Please enable JavaScript.
Coggle requires JavaScript to display documents.
4.2 Comportamiento a seguir en la ciberseguridad - Coggle Diagram
4.2 Comportamiento a seguir en la ciberseguridad
4.2.1 Seguridad basada en el comportamiento
es una forma de detección de amenazas que implica capturar y analizar el flujo de comunicación entre un usuario en la red local y un destino local o remoto. Cualquier cambio en los patrones normales de comportamiento se considera anomalía y puede indicar un ataque.
Honeypot
Es una herramienta de deteccion basada en el comportamiento que atrae el atacante apelando a su patron predicho de su comportamiento malicioso.Una vez que el atacante esta dentro del honeypot el administrador de red puede capturar registrar y analizar su comportamiento
Arquitectura de la solucion Cisco Cyber Threat Defense
Esta arquitectura utiliza deteccion e indicadores basados en el comportamiento para proporcionar mayor visibilidad contexto y control
El objetivo es saber quien esta llevando a cabo el ataque que tipo de ataque se esta realizando y en donde
4.2.2 NetFlow
Se utiliza para recopilar informacion sobre los datos que fluyen a travez de una red.
NetFlow es un componente importante del analisis y la deteccion basados en el comportamiento.Los computadores,enrutadores y firewalls equipados con NetFlow pueden reportar informacion sobre la entrada salida y viaje de datos a travez de la red
Esta informacion se envia a los recopiladores de NetFlow y analizan datos que se pueden utilizar para establecer comportamientos de referencia
4.2.5 Reduccion del impacto
Si bien la mayoría de las organizaciones actuales son conscientes de las amenazas de seguridad comunes y hacen un esfuerzo considerable para prevenirlas, ningún conjunto de prácticas de seguridad es infalible. Por lo tanto, las organizaciones deben estar preparadas para contener el daño si se produce una violación de la seguridad
Comunicar el problema
se debe informar a todos los empleados y comunicar una llamada a la acción clara.
Externamente, todos los clientes deben ser informados a través de comunicación directa y anuncios oficiales.
Proporcione los detalles
En general, se espera que las organizaciones se hagan cargo de los costos de los clientes asociados con los servicios de robo de identidad requeridos como resultado de una violación de seguridad.
Ser sincero y responsable
Responda a la infracción de manera honesta y genuina, asumiendo la responsabilidad cuando la organización tenga la culpa.
Encuentre la causa
Tome medidas para comprender qué causó y facilitó la infracción. Esto puede implicar la contratación de expertos forenses para investigar y conocer los detalles.
Aplicar lecciones aprendidas
Asegúrese de que las lecciones aprendidas de las investigaciones forenses se apliquen para evitar que se produzcan infracciones similares en el futuro.
¡Eduque!
Sensibilice, capacite y eduque a los empleados, socios y clientes sobre cómo prevenir futuras infracciones.
Compruebe y vuelva a comprobar
Los atacantes con frecuencia probarán dejar una puerta trasera para facilitar las infracciones futuras. Para evitar que esto suceda, asegúrese de que todos los sistemas estén limpios, no haya puertas traseras instaladas y nada más se haya visto comprometido.
4.2.6 ¿Que es la gestion de riesgos?
es el proceso formal de identificar y evaluar continuamente el riesgo en un esfuerzo por reducir el impacto de las amenazas y las vulnerabilidades. No puede eliminar el riesgo por completo, pero puede determinar los niveles aceptables sopesando el impacto de una amenaza con el costo de implementar controles para mitigarla
Encuadre el riesgo
Identifican las amenazas que aumentan el riesgo. Las amenazas pueden incluir procesos,productos,ataques,posibles fallos o interrupciones de los servicios,percepcion negativa de la reputacion de una organizacion
Evaluar el riesgo
Determina la gravedad que representa cada amenaza. Por ejemplo algunas amenazas pueden tener el potencial de paralizar a toda una organizacion mientras que otras amenazas mientras que otras amenazas pueden ser solo inconvenientes menores
Responder al riesgo
Desarrolle un plan de accion para reducir la exposicion general al riesgo de la organizacion,detallando donde se puede eliminar,,mitigar,transferir o aceptar el riesgo
Supervisar el riesgo
Revise continuamente cualquier riesgo reducido mediante acciones de eliminacion,mitigacion o transferencia.Por lo que debe monitorear de cerca cualquier amenaza que haya sido aceptada
4.2.3 Pruebas de Penetracion
son el acto de evaluar un sistema informático, una red o una organización en busca de vulnerabilidades de seguridad. Una prueba de penetración busca violar los sistemas, las personas, los procesos y el código para descubrir vulnerabilidades que podrían explotarse
Planificacion
El probador de lápiz recopila la mayor cantidad de información posible sobre un sistema o red de destino, sus posibles vulnerabilidades y exploits para usarlo en su contra. Esto implica llevar a cabo un reconocimiento pasivo o activo (huella) e investigación de vulnerabilidad.
Mantener el acceso
La prueba mantendrá el acceso al objetivo para averiguar qué datos y sistemas son vulnerables a la explotación. Es importante que permanezcan sin ser detectados, por lo general, utilizando puertas traseras, caballos de Troya, rootkits y otros canales encubiertos para ocultar su presencia.
Escaneo
Escaneo de puertos para identificar puntos de acceso
Analisis de vulnerabilidades para identificar posibles vulnerabilidades explotables
Establecer una conexion activa con un destino (enumeracion) para identificar la cuenta del usuario
Obtener acceso
La prueba de penetracion intentara obtener acceso a un sistema de destino y rastreara el trafico de red utilizando varios metodos
lanzar un exploit con una carga util en el sistema
Traspasar las barreras fisicas a los activos
Ingenieria social
Analisis y Reportes
La prueba de penetración proporcionará comentarios a través de un informe que recomienda actualizaciones de los productos, las políticas y la capacitación para mejorar la seguridad de la organización.
4.2.4 Su turno
El uso de huellas en la red para encontrar formas de intrusion le da oportunidad de recopilar informacion
El escaneo de un objetivo le permite identificar posibles debilidades explotables
Mantener el acceso sin ser detectado significa que puede recopilar mas informacion sobre las vulnerabilidades de un objetivo