Curso: Seguridad informática

Profesor:
ROBERT ROY SAAVEDRA JIMENEZ

Alumno: Mirko Chumbirayco Calderon U19304783

A. ¿Cómo debió actuar la empresa ante el ataque de ransomware? 
Considere la opción de pagar rescates como último recurso. “Ante estos incidentes. Lo primero que
se debe hacer es aislar los sistemas afectados y luego de identificar el tipo de infección, aplicar las
técnicas de descifrado disponibles”, dice.
“En el caso de que ninguno de estos funcione, la información perdida debe ser recuperada de las
copias de seguridad existentes. Una adecuada política de copias de seguridad permite tener un
resguardo que minimice la posible pérdida de información en caso de este tipo de incidentes. Algo
que no todas las empresas lo han hecho bien”, completa.

B. Indica qué componentes de seguridad perimetral debería

implementar la empresa. Proponer topología de implementación. 
Para comenzar será necesario definir formalmente unos requisitos previos, para cumplir estos
requisitos se diseñará el mapa de red con los elementos específicos seleccionados. La elección de
estos elementos se hará en base a un estudio de mercado para elegir las mejores soluciones de
cada fabricante y que más se adecúen a los requisitos del cliente. Una vez ejecutada la
implementación, se diseñará un plan de pruebas, realizando las pruebas de casos de uso de los
diferentes elementos de seguridad para asegurar su correcto funcionamiento. El siguiente paso, una
vez verificado que todos los elementos funcionan de forma correcta, será diseñar un plan de gestión
de la plataforma, en el que se detallan las rutinas a seguir en cada elemento para conseguir que su
funcionamiento sea optimo y eficiente. A continuación, se diseña una metodología de gestión, en las
que se indican los procedimientos de actuación frente a determinadas incidencias de seguridad,
como pueden ser fallas en elementos de red, detección de vulnerabilidades, detección de ataques,
cambios en políticas de seguridad, etc.

C. Explica qué controles de seguridad se deberían implementar en la

organización, para mitigar un ataque de Denegación de Servicio.  

Reduzca la superficie expuesta a ataques:

Una de las primeras técnicas para mitigar los ataques DDoS es minimizar
la superficie del área que puede ser atacada y por lo tanto, limitar las
opciones de los atacantes lo que permite construir protecciones en un
solo lugar. Queremos asegurarnos de no exponer nuestra aplicación o
nuestros recursos a los puertos, protocolos o aplicaciones de donde no
esperan ninguna comunicación. Por lo tanto, minimizar los posibles
puntos de ataque nos permite concentrar nuestros esfuerzos para
mitigarlos. En algunos casos, podemos hacerlo si colocamos nuestros
recursos informáticos por detrás de las Redes de distribución de
contenido (CDNs) o Balanceadores de carga y restringir el tráfico directo
de Internet a ciertas partes de nuestra infraestructura, como los
servidores de bases de datos. En otros casos, puede utilizar firewalls
o listas de control de acceso (ACLs) para controlar qué tráfico llega a las
aplicaciones.
Plan para escalado:
Existen dos consideraciones claves para mitigar ataques DDoS
volumétricos de gran escala, la capacidad del ancho de banda (o
tránsito) y la capacidad del servidor de absorber y mitigar los ataques.
Capacidad de tránsito. Cuando diseñe sus aplicaciones, asegúrese que
su proveedor de alojamiento le brinde conectividad a Internet amplia y
redundante para administrar grandes volúmenes de tráfico. Dado que el
objetivo final de los ataques DDoS es afectar la disponibilidad de sus
recursos/aplicaciones, debe ubicarlos, no solo cerca de sus usuarios
finales, sino también de los grandes intercambios de Internet que
brindarán a sus usuarios un acceso fácil a su aplicación, incluso durante
grandes volúmenes de tráfico. Además, las aplicaciones web pueden ir
un paso más allá si emplean redes de distribución de contenido (CDN)
y servicios inteligentes de resolución de DNS que proporcionan una capa
adicional de infraestructura de red para servir contenido y resolver
consultas DNS desde ubicaciones que a menudo están más cerca de sus
usuarios finales.
Capacidad del servidor: La mayoría de los ataques DDoS son ataques
volumétricos que utilizan muchos recursos. Por lo tanto, es importante
que pueda escalar rápidamente sus recursos de computación. Puede
hacerlo con la ejecución de recursos informáticos más grandes o
aquellos con características como interfaces de red más
extensas o redes mejoradas que admitan volúmenes más grandes.
Además, también es común usar balanceadores de carga para
monitorear y cambiar cargas continuamente entre recursos para evitar
sobrecargar cualquier recurso.
Conozca qué es el tráfico normal y anormal:
Cada vez que detectamos niveles elevados de tráfico que golpean a un
host, la base es poder aceptar solo el tráfico que nuestro host pueda
manejar sin afectar la disponibilidad. Este concepto se llama limitación de
velocidad. Las técnicas de protección más avanzadas pueden ir un paso
más allá y solo aceptan de manera inteligente el tráfico que es legítimo
cuando se analizan los paquetes individuales. Para hacer esto, debe
comprender las características del buen tráfico que generalmente recibe
el objetivo y poder comparar cada paquete con esta línea de base.
Implemente firewalls para ataques sofisticados de aplicaciones:
Una buena práctica es utilizar un Firewall de aplicaciones web
(WAF) contra ataques, como la inyección SQL o la falsificación de
solicitudes entre sitios, que intentan aprovechar una vulnerabilidad en su
propia aplicación. Además, debido a la naturaleza única de estos
ataques, debería poder crear fácilmente mitigaciones personalizadas
contra solicitudes ilegítimas que podrían tener características como
disfrazarse de buen tráfico o provenir de direcciones IP incorrectas,
geografías inesperadas, etc. A veces también puede ser útil para mitigar
los ataques, ya que pueden obtener un soporte experimentado para
estudiar los patrones de tráfico y crear protecciones personalizadas.

D. Menciona 3 herramientas que le permitirían a la organización

monitorear un NOC (Centro de Operaciones de Red) y SOC (Centro
de Operaciones de Seguridad). 

1: Monitorear el rendimiento de la red en tiempo real - OpManager, con su funcionalidad

de Monitoreo de la Red NOC, permite a los administradores de TI informar instantáneamente
sobre el rendimiento del dispositivo en tiempo real sin tener que usar otra herramienta para
acceder remotamente al dispositivo problemático.

2: Identificar los acaparadores de ancho de banda - OpManager proporciona detalles

exhaustivos sobre el uso del ancho de banda para ayudar a identificar rápidamente cualquier
uso inescrupuloso de la WAN, y exponer los ataques de virus utilizando su add-on Netflow
Analyzer. Además, ayuda en la planificación de la capacidad. 

3: Gestionar los cambios de configuración - OpManager gestiona todos los cambios de

configuración de sus dispositivos de red utilizando el add-on Network Configurations
Manager.