usuarios pueden acceder a los recursos. El modelo de permisos Unix es MAC.

¿Si quiero montar un sistema Windows completo para análisis de malware en windows que tipo de virtualización debería usar?. Es muy peligroso analizar malware en una máquina aún con docker o VM, se debe usar una máquina externa que solo se use para esa tarea. Virtualización de contenedores con Docker. Los dos tipos de virtualización valdrían para ese caso. Virtualización con una máquina virtual completa con por ejemplo VMWare.

¿Cuál de las siguientes afirmaciones describe mejor el modelo DAC (Discretionary Access Control)?. El acceso se determina en función del rol del usuario. Los usuarios pueden transferir sus derechos de acceso a otros usuarios. Los derechos de acceso son intransferibles. Los derechos de acceso están determinados por una política centralizada.

¿Por qué podría considerarse que el modelo de permisos de UNIX se basa en DAC y no en MAC?. Porque los usuarios pueden modificar los permisos de sus propios archivos. Porque las políticas se definen por el administrador del sistema. Porque todos los recursos tienen el mismo nivel de acceso. Porque no existe un control centralizado.

¿Cuál de las siguientes afirmaciones sobre los niveles EAL del Common Criteria es correcta?. EAL 7 corresponde a un diseño formalmente verificado y probado. EAL 4 implica verificación funcional básica sin revisión. EAL 2 requiere pruebas formales de seguridad y diseño semiestructurado. EAL 1 es el nivel más alto y garantiza verificación formal completa.

Según Common Criteria, ¿qué documento lista los requisitos de seguridad que debería cumplir un producto en función de su categoría (como firewall o antivirus)?. SAR (Security Assurance Requirements). PP (Protection Profile). TOE (Target of Evaluation). ST (Security Target).

¿Con qué tecnología se pueden restringir las syscalls que puede realizar un proceso?. No existe una tecnología para hacer esto. SECCOMP. Namespaces. Cgroups.

¿Existe alguna forma de, teniendo un sistema Linux con DAC, modificar estas reglas para añadir nuevas más específicas?. Sí, mediante el uso de SELinux. No, sólo se puede cuando es un MAC. Sí, mediante el uso de Control Groups. Sí, mediante el uso de Namespaces.

¿Qué es el ST (Security Target)?. Funciones de seguridad específicas que puede proveer un producto. Listado de requisitos de seguridad que debería cumplir el producto por pertenecer a una determinada categoría. Requisitos de seguridad que debe cumplir el toe. Suele incluir al menos un PP. ¿Qué es el ST (Security Target)?.

¿Cuál es la tecnología de Linux que se encarga de aislar los procesos mediante la restricción de las syscalls?. SECCOMP. Cgroups. SELinux. Namespaces.

Imagina que un atacante logra modificar el proceso de arranque de tu máquina virtual antes de que arranque el SO principal. ¿Qué tipo de amenaza de las vistas en clase es?. Canales laterales especulativos. Rowhammer. Bootkits. SQL Injection.

¿Qué concepto dentro de Common Criteria describe las funciones de seguridad específicas que puede proveer un producto?. SFR. TOE. PP. ST.

¿Qué componente de common criteria define los requisitos funcionales de seguridad que debe cumplir el producto?. SFRS. ST. SAR. PP.

¿Cuál de las siguientes afirmaciones describe correctamente el modelo de permisos de "UNIX"?. Se basa en políticas RBAC (Role-Based Access Control) para gestionar privilegios. Los usuarios pueden transferir derechos de acceso sobre sus recursos, lo que es característico del Discretionary Access Control (DAC). Los permisos son inmutables una vez asignados. Utiliza MAC, donde el administrador define centralmente todos los permisos.

¿Cuál es la diferencia principal entre la virtualización y los contenedores?. Las máquinas virtuales son más seguras que los contenedores. Las máquinas virtuales permiten ejecutar un sistema operativo diferente al del host, mientras que en los contenedores no. Los contenedores comparten con el host recursos como el kernel, mientras que las máquinas virtuales no. Los contenedores no presentan aislamiento con el host, mientras que las máquinas virtuales sí.

¿Cuál es el propósito principal de los namespaces en sistemas operativos como Linux?. Compartir archivos entre diferentes usuarios sin restricciones. Eliminar la necesidad de control de acceso mediante DAC o MAC. Aumentar la velocidad de ejecución de todos los procesos del sistema. Aislar los recursos de procesos para que operen como si estuvieran en sistemas separados.

¿Cuál de estos modelos de seguridad permite a los usuarios decidir quién puede acceder a sus archivos?. MAC. Todas son correctas. DAC. RBAC.

¿Qué componente de docker es un módulo de seguridad para políticas de control de acceso obligatorias?. Namespaces. SELinux. SECCOMP. Cgroups.

¿Cuál de los siguientes mecanismos proporciona aislamiento en contenedores Docker utilizando el kernel de Linux?. Namespaces. BIOS virtualization. VirtualBox. Hyper-V.

¿Qué afirmación sobre los contenedores Docker es correcta?. Comparten el kernel del sistema operativo host. Tienen su propio kernel separado del host. No pueden usar namespaces. Siempre se ejecutan en una máquina virtual.

¿Qué afirmación no es correcta?. Los contenedores docker ofrecen el mismo nivel de aislamiento que las máquinas virtuales gracias a mecanismos como namespaces y cgropus. Los contenedores Docker usan e interactúan con los recursos del host directamente, compartiendo el mismo kernel. Las máquinas virtuales proporcionan una capa de seguridad adicional al emular el sistema completo. Las máquinas virtuales permiten ejecutar sistemas operativos distintos al del host.

Selecciona cual de estas opciones es la correcta. Docker solo funciona en Windows. Las VMs son más ligeras que los Docker. Docker comparte el kernel del host, mientras que las máquinas virtuales utilizan un so completo por su propio kernel. Docker es igual de seguro que una máquina virtual.

Que mecanismo del kernel de Linux se utiliza en los contenedores para limitar las llamadas al sistema que puede hacer un proceso?. SELinux. Cgroups. Namespaces. Seccomp.

¿Cuál es uno de los principales objetivos del uso de máquinas virtuales?. Mejora del rendimiento gráfico. Acceso a hardware antiguo. Todas son correctas. Añadir una capa de aislamiento y seguridad.

¿Qué herramienta se puede utilizar para restringir las syscalls que puede realizar un proceso?. SELinux. Cgroups. SECCOMP. Docker.

¿Qué representa el TOE (Target of Evaluation) en el contexto de Common Criteria?. Una lista de amenazas conocidas. El perfil de protección general aplicable a cualquier sistema. Un conjunto de requisitos funcionales de seguridad. El sistema o producto que se somete a evaluación.

¿Qué característica diferencia principalmente a los contenedores de las máquinas virtuales tradicionales?. Los contenedores tienen su propio kernel. Los contenedores requieren hardware dedicado. Los contenedores comparten el kernel del host. Los contenedores no pueden aislar procesos.

¿Qué tipo de modelo de permisos es ‘UNIX’?. RBAC (Control de Acceso Basado en Roles). MAC (Control de Acceso Obligatorio). DAC (Control de Acceso Discrecional). ABAC (Control de Acceso Basado en Atributos).

La tecnología que permite restringir las syscalls es... Namespaces. SECCOMP. Cgroups. SELinux.

¿Cuál es la definición de SFRs?. Requisitos de seguridad que debe cumplir el Target Of Evaluation. Listado de requisitos de seguridad que debería cumplir el producto por pertenecer a una determinada categoría. Funciones de seguridad específicas que puede proveer un producto. Descripciones de las medidas utilizadas durante el desarrollo y evaluación.

Qué es VBS y para qué sirve. Es un sistema de virtualización de Windows que sirve para mejorar la seguridad en el SO. Es un proceso en Linux que sirve para aislar elementos del resto del sistema operativo, como drivers. Es un proceso en Linux que sirve para dividir recursos en ciertas aplicaciones. Es un sistema de virtualización de Windows que sirve para correr máquinas como Kali.

¿Para que sirve SELinux?. Es una herramienta de linux, que entre otras cosas, se utiliza para restringir las syscalls que puede realizar un proceso. Permite ampliar las políticas dac de linux, aportando más funcionalidades. Permite particionar grupos de recursos. Permite crear contenedores.