Implementar gerenciamento de incidentes

Monitoramento em tempo real e medidas preventivas

Registro e instrumentação

Resposta automatizada a incidentes

Liste e descreva as etapas de gerenciamento de incidentes. O domínio de Operações de Segurança do CISSP lista as etapas de gerenciamento de incidentes: detecção, resposta, contenção, relatório, recuperação, remediação e lições aprendidas. Depois que um incidente é detectado e comprovado, a primeira resposta é limitar ou conter o escopo do incidente, protegendo ao mesmo tempo as evidências. Dependendo das leis relevantes, as organizações podem necessitar de reportar incidentes às autoridades relevantes. Se as informações de identificação pessoal (PII) forem comprometidas, os indivíduos relevantes também precisarão ser notificados sobre a situação. A fase de remediação e lições aprendidas inclui a realização de uma análise da causa raiz para determinar a causa e propor soluções para evitar que o incidente aconteça novamente.

Aprenda precauções básicas. Precauções básicas podem evitar a ocorrência de muitos incidentes. Isso inclui manter os sistemas atualizados, remover ou desabilitar protocolos e serviços desnecessários, usar sistemas de detecção e prevenção de intrusões, usar programas antimalware equipados com as assinaturas mais recentes e habilitar firewalls baseados em host e rede.

Entenda a diferença entre lista branca e lista negra. A lista de permissões de software fornece uma lista de software aprovado para evitar que qualquer outro software que não esteja na lista seja instalado no sistema. A lista negra fornece uma lista de softwares não aprovados para impedir que qualquer software listado seja instalado no sistema.

Aprenda sobre caixas de areia. Uma sandbox fornece um ambiente isolado que evita que o código em execução na sandbox interaja com elementos fora da sandbox.

Saiba mais sobre os serviços de segurança fornecidos por terceiros. Os serviços de segurança de terceiros ajudam as organizações a melhorar os serviços de segurança fornecidos pela sua equipe interna. Muitas organizações usam soluções baseadas em nuvem para aumentar a segurança interna.

Aprenda sobre botnets, controladores de botnet e incômodos. As botnets podem mobilizar um grande número de computadores para lançar ataques e representar uma grande ameaça. Portanto, é necessário entender o que é uma botnet. Uma botnet é uma coleção de dispositivos de computação comprometidos (geralmente chamados de fantoches ou zumbis) que formam uma rede e são controlados por criminosos conhecidos como pastores de zumbis. Os pastores de zumbis controlam zumbis remotamente por meio de servidores C&C, geralmente usando botnets para lançar ataques a outros sistemas ou enviar spam ou e-mails de phishing. Os pastores de zumbis também alugam o acesso às suas botnets para outros criminosos.

Saiba mais sobre ataques de negação de serviço (DoS). Os ataques DoS impedem que um sistema responda a solicitações de serviço legítimas. O ataque de inundação SYN que destrói o handshake triplo do TCP é um método comum de ataque DoS. Mesmo que os ataques da velha escola sejam menos comuns hoje em dia devido a precauções básicas, você ainda encontrará dúvidas nesta área porque muitos novos ataques são muitas vezes apenas variações de métodos mais antigos. O ataque smurf usa Fang Dawang para enviar um grande número de pacotes de resposta à vítima. O ataque Ping of Death envia um grande número de pacotes de ping extremamente grandes para a vítima, fazendo com que o sistema da vítima congele, trave ou reinicie.

Aprenda sobre explorações de dia zero. Uma exploração de dia zero é um ataque que explora uma vulnerabilidade desconhecida por qualquer pessoa, exceto o invasor, e conhecida apenas por um número limitado de pessoas. Superficialmente, isso parece uma exploração desconhecida que não pode ser evitada, mas as instruções básicas de segurança ainda podem ser de grande ajuda na prevenção de explorações de dia zero. Ao remover ou desativar protocolos e serviços desnecessários, a superfície de ataque do sistema pode ser reduzida: um firewall pode bloquear muitos pontos de acesso e um sistema de detecção e prevenção de intrusões pode detectar e bloquear facilmente ataques potenciais; Além disso, ao usar ferramentas como honeypots, você também pode ajudar a proteger redes ativas.

Aprenda sobre ataques man-in-the-middle. Um ataque man-in-the-middle ocorre quando um usuário intencional é capaz de ocupar uma posição lógica entre dois pontos finais de uma linha de comunicação. Embora o invasor precise fazer muitas coisas complicadas para concluir um ataque man-in-the-middle, a quantidade de dados que ele obtém do ataque também é bastante grande.

Saiba mais sobre detecção e prevenção de intrusões. IDS e IPS são importantes ferramentas de detecção e prevenção contra ataques. Você precisa entender a diferença entre a detecção baseada em conhecimento (que usa um banco de dados semelhante à Anti-Aware Signature Library) e a detecção baseada em comportamento. A detecção baseada em comportamento primeiro cria uma linha de base para identificar o comportamento normal e, em seguida, compara várias atividades com a linha de base para detectar atividades anormais. Se a rede mudar, a linha de base poderá ficar desatualizada, portanto, a linha de base deverá ser atualizada assim que o ambiente mudar.

Entenda as respostas do IDS/IPS. O IDS pode responder passivamente, registrando e enviando notificações, ou proativamente, alterando o ambiente. Algumas pessoas chamam o IDS ativo de IPS. Mas é importante perceber que os IPSs colocados nas linhas em linha que transportam tráfego podem interceptar o tráfego antes que este atinja o seu destino.

Aprenda a diferença entre HIDS e NIDS. O IDS baseado em host (HIDS) só pode monitorar a atividade em um único sistema. A desvantagem é que um invasor pode descobri-los e desativá-los. Os IDS baseados em rede (NIDS) podem monitorar atividades em uma rede e são invisíveis para os invasores.

Descreva honeypots e honeynets. Um honeypot é um sistema que geralmente usa falhas e dados falsos para atrair intrusos. Uma honeynet são dois ou mais honeypots em uma rede. Os administradores podem observar as atividades dos invasores após entrarem no honeypot. Enquanto os invasores estiverem no honeypot, eles não estarão na rede ativa.

Aprenda como bloquear código malicioso. Várias ferramentas podem bloquear códigos maliciosos quando usadas em conjunto. Entre eles, os programas antimalware, instalados em todos os sistemas, bordas de rede e servidores de e-mail e equipados com as definições mais recentes, são as ferramentas mais óbvias. No entanto, políticas baseadas em princípios básicos de segurança, como o princípio do menor privilégio, também podem impedir que utilizadores comuns instalem software potencialmente malicioso. Além disso, educar os usuários sobre os riscos e métodos comumente usados ​​pelos invasores para espalhar vírus também pode ajudar os usuários a compreender e evitar comportamentos de risco.

Entenda os tipos de arquivos de log. Os dados de log são registrados em bancos de dados e vários arquivos de log. Arquivos de log comuns incluem logs de segurança, logs de sistema, logs de aplicativos, logs de firewall, logs de agentes e logs de alterações. Os arquivos de log devem ser armazenados centralmente e protegidos através da restrição de permissões de acesso, enquanto os logs arquivados devem ser configurados como somente leitura para evitar adulterações.

Aprenda sobre testes e para que ferramentas de teste são usadas. As salas de detecção concentram-se em uma forma de auditoria que analisa proativamente os dados dos arquivos de log. A detecção é usada para responsabilizar os sujeitos por suas ações e para detectar atividades incomuns ou maliciosas. A instrumentação também é usada para monitorar o desempenho do sistema. Ferramentas de monitoramento como IDS e SIEM podem monitorar e fornecer análises de eventos em tempo real de forma automática e contínua, incluindo o monitoramento da situação dentro da rede, o fluxo de comunicação que entra na rede e o fluxo de comunicação que sai da rede. O gerenciamento de logs inclui logs de análise e logs arquivados.

Interprete a trilha de auditoria. Uma trilha de auditoria é um registro criado quando informações sobre um evento e as circunstâncias que o cercam são gravadas em um ou mais bancos de dados ou arquivos de log. As trilhas de auditoria podem ser usadas para reconstruir eventos, extrair informações sobre eventos, provar culpabilidade ou refutar acusações. Usar uma trilha de auditoria é uma forma passiva de implementar controles de segurança de detetive. As trilhas de auditoria também são evidências essenciais para processar criminosos.

Aprenda como permanecer responsável. Através da utilização de auditorias, a responsabilização dos intervenientes individuais pode ser mantida. Os logs registram as atividades do usuário e os usuários são responsáveis ​​por suas ações registradas. Isso tem um papel direto na promoção dos usuários na formação de bons hábitos de comportamento e no cumprimento das políticas de segurança organizacional.

Aprenda sobre amostragem e cisalhamento. A amostragem, também chamada de extração de dados, refere-se ao processo de extração de elementos específicos de uma grande quantidade de dados para formar uma visão geral ou resumo significativo. A amostragem estatística utiliza funções matemáticas precisas para extrair informações significativas de grandes quantidades de dados. O clipping atua como uma forma de amostragem não estatística, registrando apenas eventos que excedem um limite.

Descrever feeds de ameaças e caça a ameaças. Os feeds de ameaças fornecem às organizações um fluxo constante de dados brutos. Ao analisar feeds de ameaças, os administradores de segurança podem compreender o cenário atual de ameaças. Eles podem então usar essas informações para pesquisar na rede sinais dessas ameaças.

Entenda a relação entre aprendizado de máquina (ML) e inteligência artificial (IA). ML é um componente da IA ​​e refere-se à capacidade de aprendizagem do sistema. IA é um tópico amplo que inclui ML.

Saiba mais sobre o SOAR. A tecnologia SOAR pode responder automaticamente a eventos. Um dos principais benefícios do SOAR é que ele reduz a carga de trabalho dos administradores. Também elimina o erro humano, tornando os sistemas de computador responsivos.

1.Quais das opções a seguir são etapas ou fases válidas de gerenciamento de incidentes listadas nos objetivos do CISSP? (Selecione tudo que se aplica.) A. Prevenção B. Detecção C.Relatório D. Resuma as lições E. Cópia de segurança

2. Você está solucionando um problema no computador do usuário. Você verifica os logs do sistema de detecção de intrusão baseado em host (HIDS) e confirma que Foi determinado que este computador foi comprometido por malware. A seguir, qual das seguintes opções você deve escolher? A. Isole o computador da rede B. Visualize os registros HIDS de computadores próximos C. Execute uma verificação antivírus D. Analise o sistema para descobrir como ele foi infectado

3. Dentre as etapas de gerenciamento de incidentes propostas pelo (ISC)2, qual etapa deve ser executada primeiro? Uma resposta B. Inibir C. Remédio D. Detecção

4. Quais das seguintes opções são controles básicos de segurança que podem impedir muitos ataques? (Escolha 3.) A. Mantenha os sistemas e aplicativos atualizados B. Implementar tecnologias de orquestração, automação e resposta de segurança (SOAR) C. Remover ou desativar serviços ou protocolos desnecessários D. Use os programas de software anti-spam mais recentes E. Use WAF na fronteira

5． O administrador de segurança está revisando todos os dados coletados pelo log de eventos. Qual das alternativas a seguir é a melhor representação desse conjunto de dados? A. Identificação B. Trilha de auditoria C. Autorização D. Confidencialidade

6. Um servidor de arquivos em sua rede travou recentemente. A investigação revelou que os logs cresceram tanto que ocuparam todo o disco rígido. Você decide ativar o registro contínuo para evitar que isso aconteça novamente. Qual das alternativas a seguir é o primeiro passo que você deve dar? A. Configure o log para que ele substitua automaticamente as entradas antigas B. Copie os logs existentes para outra unidade C. Procure sinais de ataque nos registros D. Exclua a entrada de registro mais antiga

7. Você suspeita que um invasor lançou um ataque fragmentado ao seu sistema. Você verifica os logs e filtra suas pesquisas usando o protocolo usado pelo fraggle. Qual protocolo você usaria no filtro? A. Protocolo de datagrama de usuário (UDP) B. Protocolo de Controle de Transmissão (TCP) C. Protocolo de Mensagens de Controle da Internet (ICMP) D. Orquestração, Automação e Resposta de Segurança (SOAR)

8. Você está revisando o manual de treinamento de administradores de segurança para adicionar conteúdo sobre explorações de dia zero. Qual das alternativas a seguir descreve melhor uma exploração de dia zero? A. Ataques que exploram vulnerabilidades que ainda não possuem patches ou correções B. Vulnerabilidades recentemente descobertas que ainda não possuem patches ou hotfixes C. Ataques a sistemas sem patches prontos D Malware que descarta sua carga depois que o usuário inicia o aplicativo

9 Os utilizadores da organização queixaram-se de não conseguirem aceder a vários websites normalmente acessíveis. Através da solução de problemas, você descobre que um sistema de prevenção de invasões (IPS) está interceptando o tráfego, mas o tráfego não é malicioso. Isso pertence a? Um falso negativo B. rede de mel C. Falso positivo D.Sandbox

10. Você está instalando um novo sistema de detecção de intrusão (IDS). O IDS exige que você crie uma série de linhas de base antes de executá-lo totalmente. Qual das seguintes opções melhor descreve este IDS? A. Correspondência de padrões DDS B. DDS baseado em conhecimento 1S baseado em assinatura C D. DDS baseado em anomalia

11. Um administrador implementa um sistema de detecção de intrusão. Uma vez instalado, o sistema monitora todos os fluxos de comunicação e emite alertas caso seja detectado tráfego suspeito. Qual das alternativas a seguir melhor descreve esse sistema? A. Sistema de detecção de intrusão baseado em host (HIDS) B. Sistema de detecção de intrusão baseado em rede (NIDS) C. rede de mel D. Firewall de rede

12. Você está instalando um sistema que a administração espera que reduza os incidentes na rede. A diretiva setup exige que você o configure em uma linha inline que transporta tráfego para que todo o tráfego passe por ela antes de chegar à rede interna. Qual das seguintes opções melhor descreve este sistema? ^.Sistema de prevenção de intrusões baseado em rede (VIPS) B. Sistema de detecção de intrusão baseado em rede (NIDS) C. Sistema de prevenção de intrusões baseado em host (HIPS) D. Sistema de detecção de intrusão baseado em host (HIDS)

13. Depois de instalar um aplicativo no sistema do usuário, seu supervisor informará que, como o aplicativo consome a maior parte dos recursos do sistema, será necessário removê-lo. Qual dos seguintes sistemas de prevenção você provavelmente já instalou? A. Sistema de detecção de intrusão baseado em rede (NIDS) B. firewall de aplicativo da web (WAF) C. Sistemas de gerenciamento de eventos e informações de segurança (SIEM) D. Sistema de detecção de intrusão baseado em host CHIDS)

14. Você está substituindo um switch com falha. O arquivo de configuração do switch original indica que uma porta específica precisa ser configurada como porta espelhada. Qual dos seguintes dispositivos de rede se conectaria a esta porta? A. Sistema de Prevenção de Intrusões (PS) B. Sistema de Detecção de Intrusão (IDS) C.pote de mel Caixa de areia D

15 Um dispositivo de rede está equipado com um sistema de detecção de intrusão baseado em rede (NIDS). Então, o administrador de segurança descobriu que houve um ataque à Internet, mas o NIDS não enviou alerta. Isso pertence a? A. Falso positivo B. Falso negativo C. ataque frágil Ataque D.smurf

16 A administração solicitou a adição de um sistema de detecção de intrusão (IDS) para detectar novas ameaças à segurança. Qual das alternativas a seguir é uma escolha do aluno? A. IDS baseado em assinatura B. IDS baseado em anomalias C. IDS ativos D. IDS baseado na Web

17. A organização para a qual você trabalha implantou recentemente um aplicativo centralizado para monitoramento. Esta situação descreve melhor o seguinte item original? A. SOAR B.SIEM C.HIDS D. Feed de ameaças

18. Após um ataque recente, a administração decidiu implementar um sistema de monitoramento de portal para evitar violações de dados. Qual das alternativas a seguir é a melhor opção? A. NIDS B. PINÇAS C.Firewall Sistema D.DLP

19. Os administradores de segurança analisam regularmente os feeds de ameaças e usam essas informações para inspecionar os sistemas na rede. O seu objetivo é descobrir qualquer infecção ou ataque que não tenha sido detectado pelas ferramentas existentes. Qual das seguintes descrições melhor se adapta a esta situação? A. Caça a ameaças B. Inteligência de ameaças C. Execute a cadeia de eliminação D. Utilize inteligência artificial

20. Os administradores executam repetidamente as mesmas etapas para verificar alertas de sistemas de detecção de intrusões e executam outras etapas repetitivas para suprimir ataques conhecidos. Qual das opções a seguir automatiza essas etapas? A. SOAR B.SIEM C.NIDS D.DI