Seguridad en Sistemas de Información Flashcards
¿Que es el CISO?
Es un nuevo Rol que cheriff de los sistemas de seguridad.
Metodologías SGSI - Sistemas de Gestion de Seguridad de la Información
- ISO/IEC 27001/2 –> PDCA = Plan->Do->Check->Act
- ENS –> Analisis y gestion de riesgo
- MAGERIT
- OCTAVE
- CRAMM
- MEHARI
- Cobit
- Common Criteria (1 - 7)
- ITIL
¿Qué es CIA en ?
Atributos CORE a proteger:
- Confidencialidad
- Integridad
- Disponibilidad
- Otros: Autenticidad (no-repudio), trazabilidad
Dimensiones de MAGERIT
- Disponibilidad: o disposición de los servicios a ser usados cuando sea necesario.
- Integridad: o mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización.
- Confidencialidad: o que la información llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados.
Conceptos de Magerit
- Activo: Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
- Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. Evento que puede darse aprovechando una vulnerabilidad.
- Vulnerabilidad: Probabilidad de ocurrencia/materialización de una amenaza
- Impacto: Daño producido por la ocurrencia de una amenaza
- Riesgo: F(probabilidad amenaza * impacto)
¿Que es una salvaguarda?
Mecanismo para reducir los riesgos
Seguiridad Física
- Control de acceso a edificios
- Sistemas contra incendios (NFPA-75)
- Sistemas de energia electrica (SAI)
- Sistemas de vigilancia (CCTV)
Seguiridad Lógica
- Antivirus
- Anti-Spam
- Firewalls
- Sistemas de autenticación
- Politicas de seguridad
- IDS / IPS
- Criptografia (VPN, SSL)
¿Qué es y en que consiste MFA /2FA?
Consite combinar varios métodos:
- Algo que sé (PIN, Password)
- Algo que tengo (USB, Certificado)
- Algo que Soy (biometrico)
Sistemas de autenticacion / autorización
- Radius / Kerberos (tickets)
- OAuth
- OpenId
- SAML (Cl@ve)
- Biometricos
- OTP
Actores en el ambito de la seguridad
- Hacker –> Busca conocimiento
- Cracker –> Actividad ilicita (Blackhat hacker)
- Lamer –> Monguer que alardea pero usa sw de terceros
- Phreaker –> Area de telefonia
- Newbie –> novato
- CopyHacker –> Falsificar y crackear HW
- Script Kiddie –> Aficionado que usa sw de otros
Herramientas de seguridad
- nmap –> auditorias. Escanea puertos
- nessus –> detector de vulnerabilidades
- OpenVas –> detector de vulnerabilidades
- Metasploit –> test de penetración
- Snort –> NIDS
- tcpdump –> captura de paquetes
- ethreal / WhiteShark –> sniffer
- Linux Kali –> distro de linux con herramientas de seguridad
- John the Ripper –> fuerza bruta / diccionarios
- Cain y Abel –> recuperar password para Win
- Shodan –> Motor de búsqueda de routers, servidores, webcams, etc
- Nikto –> vulnerabilidades web
¿Que son Red Team / Blue Team ?
- Red Team –> Simulan ser delincuentes fuera de la organización. Empresa externa normalmente.
- Blue Team –> Profesionales de seguridad que se defienden de los ataques
Software malicioso
- MALWARE –> se denomina al software malicioso
- Virus
- Gusanos –> se duplican en RAM/RED
- Troyanos –> admin remota
- RootKKits –> Permanece oculto con permisos de root
- Backdoor –> Acceso sin autenticación
- Spywere –> Recopilar datos para enviar a agencias de publicidad
- Ransonwere –> Cifran archivos para pedir un rescate
- Keylogger o Stealers–> Roba información sensible
- Adware –> Muestran publicidad
- Dialer –> Toma control del modem
- Rogue –> Hacer creer que el pc está infectado y colarteleta con un antivirus falso
Ataques más conocidos
- SQLInjection –> Ejecución de código SQL no autorizado por falta de validación en las entradas de una app. SQLMap, herramienta para probar esto
- Eavesdropping –> Escuchar en secreto conversaciones privadas
- XSS (Cross Site Scripting) –> Permite a una tercera persona inyectar en las palginas web código javascript malicioso. Salvaguardas Politica CORS/CSP
- Hijacking –> Robo de una sesión iniciada
- Phising –> Suplantación de identidad de alto nivel. Mail falso del banco.
- Pharming –> Vulnerabilidad en servidor DNS para redirigir un dominio a otra IP
- Spoofing –> Suplantación de:
- IP –> Sustituir IP origen por la del host a atacar
- MAC –> Anonimizar / Suplantar identidad. Sustituir una MAC por otra.
- DNS –> apuntes a servidores maliciosos, igual al Pharming
- DoS –> Denegación de Servico.
- Técnicas de inundación:
- SYN Flood
- ICMP Flood / SMURF
- UDP Flood
- TearDrop –> Juegan con la fragmentación IP (fragment offset) para petar la pila y tumbar el servidor.
- Técnicas de inundación:
- DDoS –> Denegación de Servicio Distribuida. Bot/Zombie. Primero infectamos a otros para que luego ataquen todos a uno.
¿Que es CVE? ¿Y CWE?
- CVE -> Common Vulnerabilities and Exposures. Lista de vulnerabilidades sobre productos concretos
- CWE -> Common Weakness Enumeration. Lista de posibles vulnerabilidades en HW o SW pero genéricas. Una esperci de taxonomia de vulnerabilidades.
¿Qué es ADA?
Plataforma avanzada de análisis de malware
¿Qué es AMPARO?
Implantación de seguridad y conformidad del ENS
¿Qué es ANA?
Automatización y normalización de auditorías
¿Qué es ATENEA?
Plataforma de desafíos de seguridad. Juego de ciberseguridad para evaluar nivel de conocimientos. Orientado a formación
Estás en ATENEA, la nueva plataforma del CCN-CERT en la que podrás demostrar tu conocimiento y destreza ante diferentes desafíos de seguridad. Aquí encontrarás retos de distinta dificultad y de muy diversas temáticas: Criptografía y Esteganografía; Exploiting, Forense, Análisis de tráfico, Reversing, etc. No importa tu nivel de conocimientos, siempre habrá una prueba para ti.
¿Qué es CARMEN?
Defensa de ataques avanzados/APT
¿Qué es CLARA?
Auditoría de Cumplimiento ENS/STIC en Sistemas Windows
¿Qué es CLAUDIA?
Herramienta para la detección de amenazas complejas en el puesto de usuario
¿Qué es microCLAUDIA?
Centro de vacunación.
microCLAUDIA es una capacidad basada en el motor de CLAUDIA que proporciona protección contra código dañino de tipo ransomware a los equipos de un organismo. Para ello, hace uso de un agente ligero para sistemas Windows que se encarga del despliegue y ejecución de vacunas.
¿Qué es ELENA?
Simulador de Técnicas de Cibervigilancia
¿Qué es ELSA?
Exposición Local y Superficie de Ataque
¿Qué es ENMA?
Visibilidad y control sobre la red
¿Qué es GLORIA?
Gestor de logs para responder ante incidentes y amenazas
Gloria es una plataforma para la gestión de incidentes y amenazas de ciberseguridad a través de técnicas de correlación compleja de eventos. Basado en los sistemas SIEM (Security Information and Event Management), va un paso más allá de las capacidades de monitorización, almacenamiento e interpretación de los datos relevantes.
¿Qué es INES?
INforme de Estado de Seguridad en el ENS
INES es una solución desarrollada por el CCN para la gobernanza de la ciberseguridad, que permite evaluar regularmente el estado de la seguridad de los sistemas TIC de las entidades, organismos y organizaciones, además de su adecuación e implantación al Esquema Nacional de Seguridad (ENS) adaptándose a otros estándares o normas reguladoras en caso necesario.
¿Qué es IRIS?
Estado de la ciberseguridad
¿Qué es LORETO?
Almacenamiento en la nube
¿Qué es LUCIA?
Listado Unificado de Coordinación de Incidentes y Amenazas
Sistemas de Gestión Federada de Tickets
Para poner incidencias, tickets.
¿Qué es MARTA?
Análisis avanzados de ficheros
¿Qué es MONICA?
Gestión de eventos e información de seguridad
¿Qué es OLVIDO?
Borrado seguro de datos
¿Qué es metaOLVIDO?
Gestión de metadatos
¿Qué es PILAR?
Análisis y Gestión de Riesgos
¿Qué es REYES?
Intercambio de Información de Ciberamenazas.
Portal centralizado para investigar la información sobre ciberdelincuentes
¿Qué es ROCIO?
Inspección de Operación. Auditoría de configuraciones de dispositivos de red
Solucion para automatizar tareas basicas qeu el auditor de seguridad.
¿Qué es VANESA?
Grabaciones y emisiones de vídeo en streaming
Medidas de los racks
- Anchura 19’ . Siempre es la misma
- Altura. Se mide en multipos de ‘u’. Una ‘u’ equivale a 1,7’
Elementos de seguridad en un CPD
- Alternancia de pasillos frios y calientes (TIA942)
- Climatización –> Temperatura y humedad constantes
- Iluminación
- Sistemas de detección y control de incendios (NFPA75)
- Sistemas de energía electrica (SAI / UPS) –> grupos electrogenos (motores de gasoil)
- Sistema de cableado estructurado / suelos y techos técnicos (TIA568)
- Sistema de control de accesos y videovigilancia
- Ubicacion física –> plantas intermedias, sin interferencias, sin canales de agua cerca
- CPD de respaldo (replica de datos)
- Sala blanca –> otro CPD igual que el principal
- Sala de backup –> otro CPD con servicios mínimos para seguir funcionando
Norma TIA 942
Cuatro Tier. Ver foto
Ahora los TIER se llaman RATED, pero el resto igual
Aplicaciones / herramientas de Gestión de Incidencias
- GLPI
- Request Tracker (RT)
- MANTIS Bug Tracker
- Bugzilla
- Red Mine
- JIRA
- Trac
- OTRS
- OSTicket
- SpiceWorks Help Desk
- Remedy
Herramientas de control remoto
- VNC (cliente/serviodr port: 5900)
- RDP (cliente/serviodr port: 3389 Ms escritorio remoto / terminal server)
- TeamViewer (nube)
- AnyDesk
- Chrome Remote Desktop (Google)
- LogMeIn
- Citrix
- Ammyy Admin
- SSH
- BeAnywhere
¿Que es PUE?
Power Unit Efficiency –> De toda la energía que consume un CPD la que es de IT
OCE –> Porcentaje entre el total de energía consumida con respecto a la que llega a IT–> OCE = 1/PUE
Señale qué afirmación es correcta con respecto a las soluciones de Ciberseguridad proporcionadas por el Centro Criptolégico Nacional (CCN):
a) CLARA, protección y trazabilidad del dato.
b) ELENA, Simulador de Técnicas de Cibervigilancia.
c) GLORIA, Gestión de eventos e información de seguridad.
d) MONICA, Gestor de logs para responder ante incidentes y amenazas.
b) ELENA, Simulador de Técnicas de Cibervigilancia.
Una vez implementado “teletrabajo” mediante VPN, se quiere dotar de mayor seguridad mediante el envio de un código por SMS al teléfono móvil del trabajador. ¿Cómo se denomina a este tipo de validación?
a) Factor electrónico de autenticación.
b) Autenticación electrónica de usuarios.
c) Doble factor de autenticación.
d) Factor único de autenticación.
c) Doble factor de autenticación.
Indique qué herramienta desarrollada por el CCN-CERT, es una plataforma de análisis avanzado de malware:
a) NADA
b) CADA
c) ADA
d) SADA
c) ADA
En Linux, ¿cuál de las siguientes opciones utilizaría para conocer qué puertos tiene abiertos un servidor?
a) ntpg
b) ntport
c) nmap
d) traceroute
c) nmap
Indique cuál de las siguientes opciones se corresponde con el concepto de ITIL:
a) Su origen proviene de la metodología Kaizen y ofrece a las organizaciones un instrumento útil para la sistematización de las actividades que dan soporte al ciclo de vida del software.
b) Es unalibrería java, referida a la seguridad, que forma parte de la plataforma de Jakarta EE.
c) Es una colección de mejores practicas de gestión de servicios de tecnologías de la información.
d) Es una metodología de análisis y gestión de riesgos de los sistemas de información
c) Es una colección de mejores practicas de gestión de servicios de tecnologías de la información.
Para valorar el nivel de disponibilidad y seguridad de un CPD, el estándar ANSI EIA/TIA 942 estableció:
a) Cuatroniveles, siendo TIER I el de mayor disponibilidad y TIER IV el de menor.
b) Tres niveles, siendo TIER I el de mayor disponibilidad y TIER III el de menor.
c) Tres niveles, siendo TIER I el de menor disponibilidad y TIER III el de mayor.
d) Cuatro niveles, siendo TIER I el de menor disponibilidad y TIER IV el de mayor.
d) Cuatro niveles, siendo TIER I el de menor disponibilidad y TIER IV el de mayor.
Para intentar obtener información de la base de datos de aspirantes, un usuario malintencionado introduce la siguiente cadena en el campo “Número de opositor” de un formulario incluido en la página web de inscripciones al proceso:
100 OR 1=1
¿Qué técnica está utilizando?
a) Denial of Service.
b) Phishing
c) Malware attack
d) SQL Injection.
d) SQL Injection.
¿Cómo se llama la causa potencial de un incidente que puede causar daños a un sistema de información o a una organización?
a) Amenaza
b) Riesgo
e) Impacto
d) Vulnerabilidad
a) Amenaza
Señale cuál de las siguientes descripciones se corresponde con la amenaza denominada “Clickjacking”:
a) Un usuario malicioso puede ejecutar comandos en el sistema operativo host.
b) Un usuario malicioso intenta acceder a partes del sistema de ficheros del servidor web a los que no debería tener acceso.
c) Un usuario malicioso secuestra las pulsaciones de ratón dirigidas a un sitio aparentemente inocente y las redirige a otro sitio, engañando a usuarios de Internet.
d) Inundación de peticiones no legítimas a un servidor de manera que se inlerrumpa el acceso a usuarios legítimos.
c) Un usuario malicioso secuestra las pulsaciones de ratón dirigidas a un sitio aparentemente inocente y las redirige a otro sitio, engañando a usuarios de Internet.
También ha habido una notificación de una amenaza llamada Defacement o Deface (Desfiguración/Desfigurar), ¿a qué hace referencia?
a) Ataque que busca modificar cuentas de una red social.
b) Ataque que busca obtener información personal o confidencial de los usuarios para poder cambiaria.
c) Ataque sobre un servidor web como consecuencia del cual se cambia su apariencia.
d) Ataque sobre el archiivo del servidor de nombres de dominio cambiando la dirección IP legítima.
c) Ataque sobre un servidor web como consecuencia del cual se cambia su apariencia.
Se van a necesitar redes privadas virtuales y uno de los factores claves debido a la sensibilidad de los datos es la confidencialidad. ¿Cómo puede garantizarla?
a) Mediante una correcta gestión de usuarios.
b) Mediante funciones HASH.
c) No se puede garantizar.
d) Mediante un algoritmo de cifrado como AES.
d) Mediante un algoritmo de cifrado como AES.
¿Cómo se denomina la vulnerabilidad web consistente en la ejecución de un comando malicioso de acceso o modificación de una base de datos como parte de una petición?
a) CRLF injection
b) RF
c) SQLinjection
d) Cross Site Scripting
c) SQLinjection
Indique la afirmación INCORRECTA de las siguientes relacionadas con la seguridad informática:
a) Activo: componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización.
b) Ataque: evento que puede originar un incidente produciendo daños materiales o pérdidas inmateriales.
c) Vulnerablidad: posibiidad de ocurrencia, es decir, de materialización de una amenaza sobre un activo.
d) Impacto: consecuencia de la materialización de una amenaza.
b) Ataque: evento que puede originar un incidente produciendo daños materiales o pérdidas inmateriales.
Ojo!!!! el problema es que no es un ataque es una AMENAZA
Entre los riesgos de las redes inalámbricas, el “eavesdropping” sucede cuando un individuo no autorizado:
a) inyecta peticiones masivas de asociación a los AP (Access Point o puntos de acceso) dejándolos incapacitados para responder a las peticiones de los cllentes legítimos.
b) se coloca en medio de la comunicación inalámbrica entre emisor y receptor, suplantando a una de las partes y haciendo creer a la otra que está hablando con el comunicante legítimo.
c) utiliza alguna herramienta (normalmente antenas de gran alcance) para capturar de forma pasiva el tráfico inalámbrico.
d) suplanta una dirección MAC autorizada para lograr el acceso a un AP que tenga configurada una lista de direcciones MAC permitidas.
c) utiliza alguna herramienta (normalmente antenas de gran alcance) para capturar de forma pasiva el tráfico inalámbrico.
El cotilleo!!
En relación a MAC spoofing indique la afirmación correcta:
a) Consiste en la suplantación de una dirección MAC.
b) Puede hacerse con el comando ipconfig de Unix.
c) Windows no permite hacer MAC spoofing.
d) Sólo lo permite la distribución Kali Linux.
a) Consiste en la suplantación de una dirección MAC.
Cuál de las siguientes opciones se refiere a un método que se utiliza para redirigir el tráfico dirigido a clertas IPs por razones de seguridad, para analizar, o detectar comportamientos anómalos y prevenir ataques de malware:
a) DNS spoofing
b) DNS sinkholing
c) DNS redirecting
d) DNS polsoning
b) DNS sinkholing
La herramienta del CCN para Auditoria de Cumplimiento ENS/STIC en Sistemas Windows se denomina:
a) LUCIA
b) VANESA
c) LORETO
d) CLARA
d) CLARA
En relación a las dimensiones de seguridad y sus posibles amenazas, indique la afirmacién correcta:
a) La confidencialidad se ve afectada por la modificación.
b) La confidencialidad se ve afectada por la fabricación.
c) La integridad se ve afectada por la intercepción.
d) La disponiblidad se ve afectada por la interrupción.
d) La disponiblidad se ve afectada por la interrupción.
A las medidas para prevenir el abuso de datos de identificacién y autenticación, impidiendo que alguien se haga pasar por quien no es, se les denomina:
a) Antispam
b) Anti-spoof
c) Eavesdropping
d) Antispyware
b) Anti-spoof
Es una herramienta desarrollada por el CCN-CERT para la gestión de ciberincidentes en las entidades del ámbito de aplicación del ENS, con ella se pretende mejorar la coordinación entre el CERT y los distintos organismos y organizaciones con las que colabora:
a) VANESA
b) CARMEN
c) LUCIA
d) PILAR
c) LUCIA
En el ambito de la seguridad SI, ¿cómo se define el riesgo? ¿Que herramientas del CCN sirven para su gestión?
- Riesgo = F(probabilidad, impacto)
- Pilar, microPilar: Analisis y gestión de riesgos al estilo Magerit
¿En que consiste la aplicacion de 2FA?
En utilizar varios factores de autenticación, entre las siguientes categorias.
- algo que soy
- algo que sé
- algo que tengo
En seguridad de la información, ¿qué representa las siglas de la triada CIA?
Confidencialidad, Integridad Disponibilidad (Availability)
Segúnel estandar TIA-942, ¿cuales son los cuatro subsistemas que tiene que tener un cpd?
TEMA
- Telecomunicaciones
- Sistema Electrico
- Sistema Mecanico
- Arquitectura
En el ambito de seguridad de SI, ¿que representa RTP y RPO?
- RTO –> tiempo de restauración del sistema sin estar en producción (cuidado con WRT que aquí si que estariamos en pro)
- RPO –> Cantidad de información que estamos dispuestos a perder
En el ambito de un CPD, ¿qué se entiende por PUE?
Medida de la eficiciencia de consumo (IT frente al TOTAL del CPD)
Tipos de activos sengun el ENS
Servicios e información
Tipos de redundancia que encontramos en los CPD’s de tipo TIER- III
N+1
Nombre 4 sistemas de autenticación/autorizacion
- SAML
- OAuth
- Kerberos
- JWT
- RADIUS
- OTP
Estructura de un token JWT
header (json en base64).payload(json con ‘claims’ en base64).firma(json con un HMAC en base64)
¿En que consiste un ataque de tipo SMURF?
Ataque DoS de fooding ICMP (Pitufo)
¿En que consiste el equipo del RED TEAM?
Equipo externo a la organización con caracter OFENSIVO (acordado por la organización)
¿Qué tipo de distribución es Linux Kali?
Distribución de Debian que contien software para hacer maldades (pentesting) de sábado noche
Diferencia entre Hacker y un Cracker
- Hacker –> busca amplicar el conocimiento
- Cracker –> actividad ilicita (black hat)
Objetivo principal del malware Ransomware, Rogue y Keylogger
Los tres están orientados a obtener un beneficio economico
- Ransomware –> Cifrar archivos para pedir rescate
- Rogue –> Falso antivirus
- Keylogger –> Robo información sensible
En que consiste un ataque de Phishing y Spoofing
Los dos consisten en “falsear” datos
- Phishing –> suplantar IDENTIDADES en sistemas de alto nivel (correo electronico)
- Spoofing –> suplantar datos TECNICOS (ip, dns, mac…)
¿En que consiste un ataque de tipo DDoS?
Ataque de Denegacion de Servicio distribuido (desde multiples host infectados (zoombie)–> Botnet)
Anchura en pulgadas normalizadas de un rack dentro de un CPD
19’ (pulgadas)
¿A que corresponde 1U dentro de un rack?
1.75 ‘ (pulgadas)
¿Que tipo de productos son VNC, AnyDesk y RDS?
Control remoto:
- VNC: 5900
- RDP/RDS: 3389
