Analista de Ciber Seguridad

Tabla de Contenido

1.0 Gestión de amenazas

1.1 Dado un escenario, aplicar técnicas de reconocimiento ambiental utilizando herramientas y
procesos apropiados.

Procedimientos / tareas comunes, incluyendo descubrimiento de topología, huellas dactilares de

SO, descubrimiento de servicios, captura de paquetes, revisión de registros, revisión de ACLs de
enrutador / firewall, recopilación de correo electrónico, perfilado de redes sociales, ingeniería
social, recolección DNS, phishing; Variables incluyendo Wireless vs. cableado, virtual vs. físico,
interno vs. externo, y en locales vs. nube; Herramientas incluyendo NMAP, análisis de host, mapeo
de red, netstat, analizadores de paquetes, IDS / IPS, HIDS / NIDS, firewall basado en reglas y
registros, Syslog, escáneres de vulnerabilidad

1.2 Dado un escenario, analice los resultados de un reconocimiento de red.

Análisis de datos punto a punto incluyendo análisis de paquetes, análisis de protocolos, análisis de
tráfico, análisis de flujo de red, análisis inalámbrico; Correlación y análisis de datos, incluyendo
análisis de anomalías, análisis de tendencias, análisis de disponibilidad, análisis heurístico, análisis
conductual; Salida de datos incluyendo registros de cortafuegos, capturas de paquetes, resultados
de análisis NMAP, registros de eventos, informes Syslog, informes IDS; Herramientas incluyendo
SIEM, analizadores de paquetes, IDS / IPS, herramientas de monitoreo de recursos, analizador
Netflow

1.3 Dada una amenaza basada en la red, implemente o recomiende la respuesta y la contramedida
apropiadas.

Segmentación de red, aislamiento del sistema, cajas de salto y host de bastión, Honeypots y
honeynets, Seguridad de punto final, Políticas de grupo, ACLs, Sinkholes, Endurecimiento,
Mandatory Access Control (MAC), Compensación de controles, Bloqueo de puertos / servicios no
utilizados, Patches, Políticas de control de acceso a la red (NAC), que incluyen bases temporales,
basadas en reglas, basadas en funciones y basadas en la ubicación.

1.4 Explicar el propósito de las prácticas utilizadas para asegurar un ambiente corporativo.

Pruebas de penetración, Reglas de participación: calendario, alcance. Autorización, explotación,

comunicación y presentación de informes. Ingeniería inversa, aislamiento / sandboxing,
preocupaciones del hardware incluyendo la autenticidad de la fuente del hardware, de la fundición
confiable, y de la documentación del OEM. Software / malware, Huellas dactilares / hashing,
Descomposición, Entrenamiento y ejercicios, Equipos rojos, Equipos azules y Equipos blancos.
Evaluación del riesgo, Revisión del control técnico, Revisión del control operacional, Impacto
técnico y probabilidad y calificación: Alta, media y baja

2.0 Gestión de Vulnerabilidades

2.1 Dado un escenario, implemente un proceso de gestión de la vulnerabilidad de la seguridad

de la información.

Identificación de requisitos, Ambientes normativos, Política corporativa, Clasificación de datos,

Inventario de activos, incluyendo activos críticos y no críticos. Establecer la frecuencia de escaneo
basada en el apetito por el riesgo, los requisitos reglamentarios, las limitaciones técnicas y el flujo
de trabajo. Configurar las herramientas para realizar análisis según las especificaciones,
Determinación de criterios de escaneo, establecimiento de niveles de sensibilidad, feeds de
vulnerabilidad, alcance de exploración, tipos de datos con credenciales frente a no credenciales,
y exploración basada en servidor vs. Actualizaciones / complementos de herramientas, SCAP,
permisos y acceso, cómo ejecutar análisis y generar informes, distribución automatizada vs.
manual, remediación, priorización de la respuesta basada en la criticidad y la dificultad de
implementación. Comunicación / control de cambios, Sandboxing / testing, Inhibidores de la
remediación: Memorandos de Entendimiento, SLAs, gobierno organizacional, interrupción de
procesos empresariales y funcionalidad degradante. Escaneo continuo y monitoreo continuo

2.2 Dado un escenario, analice el resultado resultante de una exploración de vulnerabilidades.

Analizar los informes de una exploración de vulnerabilidades, Revisar e interpretar los resultados
de análisis, Identificar falsos positivos, Identificar excepciones, Priorizar acciones de respuesta,
Validar resultados y correlacionar otros puntos de datos, Comparar con mejores prácticas o
cumplimiento, Reconciliar resultados, Revisar registros relacionados y / u otros datos fuentes,
Determinar tendencias

2.3 Comparar y contrastar vulnerabilidades comunes que se encuentran en los siguientes objetivos
dentro de una organización.

Servidores, Endpoints, Infraestructura de red, Dispositivos de red, Infraestructura virtual, Hostes

virtuales, Redes virtuales, Interfaces de gestión, Dispositivos móviles, Redes interconectadas,
redes privadas virtuales (VPN), los sistemas de control industrial (ICS), los dispositivos SCADA

3.0 Respuesta a incidentes cibernéticos

3.1 Dado un escenario, distinga los datos o el comportamiento de la amenaza para determinar el
impacto de un incidente

Clasificación de amenazas: amenazas conocidas contra amenazas desconocidas, día cero y

amenazas persistentes avanzadas. Factores que contribuyen a la severidad y priorización del
incidente: alcance del impacto, tiempo de inactividad, tiempo de recuperación. la integridad de
los datos, el impacto económico, la criticidad del proceso del sistema. Tipos de datos: Información
personalmente identificable (PII), información personal de salud (PHI), información de la tarjeta
de pago, propiedad intelectual, confidencial corporativa, datos contables. fusiones y adquisiciones

3.2 Dado un escenario, prepare una caja de herramientas y utilice herramientas forenses
apropiadas durante una investigación.

Kits forenses, Estaciones de trabajo forenses digitales, Bloqueadores de escritura, Cables,

Adaptadores de unidad, Soportes extraíbles, Cámaras, Sellos a prueba de manipulaciones,
Documentación / formularios, Formularios de cadena de custodia, Plan de respuesta a incidentes,
Formularios de incidentes, Lista de llamadas / listas de escalación. Suites de investigación forense,
Utilidades de análisis, Cadena de custodia, Utilidades de hash, Análisis de sistemas operativos y de
procesos, Análisis forense de dispositivos móviles, Cracks de contraseñas, Herramientas de
criptografía, Visualizadores de registros

3.3 Explique la importancia de la comunicación durante el proceso de respuesta a incidentes.

Interesados: HR, legal, marketing y administración. Propósito de los procesos de comunicación:

limitación de la comunicación a las partes de confianza, divulgación basada en requisitos
reglamentarios / legislativos, o prevención de la liberación inadvertida de información, método
seguro de comunicación. Responsabilidades basadas en roles: técnica, administración,
cumplimiento de la ley y retención de un proveedor de respuesta a incidentes

3.4 Dado un escenario, analice los síntomas comunes para seleccionar el mejor curso de acción
para apoyar la respuesta a incidentes.

Síntomas comunes relacionados con la red: consumo de ancho de banda, balizamiento,

comunicación peer-to-peer irregular, dispositivos fraudulentos en la red, barridos de exploración
y picos inusuales de tráfico. Síntomas comunes relacionados con el host: consumo del procesador
(CPU), consumo de memoria, consumo de capacidad de la unidad, software no autorizado,
procesos maliciosos, cambios no autorizados, privilegios no autorizados, exfiltración de datos.
Síntomas comunes relacionados con la aplicación: actividad anómala, introducción de nuevas
cuentas, salida inesperada, comunicación saliente inesperada, interrupción del servicio,
desbordamientos de memoria

3.5 Resuma el proceso de recuperación de incidentes y de respuesta posterior al incidente.

Técnicas de contención: segmentación, aislamiento, remoción e ingeniería inversa. Técnicas de
erradicación: sanitización, reconstrucción / reimagen, eliminación segura, validación, parches,
permisos, escaneo y verificación de registro / comunicación a la supervisión de seguridad.
Acciones correctivas, Informes de lecciones aprendidas, Proceso de control de cambios,
Actualización de planes de respuesta a incidentes, Informes de resumen de incidentes

4.0 Arquitectura de seguridad y conjuntos de herramientas

4.1 Explicar la relación entre los marcos, las políticas comunes, los controles y los procedimientos.

Cumplimiento normativo, Marcos: NIST, ISO, COBIT, SABSA, TOGAF, ITIL. Políticas: política de
contraseñas, política de uso aceptable, política de propiedad de datos, política de retención de
datos, política de administración de cuentas y políticas de clasificación de datos. Controles,
Selección de control basada en criterios, Parámetros definidos organizativamente, Controles
físicos, Controles lógicos, Controles administrativos, Procedimientos: monitoreo continuo,
producción de pruebas, parches, control de compensación de desarrollo, procedimientos de
prueba de control, gestión de excepciones, elaboración y ejecución de planes de remediación.
Verificaciones y control de calidad, Auditorías, Evaluaciones, Evaluaciones, Modelos de madurez,
Certificación

4.2 Dado un escenario, utilice datos para recomendar la corrección de problemas de seguridad
relacionados con la identidad y la gestión del acceso.

Problemas de seguridad asociados con la autenticación basada en contexto basada en el tiempo,

la ubicación, la frecuencia y los patrones de comportamiento. Problemas de seguridad asociados
con las identidades: personal, puntos finales, servidores, servicios, funciones y aplicaciones.
Problemas de seguridad asociados con los repositorios de identidad, Servicios de directorio,
TACACS +, RADIUS, Problemas de seguridad asociados con federación y inicio de sesión único: o
Aprovisionamiento / desprovisionamiento manual o automático y restablecimiento de contraseña
de autoservicio. Exploits: suplantación, ataques de hombre en el medio, secuestro de sesión,
secuencias de comandos entre sitios, escalamiento de privilegios y rootkits.

4.3 Dado un escenario, revise la arquitectura de seguridad y haga recomendaciones para

implementar controles de compensación.
Análisis de datos de seguridad mediante agregación y correlación de datos, análisis de tendencias
y análisis histórico. Revisión manual de registros de firewall, syslogs, registros de autenticación y
registros de eventos. Conceptos de defensa en profundidad. Seguridad del personal: formación,
doble control, separación de funciones, terceros / consultores, formación cruzada, vacaciones
obligatorias, planificación de la sucesión. Procesos relacionados con la defensa en profundidad:
mejora continua, revisiones programadas y retiro de procesos. Tecnologías: informes
automatizados, aplicaciones de seguridad. suites de seguridad, outsourcing, seguridad como
servicio (SaaS) y criptografía. Otros conceptos de seguridad: diseño de red y segmentación de red

4.4 Dado un escenario, utilice las mejores prácticas de seguridad de la aplicación mientras
participa en el ciclo de vida de desarrollo de software (SDLC).

Prácticas recomendadas durante el desarrollo de software, Definición de requisitos de seguridad,

Fases de prueba de seguridad, Análisis de código estático, Exploración de vulnerabilidades de
aplicaciones web, Fuzzing, Uso de proxies de interceptación para rastrear aplicaciones, Revisión
manual de pares, Pruebas de aceptación de usuarios validación, mejores prácticas de codificación
segura de OWASP, SANS, Centro de Seguridad de Internet. Recomendaciones de diseño del
sistema y puntos de referencia

4.5 Comparar y contrastar el propósito general y las razones para el uso de diversas herramientas
y tecnologías de seguridad cibernética.

Herramientas preventivas, incluyendo IPS: Sourcefire, Snort, Bro, HIPS, Firewalls: Cisco, Palo Alto,
Check Point. Antivirus y Anti-malware, EMET, proxies web, sistemas de Firewall de Aplicaciones
Web (WAF): ModSecurity, NAXSI, Imperva. Herramientas colectivas, incluyendo SIEMs: ArcSight,
QRadar, Splunk, AlienVault, OSSIM, Kiwi Syslog. Herramienta de escaneado en red con NMAP,
Exploración de vulnerabilidades utilizando Qualys, Nessus, OpenVAS, Nexpose, Nikto y Microsoft
Baseline Security Analyzer. o Captura de paquetes utilizando Wireshark, tcpdump, Network
General y Aircrack-ng. Utilidades de línea de comandos / IP: netstat, ping, tracert / traceroute,
ipconfig / ifconfig, nslookup / dig, suite Sysinternals, OpenSSL. IDS / HIDS.

Herramientas analíticas, incluyendo exploración de vulnerabilidades como Qualys, Nessus,

OpenVAS, Nexpose, Nikto y Microsoft Baseline Security Analyzer. Herramientas de monitoreo:
MRTG, Nagios, SolarWinds, Cactus, NetFlow Analyzer. Proxy de intercepción: Burp Suite, Zap y
Vega.

Herramientas Exploit, incluyendo proxies de intercepción: Burp Suite, Zap y Vega. o Exploit
framework: Metasploit y Nexpose. Fuzzers: Untidy, Peach Fuzzer, Archivo Microsoft SDL / Regex
Fuzzer.
Herramientas forenses, incluyendo Forensic suites: EnCase, FTK, Helix, Sysinternals y Cellebrite.
Herramientas de Hashing: MD5sum, SHAsum. Herramientas de craqueo de contraseñas; Jhon the
ripper, Caín y Abel. Imágenes con DD