Please enable JavaScript.
Coggle requires JavaScript to display documents.
Modulo 4: Protegiendo a la organización - Coggle Diagram
Modulo 4: Protegiendo a la organización
4.1 Dispositivos y tecnologías de ciberseguridad
4.1.5 Análisis de puertos
El escaneo de puertos es un proceso de comprobación de una computadora, un servidor u otro host de red para conocer los puertos abiertos
4.1.6 ¿Qué significa?
El escaneo de puertos informó una respuesta de estado "abierto". Esto significa que el servicio que se ejecuta en la red se puede acceder por otros dispositivos de red. Por lo tanto, si el servicio contiene una vulnerabilidad, puede ser explotado por un atacante.
4.1.4 ¿Cuál?
Firewall NAT
Servidor proxy
Firewall basado en el host
4.1.7 Sistemas de detección
y prevención de intrusiones
IDS
Registra la detección y creará una alerta para un administrador de red. No tomará medidas y, por lo tanto no evitará que ocurran ataques-
IPS
Puede bloquear o denegar el tráfico según una regla positiva o una coincidencia de firma.
4.1.3 Cortafuegos (firewalls)
Servidor proxy
Contrafuegos de capa sensible al contexto
Servidor proxy inverso
Contrafuegos de traducción de direcciones de red (NAT)
Contrafuegos de la capa de aplicación
Firewall basado en el host
Contrafuegos de la capa de transporte
Contra fuegos de la capa de red
4.1.8 Detección en tiempo real
La detección de ataques en tiempo real requiere un análisis activo de ataques mediante el uso de firewall y dispositivos de red IDS / IPS.
DDoS es una de las mayores amenazas de ataque que requiere detección y respuesta en tiempo real.
4.1.2 ¿Cuál es?
Protección
contra malware
AMP de Cisco proporciona protección de terminales de próxima generación, análisis y monitoreo constante de archivos en busca de comportamiento malicioso
VPN
AnyConnect Secure Mobility Client de Cisco brinda a los trabajadores remotos un acceso altamente seguro a la red de @ Αpollo desde cualquier dispositivo, en cualquier momento y en cualquier lugar
Firewall
La serie Firepower 4100 de Cisco muestra lo que sucede en la red para que pueda actuar más rápido ante un ciberataque
Router
El ISR 4000 de Cisco proporciona enrutamiento, filtrado y cifrado en una sola plataform
4.1.1 Dispositivos de seguridad
Otros dispositivos de seguridad
Antimalware
VPN
IPS
Firewall
Routers
4.1.10 Mejores prácticas de seguridad
Crea una política de seguridad
Medidas de seguridad físicas
Realizar una evaluación de riesgos
4.1.9 Protección contra software malicioso
Equipo de respuesta eincidencias
Equipo de inteligencia de amenazas
Equipo del Centro de operaciones seguras
Equipo de ingeniería de infraestructura de seguridad
4.3 enfoque de cisco para la ciberseguridad
La ciberseguridad se está convirtiendo en una preocupación empresarial importante. Por lo tanto, las organizaciones deben tener planes para prepararse, lidiar y recuperarse de una brecha de seguridad.
4.3.1 CSIRT de Cisco
El CSIRT de Cisco adopta un enfoque proactivo, colaborando con el Foro de equipos de seguridad y respuesta a incidentes (FIRST), el Intercambio de información de seguridad nacional (NSIE), el Intercambio de información de seguridad de defensa (DSIE) y el Centro de análisis e investigación de operaciones de DNS (DNS-OARC) para asegurarnos de estar al día con los nuevos desarrollos
Hay varias organizaciones CSIRT nacionales y públicas, como la División CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, que están disponibles para ayudar a las organizaciones y CSIRT nacionales a desarrollar, operar y mejorar sus capacidades de gestión de incidentes.
Muchas organizaciones grandes tienen un Equipo de respuesta a incidentes de seguridad informática (CSIRT) para recibir, revisar y responder a los informes de incidentes de seguridad informática. Cisco CSIRT va un paso más allá y proporciona evaluación proactiva de amenazas, planificación de mitigación, análisis de tendencias de incidentes y revisión de la arquitectura de seguridad en un esfuerzo por evitar que ocurran incidentes de seguridad.
4.3.2 Libro de estrategias de seguridad
Una de las mejores formas de prepararse para una infracción de seguridad es prevenirla. Las organizaciones deben brindar orientación sobre:
la aplicación de salvaguardias y la capacitación del personal
un plan de respuesta flexible que minimiza el impacto y el daño en caso de una violación de la seguridad
cómo identificar el riesgo de ciberseguridad para los sistemas, los activos, los datos y las capacidades
medidas y procesos de seguridad que deben ponerse en marcha después de una violación de la seguridad.
Un libro de de estrategias de seguridad es una colección de consultas o informes repetibles que describen un proceso estandarizado para la detección y respuesta a incidentes. Idealmente, un manual de estrategias de seguridad debería:
proporcionar acceso rápido y utilizable a estadísticas y métricas clave.
correlacionar eventos en todas las fuentes de datos relevantes.
describir y definir claramente el tráfico entrante y saliente.
proporcionar información resumida, incluidas tendencias, estadísticas y recuentos.
resaltar cómo identificar y automatizar la respuesta a las amenazas comunes, como la detección de máquinas infectadas con malware, la actividad de red sospechosa o los intentos de autenticación irregulares.
4.3.3
Herramientas para la prevención y la detección de incidentes
Estas son algunas de las herramientas utilizadas para detectar y evitar incidentes de seguridad.
Un sistema de gestión de eventos y seguridad de información (SIEM) recopila y analiza alertas de seguridad, registros y otros datos históricos y en tiempo real de los dispositivos de seguridad en la red para facilitar la detección temprana de ataques cibernéticos.
Un sistema de prevención de pérdida de datos (DLP) está diseñado para evitar que los datos confidenciales se roben o escapen de una red. Supervisa y protege los datos en tres estados diferentes: datos en uso (datos a los que acceden un usuario), datos en movimiento (datos que viajan a través de la red) y datos en reposo (datos almacenados en una red o dispositivo informático) .
4.3.4 ISE y TrustSec de Cisco
Cisco Identity Services Engine (ISE) y TrustSec aplican el acceso de los usuarios a los recursos de red mediante la creación de políticas de control de acceso basadas en roles
el tipo de manifiesto en relacion y reaccion de cisco Identity Services Engine (ISE) determina el proceso de proteccion que se da ante una vulneracion sobre los diferentes ciberataques que pueden surguir a medida de la conectividad de muchas personas.
4.3.5predicar con el ejemplo
Este módulo contiene mucha información técnica y jerga que necesitará saber para desarrollar su carrera en ciberseguridad. Por lo tanto, antes de continuar, comprobemos su comprensión de algunos de estos términos clave. Es su última oportunidad de ganar puntos de defensor, así que piense detenidamente antes de tomar decisiones.
Un IDS analiza los datos en una base de datos de reglas o firmas de ataques en busca de tráfico malicioso.
Unsistema DLP está diseñado para evitar que se roben o escapen datos confidenciales de una red.
Un IPS puede bloquear o denegar el tráfico según una regla positiva o una coincidencia de firma.
El sistema SIEMrecopila y analiza alertas de seguridad, registros y otros datos históricos y en tiempo real de los dispositivos de seguridad de la red.
4.2 Comportamiento a seguir en la ciberseguridad
4.2.3 Pruebas de Penetración
Pasos del Proceso
Escaneo: Identificación de debilidades mediante escaneo de puertos y análisis de vulnerabilidades
Obtener Acceso: Explotación de vulnerabilidades (exploits, ingeniería social, etc.)
Planificación: Recopilación de información y reconocimiento (pasivo/activo)
Mantener el Acceso: Uso de puertas traseras, rootkits y ocultamiento de presencia
Análisis y Reporte: Recomendaciones para fortalecer la seguridad
Objetivo
Identificar debilidades en personas, procesos y código
Mejorar defensas contra ciberataques
Evaluar vulnerabilidades en sistemas, redes y organizaciones
4.2.4 Su turno
Diferencia entre Pruebas de Penetración y Análisis de Vulnerabilidades
Análisis de Vulnerabilidades
Usa herramientas automatizadas
No explota fallos, solo los detecta
Identifica y enumera vulnerabilidades
Pruebas de Penetración
Simula ataques reales
Evalúa seguridad en profundidad
Explota vulnerabilidades para medir impacto
4.2.2. NetFlow
Recopilación de Datos
Identifica quién, qué, cuándo y cómo accede a la red
Ayuda en análisis de comportamiento
Registra flujo de datos en la red
Análisis y Detección
Monitorea entrada, salida y viaje de datos
Envía datos a recopiladores de NetFlow
Equipos compatibles: Conmutadores, enrutadores, firewalls
Analiza más de 90 atributos (IP origen/destino, etc.)
4.2.6 ¿Qué es la gestión de riesgos?
Evaluación de la Gravedad
Otras pueden ser solo inconvenientes menores
Se analizan mediante impacto financiero (cuantitativo) o impacto operacional (cualitativo)
Algunas amenazas pueden paralizar la organización
Desarrollo de un Plan de Acción
Definir estrategias para:
Transferir el riesgo
Aceptar el riesgo
Mitigar el riesgo
Eliminar el riesgo
Identificación de Amenazas
Evaluación continua de nuevas amenazas
Impacto en reputación, responsabilidad legal y propiedad intelectual
Factores de riesgo: procesos, productos, ataques, fallos, interrupciones
Revisión y Monitoreo Continuo
Vigilar las amenazas aceptadas que no se pueden eliminar
Adaptar estrategias según evolución del riesgo
Evaluar si los riesgos mitigados siguen controlados
4.2.1 Seguridad basada en el comportamiento
Honeypot
Monitorea actividad maliciosa
Ayuda a identificar nuevas amenazas
Señuelo para atraer atacantes
Cisco Cyber Threat Defense
Brinda visibilidad, contexto y control
Responde: ¿Quién, qué, dónde, cuándo y cómo?
Detecta amenazas con análisis de comportamiento
Usa múltiples tecnologías de seguridad
4.2.5 Reducción del impacto
Medidas a Tomar
Encontrar la causa
Investigar las causas subyacentes y, si es necesario, contratar expertos forenses
Aplicar lecciones aprendidas
Implementar mejoras para evitar futuras infracciones similares
Proporcionar los detalles
Explicar qué causó la infracción, qué información fue comprometida y asumir costos
Comprobar y volver a comprobar
Asegurarse de que no queden puertas traseras ni vulnerabilidades
Ser sincero y responsable
Responder con honestidad y asumir responsabilidad si la organización tiene la culpa
¡Eduque!
Sensibilizar y capacitar a los empleados sobre seguridad
Comunicar el problema
Notificar externamente a los clientes con comunicación directa y oficial
Informar internamente a los empleados con una llamada a la acción clara