Analista De Ciber Seguridad .docx

  • Uploaded by: hfw9qj16r5dugnzr
  • 0
  • 0
  • June 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Analista De Ciber Seguridad .docx as PDF for free.

More details

  • Words: 1,756
  • Pages: 11
Analista de Ciber Seguridad

Tabla de Contenido 1.0 Gestión de amenazas

1.1 Dado un escenario, aplicar técnicas de reconocimiento ambiental utilizando herramientas y procesos apropiados. Procedimientos / tareas comunes, incluyendo descubrimiento de topología, huellas dactilares de SO, descubrimiento de servicios, captura de paquetes, revisión de registros, revisión de ACLs de enrutador / firewall, recopilación de correo electrónico, perfilado de redes sociales, ingeniería social, recolección DNS, phishing; Variables incluyendo Wireless vs. cableado, virtual vs. físico, interno vs. externo, y en locales vs. nube; Herramientas incluyendo NMAP, análisis de host, mapeo de red, netstat, analizadores de paquetes, IDS / IPS, HIDS / NIDS, firewall basado en reglas y registros, Syslog, escáneres de vulnerabilidad 1.2 Dado un escenario, analice los resultados de un reconocimiento de red. Análisis de datos punto a punto incluyendo análisis de paquetes, análisis de protocolos, análisis de tráfico, análisis de flujo de red, análisis inalámbrico; Correlación y análisis de datos, incluyendo análisis de anomalías, análisis de tendencias, análisis de disponibilidad, análisis heurístico, análisis conductual; Salida de datos incluyendo registros de cortafuegos, capturas de paquetes, resultados de análisis NMAP, registros de eventos, informes Syslog, informes IDS; Herramientas incluyendo SIEM, analizadores de paquetes, IDS / IPS, herramientas de monitoreo de recursos, analizador Netflow 1.3 Dada una amenaza basada en la red, implemente o recomiende la respuesta y la contramedida apropiadas. Segmentación de red, aislamiento del sistema, cajas de salto y host de bastión, Honeypots y honeynets, Seguridad de punto final, Políticas de grupo, ACLs, Sinkholes, Endurecimiento, Mandatory Access Control (MAC), Compensación de controles, Bloqueo de puertos / servicios no utilizados, Patches, Políticas de control de acceso a la red (NAC), que incluyen bases temporales, basadas en reglas, basadas en funciones y basadas en la ubicación.

1.4 Explicar el propósito de las prácticas utilizadas para asegurar un ambiente corporativo. Pruebas de penetración, Reglas de participación: calendario, alcance. Autorización, explotación, comunicación y presentación de informes. Ingeniería inversa, aislamiento / sandboxing,

preocupaciones del hardware incluyendo la autenticidad de la fuente del hardware, de la fundición confiable, y de la documentación del OEM. Software / malware, Huellas dactilares / hashing, Descomposición, Entrenamiento y ejercicios, Equipos rojos, Equipos azules y Equipos blancos. Evaluación del riesgo, Revisión del control técnico, Revisión del control operacional, Impacto técnico y probabilidad y calificación: Alta, media y baja 2.0 Gestión de Vulnerabilidades 2.1 Dado un escenario, implemente un proceso de gestión de la vulnerabilidad de la seguridad de la información. Identificación de requisitos, Ambientes normativos, Política corporativa, Clasificación de datos, Inventario de activos, incluyendo activos críticos y no críticos. Establecer la frecuencia de escaneo basada en el apetito por el riesgo, los requisitos reglamentarios, las limitaciones técnicas y el flujo de trabajo. Configurar las herramientas para realizar análisis según las especificaciones, Determinación de criterios de escaneo, establecimiento de niveles de sensibilidad, feeds de vulnerabilidad, alcance de exploración, tipos de datos con credenciales frente a no credenciales, y exploración basada en servidor vs. Actualizaciones / complementos de herramientas, SCAP, permisos y acceso, cómo ejecutar análisis y generar informes, distribución automatizada vs. manual, remediación, priorización de la respuesta basada en la criticidad y la dificultad de implementación. Comunicación / control de cambios, Sandboxing / testing, Inhibidores de la remediación: Memorandos de Entendimiento, SLAs, gobierno organizacional, interrupción de procesos empresariales y funcionalidad degradante. Escaneo continuo y monitoreo continuo 2.2 Dado un escenario, analice el resultado resultante de una exploración de vulnerabilidades. Analizar los informes de una exploración de vulnerabilidades, Revisar e interpretar los resultados de análisis, Identificar falsos positivos, Identificar excepciones, Priorizar acciones de respuesta, Validar resultados y correlacionar otros puntos de datos, Comparar con mejores prácticas o cumplimiento, Reconciliar resultados, Revisar registros relacionados y / u otros datos fuentes, Determinar tendencias 2.3 Comparar y contrastar vulnerabilidades comunes que se encuentran en los siguientes objetivos dentro de una organización. Servidores, Endpoints, Infraestructura de red, Dispositivos de red, Infraestructura virtual, Hostes virtuales, Redes virtuales, Interfaces de gestión, Dispositivos móviles, Redes interconectadas, redes privadas virtuales (VPN), los sistemas de control industrial (ICS), los dispositivos SCADA

3.0 Respuesta a incidentes cibernéticos

3.1 Dado un escenario, distinga los datos o el comportamiento de la amenaza para determinar el impacto de un incidente Clasificación de amenazas: amenazas conocidas contra amenazas desconocidas, día cero y amenazas persistentes avanzadas. Factores que contribuyen a la severidad y priorización del incidente: alcance del impacto, tiempo de inactividad, tiempo de recuperación. la integridad de los datos, el impacto económico, la criticidad del proceso del sistema. Tipos de datos: Información personalmente identificable (PII), información personal de salud (PHI), información de la tarjeta de pago, propiedad intelectual, confidencial corporativa, datos contables. fusiones y adquisiciones 3.2 Dado un escenario, prepare una caja de herramientas y utilice herramientas forenses apropiadas durante una investigación. Kits forenses, Estaciones de trabajo forenses digitales, Bloqueadores de escritura, Cables, Adaptadores de unidad, Soportes extraíbles, Cámaras, Sellos a prueba de manipulaciones, Documentación / formularios, Formularios de cadena de custodia, Plan de respuesta a incidentes, Formularios de incidentes, Lista de llamadas / listas de escalación. Suites de investigación forense, Utilidades de análisis, Cadena de custodia, Utilidades de hash, Análisis de sistemas operativos y de procesos, Análisis forense de dispositivos móviles, Cracks de contraseñas, Herramientas de criptografía, Visualizadores de registros 3.3 Explique la importancia de la comunicación durante el proceso de respuesta a incidentes. Interesados: HR, legal, marketing y administración. Propósito de los procesos de comunicación: limitación de la comunicación a las partes de confianza, divulgación basada en requisitos reglamentarios / legislativos, o prevención de la liberación inadvertida de información, método seguro de comunicación. Responsabilidades basadas en roles: técnica, administración, cumplimiento de la ley y retención de un proveedor de respuesta a incidentes 3.4 Dado un escenario, analice los síntomas comunes para seleccionar el mejor curso de acción para apoyar la respuesta a incidentes. Síntomas comunes relacionados con la red: consumo de ancho de banda, balizamiento, comunicación peer-to-peer irregular, dispositivos fraudulentos en la red, barridos de exploración y picos inusuales de tráfico. Síntomas comunes relacionados con el host: consumo del procesador (CPU), consumo de memoria, consumo de capacidad de la unidad, software no autorizado, procesos maliciosos, cambios no autorizados, privilegios no autorizados, exfiltración de datos. Síntomas comunes relacionados con la aplicación: actividad anómala, introducción de nuevas cuentas, salida inesperada, comunicación saliente inesperada, interrupción del servicio, desbordamientos de memoria 3.5 Resuma el proceso de recuperación de incidentes y de respuesta posterior al incidente.

Técnicas de contención: segmentación, aislamiento, remoción e ingeniería inversa. Técnicas de erradicación: sanitización, reconstrucción / reimagen, eliminación segura, validación, parches, permisos, escaneo y verificación de registro / comunicación a la supervisión de seguridad. Acciones correctivas, Informes de lecciones aprendidas, Proceso de control de cambios, Actualización de planes de respuesta a incidentes, Informes de resumen de incidentes 4.0 Arquitectura de seguridad y conjuntos de herramientas 4.1 Explicar la relación entre los marcos, las políticas comunes, los controles y los procedimientos. Cumplimiento normativo, Marcos: NIST, ISO, COBIT, SABSA, TOGAF, ITIL. Políticas: política de contraseñas, política de uso aceptable, política de propiedad de datos, política de retención de datos, política de administración de cuentas y políticas de clasificación de datos. Controles, Selección de control basada en criterios, Parámetros definidos organizativamente, Controles físicos, Controles lógicos, Controles administrativos, Procedimientos: monitoreo continuo, producción de pruebas, parches, control de compensación de desarrollo, procedimientos de prueba de control, gestión de excepciones, elaboración y ejecución de planes de remediación. Verificaciones y control de calidad, Auditorías, Evaluaciones, Evaluaciones, Modelos de madurez, Certificación 4.2 Dado un escenario, utilice datos para recomendar la corrección de problemas de seguridad relacionados con la identidad y la gestión del acceso. Problemas de seguridad asociados con la autenticación basada en contexto basada en el tiempo, la ubicación, la frecuencia y los patrones de comportamiento. Problemas de seguridad asociados con las identidades: personal, puntos finales, servidores, servicios, funciones y aplicaciones. Problemas de seguridad asociados con los repositorios de identidad, Servicios de directorio, TACACS +, RADIUS, Problemas de seguridad asociados con federación y inicio de sesión único: o Aprovisionamiento / desprovisionamiento manual o automático y restablecimiento de contraseña de autoservicio. Exploits: suplantación, ataques de hombre en el medio, secuestro de sesión, secuencias de comandos entre sitios, escalamiento de privilegios y rootkits.

4.3 Dado un escenario, revise la arquitectura de seguridad y haga recomendaciones para implementar controles de compensación.

Análisis de datos de seguridad mediante agregación y correlación de datos, análisis de tendencias y análisis histórico. Revisión manual de registros de firewall, syslogs, registros de autenticación y registros de eventos. Conceptos de defensa en profundidad. Seguridad del personal: formación, doble control, separación de funciones, terceros / consultores, formación cruzada, vacaciones obligatorias, planificación de la sucesión. Procesos relacionados con la defensa en profundidad: mejora continua, revisiones programadas y retiro de procesos. Tecnologías: informes automatizados, aplicaciones de seguridad. suites de seguridad, outsourcing, seguridad como servicio (SaaS) y criptografía. Otros conceptos de seguridad: diseño de red y segmentación de red 4.4 Dado un escenario, utilice las mejores prácticas de seguridad de la aplicación mientras participa en el ciclo de vida de desarrollo de software (SDLC). Prácticas recomendadas durante el desarrollo de software, Definición de requisitos de seguridad, Fases de prueba de seguridad, Análisis de código estático, Exploración de vulnerabilidades de aplicaciones web, Fuzzing, Uso de proxies de interceptación para rastrear aplicaciones, Revisión manual de pares, Pruebas de aceptación de usuarios validación, mejores prácticas de codificación segura de OWASP, SANS, Centro de Seguridad de Internet. Recomendaciones de diseño del sistema y puntos de referencia 4.5 Comparar y contrastar el propósito general y las razones para el uso de diversas herramientas y tecnologías de seguridad cibernética. Herramientas preventivas, incluyendo IPS: Sourcefire, Snort, Bro, HIPS, Firewalls: Cisco, Palo Alto, Check Point. Antivirus y Anti-malware, EMET, proxies web, sistemas de Firewall de Aplicaciones Web (WAF): ModSecurity, NAXSI, Imperva. Herramientas colectivas, incluyendo SIEMs: ArcSight, QRadar, Splunk, AlienVault, OSSIM, Kiwi Syslog. Herramienta de escaneado en red con NMAP, Exploración de vulnerabilidades utilizando Qualys, Nessus, OpenVAS, Nexpose, Nikto y Microsoft Baseline Security Analyzer. o Captura de paquetes utilizando Wireshark, tcpdump, Network General y Aircrack-ng. Utilidades de línea de comandos / IP: netstat, ping, tracert / traceroute, ipconfig / ifconfig, nslookup / dig, suite Sysinternals, OpenSSL. IDS / HIDS. Herramientas analíticas, incluyendo exploración de vulnerabilidades como Qualys, Nessus, OpenVAS, Nexpose, Nikto y Microsoft Baseline Security Analyzer. Herramientas de monitoreo: MRTG, Nagios, SolarWinds, Cactus, NetFlow Analyzer. Proxy de intercepción: Burp Suite, Zap y Vega.

Herramientas Exploit, incluyendo proxies de intercepción: Burp Suite, Zap y Vega. o Exploit framework: Metasploit y Nexpose. Fuzzers: Untidy, Peach Fuzzer, Archivo Microsoft SDL / Regex Fuzzer.

Herramientas forenses, incluyendo Forensic suites: EnCase, FTK, Helix, Sysinternals y Cellebrite. Herramientas de Hashing: MD5sum, SHAsum. Herramientas de craqueo de contraseñas; Jhon the ripper, Caín y Abel. Imágenes con DD

Related Documents

Ciber Chats
June 2020 12
Curso De Word Ciber
December 2019 19
Analista De Pessoal
October 2019 16

More Documents from ""