Subido por yorkps10

GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS

Anuncio
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 1
REDES PALO ALTO
PCCET
GUÍA DE ESTUDIO
Agosto 2021
Página 2
https://translate.googleusercontent.com/translate_f
1/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2021 Palo Alto Networks, Inc.
Apertura, Autoenfoque, GlobalProtect, Palo Alto Networks, PAN-OS, Panorama, Trampas,
Cortex y WildFire son marcas comerciales de Palo Alto Networks, Inc.
© 2021 Palo Alto Networks, Inc.
2
Página 3
Contenido
Guía de estudio de Palo Alto Networks PCCET
13
Descripción general
13
Formato de examen
13
Cómo realizar este examen
13
Recursos de preparación
14
Dominio del examen 1 - Fundamentos de ciberseguridad
15
1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0
Referencias
https://translate.googleusercontent.com/translate_f
15
21
2/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Verificación de conocimientos
1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados ​en puertos
22
23
Referencias
24
Verificación de conocimientos
24
1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube
25
Verificación de conocimientos
27
1.4 Identificar los riesgos de la aplicación SaaS
28
Referencias
30
Verificación de conocimientos
30
1.5 Reconocer las leyes y regulaciones de ciberseguridad
30
Verificación de conocimientos
33
1.6 Ejemplos de ciberataques de alto perfil
33
Referencias
35
Verificación de conocimientos
36
1.7 Identificar los perfiles y las motivaciones de los atacantes
36
Referencias
37
Verificación de conocimientos
37
1.8 Describir el ciclo de vida moderno de los ciberataques
38
Referencias
41
Verificación de conocimientos
41
1.9 Clasificar tipos de malware
42
Verificación de conocimientos
46
1.10 Enumere las diferencias entre vulnerabilidades y exploits
46
Referencias
48
Verificación de conocimientos
48
1.11 Categorizar los ataques de spam y phishing
© 2021 Palo Alto Networks, Inc.
49
3
Página 4
Referencias
50
Verificación de conocimientos
50
1.12 Ingeniería social
Verificación de conocimientos
1.13 Ataques de ciberseguridad
51
52
52
Botnets de spam
54
Botnets distribuidas de denegación de servicio
55
Botnets financieras
55
Referencias
56
Verificación de conocimientos
56
1.14 Definir las características de las amenazas persistentes avanzadas
57
Referencias
58
Verificación de conocimientos
58
1.15 Reconocer ataques comunes de Wi-Fi
59
Privacidad equivalente por cable
59
Acceso protegido Wi-Fi (WPA / WPA2 / WPA3)
59
Gemelo malvado
62
Jasager
63
SSLstrip
64
Emotet
sesenta y cinco
https://translate.googleusercontent.com/translate_f
3/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Referencias
66
Verificación de conocimientos
66
1.16 Definir la seguridad de la red basada en el perímetro
66
Verificación de conocimientos
68
1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust
69
Principios de diseño de Core Zero Trust
70
Arquitectura conceptual de Zero Trust
70
Criterios y capacidades clave de Zero Trust
72
Implementando un diseño Zero Trust
73
Verificación de conocimientos
73
1.18 Definir las capacidades de una cartera de productos eficaz
74
Verificación de conocimientos
77
1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks
77
Verificación de conocimientos
© 2021 Palo Alto Networks, Inc.
79
4
Página 5
Dominio del examen 2: el mundo conectado
2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores
80
80
Referencias:
81
Verificación de conocimientos
81
2.2 Clasificar protocolos enrutados y de enrutamiento
Verificación de conocimientos
2.3 Resumir topologías y redes de área
Verificación de conocimientos
2.4 Explicar el propósito del sistema de nombres de dominio (DNS)
Verificación de conocimientos
2.5 Identificar categorías de Internet de las cosas (IoT)
82
84
84
88
89
91
91
Referencias:
95
Verificación de conocimientos
95
2.6 Revisar la estructura de una dirección IPv4 / IPv6
Verificación de conocimientos
2.7 Describir el propósito de la división en subredes IPv4
Verificación de conocimientos
2.8 Revise los modelos OSI y TCP / IP
Verificación de conocimientos
2.9 Explicar el proceso de encapsulación de datos
Verificación de conocimientos
2.10 Clasifique varios tipos de firewalls de red
96
103
104
105
106
110
111
112
112
Cortafuegos de filtrado de paquetes
113
Cortafuegos de inspección de paquetes con estado
113
Cortafuegos de aplicaciones
113
Verificación de conocimientos
114
2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones
114
Verificación de conocimientos
115
2.12 Definir redes privadas virtuales
116
Protocolo de tunelización punto a punto
116
Protocolo de túnel de capa 2
116
Protocolo de túnel de socket seguro
117
https://translate.googleusercontent.com/translate_f
4/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Cifrado punto a punto de Microsoft
117
OpenVPN
117
Seguridad del protocolo de Internet
117
Capa de enchufes seguros
118
© 2021 Palo Alto Networks, Inc.
5
Página 6
Verificación de conocimientos
118
2.13 Explicar la prevención de pérdida de datos
119
Verificación de conocimientos
120
2.14 Describir la gestión unificada de amenazas
120
Verificación de conocimientos
121
2.15 Definir los conceptos básicos de seguridad de endpoints
121
Verificación de conocimientos
122
2.16 Comparar la protección contra malware basada en firmas y en contenedores
122
Software anti-malware basado en firmas
123
Protección de punto final basada en contenedor
125
Listas de aplicaciones permitidas
125
Detección de anomalías
125
Software anti-spyware
126
Referencias:
126
Verificación de conocimientos
126
2.17 Reconocer tipos de gestión de dispositivos móviles
127
Verificación de conocimientos
127
2.18 Explicar el propósito de la gestión de identificaciones y accesos
128
Directorio de Servicios
128
Verificación de conocimientos
129
2.19 Describir la gestión de la configuración
130
Verificación de conocimientos
130
2.20 Identificar las funciones y capacidades del firewall de próxima generación
131
Identificación de la aplicación
133
Tecnología de clasificación de tráfico App-ID
135
App-ID: abordar aplicaciones personalizadas o desconocidas
136
App-ID en acción: identificación de WebEx
138
Identificación de aplicaciones y control de políticas
138
Control de función de aplicación
139
Control de múltiples aplicaciones: filtros y grupos dinámicos
139
Identificación de usuario
140
ID de usuario: integración de la información del usuario y las políticas de seguridad
140
User-ID en acción
141
Visibilidad de la actividad de un usuario
145
Control de políticas basado en el usuario
145
© 2021 Palo Alto Networks, Inc.
6
Página 7
https://translate.googleusercontent.com/translate_f
5/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Optimizador de políticas
145
Identificación de contenido
146
Prevención de amenazas
146
Escaneo de malware basado en flujo
147
Prevención de intrusiones
148
Filtrado de archivos y datos
148
Correlación de registros e informes
148
Opciones de implementación de firewall de próxima generación
156
Aparatos físicos (serie PA)
156
Cortafuegos virtualizados (serie VM)
157
Serie K2
158
Sartén De Hierro
159
Expedición de Palo Alto Networks (herramienta de migración)
159
Implementación de Zero Trust con firewalls de próxima generación
160
Verificación de conocimientos
165
2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW
166
Servicio de seguridad DNS
166
Predecir y bloquear nuevos dominios maliciosos
167
Neutralizar la tunelización de DNS
168
Simplifique la seguridad con la automatización y reemplace las herramientas independientes
168
Servicio de filtrado de URL
169
Servicio de prevención de amenazas (antivirus, antispyware y protección contra vulnerabilidades)
170
Protección contra malware / antivirus
171
Protección de comando y control (software espía)
171
Protección de vulnerabilidad
171
Prevención de malware de día cero (WildFire)
172
Descubrimiento de ciberamenazas basado en el comportamiento
174
Prevención de amenazas con intercambio de inteligencia global
177
Registro, informes y análisis forenses integrados
177
Verificación de conocimientos
178
2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama)
178
Verificación de conocimientos
© 2021 Palo Alto Networks, Inc.
184
7
Página 8
Dominio del examen 3: tecnologías en la nube
3.1 Definir los modelos de implementación y servicio en la nube del NIST
185
185
Modelos de servicios en la nube
185
Modelos de implementación en la nube
186
Verificación de conocimientos
186
3.2 Reconocer y enumerar los desafíos de seguridad en la nube
Verificación de conocimientos
3.3 Definir el propósito de la virtualización en la computación en nube
https://translate.googleusercontent.com/translate_f
188
192
193
6/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Maquinas virtuales
194
Máquinas virtuales delgadas
194
Verificación de conocimientos
195
3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones
195
Contenedores integrados en VM
196
Contenedores
197
Contenedores como servicio
198
Contenedores bajo demanda
199
Verificación de conocimientos
200
3.5 Discutir el propósito de la computación sin servidor
201
Verificación de conocimientos
202
3.6 Compare las diferencias entre DevOps y DevSecOps
203
Canalización de CI / CD
204
DevOps y seguridad
204
Verificación de conocimientos
204
3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS
205
Verificación de conocimientos
206
3.8 Describir las debilidades de las soluciones de seguridad de datos tradicionales
206
Verificación de conocimientos
207
3.9 Comparar la protección del tráfico este-oeste y norte-sur
208
Verificación de conocimientos
210
3.10 Reconocer las cuatro fases de la seguridad del centro de datos híbrido
211
3.11 Identificar los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud]
212
Cumplimiento y gobernanza de la nube
215
Seguridad informática
216
Protección de la red
217
Seguridad de la identidad
217
© 2021 Palo Alto Networks, Inc.
8
Página 9
Verificación de conocimientos
3.12 Describir la arquitectura SASE de Prisma Access
218
218
Capa de red como servicio
221
SD-WAN
222
Red privada virtual
222
Acceso a la red Zero Trust
223
Calidad de servicio
224
Capa de seguridad como servicio
224
Seguridad DNS
225
Cortafuegos como servicio
225
Prevención de amenazas
226
Pasarela web segura
226
Prevención de pérdida de datos
227
Agente de seguridad de acceso a la nube
227
Verificación de conocimientos
228
3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas
228
Prevención de amenazas de SaaS
230
Visibilidad de la exposición de datos
231
https://translate.googleusercontent.com/translate_f
7/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Control de exposición de datos contextuales
231
Clasificación de documentos avanzada
231
Política retroactiva
231
Verificación de conocimientos
232
Dominio del examen 4: elementos de las operaciones de seguridad
233
4.1 Los seis elementos esenciales de las operaciones de seguridad eficaces
233
Verificación de conocimientos
233
4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR
234
Orquestación, automatización y respuesta de seguridad
234
Verificación de conocimientos
236
4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad.
Verificación de conocimientos
236
237
4.4 Describir las características de la tecnología de protección de terminales Cortex XDR
237
Detenga el malware y el ransomware
238
Inteligencia de amenazas WildFire
239
Análisis local y aprendizaje automático
239
© 2021 Palo Alto Networks, Inc.
9
Página 10
Protección contra amenazas conductuales
239
Inspección y análisis de WildFire
240
Bloquear exploits y amenazas sin archivos
241
Protección previa a la explotación
241
Prevención de exploits basada en técnicas
241
Prevención de exploits del kernel
242
Protección contra robo de credenciales
242
Investigar y responder a los ataques
243
Extendiendo la prevención más allá de los entornos Windows
244
Cortex XDR para macOS
244
Cortex XDR para Android
244
Cortex XDR para Linux
245
Control de dispositivos para un acceso USB seguro
245
Gestión sencilla de la seguridad de los terminales
246
Gestión basada en la nube
246
Interfaz intuitiva
246
Beneficios de una plataforma conectada
247
Integración nativa para una investigación y respuesta rápidas
247
Aplicación coordinada
249
Registro centralizado en toda la plataforma
249
Arquitectura técnica de Cortex XDR
249
Verificación de conocimientos
250
4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora la visibilidad del SOC
251
Verificación de conocimientos
4.6 Explicar cómo AutoFocus obtiene inteligencia sobre amenazas para el análisis y la respuesta de seguridad
Apéndice A: Respuestas a las preguntas de verificación de conocimientos
Dominio del examen 1 - Fundamentos de ciberseguridad
https://translate.googleusercontent.com/translate_f
252
252
258
258
8/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0
258
1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados ​en puertos
258
1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube
259
1.4 Identificar la seguridad de la aplicación SaaS
259
1.5 Reconocer las leyes y regulaciones de ciberseguridad
260
1.6 Enumere ejemplos recientes de ciberataques de alto perfil
260
© 2021 Palo Alto Networks, Inc.
10
Página 11
1.7 Descubra los perfiles y las motivaciones de los atacantes
260
1.8 Describir el ciclo de vida moderno de los ciberataques
261
1.9 Clasificar tipos de malware
262
1.10 Enumere las diferencias entre vulnerabilidades y exploits
262
1.11 Categorizar los ataques de spam y phishing
263
1.12 Ingeniería social
263
1.13 Ataques de ciberseguridad
264
1.14 Definir las características de las amenazas persistentes avanzadas
264
1.15 Reconocer ataques comunes de Wi-Fi
264
1.16 Definir la seguridad de la red basada en el perímetro
265
1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust
265
1.18 Definir las capacidades de una cartera de productos eficaz
266
1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks
266
Dominio del examen 2: el mundo conectado
267
2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores
267
2.2 Clasificar protocolos enrutados y de enrutamiento
267
2.3 Resumir topologías y redes de área
267
2.4 Explicar el propósito del sistema de nombres de dominio (DNS)
268
2.5 Identificar categorías de Internet de las cosas (IoT)
268
2.6 Ilustre la estructura de una dirección IPv4 / IPv6
269
2.7 Describir el propósito de la división en subredes IPv4
270
2.8 Ilustre los modelos OSI y TCP / IP
270
2.9 Explicar el proceso de encapsulación de datos
271
2.10 Clasifique varios tipos de firewalls de red
271
2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones
272
2.12 Definir redes privadas virtuales
272
2.13 Explicar la prevención de pérdida de datos (DLP)
273
2.14 Describir la gestión unificada de amenazas
273
2.15 Definir los conceptos básicos de seguridad de endpoints
273
2.16 Comparar la protección contra malware basada en firmas y en contenedores
274
2.17 Reconocer tipos de gestión de dispositivos móviles
274
2.18 Explicar el propósito de la gestión de identificaciones y accesos
275
2.19 Describir la gestión de la configuración
276
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
11
9/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Pagina 12
2.20 Identificar las funciones y capacidades del firewall de próxima generación
276
2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW
276
2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama).
277
Dominio del examen 3: tecnologías en la nube
277
3.1 Definir los modelos de implementación y servicio en la nube del NIST
277
3. 2 Reconocer y enumerar los desafíos de seguridad en la nube
278
3.3 Definir el propósito de la virtualización en la computación en nube
279
3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones
279
3.5 Discutir el propósito de la computación sin servidor
280
3.6 Compare las diferencias entre DevOps y DevSecOps
280
3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS
280
3.8 Ilustre las debilidades de las soluciones de seguridad de datos tradicionales
281
3.9 Comparar la protección del tráfico este-oeste y norte-sur
281
3.11 Enumere los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud]
282
3.12 Ilustre la arquitectura SASE de Prisma Access
282
3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas
283
Dominio del examen 4: elementos de las operaciones de seguridad
283
4.1 Enumere los seis elementos esenciales de las operaciones de seguridad eficaces
283
4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR
283
4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad.
284
4.4 Describir las características de la tecnología de protección de terminales Cortex XDR
284
4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora el SOC
visibilidad
285
Apéndice B: Glosario
© 2021 Palo Alto Networks, Inc.
286
12
Página 13
Guía de estudio de Palo Alto Networks PCCET
Bienvenido a la Guía de estudio de PCCET de Palo Alto Networks . El propósito de esta guía es ayudar
se prepara para su técnico de nivel de entrada certificado en ciberseguridad de Palo Alto Networks
(PCCET) y obtenga su credencial PCCET.
Descripción general
https://translate.googleusercontent.com/translate_f
10/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La certificación PCCET valida los conocimientos necesarios para la seguridad de red de nivel de entrada.
posiciones, cuyos requisitos técnicos cambian tan rápidamente como la tecnología sobre la que se
establecido. Las personas certificadas por PCCET tienen un conocimiento detallado sobre las últimas tendencias en redes.
ciberataques basados ​y sobre tecnologías de vanguardia disponibles para prevenir los ciberataques.
Hay más información disponible en la página pública de Palo Alto Networks en:
https://www.paloaltonetworks.com/services/education/certification
Formato de examen
El formato de la prueba es de 75 ítems de opción múltiple. Los candidatos tendrán 5 minutos para completar el NoAcuerdo de divulgación (NDA), 90 minutos (1 hora, 30 minutos) para completar las preguntas y 5
minutos para completar una encuesta al final del examen.
Se muestra la distribución aproximada de los elementos por tema (dominio del examen) y las ponderaciones de los temas.
en la siguiente tabla.
Dominio del examen
Peso
(%)
Fundamentos de la ciberseguridad
El mundo conectado
Tecnologías en la Nube
Elementos de las operaciones de seguridad
15%
25%
30%
30%
Total
100%
Cómo realizar este examen
El examen está disponible a través de la plataforma de pruebas de terceros Pearson VUE. Para registrarse en el
examen, por favor visite https://home.pearsonvue.com/paloaltonetworks .
© 2021 Palo Alto Networks, Inc.
13
Página 14
Recursos de preparación
El documento es una recopilación de recursos clave para guiar la preparación del examen. Estos recursos
cubrir el material designado por los objetivos del examen. Para estudiar de manera eficiente, céntrese en el
temas sugeridos enumerados para cada recurso. Asegúrese de tener una clara y completa
comprensión de estos temas antes de realizar el examen.
https://translate.googleusercontent.com/translate_f
11/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
14
Página 15
Dominio del examen 1 - Fundamentos de ciberseguridad
El panorama moderno de la ciberseguridad es un entorno hostil en rápida evolución lleno de
amenazas avanzadas y actores de amenazas cada vez más sofisticados. Esta sección describe la informática
tendencias que están dando forma al panorama de la ciberseguridad, los marcos de aplicación y los ataques (o
amenaza ) vectores , los problemas de seguridad de cloud computing y SaaS de aplicaciones, información diversa
regulaciones y estándares de seguridad y protección de datos, y algunos ejemplos recientes de ciberataques.
Nota: Los términos "empresa" y "negocio" se utilizan en esta guía para describir
organizaciones, redes y aplicaciones en general. El uso de estos términos no está destinado a
excluir otros tipos de organizaciones, redes o aplicaciones, y debe entenderse que
incluir no solo las grandes empresas y empresas, sino también las pequeñas y medianas empresas
(PYMES), gobierno, empresas de propiedad estatal (EPE), servicios públicos, militares, atención médica y
organizaciones sin fines de lucro, entre otras.
Términos clave
● Un vector de ataque (o amenaza) es una ruta o herramienta que utiliza un atacante para atacar una red.
1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0
La naturaleza de la informática empresarial ha cambiado drásticamente durante la última década. Negocio principal
Las aplicaciones ahora se instalan comúnmente junto con las aplicaciones Web 2.0 en una variedad de puntos finales , y
Las redes que originalmente se diseñaron para compartir archivos e impresoras ahora se utilizan para recopilar
volúmenes de datos, intercambiar información en tiempo real, realizar transacciones comerciales en línea y habilitar
colaboración.
Muchas aplicaciones Web 2.0 están disponibles como software como servicio (SaaS), basadas en la web o aplicaciones móviles.
que los usuarios finales pueden instalar fácilmente o que se pueden ejecutar sin instalar ningún programa local
o servicios en el punto final. El uso de aplicaciones Web 2.0 en la empresa a veces se denomina
Enterprise 2.0 , aunque no todas las aplicaciones Web 2.0 se consideran aplicaciones Enterprise 2.0.
Términos clave
https://translate.googleusercontent.com/translate_f
12/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Web 2.0 es un término popularizado por Tim O'Reilly y Dale Dougherty que extraoficialmente se refiere a un
nueva era de la World Wide Web, que se caracteriza por contenido dinámico o generado por el usuario,
interacción y colaboración, y el crecimiento de las redes sociales.
● Un endpoint es un dispositivo informático, como una computadora de escritorio o portátil, un escáner de mano,
dispositivo o sensor de Internet de las cosas (IoT) (como un vehículo autónomo, un dispositivo inteligente,
medidor inteligente, TV inteligente o dispositivo portátil), terminal de punto de venta (POS), impresora, satélite
radio, cámara de seguridad o videoconferencia, quiosco de autoservicio, teléfono inteligente, tableta o voz
a través de un teléfono de Protocolo de Internet (VoIP). Aunque los puntos finales pueden incluir servidores y redes
equipo, el término se utiliza generalmente para describir los dispositivos del usuario final.
● La Internet de las cosas (IoT) es la red de objetos inteligentes físicos que están integrados con
electrónica, software, sensores y conectividad de red para recopilar y compartir datos.
● Voz sobre IP (VoIP), o telefonía IP, es una tecnología que proporciona comunicación de voz
una (red basada en IP.
© 2021 Palo Alto Networks, Inc.
15
Página 16
● El software como servicio (SaaS) es una categoría de servicios de computación en la nube en la que el cliente
se proporciona acceso a una aplicación alojada que es mantenida por el proveedor de servicios.
● Enterprise 2.0 es un término introducido por Andrew McAfee y definido como "el uso de
plataformas de software social dentro de las empresas, o entre empresas y sus socios o
clientes."
Las aplicaciones comerciales centrales típicas incluyen:
● El software de contabilidad se utiliza para procesar y registrar datos y transacciones contables como
como cuentas por pagar, cuentas por cobrar, nómina, balances de prueba y libro mayor (GL)
entradas. Ejemplos de software de contabilidad incluyen Intacct, Microsoft Dynamics AX y
GP, NetSuite, QuickBooks y Sage.
● El software de inteligencia empresarial (BI) y análisis empresarial consta de herramientas y
técnicas utilizadas para sacar a la superficie grandes cantidades de datos no estructurados sin procesar de una variedad de
fuentes (como almacenes de datos y mercados de datos). Software de análisis empresarial y BI
realiza una variedad de funciones, incluida la gestión del rendimiento empresarial, datos
minería, procesamiento de eventos y análisis predictivo. Ejemplos de software analítico y de BI
incluyen IBM Cognos, MicroStrategy, Oracle Hyperion y SAP.
● Sistemas de gestión de contenido (CMS) y gestión de contenido empresarial (ECM)
Los sistemas se utilizan para almacenar y organizar archivos desde una interfaz de administración central, con
funciones como indexación, publicación, búsqueda, gestión del flujo de trabajo y control de versiones.
Ejemplos de software CMS y ECM incluyen EMC Documentum, HP Autonomy,
Microsoft SharePoint y OpenText.
● El software de gestión de relaciones con el cliente (CRM) se utiliza para gestionar
información del cliente (o cliente) de la organización, incluida la validación de clientes potenciales, ventas pasadas,
registros de comunicación e interacción e historial de servicio. Ejemplos de suites de CRM incluyen
Microsoft Dynamics CRM, Salesforce.com, SugarCRM y ZOHO.
● Los sistemas de administración de bases de datos (DBMS) se utilizan para administrar bases de datos, incluido el
esquemas, tablas, consultas, informes, vistas y otros objetos que componen una base de datos.
Ejemplos de software DBMS incluyen Microsoft SQL Server, MySQL, NoSQL y
Base de datos Oracle.
● Los sistemas de planificación de recursos empresariales (ERP) proporcionan una vista integrada de los
Procesos comerciales como planificación de productos y costos, fabricación o prestación de servicios.
gestión de inventarios, envío y pago. Ejemplos de software ERP incluyen
NetSuite, JD Edwards EnterpriseOne y PeopleSoft de Oracle y SAP.
● El software de gestión de activos empresariales (EAM) se utiliza para gestionar los
activos físicos a lo largo de todo su ciclo de vida, incluida la adquisición, actualización,
mantenimiento, reparación, reemplazo, desmantelamiento y eliminación. EAM es comúnmente
implementado como un módulo integrado de sistemas ERP. Ejemplos de software EAM
incluyen IBM Maximo, Infor EAM y SAP.
https://translate.googleusercontent.com/translate_f
13/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
dieciséis
Página 17
● El software de gestión de la cadena de suministro (SCM) se utiliza para gestionar las transacciones de la cadena de suministro,
relaciones con proveedores y varios procesos comerciales, como el procesamiento de órdenes de compra,
gestión de inventarios y gestión de almacenes. El software SCM es comúnmente
integrado con sistemas ERP. Ejemplos de software SCM incluyen Fishbowl Inventory,
Freightview, Infor Supply Chain Management y Sage X3.
● El software de administración de contenido web (WCM) se utiliza para administrar el contenido del sitio web,
incluyendo administración, autoría, colaboración y publicación. Ejemplos de web
El software de gestión de contenido incluye Drupal, IBM FileNet, Joomla y WordPress.
Las aplicaciones y servicios Web 2.0 comunes (muchos de los cuales también son aplicaciones SaaS) incluyen:
● Los servicios de intercambio y sincronización de archivos se utilizan para administrar, distribuir y brindar acceso a
contenido en línea, como documentos, imágenes, música, software y video. Ejemplos incluyen
Apple iCloud, Box, Dropbox, Google Drive, Microsoft OneDrive, Spotify y YouTube.
● La mensajería instantánea (MI) se utiliza para intercambiar mensajes cortos en tiempo real. Ejemplos de
incluyen Facebook Messenger, Skype, Snapchat y WhatsApp.
● Los servicios web de microblogging permiten a un suscriptor transmitir mensajes cortos a otros
suscriptores. Los ejemplos incluyen Tumblr y Twitter.
● Las suites de productividad de Office constan de procesamiento de texto basado en la nube, hojas de cálculo y
software de presentación. Los ejemplos incluyen Google Apps y Microsoft Office 365.
● El software de acceso remoto se utiliza para compartir y controlar de forma remota un punto final, normalmente
para colaboración o resolución de problemas. Los ejemplos incluyen LogMeIn y TeamViewer.
● El software de reunión de equipo remoto se utiliza para conferencias de audio, videoconferencias y
compartir pantalla. Los ejemplos incluyen Adobe Connect, Microsoft Teams y Zoom.
● La curación social comparte contenido colaborativo sobre temas particulares. Marcadores sociales
es un tipo de curaduría social. Los ejemplos incluyen Cogenz, Instagram, Pinterest y Reddit.
● Las redes sociales se utilizan para compartir contenido con contactos comerciales o personales. Ejemplos de
incluyen Facebook, Google+ y LinkedIn.
● El correo electrónico basado en web es un servicio de correo electrónico de Internet al que normalmente se accede a través de un navegador web.
Los ejemplos incluyen Gmail, Outlook.com y Yahoo! Correo.
● Los wikis permiten a los usuarios contribuir, colaborar y editar el contenido del sitio. Ejemplos incluyen
Socialtext y Wikipedia.
© 2021 Palo Alto Networks, Inc.
17
Página 18
Según una investigación de McKinsey & Company y la Association for Information and
Gestión de imágenes (AIIM), muchas organizaciones están reconociendo importantes beneficios de la
uso de aplicaciones y tecnologías Enterprise 2.0, incluida una mejor colaboración, aumento
intercambio de conocimientos y reducción de gastos (por ejemplo, para viajes, operaciones y
https://translate.googleusercontent.com/translate_f
14/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
comunicaciones). Por tanto, las infraestructuras empresariales (sistemas, aplicaciones y redes) son
convergiendo rápidamente con tecnologías y aplicaciones personales y Web 2.0, lo que hace que la definición de
donde comienza Internet y termina la infraestructura empresarial es prácticamente imposible. Esta
La convergencia está impulsada por varias tendencias importantes, que incluyen:
● Computación en la nube: la computación en la nube ahora es más omnipresente que nunca. De acuerdo con la
RightScale 2019 State of the Cloud Informe de Flexera, nube pública y privada
la adopción es ahora del 94 por ciento para empresas (más de 1000 empleados) y pymes (menos de
1000 empleados), y esas empresas ejecutan la mayoría de sus cargas de trabajo (alrededor de 79
por ciento) en la nube. Además, el 84 por ciento de las empresas y el 61 por ciento de las pymes tienen un
estrategia multicloud que aprovecha un promedio de casi cinco nubes públicas y / o privadas.
De manera similar, el informe RightScale del Enterprise Strategy Group encontró que el servidor de producción
Las cargas de trabajo se ejecutan cada vez más en una combinación de arquitecturas listas para la nube, incluidas las
máquinas (34 por ciento), contenedores (23 por ciento) y sin servidor (15 por ciento).
● Consumerización: el proceso de consumerización se produce cuando los usuarios finales encuentran cada vez más
tecnología personal y aplicaciones que son más poderosas o capaces, más convenientes, menos
costosas, más rápidas de instalar y más fáciles de usar que las soluciones de TI empresariales.
● Traiga su propio dispositivo (BYOD): una política muy relacionada con la consumerización está BYOD
Tendencia en la que las organizaciones permiten que los usuarios finales utilicen sus propios dispositivos personales, principalmente
teléfonos inteligentes y tabletas, para fines laborales. BYOD libera a las organizaciones de
el costo de proporcionar equipos a los empleados, pero crea un desafío de gestión
debido a la gran cantidad y tipo de dispositivos que deben ser compatibles.
● Traiga sus propias aplicaciones (BYOA): las aplicaciones Web 2.0 en dispositivos personales son cada vez más
utilizado para fines relacionados con el trabajo. Como límite entre el trabajo y la vida personal.
se vuelve menos distintivo, los usuarios finales prácticamente exigen que estas mismas aplicaciones sean
disponible para ellos en sus lugares de trabajo.
● Computación móvil: el apetito por el acceso rápido y bajo demanda a aplicaciones y datos de
en cualquier lugar, en cualquier momento, en cualquier dispositivo está creciendo. Hay aproximadamente más de 8
miles de millones de suscripciones móviles en todo el mundo y el tráfico de datos mensual total (incluido
audio, intercambio de archivos, redes sociales, carga y descarga de software, video, web
navegación y otras fuentes) es de unos 40 exabytes.
● Inalámbrico celular 5G: Cada nueva generación de conectividad inalámbrica ha impulsado a muchos
innovaciones, y el paso a la quinta generación de telefonía celular inalámbrica (5G) está muy por debajo
manera, con los operadores de redes móviles anunciando pruebas piloto de 5G y comercialización
planes a medida que amplían sus huellas geográficas. Las últimas aplicaciones 5G son para consumidores
impulsado, ayudar a los gobiernos a implementar 5G para implementaciones de ciudades inteligentes y brindar el servicio 5G
experiencia al público al cubrir sin problemas los principales eventos deportivos, entre otros. El
La promesa de conectividad inteligente impulsará la adopción masiva de Internet de las cosas.
(IoT) y podría transformar industrias. Ahora estamos describiendo la empresa de las cosas:
dispositivos industriales, sensores, redes y aplicaciones en red que conectan empresas. Como
Las empresas de hoy se someten a una transformación digital, buscarán redes 5G para
Impulsar la verdadera transformación de la Industria 4.0, aprovechando la automatización, la inteligencia artificial (IA),
© 2021 Palo Alto Networks, Inc.
18
Página 19
e IoT.
● Redes de entrega de contenido (CDN): las empresas están utilizando redes de entrega de contenido como
como redes Akamai, Amazon CloudFront y Limelight para distribuir sus productos web
y servicios a clientes en todo el mundo. El uso de CDN se volverá aún más prominente
a medida que la adopción de 5G continúa expandiéndose.
Términos clave
● La nube pública es un modelo de implementación de computación en la nube que consta de una infraestructura en la nube.
que está abierto al uso del público en general.
● La nube privada es un modelo de computación en la nube que consta de una infraestructura de nube que se utiliza
exclusivamente por una sola organización.
● Multicloud es un entorno (o estrategia) de nube empresarial que consta de dos o más
y / o nubes privadas.
● Una máquina virtual (VM) es una emulación de un sistema informático físico (hardware), que incluye
CPU, memoria, disco, sistema operativo e interfaces de red.
● Un contenedor es un paquete de código de software ligero, ejecutable y estandarizado que contiene
todos los componentes necesarios para ejecutar una determinada aplicación (o aplicaciones), incluido el código,
https://translate.googleusercontent.com/translate_f
15/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
tiempo de ejecución, herramientas y bibliotecas del sistema, y ​ajustes de configuración, en un entorno aislado y virtualizado
entorno para permitir la agilidad y portabilidad de las cargas de trabajo de la aplicación.
● Sin servidor generalmente se refiere a un modelo operativo en la computación en la nube en el que las aplicaciones
confiar en servicios administrados que abstraen la necesidad de administrar, parchear y proteger
infraestructura y máquinas virtuales. Las aplicaciones sin servidor se basan en una combinación de
ofertas de servicios en la nube y funciones como servicio (FaaS).
● La inteligencia artificial (IA) es la capacidad de un sistema o aplicación para interactuar y aprender
de su entorno, y para realizar automáticamente acciones en consecuencia, sin necesidad de
programación explícita.
● Una red de entrega de contenido (CDN) es una red de servidores distribuidos que distribuye en caché
páginas web y otro contenido estático a un usuario desde una ubicación geográfica más cercana físicamente
al usuario.
Web 3.0 transformará el panorama de la informática empresarial durante la próxima década y más allá.
Web 3.0, tal como se define en ExpertSystem.com, se caracteriza por cinco características principales:
● Web semántica: “La web semántica mejora las tecnologías web para generar, compartir
y conectarse a través de la búsqueda y el análisis basados ​en la capacidad de comprender el significado de
palabras, en lugar de palabras clave y números ".
● Inteligencia artificial: "Las computadoras pueden comprender la información como los humanos para
proporcionar resultados más rápidos y relevantes ".
● Gráficos 3D: el diseño 3D se "utiliza ampliamente en sitios web y servicios".
● Conectividad: “La información está más conectada gracias a los metadatos semánticos. Como resultado,
la experiencia del usuario evoluciona a otro nivel de conectividad que aprovecha todo lo disponible
información."
● Ubicuidad: " Varias aplicaciones pueden acceder al contenido, todos los dispositivos están conectados al
web, [y] los servicios se pueden utilizar en todas partes ".
© 2021 Palo Alto Networks, Inc.
19
Página 20
Términos clave
● Web 3.0 , como se define en ExpertSystem.com, se caracteriza por los siguientes cinco
características: web semántica, inteligencia artificial, gráficos 3D, conectividad y ubicuidad.
Para muchos, la visión de la Web 3.0 es devolver el poder de Internet a los usuarios individuales, en
de la misma manera que se concibió la Web 1.0 original. Hasta cierto punto, la Web 2.0 ha
ser moldeados y caracterizados, si no controlados, por gobiernos y grandes corporaciones
dictar el contenido que se pone a disposición de las personas y plantear muchas preocupaciones sobre
seguridad, privacidad y libertad individual. Tecnologías específicas que están evolucionando y comenzando a
que forman los cimientos de la Web 3.0 incluyen:
● La inteligencia artificial y el aprendizaje automático son dos tecnologías relacionadas que permiten a los sistemas comprender
y actuar sobre la información de la misma manera que un humano podría usarla. AI
adquiere y aplica conocimientos para encontrar la solución, decisión o curso de acción más óptimo
acción. El aprendizaje automático es un subconjunto de la IA que aplica algoritmos a grandes conjuntos de datos para
descubrir patrones comunes en los datos que luego se pueden utilizar para mejorar el rendimiento de
el sistema.
● Blockchain es esencialmente una estructura de datos que contiene registros transaccionales (almacenados como
bloques) que garantiza la seguridad y la transparencia a través de un vasto y descentralizado peer-to-peer
red sin una autoridad de control única. La criptomoneda , como Bitcoin, es una
ejemplo de una aplicación blockchain.
● La minería de datos permite descubrir patrones en grandes conjuntos de datos mediante el uso de máquinas.
aprendizaje, análisis estadístico y tecnologías de bases de datos.
● La realidad mixta incluye tecnologías como la realidad virtual (VR), la realidad aumentada (AR),
y realidad extendida (XR) que ofrecen un entorno físico y digital inmersivo e interactivo
experiencia sensorial en tiempo real.
● La búsqueda de lenguaje natural es la capacidad de comprender el lenguaje y el contexto hablados por humanos.
para encontrar información, a diferencia de una búsqueda booleana , por ejemplo.
https://translate.googleusercontent.com/translate_f
16/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Términos clave
● El aprendizaje automático es un subconjunto de la inteligencia artificial que aplica algoritmos a grandes conjuntos de datos para descubrir
patrones comunes en los datos que luego se pueden utilizar para mejorar el rendimiento del sistema.
● Blockchain es esencialmente una estructura de datos que contiene registros transaccionales (almacenados como bloques).
que garantiza la seguridad y la transparencia a través de una vasta red descentralizada peer-to-peer con
ninguna autoridad de control única. La criptomoneda es un instrumento financiero basado en Internet que
utiliza tecnología blockchain.
● La minería de datos permite descubrir patrones en grandes conjuntos de datos mediante el aprendizaje automático,
análisis estadístico y tecnologías de bases de datos.
● La realidad mixta (MR) incluye tecnologías como la realidad virtual (VR), la realidad aumentada
(AR) y realidad extendida (XR) que ofrecen un entorno físico y digital inmersivo e interactivo
experiencia sensorial en tiempo real. La realidad virtual es una experiencia simulada. Realidad aumentada
mejora un entorno del mundo real con objetos virtuales. La realidad extendida cubre ampliamente la
espectro de la realidad física a la virtual con varios grados de experiencias sensoriales parciales para
experiencias totalmente inmersivas.
© 2021 Palo Alto Networks, Inc.
20
Página 21
● La búsqueda de lenguaje natural es la capacidad de comprender el lenguaje hablado y el contexto humano para
buscar información, a diferencia de una búsqueda booleana, por ejemplo. Booleano se refiere a un sistema de
notación algebraica utilizada para representar proposiciones lógicas.
Las organizaciones a menudo no están seguras de los posibles beneficios comerciales y los riesgos inherentes de los nuevos
tendencias como Web 2.0 y Web 3.0, y por lo tanto:
● Permitir implícitamente tecnologías y aplicaciones personales simplemente ignorando su uso en el
lugar de trabajo, o
● Prohibir explícitamente su uso, pero luego no pueden hacer cumplir efectivamente dichas políticas con
firewalls tradicionales y tecnologías de seguridad
Independientemente de si las tecnologías y aplicaciones personales están implícitamente permitidas (e ignoradas) o
explícitamente prohibidos (pero no aplicados), los resultados adversos de políticas ineficaces incluyen:
● Pérdida de productividad porque los usuarios deben encontrar formas de integrar estos
tecnologías y aplicaciones (cuando estén permitidas) con la infraestructura empresarial o aplicaciones de uso
que no les son familiares o menos eficientes (cuando las tecnologías y aplicaciones personales son
prohibido)
● Posible interrupción de las operaciones comerciales críticas debido a operaciones subterráneas o
procesos de canal que se utilizan para realizar tareas específicas de flujo de trabajo o para eludir
controles, y son conocidos por solo unos pocos usuarios y dependen completamente de su uso de
tecnologías y aplicaciones personales
● Exposición a riesgos adicionales para la empresa debido a desconocidos y, por lo tanto, sin parches,
vulnerabilidades en tecnologías y aplicaciones personales, y un juego perpetuo de esperar y ver
entre empleados que eluden los controles (por ejemplo, con apoderados externos,
túneles cifrados y aplicaciones de escritorio remoto) y equipos de seguridad que gestionan estos
riesgos
● Se pueden imponer sanciones a las organizaciones por incumplimiento de las regulaciones de
grupos como el Reglamento General de Protección de Datos de la UE (GDPR), el Departamento de Salud de EE. UU.
Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) y la Industria de Tarjetas de Pago
Estándar de seguridad de datos (PCI DSS).
A medida que estas tendencias continúan desdibujando la distinción entre Internet y la red empresarial,
Surgen nuevos desafíos y riesgos de seguridad, que incluyen:
● Nuevos vectores de amenazas de aplicaciones
● Turbulencia en la nube
● Riesgos de la aplicación SaaS
Referencias
● “Informe sobre el estado de la nube de Flexera 2020”. https://www.flexera.com/2019-cloud-report.
● Cahill, Doug. "Aprovechamiento de DevSecOps para proteger las aplicaciones nativas de la nube". Empresa
https://translate.googleusercontent.com/translate_f
17/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Grupo de estrategia. 9 de diciembre de 2019.
https://www.esg-global.com/research/esg-master-survey-results-leveraging-devsecops-toaplicaciones nativas seguras en la nube .
© 2021 Palo Alto Networks, Inc.
21
Página 22
● "Informe de movilidad de Ericsson, noviembre de 2020". Ericsson. Noviembre de 2020.
https://www.ericsson.com/en/mobility-report/reports/november-2019.
● Sistema experto. 2020. “Las 5 características principales de Web 3.0”. Consultado el 30 de abril de 2020.
http://www.expertsystem.com/web-3-0/.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: el software de inteligencia empresarial (BI) consta de herramientas y técnicas utilizadas
para sacar a la superficie grandes cantidades de datos no estructurados sin procesar para realizar una variedad de tareas, que incluyen
minería de datos, procesamiento de eventos y análisis predictivo.
2. Verdadero o falso: el proceso en el que los usuarios finales encuentran tecnología personal y aplicaciones que
son más potentes o capaces, más convenientes, menos costosos, más rápidos de instalar y
Más fácil de usar que las soluciones de TI empresariales se conoce como consumerización .
3. ¿Qué acción está asociada con la Web 1.0?
A. consultar el sitio web de CNN en busca de noticias
B. publicar en Facebook
C. agregar información a Wikipedia
D. hacerle una pregunta a Siri de Apple
4. ¿Qué acción está asociada con Web 3.0?
A. consultar el sitio web de CNN en busca de noticias
B. publicar en Facebook
C. agregar información a Wikipedia
D. hacerle una pregunta a Siri de Apple
5. ¿A qué modelo de computación en la nube está asociado Gmail?
A. SaaS
B. PaaS
C. IaaS
D. DaaS
© 2021 Palo Alto Networks, Inc.
22
Página 23
1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados ​en puertos
https://translate.googleusercontent.com/translate_f
18/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La explotación de vulnerabilidades en las aplicaciones comerciales centrales ha sido durante mucho tiempo un ataque predominante
vector, pero los actores de amenazas están desarrollando constantemente nuevas tácticas, técnicas y procedimientos
(TTP). Equipos de seguridad empresarial que desean proteger eficazmente sus redes y la nube.
El entorno no solo debe gestionar los riesgos asociados con un conjunto conocido y relativamente limitado de
aplicaciones centrales, sino que también gestiona los riesgos asociados con un número cada vez mayor de
y aplicaciones basadas en la nube desconocidas. El modelo de consumo de aplicaciones basado en la nube ha
revolucionó la forma en que las organizaciones hacen negocios y aplicaciones como Microsoft Office 365
y Salesforce se están consumiendo y actualizando completamente en la nube.
Clasificación de aplicaciones como "buenas" (permitidas) o "malas" (bloqueadas) de forma clara y
de manera consistente también se ha vuelto cada vez más difícil. Muchas aplicaciones son claramente buenas
(bajo riesgo, alta recompensa) o claramente malo (alto riesgo, baja recompensa), pero la mayoría están en algún lugar
entre, dependiendo de cómo se esté utilizando la aplicación.
Por ejemplo, muchas organizaciones utilizan aplicaciones de redes sociales como Facebook para
funciones comerciales importantes como contratación, investigación y desarrollo, marketing y
defensa del consumidor. Sin embargo, estas mismas aplicaciones se pueden utilizar para filtrar información confidencial.
o causar daño a la imagen pública de una organización, ya sea de manera inadvertida o maliciosa.
Muchas aplicaciones están diseñadas para eludir los firewalls tradicionales basados ​en puertos para que puedan ser
Se instala y se accede fácilmente en cualquier dispositivo, en cualquier lugar y en cualquier momento, utilizando técnicas como:
● Salto de puerto , en el que los puertos y protocolos se cambian aleatoriamente durante una sesión.
● Usar puertos no estándar , como ejecutar Yahoo! Messenger a través del puerto TCP 80 (HTTP)
en lugar del puerto TCP estándar para Yahoo! Messenger (5050).
● Túnel dentro de los servicios de uso común , como cuando se comparten archivos de igual a igual (P2P)
o un cliente de mensajería instantánea (IM) como Meebo se ejecuta a través de HTTP.
● Ocultar dentro del cifrado SSL , que enmascara el tráfico de la aplicación, por ejemplo, sobre
Puerto TCP 443 (HTTPS). Más de la mitad de todo el tráfico web ahora está encriptado.
Muchas aplicaciones comerciales tradicionales cliente-servidor también se están rediseñando para uso web y
Emplee estas mismas técnicas para facilitar la operación y minimizar las interrupciones. Por ejemplo,
tanto la llamada a procedimiento remoto (RPC) como Microsoft SharePoint usan el salto de puerto porque es
crítico para cómo funciona el protocolo o la aplicación (respectivamente), más que como un medio para
evadir la detección o mejorar la accesibilidad.
Términos clave
● La llamada a procedimiento remoto (RPC) es un protocolo de comunicación entre procesos (IPC) que permite
una aplicación que se ejecutará en una computadora o red diferente, en lugar de la computadora local en
que está instalado.
© 2021 Palo Alto Networks, Inc.
23
Página 24
Las aplicaciones también pueden ser secuestradas y reutilizadas por actores malintencionados, como se hizo en el
2014 Ataque de Heartbleed. Según un artículo de Palo Alto Networks de abril de 2014:
▪ “[L] a historia del impacto de Heartbleed se ha centrado en el compromiso de HTTPSsitios web y aplicaciones web habilitados, como Yahoo !, Google, Dropbox, Facebook,
banca en línea y los miles de otros objetivos vulnerables en la web. Estos son de
enorme impacto, pero todos esos sitios se actualizarán rápidamente….
▪ “Para los profesionales de la seguridad, [el ataque Heartbleed inicial] es solo la punta del iceberg.
La vulnerabilidad pone las herramientas que antes estaban reservadas para amenazas verdaderamente avanzadas en manos de
el atacante promedio, en particular, la capacidad de violar organizaciones y moverse lateralmente
dentro de ellas. La mayoría de las empresas, incluso de tamaño moderado, no saben bien qué
servicios que están ejecutando internamente mediante cifrado SSL. Sin esta línea de base
conocimiento, es extremadamente difícil para los equipos de seguridad fortalecer su ataque interno
superficie contra las credenciales y las herramientas de robo de datos que Heartbleed habilita. Todos los puntos de apoyo
para el atacante con una red empresarial de repente tienen el mismo valor ".
https://translate.googleusercontent.com/translate_f
19/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A medida que las nuevas aplicaciones están cada vez más habilitadas para la web y basadas en navegador, HTTP y HTTPS ahora
representan aproximadamente dos tercios de todo el tráfico de red empresarial. Cortafuegos tradicionales basados ​en puertos y
otra infraestructura de seguridad no puede distinguir si estas aplicaciones, que se basan en HTTP y
HTTPS, se utilizan para fines comerciales legítimos.
Referencias
● Simkin, Scott. “Impacto de Heartbleed en el mundo real (CVE-2014-0160): la Web es solo el
Comienzo." Palo Alto Networks. Abril de 2014.
https://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve2014-0160-web-just-start.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué dos números de puerto están asociados con HTTP? (Escoge dos.)
A. 80
B. 389
C. 8080
D. 25
2. ¿Qué número de puerto está asociado con HTTPS?
A. 21
B. 23
C. 443
D. 53
3. ¿Qué puerto se utiliza para la comunicación cifrada?
A. 22
B. 80
C. 389
D. 25
© 2021 Palo Alto Networks, Inc.
24
Página 25
4. ¿Qué dos protocolos distinguen entre aplicaciones que utilizan números de puerto? (Escoge dos.)
A. TCP
B. ICMP
C. ESP
D. UDP
E. IPX
5. ¿Cómo evitan los atacantes que el software de monitoreo detecte los escaneos de puertos?
A. Escanee puertos tan rápido que haya terminado antes de que pueda ser detectado y detenido
B. escanear puertos tan lentamente que parece intentos aleatorios de conexión, en lugar de una concertada
ataque
C. escanear puertos desde un dispositivo interno
D. escanear puertos a través de WiFi en lugar de Ethernet
6. ¿Qué atributo potencialmente riesgoso es el más grave?
A. generalizado
B. malware
C. ancho de banda excesivo
D. túneles
7. ¿Cuál de estas aplicaciones se puede utilizar como túnel para otras aplicaciones?
A. Telnet
B. SMTP
C. HTTPS
D. SSH
8. ¿Qué dos dispositivos o sistemas requieren la configuración de puertos no estándar para poder
utilizar una aplicación en un puerto no estándar? (Escoge dos.)
A. cortafuegos
B. cliente
C. servidor
D. sistema operativo
E. certificado
https://translate.googleusercontent.com/translate_f
20/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube
Las tecnologías de computación en la nube permiten a las organizaciones hacer evolucionar sus centros de datos desde un hardwarearquitectura céntrica donde las aplicaciones se ejecutan en servidores dedicados a un dinámico y automatizado
entorno donde los grupos de recursos informáticos están disponibles bajo demanda, para respaldar
cargas de trabajo de aplicaciones a las que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo.
Sin embargo, muchas organizaciones se han visto obligadas a realizar compromisos importantes con respecto a sus
entornos de nube pública y privada, función comercial, visibilidad y seguridad para simplificar,
eficiencia y agilidad. Si una aplicación alojada en la nube no está disponible o no responde, la red
Los controles de seguridad, que con demasiada frecuencia introducen retrasos e interrupciones, por lo general están "simplificados".
fuera del diseño de la nube. Las compensaciones de seguridad en la nube a menudo incluyen:
● Sencillez o función
● Eficiencia o visibilidad
● Agilidad o seguridad
© 2021 Palo Alto Networks, Inc.
25
Página 26
Muchas de las características que hacen que la computación en la nube sea atractiva para las organizaciones también son contrarias a
mejores prácticas de seguridad de la red. Por ejemplo:
● La computación en la nube no mitiga los riesgos de seguridad de la red existentes: los riesgos de seguridad
que amenazan su red hoy en día no desaparecen cuando se cambia a la nube. El compartido
El modelo de responsabilidad define quién (cliente y / o proveedor) es responsable de qué
(relacionado con la seguridad) en la nube pública. En términos generales, el proveedor de la nube es responsable
para la seguridad de la nube, incluida la seguridad física de los centros de datos en la nube, y para
servicios de virtualización, computación, almacenamiento y redes fundamentales. La nube
el cliente es responsable de la seguridad en la nube, que está más delimitada por la nube
modelo de servicio. Por ejemplo, en un modelo de infraestructura como servicio (IaaS), la nube
El cliente es responsable de la seguridad de los sistemas operativos, middleware, tiempo de ejecución,
aplicaciones y datos. En un modelo de plataforma como servicio (PaaS), el cliente de la nube
responsable de la seguridad de las aplicaciones y los datos; el proveedor de la nube es responsable
para la seguridad de los sistemas operativos, middleware y tiempo de ejecución. En un modelo SaaS, el
El cliente de la nube es responsable solo de la seguridad de los datos, y el proveedor de la nube es
responsable de la pila completa, desde la seguridad física de los centros de datos en la nube hasta el
solicitud.
● La separación y la segmentación son fundamentales para la seguridad; la nube se basa en compartidos
recursos: las mejores prácticas de seguridad dictan que las aplicaciones y los datos de misión crítica sean
separados en segmentos seguros en la red, basados ​en principios de Confianza Cero. Confianza cero en
una red física es relativamente sencilla, utilizando firewalls y políticas basadas en
la aplicación y la identidad del usuario. En un entorno de nube, la comunicación directa entre
Las máquinas virtuales (VM) dentro de un host de servidor ocurren constantemente, en algunos casos, a través de
diversos niveles de confianza, lo que hace que la segmentación sea un desafío. Niveles mixtos de confianza,
combinado con una falta de visibilidad del tráfico dentro del host mediante la seguridad basada en puertos virtualizados
ofertas, pueden debilitar su postura de seguridad.
● Las implementaciones de seguridad están orientadas a procesos; Los entornos de computación en la nube son
dinámico: la creación o modificación de sus cargas de trabajo en la nube a menudo se puede realizar en
minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede tardar horas, días o semanas.
Los retrasos de seguridad no están diseñados para ser onerosos; son el resultado de un proceso que es
diseñado para mantener una postura de seguridad sólida. Los cambios de política deben ser aprobados, el
Es necesario identificar los cortafuegos apropiados, y las actualizaciones de políticas relevantes deben ser
determinado. Por el contrario, la nube es un entorno altamente dinámico, con cargas de trabajo
añadido, eliminado y cambiado rápida y constantemente. El resultado es una desconexión entre
políticas de seguridad y despliegues de cargas de trabajo en la nube, lo que conduce a una seguridad debilitada
postura. Por lo tanto, las tecnologías y los procesos de seguridad deben poder escalar automáticamente para tomar
ventaja de la elasticidad de la nube mientras se mantiene una sólida postura de seguridad.
● La infraestructura como código automatiza la capacidad de escalar rápidamente configuraciones seguras.
y configuraciones incorrectas: las organizaciones están adoptando rápidamente la infraestructura como código (IaC)
https://translate.googleusercontent.com/translate_f
21/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
mientras intentan automatizar más de sus procesos de construcción en la nube. IaC se ha convertido
popular porque permite una infraestructura inmutable, que es la capacidad de estandarizar y
congelar muchas partes de la infraestructura de la nube, por lo que los resultados son consistentes y predecibles cuando
ejecutando código cada vez. Por ejemplo, si sabe que todos los nodos de su nube tienen la
misma configuración de red virtual, sus posibilidades de tener una aplicación relacionada con la red
los problemas disminuyen significativamente. Y aunque IaC ofrece a los equipos de seguridad una
© 2021 Palo Alto Networks, Inc.
26
Página 27
forma de hacer cumplir los estándares de seguridad, esta poderosa capacidad permanece en gran parte sin aprovechar.
El desafío para las organizaciones es garantizar que las configuraciones de IaC sean consistentes
Se aplica en múltiples cuentas de nube pública, proveedores y desarrollo de software.
oleoductos.
● Los datos pueden ser consumidos rápida y fácilmente por aplicaciones y usuarios en la nube.
Sin embargo, las amenazas más sofisticadas y las nuevas regulaciones de privacidad han aumentado las apuestas en
seguridad de los datos en todas partes, incluso en la nube. La prevención de pérdida de datos (DLP) proporciona
visibilidad a través de toda la información sensible, en todas partes y en todo momento, lo que permite una fuerte
acciones de protección para salvaguardar los datos de amenazas y violaciones de las políticas corporativas. Pero
Las tecnologías DLP independientes heredadas no son eficientes para el mundo actual impulsado por la nube. El
La tecnología se basa en motores de núcleo antiguo específicamente para entornos locales y tiene
no ha cambiado significativamente en la última década. Los proveedores de DLP heredados se están adaptando a la nube
iniciativas simplemente extendiendo sus soluciones existentes a entornos de nube, que
crea una brecha en la visibilidad y la gestión y minimiza el control de políticas. Organizaciones
que han invertido una enorme cantidad de tiempo y dinero en crear una arquitectura DLP personalizada
para adaptarse a sus entornos de red ahora están luchando con la complejidad y la poca usabilidad como
intentan "agregar" sus aplicaciones, datos e instancias de nube pública en la nube. Los equipos de seguridad también
enfrentar el desafío de usar tecnologías DLP efectivas pero complejas mientras se equilibra el
trabajo constante que viene con ellos, desde el ajuste continuo de políticas hasta el incidente agotador
ciclos de triaje y decisiones de respuesta a incidentes. Estos equipos se están ahogando en demasiadas alertas
- la mayoría de los cuales resultan ser falsos positivos y, a menudo, también responden a un incidente de datos
tarde.
Términos clave
● La infraestructura como código (IaC) es un proceso de DevOps en el que los desarrolladores o los equipos de operaciones de TI
puede aprovisionar y administrar mediante programación la pila de infraestructura (como máquinas virtuales,
redes y conectividad) para una aplicación en software.
● DevOps es la cultura y la práctica de una colaboración mejorada entre el desarrollo de aplicaciones
y equipos de operaciones de TI.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Si es responsable de la seguridad de la aplicación, pero no del sistema operativo
seguridad, ¿qué modelo de servicio de computación en la nube está utilizando?
A. su propio centro de datos
B. IaaS
C. PaaS
D. SaaS
2. ¿Qué tipo de seguridad es siempre responsabilidad del cliente de la nube?
A. seguridad física
B. seguridad de la red
C. seguridad de la aplicación
D. seguridad de los datos
© 2021 Palo Alto Networks, Inc.
27
Página 28
https://translate.googleusercontent.com/translate_f
22/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
1.4 Identificar los riesgos de la aplicación SaaS
Los datos se encuentran en todas partes en las redes empresariales actuales, incluso en muchas ubicaciones que están
no bajo el control de la organización. Surgen nuevos desafíos de seguridad de datos para las organizaciones que
Permitir el uso de SaaS en sus redes.
Con las aplicaciones SaaS, los datos a menudo se almacenan donde reside la aplicación, en la nube. Por lo tanto, la
los datos ya no están bajo el control de la organización y la visibilidad a menudo se pierde. Los proveedores de SaaS hacen
hacen todo lo posible para proteger los datos en sus aplicaciones, pero en última instancia, no es su responsabilidad. Sólo
como en cualquier otra parte de la red, el equipo de TI es responsable de proteger y controlar la
datos, independientemente de su ubicación.
Debido a la naturaleza de las aplicaciones SaaS, su uso es difícil de controlar o tiene visibilidad.
en: después de que los datos abandonen el perímetro de la red. Esta falta de control presenta un importante
desafío de seguridad: los usuarios finales ahora actúan como su propio departamento de TI "en la sombra", con control
sobre las aplicaciones SaaS que usan y cómo las usan. Pero tienen poco o nada
comprensión de la exposición de datos inherente y los riesgos de inserción de amenazas de SaaS, que incluyen:
● Forasteros maliciosos: la fuente más común de violaciones de las redes en general es también
preocupación crítica por la seguridad de SaaS. La aplicación SaaS se convierte en un nuevo vector de amenazas y
punto de distribución de malware utilizado por adversarios externos. Algunos malware incluso
apuntar a las propias aplicaciones SaaS, por ejemplo, cambiando sus acciones a "públicas"
para que cualquiera pueda recuperar los datos.
● Exposición accidental de datos: los usuarios finales bien intencionados a menudo no están capacitados y desconocen
los riesgos que plantean sus acciones en entornos SaaS. Porque las aplicaciones SaaS están diseñadas
Para facilitar el intercambio fácil, los datos a menudo quedan expuestos involuntariamente. Datos accidentales
La exposición de los usuarios finales es sorprendentemente común e incluye:
▪ Compartir accidentalmente: un recurso compartido destinado a una persona en particular se envía accidentalmente al
persona o grupo equivocado. Las acciones accidentales son comunes cuando un nombre se completa automáticamente o se
mal escrito, lo que puede causar una dirección de correo electrónico antigua o un nombre, grupo o incluso una
usuario externo para tener acceso al recurso compartido.
▪ Compartir promiscuo: se crea un recurso compartido legítimo para un usuario, pero ese usuario luego comparte
con otras personas que no deberían tener acceso. Las acciones promiscuas a menudo resultan en
Los datos se comparten públicamente porque pueden ir mucho más allá del control del original.
dueño.
▪ Compartir fantasma (o obsoleto): un recurso compartido permanece activo para un empleado o proveedor que no
ya está trabajando con la empresa, o ya no debería tener acceso. Si no hay
visibilidad y control de las acciones, el seguimiento y la corrección de acciones para garantizar que
siguen siendo válidos es difícil.
● Personas internas malintencionadas: el riesgo menos común pero real de las aplicaciones SaaS es el usuario interno.
que comparte datos maliciosamente con fines de robo o venganza. Por ejemplo, un empleado que
está dejando la empresa puede establecer los permisos para compartir una carpeta en "público" o compartirla con
una dirección de correo electrónico externa para luego robar los datos de una ubicación remota.
© 2021 Palo Alto Networks, Inc.
28
Página 29
El empleado promedio usa al menos ocho aplicaciones, pero a medida que los empleados agregan y usan más SaaS
aplicaciones que se conectan a la red corporativa, el riesgo de que los datos confidenciales sean robados, expuestos o
aumentos comprometidos. Debe considerar la seguridad de las aplicaciones, a qué datos tienen acceso
y cómo los utilizan los empleados. A continuación, se muestran varias prácticas recomendadas para proteger los datos confidenciales.
en aplicaciones SaaS:
● Descubra el uso que hacen los empleados de las aplicaciones SaaS no aprobadas. Como adopción de SaaS rápidamente
se expande, el descubrimiento manual del uso de SaaS en la empresa se vuelve cada vez más insostenible.
En cambio, para identificar rápidamente el riesgo y ampliar los controles de seguridad adecuados, su organización
necesita una forma automatizada de descubrir continuamente todas las aplicaciones SaaS en uso por
empleados.
● Proteja los datos confidenciales en aplicaciones SaaS . Implemente capacidades avanzadas de DLP usando
https://translate.googleusercontent.com/translate_f
23/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
un enfoque basado en la interfaz de programación de aplicaciones (API) para buscar
información almacenada en aplicaciones SaaS. En comparación con en línea, un enfoque basado en API
proporciona un contexto más profundo y permite la corrección automática de violaciones de riesgo de datos.
● Asegure su eslabón más débil: los usuarios de SaaS . Empiece por la formación del usuario y el coaching interactivo
para identificar y ayudar a cambiar el comportamiento de riesgo. Luego, brinde a su equipo de seguridad herramientas para ayudar
ellos monitorean y gobiernan los permisos de las aplicaciones SaaS. Busque una solución con robustez
controles de acceso, que incluyen:
▪ Autenticación multifactor (MFA)
▪ Control de acceso basado en roles (RBAC)
▪ Protección para cuentas administrativas
▪ Monitoreo de acceso de usuarios que puede detectar comportamientos maliciosos o riesgosos.
● Hacer cumplir los requisitos de cumplimiento en la nube. Crear y hacer cumplir un
política de seguridad granular para el cumplimiento que cubre todas las aplicaciones SaaS utilizadas por su
organización. La aplicación de la política de seguridad debe incluir la automatización del cumplimiento y
informes para todos los requisitos normativos relevantes en todas sus aplicaciones SaaS.
● Reducir el riesgo de los dispositivos no administrados. Implemente un producto de seguridad que se diferencie
acceso entre dispositivos administrados y no administrados para proteger contra el aumento de seguridad
Riesgos inherentes a los dispositivos personales. Por ejemplo, puede permitir que las descargas se gestionen
dispositivos, pero bloquéelos para dispositivos no administrados al tiempo que permite el acceso a la funcionalidad principal.
● Controlar el intercambio de datos desde aplicaciones SaaS. Utilice un enfoque en línea para ganar visibilidad
en datos confidenciales que fluyen hacia aplicaciones no autorizadas de alto riesgo. Crear y hacer cumplir
Políticas de DLP que controlan las actividades de intercambio de datos en las aplicaciones SaaS que utilizan los empleados.
● Detenga las amenazas de malware transmitidas por SaaS. Implementar tecnología de prevención de amenazas que funcione
con su seguridad SaaS para bloquear el malware y evitar que las amenazas se propaguen a través de SaaS
aplicaciones, eliminando así un nuevo punto de inserción para malware.
Términos clave
● Una interfaz de programación de aplicaciones (API) es un conjunto de rutinas, protocolos y herramientas para
creación de aplicaciones e integraciones de software.
● La autenticación multifactor (MFA) se refiere a cualquier mecanismo de autenticación que requiera dos
o más de los siguientes factores: algo que sabe, algo que tiene, algo que
son.
● El control de acceso basado en roles (RBAC) es un método para implementar controles de acceso discrecionales
© 2021 Palo Alto Networks, Inc.
29
Página 30
en el que las decisiones de acceso se basan en la pertenencia al grupo, de acuerdo con la organización o
roles funcionales.
Referencias
● “Tendencias de SaaS 2019”. Dichosamente. 2019.https://blissfully.com/saas-trends/2019-annual/ .
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Dónde se almacenan normalmente sus datos en una aplicación SaaS?
A. en su centro de datos, en una base de datos bajo su control
B. en su centro de datos, en una base de datos controlada por el proveedor de SaaS
C. en la nube, en una base de datos que controlas
D. en la nube, en una base de datos controlada por el proveedor de SaaS
2. ¿Quién es responsable de la configuración de seguridad en una aplicación SaaS empresarial? (escoger
la mejor respuesta)
A. Proveedor de SaaS
B. Administrador de TI de la organización del cliente
C. usuario, normalmente un empleado de la organización del cliente.
D. Tanto los administradores como los usuarios de TI
3. ¿Cuándo es imposible proteger los datos SaaS?
A. cuando un usuario usa un dispositivo no administrado para acceder a una instancia de SaaS no autorizada
B. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS no autorizada
https://translate.googleusercontent.com/translate_f
24/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
C. cuando un usuario usa un dispositivo no administrado para acceder a una instancia de SaaS autorizada
D. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS autorizada
1.5 Reconocer las leyes y regulaciones de ciberseguridad
Un número cada vez mayor de organizaciones internacionales, multinacionales, federales, regionales, estatales y
Las leyes y regulaciones locales exigen numerosos requisitos de ciberseguridad y protección de datos para
empresas y organizaciones en todo el mundo. Varias directivas de la industria, como la tarjeta de pago
Estándar de seguridad de datos de la industria (PCI DSS), también establece sus propios estándares de ciberseguridad y
mejores prácticas para empresas y organizaciones que operan bajo su ámbito.
Este complejo entorno regulatorio se complica aún más por el hecho de que muchas leyes y
las regulaciones son obsoletas, ambiguas, no respaldadas de manera uniforme por las comunidades internacionales,
y / o inconsistente (con otras leyes y regulaciones aplicables), lo que requiere
interpretación para determinar la relevancia, intención y / o precedencia. Como resultado, las empresas y
las organizaciones de todas las industrias luchan por lograr y mantener el cumplimiento.
© 2021 Palo Alto Networks, Inc.
30
Página 31
Debe comprender que el cumplimiento y la seguridad no son lo mismo. Una organización puede
Cumplir plenamente con las diversas leyes y regulaciones de seguridad cibernética que son aplicables para ese
organización, pero aún no está segura. Por el contrario, una organización puede ser segura pero no estar completamente
obediente. Como para subrayar este punto, las funciones de cumplimiento y seguridad en muchos
las organizaciones están separadas.
Ejemplos pertinentes (ni completos ni exhaustivos) de las leyes actuales de seguridad cibernética y
las regulaciones incluyen:
● Principios de privacidad de Australia: la Ley de privacidad de 1988 establece estándares para recopilar
y el manejo de información personal, lo que se conoce como los Principios de Privacidad de Australia (APP).
● Ley de privacidad del consumidor de California (CCPA): estos derechos de privacidad y protección del consumidor
El estatuto para los residentes de California se promulgó en 2018 y entró en vigencia el 1 de enero de
2020.
● Ley de protección de la información personal y documentos electrónicos de Canadá (PIPEDA):
PIPEDA define los derechos individuales con respecto a la privacidad de su información personal
y rige la forma en que las organizaciones del sector privado recopilan, utilizan y divulgan
información en el curso del negocio.
● Directiva de seguridad de la información y las redes de la UE (NIS): una directiva de la UE que impone
requisitos de seguridad de la red y la información para bancos, empresas de energía, atención médica
proveedores y proveedores de servicios digitales, entre otros.
● Reglamento general de protección de datos (RGPD) de la Unión Europea (UE): el RGPD
se aplica a cualquier organización que haga negocios con residentes de la UE. Fortalece los datos
protección para los residentes de la UE y aborda la exportación de datos personales fuera de la UE.
● Infraestructura crítica de North American Electric Reliability Corporation (NERC)
Protección (CIP): NERC CIP define los estándares de ciberseguridad para proteger el entorno físico y
activos cibernéticos necesarios para operar el sistema eléctrico a granel (BES) - la red eléctrica - en el
Estados Unidos y Canadá. Los estándares son obligatorios para todas las instalaciones generadoras de BES.
con diferentes criterios basados ​en un sistema de clasificación por niveles (alto, medio o bajo
impacto).
● Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): PCI DSS se aplica a cualquier
organización que transmite, procesa o almacena tarjetas de pago (como débito y crédito
tarjetas) información. PCI DSS es un mandato y está administrado por los estándares de seguridad de PCI.
Council (SSC) compuesto por Visa, MasterCard, American Express, Discover y JCB.
● Ley de mejora de la seguridad cibernética de EE. UU. De 2014: esta ley proporciona una
asociación público-privada para mejorar la ciberseguridad y fortalecer la ciberseguridad
investigación y desarrollo, desarrollo y educación de la fuerza laboral, y conciencia pública
y preparación.
https://translate.googleusercontent.com/translate_f
25/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Ley de intercambio de información sobre ciberseguridad de EE. UU. (CISA): esta ley mejora la información
compartir sobre amenazas a la seguridad cibernética al permitir que se comparta información sobre el tráfico de Internet
entre el gobierno de EE. UU. y las empresas de tecnología y fabricación.
● Ley de notificación de violación de datos de intercambio federal de EE. UU. De 2015: esta ley más
fortalece la HIPAA al exigir que los intercambios de seguros médicos notifiquen a las personas cuyas
la información personal se ha visto comprometida como resultado de una violación de datos tan pronto como
posible, pero a más tardar 60 días después del descubrimiento de la infracción.
© 2021 Palo Alto Networks, Inc.
31
Página 32
● Ley Federal de Modernización de la Seguridad de la Información de EE. UU. (FISMA): conocida como Ley Federal
Ley de Gestión de Seguridad de la Información antes de 2014, FISMA implementa una
Marco integral para proteger los sistemas de información utilizados en el gobierno federal.
agencias.
● Ley Gramm-Leach-Bliley de EE. UU. (GLBA): también conocida como Servicios financieros
Ley de Modernización de 1999, las disposiciones relevantes de GLBA incluyen la Privacidad Financiera
Regla y la Regla de salvaguardas, que requieren que las instituciones financieras implementen la privacidad
y políticas de seguridad de la información para salvaguardar la información personal no pública de
clientes y consumidores.
● Ley de Responsabilidad y Portabilidad de Seguros de Salud de EE. UU. (HIPAA): La HIPAA
La Regla de Privacidad establece estándares nacionales para proteger los registros médicos y
otra información de salud personal. Requiere salvaguardias adecuadas para proteger la salud.
información (PHI) y se aplica a las entidades cubiertas y sus socios comerciales.
● Ley Nacional de Promoción de la Protección de la Ciberseguridad de EE. UU. De 2015: esta ley enmienda
la Ley de Seguridad Nacional de 2002 para mejorar el intercambio de información relacionada con
la seguridad cibernética pone en riesgo y refuerza la protección de la privacidad y las libertades civiles.
● Ley Sarbanes-Oxley (SOX) de EE. UU.: Esta ley se promulgó para restaurar la confianza del público
tras varios escándalos contables corporativos de alto perfil, más notablemente Enron y
Worldcom. SOX aumenta la gobernanza financiera y la responsabilidad en las empresas que cotizan en bolsa
compañías. La Sección 404 de SOX aborda específicamente los controles internos, incluidos
requisitos para salvaguardar la confidencialidad, integridad y disponibilidad de los sistemas de TI.
Términos clave
● La HIPAA define la información médica protegida (PHI) como información sobre la
estado de salud, prestación de atención médica o pago por atención médica que incluya identificadores como
como nombres, identificadores geográficos (más pequeños que un estado), fechas, números de teléfono y fax, correo electrónico
direcciones, números de seguro social, números de historia clínica y fotografías.
● La HIPAA define una entidad cubierta como un proveedor de atención médica que transmite electrónicamente
FI. Estas entidades incluyen médicos, clínicas, psicólogos, dentistas, quiroprácticos, enfermería.
hogares, farmacias, un plan de salud (como una compañía de seguros de salud, mantenimiento de la salud
organización, plan de salud de la empresa o programa gubernamental, incluidos Medicare, Medicaid,
atención médica para militares y veteranos), o una cámara de compensación de atención médica.
● Una amenaza de día cero es la ventana de vulnerabilidad que existe desde el momento en que una nueva (desconocida)
La amenaza se libera hasta que los proveedores de seguridad publiquen un archivo de firma o un parche de seguridad para la amenaza.
● La información de identificación personal (PII) está definida por el Instituto Nacional de
Estándares y tecnología (NIST) como "cualquier información sobre un individuo mantenida por un
agencia, incluida (1) cualquier información que pueda utilizarse para distinguir o rastrear la
identidad ... y (2) cualquier otra información que esté vinculada o vinculable a un individuo ... "
Los ejemplos de PII incluyen:
▪ Nombre (como nombre completo, apellido de soltera, apellido de soltera de la madre o alias)
▪ Número de identificación personal (como número de seguro social, número de pasaporte,
número de licencia y número de cuenta financiera o número de tarjeta de crédito)
▪ Información de dirección (como dirección postal o dirección de correo electrónico)
▪ Números de teléfono (como números móviles, comerciales y personales)
▪ Características personales (como fotografías, radiografías, huellas dactilares y datos biométricos)
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
32
26/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 33
▪ Información sobre la propiedad de propiedad personal (como el número de registro del vehículo y el título
información)
▪ Información que está vinculada o que se puede vincular a cualquiera de los ejemplos de PII anteriores (como fecha de nacimiento,
lugar de nacimiento y religión, y registros laborales, médicos, educativos y financieros)
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso . Una organización puede cumplir con todas las medidas de seguridad y
las regulaciones de privacidad para su industria aún no son seguras.
2. ¿Qué tres campos de datos se consideran información de identificación personal (PII)? (Seleccione
Tres)
A. número de identificación único (como el número de licencia de conducir)
B. honorífico (Sr., Sra., Dr., etc.)
C. número de teléfono
D. presión arterial (cuando no está conectada a otros campos)
E. huellas dactilares
3. ¿Qué riesgo se elimina en una organización que cumple al 100%?
A. hacer pública la información confidencial
B. tener una amenaza persistente avanzada que cambie su información
C. hacer que el regulador lo castigue por no cumplir
D. hacer que personas internas malintencionadas roben información
1.6 Ejemplos de ciberataques de alto perfil
Cada día se cometen miles de ciberataques contra las redes empresariales. Desafortunadamente,
muchos más de estos ataques tienen éxito de lo que normalmente se informa en los medios de comunicación. Para
organizaciones que son víctimas de tales ataques, el daño financiero y de reputación puede ser
devastador. Algunas infracciones pasadas de alto perfil que continúan sirviendo como ejemplos de advertencia, muchos
años después incluyen:
● Target: a finales de 2013, Target descubrió que los datos de tarjetas de crédito y de débito de 40
millones de sus clientes, y la información personal de otros 70 millones de sus
clientes, habían sido sustraídos durante un período de aproximadamente 19 días, desde el 27 de noviembre hasta
15 de diciembre de 2013. Los atacantes pudieron infiltrarse en el punto de venta (POS) de Target
sistemas mediante la instalación de malware (que se cree que es una variante de la botnet financiera ZeuS) en un
Sistemas informáticos del contratista HVAC (calefacción, ventilación y aire acondicionado) para
recolectar credenciales para un portal en línea utilizado por los proveedores de Target. 2016 anual de Target
El informe reveló que el costo total de la infracción fue de 292 millones de dólares.
● Home Depot: en septiembre de 2014, Home Depot sufrió una filtración de datos que pasó desapercibida.
durante unos cinco meses. Al igual que con la filtración de datos de Target (consulte el ejemplo de ataque anterior),
los atacantes utilizaron las credenciales de un proveedor y explotaron una amenaza de día cero , basada en un
Vulnerabilidad de Windows, para acceder a la red de Home Depot. Raspado de memoria
Luego, se instaló malware en más de 7500 terminales POS de autoservicio para recopilar 56
millones de números de tarjetas de crédito de clientes en los Estados Unidos y Canadá. Casa
El informe anual de Depot de 2016 reveló que el costo total de la infracción fue de 298 millones de dólares estadounidenses.
© 2021 Palo Alto Networks, Inc.
33
Página 34
● Anthem: en febrero de 2015, Anthem reveló que se habían violado sus servidores y que la PII
incluidos nombres, números de seguro social, fechas de nacimiento, direcciones e información sobre ingresos
por cerca de 80 millones de clientes habían sido robados. La infracción se produjo el 10 de diciembre de
2014, cuando los atacantes comprometieron una base de datos de Anthem mediante el uso de una base de datos
credenciales de administrador. La violación no se encontró hasta el 27 de enero de 2015, cuando el
El administrador de la base de datos descubrió que se estaba ejecutando una consulta cuestionable con sus credenciales.
● Oficina de Gestión de Personal de EE. UU. (OPM): se han descubierto dos filtraciones de datos independientes
en abril de 2015 y junio de 2015 resultó en el compromiso de la información personal, incluyendo
nombres, números de seguro social, fechas de nacimiento y otra información confidencial de aproximadamente 24
https://translate.googleusercontent.com/translate_f
27/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
millones de empleados federales actuales y potenciales (junto con sus cónyuges y socios).
Se cree que las infracciones se han relacionado con la infracción de datos de Anthem (consulte el artículo de Anthem
ejemplo) y puede haberse originado en China ya en marzo de 2014. Según algunas estimaciones,
el costo total de la infracción podría superar los mil millones de dólares durante la próxima década.
● Yahoo !: Mientras estaba en negociaciones para venderse a Verizon en septiembre de 2016, Yahoo!
anunció que había sido víctima de una violación de datos en 2014, probablemente por un
actor." El ataque comprometió los nombres, direcciones de correo electrónico, fechas de nacimiento y teléfono.
cifras de unos 500 millones de usuarios. Yahoo! dijo la gran mayoría de las contraseñas
involucrado había sido hash utilizando el algoritmo bcrypt robusto. Como resultado directo de la
incumplimiento, Yahoo! redujo su precio de venta a Verizon en 350 millones de dólares.
● Equifax: en julio de 2017, Equifax descubrió una filtración de datos que había aprovechado una
vulnerabilidad de seguridad (Apache Struts CVE-2017-5638, publicado el 10 de marzo de 2017). Desde
De mediados de mayo a julio de 2017, los ciberdelincuentes comprometieron varios datos personales de
casi 148 millones de consumidores estadounidenses, incluidos los datos de pasaportes y licencias de conducir, y
Números de seguro social. El costo total de la infracción a fines de 2017 fue de US $ 439
millón.
Varios ejemplos más recientes de ataques e infracciones incluyen:
● Under Armour: en marzo de 2018, Under Armour informó que la información personal de
aproximadamente 150 millones de usuarios de su aplicación de alimentación y nutrición MyFitnessPal habían sido
comprometidos. La violación incluyó nombres de usuario, direcciones de correo electrónico y contraseñas con hash, pero
no incluyó información de pago, que se recopila y procesa por separado.
● Marriott: en noviembre de 2018, Marriott informó sobre una filtración de datos que podría involucrar al
información de tarjetas de crédito, números de pasaporte y otros datos personales de hasta 500 millones
huéspedes de hoteles de más de 6.700 propiedades en sus marcas de hoteles Starwood (Aloft, Element,
Four Points, Le Méridien, The Luxury Collection, St. Regis, Sheraton, W Hotels y
Westin) durante un período de cuatro años desde 2014 a 2018. La naturaleza sensible de la
los datos incluían direcciones postales, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, género,
fechas de reserva y fechas / horas de llegada y salida, e introduce una amplia gama de
posibles actividades delictivas más allá del fraude con tarjetas de crédito y el robo de identidad.
● Quest Diagnostics: en mayo de 2019, uno de sus encargados de facturación notificó a Quest Diagnostics
proveedores de servicios de cobranza, American Medical Collection Agency (AMCA), que un
un usuario no autorizado había accedido potencialmente a más de 12 millones de registros de pacientes, incluidos
registros de pacientes individuales, datos financieros, números de seguro social y otros
información.
© 2021 Palo Alto Networks, Inc.
34
Página 35
● Ciudad de Baltimore: la ciudad estadounidense de Baltimore, Maryland, fue afectada por un ataque de ransomware.
en mayo de 2019, exigiendo el pago de $ 72,000 en bitcoins. Aunque la ciudad apropiadamente
se negó a pagar el rescate, presupuestó $ 18.2 millones para reparar el daño asociado
con el ataque. Baltimore es solo un ejemplo: 82 ciudades y municipios de EE. UU. Se vieron afectados
por ataques de ransomware en 2019.
● Capital One: en julio de 2019, Capital One anunció una filtración de datos que afectó a más de 100
millones de clientes individuales en los Estados Unidos y Canadá, lo que resultó de una
individuo explotando una vulnerabilidad de configuración. Aunque la brecha no
comprometer los números de tarjetas de crédito o las credenciales de inicio de sesión de la cuenta, expuso la PII y otros
información confidencial, incluidos nombres, direcciones, números de teléfono, direcciones de correo electrónico, fechas
de nacimiento, algunos números de seguro social, ingresos autoinformados, puntajes de crédito, límites de crédito
y saldos, historial de pagos y datos de transacciones.
● Gekko Group: en noviembre de 2019, Gekko Group, una subsidiaria de Accor, con sede en Francia
Hoteles, sufrió una violación de datos en una base de datos que contiene más de 1 terabyte de datos. El
incumplimiento potencialmente expuso la información del cliente de las marcas del Grupo Gekko (600.000
hoteles en todo el mundo), sus clientes y sitios web y plataformas externos conectados (como
Booking.com), incluida la PII, las reservas de hotel y transporte, y la información de la tarjeta de crédito.
● Escuelas de EE. UU .: Los ataques de ransomware se dirigieron a 72 distritos escolares de EE. UU. Desde el 1 de enero hasta
1 de diciembre de 2019, impactando a 867 escuelas y más de 10,000 estudiantes.
Las lecciones importantes que se pueden aprender de estos ataques incluyen:
https://translate.googleusercontent.com/translate_f
28/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Un ciberataque “bajo y lento” puede pasar desapercibido durante semanas, meses o incluso años.
● Un atacante no necesita necesariamente ejecutar un exploit sofisticado contra un
sistema para infiltrarse en una organización objetivo. A menudo, un atacante apuntará a un sistema auxiliar
u otro punto final vulnerable, luego gire el ataque hacia el objetivo principal.
● Las vulnerabilidades sin parchear son un vector de ataque comúnmente explotado.
● Los costos financieros directos e indirectos de una infracción pueden ser devastadores tanto para el objetivo
organización y personas cuya información personal y financiera es robada o
comprometidos.
Referencias
● Mayes, Michael. "Las 10 mejores historias de ransomware de 2019". Revista CPO. 27 de diciembre
2019. https://www.cpomagazine.com/cyber-security/top-10-ransomware-stories-of2019 / .
© 2021 Palo Alto Networks, Inc.
35
Página 36
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué significa CVE?
A. Vulnerabilidades informáticas y sus vulnerabilidades
B. Vulnerabilidades y exposiciones informáticas
C. Vulnerabilidades comunes y sus hazañas
D. Vulnerabilidades y exposiciones comunes
2. ¿Cuál es la diferencia entre CVE y CVSS?
A. CVE le dice cuáles son las vulnerabilidades. CVSS otorga a las vulnerabilidades una puntuación (010) para evaluar su gravedad.
B. CVE está en una escala de bajo, medio, alto, crítico. CVSS está en una escala de 0 a 100.
C. CVSS le dice cuáles son las vulnerabilidades. CVE otorga a las vulnerabilidades una puntuación (010) para evaluar su gravedad.
D. CVE está en una escala de 0 a 100. CVSS está en una escala de 0 a 10.
1.7 Identificar los perfiles y las motivaciones de los atacantes
En la guerra cibernética moderna, debe comprender las fortalezas, debilidades, estrategias y
tácticas de su adversario, incluidos sus medios y motivaciones.
Términos clave
● El término pirata informático se usó originalmente para referirse a cualquier persona con informática altamente especializada.
habilidades, sin connotar buenos o malos propósitos. Sin embargo, el mal uso común del término ha
redefinió a un pirata informático como alguien que elude la seguridad informática con intenciones maliciosas, como
como ciberdelincuente, ciberterrorista o hacktivista, pirata y / o sombrero negro.
● Un niño con guiones es alguien con habilidades limitadas de piratería o programación que utiliza
programas (malware) escritos por otros para atacar una computadora o red.
Los ciberataques modernos son perpetrados por adversarios mucho más sofisticados y peligrosos,
motivado por propósitos mucho más siniestros:
● Ciberdelincuentes: los ciberdelincuentes cometen delitos actuando de forma independiente o como parte de un
organización criminal para cometer actos de robo de datos, malversación, fraude y / o extorsión
https://translate.googleusercontent.com/translate_f
29/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
para obtener beneficios económicos. Según la Corporación RAND, "En ciertos aspectos, el negro
el mercado [del delito cibernético] puede ser más rentable que el tráfico ilegal de drogas ”, y para muchos
Según estimaciones, el ciberdelito es ahora una industria rentable.
● Grupos afiliados al estado: estas organizaciones están patrocinadas o afiliadas a países
estados y tienen los recursos para lanzar ataques muy sofisticados y persistentes, han
gran profundidad técnica y enfoque, y están bien financiados. A menudo tienen militares y / o
objetivos estratégicos como la capacidad de desactivar o destruir la infraestructura crítica,
incluyendo redes eléctricas, suministros de agua, sistemas de transporte, respuesta a emergencias y
sistemas médicos e industriales. Informes del Centro de Estudios Estratégicos e Internacionales
que "A nivel de estado-nación, Rusia, Irán y Corea del Norte están utilizando métodos coercitivos
ciberataques para aumentar su esfera de influencia, mientras que China, Rusia e Irán han
© 2021 Palo Alto Networks, Inc.
36
Página 37
llevó a cabo un reconocimiento de las redes críticas para el funcionamiento de la red eléctrica de EE. UU. y
otra infraestructura crítica sin penalización ".
● Hacktivistas: los grupos hacktivistas (como Anonymous) están motivados por motivos políticos o sociales.
Causa y normalmente ejecuta ataques de denegación de servicio (DoS) contra una organización objetivo.
desfigurando sus sitios web o inundando sus redes con tráfico.
● Ciberterroristas: las organizaciones terroristas utilizan Internet para reclutar, capacitar, instruir y
comunicarse y difundir el miedo y el pánico para promover sus ideologías. a diferencia de otros
actores de amenazas, los ciberterroristas son en gran medida indiscriminados en sus ataques, y su
Los objetivos incluyen daño físico, muerte y destrucción.
Los actores de amenazas externas incluyen el crimen organizado, grupos afiliados al estado, activistas, ex
empleados y otros atacantes no afiliados o desconocidos y representan la mayoría
de violaciones de datos.
Referencias
● Lillian Ablon, Martin Libicki y Andrea Golay. “Mercados de herramientas y
Datos robados ". Corporación RAND, División de Investigación de Seguridad Nacional. 2014.
https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_R
R610.pdf.
● Zheng, Denise E. "Global Forecast 2016: Disrupting the Cyber ​Status Quo". Centro para
Estudios estratégicos e internacionales. 16 de noviembre de 2015.
https://www.csis.org/analysis/disrupting-cyber-status-quo.
● “Informe de investigaciones de filtración de datos de 2019”. Soluciones empresariales de Verizon. 2019.
https://www.enterprise.verizon.com/resources/reports/dbir/.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso. Los actores de amenazas externas han representado la mayoría de las filtraciones de datos
En los últimos cinco años.
2. ¿Qué grupo es probable que ataque indiscriminadamente, si usted es un objetivo valioso o
¿no?
A. hacktivistas
B. ciberdelincuentes
C. ciberterroristas
D. grupos afiliados al estado
3. ¿Qué grupo está principalmente motivado por el dinero?
A. hacktivistas
B. ciberdelincuentes
C. ciberterroristas
D. grupos afiliados al estado
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
37
30/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 38
1.8 Describir el ciclo de vida moderno de los ciberataques
La estrategia moderna de ciberataque ha evolucionado a partir de un ataque directo contra un servidor o activo de alto valor.
("Shock and awe") a un paciente proceso de varios pasos que combina exploits, malware, sigilo y
evasión en un ataque de red coordinado (“bajo y lento”).
El ciclo de vida del ciberataque (consulte la Figura 1-1) ilustra la secuencia de eventos que atraviesa un atacante
para infiltrarse en una red y exfiltrar (o robar) datos valiosos. Bloqueo de un solo paso
rompe la cadena y puede defender eficazmente la red y los datos de una organización contra un ataque.
Figura 1-1: El ciclo de vida del ciberataque
1. Reconocimiento: al igual que los delincuentes comunes, los atacantes planifican meticulosamente sus ciberataques.
Investigan, identifican y seleccionan objetivos, a menudo extrayendo información pública de
perfiles de redes sociales de empleados específicos o de sitios web corporativos, que pueden ser útiles
para esquemas de ingeniería social y phishing. Los atacantes también buscarán redes
vulnerabilidades, servicios y aplicaciones que pueden explotar mediante el uso de herramientas como:
● Analizadores de red (también conocidos como analizadores de paquetes, analizadores de protocolos o
rastreadores) se utilizan para monitorear y capturar el tráfico de red sin procesar (paquetes). Ejemplos de
incluyen tcpdump y Wireshark (anteriormente Ethereal).
● Los escáneres de vulnerabilidades de red suelen constar de un conjunto de herramientas que incluyen
crackers de contraseñas, escáneres de puertos y escáneres de vulnerabilidades y se utilizan para probar un
red en busca de vulnerabilidades (incluidos errores de configuración) que puedan explotarse.
Los ejemplos incluyen Nessus y SAINT.
● Los crackers de contraseñas se utilizan para realizar ataques de diccionario de fuerza bruta contra
hashes de contraseña. Los ejemplos incluyen John the Ripper y THC Hydra.
● Los escáneres de puertos se utilizan para sondear puertos TCP o UDP abiertos (incluido ICMP) en un
punto final. Los ejemplos incluyen Nmap ("mapeador de red") y Nessus.
● Los escáneres de vulnerabilidades de aplicaciones web se utilizan para escanear aplicaciones web en busca de
vulnerabilidades tales como secuencias de comandos entre sitios, inyección SQL y cruce de directorios.
Los ejemplos incluyen Burp Suite y OWASP Zed Attack Proxy (ZAP).
● Los escáneres de vulnerabilidades de Wi-Fi se utilizan para escanear redes inalámbricas en busca de vulnerabilidades.
(incluidos los puntos de acceso abiertos y mal configurados) para capturar el tráfico de la red inalámbrica
y descifrar contraseñas inalámbricas. Los ejemplos incluyen Aircrack-ng y Wifite.
© 2021 Palo Alto Networks, Inc.
38
Página 39
Romper el ciclo de vida de un ciberataque en esta fase de un ataque comienza con un proceso proactivo y
formación eficaz de concienciación sobre la seguridad del usuario final que se centra en temas como las redes sociales
técnicas de ingeniería (por ejemplo, suplantación de identidad (phishing), transporte a cuestas y navegación lateral), redes sociales
medios de comunicación (por ejemplo, cuestiones de seguridad y privacidad) y políticas de seguridad de la organización (para
ejemplo, requisitos de contraseña, acceso remoto y seguridad física). Otro importante
La contramedida es el monitoreo e inspección continuos de los flujos de tráfico de la red para detectar
https://translate.googleusercontent.com/translate_f
31/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
y evitar exploraciones de puertos y vulnerabilidades no autorizadas, exploraciones de host y otros
actividad. Los procesos efectivos de gestión de cambios y configuración ayudan a garantizar que
Las aplicaciones y los puntos finales recién implementados están configurados correctamente (por ejemplo,
desactivando puertos y servicios innecesarios) y mantenido.
2. Armamento: a continuación, los atacantes determinan qué métodos utilizar para comprometer un objetivo.
punto final. Pueden optar por incrustar código intruso en archivos aparentemente inocuos como
como un documento PDF o Microsoft Word o un mensaje de correo electrónico. O, para ataques altamente dirigidos,
Los atacantes pueden personalizar los entregables para que coincidan con los intereses específicos de un individuo.
dentro de la organización objetivo.
Romper el ciclo de vida del ciberataque en esta fase de un ataque es un desafío porque
El armamentismo ocurre típicamente dentro de la red del atacante. Sin embargo, el análisis de
Los artefactos (tanto malware como armamentistas) pueden proporcionar información importante sobre amenazas a
habilite la protección efectiva de día cero cuando se intente la entrega (el siguiente paso).
3. Entrega: siguiente intento de los atacantes de entregar su carga útil armada a un punto final objetivo,
por ejemplo, por correo electrónico, mensajería instantánea (IM), descarga automática (la web de un usuario final
El navegador se redirige a una página web que descarga automáticamente malware en el endpoint.
en segundo plano) o archivos compartidos infectados.
Romper el ciclo de vida del ciberataque en esta fase de un ataque requiere visibilidad de todos
tráfico de red (incluidos dispositivos móviles y remotos) para bloquear de manera efectiva
sitios web, aplicaciones y direcciones IP de riesgo, y evitando conocidos y desconocidos
malware y exploits.
4. Explotación: después de que una carga útil armada se entrega a un punto final objetivo, debe
motivado. Un usuario final puede activar involuntariamente un exploit, por ejemplo, al hacer clic en un
enlace malicioso o abrir un archivo adjunto infectado en un correo electrónico, o un atacante puede
desencadenar un exploit contra una vulnerabilidad conocida del servidor en la red de destino.
Romper el ciclo de vida del ciberataque en esta fase de un ataque, como durante el Reconocimiento
fase, comienza con una formación proactiva y eficaz de concienciación sobre la seguridad del usuario final que
se centra en temas como la prevención de malware y la seguridad del correo electrónico. Otra seguridad importante
las contramedidas incluyen la gestión de vulnerabilidades y parches; detección de malware y
prevención; inteligencia de amenazas (incluidas amenazas conocidas y desconocidas); bloqueo arriesgado,
aplicaciones y servicios no autorizados o innecesarios; administrar archivo o directorio
permisos y privilegios de administrador o root; y red de registro y monitoreo
actividad.
© 2021 Palo Alto Networks, Inc.
39
Página 40
5. Instalación: a continuación, un atacante escalará los privilegios en el punto final comprometido, por
por ejemplo, estableciendo acceso remoto a shell e instalando rootkits u otro malware.
Con acceso remoto al shell, el atacante tiene el control del punto final y puede ejecutar
comandos en modo privilegiado desde una interfaz de línea de comandos (CLI) como si estuviera sentado físicamente
delante del punto final. El atacante luego se moverá lateralmente a través de la red del objetivo,
ejecutar código de ataque, identificar otros objetivos de oportunidad y comprometer
puntos finales adicionales para establecer la persistencia.
La forma de romper el ciclo de vida del ciberataque en esta fase de un ataque es limitar o restringir
el movimiento lateral de los atacantes dentro de la red. Utilice la segmentación de la red y un cero
Modelo de confianza que monitorea e inspecciona todo el tráfico entre zonas o segmentos, y granular
control de las aplicaciones permitidas en la red.
6. Mando y control: los atacantes establecen canales de comunicación encriptados a
servidores de comando y control (C2) en Internet para que puedan modificar su ataque
Los objetivos y métodos como objetivos adicionales de oportunidad se identifican dentro de la víctima.
red, o para evadir cualquier nueva contramedida de seguridad que la organización pueda intentar
https://translate.googleusercontent.com/translate_f
32/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
desplegar
si se descubren
ataque.
La comunicación
es esencial para un ataque.
porque
permite
al atacanteartefactos
dirigir el de
ataque
de forma
remota y ejecutarlo
objetivos. Por lo tanto, el tráfico C2 debe ser resistente y sigiloso para que un ataque tenga éxito.
El tráfico de comunicaciones de ataque suele estar oculto con diversas técnicas y herramientas.
incluso:
● Cifrado con SSL, SSH (Secure Shell) o algún otro personalizado o patentado
cifrado
● Elusión mediante proxies, herramientas de acceso remoto o tunelización. En algunos casos, utilice
de las redes celulares permite la elusión completa de la red objetivo para el ataque
Tráfico C2.
● Evasión de puertos utilizando anonimizadores de red o salto de puerto para atravesar cualquier
puertos abiertos disponibles
● Fast Flux (o DNS dinámico) para proxy a través de múltiples puntos finales infectados o
múltiples servidores C2 en constante cambio para redirigir el tráfico y determinar la
verdadero destino o fuente de ataque difícil
● La tunelización de DNS se utiliza para comunicaciones C2 e infiltración de datos (por ejemplo,
enviar código malicioso, comandos o archivos binarios a una víctima) y exfiltración de datos.
Romper el ciclo de vida del ciberataque en esta fase de un ataque requiere una inspección de todos
tráfico de red (incluidas las comunicaciones cifradas), bloqueo de C2 saliente
comunicaciones con firmas anti-C2 (junto con cargas de patrones de datos y archivos),
bloquear todas las comunicaciones salientes a URL y direcciones IP maliciosas conocidas,
bloqueo de nuevas técnicas de ataque que emplean métodos de evasión de puertos, prevención del uso
de anonimizadores y proxies en la red, monitoreando DNS en busca de dominios maliciosos y
contrarrestar con el sumidero de DNS o el envenenamiento de DNS, y redirigir los mensajes de salida maliciosos
comunicaciones a honeypots para identificar o bloquear puntos finales comprometidos y analizar
© 2021 Palo Alto Networks, Inc.
40
Página 41
Atacar el tráfico.
7. Acciones sobre el objetivo: los atacantes suelen tener varios objetivos de ataque diferentes.
incluido el robo de datos; destrucción o modificación de sistemas, redes y datos críticos;
y denegación de servicio (DoS). Esta última etapa del ciclo de vida del ciberataque también se puede utilizar
por un atacante para avanzar en las primeras etapas del ciclo de vida del ciberataque contra otro
objetivo. El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2018 describe este
estrategia como un motivo secundario en el que “[las aplicaciones web] están comprometidas para ayudar y
cómplice en el ataque de otra víctima ". Por ejemplo, un atacante puede comprometer un
extranet de la empresa para violar a un socio comercial que es el objetivo principal. El atacante
pivota el ataque contra la red de víctimas inicial a una red de víctimas diferente, por lo tanto
convirtiendo a la víctima inicial en cómplice involuntario.
Referencias
● “Informe de investigaciones sobre filtraciones de datos de 2018, undécima edición. Soluciones empresariales de Verizon.
2018. https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: El ciclo de vida del ciberataque es un proceso de siete pasos.
2. Verdadero o falso: un atacante debe tener éxito en ejecutar solo un paso del
ciclo de vida del ciberataque para infiltrarse en una red, mientras que un defensor debe
tiempo ”y romper cada paso de la cadena para evitar un ataque.
3. Verdadero o falso : la clave para romper el ciclo de vida del ciberataque durante la instalación
La fase es implementar la segmentación de la red, un modelo de confianza cero y control granular.
de aplicaciones para limitar o restringir el movimiento lateral de un atacante dentro de la red.
4. ¿Qué etapa del ciclo de vida del ciberataque se puede identificar mediante análisis de puertos desde
¿fuentes?
A. Reconocimiento
https://translate.googleusercontent.com/translate_f
33/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. Armamento y entrega
C. Explotación
D. Instalación
5. ¿Qué etapa del ciclo de vida del ciberataque implica consultar bases de datos públicas y
probando exploits en la red interna del atacante?
A. Reconocimiento
B. Armamento y entrega
C. Explotación
© 2021 Palo Alto Networks, Inc.
41
Página 42
6. ¿Qué paso implica hacer que el malware se ejecute en el interior del objetivo?
¿organización?
A. Armamento y entrega
B. Explotación e instalación
C. Mando y control
D. Acciones sobre el objetivo
7. ¿En qué etapa del ciclo de vida del ciberataque identificaría una comunicación inusual?
entre una base de datos interna que no debería acceder a Internet y un servidor externo?
A. Explotación
B. Instalación
C. Mando y control
D. Acciones sobre el objetivo
1.9 Clasificar tipos de malware
El malware es software o código malicioso que normalmente toma el control, recopila información de,
o daña un endpoint infectado. El malware incluye ampliamente:
● Virus: un virus es un software malicioso que se replica automáticamente, pero que primero debe infectar un programa host y
ser ejecutado por un usuario o proceso.
● Gusanos: un gusano es un software malicioso que suele atacar una red informática al replicarse.
para extenderse rápidamente. A diferencia de los virus, los gusanos no necesitan infectar otros programas y no
debe ser ejecutado por un usuario o proceso.
● Caballos de Troya: un caballo de Troya es malware que se disfraza de programa inofensivo pero
en realidad le da al atacante control total y privilegios elevados de un punto final cuando
instalado. A diferencia de otros tipos de malware, los troyanos normalmente no se replican automáticamente.
● Ransomware: el ransomware es malware que bloquea una computadora o dispositivo (Locker
ransomware) o cifra los datos (Crypto ransomware) en un endpoint infectado con un
clave de cifrado que solo el atacante conoce, lo que hace que los datos sean inutilizables hasta que
la víctima paga un rescate (generalmente criptomonedas, como Bitcoin). Reveton y LockeR son
dos ejemplos de ransomware Locker. Locky, TeslaCrypt / EccKrypt, Cryptolocker y
Cryptowall son ejemplos de ransomware Crypto.
● Anti-AV: Anti-AV es malware que desactiva el software antivirus instalado legítimamente en
el punto final comprometido, evitando así la detección automática y eliminación de otros
malware.
● Bombas lógicas: una bomba lógica es un malware que se activa por una condición específica, como
una fecha determinada o una cuenta de usuario en particular que se deshabilita.
● Puertas traseras: una puerta trasera es software malicioso que permite a un atacante eludir la autenticación para
obtener acceso a un sistema comprometido.
● Root kits: un root kit es malware que proporciona acceso privilegiado (nivel de raíz) a una computadora.
Los kits raíz se instalan en el BIOS de una máquina, lo que significa nivel de sistema operativo
las herramientas de seguridad no pueden detectarlos.
● Kits de inicio: un kit de inicio es malware que es una variante en modo kernel de un kit raíz, comúnmente
https://translate.googleusercontent.com/translate_f
34/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
utilizado para atacar equipos que están protegidos por cifrado de disco completo.
© 2021 Palo Alto Networks, Inc.
42
Página 43
● Software espía y software publicitario: el software espía y el software publicitario son tipos de software malicioso que recopilan información,
como el comportamiento de navegación en Internet, las credenciales de inicio de sesión y la información de la cuenta financiera en
un punto final infectado. El software espía cambia a menudo la configuración del navegador y de otros programas, y
ralentiza la velocidad de la computadora y de Internet en un punto final infectado. El adware es un software espía que
muestra anuncios molestos en un endpoint infectado, a menudo como pancartas emergentes.
El malware temprano generalmente consistía en virus que mostraban errores molestos pero relativamente benignos,
mensajes o gráficos.
El primer virus informático fue Elk Cloner, escrito en 1982 por un estudiante de noveno grado de secundaria.
cerca de Pittsburgh, Pensilvania. Elk Cloner era un virus del sector de arranque relativamente benigno que
mostró un poema en la quincuagésima vez que se insertó un disquete infectado en un Apple II
computadora.
El primer virus de PC fue un virus del sector de arranque, escrito en 1986, llamado Brain. El cerebro también estaba relativamente
benigno y muestra un mensaje con la información de contacto real de los creadores del virus.
Brain fue escrito por dos hermanos paquistaníes que crearon el virus para poder rastrear la piratería.
de su software médico.
Términos clave
● Un virus del sector de arranque se dirige al sector de arranque o al registro de arranque maestro (MBR) de un endpoint
unidad de almacenamiento u otro medio de almacenamiento extraíble.
● Un sector de arranque contiene código de máquina que se carga en la memoria de un endpoint por firmware.
durante el proceso de inicio, antes de que se cargue el sistema operativo.
● Un registro de arranque maestro (MBR) contiene información sobre cómo las particiones lógicas (o el archivo
sistemas) están organizados en los medios de almacenamiento y un cargador de arranque ejecutable que inicia el
sistema operativo instalado.
● Un disquete es un medio de almacenamiento magnético extraíble que se usa comúnmente desde mediados de la década de 1970.
hasta aproximadamente 2007, cuando fue reemplazado en gran medida por discos compactos y almacenamiento USB extraíble
dispositivos. Los disquetes normalmente estaban disponibles en tamaños de 8 pulgadas, 5¼ pulgadas y 3½ pulgadas con
capacidades desde 90 kilobytes hasta 200 megabytes.
Uno de los primeros gusanos informáticos que ganó una gran notoriedad fue el gusano Morris, escrito por un
El estudiante de posgrado de Harvard y la Universidad de Cornell, Robert Tappan Morris, en 1988. El gusano
explotó contraseñas débiles y vulnerabilidades conocidas en varios programas Unix y propagó
rápidamente a través de Internet (el gusano infectó hasta un 10 por ciento estimado de todos los sistemas Unix
máquinas conectadas a Internet en ese momento, o alrededor de 6,000 computadoras), a veces infectando un
computadora en numerosas ocasiones hasta el punto de que se volvió inútil, un ejemplo de un DoS temprano
ataque. La Oficina de Responsabilidad del Gobierno de EE. UU. (GAO) estimó el daño causado por la
Gusano Morris entre US $ 100.000 y US $ 10 millones.
© 2021 Palo Alto Networks, Inc.
43
Página 44
Desafortunadamente, más de 35 años desde estos primeros ejemplos de malware, el malware moderno ha
evolucionado y se utiliza para propósitos mucho más siniestros. Entre los ejemplos de malware moderno se incluyen:
● WannaCry: en un período de solo 24 horas en mayo de 2017, el ataque de ransomware WannaCry
https://translate.googleusercontent.com/translate_f
35/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
infectó más
de 230,000
computadoras
Windows vulnerables
endescubrimiento
más de 150 países
Mundial.
Aunque
el ataque
se detuvo rápidamente
después del
de un "interruptor automático",
el daño económico total se estima entre cientos de millones de dólares estadounidenses hasta
hasta US $ 4 mil millones, a pesar de que los perpetradores cobraron solo 327 pagos de rescate
por un total de unos 130.000 dólares EE.UU.
● HenBox: HenBox generalmente se hace pasar por aplicaciones legítimas del sistema Android y VPN,
ya veces suelta e instala versiones legítimas de otras aplicaciones como señuelo. El primario
El objetivo de las aplicaciones HenBox parece ser espiar a quienes las instalan. Usando rasgos
similar a aplicaciones legítimas, por ejemplo, iconografía de imitación y nombres de aplicaciones o paquetes,
HenBox atrae a las víctimas para que descarguen e instalen aplicaciones maliciosas de terceros,
tiendas de aplicaciones que no pertenecen a Google Play y que a menudo tienen menos procedimientos de seguridad y
aplicaciones que alojan. Como ocurre con otros programas maliciosos de Android, algunas aplicaciones también pueden
disponible en foros o sitios para compartir archivos, o incluso puede enviarse a las víctimas como correo electrónico
archivos adjuntos.
● TeleRAT: Telegram Bots son cuentas especiales que no requieren un teléfono adicional.
número para configurar y generalmente se utilizan para enriquecer los chats de Telegram con contenido de
servicios externos o para recibir notificaciones y noticias personalizadas. TeleRAT abusa de Telegram
Bot API para C2 y exfiltración de datos.
● Rarog: Rarog es un troyano de minería de criptomonedas que se ha vendido en varios
foros clandestinos desde junio de 2017 y ha sido utilizado por innumerables delincuentes desde entonces.
Rarog se ha utilizado principalmente para extraer la criptomoneda Monero. Sin embargo, puede minar
otros. Viene equipado con varias funciones, que incluyen proporcionar estadísticas de minería para
usuarios, configurando varias cargas de procesador para el minero en ejecución, la capacidad de infectar USB
dispositivos y la capacidad de cargar bibliotecas de enlaces dinámicos (DLL) adicionales en la víctima
dispositivo. Rarog proporciona una forma asequible para que los nuevos delincuentes obtengan acceso mediante este
tipo particular de malware. Otros ejemplos de mineros de criptomonedas incluyen Coinhive,
JSE-Coin, Crypto-Loot y CoinImp.
Términos clave
● Una biblioteca de vínculos dinámicos (DLL) es un tipo de archivo que se usa en los sistemas operativos de Microsoft que
permite que múltiples programas compartan simultáneamente instrucciones de programación contenidas en un
archivo único para realizar funciones específicas.
El malware moderno suele ser sigiloso y evasivo, y ahora desempeña un papel central en un proceso coordinado.
ataque contra un objetivo.
El malware avanzado aprovecha las redes para ganar potencia y resistencia, y se puede actualizar, simplemente
como cualquier otra aplicación de software, para que un atacante pueda cambiar de rumbo y profundizar en el
red o realizar cambios y adoptar contramedidas.
© 2021 Palo Alto Networks, Inc.
44
Página 45
Este malware avanzado es un cambio fundamental en comparación con los tipos anteriores de malware, que
generalmente eran agentes independientes que simplemente se infectaban y se replicaban. Avanzado
El malware se ha convertido cada vez más en una aplicación en red y coordinada de forma centralizada. En mucho el
de la misma manera que Internet cambió lo que era posible en la informática personal, ubicua
el acceso a la red está cambiando lo que es posible en el mundo del malware. Ahora todo el malware del
mismo tipo pueden trabajar juntos hacia un objetivo común, con cada endpoint infectado expandiendo el
ataque de apoyo y aumentando el daño potencial a la organización.
Las características y capacidades importantes del malware avanzado incluyen:
● Arquitectura distribuida y tolerante a fallas: el malware avanzado aprovecha al máximo las
resiliencia integrada en la propia Internet. El malware avanzado puede tener múltiples controles
servidores distribuidos por todo el mundo con múltiples opciones de respaldo, y también pueden aprovechar
otros puntos finales infectados como canales de comunicación, proporcionando así un número casi infinito
de rutas de comunicación para adaptarse a las condiciones cambiantes o actualizar el código según sea necesario.
● Multifuncionalidad: las actualizaciones de los servidores C2 también pueden cambiar completamente
funcionalidad de malware avanzado. Esta capacidad multifuncional permite a un atacante
https://translate.googleusercontent.com/translate_f
36/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
utilizar varios puntos finales estratégicamente para realizar tareas específicas deseadas, como robar
números de tarjetas de crédito, envío de correo no deseado que contenga otras cargas útiles de malware (como software espía),
o instalar ransomware con el propósito de extorsión.
● Polimorfismo y metamorfismo: algunos programas maliciosos avanzados tienen secciones completas de
código que no tiene otro propósito que cambiar la firma del malware, por lo tanto
producir una cantidad infinita de hashes de firmas únicas incluso para el malware más pequeño
programas. Se utilizan técnicas como el polimorfismo y el metamorfismo para evitar
detección mediante herramientas y software anti-malware tradicionales basados ​en firmas. Por ejemplo, un
el cambio de un solo carácter o parte del archivo o código fuente cambia completamente el
firma hash del malware.
● Ofuscación: el malware avanzado suele utilizar técnicas de ofuscación comunes para ocultar
ciertas cadenas binarias que se utilizan de forma característica en el malware y, por lo tanto, se pueden
detectado por firmas anti-malware, o para ocultar un programa de malware completo.
Términos clave
● El polimorfismo altera parte del código de malware con cada iteración, como la clave de cifrado.
o rutina de descifrado, pero la carga útil del malware permanece sin cambios.
● El metamorfismo utiliza técnicas más avanzadas que el polimorfismo para alterar el código de malware con
cada iteración. Aunque la carga útil del malware cambia con cada iteración (por ejemplo, por
usando una estructura o secuencia de código diferente o insertando código innecesario para cambiar el archivo
size), el comportamiento fundamental de la carga útil del malware permanece sin cambios.
● Una firma hash es una representación criptográfica de un archivo completo o del código fuente de un programa.
● La ofuscación es una técnica de programación utilizada para hacer que el código sea ilegible. Puede ser
implementado mediante el uso de un cifrado de sustitución simple, como una operación exclusiva o (XOR), en
que la salida es verdadera solo cuando las entradas son diferentes (por ejemplo, VERDADERO y VERDADERO
es igual a FALSO, pero VERDADERO y FALSO es igual a VERDADERO), o usando más sofisticados
algoritmos de cifrado, como el estándar de cifrado avanzado (AES). Un empacador también puede ser
utilizado para comprimir un programa de malware para su entrega y luego descomprimirlo en la memoria en
tiempo de ejecución.
© 2021 Palo Alto Networks, Inc.
45
Página 46
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué dos tipos de malware se replican automáticamente? (Escoge dos.)
A. bomba lógica
B. puerta trasera
C. virus
D. caballo de Troya
E. gusano
2. ¿Cuáles son los dos tipos de malware que probablemente dejará un empleado descontento? (Escoger
dos.)
A. bomba lógica
B. puerta trasera
C. virus
D. caballo de Troya
E. gusano
3. ¿Qué tres tipos de malware requieren canales de comunicación externos? (Elige tres.)
A. rootkit
B. puerta trasera
C. ransomware
D. software espía
E. adware
F. bomba lógica
4. ¿Cuál es el término para un programa de acceso remoto no autorizado?
F. bomba lógica
https://translate.googleusercontent.com/translate_f
37/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
G. puerta trasera
H. virus
Caballo de Troya
1.10 Enumere las diferencias entre vulnerabilidades y exploits
Un exploit es un tipo de malware que se aprovecha de una vulnerabilidad en el endpoint instalado o
software de servidor, como un navegador web, Adobe Flash, Java o Microsoft Office. Un atacante
crea un exploit que tiene como objetivo una vulnerabilidad de software, lo que hace que el software realice funciones
o ejecutar código en nombre del atacante.
Las vulnerabilidades se descubren rutinariamente en el software a un ritmo alarmante. Pueden existir vulnerabilidades
en el software cuando el software se desarrolla y se lanza inicialmente, o las vulnerabilidades pueden ser
creado inadvertidamente, o incluso reintroducido, cuando las actualizaciones de versiones posteriores o la seguridad
los parches están instalados.
© 2021 Palo Alto Networks, Inc.
46
Página 47
Los proveedores de software desarrollan los parches de seguridad lo más rápido posible después de una vulnerabilidad.
ha sido descubierto en su software. Sin embargo, un atacante puede descubrir una vulnerabilidad y
comenzar a explotarlo antes de que el proveedor de software se dé cuenta de la vulnerabilidad o tenga una oportunidad
desarrollar un parche. Este retraso entre el descubrimiento de una vulnerabilidad y el desarrollo y
La publicación de un parche se conoce como amenaza de día cero (o exploit). Pueden pasar meses o años antes de que
La vulnerabilidad se anuncia públicamente. Una vez que un parche de seguridad está disponible, el tiempo inevitablemente es
necesario para que las organizaciones prueben e implementen correctamente el parche en todos los sistemas afectados. Durante
esta vez, un sistema que ejecuta el software vulnerable corre el riesgo de ser explotado por un atacante
(vea la Figura 1-2).
Figura 1-2: Las vulnerabilidades pueden explotarse desde el momento en que se implementa el software hasta que se
parcheado.
Los exploits se pueden incrustar en archivos de datos aparentemente inocuos (como Microsoft Word
documentos, archivos PDF y páginas web) o pueden apuntar a servicios de red vulnerables. Exploits
son particularmente peligrosos porque a menudo están empaquetados en archivos legítimos que no activan
software anti-malware (o antivirus) y, por lo tanto, no se detectan fácilmente.
La creación de un archivo de datos de explotación es un proceso de dos pasos. El primer paso es incrustar una pequeña pieza de
código malicioso dentro del archivo de datos. Sin embargo, el atacante aún debe engañar a la aplicación para que
ejecutando el código malicioso. Por lo tanto, la segunda parte del exploit generalmente involucra memoria
técnicas de corrupción que permiten insertar el código del atacante en el flujo de ejecución del
software vulnerable. Después de que eso suceda, una aplicación legítima, como un visor de documentos o
navegador web, realizará acciones en nombre del atacante, como establecer comunicación
y proporcionar la capacidad de cargar malware adicional en el punto final de destino. Porque el
La aplicación que se explota es una aplicación legítima, un antivirus tradicional basado en firmas y
El software de lista de permitidos prácticamente no tiene eficacia contra estos ataques.
Aunque hay muchos miles de exploits, todos se basan en un pequeño conjunto de técnicas básicas.
que cambian con poca frecuencia. Por ejemplo, un heap spray es un intento de insertar el código del atacante.
en múltiples ubicaciones dentro del montón de memoria con la esperanza de que una de esas ubicaciones sea
llamado por el proceso y ejecutado. Por lo general, se deben utilizar de tres a cinco técnicas básicas para
explotar una aplicación. Independientemente del ataque o su complejidad, para que el ataque tenga éxito
el atacante debe ejecutar una serie de estas técnicas centrales de explotación en secuencia, como navegar por un
laberinto para alcanzar su objetivo (ver Figura 1-3).
Términos clave
● Heap spray es una técnica que se utiliza para facilitar la ejecución de código arbitrario mediante la inyección de una determinada
secuencia de bytes en la memoria de un proceso de destino.
https://translate.googleusercontent.com/translate_f
38/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
47
Página 48
Figura 1-3: Los exploits se basan en una serie de técnicas de ataque básicas para tener éxito.
Referencias
● "Informe de amenazas a la seguridad en Internet, volumen 23". Symantec. 2018.
https://www.symantec.com/security-center/threat-report.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas
en el Apéndice A.
1. ¿Qué afirmación es correcta?
R. Un investigador de seguridad podría escribir una vulnerabilidad para demostrar un exploit.
B. Un investigador de seguridad podría escribir un exploit para demostrar una vulnerabilidad.
C. Los exploits a menudo son el resultado de programadores mal entrenados.
D. Los exploits siempre son responsabilidad del proveedor.
2. ¿Qué tipo de vulnerabilidad utiliza un exploit de día cero?
A. uno que aún no ha sido descubierto por nadie
B. uno que no ha sido revelado al proveedor (o publicado)
C. uno que el proveedor conoce, pero que no ha lanzado un parche para
D. uno que tiene un parche, pero el parche aún no se ha instalado en todas partes
© 2021 Palo Alto Networks, Inc.
48
Página 49
3. ¿Qué intervalo de tiempo describe una "ventana de vulnerabilidad"?
https://translate.googleusercontent.com/translate_f
39/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A. entre el momento en que se descubre una vulnerabilidad y el momento en que se publica un parche
B. entre el momento en que se publica un parche y el momento en que se instala en su sistema
C. entre el momento en que se descubre una vulnerabilidad y el momento en que se instala el parche en
tu sistema
D. entre el momento en que se descubre una vulnerabilidad y el momento en que se revela al proveedor
1.11 Categorizar los ataques de spam y phishing
Los correos electrónicos no deseados y de suplantación de identidad (phishing) son los métodos de entrega más comunes para el malware. El volumen de
El correo electrónico no deseado como porcentaje del tráfico de correo electrónico global total varía mucho de un mes a otro.
típicamente del 45 al 75 por ciento. Aunque la mayoría de los usuarios finales de hoy pueden identificar fácilmente el spam
correos electrónicos y son más inteligentes para no hacer clic en enlaces, abrir archivos adjuntos o responder a correos electrónicos no deseados,
El spam sigue siendo un vector de infección popular y eficaz para la propagación de malware.
Los ataques de phishing, a diferencia del spam, son cada vez más sofisticados y difíciles de identificar.
Spear phishing es una campaña de phishing dirigida que les parece más creíble a sus víctimas al
recopilar información específica sobre el objetivo y, por lo tanto, tiene una mayor probabilidad de éxito. A
El correo electrónico de spear phishing puede suplantar a una organización (como una institución financiera) o un individuo que
el destinatario realmente sabe y hace negocios con, y puede contener información muy específica
(como el nombre del destinatario, en lugar de solo una dirección de correo electrónico). Según Symantec's
Informe de 2018 sobre amenazas a la seguridad en Internet , “Los correos electrónicos de suplantación de identidad (spear-phishing) surgieron como los
utilizó un vector de infección, empleado por el 71 por ciento de los [140 grupos de ataques dirigidos conocidos] ".
La caza de ballenas es un tipo de ataque de spear phishing que está dirigido específicamente a altos ejecutivos o
otros objetivos de alto perfil dentro de una organización. Un correo electrónico de caza de ballenas generalmente pretende ser un
citación, queja del cliente u otro asunto serio.
Los ataques de spear phishing y phishing en general no siempre se realizan por correo electrónico. Un enlace lo es todo
que se requiere, como un enlace en Facebook o en un tablero de mensajes, o una URL abreviada en
Gorjeo. Estos métodos son particularmente efectivos en ataques de spear phishing porque permiten
atacante para recopilar mucha información sobre los objetivos y luego atraerlos a través de enlaces peligrosos
en un lugar donde los usuarios se sientan cómodos.
Los ataques de abrevadero comprometen los sitios web que probablemente sean visitados por una víctima objetivo, por
Por ejemplo, un sitio web de una compañía de seguros que los proveedores de atención médica pueden visitar con frecuencia.
El sitio web comprometido normalmente infectará a los visitantes desprevenidos con malware (conocido como
"Descarga directa"). Los ataques de abrevadero son el segundo vector de infección más popular para
grupos de ataque dirigidos, según Symantec.
Un ataque de pharming redirige el tráfico de un sitio web legítimo a un sitio falso, normalmente modificando un
archivo de hosts locales del endpoint o comprometiendo un servidor DNS ("envenenamiento de DNS").
© 2021 Palo Alto Networks, Inc.
49
Página 50
Términos clave
● Spear phishing es un ataque de phishing altamente dirigido que utiliza información específica sobre el
target para que el intento de phishing parezca legítimo.
● La caza de ballenas es un tipo de ataque de spear phishing que está dirigido específicamente a altos ejecutivos o
otros objetivos de alto perfil dentro de una organización.
● Los ataques de abrevadero comprometen los sitios web que probablemente sean visitados por una víctima objetivo para
entregar malware a través de una descarga automática . Una descarga drive-by es una descarga de software,
típicamente malware, que ocurre sin el conocimiento o permiso del usuario.
● Pharming es un tipo de ataque que redirige el tráfico de un sitio web legítimo a un sitio falso.
Referencias
● "Informe de amenazas a la seguridad en Internet, volumen 23". Symantec. 2018.
https://translate.googleusercontent.com/translate_f
40/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
https://www.symantec.com/security-center/threat-report.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas
en el Apéndice A.
1. ¿Qué tipo de ataque incluiría un anuncio por correo electrónico de un servicio de tintorería?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
2. ¿Qué tipo de ataque incluiría un correo electrónico con un archivo adjunto not-a-trojan.exe?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
3. ¿Qué tipo de ataque incluiría un correo electrónico con su nombre que dice ser de
su banco y le dice que haga clic en el enlace https://chase.bankofamerica.mysite.ru.?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
4. Su CFO recibe un correo electrónico con su nombre que dice ser el banco de la empresa y
le dice que haga clic en el enlace https: //chase.bankofamerica.mysite.ru. ¿Qué tipo de ataque es?
¿esta?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
© 2021 Palo Alto Networks, Inc.
50
Página 51
1.12 Ingeniería social
El término "ingeniería social" significa el uso de diversas técnicas de manipulación para causar
error para acceder a un sistema.
El tipo más común de ataque de ingeniería social es el phishing. El hacker envía un correo electrónico que
parece provenir de una fuente legítima. Este correo electrónico puede incluir un enlace a un sitio que solicita al usuario
credenciales, un archivo adjunto que instala malware en la computadora del usuario, etc.
ejemplos:
● En abril de 2013, la cuenta de Twitter de Associated Press (AP) se vio comprometida y
publicó tweets que claramente eran falsos. Un empleado hizo clic en un enlace a una página que
solicitó los datos de inicio de sesión de la cuenta de Twitter de AP e inició sesión.
● En 2013, Target perdió los datos de los clientes. A finales de 2015, la empresa anunció una pérdida de
$ 162 millones debido a esta violación de datos, que sucedió porque Target proporcionó un HVAC
proveedor de acceso remoto a su red interna. Un empleado de ese proveedor abrió una
adjunto, que instaló malware que permitió al pirata informático ingresar a ese
red y hacerse cargo de algunos dispositivos de punto de venta (POS).
● En 2016 se publicaron correos electrónicos pertenecientes al Comité Nacional Demócrata (DNC).
El hacker envió un correo electrónico, supuestamente de Google, diciéndole a la gente que sus cuentas habían
ha sido comprometido y les pide que restablezcan sus contraseñas. Desafortunadamente, el correo electrónico
incluía un enlace a un formulario proporcionado por el pirata informático que solicitaba información (para
"Verificación") y luego restablecer la contraseña. Esta acción permitió al pirata informático conocer el
corrija la contraseña y úsela para acceder a los correos electrónicos.
El requisito básico para que funcione la ingeniería social es asegurarse de que el usuario no se dé cuenta
que algo anda mal. Por lo general, un ataque de ingeniería social exitoso se logra
https://translate.googleusercontent.com/translate_f
41/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
a través de una rutina que el usuario realiza habitualmente (por ejemplo, iniciar sesión en la cuenta de Twitter)
o despertando las emociones del usuario para que anulen el pensamiento racional normal. Por ejemplo, un
El hacker puede llamar a la mesa de ayuda, hacerse pasar por vicepresidente de la empresa e inmediatamente
exigir su contraseña o el representante de la mesa de ayuda será despedido.
© 2021 Palo Alto Networks, Inc.
51
Página 52
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas
en el Apéndice A.
1. ¿Cuáles son las dos técnicas que utilizan los "ingenieros sociales" para distraer a sus objetivos?
lo que quiera el atacante? (Escoge dos.)
A. piloto automático, que solicita una acción que el usuario realiza automáticamente sin pensar
B. phishing, envío de correo electrónico que solicita acciones específicas
C. disfrazado de caballo de Troya
D. infectar programas con virus
2. ¿Quién es el objetivo más probable de la ingeniería social?
A. dirección ejecutiva, porque tiene la mayor cantidad de permisos
B. ingenieros superiores de TI, porque el atacante espera que desactiven la seguridad
infraestructura
C. personas jóvenes, porque son más fáciles de estresar y probablemente no están tan bien entrenados
D. el departamento de contabilidad, porque puede transferir dinero directamente a la oficina del atacante
cuenta
1.13 Ataques de ciberseguridad
Los atacantes utilizan una variedad de técnicas y tipos de ataques para lograr sus objetivos. Malware y
Los exploits son parte integral de la estrategia moderna de ciberataque. El spam y el phishing son comúnmente
empleó técnicas para enviar malware y exploits a un punto final a través de un ejecutable de correo electrónico o un
enlace web a un sitio web malicioso. Una vez que un punto final se ve comprometido, un atacante normalmente instala
puertas traseras, troyanos de acceso remoto y otro malware para garantizar la persistencia. Comprometidos
los puntos finales ("bots") bajo el control de un atacante a menudo se utilizan para perpetrar a una escala mucho mayor
ataques contra otras organizaciones o redes como parte de una botnet.
Términos clave
● Los bots (o zombis ) son puntos finales individuales que están infectados con malware avanzado que
permite que un atacante tome el control del punto final comprometido.
● Una botnet es una red de bots (a menudo, decenas de miles o más) que trabajan juntos bajo la
control de atacantes utilizando numerosos servidores.
Los bots y las redes de bots son muy difíciles de detectar para las organizaciones y de defenderse contra el uso
soluciones anti-malware tradicionales.
https://translate.googleusercontent.com/translate_f
42/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
52
Página 53
En una botnet, el malware avanzado trabaja en conjunto hacia un objetivo común, con cada bot
aumentando el poder y la destructividad de la botnet en general. La botnet puede evolucionar para perseguir
nuevos objetivos o adaptarse a medida que se implementan diferentes contramedidas de seguridad. Comunicación entre
los bots individuales y la botnet más grande a través de servidores C2 brindan resistencia en la botnet (ver
Figura 1-4).
La flexibilidad y capacidad de las redes de bots para evadir las defensas presenta una amenaza significativa para
Organizaciones. El impacto final de una botnet se deja en gran medida en manos del atacante, desde el envío
spam un día para robar datos de tarjetas de crédito al día siguiente y mucho más allá porque muchos ciberataques van
sin ser detectado durante meses o incluso años.
Figura 1-4: La infraestructura C2 distribuida de una botnet
Las propias botnets son dudosas fuentes de ingresos para los ciberdelincuentes. Las botnets son creadas por
ciberdelincuentes para recolectar recursos informáticos (bots). Control de botnets (a través de servidores C2)
luego puede venderse o alquilarse a otros ciberdelincuentes.
La clave para "derribar" o "decapitar" una botnet es separar los bots (puntos finales infectados)
de sus cerebros (servidores C2). Si los bots no pueden acceder a sus servidores, no pueden obtener nuevos
instrucciones, cargar datos robados o hacer cualquier cosa que haga que las botnets sean tan únicas y peligrosas.
Aunque este enfoque puede parecer sencillo, por lo general se requieren grandes recursos para
mapear la infraestructura C2 distribuida de una botnet, y este enfoque casi siempre requiere una
enorme cantidad de investigación, experiencia y coordinación entre numerosas industrias,
organizaciones de seguridad y aplicación de la ley en todo el mundo.
© 2021 Palo Alto Networks, Inc.
53
Página 54
https://translate.googleusercontent.com/translate_f
43/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La desactivación de los servidores C2 a menudo requiere tanto la incautación física de los servidores como la toma de posesión
del dominio y / o rango de direcciones IP asociado con los servidores. Equipos técnicos, equipos legales,
y las fuerzas del orden deben coordinarse estrechamente para desactivar la infraestructura C2 de una botnet. Muchos
Las botnets tienen servidores C2 en todo el mundo y funcionarán específicamente en países que tienen
poca o ninguna aplicación de la ley por delitos de Internet.
Para complicar aún más los esfuerzos de eliminación está el hecho de que una botnet casi nunca se basa en un solo C2
servidor, sino que utiliza varios servidores C2 con fines de redundancia. Cada servidor también suele
aislado por una variedad de intermediarios para ocultar la verdadera ubicación del servidor. Estos
Los intermediarios incluyen redes P2P, blogs y sitios de redes sociales, e incluso
comunicaciones que se transmiten a través de otros bots infectados. Estas técnicas de evasión simplifican
encontrar servidores C2 es un desafío considerable.
La mayoría de las redes de bots también están diseñados para soportar la pérdida de un servidor C2, lo que significa que la entera
La infraestructura de la botnet C2 debe desactivarse casi al mismo tiempo. Si se puede acceder a cualquier servidor C2
o cualquiera de las opciones de respaldo sobrevive, los bots podrán obtener actualizaciones y poblar rápidamente un
un conjunto completamente nuevo de servidores C2, y la botnet se recuperará rápidamente. Por lo tanto, incluso un solo C2
que el servidor permanezca funcional incluso por un período pequeño de tiempo puede dar a un atacante la ventana
necesario para actualizar los bots y recuperar toda la botnet.
Según un informe de amenazas de botnet de 2019, Spamhaus Malware Labs identificó y emitió
Listados de listas de bloqueo de Spamhaus (SBL) para 17.602 servidores botnet C2 en 1.210 redes diferentes.
Términos clave
● La denegación de servicio distribuida (DDoS) es un tipo de ciberataque en el que
Los volúmenes de tráfico de la red, como paquetes, datos o transacciones, se envían a la víctima objetivo.
red para hacer su red y sistemas (como un sitio web de comercio electrónico u otro sitio web
aplicación) no disponible o inutilizable.
Los servidores Botnet C2 se utilizan para controlar los puntos finales infectados (bots) y para exfiltrar personal y / o
datos valiosos de bots. Las botnets se pueden escalar fácilmente para enviar grandes volúmenes de spam,
difundir ransomware, lanzar ataques distribuidos de denegación de servicio (DDoS), cometer fraude de clics
campañas y / o minar criptomonedas (como Bitcoin).
Botnets de spam
Las redes de bots más grandes a menudo se dedican a enviar spam. La premisa es sencilla: la
El atacante intenta infectar tantos puntos finales como sea posible, y los puntos finales pueden usarse para
enviar mensajes de correo electrónico no deseado sin el conocimiento de los usuarios finales. El impacto relativo de este tipo
de bot en una organización puede parecer bajo inicialmente, pero un endpoint infectado que envía spam podría
consumir ancho de banda adicional y, en última instancia, reducir la productividad de los usuarios e incluso la
propia red. Quizás más trascendente es el hecho de que el dominio de correo electrónico de la organización y
Las direcciones IP también podrían aparecer fácilmente en varias listas de agujeros negros en tiempo real (RBL), por lo que
hacer que los correos electrónicos legítimos sean etiquetados como spam y bloqueados por otras organizaciones, y
dañando la reputación de la organización.
© 2021 Palo Alto Networks, Inc.
54
Página 55
La botnet Rustock es un ejemplo de botnet de spam. Podría enviar hasta 25.000 correos electrónicos no deseados.
mensajes por hora de un bot individual y, en su punto máximo, envió un promedio de 192 correos electrónicos no deseados
por minuto por bot. Se estima que Rustock ha infectado a más de 2,4 millones de ordenadores.
Mundial. En marzo de 2011, la Oficina Federal de Investigaciones (FBI) de EE. UU., En colaboración con
Microsoft y otros, eliminaron la botnet Rustock, que había operado durante más de cinco
años y en ese momento era responsable de enviar hasta el 60 por ciento del spam del mundo.
Botnets distribuidas de denegación de servicio
Un ataque DDoS es un tipo de ciberataque en el que volúmenes extremadamente altos de tráfico de red, como
https://translate.googleusercontent.com/translate_f
44/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
a medida que se envían paquetes, datos o transacciones a la red de la víctima objetivo para crear su red y
sistemas (como un sitio web de comercio electrónico u otra aplicación web) no disponibles o inutilizables. A
La botnet DDoS utiliza bots como parte de un ataque DDoS, abrumando a un servidor o red objetivo con
tráfico de una gran cantidad de bots. En tales ataques, los propios bots no son el objetivo del
ataque. En cambio, los bots se utilizan para inundar algún otro objetivo remoto con tráfico. El atacante
aprovecha la escala masiva de la botnet para generar tráfico que abruma la red y
recursos del servidor del destino.
A diferencia de otros tipos de ciberataques, un ataque DDoS no suele emplear un
enfoque sigiloso. En cambio, un ataque DDoS suele ser un ataque de fuerza bruta muy visible que
destinado a causar rápidamente daños a la red y la infraestructura de sistemas de la víctima y a su
negocio y reputación.
Los ataques DDoS a menudo tienen como objetivo organizaciones específicas por razones personales o políticas, o para extorsionar a un
pago de rescate a cambio de detener el ataque DDoS. Los ataques DDoS a menudo son utilizados por
hacktivistas para promover o protestar contra una agenda política o causa social en particular. Los ataques DDoS también
puede utilizarse con fines de extorsión criminal para extraer un pago de rescate a cambio de poner fin
el ataque.
Las botnets DDoS representan un riesgo doble para las organizaciones: la propia organización puede ser el objetivo de
un ataque DDoS. E incluso si la organización no es el objetivo final, cualquier endpoint infectado
participar en el ataque consumirá valiosos recursos de la red y facilitará un acto delictivo,
aunque sin saberlo.
Un ataque DDoS también se puede utilizar como parte de una estrategia dirigida para un ataque posterior. Mientras la victima
la organización está ocupada defendiéndose contra el ataque DDoS y restaurando la red y los sistemas,
el atacante puede entregar un exploit a la red de la víctima (por ejemplo, provocando un búfer
desbordamiento en una base de datos SQL) que permitirá una infección de malware y establecerá un punto de apoyo en el
red. El atacante puede regresar más tarde para expandir el ataque (sigiloso) y extraer los datos robados.
Ejemplos de ataques DDoS recientes incluyen ataques contra World of Warcraft Classic y
Wikipedia en septiembre de 2019.
Botnets financieras
© 2021 Palo Alto Networks, Inc.
55
Página 56
Las botnets financieras, como ZeuS y SpyEye, son responsables del robo directo de fondos de todos
tipos de empresas. Estos tipos de redes de bots no suelen ser tan grandes como el spam o los ataques DDoS.
botnets, que crecen lo más posible para un solo atacante. En cambio, las botnets financieras a menudo son
vendidos como kits que permiten a los atacantes obtener licencias del código y crear sus propias redes de bots. El impacto de un
La brecha financiera puede ser enorme, incluida la brecha financiera y de consumidores sensibles.
información, lo que genera un daño financiero, legal y de marca significativo.
Según lo informado por Tech Republic:
"Se utilizó una variante de la botnet Mirai en ataques contra al menos una empresa del sector financiero en
Enero de 2018: posiblemente la primera vez que se observa el uso de una botnet de IoT en un ataque DDoS
desde que la botnet Mirai derribó varios sitios web en 2017, según un informe del jueves de
Futuro grabado ".
Referencias
● "Informe de amenazas de redes de bots de Spamhaus de 2019". Laboratorios de malware Spamhaus. Enero de 2020.
https://www.spamhaus.org/news/article/793/spamhaus-botnet-threat-report-2019.
● Oleg Kuprev, Ekaterina Badovskaya y Alexander Gutnikov. "Los ataques DDoS en el tercer trimestre
2019 ". Kaspersky. 11 de noviembre de 2019.https://securelist.com/ddos-report-q32019/94958 /.
● Rayome, Alison DeNisco. “La variante de botnet Mirai lanza ataques DDoS de IoT en
sector." Tech Republic. 5 de abril de 2018.https://www.techrepublic.com/article/miraivariant-botnet-lanza-iot-ddos-ataques-en-el-sector-financiero /.
https://translate.googleusercontent.com/translate_f
45/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas
en el Apéndice A.
1. En el ciclo de vida del ciberataque, ¿qué significa C2?
A. Configuración y comunicación
B. Control de configuración
C. Mando y control
D. Control de comunicación
2. Un servidor que tiene un error que permite que una sola transacción lo desconecte es susceptible a
que tipo de ataque?
A. Denegación de servicio (DoS)
B. Denegación de servicio distribuida (DDoS)
C. caballos de Troya
D. gusanos
3. ¿Qué dos ataques suelen utilizar una botnet? (Escoge dos.)
A. ingeniería social
B. DoS
C. DDoS
D. enviar spam a una larga lista de distribución
E. spear phishing
© 2021 Palo Alto Networks, Inc.
56
Página 57
1.14 Definir las características de las amenazas persistentes avanzadas
Las amenazas persistentes avanzadas (APT) son una clase de amenazas que son mucho más deliberadas y
potencialmente devastador que otros tipos de ciberataques. Como su nombre lo indica, una APT tiene tres
definir características. Una APT es:
● Avanzado: los atacantes utilizan exploits y malware avanzado y, por lo general, también tienen las habilidades
y recursos necesarios para desarrollar herramientas y técnicas de ciberataque adicionales, y
tener acceso a sofisticados equipos de vigilancia electrónica, imágenes satelitales e incluso
activos de inteligencia humana.
● Persistente: una APT puede tener lugar durante un período de varios años. Los atacantes persiguen
objetivos específicos y utilice un enfoque "lento y lento" para evitar la detección. Los atacantes
están bien organizados y, por lo general, tienen acceso a un respaldo financiero sustancial, como
un estado-nación u organización delictiva organizada, para financiar sus actividades.
● Amenaza: una APT es deliberada y enfocada, en lugar de oportunista. Las APT están diseñadas
causar un daño real, incluida una pérdida financiera significativa, la destrucción de sistemas y
infraestructura, daños físicos y pérdida de vidas.
Los actores de amenazas de APT recientes incluyen:
● Lázaro (también conocido como APT38, Apóstoles de Dios, Discípulos de Dios, Guardianes de la Paz,
ZINC, Whois Team y Hidden Cobra). El grupo Lazarus APT es un actor de amenazas vinculado
a Corea del Norte y se cree que está detrás de los ataques contra más de 16 organizaciones en
11 países, incluido el atraco cibernético de Bangladesh (81 millones de dólares
transferidos subrepticiamente desde la cuenta del Banco de la Reserva Federal de Nueva York de
Bangladesh en febrero de 2016), la Operación Troya (ataques contra Corea del Sur
infraestructura en 2013), la Operación DarkSeoul (ataques basados ​en malware que borraron decenas de
de miles de discos duros pertenecientes a cadenas de televisión y bancos de Corea del Sur en
Marzo de 2013) y el truco de Sony Picture (correos electrónicos e información personal de los empleados).
incluyendo sueldos, direcciones y números de seguro social revelados, películas inéditas
publicado en sitios para compartir archivos y los sistemas informáticos internos se cerraron en 2014).
● Fancy Bear (también conocido como APT28, Sofacy, Sednit y Tsar Team). Fancy Bear es un
Actor de amenazas APT con sede en Rusia que ha estado operando desde 2010. Objetivos recientes y
Los ataques han incluido los ataques del Think Tank alemán (2019), las elecciones alemanas (2017),
Ataque de la Agencia Mundial Antidopaje (2016), incumplimiento del Comité Nacional Demócrata de EE. UU.
(2016) y Operación “Pawn Storm” (2014).
● MONSOON (también conocido como Patchwork, APT -C-09, Chinastrats, Dropping Elephant y
https://translate.googleusercontent.com/translate_f
46/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Tigre acolchado). MONSOON es un actor de amenazas APT que parece haber comenzado en 2014.
Según Forcepoint Security Labs, "La campaña general parece apuntar tanto
Ciudadanos chinos de diferentes industrias y agencias gubernamentales en el sur de Asia ...
Los componentes de malware que se utilizan en MONSOON normalmente se distribuyen a través de
documentos [armados] enviados por correo electrónico a objetivos específicamente elegidos. Temas de
Estos documentos suelen ser de naturaleza política y están extraídos de publicaciones recientes sobre
asuntos de actualidad de actualidad. En esta operación se han utilizado varios componentes de malware
Incluyendo Unknown Logger Public, TINYTYPHON, BADNEWS y AutoIt [3]
puerta trasera."
© 2021 Palo Alto Networks, Inc.
57
Página 58
Referencias
● "Los 25 principales actores de amenazas - Edición de 2019". Ciberseguridad de SBS. 12 de diciembre de 2019.
https://sbscyber.com/resources/top-25-threat-actors-2019-edition.
● Paganini, Pierluigi. “Estados Unidos culpa a Corea del Norte por los 81 millones de dólares
robo." Asuntos de seguridad. 24 de marzo de 2017.http://securityaffairs.co/wordpress/57396/cybercrime / bangladesh-cyber-heist.html.
● Paganini, Pierluigi. "Los piratas informáticos que atacaron a Corea del Sur también difundieron software espía para robar
misterios." Asuntos de seguridad. 9 de julio de 2013.
http://securityaffairs.co/wordpress/16014/hacking/hackers-hit-south-korea-spyware-stealsecretos-militares.html.
● Weisman, Aly. "Una cronología de los locos sucesos del escándalo de piratería informática de Sony". Negocio
Persona enterada. 9 de diciembre de 2014.http://www.businessinsider.com/sony-cyber-hack-timeline2014-12.
● "Los 25 principales actores de amenazas - Edición de 2019". Ciberseguridad de SBS. 12 de diciembre de 2019.
https://sbscyber.com/resources/top-25-threat-actors-2019-edition.
● "Grupos de amenazas persistentes avanzados". FireEye. 2020.https://www.fireeye.com/currentamenazas / apt-groups.html.
● "Los 25 principales actores de amenazas - Edición de 2019". Ciberseguridad de SBS. 12 de diciembre de 2019.
https://sbscyber.com/resources/top-25-threat-actors-2019-edition.
● Settle, Andy, Nicholas Griffin y Abel Toro. "Monzón: análisis de una APT
Campaña: Espionaje y pérdida de datos al amparo de la actualidad. Forcepoint
Laboratorios de seguridad. 2016.
● https://www.forcepoint.com/sites/default/files/resources/files/forcepoint-security-labsinforme-de-análisis-del-monzón.pdf.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revise las respuestas correctas
en el Apéndice A.
1. ¿Qué opción es menos probable que sea el propósito de una amenaza persistente avanzada?
A. transferir dinero a una cuenta bancaria en el extranjero
B. robar información clasificada
C. expandir una botnet para enviar más spam
D. ser capaz de destruir la infraestructura de un enemigo en caso de guerra
2. ¿Qué comportamiento utiliza una amenaza persistente avanzada para eludir la detección?
A. hacer todo por la noche, cuando nadie está monitoreando
B. depender exclusivamente de personas con información privilegiada con acceso privilegiado
C.Haga todo rápidamente con secuencias de comandos para que el efecto de la amenaza se logre mediante
la hora en que se detecta
D. use un enfoque bajo y lento para evitar disparar alarmas
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
58
47/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 59
1.15 Reconocer ataques comunes de Wi-Fi
Con el crecimiento explosivo en la cantidad de dispositivos móviles durante la última década, la tecnología inalámbrica (WiFi) las redes ahora están en todas partes.
Por supuesto, como profesional de la seguridad, su primera preocupación al intentar conectarse es: "¿Cómo
¿Es segura esta red Wi-Fi? " Pero para el usuario medio, la desafortunada realidad es que Wi-Fi
la conectividad se trata más de conveniencia que de seguridad.
Por lo tanto, el desafío no es solo asegurar sus redes Wi-Fi, sino también proteger el móvil.
dispositivos que los empleados de su organización utilizan para realizar trabajos y acceder a dispositivos potencialmente sensibles
datos, independientemente de dónde se encuentren o en qué red se encuentren.
La seguridad de Wi-Fi comienza y termina con la autenticación. Si no puede controlar quién tiene acceso a su
red inalámbrica, entonces no puede proteger su red.
Privacidad equivalente por cable
El protocolo Wired Equivalent Privacy (WEP) fue el primer intento de la industria inalámbrica de
seguridad. Como su nombre lo indica falsamente, WEP estaba destinado a proporcionar confidencialidad de datos.
equivalente a la seguridad de una red cableada. Sin embargo, WEP tenía muchos reconocidos y reconocidos
debilidades publicitadas, como su valor aleatorio débil, o vector de inicialización (IV), y clavealgoritmo de generación, y no fue eficaz para establecer una red inalámbrica segura.
Acceso protegido Wi-Fi (WPA / WPA2 / WPA3)
WPA se publicó como estándar provisional en 2003, seguido rápidamente por WPA2 en 2004.
WPA / WPA2 contiene mejoras para proteger contra los defectos inherentes a WEP. Estos
las mejoras incluyen cambios en el cifrado para evitar muchos de los problemas que plagaron
WEP.
WPA2 se puede implementar de diferentes formas. WPA2-Enterprise, también conocido como WPA2-802.1x
modo, utiliza el Protocolo de autenticación extensible (EAP) y el acceso telefónico de autenticación remota
Servicio de usuario (RADIUS) para autenticación. Numerosos tipos de EAP también están disponibles para su uso en
WPA2-Enterprise.
Sin embargo, una clave precompartida (PSK) es, con mucho, el uso más común, particularmente en hogares, pequeños
empresas y redes Wi-Fi para invitados. WPA2-PSK se puede implementar solo con el AP y el
cliente; ni un servidor de autenticación 802.1x de terceros ni cuentas de usuario individuales son
requerido.
Términos clave
● El Protocolo de autenticación extensible (EAP) es un marco de autenticación ampliamente utilizado que
incluye alrededor de 40 métodos de autenticación diferentes.
● El servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un protocolo cliente-servidor y
© 2021 Palo Alto Networks, Inc.
59
Página 60
software que permite que los servidores de acceso remoto se comuniquen con un servidor central para
autenticar usuarios y autorizar el acceso a un sistema o servicio.
● Una clave precompartida (PSK) es un secreto compartido, que se utiliza en la criptografía de clave simétrica, que se ha
intercambiado entre dos partes que se comunican a través de un canal cifrado.
WPA2-PSK admite claves de 256 bits, que requieren 64 caracteres hexadecimales. Porque
El requisito de que los usuarios ingresen una clave de 64 caracteres hexadecimales no es práctico, WPA2 incluye una
https://translate.googleusercontent.com/translate_f
48/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
función
que genera
clave de
bits basadade
enconjunto
una frasededeservicios
contraseña
mucho
creada
porsal
el
administrador
de la una
red Wi-Fi
y el256
identificador
(SSID)
delmás
AP corta
utilizado
como
para la función hash unidireccional .
En WPA2, el nombre del SSID se usa para la sal. Una forma sencilla de hacer que su seguridad Wi-Fi
más fuerte (y hacer que los ataques de tabla de arco iris no sean prácticos) es cambiar su SSID a algo que
no es común o fácil de adivinar.
Para ejecutar un ataque a una frase de contraseña WPA2, un atacante debe poder probar una gran cantidad
de candidatos a frases de contraseña. Entonces, aunque WPA2 permanece criptográficamente seguro (la clave no
recuperable mediante la simple observación del tráfico, como con WEP), existen métodos para probar
frases de contraseña fuera de línea mediante la recopilación de los paquetes de protocolo de enlace entre el AP y un usuario legítimo.
Para recopilar los paquetes necesarios para descifrar una frase de contraseña WPA2, un atacante podría recopilar pasivamente
tráfico cuando un usuario legítimo se une a la red. Este método requiere tiempo, sin embargo, porque
el atacante no sabe cuándo se unirá alguien a la red.
Para un atacante impaciente, la solución es emplear un ataque activo. Si un usuario legítimo es
ya en línea, el atacante puede obligar al dispositivo cliente del usuario a desconectarse del AP con
paquetes de desautenticación falsificados. Una vez desconectado el dispositivo cliente, automáticamente
intentar reconectarse, proporcionando así al atacante los paquetes de protocolo de enlace necesarios para desconectarse
análisis de frase de contraseña. Por lo tanto, a diferencia de WEP, los ataques a WPA2 se pueden realizar sin gastar un
una cantidad significativa de tiempo en la proximidad de la red de destino, después de los paquetes de protocolo de enlace
han sido capturados.
Términos clave
● Un identificador de conjunto de servicios (SSID) es un identificador alfanumérico de 32 caracteres que distingue entre mayúsculas y minúsculas que
identifica de forma única una red Wi-Fi.
● Una función hash unidireccional es una función matemática que crea una representación única (una
valor hash) de un conjunto más grande de datos de una manera que sea fácil de calcular en una dirección (entrada para
salida) pero no en sentido inverso (salida a entrada). La función hash no puede recuperar el
texto original del valor hash. Sin embargo, un atacante podría intentar adivinar el texto original.
y vea si produce un valor hash coincidente.
● Una tabla de arco iris es una tabla precalculada que se utiliza para encontrar el valor original de un hash criptográfico.
función.
© 2021 Palo Alto Networks, Inc.
60
Página 61
A continuación, el atacante debe recuperar (o encontrar) la frase de contraseña en sí, lo que requiere lo siguiente:
● Una prueba para verificar millones de posibles contraseñas hasta que encuentre la contraseña correcta.
Para evitar la detección, un atacante no puede utilizar el objetivo real, porque la víctima podría ver
esta actividad de ataque. La alternativa es utilizar un método de prueba fuera de línea que utilice el
paquetes de apretón de manos.
● Una metodología para adivinar contraseñas. El peor de los casos es aplicar la "fuerza bruta" al
frase de contraseña, probando todas las combinaciones posibles de números y caracteres hasta obtener una
se encuentra el valor. Este esfuerzo puede producir un resultado correcto si se le da suficiente tiempo y computación.
energía. Sin embargo, un método mucho más rápido es tomar conjeturas fundamentadas sin tener que
recurrir a la fuerza bruta. Un atacante que utiliza conjeturas fundamentadas sobre una posible frase de contraseña.
los candidatos pueden intentar una lista mucho más corta.
Este proceso básico para recuperar frases de contraseña de Wi-Fi es similar a descifrar las contraseñas de los usuarios. En el
los primeros días del descifrado de contraseñas, un atacante podría tener conocimiento del sistema de destino unidireccional
función hash y una lista de los valores hash de la contraseña de usuario del sistema. Sin embargo, el atacante
no descifrar la contraseña, porque el texto original no se puede recuperar de un hash. Pero por
cifrar una lista de palabras con la misma función hash unidireccional (un ataque de diccionario), un atacante
luego puede comparar los valores hash resultantes con los valores hash almacenados para los distintos usuarios
cuentas en el sistema. Entonces, aunque la contraseña en sí no está descifrada, una entrada determinada que
produce un resultado dado, como una coincidencia de contraseña. Con la adición de más
https://translate.googleusercontent.com/translate_f
49/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
poder de cómputo, un atacante podría probar listas de palabras más largas y un mayor número de variaciones de
cada palabra. El proceso para atacar frases de contraseña WPA2 es similar.
WPA3 se publicó en 2018 e introduce mejoras de seguridad, como una tecnología bruta más robusta.
Forzar protección contra ataques, seguridad mejorada de acceso de invitados y puntos de acceso, integración más sencilla con
dispositivos que tienen una interfaz de usuario limitada o nula (como dispositivos IoT) y un paquete de seguridad de 192 bits.
Los enrutadores Wi-Fi y los dispositivos cliente más nuevos probablemente admitirán WPA2 y WPA3 para garantizar
compatibilidad con versiones anteriores en entornos mixtos.
Según Wi-Fi Alliance, las características de WPA3 incluyen seguridad mejorada para dispositivos IoT como
como bombillas inteligentes, electrodomésticos inalámbricos, parlantes inteligentes y otros dispositivos sin pantalla que hacen
las tareas diarias más fáciles. Se espera que Wi-Fi Alliance admita un sistema de configuración de un toque que
hará dispositivos sin pantallas (como dispositivos IoT y altavoces inteligentes como Google
Home y Amazon Echo) más fácil de conectar. Será similar al Wi-Fi Protected existente.
Protocolo de configuración, que implica presionar un botón en el enrutador para conectar un dispositivo.
Según un artículo reciente de VentureBeat , WPA3 también “admite un cifrado mucho más fuerte
algoritmo que WPA2 ... destinado a aplicaciones industriales, de defensa y gubernamentales en lugar de
que hogares y oficinas. Específicamente, incluye un paquete de seguridad de 192 bits que está alineado con el
Conjunto de algoritmos de seguridad nacional comercial (CNSA), una característica solicitada por el Comité
on National Security Systems (CNSS), una parte de la Agencia de Seguridad Nacional de los Estados Unidos [NSA] ".
© 2021 Palo Alto Networks, Inc.
61
Página 62
WPA3 proporciona protección contra ataques de diccionario de fuerza bruta mediante la implementación de
apretón de manos [llamado protocolo Dragonfly, también conocido como autenticación simultánea de
Equals] que no es vulnerable a exploits inalámbricos como KRACK, y refuerza la seguridad en ese momento
cuando la clave de red se intercambia entre un dispositivo y el punto de acceso ". WPA3 también reduce
la eficacia de los ataques de diccionario comunes al limitar el número de intentos de contraseña de red
por usuario.
Un atacante puede engañar a las víctimas para que se conecten a una red inalámbrica que el atacante controla.
en lugar de irrumpir en una red inalámbrica. Estas técnicas son parte de un conjunto más amplio de ataques.
conocidos como ataques man-in-the-middle. Con un exploit man-in-the-middle implementado en una red Wi-Fi
red, un atacante puede producir o mostrar prácticamente cualquier contenido, por ejemplo:
● Si un usuario intenta descargar un archivo legítimo, el atacante puede enviar malware móvil
en lugar de.
● Cuando un usuario intenta visitar una página web legítima, el atacante puede alterar el contenido para
explotar una vulnerabilidad que existe en el navegador del dispositivo, permitiendo así al atacante
escalar aún más un ataque.
● Las direcciones de correo electrónico y la información de la cuenta financiera se pueden obtener de los
endpoint, lo que permite a un atacante crear un phishing muy específico y convincente
ataque para engañar a más usuarios en una red para que revelen información confidencial.
Gemelo malvado
Quizás la forma más fácil para que un atacante encuentre una víctima para explotar es configurar un acceso inalámbrico
punto que sirve como puente hacia una red real. Un atacante inevitablemente puede cebar a algunas víctimas con
"Acceso gratuito a Wi-Fi".
El principal problema con este enfoque es que requiere que una víctima potencial tropiece con el
punto de acceso y conectar. El atacante no puede apuntar fácilmente a una víctima específica, porque el ataque
depende de que la víctima inicie la conexión.
Una ligera variación de este enfoque es utilizar un nombre más específico que imite un punto de acceso real.
normalmente se encuentra en un lugar en particular, el Evil Twin. Por ejemplo, si su aeropuerto local ofrece
Servicio de Wi-Fi y lo llama "Aeropuerto Wi-Fi", el atacante podría crear un punto de acceso con el
https://translate.googleusercontent.com/translate_f
50/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
mismo nombre usando un punto de acceso que tiene dos radios. Los usuarios promedio no pueden discernir fácilmente cuándo
están conectados al punto de acceso real o falso, por lo que este enfoque capturaría una mayor
número de usuarios que un método que intenta atraer víctimas al azar. Aún así, el usuario debe seleccionar
la red, por lo que hay un poco de suerte al intentar llegar a un objetivo en particular.
La principal limitación del ataque Evil Twin es que el atacante no puede elegir a la víctima. en un
lugar abarrotado, el atacante podrá hacer que muchas personas se conecten a la red inalámbrica
red para exponer sin saberlo sus nombres de cuenta y contraseñas. Sin embargo, no es un
enfoque eficaz si el objetivo es apuntar a los empleados de una organización específica.
© 2021 Palo Alto Networks, Inc.
62
Página 63
Jasager
Si desea comprender un enfoque más específico que el ataque de Evil Twin, piense en lo que
sucede cuando devuelve su dispositivo inalámbrico a una ubicación que ha visitado anteriormente.
Por ejemplo, cuando lleva su computadora portátil a casa, no tiene que elegir a qué punto de acceso
utilizar, porque su dispositivo recuerda los detalles de las redes inalámbricas a las que ha
conectado. La misma práctica se aplica cuando visita la oficina o su cafetería favorita.
Su dispositivo móvil detecta cuando está cerca de una red inalámbrica previamente conocida mediante
enviar una baliza para descubrir si una red preferida está dentro del alcance. Por debajo de lo normal
condiciones, cuando un dispositivo inalámbrico envía una baliza, los puntos de acceso que no coinciden la ignoran.
La baliza no recibe respuesta, excepto cuando se acerca a la ubicación preferida.
red.
El ataque Jasager adopta un enfoque más activo hacia las solicitudes de balizas. Jasager (alemán para
"El sí-hombre") responde a todas las solicitudes de balizas, adoptando así un enfoque muy permisivo hacia
quién puede conectarse. El usuario no tiene que elegir manualmente el punto de acceso del atacante. En lugar de,
el atacante pretende ser el punto de acceso al que el usuario se conecta normalmente (consulte la Figura 1-5).
En lugar de intentar que las víctimas se conecten al azar, ahora el atacante simplemente necesita estar dentro
proximidad del objetivo.
Figura 1-5: Jasager pretende ser cualquier punto de acceso solicitado por la baliza del cliente.
Este proceso intercepta la comunicación de computadoras portátiles, teléfonos móviles y tabletas. Muchos si no
la mayoría de los dispositivos móviles 3G / 4G / LTE cambian automáticamente a Wi-Fi cuando reconocen que
están cerca de una red que conocen.
Un atacante puede utilizar el mismo método para capturar paquetes de protocolo de enlace WPA2 para desconectar a los usuarios.
desde una red Wi-Fi mediante el uso de paquetes de desautenticación falsificados. Usuarios que se vuelven a conectar
sin saberlo, se conectará al punto de acceso modificado. A diferencia del ataque de Evil Twin, el atacante
no tiene que esperar a que la víctima se conecte al punto de acceso modificado; con este enfoque,
todos los que se encuentren en las inmediaciones se conectarán automáticamente y se convertirán en víctimas potenciales.
https://translate.googleusercontent.com/translate_f
51/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
63
Página 64
Jasager se ejecuta en cualquier número de dispositivos, pero quizás sea una de las formas más efectivas de emplearlo.
es con el punto de acceso de Pineapple. La piña es simplemente un punto de acceso con modificaciones
firmware que incorpora varias herramientas para pruebas de "penetración" inalámbrica. También tiene varios
accesorios tales como soporte para tarjetas USB celulares para proporcionar conectividad de red cuando es
de lo contrario, no estarán disponibles en la ubicación de destino, y paquetes de baterías para operar como una unidad independiente. Es
También se oculta fácilmente porque se puede disfrazar dentro de cualquier número de carcasas que normalmente se encuentran
enchufado en la oficina.
Una vez que el atacante tiene a la víctima conectada a un punto de acceso malicioso, el intermediario
El ataque puede continuar, y el atacante no solo puede observar y capturar el tráfico de la red, sino también
modificarlo.
SSLstrip
Después de que un usuario se conecta a una red Wi-Fi que se ha visto comprometida o al Wi-Fi de un atacante
red disfrazada de red legítima, el atacante puede controlar el contenido que el
la víctima ve. El atacante simplemente intercepta el tráfico web de la víctima, redirige el
navegador a un servidor web que controla, y sirve cualquier contenido que desee el atacante.
Se puede usar un ataque de intermediario para robar la banca en línea o el correo electrónico corporativo de una víctima.
Credenciales de cuenta. Normalmente, este tipo de tráfico se consideraría seguro porque la página web
normalmente utiliza el cifrado Secure Sockets Layer (SSL). Sin embargo, el usuario medio que piensa
candado en algún lugar de la barra de direcciones significa que su navegador es seguro no es correcto.
Pero el candado aparece de manera diferente, en diferentes ubicaciones, en diferentes navegadores. Cómo
aparece el candado en Internet Explorer? ¿Qué pasa con Mozilla Firefox, Google Chrome y
Apple Safari? Y también aparece de manera diferente en diferentes teléfonos inteligentes y tabletas. No es de extrañar
que los usuarios finales típicos e incluso muchos profesionales de la seguridad pueden ser engañados fácilmente.
SSLstrip elimina el cifrado SSL de una sesión "segura". Cuando un usuario se conecta a un
red Wi-Fi comprometida intenta iniciar una sesión SSL, el punto de acceso modificado
intercepta la solicitud SSL (consulte la Figura 1-6). El punto de acceso modificado luego completa el SSL
sesión en nombre del dispositivo de la víctima. Luego, el túnel SSL entre el dispositivo de la víctima y
el servidor web seguro legítimo se termina y se descifra en el acceso modificado
punto, permitiendo así al atacante ver las credenciales de la víctima y otra información sensible en
Borrar texto.
© 2021 Palo Alto Networks, Inc.
64
Página 65
https://translate.googleusercontent.com/translate_f
52/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 1-6: Man-in-the-middle con SSLstrip
Con SSLstrip, el punto de acceso modificado muestra un candado falso en el navegador web de la víctima.
Las páginas web pueden mostrar un pequeño icono llamado favicon junto a la dirección de un sitio web en el navegador
Barra de dirección. SSLstrip reemplaza el favicon con un candado que parece SSL para un desprevenido
usuario.
Términos clave
● Un favicon ("icono favorito") es un archivo pequeño que contiene uno o más iconos pequeños asociados con un
sitio web o página web en particular.
Emotet
Emotet es un troyano, identificado por primera vez en 2014, que se ha utilizado durante mucho tiempo en redes de bots de spam y
ataques de ransomware. Las variantes de Emotet utilizan módulos esparcidores de Wi-Fi para escanear redes Wi-Fi y
Busque dispositivos vulnerables para infectar. El módulo esparcidor de Wi-Fi escanea las redes Wi-Fi cercanas
en un dispositivo infectado y luego intenta conectarse a redes Wi-Fi vulnerables a través de una
ataque de fuerza. Después de que Emotet se conecta con éxito a una red Wi-Fi, busca
comparte e intenta otro ataque de fuerza bruta para adivinar nombres de usuario y contraseñas en otros
dispositivos conectados a la red. Luego instala su carga útil de malware y establece C2
comunicaciones en dispositivos recientemente infectados.
© 2021 Palo Alto Networks, Inc.
sesenta y cinco
Página 66
Referencias
● Wiggers, Kyle. "¿Qué es WPA3, por qué es importante y cuándo puede esperarlo?"
VentureBeat. 19 de mayo de 2018.https://venturebeat.com/2018/05/19/what-is-wpa3-why¿-importa-y-cuando-puedes-esperar-que-.
● Quinn, James. "Emotet evoluciona con el nuevo esparcidor de Wi-Fi". Defensa binaria. 7 de febrero
2020. https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué dos tipos de comportamiento podrían permitirle a alguien espiar una red WiFi?
(Escoge dos.)
A. pasivo
B. inactivo
C. ceder
D. activo
https://translate.googleusercontent.com/translate_f
53/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
E. ágil
2. ¿Cuál
es el nombre del ataque en el que el atacante consigue que la víctima se conecte a un
punto de acceso que controla el ataque?
A. persona en el medio
B. hombre en el medio
C. punto de acceso en el medio
D. enmascaramiento del punto de acceso
3. ¿Cuál es el nombre del método de "autenticación" que permite a cualquiera que tenga la contraseña
acceder a una red WiFi?
A. Clave precompartida (PSK)
B. Autenticación de contraseña (PA)
C.Protocolo de autenticación extensible (EAP)
D. identificador de conjunto de servicios (SSID)
1.16 Definir la seguridad de la red basada en el perímetro
Los modelos de seguridad de red basados ​en el perímetro datan de la era del mainframe (alrededor de fines de la década de 1950),
cuando las grandes computadoras centrales se ubicaban en "salas de máquinas" físicamente seguras que podían
ser accedido por sólo un número relativamente limitado de terminales "tontos" de entrada de trabajo remoto (RJE) que
se conectaron directamente al mainframe y también se ubicaron en áreas físicamente seguras. De hoy
Los centros de datos son el equivalente moderno de las salas de máquinas, pero la seguridad física basada en el perímetro
ya no es suficiente por varias razones obvias pero importantes:
● Las computadoras mainframe son anteriores a Internet. De hecho, las computadoras centrales son anteriores a
ARPANET, que es anterior a Internet. Hoy en día, un atacante utiliza Internet para
obtener acceso, en lugar de violar físicamente el perímetro del centro de datos.
● En la actualidad, millones de dispositivos terminales remotos acceden de forma remota a los centros de datos desde
en cualquier lugar y en cualquier momento. A diferencia de los RJE de la era del mainframe, los terminales modernos
© 2021 Palo Alto Networks, Inc.
66
Página 67
(incluidos los dispositivos móviles) son mucho más potentes que muchos de los primeros mainframe
computadoras y ellos mismos son objetivos.
● El valor principal de la computadora central era su poder de procesamiento. El relativamente
Los datos limitados que se producían se almacenaban típicamente en medios casi en línea, como una cinta.
Hoy, los datos son el objetivo. Los datos se almacenan en línea en centros de datos y en la nube, y es un
objetivo de alto valor para cualquier atacante.
El problema principal con una estrategia de seguridad de red basada en el perímetro en la que las contramedidas
se implementan en un puñado de puntos de entrada y salida bien definidos de la red es que el
La estrategia se basa en el supuesto de que se puede confiar en todos los elementos de la red interna.
Sin embargo, esta suposición ya no es segura, dadas las condiciones comerciales modernas y
entornos informáticos donde:
● Los empleados remotos, los usuarios móviles y las soluciones de computación en la nube desdibujan la distinción
entre "interno" y "externo"
● Tecnologías inalámbricas, la proliferación de conexiones de socios y la necesidad de brindar soporte
Los usuarios invitados introducen innumerables vías adicionales en las sucursales de la red que
puede estar ubicado en países o regiones que no son de confianza
● Los iniciados, ya sean intencionalmente malintencionados o simplemente descuidados, pueden presentar una seguridad muy real
amenaza
● Las estrategias de enfoque basadas en el perímetro no tienen en cuenta:
● El potencial de las ciberamenazas sofisticadas para penetrar las defensas del perímetro, en las que
caso de que tuvieran paso libre en la red interna
● Escenarios en los que los usuarios malintencionados pueden obtener acceso a la red interna y
recursos mediante el uso de credenciales robadas de usuarios de confianza
● La realidad de que las redes internas rara vez son homogéneas, sino que incluyen bolsillos.
de usuarios y recursos con niveles inherentemente diferentes de confianza o sensibilidad que
idealmente deberían estar separados en cualquier caso (por ejemplo, investigación y desarrollo y
sistemas financieros versus servidores de archivos o de impresión)
Un modelo de confianza roto no es el único problema con los enfoques centrados en el perímetro para la seguridad de la red.
https://translate.googleusercontent.com/translate_f
54/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Otro factor que contribuye es que los dispositivos y tecnologías de seguridad tradicionales (como los puertos
cortafuegos) comúnmente utilizados para construir perímetros de red permiten demasiado tráfico no deseado
mediante. Las deficiencias típicas a este respecto incluyen la incapacidad para:
● Distinguir definitivamente las aplicaciones buenas de las malas (lo que lleva a
configuración de control de acceso permisivo)
● Tener en cuenta adecuadamente el tráfico de aplicaciones cifradas.
● Identificar y controlar con precisión a los usuarios (independientemente de dónde se encuentren o qué
dispositivos que están usando)
● Filtre el tráfico permitido no solo para las amenazas conocidas transmitidas por aplicaciones, sino también para las desconocidas.
unos
© 2021 Palo Alto Networks, Inc.
67
Página 68
El resultado neto es que rediseñar las defensas de una manera que cree una confianza interna generalizada
fronteras es, en sí mismo, insuficiente. También debe asegurarse de que los dispositivos y tecnologías utilizados
para implementar estos límites, realmente proporcione la visibilidad, el control y la inspección de amenazas
capacidades necesarias para habilitar de forma segura aplicaciones comerciales esenciales sin dejar de frustrar
malware moderno, ataques dirigidos y la exfiltración no autorizada de datos confidenciales.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué es una zona desmilitarizada de red (DMZ)?
A. la parte más segura de la red, utilizada para la infraestructura de seguridad
B. la parte de la red que no protege, por ejemplo, un segmento de red utilizado para
visitantes para acceder a internet
C. la zona de gestión de la base de datos
D. la zona de la red donde colocas los servidores que sirven al exterior, para limitar la exposición
2. ¿Qué tipo de tráfico fluye entre la Internet pública y la DMZ privada?
A. norte-sur
B. este-oeste
C. arriba-abajo
D. tráfico de salida
3. ¿Qué tipo de tráfico fluye dentro de un centro de datos?
A. norte-sur
B. este-oeste
C. arriba-abajo
D. tráfico de salida
4. ¿Cuál es el nombre del dispositivo que se utiliza para proteger el perímetro de una red?
Un interruptor
B. hub
C. módem
D. cortafuegos
https://translate.googleusercontent.com/translate_f
55/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
68
Página 69
1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust
Forrester Research presentó el modelo de seguridad Zero Trust. Aborda algunos de los
limitaciones de las estrategias de seguridad de red basadas en el perímetro al eliminar el supuesto de confianza.
Con Zero Trust, las capacidades de seguridad esenciales se implementan de una manera que proporciona políticas
aplicación y protección para todos los usuarios, dispositivos, aplicaciones y recursos de datos, y
tráfico de comunicaciones entre ellos, independientemente de su ubicación.
En particular, con Zero Trust no hay confianza predeterminada para ninguna entidad, incluidos usuarios, dispositivos,
aplicaciones y paquetes, independientemente de lo que sea y su ubicación en la empresa o en relación con ella
red. Verificación de que las entidades autorizadas siempre están haciendo solo lo que se les permite hacer
Además, ya no es opcional en un modelo Zero Trust: ahora es obligatorio.
Estos cambios implican las siguientes necesidades:
● La necesidad de establecer límites de confianza que compartimenten eficazmente los distintos
segmentos del entorno informático interno. La idea general es mover la seguridad.
funcionalidad más cercana a los bolsillos de recursos que requieren protección. De este modo,
La seguridad siempre se puede hacer cumplir independientemente del punto de origen de los asociados.
tráfico de comunicaciones.
● La necesidad de límites de confianza para hacer más que solo la autorización inicial y el control de acceso.
aplicación. "Verificar siempre" también requiere una supervisión e inspección continuas de
tráfico de comunicaciones asociado para actividades subversivas (como amenazas).
Los beneficios de implementar una red Zero Trust incluyen:
● Eficacia claramente mejorada para mitigar la pérdida de datos con visibilidad y habilitación segura.
de aplicaciones, y detección y prevención de ciberamenazas
● Mayor eficiencia para lograr y mantener el cumplimiento de la seguridad y la privacidad.
mandatos, utilizando límites de confianza para segmentar aplicaciones, sistemas y datos confidenciales
● Capacidad mejorada para habilitar de forma segura iniciativas de TI transformadoras, como la movilidad de los usuarios,
traiga su propio dispositivo (BYOD) y traiga su propio acceso (BYOA), infraestructura
virtualización y computación en la nube
● Menor costo total de propiedad (TCO) con un producto consolidado y completamente integrado
plataforma, en lugar de una variedad dispar de productos de puntos de seguridad en silos y especialmente diseñados
© 2021 Palo Alto Networks, Inc.
69
Página 70
Principios de diseño de Core Zero Trust
Los principios básicos de Zero Trust que definen los objetivos operativos de Zero Trust
https://translate.googleusercontent.com/translate_f
56/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
la implementación incluye:
● Asegúrese de que se acceda a todos los recursos de forma segura, independientemente de la ubicación. Este principio
sugiere no solo la necesidad de múltiples límites de confianza, sino también un mayor uso de seguridad
acceso para la comunicación hacia o desde los recursos, incluso cuando las sesiones se limitan al
"red interna. También significa asegurarse de que los únicos dispositivos que tengan acceso a la
la red tiene el estado y la configuración correctos, tiene un cliente VPN aprobado y
contraseñas y no ejecutan malware.
● Adopte una estrategia de privilegios mínimos y aplique estrictamente el control de acceso. La meta es
Minimizar el acceso permitido a los recursos como un medio para reducir las vías disponibles para
malware y atacantes para obtener acceso no autorizado y, posteriormente, propagarse lateralmente
y / o infiltrarse en datos sensibles.
● Inspeccione y registre todo el tráfico. Este principio reitera la necesidad de "verificar siempre" mientras
También reforzando que una protección adecuada requiere más que la mera aplicación estricta de
control de acceso. También se debe prestar atención cercana y continua a exactamente qué
Las aplicaciones "permitidas" realmente funcionan, y la única forma de lograr estos objetivos es
para inspeccionar el contenido en busca de amenazas.
Arquitectura conceptual de Zero Trust
En Zero Trust, identifica una superficie protegida . La superficie de protección está formada por la red
los datos, activos, aplicaciones y servicios (DAAS) más críticos y valiosos. Las superficies protegidas son
único para cada organización. Debido a que la superficie de protección contiene solo lo más crítico para una
operaciones de la organización, es órdenes de magnitud más pequeñas que la superficie de ataque, y es
siempre conocible.
Con la superficie protegida identificada, puede identificar cómo se mueve el tráfico en la organización en
relación con la superficie protegida. La única forma de determinar y hacer cumplir la política que garantiza la seguridad
El acceso a sus datos es para comprender quiénes son los usuarios, qué aplicaciones están utilizando y
cómo se están conectando. Con una comprensión de las interdependencias entre los DAAS,
infraestructura, servicios y usuarios, debe establecer controles lo más cerca posible de la superficie de protección
como sea posible, creando así un microperímetro a su alrededor. Este microperímetro se mueve con el
proteger la superficie, donde sea que vaya.
Términos clave
● El principio de privilegio mínimo en la seguridad de la red requiere que solo el permiso o el acceso
se otorgan los derechos necesarios para realizar una tarea autorizada.
● Una superficie protegida consta de los datos, activos, aplicaciones y
servicios (DAAS) en una red.
© 2021 Palo Alto Networks, Inc.
70
Página 71
Los componentes principales de una arquitectura conceptual Zero Trust (que se muestra en la Figura 1-7) incluyen:
● Plataforma de segmentación Zero Trust. Se refiere a la Plataforma de Segmentación Zero Trust
como puerta de enlace de segmentación de red de Forrester Research. Es el componente utilizado para
definir los límites de confianza internos. Es decir, la plataforma proporciona la mayor parte de la seguridad
funcionalidad necesaria para cumplir con los objetivos operativos de Confianza Cero, incluida la
habilidad para:
▪ Habilite el acceso seguro a la red
▪ Controle de forma granular el flujo de tráfico hacia y desde los recursos
▪ Monitorear continuamente las sesiones permitidas para detectar cualquier actividad de amenaza.
https://translate.googleusercontent.com/translate_f
57/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 1-7: Arquitectura conceptual Zero Trust
Aunque la Figura 1-7 muestra la plataforma de segmentación de confianza cero como un solo componente en un
ubicación física única, en la práctica, debido al rendimiento, la escalabilidad y
limitaciones: una implementación efectiva es más probable que implique múltiples instancias distribuidas
a lo largo de la red de una organización. La solución también se designa como una "plataforma" para reflejar
que es una agregación de múltiples tecnologías de seguridad distintas (y potencialmente distribuidas)
que operan como parte de un marco de protección integral contra amenazas para reducir la superficie de ataque y
correlacionar la información sobre las amenazas que se encuentran.
● Zonas de confianza: Forrester Research se refiere a una zona de confianza como un micro núcleo y perímetro.
(MCAP). Una zona de confianza es un bolsillo distinto de infraestructura donde los recursos de los miembros
no solo operan con el mismo nivel de confianza, sino que también comparten una funcionalidad similar. Funcionalidad
tales como protocolos y tipos de transacciones deben compartirse porque es necesario para
minimizar el número de vías permitidas de entrada y salida de una zona determinada y, a su vez,
minimizar la posibilidad de que personas internas malintencionadas y otros tipos de amenazas obtengan
acceso no autorizado a recursos sensibles.
© 2021 Palo Alto Networks, Inc.
71
Página 72
Ejemplos de zonas de confianza que se muestran en la Figura 1-7 son la zona de usuario (o campus), una
zona para el acceso de invitados, una zona de datos de titulares de tarjetas, bases de datos y zonas de aplicación para varios niveles
servicios y una zona para aplicaciones web de cara al público.
Recuerde que una zona de confianza no pretende ser un "bolsillo de confianza" donde los sistemas (y
por lo tanto, las amenazas) dentro de la zona pueden comunicarse libre y directamente entre sí.
Para una implementación completa de Zero Trust, la red se configuraría para garantizar que todos
El tráfico de comunicaciones, incluido el tráfico entre dispositivos en la misma zona, es
intermediada por la correspondiente Plataforma de Segmentación Zero Trust.
● Infraestructura de administración: las capacidades de administración centralizada son cruciales para
permitiendo una administración eficiente y un seguimiento continuo, especialmente para
implementaciones que involucran múltiples plataformas distribuidas de segmentación Zero Trust. A
La red de adquisición de datos también proporciona una forma conveniente de complementar la
capacidades de seguimiento y análisis para una plataforma de segmentación de confianza cero. Registros de sesiones
que se han reenviado a una red de adquisición de datos, entonces pueden ser procesados ​por cualquier
número de herramientas y tecnologías de análisis fuera de banda destinadas, por ejemplo, a promover
mejore la visibilidad de la red, detecte amenazas desconocidas o respalde los informes de cumplimiento.
Criterios y capacidades clave de Zero Trust
El núcleo de cualquier arquitectura de seguridad de red Zero Trust es la segmentación Zero Trust
Plataforma, por lo que debes elegir la solución correcta. Criterios y capacidades clave a considerar cuando
La selección de una plataforma de segmentación de confianza cero incluye:
● Acceso seguro: se proporciona conectividad IPsec segura constante y VPN SSL para todos
empleados, socios, clientes e invitados dondequiera que se encuentren (por ejemplo, en
oficinas remotas o sucursales, en la red local o por Internet). Políticas a determinar
qué usuarios y dispositivos pueden acceder a aplicaciones y datos confidenciales se pueden definir en función
en la aplicación, el usuario, el contenido, el dispositivo y el estado del dispositivo.
https://translate.googleusercontent.com/translate_f
58/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Inspección de todo el tráfico: la identificación de la aplicación identifica y clasifica con precisión todo
tráfico, independientemente de los puertos y protocolos, y tácticas evasivas como salto de puerto o
cifrado. La identificación de la aplicación elimina los métodos que el malware puede utilizar para ocultarse
desde la detección y proporciona un contexto completo en aplicaciones, contenido asociado y
amenazas.
● Control de acceso con privilegios mínimos: la combinación de aplicación, usuario y contenido
La identificación ofrece un modelo de control positivo que permite a las organizaciones controlar
interacciones con recursos basados ​en una amplia gama de atributos relevantes para el negocio,
incluyendo la aplicación específica y las funciones individuales que se utilizan, usuario y grupo
identidad, y los tipos específicos o piezas de datos a los que se accede (como tarjeta de crédito o
Números de seguro social). El resultado es un control de acceso verdaderamente granular que permite
las aplicaciones correctas para los conjuntos correctos de usuarios al tiempo que previene automáticamente
que el tráfico no deseado, no autorizado y potencialmente dañino acceda al
red.
© 2021 Palo Alto Networks, Inc.
72
Página 73
● Protección contra ciberamenazas: una combinación de antimalware, prevención de intrusiones y
Las tecnologías de prevención de ciberamenazas brindan una protección integral contra
amenazas conocidas y desconocidas, incluidas las amenazas en dispositivos móviles. Soporte para un cerradobucle, defensa altamente integrada también asegura que los dispositivos de aplicación en línea y otros
Los componentes del marco de protección contra amenazas se actualizan automáticamente.
● Cobertura para todos los dominios de seguridad: los dispositivos virtuales y de hardware establecen
y límites de confianza rentables en toda la red de una organización, incluyendo
en oficinas remotas o sucursales, para usuarios móviles, en el perímetro de Internet, en la nube, en
puntos de entrada en todo el centro de datos y para áreas individuales dondequiera que puedan
existe.
Implementando un diseño Zero Trust
La implementación de un modelo de seguridad de red Zero Trust no requiere una revisión importante de un
la red y la infraestructura de seguridad de la organización. Una arquitectura de diseño Zero Trust puede ser
implementado de una manera que requiere solo modificaciones incrementales a la red existente y es
completamente transparente para sus usuarios. Ventajas de una implementación tan flexible y no disruptiva
enfoque incluyen minimizar el impacto potencial en las operaciones y ser capaz de difundir el
requirió inversión y esfuerzo de trabajo a lo largo del tiempo.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿En qué principio de seguridad se basa un modelo de seguridad de red Zero Trust?
A. debida diligencia
B. privilegio mínimo
C. no repudio
D. control negativo
2. ¿Qué significa Zero Trust?
A. Los sistemas nunca confían en la información que obtienen de otros sistemas
B. Los sistemas no confían unos en otros implícitamente.
C. Los sistemas no confían entre sí de forma explícita.
D. Los sistemas solo confían entre sí dentro del mismo centro de datos.
3. En una arquitectura Zero Trust completa, ¿se pueden comunicar dos dispositivos excepto a través de un
¿punto de seguridad?
R. Sí, pero solo si están en la misma zona de confianza.
B. Sí, pero solo si el nivel de la zona de confianza del cliente es superior al del servidor.
C. No, a menos que pertenezcan a la misma aplicación.
D. No, todo el tráfico debe estar protegido.
https://translate.googleusercontent.com/translate_f
59/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
73
Página 74
Para comenzar, puede configurar una plataforma de segmentación de confianza cero en modo de solo escucha para
obtener una vista detallada de los flujos de tráfico a través de la red, incluyendo dónde, cuándo y para
en qué medida los usuarios específicos están utilizando aplicaciones y recursos de datos específicos.
Una vez que tenga una comprensión detallada de los flujos de tráfico de red en el entorno, el siguiente
El paso es definir las zonas de confianza y establecer gradualmente los límites de confianza correspondientes en función de
riesgo relativo y / o sensibilidad de los datos involucrados:
● Implementar dispositivos en ubicaciones adecuadas para establecer límites de confianza internos para
zonas de confianza
● Configure las políticas de inspección y aplicación adecuadas para poner cada
límite de confianza "en línea"
A continuación, puede establecer progresivamente zonas de confianza y límites para otros segmentos del
entorno informático en función de su grado relativo de riesgo. Ejemplos de donde asegurar la confianza
Las zonas que se pueden establecer son:
● Redes y sistemas de gestión de TI (donde una infracción exitosa podría resultar en
compromiso de toda la red)
● Recursos y conexiones de socios (de empresa a empresa o B2B)
● Conexiones y recursos de alto perfil orientados al cliente (de empresa a consumidor o B2C)
● Sucursales en países o regiones de riesgo, seguidas de todas las demás sucursales.
● Redes de acceso de invitados (tanto inalámbricas como cableadas)
● Redes de campus
Los principios y conceptos de Zero Trust deben implementarse en los principales puntos de acceso a Internet.
Tendrá que reemplazar o aumentar los dispositivos de seguridad de red heredados con Zero Trust
Plataforma de segmentación en esta etapa de implementación para obtener todas las capacidades necesarias y
beneficios de un modelo de seguridad Zero Trust.
1.18 Definir las capacidades de una cartera de productos eficaz
El ciberdelito y los tipos de amenazas a la seguridad continúan evolucionando, desafiando así a las organizaciones
para mantenerse actualizado a medida que se expanden los límites de la red y las superficies de ataque. Violaciones de seguridad y
La pérdida de propiedad intelectual puede tener un gran impacto en las organizaciones. Enfoques actuales para
La seguridad, que se centra principalmente en la detección y reparación, es inadecuada para abordar suficientemente
el aumento del volumen y la sofisticación de los ataques.
Los ciberdelincuentes aprovechan la automatización y el análisis de big data para ejecutar
ataques cada vez más efectivos contra sus objetivos. Los ciberdelincuentes no son la única amenaza:
Los empleados a menudo pueden infringir sin saberlo el cumplimiento corporativo y exponer datos críticos en
ubicaciones como la nube pública.
Debido a la rápida evolución de las aplicaciones que se trasladan a la nube, la descentralización de TI
infraestructura y el panorama de amenazas cada vez mayor, las organizaciones han perdido visibilidad y control.
Los dispositivos están proliferando y el perímetro de la red prácticamente ha desaparecido, dejando a la empresa
© 2021 Palo Alto Networks, Inc.
74
Página 75
https://translate.googleusercontent.com/translate_f
60/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
equipos de seguridad que luchan por habilitar y proteger de manera segura sus negocios, clientes y usuarios.
Debido a que las nuevas amenazas crecen en número y sofisticación, las organizaciones están descubriendo que
Los productos y enfoques de seguridad tradicionales son cada vez menos capaces de proteger sus
redes contra ciberataques avanzados.
Los equipos de desarrollo de aplicaciones y operaciones de TI también están acelerando la entrega de nuevos
aplicaciones para impulsar el crecimiento empresarial mediante la adopción de herramientas y metodologías DevOps, la nube y
tecnologías de contenedores, análisis de big data y automatización y orquestación. Mientras tanto,
las aplicaciones son cada vez más accesibles. El resultado es una red increíblemente compleja que
introduce un riesgo empresarial significativo. Las organizaciones deben minimizar este riesgo sin ralentizarse
el negocio.
Se necesita un enfoque diferente de la seguridad. Los defensores deben reemplazar los productos puntuales en silos con
innovaciones de seguridad que están estrechamente integradas. La seguridad requiere simplicidad. El Palo Alto
La cartera de productos de redes consta de un sistema estrechamente integrado de componentes y servicios,
incluido un ecosistema de socios, que ofrece seguridad constante en toda la red, terminales,
y nube. La cartera de productos es un sistema totalmente integrado que simplifica la seguridad al
aprovechar la información, la automatización, el aprendizaje automático y los datos consolidados de inteligencia sobre amenazas
analítica (consulte la Figura 1-8).
Figura 1-8: Cartera de productos de Palo Alto Networks
© 2021 Palo Alto Networks, Inc.
75
Página 76
La cartera de productos está diseñada para que los equipos de seguridad puedan operar de manera simple y eficiente para
proteger sus organizaciones. La plataforma previene ataques exitosos y detiene los ataques en curso.
al tiempo que proporciona una protección constante para proteger la empresa, la nube y el futuro. El
La cartera de productos se basa en la prevención y está diseñada y construida específicamente para contrarrestar ataques.
antes de que puedan violar el entorno de una organización.
La arquitectura de prevención de la cartera de productos permite a las organizaciones reducir la exposición a amenazas al
primero habilitando aplicaciones para todos los usuarios o dispositivos en cualquier ubicación y luego previniendo las amenazas
dentro de los flujos de aplicaciones, asociando el uso de las aplicaciones a las identidades de los usuarios en entornos físicos, en la nube
entornos basados ​en software como servicio (SaaS).
Para permitir la prevención de ataques cibernéticos exitosos, la cartera de productos ofrece cuatro
https://translate.googleusercontent.com/translate_f
61/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
capacidades:
1. Proporcionar visibilidad completa: para que los administradores de red y los profesionales de la seguridad
comprender el contexto completo de un ataque, se proporciona visibilidad de todos los usuarios y dispositivos
en las aplicaciones de red, endpoint, nube y SaaS de la organización.
2. Reducir la superficie de ataque: las mejores tecnologías que se integran de forma nativa
proporcionan una arquitectura de prevención que reduce inherentemente la superficie de ataque. Este tipo de
La arquitectura permite a las organizaciones ejercer un control positivo basado en aplicaciones, usuarios,
y contenido, con soporte para comunicación abierta, orquestación y visibilidad.
3. Evite todas las amenazas conocidas, rápidamente: una plataforma de seguridad coordinada representa el
alcance de un ataque, a través de los diversos controles de seguridad que componen la postura de seguridad,
permitiendo así a las organizaciones identificar y bloquear rápidamente amenazas conocidas.
4. Detecte y prevenga amenazas nuevas y desconocidas con la automatización: seguridad que simplemente
detecta amenazas y requiere una respuesta manual es demasiado poco, demasiado tarde. Creación automatizada
y entrega de protecciones casi en tiempo real contra nuevas amenazas a los distintos sistemas de seguridad.
Las soluciones en los entornos de la organización permiten actualizaciones dinámicas de políticas. Estos
Las actualizaciones están diseñadas para permitir que las empresas escalen las defensas con tecnología, en lugar de
personas.
La seguridad no debe ser una barrera para la adopción de nueva movilidad, SaaS, nube pública o privada.
tecnologías que permiten la productividad. Organizaciones que tienen una prevención integrada de forma nativa
La primera plataforma de seguridad implementada puede adoptar de forma segura productos innovadores que mejoran la productividad.
aplicaciones y tecnologías, todo mientras se mantiene una prevención integral y consistentepostura de seguridad empresarial orientada.
© 2021 Palo Alto Networks, Inc.
76
Página 77
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué componente de una plataforma operativa de seguridad puede identificar un troyano que no
no usas la red?
A. seguridad de la red
B. seguridad en la nube
C. Protección avanzada de endpoints
D. Servicio de registro SaaS
2. El servicio de registro almacena datos en la nube en una instancia que su organización hace
no controla y, por lo tanto, proporciona protección contra qué?
A. caballos de Troya
B. virus
C. gusanos
D. amenaza interna
1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks
Palo Alto Networks está ayudando a abordar los mayores desafíos de seguridad del mundo con
innovación continua que aprovecha los últimos avances en inteligencia artificial, análisis,
automatización y orquestación. Al ofrecer una plataforma integrada y empoderar a un
ecosistema de socios, Palo Alto Networks está a la vanguardia en la protección de decenas de miles de
organizaciones en nubes, redes y dispositivos móviles.
https://translate.googleusercontent.com/translate_f
62/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
El amplio portafolio de tecnologías y soluciones de seguridad de Palo Alto Networks aborda tres
áreas esenciales de la estrategia de ciberseguridad:
● Asegurar la empresa (estratos):
▪ Cortafuegos de próxima generación de las series PA, VM y K2 de Palo Alto Networks
son la piedra angular de la seguridad de la red empresarial. Estos cortafuegos funcionan con PANOS® y aproveche App-ID, User-ID y Content-ID para proporcionar
visibilidad y control de las aplicaciones en uso en todos los usuarios, dispositivos y ubicaciones.
▪ Servicios de suscripción basados ​en la nube , que incluyen seguridad de DNS, filtrado de URL, amenazas
La prevención y la prevención de malware WildFire® brindan predicciones avanzadas en tiempo real.
análisis, inteligencia artificial y aprendizaje automático, protección contra amenazas de exploits / malware / C2 y global
inteligencia de amenazas a la cartera de productos de Palo Alto Networks.
▪ La gestión de seguridad de la red de Panorama permite el control centralizado, la recopilación de registros y
automatización del flujo de trabajo de políticas en todos sus firewalls de próxima generación (escalable a decenas de
miles de firewalls) desde una única consola central.
© 2021 Palo Alto Networks, Inc.
77
Página 78
● Proteger la nube (Prisma):
▪ Prisma® Cloud es el sistema de protección, gobernanza y
oferta de cumplimiento. Descubre dinámicamente recursos en la nube y datos confidenciales en
AWS, GCP y Azure para detectar configuraciones de riesgo e identificar amenazas de red,
comportamiento de usuario sospechoso, malware, fuga de datos y vulnerabilidades del host. Elimina
puntos ciegos en sus entornos de nube y proporciona protección continua con un
combinación de políticas de seguridad basadas en reglas y aprendizaje automático.
▪ Prisma Access (SASE) ayuda a su organización a brindar seguridad constante a su
redes remotas y usuarios móviles. Es un paso adelante generacional en la seguridad en la nube,
utilizando una arquitectura entregada en la nube para conectar a todos los usuarios a todas las aplicaciones. Toda su
los usuarios, ya sea en su sede, en sucursales o en la carretera, se conectan a Prisma
Acceso para utilizar de forma segura las aplicaciones del centro de datos y la nube, e Internet. Acceso Prisma
inspecciona constantemente todo el tráfico en todos los puertos y proporciona software bidireccional
redes definidas de área amplia (SD-WAN) para habilitar sucursal a sucursal y sucursal a
tráfico de la sede.
▪ Prisma SaaS funciona como un agente de seguridad de acceso a la nube (CASB) multimodo, que ofrece
Protección en línea y basada en API que trabajan juntas para minimizar la gama de riesgos de la nube
que puede dar lugar a infracciones. Con un enfoque de CASB totalmente proporcionado en la nube, puede asegurar
sus aplicaciones SaaS mediante el uso de protecciones en línea para salvaguardar el tráfico en línea
con visibilidad profunda de aplicaciones, segmentación, acceso seguro y prevención de amenazas, y
Protecciones basadas en API para conectarse directamente a aplicaciones SaaS para clasificación de datos, datos
prevención de pérdidas y detección de amenazas.
● Asegurar el futuro (Cortex ® ):
▪ Cortex XDR rompe los silos de la detección y respuesta tradicionales al integrar de forma nativa
datos de red, endpoint y nube para detener ataques sofisticados. Cortex XDR toma
ventaja del aprendizaje automático y los modelos de inteligencia artificial en todas las fuentes de datos al identificar
Amenazas desconocidas y altamente evasivas de dispositivos administrados y no administrados.
▪ Cortex XSOAR es la única orquestación, automatización y respuesta de seguridad (SOAR)
plataforma que combina orquestación de seguridad, gestión de incidentes e interactiva
investigación para servir a los equipos de seguridad durante todo el ciclo de vida del incidente.
▪ Cortex Data Lake permite innovaciones basadas en inteligencia artificial para la ciberseguridad con la industria
único enfoque para normalizar los datos de su empresa. Recopila, integra,
y normaliza los datos en toda su infraestructura de seguridad. El servicio basado en la nube está listo
escalar desde el principio, eliminando así la necesidad de computación o almacenamiento local y
Brindar garantía en la seguridad y privacidad de sus datos.
▪ El servicio de inteligencia de amenazas contextual AutoFocus acelera su capacidad para analizar amenazas
https://translate.googleusercontent.com/translate_f
63/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
y responder a los ciberataques. Acceso instantáneo a datos de amenazas basados ​en la comunidad desde
WildFire, mejorado con contexto profundo y atribución de la Unidad de Palo Alto Networks
42 equipo de investigación de amenazas, ahorra tiempo. Sus equipos de seguridad obtienen información detallada sobre los ataques
con etiquetas Unit 42 prediseñadas que identifican familias de malware, adversarios, campañas,
comportamientos maliciosos y exploits sin la necesidad de un equipo de investigación dedicado.
© 2021 Palo Alto Networks, Inc.
78
Página 79
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el centro de datos?
A. Strata
B. Prisma
C. Corteza
D. WildFire
2. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el acceso remoto y la nube nativa?
tecnologías?
A. Strata
B. Prisma
C. Corteza
D. WildFire
3. ¿Qué paquete de productos de Palo Alto Networks se utiliza para administrar alertas? Obtenga información adicional.
información y orquestar respuestas?
A. Strata
B. Prisma
C. Corteza
D. WildFire
© 2021 Palo Alto Networks, Inc.
79
Página 80
https://translate.googleusercontent.com/translate_f
64/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Dominio del examen 2: el mundo conectado
Con más de 4.500 millones de usuarios de Internet en todo el mundo en 2020, lo que representa más de la mitad del
población mundial, Internet conecta empresas, gobiernos y personas de todo el mundo.
Nuestra dependencia de Internet seguirá creciendo, con casi 30 mil millones de dispositivos y "cosas":
incluidos los vehículos autónomos, los electrodomésticos y la tecnología portátil, que se conectan a
Internet de las cosas (IoT) y casi 9 mil millones de suscripciones de teléfonos inteligentes en todo el mundo utilizando un total
de 160 exabytes (EB) de datos mensuales para 2025.
2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores
En la década de 1960, la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU. (DARPA) creó
ARPANET, el precursor de la Internet moderna. ARPANET fue el primer paquete conmutado
red. Una red de paquetes conmutados divide los datos en pequeños bloques (paquetes), transmite cada
paquete individual de nodo a nodo hacia su destino, y luego vuelve a ensamblar el individuo
paquetes en el orden correcto en el destino.
Cientos de millones de enrutadores ofrecen Protocolo de control de transmisión / Protocolo de Internet
(TCP / IP) que utilizan varios protocolos de enrutamiento (discutidos en la tarea 2.2) en el área local
redes (LAN) y redes de área amplia. El sistema de nombres de dominio (DNS, analizado en
tarea 2.4) habilita direcciones de Internet, como www.paloaltonetworks.com , para traducir al
direcciones IP enrutables.
Los enrutadores son dispositivos físicos o virtuales que envían paquetes de datos a las redes de destino a lo largo de un
ruta de red utilizando direcciones lógicas (discutido en la tarea 2.6). Los enrutadores utilizan varios enrutamiento
protocolos para determinar la mejor ruta a un destino, en función de variables como ancho de banda, costo,
retraso y distancia. Un enrutador inalámbrico combina la funcionalidad de un enrutador y un enrutador inalámbrico
punto de acceso (AP) para proporcionar enrutamiento entre una red cableada e inalámbrica. Un AP es una red
dispositivo que se conecta a un enrutador o red cableada y transmite una señal Wi-Fi para que la conexión inalámbrica
Los dispositivos pueden conectarse a una red inalámbrica (o Wi-Fi). Un repetidor inalámbrico retransmite
señal inalámbrica de un enrutador inalámbrico o AP para ampliar el alcance de una red Wi-Fi.
Un hub (o concentrador ) es un dispositivo de red que conecta varios dispositivos, como computadoras de escritorio.
computadoras, estaciones de conexión para computadoras portátiles e impresoras en una LAN. Tráfico de red que se envía a un concentrador
se difunde desde todos los puertos del concentrador, lo que puede crear congestión en la red e introduce
posibles riesgos de seguridad (los datos de transmisión pueden ser interceptados).
Un conmutador es esencialmente un concentrador inteligente que utiliza direcciones físicas para reenviar paquetes de datos a
dispositivos en una red. A diferencia de un concentrador, un conmutador está diseñado para reenviar paquetes de datos solo al puerto
que corresponde al dispositivo de destino. Este método de transmisión (denominado microsegmentación) crea segmentos de red separados y aumenta efectivamente la transmisión de datos
tarifas disponibles en los segmentos individuales de la red. Además, se puede utilizar un interruptor para implementar
LAN virtuales (VLAN), que segregan lógicamente una red y limitan los dominios de difusión y
dominios de colisión .
© 2021 Palo Alto Networks, Inc.
80
Página 81
Términos clave
● Un enrutador es un dispositivo de red que envía paquetes de datos a una red de destino a lo largo de una red.
sendero.
● Un repetidor inalámbrico retransmite la señal inalámbrica desde un enrutador inalámbrico o AP para extender la
rango de una red Wi-Fi.
● Un hub (o concentrador ) es un dispositivo que se utiliza para conectar varios dispositivos en red en un local.
red de área (LAN).
● Un conmutador es un concentrador inteligente que reenvía paquetes de datos solo al puerto asociado con el
dispositivo de destino en una red.
https://translate.googleusercontent.com/translate_f
65/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Una LAN virtual ( VLAN ) es una red lógica que se crea dentro de una LAN física.
● Un dominio de transmisión es la parte de una red que recibe paquetes de transmisión enviados desde un
nodo en el dominio.
● Un dominio de colisión es un segmento de red en el que los paquetes de datos pueden colisionar entre sí.
durante la transmisión.
Referencias:
"Informe de movilidad de Ericsson, noviembre de 2019". Ericsson. Noviembre de 2019.
https://www.ericsson.com/en/mobility-report.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué dispositivo no procesa direcciones?
Un concentrador
B. cambiar
C. Punto de acceso WiFi
D. enrutador
2. ¿Qué dispositivo procesa direcciones lógicas?
Un concentrador
B. cambiar
C. Punto de acceso WiFi
D. enrutador
3. ¿En qué dispositivo configura las VLAN?
A. repetidor inalámbrico
B. hub
C. interruptor
D. enrutador
© 2021 Palo Alto Networks, Inc.
81
Página 82
2.2 Clasificar protocolos enrutados y de enrutamiento
Los protocolos enrutados, como el Protocolo de Internet (IP), direccionan paquetes con información de enrutamiento que
permite que esos paquetes se transporten a través de redes utilizando protocolos de enrutamiento .
Términos clave
● Una dirección de Protocolo de Internet (IP) es un identificador de 32 o 128 bits asignado a un
dispositivo para comunicaciones en la capa de red del modelo OSI o la capa de Internet del
Modelo TCP / IP.
Los protocolos de enrutamiento se definen en la capa de red del modelo OSI y especifican cómo los enrutadores
comunicarse entre sí en una red. Los protocolos de enrutamiento pueden ser estáticos o dinámicos.
Un protocolo de enrutamiento estático requiere que las rutas se creen y actualicen manualmente en un enrutador o
otro dispositivo de red. Si una ruta estática está inactiva, el tráfico no se puede desviar automáticamente a menos que
Se ha configurado una ruta alternativa. Además, si la ruta está congestionada, el tráfico no puede ser
desviado sobre la ruta alternativa menos congestionada. El enrutamiento estático es práctico solo en muy pequeños
redes o para escenarios de enrutamiento de casos especiales muy limitados (por ejemplo, un destino que es
se utiliza como ruta de respaldo o solo se puede acceder a ella a través de un solo enrutador). Sin embargo, el enrutamiento estático tiene bajas
requisitos de ancho de banda (la información de enrutamiento no se transmite a través de la red) y algunos
en seguridad (los usuarios pueden enrutar solo a destinos especificados en rutas definidas estáticamente).
https://translate.googleusercontent.com/translate_f
66/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Un protocolo de enrutamiento dinámico puede aprender automáticamente rutas nuevas (o alternativas) y determinar la
la mejor ruta a un destino. La tabla de enrutamiento se actualiza periódicamente con el enrutamiento actual.
información. Los protocolos de enrutamiento dinámico se clasifican además como:
● Vector de distancia : un protocolo de vector de distancia toma decisiones de enrutamiento basadas en dos
factores: la distancia (recuento de saltos u otra métrica) y el vector (la interfaz del enrutador de salida). Eso
informa periódicamente a sus pares y / o vecinos de los cambios de topología. La convergencia es la
tiempo necesario para que todos los enrutadores de una red actualicen sus tablas de enrutamiento con la mayor
información actual (como cambios de estado del enlace), y puede ser un problema importante para
protocolos de vector de distancia. Sin convergencia, algunos enrutadores de una red pueden
desconoce los cambios de topología, lo que hace que el enrutador envíe tráfico a una
destino. Durante la convergencia, la información de enrutamiento se intercambia entre enrutadores y
la red se ralentiza considerablemente. La convergencia puede tardar varios minutos en las redes
que utilizan protocolos de vector de distancia.
El protocolo de información de enrutamiento (RIP) es un ejemplo de un protocolo de enrutamiento por vector de distancia que
utiliza el recuento de saltos como métrica de enrutamiento. Para evitar bucles de enrutamiento, en los que los paquetes
se atascan rebotando entre varios nodos del enrutador, RIP implementa un límite de salto de 15, que
limita el tamaño de las redes que puede admitir RIP. Después de que un paquete de datos cruza 15 enrutadores
nodos (saltos) entre un origen y un destino, el destino se considera
inalcanzable. Además de los límites de salto, RIP emplea otros cuatro mecanismos para evitar
bucles de enrutamiento:
© 2021 Palo Alto Networks, Inc.
82
Página 83
▪ Horizonte dividido: evita que un enrutador anuncie una ruta de regreso a través de la misma
interfaz de la que se aprendió la ruta
▪ Actualizaciones activadas: cuando se detecta un cambio, la actualización se envía inmediatamente en lugar de
después del retardo de 30 segundos que normalmente se requiere para enviar una actualización RIP.
▪ Envenenamiento de ruta: establece el recuento de saltos en una ruta incorrecta en 16, lo que efectivamente anuncia
la ruta como inalcanzable
▪ Temporizadores de espera: hacen que un enrutador inicie un temporizador cuando el enrutador recibe por primera vez
información de que un destino es inalcanzable. Actualizaciones posteriores sobre ese destino
no se aceptará hasta que expire el temporizador. Este temporizador también ayuda a evitar problemas
asociado con el aleteo. El aleteo ocurre cuando una ruta (o interfaz) cambia repetidamente
estado (arriba, abajo, arriba, abajo) durante un corto período de tiempo.
● Estado de enlace: un protocolo de estado de enlace requiere que cada enrutador calcule y mantenga un
mapa completo, o tabla de enrutamiento, de toda la red. Enrutadores que usan un estado de enlace
el protocolo transmite periódicamente actualizaciones que contienen información sobre
conexiones, o estados de enlace, a todos los demás enrutadores de la red. Los protocolos de estado de enlace son
intensivos en computación, pero pueden calcular la ruta más eficiente a un destino. Ellos
considerar numerosos factores, como la velocidad del enlace, el retraso, la carga, la confiabilidad y el costo (un
peso o métrica asignados arbitrariamente). La convergencia ocurre muy rápidamente (en segundos)
con protocolos de estado de enlace.
Open Shortest Path First (OSPF) es un ejemplo de un protocolo de enrutamiento de estado de enlace que a menudo es
utilizado en grandes redes empresariales. OSPF enruta el tráfico de la red dentro de una única
sistema (AS). Las redes OSPF se dividen en áreas identificadas por identificadores de área de 32 bits.
Los identificadores de área pueden (pero no es obligatorio) corresponder a direcciones IP de red y pueden
direcciones IP duplicadas sin conflictos.
● Vector de ruta: un protocolo de vector de ruta es similar a un protocolo de vector de distancia pero sin
los problemas de escalabilidad asociados con los recuentos de saltos limitados en los protocolos de vector de distancia.
Cada entrada de la tabla de enrutamiento en un protocolo de vector de ruta contiene información de ruta que se obtiene
actualizado dinámicamente.
Border Gateway Protocol (BGP) es un ejemplo de un protocolo de vector de ruta utilizado entre
sistemas autónomos separados. BGP es el protocolo principal utilizado por los proveedores de servicios de Internet.
(ISP) y proveedores de servicios de red (NSP), y en redes IP privadas muy grandes.
Términos clave
https://translate.googleusercontent.com/translate_f
67/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● La convergencia es el tiempo necesario para que todos los enrutadores de una red actualicen sus tablas de enrutamiento con
la información de enrutamiento más actualizada sobre la red.
● El recuento de saltos generalmente se refiere a la cantidad de nodos de enrutador por los que debe pasar un paquete.
llegar a su destino.
● Un sistema autónomo (AS) es un grupo de rangos de direcciones IP contiguos bajo el control de un
entidad única de internet. A los sistemas autónomos individuales se les asigna un AS de 16 o 32 bits
número (ASN) que identifica de forma exclusiva la red en Internet. Los ASN son asignados por el
Autoridad de Números Asignados de Internet (IANA).
© 2021 Palo Alto Networks, Inc.
83
Página 84
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué es un protocolo enrutado?
A. Abra primero la ruta más corta (OSPF)
B. Protocolo de Internet (IP)
C.Protocolo de puerta de enlace fronteriza (BGP)
D. Protocolo de información de enrutamiento (RIP)
2. ¿Qué tipo de dispositivo utiliza protocolos de enrutamiento para intercambiar información?
A. interruptores
B. hubs
C. enrutadores
D. servidores
3. ¿Cuál es el propósito principal de la información intercambiada por los protocolos de enrutamiento?
A. enrutamiento dinámico
B. enrutamiento estático
C. facturación por acceso a la red
D. publicidad de direcciones MAC
2.3 Resumir topologías y redes de área
La mayoría de las redes informáticas se clasifican en términos generales como redes de área local (LAN) o redes de amplio espectro.
redes de área (WAN).
Una red de área local (LAN) es una red informática que conecta dispositivos de usuario final como
computadoras portátiles y de escritorio, servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos,
Los archivos, el almacenamiento de archivos y otros recursos en red se pueden compartir entre usuarios autorizados en el
LAN. Una LAN opera en un área geográfica relativamente pequeña (como un piso, un edificio o un
grupo de edificios), normalmente a velocidades de hasta 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet),
1,000 Mbps (o 1 Gbps - Gigabit Ethernet) en redes cableadas y 11 Mbps (802.11b), 54 Mbps
(802.11ayg), 450Mbps (802.11n), 1.3Gbps (802.11ac) y 14Gbps (802.11ax - teórico)
en redes inalámbricas. Una LAN puede ser cableada, inalámbrica o una combinación de cableada e inalámbrica.
Ejemplos de equipos de red comúnmente utilizados en LAN incluyen puentes , concentradores, repetidores ,
conmutadores y puntos de acceso inalámbricos (AP).
En las LAN se utilizan comúnmente dos topologías de red básicas (con muchas variaciones):
● Estrella: cada nodo de la red está conectado directamente a un conmutador, concentrador o concentrador,
y todas las comunicaciones de datos deben pasar a través del conmutador, concentrador o concentrador. El
conmutador, hub o concentrador, por lo tanto, puede convertirse en un cuello de botella de rendimiento o un solo punto de
falla en la red. Una topología en estrella es ideal para entornos de prácticamente cualquier tamaño y es
la topología LAN básica más utilizada.
● Malla: todos los nodos están interconectados para proporcionar múltiples rutas a todos los demás recursos. A
La topología de malla se puede utilizar en toda la red o solo para la red más crítica.
componentes, como enrutadores, conmutadores y servidores, para eliminar los cuellos de botella en el rendimiento
y puntos únicos de falla.
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
84
68/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 85
Términos clave
● Una red de área local (LAN) es una red de computadoras que conecta una computadora portátil y una computadora de escritorio.
computadoras, servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos, archivos y archivos
el almacenamiento y otros recursos en red se pueden compartir en un área geográfica relativamente pequeña,
como un piso, un edificio o un grupo de edificios.
● Un puente es un dispositivo de red alámbrico o inalámbrico que extiende una red o se une por separado
segmentos de red.
● Un repetidor es un dispositivo de red que aumenta o retransmite una señal para extender físicamente el
rango de una red cableada o inalámbrica.
● En una topología de anillo , todos los nodos están conectados en un bucle cerrado que forma un anillo continuo y todos
la comunicación viaja en una sola dirección alrededor del anillo. Las topologías de anillo eran comunes en
redes token ring.
● En una topología de bus (o bus lineal) , todos los nodos están conectados a un solo cable (la red troncal) que
se termina en ambos extremos. En el pasado, las redes de bus se usaban comúnmente para muy pequeños
redes porque eran económicas y relativamente fáciles de instalar.
Otras topologías de red que alguna vez fueron populares, como anillo y bus, rara vez se encuentran en
redes.
Una red de área amplia (WAN) es una red informática que conecta varias LAN u otras
WAN en un área geográfica relativamente grande, como una ciudad pequeña, una región o un país, o un
red empresarial global.
Una WAN conecta redes utilizando circuitos de telecomunicaciones y tecnologías como
conmutación de etiquetas multiprotocolo (MPLS), cable de banda ancha , línea de abonado digital (DSL), fibra
óptica, portadora óptica (por ejemplo, OC-3) y portadora T (por ejemplo, T-1) a varias velocidades
normalmente van desde 256 Kbps hasta varios cientos de megabits por segundo. Ejemplos de
Los equipos de red comúnmente utilizados en las WAN incluyen servidores de acceso, unidades de servicio de canal
(CSU) y unidades de servicio de datos (DSU), firewalls, módems, enrutadores, red privada virtual (VPN)
pasarelas y conmutadores WAN.
Términos clave
● T-carrier es un sistema de transmisión digital full-duplex que utiliza varios pares de cables de cobre para
transmitir señales eléctricas a través de una red. Por ejemplo, un circuito T-1 consta de dos pares de
alambre de cobre - un par transmite, el otro par recibe - que se multiplexan para proporcionar un
un total de 24 canales, cada uno de los cuales entrega 64 Kbps de datos, para un ancho de banda total de 1.544 Mbps.
● La conmutación de etiquetas multiprotocolo (MPLS) es una tecnología de red que enruta el tráfico mediante el
ruta más corta basada en "etiquetas", en lugar de direcciones de red, para manejar el reenvío
redes privadas de área amplia.
● El cable de banda ancha es un tipo de acceso a Internet de alta velocidad que ofrece diferentes cargas y
descargar velocidades de datos a través de un medio de red compartido. La velocidad general varía según
la carga de tráfico de la red de todos los suscriptores en el segmento de la red.
● La línea de suscriptor digital (DSL) es un tipo de acceso a Internet de alta velocidad que ofrece diferentes
velocidades de carga y descarga de datos. La velocidad general depende de la distancia desde la casa o
© 2021 Palo Alto Networks, Inc.
85
Página 86
ubicación comercial a la oficina central del proveedor (CO).
● La tecnología de fibra óptica convierte las señales de datos eléctricos en luz y proporciona datos constantes.
velocidades en las direcciones de carga y descarga a través de un medio de cable de fibra óptica dedicado. Fibra
La tecnología óptica es mucho más rápida y segura que otros tipos de tecnología de red.
● Portadora óptica es una especificación para el ancho de banda de transmisión de señales digitales en
Redes de fibra óptica de redes ópticas sincrónicas (SONET). Transmisión de portadora óptica
las tasas se designan por el valor entero del múltiplo de la tasa base (51,84 Mbps). Para
https://translate.googleusercontent.com/translate_f
69/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
ejemplo,
OC-3 designa
una xred
de 155.52 Mbps (3 x 51.84) y OC-192 designa una
Red de 9953,28
Mbps (192
51,84).
Las WAN tradicionales se basan en enrutadores físicos para conectar a los usuarios remotos o de sucursales a las aplicaciones.
alojado en centros de datos. Cada enrutador tiene un plano de datos, que contiene la información y un control
plano, que le dice a los datos a dónde ir. Donde los flujos de datos normalmente están determinados por una red
ingeniero o administrador que escribe reglas y políticas, a menudo manualmente, para cada enrutador en el
red, un proceso que puede llevar mucho tiempo y ser propenso a errores.
Una red de área amplia definida por software (SD-WAN) separa el control y la gestión
procesos desde el hardware de red subyacente, haciéndolos disponibles como software que
se puede configurar e implementar fácilmente. Una consola de control centralizada significa red
Los administradores pueden escribir nuevas reglas y políticas, y luego configurarlas e implementarlas en un
toda la red a la vez.
SD-WAN facilita la gestión y la dirección del tráfico a través de una red. Con tradicional
Enfoques de redes como MPLS, el tráfico creado en la sucursal se devuelve o "backhauled",
a un punto de seguridad de Internet centralizado en un centro de datos de la sede. El retroceso del tráfico puede
menor rendimiento de la aplicación, lo que se traduce en una reducción de la productividad y una mala experiencia del usuario.
Dado que las redes MPLS son redes privadas creadas para una organización determinada, son
considerados fiables y seguros, pero son caros. Además, MPLS no está diseñado para
manejar los altos volúmenes de tráfico WAN que resultan del software como servicio (SaaS)
aplicaciones y adopción de la nube.
En comparación con las WAN tradicionales, las SD-WAN pueden administrar varios tipos de conexiones, incluidas
MPLS, banda ancha, evolución a largo plazo (LTE) y otros, y aplicaciones de soporte alojadas en
centros de datos, nubes públicas y privadas y servicios SaaS. SD-WAN puede enrutar el tráfico de aplicaciones
sobre el mejor camino en tiempo real. En el caso de la nube, SD-WAN puede reenviar enlaces a Internet y
tráfico vinculado a la nube directamente desde la sucursal sin backhauling.
© 2021 Palo Alto Networks, Inc.
86
Página 87
SD-WAN ofrece muchos beneficios a organizaciones distribuidas geográficamente, que incluyen:
● Sencillez: porque cada dispositivo se administra de forma centralizada, con enrutamiento basado en la aplicación
políticas, los administradores de WAN pueden crear y actualizar reglas de seguridad en tiempo real como red
los requisitos cambian. Además, cuando SD-WAN se combina con aprovisionamiento sin intervención, un
característica que ayuda a automatizar los procesos de implementación y configuración, organizaciones
puede reducir aún más la complejidad, los recursos y los gastos operativos necesarios para poner en marcha
nuevos sitios.
● Rendimiento mejorado: al permitir un acceso eficiente a los recursos basados ​en la nube sin
la necesidad de trasladar el tráfico a ubicaciones centralizadas, las organizaciones pueden proporcionar una mejor
experiencia de usuario.
● Costos reducidos: los administradores de red pueden complementar o sustituir los costosos MPLS
con banda ancha y otras opciones de conectividad.
Términos clave
● Una red de área amplia definida por software (SD-WAN) separa el control de red y
procesos de gestión del hardware subyacente en una red de área amplia y los hace
disponible como software.
● Long-Term Evolution (LTE) es un tipo de conexión celular 4G que brinda conectividad rápida
principalmente para uso de Internet móvil.
https://translate.googleusercontent.com/translate_f
70/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
El modelo de internetworking jerárquico es un diseño de red de mejores prácticas, propuesto originalmente por
Cisco, que comprende tres capas:
● Acceso: los servidores y los puntos finales de los usuarios se conectan a la red en esta capa, normalmente a través de
conmutadores de red. Los conmutadores de esta capa pueden realizar algunas funciones de la Capa 3 y también
puede proporcionar energía eléctrica a través de puertos Power over Ethernet (PoE) a otros equipos
conectados a la red, como puntos de acceso inalámbricos o teléfonos VoIP.
● Distribución: esta capa realiza todas las funciones de conmutación y enrutamiento con uso intensivo de cómputo.
en la red, como enrutamiento complejo, filtrado y calidad de servicio (QoS). Interruptores
en esta capa puede haber conmutadores de capa 7 y conectarse a conmutadores de capa de acceso de extremo inferior y
conmutadores de capa de núcleo de gama alta.
● Núcleo: esta capa es responsable del enrutamiento y la conmutación de alta velocidad. Enrutadores y
los conmutadores de esta capa están diseñados para el enrutamiento y reenvío de paquetes de alta velocidad.
Términos clave
● Power over Ethernet (PoE) es un estándar de red que proporciona energía eléctrica a ciertos
dispositivos de red a través de cables Ethernet.
● La calidad de servicio (QoS) es el rendimiento general de aplicaciones o servicios específicos en un
red, incluida la tasa de error, la tasa de bits, el rendimiento, el retardo de transmisión, la disponibilidad y la fluctuación.
Las políticas de QoS se pueden configurar en determinadas redes y dispositivos de seguridad para priorizar determinadas
tráfico (como voz o video) sobre otro tráfico de menor rendimiento.
© 2021 Palo Alto Networks, Inc.
87
Página 88
Además de las LAN y WAN, se utilizan muchos otros tipos de redes de área para diferentes
propósitos:
● Las redes de área de campus (CAN) y las redes de área de campus inalámbricas (WCAN) se conectan
varios edificios en una red de alta velocidad (por ejemplo, en una empresa o universidad
instalaciones).
● Redes de área metropolitana (MAN) y redes de área metropolitana inalámbrica (WMAN)
extender las redes en un área relativamente grande, como una ciudad.
● Las redes de área personal (PAN) y las redes de área personal inalámbricas (WPAN) se conectan
los dispositivos electrónicos de un individuo, como computadoras portátiles, teléfonos inteligentes, tabletas,
asistentes personales (por ejemplo, Amazon Alexa, Apple Siri, Google Assistant y
Microsoft Cortana) y tecnología portátil entre sí o en una red más grande.
● Las redes de área de almacenamiento (SAN) conectan los servidores a un dispositivo de almacenamiento físico separado
(normalmente una matriz de discos).
● Las redes de valor agregado (VAN) son un tipo de extranet que permite a las empresas dentro de una
industria para compartir información o integrar procesos comerciales compartidos.
● Las redes virtuales de área local (VLAN) segmentan los dominios de transmisión en una LAN, generalmente
en grupos lógicos (como departamentos comerciales). Las VLAN se crean en la red
interruptores.
● Las redes inalámbricas de área local (WLAN), también conocidas como redes Wi-Fi, utilizan
puntos de acceso (AP) para conectar dispositivos inalámbricos a una LAN cableada.
● Las redes inalámbricas de área amplia (WWAN) extienden la cobertura de la red inalámbrica a una gran
área, como una región o un país, que normalmente utiliza tecnología celular móvil.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: Internet es un ejemplo de una red de área amplia (WAN).
2. ¿Qué tecnología de red se utiliza para las WAN?
A. Ethernet
B. anillo simbólico
C. línea de abonado digital (DSL)
D. FDDI
https://translate.googleusercontent.com/translate_f
71/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
3. ¿Qué dispositivo crea un dominio de colisión que incluye todas las interfaces a las que está
¿conectado?
Un concentrador
B. cambiar
C. enrutador
D. servidor web
4. ¿Qué requisito debe cumplirse para que un dispositivo cliente utilice un servidor DHCP, asumiendo
¿No hay agentes de retransmisión DHCP?
A. estar en el mismo dominio de colisión
B. estar en el mismo dominio de transmisión
C. tienen una latencia inferior a 20 ms
D. tener la misma máscara de subred
© 2021 Palo Alto Networks, Inc.
88
Página 89
5. ¿Qué tipo de red es más probable que utilice enlaces punto a punto?
A. LAN
B. WAN
C. SD WAN (solo)
D. WAN (solo si no es SD WAN)
2.4 Explicar el propósito del sistema de nombres de dominio (DNS)
El Sistema de nombres de dominio (DNS) es una base de datos de Internet jerárquica y distribuida que se asigna completamente
nombres de dominio calificados (FQDN) para computadoras, servicios y otros recursos, como un sitio web
dirección (también conocida como un localizador uniforme de recursos, o URL) a direcciones IP, similar a cómo un
La lista de contactos en un teléfono inteligente asigna los nombres de empresas e individuos a números de teléfono. Si
desea crear un nuevo nombre de dominio que será accesible a través de Internet, debe registrarse
su nombre de dominio único con un registrador de nombres de dominio , como GoDaddy o Network
Soluciones. Este registro es similar a incluir un nuevo número de teléfono en un directorio telefónico. DNS es
fundamental para el funcionamiento de Internet.
Un servidor de nombres raíz es el servidor de nombres autorizado para una zona raíz DNS. En todo el mundo, 13 root
Los servidores de nombres (en realidad, 13 redes que comprenden cientos de servidores de nombres raíz) están configurados.
Se denominan a.root-servers.net a través de m.root-servers.net. Los servidores DNS suelen ser
configurado con un archivo de sugerencias raíz que contiene los nombres y direcciones IP de los servidores raíz.
Términos clave
● Un nombre de dominio completo (FQDN) es el nombre de dominio completo para una computadora específica,
servicio o recurso conectado a Internet o una red privada.
● Un registrador de nombres de dominio es una organización acreditada por un dominio de nivel superior (TLD).
registro para gestionar los registros de nombres de dominio.
● Un dominio de nivel superior (TLD) es el dominio de nivel más alto en DNS, representado por la última parte de
un FQDN (por ejemplo, .com y .edu). Los TLD más utilizados son genéricos de nivel superior.
dominios (gTLD) (como .com, edu, .net y .org) y dominios de nivel superior con código de país
(ccTLD) (como .ca y .us).
● Un servidor DNS autorizado es el sistema de registro de un dominio determinado.
Un host (como un navegador web en una computadora de escritorio) en una red que necesita conectarse a
otro host (como un servidor web en Internet) primero debe traducir el nombre del destino
host de su URL a una dirección IP. El host de conexión (el cliente DNS) envía una solicitud de DNS a
la dirección IP del servidor DNS que se especifica en la configuración de red del cliente DNS.
Si el servidor DNS tiene autoridad para el dominio de destino, el servidor DNS resuelve la IP
dirección del host de destino y responde a la solicitud de DNS del cliente DNS. Por ejemplo,
está intentando conectarse a un servidor de intranet en su red interna desde el escritorio
computadora en su oficina. Si la dirección del servidor DNS que está configurada en su computadora es una
servidor DNS interno que tiene autoridad para su dominio de intranet, el servidor DNS resuelve la IP
dirección del servidor de intranet. Su computadora luego encapsula la IP de destino resuelta
dirección en el Protocolo de transferencia de hipertexto (HTTP) o Protocolo de transferencia de hipertexto Seguro
(HTTPS) solicita paquetes que se envían al servidor de la intranet.
https://translate.googleusercontent.com/translate_f
72/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
89
Página 90
Si un servidor DNS no tiene autoridad para el dominio de destino (por ejemplo, un sitio web de Internet
dirección), el servidor DNS realiza una consulta recursiva (si está configurado para realizar
consultas) para obtener la dirección IP del servidor DNS autorizado y luego envía el DNS original
solicitud al servidor DNS autorizado. Este proceso es un proceso descendente en el que el DNS
El servidor primero consulta su archivo de sugerencias raíz y consulta a un servidor de nombres raíz para identificar la autoridad
Servidor DNS para el dominio de nivel superior (TLD; por ejemplo, .com) asociado con la consulta DNS.
El servidor DNS luego consulta al servidor TLD para identificar el servidor autorizado para el
dominio que se está consultando (por ejemplo, paloaltonetworks.com). Este proceso continúa hasta
se identifica y consulta el servidor autorizado para el FQDN. El servidor DNS recursivo entonces
responde la solicitud del cliente DNS original con la información de DNS del DNS autorizado
servidor.
DNS sobre HTTPS (DoH) es una implementación más segura del protocolo DNS que usa HTTPS
para cifrar datos entre el cliente DNS y la resolución de DNS.
Los tipos de registros DNS básicos son los siguientes:
● A (IPv4) o AAAA (IPv6) (Dirección): asigna un dominio o subdominio a una dirección IP o
múltiples direcciones IP
● CNAME (nombre canónico): asigna un dominio o subdominio a otro nombre de host
● MX (Intercambiador de correo): especifica el nombre de host o los nombres de host de los servidores de correo electrónico para un
dominio
● PTR (puntero): apunta a un CNAME; de uso común para búsquedas de DNS inversas que mapean
una dirección IP a un host en un dominio o subdominio
● SOA (inicio de autoridad): especifica información autorizada sobre una zona DNS, como
servidor de nombre principal, dirección de correo electrónico del administrador del dominio y número de serie del dominio
número
● NS (servidor de nombres): el registro NS especifica un servidor de nombres autorizado para un host determinado.
● TXT (texto): almacena información basada en texto
Términos clave
● Una intranet es una red privada que proporciona información y recursos, como una empresa.
directorio, políticas y formularios de recursos humanos, archivos de departamento o equipo, y otros
información a los usuarios de una organización. Al igual que Internet, una intranet utiliza HTTP y / o
Protocolos HTTPS, pero el acceso a una intranet normalmente está restringido a los
usuarios. Microsoft SharePoint es un ejemplo popular de software de intranet.
● El Protocolo de transferencia de hipertexto (HTTP) es un protocolo de aplicación que se utiliza para transferir datos entre
servidores web y navegadores web.
● El Protocolo de transferencia de hipertexto seguro (HTTPS) es una versión segura de HTTP que utiliza Secure
Encriptación de capa de sockets (SSL) o seguridad de la capa de transporte (TLS).
● Se realiza una consulta DNS recursiva (si el servidor DNS permite consultas recursivas) cuando un DNS
el servidor no tiene autoridad para un dominio de destino. El servidor DNS no autorizado obtiene
la dirección IP del servidor DNS autorizado para el dominio de destino y envía el original
Solicitud de DNS a ese servidor para ser resuelta.
© 2021 Palo Alto Networks, Inc.
90
Página 91
● DNS sobre HTTPS (DOH) utiliza el protocolo HTTPS para cifrar el tráfico DNS.
Verificación de conocimientos
https://translate.googleusercontent.com/translate_f
73/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv4 de un host?
A. A
B. AAAA
C. PTR
D. MX
2. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv6 de un host?
A. A
B. AAAA
C. PTR
D. MX
3. Un sitio web se llama www.amazing.co.uk. ¿Qué significa eso?
R. El sitio web está alojado en el Reino Unido por una empresa llamada Amazing.
B. El sitio web se puede alojar en cualquier lugar, pero la empresa debe estar ubicada en los Estados Unidos.
Reino.
C. El sitio web se puede alojar en cualquier lugar y la empresa decidió parecer británica.
D. La empresa decidió parecer británica y el sitio web está alojado en los Estados Unidos.
Reino.
2.5 Identificar categorías de Internet de las cosas (IoT)
En 2019, había casi 27 mil millones de dispositivos activos de Internet de las cosas (IoT) en todo el mundo, incluidos
máquina a máquina (M2M), IoT de área amplia, IoT de corto alcance, IoT masivo y crítico, y
dispositivos de computación de borde de acceso múltiple (MEC) (fuente:
https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020).
Términos clave
● Los dispositivos de máquina a máquina (M2M) son dispositivos en red que intercambian datos y pueden
realizar acciones sin interacción humana manual.
● La informática de borde de acceso múltiple (MEC) está definida por la European Telecommunications
Standards Institute (ETSI) como un entorno “caracterizado por una latencia ultrabaja y alta
ancho de banda, así como acceso en tiempo real a la información de la red de radio que puede ser aprovechado por
aplicaciones ".
© 2021 Palo Alto Networks, Inc.
91
Página 92
Las tecnologías de conectividad de IoT se clasifican en términos generales de la siguiente manera:
● Celular:
▪ 2G / 2.5G: la conectividad 2G sigue siendo una opción de conectividad de IoT prevalente y viable debido a
el bajo costo de los módulos 2G, la duración relativamente larga de la batería y la gran base instalada de 2G
sensores y aplicaciones M2M.
▪ 3G: los dispositivos IoT con módulos 3G utilizan el acceso múltiple por división de código de banda ancha
(W-CDMA) o acceso evolucionado a paquetes de alta velocidad (HSPA + y HSPA + avanzado) para
Logre tasas de transferencia de datos de 384 Kbps a 168 Mbps.
▪ 4G / Evolución a largo plazo (LTE): las redes 4G / LTE permiten casos de uso de IoT en tiempo real,
como los vehículos autónomos, con 4G LTE Advanced Pro que ofrece velocidades superiores a
3Gbps y menos de 2 milisegundos de latencia.
▪ 5G. La tecnología celular 5G proporciona mejoras significativas en comparación con 4G / LTE
redes y está respaldado por latencia ultrabaja, conectividad masiva y escalabilidad para IoT
dispositivos, uso más eficiente del espectro con licencia y corte de red para aplicaciones
priorización del tráfico.
https://translate.googleusercontent.com/translate_f
74/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Satélite:
▪ Banda C : el satélite de banda C opera en el rango de 4 a 8 gigahercios (GHz). Se usa en algunos
Dispositivos Wi-Fi y teléfonos inalámbricos, y en sistemas de vigilancia y radares meteorológicos.
▪ Banda L : el satélite de banda L opera en el rango de 1 a 2 GHz. Se usa comúnmente para radar,
sistemas de posicionamiento global (GPS), aplicaciones de radio y telecomunicaciones.
● Inalámbrico de corto alcance:
▪ Adaptive Network Technology + (ANT +): ANT + es una tecnología inalámbrica de multidifusión patentada
tecnología de red de sensores utilizada principalmente en dispositivos portátiles personales, como deportes y
Sensores de fitness.
▪ Bluetooth / Bluetooth de baja energía (BLE): Bluetooth es un dispositivo de corto alcance y bajo consumo.
tecnología de comunicaciones diseñada principalmente para comunicaciones punto a punto
entre dispositivos inalámbricos en una topología de concentrador y radio. BLE (también conocido como Bluetooth
Los dispositivos inteligentes o Bluetooth 4.0+) consumen mucha menos energía que Bluetooth
dispositivos y puede acceder a Internet directamente a través de la conectividad 6LoWPAN.
▪ Protocolo de Internet versión 6 (IPv6) sobre un área personal inalámbrica de bajo consumo
Redes (6LoWPAN): 6LoWPAN permite que el tráfico IPv6 se transmita a través de
redes de malla inalámbricas. 6LoWPAN está diseñado para nodos y aplicaciones que requieren
Conectividad inalámbrica a Internet a velocidades de datos relativamente bajas en factores de forma pequeños, como
bombillas inteligentes y medidores inteligentes.
© 2021 Palo Alto Networks, Inc.
92
Página 93
▪ Wi-Fi / 802.11: El Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) define el
Estándares de protocolo LAN 802. 802.11 es el conjunto de estándares utilizados para las redes Wi-Fi.
normalmente opera en las bandas de frecuencia de 2,4 GHz y 5 GHz. Los más comunes
las implementaciones actuales incluyen:
- 802.11n (etiquetado como Wi-Fi 4 por Wi-Fi Alliance), que funciona tanto en 2,4 GHz
y bandas de 5GHz en rangos de 54Mbps a 600Mbps
- 802.11ac (Wi-Fi 5), que opera en la banda de 5 GHz en rangos de 433 Mbps a
3,46 Gbps
- 802.11ax (Wi-Fi 6), que funciona en las bandas de 2,4 GHz y 5 GHz (y todas
bandas entre 1 y 6 GHz, cuando estén disponibles para el uso de 802.11) en
rangos de hasta 11 Gbps
▪ Z-Wave: Z-Wave es un protocolo de red de malla inalámbrica de baja energía que se utiliza principalmente para
Aplicaciones de domótica como electrodomésticos inteligentes, control de iluminación, seguridad.
sistemas, termostatos inteligentes, ventanas y cerraduras y puertas de garaje.
▪ Zigbee / 802.14: Zigbee es un protocolo de red de malla inalámbrica de bajo costo y bajo consumo
en el estándar IEEE 802.15.4. Zigbee es el protocolo dominante en el bajo consumo
mercado de redes, con una gran base instalada en entornos industriales y hogares inteligentes
productos.
● WAN de bajo consumo (LP-WAN) y otras WAN inalámbricas (WWAN):
▪ IoT de banda estrecha (NB-IoT): NB-IoT ofrece bajo costo, batería de larga duración y alta
densidad de conexión para aplicaciones de interior. Utiliza un subconjunto del estándar LTE en el 200
rango de kilohercios (kHz).
▪ LoRa: LoRa Alliance está impulsando la red de área amplia de largo alcance (LoRaWAN)
Protocolo como el estándar global abierto para áreas amplias de baja potencia de IoT de grado de operador seguro
(LPWA), principalmente para redes públicas a gran escala con un solo operador.
▪ Sigfox: Sigfox proporciona conectividad LPWA celular global basada en suscripción para IoT
dispositivos. La red Sigfox se basa en la modulación de banda ultra estrecha (UNB) y opera
https://translate.googleusercontent.com/translate_f
75/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
en bandas de frecuencia sub-GHz sin licencia.
▪ Interoperabilidad mundial para acceso por microondas (WiMAX): WiMAX es una familia de
Estándares de comunicaciones de banda ancha inalámbrica basados ​en los estándares IEEE 802.16.
Las aplicaciones WiMAX incluyen conectividad de banda ancha móvil portátil, redes inteligentes y
medición y conmutación por error de Internet para la continuidad del negocio.
© 2021 Palo Alto Networks, Inc.
93
Página 94
Identity of Things (IDoT) se refiere a las soluciones de gestión de acceso e identidad (IAM) para
IoT. Estas soluciones deben poder administrar persona a dispositivo, dispositivo a dispositivo y / o dispositivo
al servicio / sistema IAM por:
● Establecimiento de un sistema de nombres para dispositivos IoT.
● Determinar un ciclo de vida de identidad para los dispositivos de IoT, asegurando que se pueda modificar para
cumplir con la vida útil proyectada de los dispositivos de IoT
● Crear un proceso bien definido para registrar dispositivos IoT. El tipo de datos que
El dispositivo estará transmitiendo y recibiendo debe dar forma al proceso de registro.
● Definición de salvaguardas de seguridad para flujos de datos desde dispositivos de IoT.
● Describir procesos de autorización y autenticación bien definidos para el acceso local de administrador.
a los dispositivos conectados
● Crear salvaguardas para proteger diferentes tipos de datos, asegurándose de crear privacidad.
salvaguardas para la información de identificación personal (PII)
Aunque IoT presenta nuevos enfoques y servicios innovadores en todas las industrias, también presenta
nuevos riesgos de ciberseguridad. Según una investigación realizada por la Unidad 42 de Palo Alto Networks
equipo de inteligencia de amenazas, la postura de seguridad general de los dispositivos de IoT está disminuyendo, dejando
organizaciones vulnerables al nuevo malware dirigido a IoT y a técnicas de ataque más antiguas que los equipos de TI
Lo he olvidado durante mucho tiempo. Los hallazgos clave incluyen:
● Los dispositivos de IoT no están cifrados ni seguros: el 98% de todos los dispositivos de IoT.
el tráfico no está encriptado, exponiendo así datos personales y confidenciales en la red.
Los atacantes que han superado con éxito la primera línea de defensa (con mayor frecuencia a través de
ataques de phishing) y el C2 establecido puede escuchar el tráfico de red no cifrado, recopilar
información personal o confidencial, y luego explotar esos datos con fines de lucro en la web oscura.
El cincuenta y siete por ciento de los dispositivos de IoT son vulnerables a ataques de gravedad media o alta,
lo que convierte a IoT en la “fruta madura” para los atacantes. Debido al parche generalmente bajo
nivel de activos de IoT, los ataques más frecuentes son exploits a través de vulnerabilidades conocidas desde hace mucho tiempo.
y ataques de contraseña utilizando contraseñas de dispositivo predeterminadas.
● Los dispositivos de Internet de las cosas médicas (IoMT) están ejecutando software obsoleto: en 2019,
El 83 por ciento de los dispositivos de imágenes médicas se ejecutan en sistemas operativos no compatibles, lo cual es un
Aumento del 56 por ciento con respecto a 2018, como resultado de que el sistema operativo Windows 7 alcanzó su
fin de la vida. Este declive general en la postura de seguridad presenta oportunidades para nuevos
ataques, como el cryptojacking (que aumentó del 0 por ciento en 2017 al 5 por ciento en
2019) y trae de vuelta ataques olvidados como Conficker, cuyos entornos de TI
previamente había sido inmune durante mucho tiempo.
Los dispositivos de IoMT con más problemas de seguridad son los sistemas de imágenes, que representan un
parte fundamental del flujo de trabajo clínico. Para las organizaciones sanitarias, el 51 por ciento de las amenazas
Involucrar dispositivos de imágenes, interrumpir la calidad de la atención y permitir que los atacantes se filtren
datos del paciente almacenados en estos dispositivos.
● Las organizaciones de atención médica muestran una higiene deficiente de la seguridad de la red: setenta y dos
por ciento de las VLAN de atención médica combinan activos de TI y de IoT, lo que permite que el malware se propague desde
https://translate.googleusercontent.com/translate_f
76/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
computadoras de los usuarios a dispositivos IoT vulnerables en la misma red. Hay un 41 por ciento
tasa de ataques que explotan las vulnerabilidades de los dispositivos, a medida que los ataques transmitidos por TI escanean
dispositivos conectados a la red en un intento de aprovechar las debilidades conocidas. Estamos viendo un
© 2021 Palo Alto Networks, Inc.
94
Página 95
pasar de las redes de bots de IoT que realizan ataques de denegación de servicio a ataques más sofisticados
apuntar a identidades de pacientes, datos corporativos y ganancias monetarias a través de ransomware.
● Los ciberataques centrados en IoT tienen como objetivo protocolos heredados: hay una evolución de
amenazas dirigidas a dispositivos de IoT utilizando nuevas técnicas, como peer-to-peer C2
comunicaciones y características parecidas a gusanos para la autopropagación. Los atacantes reconocen
vulnerabilidad de protocolos de tecnología operativa heredada (OT) de décadas de antigüedad, como
Comunicaciones e imágenes digitales en medicina (DICOM) y puede interrumpir
funciones comerciales en la organización.
Zingbox IoT Guardian es una oferta de seguridad de IoT de Palo Alto Networks que automatiza la orquestación
del ciclo de vida de IoT para proporcionar seguridad, gestión y optimización de todos los activos. Zingbox IoT
Guardian utiliza un enfoque único basado en la personalidad de IoT para proteger y administrar los dispositivos de IoT con
seguridad de IoT integrada basada en el aprendizaje automático a lo largo de todos sus ciclos de vida, desde el descubrimiento
hasta la jubilación. Permite a los clientes automatizar la detección de amenazas y la respuesta para su TI e IoT.
infraestructuras de un solo sistema.
Referencias:
Maya, Gilad David. "El resumen de IoT para 2020: estadísticas, riesgos y soluciones". Seguridad hoy.
13 de enero de 2020. https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué dispositivos es M2M (máquina a máquina)?
A. TV conectada a Internet
B. alarma de casa que llama a la policía para responder
C. GPS para coche
D. sensor de temperatura conectado a un sistema de extinción de incendios
2. Los sensores para un campo cultivado deben informar los resultados una vez al día. Estos sensores son
alimentado por baterías que necesitan durar años. ¿Qué forma de conectividad utilizas?
A. Bluetooth
B. Wi-Fi
C. LoRaWAN
D. Banda C satelital
3. ¿Qué dos ventajas hacen que 2G sea una opción popular para los dispositivos IoT celulares? (Escoge dos.)
A. baja latencia
B. latencia alta
C. bajo costo de hardware
D. ancho de banda alto
E. bajo consumo de energía
4. ¿Por qué los dispositivos de IoT son a menudo inseguros?
A. desarrollo apresurado
B. ciclos prolongados de liberación y parche
C. tiempo insuficiente para garantizar la calidad
D. bajo presupuesto de desarrollo
© 2021 Palo Alto Networks, Inc.
95
Página 96
2.6 Revisar la estructura de una dirección IPv4 / IPv6
https://translate.googleusercontent.com/translate_f
77/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
El direccionamiento físico, lógico y virtual en redes informáticas requiere una comprensión básica de
numeración decimal (base10), binaria (base2) y hexadecimal (base16) (consulte la Tabla 2-1).
El sistema de numeración decimal (base10) comprende los números del 0 al 9. Los seres humanos usan el
sistema de numeración decimal porque tenemos diez dedos, por lo que un sistema de numeración de base10 es más fácil
para que los humanos lo entiendan.
Decimal
Hexadecim
Alabama
Binario
0
0
0000
1
1
0001
2
2
0010
3
3
0011
4
4
0100
5
5
0101
6
6
0110
7
7
0111
8
8
1000
9
9
1001
10
A
1010
11
B
1011
12
C
1100
13
D
1101
14
mi
1110
15
F
1111
Tabla 2-1: Notación decimal, hexadecimal y binaria
Un sistema de numeración binario (base2) consta de solo dos dígitos: 1 ("encendido") y 0 ("apagado"). Binario
La numeración se usa en computadoras y redes porque usan transistores eléctricos (en lugar de
que los dedos) para contar. La función básica de un transistor es una puerta: cuando la corriente eléctrica es
presente, la puerta está cerrada (“1” o “encendida”). Cuando no hay corriente eléctrica, la puerta está abierta
("0" o "desactivado"). Con solo dos dígitos, un sistema de numeración binario aumenta a la siguiente posición
con más frecuencia que un sistema de numeración decimal. Por ejemplo, el número decimal uno es
representado en binario como "1", el número dos se representa como "10", el número tres se representa como
"11" y el número cuatro se representa como "100".
Un sistema de numeración hexadecimal (base16) consta de 16 dígitos (del 0 al 9 y de la A a la F).
Se utiliza la numeración hexadecimal porque es más conveniente representar un byte (que consiste en
de 8 bits) de datos como dos dígitos en hexadecimal, en lugar de ocho dígitos en binario. El decimal
los números del 0 al 9 se representan como en hexadecimal "0" a "9", respectivamente. Sin embargo,
© 2021 Palo Alto Networks, Inc.
96
Página 97
el número decimal 10 se representa en hexadecimal como "A", el número 11 se representa como
"B", el número 12 se representa como "C", el número 13 se representa como "D", el número 14 es
representado como "E", y el número 15 se representa como "F" El número 16 luego se incrementa a
la siguiente posición numérica, representada como "10"
La dirección física de un dispositivo de red, conocida como dirección de control de acceso a medios (MAC) (también
denominada dirección incorporada [BIA] o dirección de hardware), se utiliza para reenviar el tráfico en un
segmento de red local. La dirección MAC es un identificador único de 48 bits asignado a la red.
adaptador de un dispositivo. Si un dispositivo tiene varias NIC, cada NIC debe tener una dirección MAC única.
La dirección MAC generalmente la asigna el fabricante del dispositivo y se almacena en el dispositivo.
memoria de solo lectura (ROM) o firmware. Las direcciones MAC normalmente se expresan en hexadecimal.
formato con dos puntos o guion que separan cada sección de 8 bits.
Un ejemplo de una dirección MAC de 48 bits es:
https://translate.googleusercontent.com/translate_f
78/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● 00: 40: 96: 9d: 68: 16
La dirección lógica de un dispositivo de red, como una dirección IP, se utiliza para enrutar el tráfico desde una
red a otra. Una dirección IP es una única de 32 bits o 128 bits (IPv4 e IPv6, respectivamente)
dirección asignada a la NIC de un dispositivo. Si un dispositivo tiene varias NIC, cada NIC puede
asignada una dirección IP única, o varias NIC pueden tener asignada una dirección IP virtual para habilitar
capacidades de agregación de ancho de banda o conmutación por error. Las direcciones IP son estáticas o dinámicamente (la mayoría
comúnmente usando el Protocolo de configuración dinámica de host , o DHCP) asignado, generalmente por un
administrador de red o proveedor de servicios de red (NSP). Las direcciones IPv4 generalmente se expresan
en notación decimal con puntos con un punto que separa cada sección decimal (conocida como octeto ).
Un ejemplo de una dirección IPv4 es:
● 192.168.0.1
Las direcciones IPv6 normalmente se expresan en formato hexadecimal (32 números hexadecimales agrupados
en ocho bloques) con dos puntos que separan cada bloque de cuatro dígitos hexadecimales (conocido como
hexteto ).
Un ejemplo de una dirección IPv6 es:
● 2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a
El direccionamiento IPv4 e IPv6 se explica más adelante.
El Protocolo de resolución de direcciones (ARP) traduce una dirección lógica, como una dirección IP, a una
dirección MAC física. El Protocolo de resolución de dirección inversa (RARP) traduce una MAC física
dirección a una dirección lógica.
© 2021 Palo Alto Networks, Inc.
97
Página 98
Términos clave
● Una dirección de control de acceso a medios (MAC) es un identificador único de 48 o 64 bits asignado a un
tarjeta de interfaz de red (NIC) para comunicaciones en la capa de enlace de datos del modelo OSI.
● El Protocolo de configuración dinámica de host (DHCP) es un protocolo de administración de red que
asigna dinámicamente (arrendamiento) direcciones IP y otros parámetros de configuración de red (como
puerta de enlace predeterminada e información de DNS) a los dispositivos de una red.
● Una puerta de enlace predeterminada es un dispositivo de red, como un enrutador o un conmutador, al que un punto final envía
tráfico de red cuando una aplicación o una aplicación no especifica una dirección IP de destino específica
servicio, o cuando el punto final no sabe cómo llegar a un destino específico.
● Un octeto es un grupo de 8 bits en una dirección IPv4 de 32 bits.
● Un hexteto es un grupo de cuatro dígitos hexadecimales de 4 bits en una dirección IPv6 de 128 bits.
● El Protocolo de resolución de direcciones (ARP) traduce una dirección lógica, como una dirección IP, a una
dirección MAC física. El Protocolo de resolución de dirección inversa (RARP) traduce un
Dirección MAC a una dirección lógica.
DHCP es un protocolo de gestión de red que se utiliza para asignar direcciones IP a los dispositivos de forma dinámica.
que no tienen una dirección IP asignada estáticamente (configurada manualmente) en una red TCP / IP.
Bootstrap Protocol (BOOTP) es un protocolo de administración de red similar que se usa comúnmente
en redes Unix y Linux TCP / IP. Cuando un dispositivo conectado a la red que no tiene
La dirección IP asignada estáticamente está encendida, el software cliente DHCP en el dispositivo transmite
un mensaje DHCPDISCOVER en el puerto UDP 67. Cuando un servidor DHCP en la misma subred (o un
subred diferente si se configura un DHCP Helper o DHCP Relay Agent) cuando el cliente recibe la
Mensaje DHCPDISCOVER, reserva una dirección IP para el cliente y envía un DHCPOFFER
mensaje al cliente en el puerto UDP 68. El mensaje DHCPOFFER contiene la dirección MAC de
el cliente, la dirección IP que se ofrece, la máscara de subred, la duración de la concesión y la IP
dirección del servidor DHCP que realizó la oferta. Cuando el cliente recibe DHCPOFFER,
https://translate.googleusercontent.com/translate_f
79/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
transmite un
DHCPREQUEST
en elDHCPOFFER
puerto UDP 67,
la dirección
Ofrecido.
Unmensaje
cliente puede
recibir mensajes
de solicitando
varios servidores
DHCPIPenque
unasesubred
pero solo puede aceptar una oferta. Cuando se transmite el mensaje DHCPREQUEST, el otro DHCP
servidores que enviaron una oferta que no fue solicitada (en efecto, aceptada) en el DHCPREQUEST
mensaje retirará sus ofertas. Finalmente, cuando el servidor DHCP correcto recibe la
Mensaje DHCPREQUEST, envía un mensaje DHCPACK (reconocimiento) en el puerto UDP 68,
y se completa el proceso de configuración de IP (consulte la Figura 2-1).
© 2021 Palo Alto Networks, Inc.
98
Página 99
Figura 2-1: Funcionamiento DHCP
La traducción de direcciones de red (NAT) virtualiza las direcciones IP al mapear una IP privada no enrutable
direcciones que se asignan a dispositivos de red internos a direcciones IP públicas cuando
Se requiere comunicación a través de Internet. NAT comúnmente se implementa en firewalls y
enrutadores para conservar direcciones IP públicas.
Los paquetes de datos se enrutan a través de un Protocolo de control de transmisión / Protocolo de Internet (TCP / IP)
red utilizando información de direccionamiento IP. IPv4, que es la versión de IP más implementada,
consta de una dirección IP lógica de 32 bits. Los primeros cuatro bits de un octeto se conocen como orden superior
bits el primer bit del octeto se denomina bit más significativo . Los últimos cuatro bits de un octeto
se conocen como bits de orden inferior; el último bit del octeto se denomina bit menos significativo .
Términos clave
● La traducción de direcciones de red (NAT) virtualiza las direcciones IP mediante la asignación de direcciones privadas, no enrutables.
https://translate.googleusercontent.com/translate_f
80/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Direcciones IP asignadas a dispositivos de red internos a direcciones IP públicas.
● Los primeros cuatro bits de un octeto de dirección IPv4 de 32 bits se denominan bits de orden superior .
● Los últimos cuatro bits de un octeto de dirección IPv4 de 32 bits se denominan bits de orden inferior.
● El primer bit de un octeto de dirección IPv4 de 32 bits se denomina bit más significativo .
● El último bit de un octeto de dirección IPv4 de 32 bits se denomina bit menos significativo .
© 2021 Palo Alto Networks, Inc.
99
Página 100
Como se muestra en la Tabla 2-2, cada posición de bit representa su valor si el bit está "activado" (1); de lo contrario, el
el valor del bit es cero ("desactivado" o 0).
Bits de orden superior
128 64
32
Bits de bajo orden
dieciséis
8
4
2
1
Tabla 2-2: Valores de posición de bit en una dirección IPv4
Cada octeto contiene un número de 8 bits con un valor de 0 a 255. La Tabla 2-3 muestra una lista parcial de
valores de octetos en notación binaria.
Decima
l
Decimal binario
Binario
Decim
Binario
Alabama
255 1111 1111
172
1010 1100
64
0100 0000
254 1111 1110
170
1010 1010
32
0010 0000
253 1111 1101
160
1010 0000
dieciséis 0001 0000
252 1111 1100
150
1001 0110
8
0000 1000
251 1111 1011
140
1000 1100
7
0000 0111
250 1111 1010
130
1000 0010
6
0000 0110
249 1111 1001
128
1000 0000
5
0000 0101
248 1111 1000
120
0111 1000
4
0000 0100
224 1110 0000
110
0110 1110
3
0000 0011
200 1100 1000
100
0110 0100
2
0000 0010
192 1100 0000
96
0110 0000
1
0000 0001
180 1011 0100
90
0101 1010
0
0000 0000
Tabla 2-3: Notación binaria de valores de octetos
© 2021 Palo Alto Networks, Inc.
100
Página 101
https://translate.googleusercontent.com/translate_f
81/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Las cinco clases de direcciones IPv4 (indicadas por los bits de orden superior) se muestran en la Tabla 2-4.
Clas
s
A
B
Propósito
Alto orden
Bits
Grandes redes
Talla mediana
Rango de direcciones Max. # de
Hospedadores
0
1 hasta 126
16.777.214
10
128 hasta 191
65.534
110
192 hasta 223
254
1110
224 al 239
─
1111
240 hasta 254
─
redes
C
D
mi
Pequeñas redes
Multidifusión
Experimental
Tabla 2-4: Clases de direcciones IP
El rango de direcciones 127.0.0.1 a 127.255.255.255 es una red de bucle invertido utilizada para pruebas y
solución de problemas. Los paquetes enviados a una dirección de loopback (o localhost) como 127.0.0.1 son
inmediatamente enrutado de regreso al dispositivo fuente.
Una máscara de subred es un número que oculta la porción de red de una dirección IPv4, dejando solo el
porción de host de la dirección IP. La porción de red de una máscara de subred está representada por
bits contiguos "on" (1) que comienzan con el bit más significativo. Por ejemplo, en la máscara de subred
255.255.255.0, los primeros tres octetos representan la porción de red y el último octeto representa el
porción de host de una dirección IP. Recuerde que el número decimal 255 se representa en binario.
notación como 1111 1111 (ver Tabla 2-2).
Términos clave
● Una máscara de subred es un número que oculta la parte de red de una dirección IPv4, dejando solo el
porción de host de la dirección IP.
Las máscaras de subred predeterminadas (o estándar) para las redes de Clase A, B y C son:
● Clase A: 255.0.0.0
● Clase B: 255.255.0.0
● Clase C: 255.255.255.0
Varios rangos de direcciones IPv4 están reservados para su uso en redes privadas y no se pueden enrutar en el
Internet, que incluye:
● 10.0.0.0–10.255.255.255 (Clase A)
● 172.16.0.0–172.31.255.255 (Clase B)
● 192.168.0.0–192.168.255.255 (Clase C)
© 2021 Palo Alto Networks, Inc.
101
Página 102
El espacio de direcciones de 32 bits de una dirección IPv4 limita el número total de direcciones IP públicas únicas
a alrededor de 4,3 mil millones. El uso generalizado de NAT retrasó el inevitable agotamiento de IPv4
direcciones, pero, a partir de 2018, el grupo de direcciones IPv4 disponibles que se pueden asignar a
las organizaciones están oficialmente agotadas. (Cada uno ha reservado un pequeño grupo de direcciones IPv4
registro regional de Internet para facilitar la transición a IPv6.) Direcciones IPv6, que utilizan un
espacio de direcciones hexadecimal que proporciona aproximadamente 3.4 x 10 38 (340 cientos de undecillion) IP única
direcciones, se creó para reemplazar IPv4 cuando se agotó el espacio de direcciones IPv4.
Las direcciones IPv6 constan de 32 números hexadecimales agrupados en ocho hextetos de cuatro
dígitos hexadecimales, separados por dos puntos. Un dígito hexadecimal está representado por 4 bits (consulte la Tabla
2-1), por lo que cada hexteto es de 16 bits (cuatro dígitos hexadecimales de 4 bits) y ocho hextetos de 16 bits equivalen a 128
bits.
https://translate.googleusercontent.com/translate_f
82/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Una dirección IPv6 se divide a su vez en dos segmentos de 64 bits: el primero (también conocido como
"Superior" o "superior") 64 bits representan la parte de red de la dirección, y el último (también denominado
como "inferior" o "inferior") 64 bits representan el nodo o la parte de interfaz de la dirección. El
La parte de la red se subdivide en una dirección de red global de 48 bits y una subred de 16 bits. El
nodo o interfaz parte de la dirección se basa en la dirección MAC del nodo o interfaz.
El formato básico para una dirección IPv6 es:
● xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx
donde x representa un dígito hexadecimal (0 – f).
Este es un ejemplo de una dirección IPv6:
● 2001: 0db8: 0000: 0000: 0008: 0800: 200c: 417a
El Grupo de trabajo de ingeniería de Internet (IETF) ha definido varias reglas para simplificar un IPv6
habla a:
● Se pueden omitir los ceros iniciales en un hexteto individual, pero cada hexteto debe tener al menos
un dígito hexadecimal, excepto como se indica en la siguiente regla. Aplicación de esta regla a la
El ejemplo anterior produce este resultado: 2001: db8: 0: 0: 8: 800: 200c: 417a.
● Se pueden usar dos dos puntos (: :) para representar uno o más grupos de 16 bits de ceros, y
ceros iniciales o finales en una dirección; los dos dos puntos (: :) pueden aparecer solo una vez en una
Dirección IPv6. La aplicación de esta regla al ejemplo anterior produce este resultado:
2001: db8 :: 8: 800: 200c: 417a.
● En entornos mixtos de IPv4 e IPv6, se puede utilizar el formato x: x: x: x: x; x: dddd, en el que
x representa los seis hextetos de 16 bits de alto orden de la dirección yd representa los cuatro
Ordene los octetos de 8 bits (en notación estándar IPv4) de la dirección. Por ejemplo,
0db8: 0: 0: 0: 0: FFFF: 129.144.52.38 es una dirección IPv6 válida. Aplicación de la anterior
dos reglas para este ejemplo producen este resultado: db8 :: ffff: 129.144.52.38.
Las funciones de seguridad de IPv6 se especifican en Solicitud de comentarios (RFC) 7112 e incluyen
técnicas para prevenir vulnerabilidades de fragmentación en encabezados IPv6 e implementación de Internet
Protocolo de seguridad (IPsec) en la capa de red del modelo OSI.
© 2021 Palo Alto Networks, Inc.
102
Página 103
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué opción es un ejemplo de dirección lógica?
A. PI
B. hardware
C. MAC
D. quemado
2. ¿Cuántos bytes hay en una dirección IPv6?
A. 4
B. 8
C. 16
D. 32
3. ¿Qué dos componentes están en una dirección IPv4? (Escoge dos.)
Una red
B. dirección MAC
C. anfitrión
D. tipo de dispositivo
E. número de ruta
4. ¿En qué dos escenarios la traducción de direcciones de red (NAT) reduce el número de
direcciones IP necesarias? (Escoge dos.)
A. los dispositivos son clientes, NAT dinámica que los esconde detrás de una única IP
B. los dispositivos son servidores, NAT dinámica para el equilibrio de carga que los hace parecer un
dispositivo único
https://translate.googleusercontent.com/translate_f
83/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
C. los dispositivos son clientes, NAT estática para permitirles compartir una dirección IP
D. los dispositivos son servidores, NAT estática para permitirles compartir una dirección IP
5. ¿Cómo traduce ARP las direcciones lógicas?
A. Direcciones lógicas IPv6 a IPv4
B. Direcciones lógicas IPv4 a IPv6
C. IPv4 a direcciones MAC
D. IPv6 a direcciones MAC
6. ¿Cuál es el propósito del NDP?
A. Direcciones lógicas IPv6 a IPv4
B. Direcciones lógicas IPv4 a IPv6
C. IPv4 a direcciones MAC
D. IPv6 a direcciones MAC
© 2021 Palo Alto Networks, Inc.
103
Página 104
2.7 Describir el propósito de la división en subredes IPv4
La división en subredes es una técnica que se utiliza para dividir una red grande en subredes múltiples más pequeñas por
segmentar una dirección IP en dos partes: la red y el host. La división en subredes se puede utilizar para
Limitar el tráfico de red o limitar la cantidad de dispositivos que son visibles o pueden conectarse a cada
otro. Los enrutadores examinan las direcciones IP y los valores de subred (llamados máscaras) y determinan si deben
reenviar paquetes entre redes. Con el direccionamiento IP, la máscara de subred es un elemento obligatorio.
Términos clave
● La división en subredes es una técnica que se utiliza para dividir una red grande en subredes más pequeñas.
Para una dirección IPv4 de Clase C, hay 254 direcciones de nodo (o host) posibles (2 8 o 256
direcciones, pero pierde dos direcciones para cada red: una para la dirección de red base y la
otro para la dirección de transmisión). Una red de clase C típica utiliza una máscara de subred predeterminada de 24 bits
(255.255.255.0). Este valor de máscara de subred identifica la porción de red de una dirección IPv4, con
los primeros tres octetos son todos unos (11111111 en notación binaria, 255 en notación decimal). El
máscara muestra el último octeto como cero (00000000 en notación binaria). Para una dirección IPv4 de clase C
con la máscara de subred predeterminada, el último octeto es donde los valores específicos del nodo de la dirección IPv4
son asignados.
Por ejemplo, en una red con una dirección IPv4 de 192.168.1.0 y un valor de máscara de
255.255.255.0, la porción de red de la dirección es 192.168.1 y 254 direcciones de nodo
(192.168.1.1 a 192.168.1.254) están disponibles. Recuerde, la primera dirección (192.168.1.0) es
la red base y la última dirección (192.168.1.255) es la dirección de transmisión.
Las direcciones IPv4 de Clase A y Clase B utilizan valores de máscara más pequeños y admiten un mayor número de
nodos que las direcciones IPv4 de Clase C para sus asignaciones de direcciones predeterminadas. Las redes de clase A utilizan un
máscara de subred predeterminada de 8 bits (255.0.0.0), que proporciona un total de más de 16 millones (256 x 256
x 256) direcciones de nodo IPv4 disponibles. Las redes de clase B utilizan una subred predeterminada de 16 bits (255.255.0.0)
máscara, que proporciona un total de 65.534 (256 x 256, menos la dirección de red y la transmisión
dirección) direcciones de nodo IPv4 disponibles.
A diferencia de la división en subredes, que divide una dirección IPv4 en una dirección arbitraria (predeterminada) de 8 bits con clase.
límite (8 bits para una red de clase A, 16 bits para una red de clase B, 24 bits para una red de clase C
red), el enrutamiento entre dominios sin clases (CIDR) asigna espacio de direcciones en cualquier bit de dirección
límite (conocido como enmascaramiento de subred de longitud variable o VLSM). Por ejemplo, usando CIDR, un
https://translate.googleusercontent.com/translate_f
84/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A la red de clase A se le puede asignar una máscara de 24 bits (255.255.255.0, en lugar del predeterminado de 8 bits
255.0.0.0) para limitar la subred a solo 254 direcciones, o una máscara de 23 bits (255.255.254.0) para
limite la subred a 512 direcciones.
© 2021 Palo Alto Networks, Inc.
104
Página 105
CIDR se utiliza para reducir el tamaño de las tablas de enrutamiento en los enrutadores de Internet agregando múltiples
prefijos de red contigua (conocidos como superredes ).
Términos clave
● El enrutamiento entre dominios sin clases (CIDR) es un método para asignar direcciones IP y enrutamiento IP
que reemplaza el direccionamiento IP con clase (por ejemplo, redes de Clase A, B y C) con IP sin clase
direccionamiento.
● El enmascaramiento de subred de longitud variable (VLSM) es una técnica que permite que los espacios de direcciones IP sean
dividido en diferentes tamaños.
● La creación de superredes agrega varias redes contiguas más pequeñas en una red más grande para permitir
enrutamiento de Internet más eficiente.
Una dirección IP se puede representar con su valor de máscara de subred, utilizando la notación "netbit" o CIDR. A
El valor de netbit representa el número de unos en la máscara de subred y se muestra después de una IP.
dirección, separada por una barra diagonal.
Por ejemplo, 192.168.1.0/24 representa una máscara de subred que consta de 24 unidades:
● 11111111.11111111.11111111.00000000 (en notación binaria)
o
● 255.255.255.0 (en notación decimal)
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué es la máscara de subred para la red 10.2.0.0/20?
A. 255.0.0.0
B. 255.255.0.0
C. 255.255.240.0
D. 255.255.255.0
2. ¿Qué dos redes son subredes de 10.2.0.0/20? (Seleccione dos)
A. 10.2.0.0/19
B. 10.2.5.0/24
C. 10.2.20.0/24
D. 10.2.14.0/28
E. 10.2.0.0/16
3. ¿Cuál es el número máximo teórico de dispositivos en una clase B?
A.2 ^ 24-2 = 16777214
B.2 ^ 20-2 = 1048574
C. 2 ^ 16-2 = 65534
D. 2 ^ 8-2 = 254
4. ¿Cuántas subredes / 28 caben en una clase C?
A. 2
B. 4
C. 8
D. 16
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
105
85/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 106
2.8 Revise los modelos OSI y TCP / IP
El Protocolo de Interconexión de Sistemas Abiertos (OSI) y el Protocolo de Control de Transmisión / Protocolo de Internet
Los modelos (TCP / IP) definen protocolos estándar para la comunicación de red y la interoperabilidad.
Utilizando un enfoque en capas, los modelos OSI y TCP / IP:
● Aclarar las funciones generales de los procesos de comunicación.
● Reducir los complejos procesos de redes a subcapas y componentes más simples.
● Promover la interoperabilidad a través de interfaces estándar.
● Permitir que los proveedores cambien características individuales en una sola capa en lugar de reconstruir el
pila de protocolos completa
● Facilitar la resolución de problemas lógicos
El modelo OSI está definido por la Organización Internacional de Normalización (ISO, no una
acrónimo pero el nombre organizacional adoptado del griego isos , que significa "igual") y
consta de siete capas:
● Aplicación (Capa 7 o L7): esta capa identifica y establece la disponibilidad de
socios de comunicación, determina la disponibilidad de recursos y sincroniza
comunicación. Los protocolos que funcionan en la capa de aplicación incluyen:
▪ Protocolo de transferencia de archivos (FTP): se utiliza para copiar archivos de un sistema a otro en TCP
puertos 20 (el puerto de datos) y 21 (el puerto de control)
▪ Protocolo de transferencia de hipertexto (HTTP): se utiliza para la comunicación entre servidores web
y navegadores web en el puerto TCP 80
▪ Protocolo seguro de transferencia de hipertexto (HTTPS): se utiliza para cifrado SSL / TLS
comunicaciones entre servidores web y navegadores web en el puerto TCP 443 (y otros
puertos, como 8443)
▪ Protocolo de acceso a mensajes de Internet (IMAP): un correo electrónico de almacenamiento y reenvío
Protocolo que permite a un cliente de correo electrónico acceder, administrar y sincronizar el correo electrónico de forma remota.
servidor de correo en el puerto TCP y UDP 143
▪ Protocolo de oficina postal versión 3 (POP3): un protocolo de recuperación de correo electrónico que permite
cliente de correo electrónico para acceder al correo electrónico en un servidor de correo remoto en el puerto TCP 110
▪ Protocolo simple de transferencia de correo (SMTP): se utiliza para enviar y recibir correo electrónico a través de
Internet en el puerto TCP / UDP 25
▪ Protocolo simple de administración de red (SNMP): se utiliza para recopilar información de la red
mediante mesas de votación y envío de trampas (o alertas) a una estación de administración en TCP / UDP
puertos 161 (agente) y 162 (administrador)
▪ Telnet. Proporciona emulación de terminal para acceso remoto a los recursos del sistema en TCP / UDP
puerto 23
© 2021 Palo Alto Networks, Inc.
106
Página 107
● Presentación (capa 6 o L6): esta capa proporciona funciones de codificación y conversión
(como representación de datos, conversión de caracteres, compresión de datos y datos
cifrado) para garantizar que los datos enviados desde la capa de aplicación de un sistema
compatible con la capa de aplicación del sistema de recepción. Protocolos que funcionan en
la capa de presentación incluye:
▪ Código estándar americano para el intercambio de información (ASCII): un carácter
esquema de codificación basado en el alfabeto inglés, que consta de 128 caracteres
▪ Código de intercambio decimal codificado en binario extendido (EBCDIC): un carácter de 8 bits
esquema de codificación utilizado principalmente en computadoras mainframe y de rango medio
https://translate.googleusercontent.com/translate_f
86/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
▪ Formato de intercambio de gráficos (GIF): un formato de imagen de mapa de bits que permite hasta 256
colores y es adecuado para imágenes o logotipos (pero no fotografías)
▪ Grupo conjunto de expertos en fotografía (JPEG): método de compresión fotográfica utilizado
almacenar y transmitir fotografías
▪ Motion Picture Experts Group (MPEG): un método de compresión de audio y video
utilizado para almacenar y transmitir archivos de audio y video
● Sesión (Capa 5 o L5): esta capa administra las sesiones de comunicación (solicitudes de servicio
y respuestas de servicio) entre sistemas en red, incluido el establecimiento de la conexión,
transferencia de datos y liberación de conexión. Los protocolos que funcionan en la capa de sesión incluyen:
▪ Sistema de archivos de red (NFS): facilita el acceso transparente de los usuarios a los recursos remotos en un
Red TCP / IP basada en Unix
▪ Llamada a procedimiento remoto (RPC): un protocolo de redirección de red cliente-servidor
▪ Secure Shell (SSH): establece un túnel cifrado entre un cliente y un servidor
▪ Protocolo de inicio de sesión (SIP): un estándar de protocolo de señalización abierto para establecer,
administrar y finalizar comunicaciones en tiempo real (como voz, video y texto)
a través de grandes redes basadas en IP
● Transporte (Capa 4 o L4): esta capa proporciona transporte de datos transparente y confiable y
control de transmisión de extremo a extremo. Las funciones específicas de la capa de transporte incluyen:
▪ Control de flujo: gestiona la transmisión de datos entre dispositivos asegurándose de que
el dispositivo de transmisión no envía más datos de los que el dispositivo de recepción puede procesar
▪ Multiplexación: permite que los datos de varias aplicaciones se transmitan simultáneamente
a través de un solo enlace físico
▪ Gestión de circuitos virtuales: establece, mantiene y finaliza circuitos virtuales.
▪ Comprobación y recuperación de errores : detecta errores de transmisión y resuelve cualquier error que
ocurrir, como solicitar que los datos sean retransmitidos
Los números de puerto TCP y UDP asignados a aplicaciones y servicios se definen en el
capa. Los protocolos que funcionan en la capa de transporte incluyen:
▪ Protocolo de control de transmisión (TCP): orientado a la conexión (una conexión directa
entre dispositivos de red se establece antes de que se transfieran los segmentos de datos) protocolo
que proporciona una entrega confiable (los segmentos recibidos se reconocen y la retransmisión
de segmentos faltantes o dañados) de datos. Se establecen conexiones TCP
mediante un apretón de manos de tres vías . La sobrecarga adicional asociada con la conexión
El establecimiento, el reconocimiento y la corrección de errores significa que TCP generalmente es más lento
que los protocolos sin conexión como el Protocolo de datagramas de usuario (UDP).
© 2021 Palo Alto Networks, Inc.
107
Página 108
▪ Protocolo de datagramas de usuario (UDP): sin conexión (una conexión directa entre
los dispositivos de red no se establecen antes de que se transfieran los datagramas ) protocolo que
proporciona una entrega con el mejor esfuerzo (los datagramas recibidos no se reconocen y faltan o
no se solicitan datagramas corruptos) de datos. UDP no tiene gastos generales asociados con
establecimiento de conexión, reconocimiento, secuenciación o verificación y recuperación de errores.
UDP es ideal para datos que requieren una entrega rápida, si esos datos no son sensibles a la pérdida de paquetes
y no necesita estar fragmentado. Las aplicaciones que usan UDP incluyen el nombre de dominio
Sistema (DNS), Protocolo simple de administración de red (SNMP) y transmisión de audio o
video.
▪ Protocolo de transmisión de control de flujo (SCTP): un protocolo orientado a mensajes (similar
a UDP) que asegura un transporte en secuencia confiable con control de congestión (similar a
TCP).
● Red (Capa 3 o L3): esta capa proporciona enrutamiento y funciones relacionadas que permiten
datos a ser transportados entre sistemas en la misma red o en interconectados
redes. Los protocolos de enrutamiento se definen en esta capa. Direccionamiento lógico de dispositivos en
la red se logra en esta capa utilizando protocolos enrutados como el Protocolo de Internet
(IP). Los enrutadores operan en la capa de red del modelo OSI.
● Enlace de datos (capa 2): esta capa garantiza que los mensajes se envíen al dispositivo adecuado
a través de un enlace de red físico. Esta capa también define el protocolo de red (para
ejemplo, Ethernet) que se utiliza para enviar y recibir datos entre dispositivos y formatos individuales
mensajes de las capas en marcos para su transmisión, maneja punto a punto
https://translate.googleusercontent.com/translate_f
87/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
sincronización
y control
de errores,
puede realizar
el cifrado demulticapa
enlaces. Interruptores
operan en la Capa
2 del modelo
OSIy(aunque
los conmutadores
que operan entípicamente
también existen diferentes capas). La capa de enlace de datos se divide en dos subcapas:
▪ Control de enlace lógico (LLC): la subcapa LLC proporciona una interfaz para el MAC
subcapa gestiona el control, la secuenciación y el reconocimiento de las tramas que se pasan
hasta la capa de red o hasta la capa física; y gestiona el tiempo y el flujo
control .
▪ Control de acceso a medios (MAC): la subcapa MAC es responsable de la estructura y
realiza el control de errores mediante una verificación de redundancia cíclica (CRC), identifica MAC
direcciones y controla el acceso a los medios.
● Física (Capa 1 o L1): esta capa envía y recibe bits a través del medio de red.
(cableado o enlaces inalámbricos) de un dispositivo a otro. Especifica la eléctrica,
requisitos mecánicos y funcionales de la red, incluida la topología de la red,
cableado y conectores, y tipos de interfaz, y el proceso para convertir bits a
señales eléctricas (o luminosas) que se pueden transmitir a través del medio físico.
© 2021 Palo Alto Networks, Inc.
108
Página 109
Términos clave
● En TCP, se utiliza un protocolo de enlace de tres vías para establecer una conexión. Por ejemplo, una PC inicia una
conexión con un servidor mediante el envío de un paquete TCP SYN (Sincronizar). El servidor responde con
un paquete SYN ACK (Sincronizar acuse de recibo). Finalmente, la PC envía un ACK o SYNPaquete ACK-ACK que reconoce el reconocimiento del servidor y la comunicación de datos
comienza.
● Un datagrama UDP es una PDU definida en la capa de transporte del modelo OSI.
● El control de flujo supervisa el flujo de datos entre dispositivos para garantizar que un dispositivo receptor,
que no necesariamente esté operando a la misma velocidad que el dispositivo transmisor, no
descartar paquetes.
● Una verificación de redundancia cíclica (CRC) es una suma de verificación que se utiliza para crear un perfil de mensaje. El CRC es
recalculado por el dispositivo receptor. Si el CRC recalculado no coincide con el CRC recibido,
el paquete se descarta y se transmite una solicitud para reenviar el paquete al dispositivo que
envió el paquete.
El modelo TCP / IP fue desarrollado por el Departamento de Defensa de EE. UU. (DoD) y en realidad
precedió al modelo OSI. Considerando que el modelo OSI es un modelo teórico utilizado para lógicamente
describir los procesos de red, el modelo TCP / IP define los requisitos de red reales, para
por ejemplo, para la construcción de marcos. El modelo TCP / IP consta de cuatro capas (consulte la Figura 2-2):
● Aplicación (Capa 4 o L4): esta capa consta de aplicaciones y procesos de red,
y corresponde vagamente a las Capas 5 a 7 del modelo OSI.
● Transporte (Capa 3 o L3): esta capa proporciona una entrega de un extremo a otro y corresponde
a la Capa 4 del modelo OSI.
● Internet (Capa 2 o L2): esta capa define el datagrama IP y el enrutamiento, y
corresponde a la Capa 3 del modelo OSI.
● Acceso a la red (capa 1 o L1): también denominada capa de enlace, esta capa contiene
rutinas para acceder a redes físicas, y corresponde a las Capas 1 y 2 del OSI
modelo.
https://translate.googleusercontent.com/translate_f
88/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
109
Página 110
Figura 2-2: El modelo OSI y el modelo TCP / IP
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿El modelo OSI consta de cuántas capas?
A. cuatro
B. seis
C. siete
D. nueve
2. ¿Qué dos protocolos funcionan en la capa de transporte del modelo OSI? (Escoge dos.).
A. Protocolo de control de transmisión (TCP)
B. Protocolo de Internet (IP)
C.Protocolo de datagramas de usuario (UDP)
D. Protocolo de transferencia de hipertexto (HTTP)
3. ¿Qué cuatro capas componen el modelo TCP / IP? (Elija cuatro).
A. Aplicación
B. Transporte
C. Físico
D. Internet
E. Acceso a la red
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
110
89/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 111
4. ¿Qué opción muestra las capas ISO en el orden correcto (de la capa inferior a la superior)?
A. Físico, transporte, red, sesión, enlace de datos, presentación, aplicación
B. Físico, enlace de datos, red, aplicación, presentación, transporte, sesión
C.Físico, enlace de datos, transporte, sesión, presentación, red, aplicación
D. Físico, enlace de datos, red, transporte, sesión, presentación, aplicación
5. ¿Ethernet y WiFi incluyen elementos de cuáles dos capas? (Escoge dos.)
Una sesión
B. Transporte
C. Red
D. Enlace de datos
E. Físico
6. ¿El protocolo de Internet en sí proporciona la funcionalidad de qué capa?
A. Transporte
B. Red
C. Enlace de datos
D. Físico
7. Cuando HTTP se usa directamente en las páginas web del servidor, ¿es un protocolo de qué capa?
A. Aplicación
B. Presentación
C. Sesión
D. Transporte
8. Cuando se usa HTTP para enviar solicitudes REST, ¿es un protocolo de qué capa?
A. Aplicación
B. Presentación
C. Sesión
D. Transporte
2.9 Explicar el proceso de encapsulación de datos
En una red con conmutación de circuitos, se establece, mantiene y mantiene una ruta de circuito físico dedicada.
termina entre el remitente y el receptor a través de una red para cada sesión de comunicaciones.
Antes del desarrollo de Internet, la mayoría de las redes de comunicaciones, como las telefónicas
redes de la empresa, estaban conmutadas por circuitos. Internet es una red de paquetes conmutados que comprende
cientos de millones de enrutadores y miles de millones de servidores y terminales de usuario. En un paquete de conmutación
red, los dispositivos comparten ancho de banda en los enlaces de comunicaciones para transportar paquetes entre un
remitente y receptor a través de una red. Este tipo de red es más resistente a errores y
congestión que las redes de conmutación de circuitos.
Una aplicación que necesita enviar datos a través de la red (por ejemplo, de un servidor a un cliente
computadora) primero crea un bloque de datos y lo envía a la pila TCP en el servidor. La pila de TCP
coloca el bloque de datos en un búfer de salida en el servidor y determina el máximo
tamaño de segmento (MSS) de bloques TCP individuales ( segmentos ) permitidos por el servidor operativo
sistema. La pila de TCP luego divide los bloques de datos en segmentos de tamaño apropiado (por
ejemplo, 1460 bytes), agrega un encabezado TCP y envía el segmento a la pila de IP en el servidor.
La pila de IP agrega direcciones IP de origen (remitente) y destino (receptor) al segmento TCP
(que ahora se llama paquete IP) y notifica al sistema operativo del servidor que tiene un
© 2021 Palo Alto Networks, Inc.
111
Página 112
mensaje saliente que está listo para enviarse a través de la red. Cuando el sistema operativo del servidor
está listo, el paquete IP se envía al adaptador de red, que convierte el paquete IP a bits y
envía el mensaje a través de la red.
Los paquetes que se dirigen a la computadora de destino generalmente atraviesan varias redes y dispositivos de seguridad.
dispositivos (como conmutadores, enrutadores y cortafuegos) antes de llegar a la computadora de destino,
https://translate.googleusercontent.com/translate_f
90/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
donde se invierte el proceso de encapsulación descrito.
Términos clave
● En una red de conmutación de circuitos, se establece, se mantiene y se
terminado entre el remitente y el receptor a través de una red para cada comunicación
sesión.
● En una red de conmutación de paquetes , los dispositivos comparten ancho de banda en los enlaces de comunicaciones para transportar
paquetes entre el remitente y el receptor a través de una red.
● Un segmento TCP es una unidad de datos de protocolo (PDU) definida en la capa de transporte del modelo OSI.
● Una unidad de datos de protocolo (PDU) es una unidad de datos autónoma (que consta de datos de usuario o control
información y direccionamiento de red).
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. En un paquete TCP enviado a través de Ethernet, ¿cuál es el orden de los datos?
A. Encabezado de Ethernet, encabezado de TCP y luego datos de TCP
B. Encabezado IP, encabezado TCP y luego datos TCP
C. Encabezado de Ethernet, encabezado de IP, encabezado de TCP y luego datos de TCP
D. Encabezado de Ethernet, encabezado de IP, datos de IP, encabezado de TCP y luego datos de TCP
2. ¿Qué encabezado no aparece en todos los paquetes de una transferencia de archivos HTTP a través de Ethernet?
A. Ethernet
B. PI
C. TCP
D. HTTP
2.10 Clasifique varios tipos de firewalls de red
Los cortafuegos han sido una piedra angular de la seguridad de la red desde los primeros días de Internet. A
El firewall es una plataforma de hardware y / o software que controla el flujo de tráfico entre un
red (como una LAN corporativa) y una red que no es de confianza (como Internet).
© 2021 Palo Alto Networks, Inc.
112
Página 113
Cortafuegos de filtrado de paquetes
Los cortafuegos de filtrado de paquetes de primera generación (también conocidos como basados ​en puertos ) tienen las siguientes
caracteristicas:
● Operan hasta la capa 4 (capa de transporte) del modelo OSI e inspeccionan
encabezados de paquetes para determinar la dirección IP de origen y destino, el protocolo (TCP, UDP,
ICMP) y número de puerto.
● Coinciden con la dirección IP de origen y destino, el protocolo y la información del número de puerto.
contenido dentro de cada encabezado de paquete a una regla correspondiente en el firewall que
designa si el paquete debe permitirse, bloquearse o descartarse.
● Ellos inspeccionan y manejan cada paquete individualmente, sin información sobre el contexto o
sesión.
Cortafuegos de inspección de paquetes con estado
Firewall de inspección de paquetes de estado de segunda generación (también conocido como filtrado dinámico de paquetes )
tienen las siguientes características:
● Operan hasta la capa 4 (capa de transporte) del modelo OSI y mantienen el estado
información sobre las sesiones de comunicación que se han establecido entre hosts
en las redes confiables y no confiables.
https://translate.googleusercontent.com/translate_f
91/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Inspeccionan los encabezados de los paquetes individuales para determinar la dirección IP de origen y destino,
protocolo (TCP, UDP e ICMP) y el número de puerto (solo durante el establecimiento de la sesión) para
determinar si la sesión debe permitirse, bloquearse o descartarse en función de
reglas de firewall configuradas.
● Después de que se establece una conexión permitida entre dos hosts, el firewall crea y
elimina las reglas de firewall para conexiones individuales, según sea necesario, creando así un
túnel que permite que el tráfico fluya entre los dos hosts sin una inspección adicional de
paquetes individuales durante la sesión.
● Este tipo de firewall es muy rápido, pero está basado en puertos y depende en gran medida de la
confiabilidad de los dos hosts porque los paquetes individuales no se inspeccionan después de la
Se establece la conexión.
Cortafuegos de aplicaciones
Aplicación de tercera generación (también conocida como puertas de enlace de capa de aplicación , basadas en proxy y
Los cortafuegos de proxy inverso ) tienen las siguientes características:
● Operan hasta la capa 7 (capa de aplicación) del modelo OSI y controlan el acceso a
aplicaciones y servicios específicos en la red.
● Representan el tráfico de la red en lugar de permitir la comunicación directa entre hosts.
Las solicitudes se envían desde el host de origen a un servidor proxy, que analiza el contenido
de los paquetes de datos y, si se permite, envía una copia de los paquetes de datos originales al
host de destino.
© 2021 Palo Alto Networks, Inc.
113
Página 114
Inspeccionan el tráfico de la capa de aplicación y, por lo tanto, pueden identificar y bloquear contenido específico,
malware, exploits, sitios web y aplicaciones o servicios que utilizan técnicas de ocultación como
cifrado y puertos no estándar. Los servidores proxy también se pueden utilizar para implementar un usuario fuerte
autenticación y filtrado de aplicaciones web y para enmascarar la red interna de no confiables
redes. Sin embargo, los servidores proxy tienen un impacto negativo significativo en el rendimiento general.
de la red.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: filtrado dinámico de paquetes (también conocido como inspección de paquetes con estado)
El cortafuegos solo inspecciona los encabezados de los paquetes individuales durante el establecimiento de la sesión para
Determine si el firewall debe permitir, bloquear o eliminar el tráfico.
Una vez establecida una sesión, los paquetes individuales que forman parte de la sesión no se
inspeccionado.
2. ¿Qué tipo de firewall de red proporciona traducción de direcciones de cliente de forma predeterminada?
A. filtrado de paquetes
B. inspección de paquetes con estado
C. aplicación
D. próxima generación
3. ¿Qué tipo de firewall requiere la menor cantidad de RAM por conexión?
A. filtrado de paquetes
B. inspección de paquetes con estado
C. aplicación
D. próxima generación
2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones
Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) proporcionan información en tiempo real
Monitorear el tráfico de la red y realizar una inspección y un análisis de paquetes profundos de la red.
actividad y datos. A diferencia de los firewalls tradicionales de filtrado de paquetes y de inspección de paquetes
examinar solo la información del encabezado del paquete, un IDS / IPS examina tanto el encabezado del paquete como el
https://translate.googleusercontent.com/translate_f
92/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
carga útil del tráfico de la red. El IDS / IPS intenta hacer coincidir patrones conocidos-malos o maliciosos (o
firmas) que se encuentran dentro de los paquetes inspeccionados. Por lo general, se implementa un IDS / IPS para detectar y bloquear
explotaciones de vulnerabilidades de software en redes objetivo.
La principal diferencia entre un IDS y un IPS es que un IDS se considera un pasivo.
sistema, mientras que un IPS es un sistema activo. Un IDS monitorea y analiza la actividad de la red y
proporciona alertas sobre posibles ataques y vulnerabilidades en la red, pero no realiza ninguna
acción preventiva para detener un ataque. Un IPS, sin embargo, realiza todas las mismas funciones que un
IDS, pero también bloquea o elimina automáticamente la actividad sospechosa de coincidencia de patrones en la red
en tiempo real. Sin embargo, un IPS tiene algunas desventajas, que incluyen:
● Debe colocarse en línea a lo largo de un límite de red y, por lo tanto, es directamente susceptible a
atacarse a sí mismo.
● Las falsas alarmas deben identificarse y filtrarse correctamente para evitar el bloqueo inadvertido.
© 2021 Palo Alto Networks, Inc.
114
Página 115
usuarios autorizados y aplicaciones. Un falso positivo ocurre cuando el tráfico legítimo es
identificado incorrectamente como tráfico malicioso. Se produce un falso negativo cuando el tráfico malicioso
se identifica incorrectamente como tráfico legítimo.
● Puede usarse para implementar un ataque de denegación de servicio (DoS) inundando el IPS, por lo que
provocando que bloquee las conexiones hasta que no haya ninguna conexión o ancho de banda disponible.
Los IDS y los IPS también se pueden clasificar como basados ​en el conocimiento (o basados ​en firmas) o basados ​en el comportamiento.
(o basados ​en anomalías estadísticas):
● Un sistema basado en el conocimiento utiliza una base de datos de vulnerabilidades conocidas y perfiles de ataque.
para identificar intentos de intrusión. Estos tipos de sistemas tienen tasas de falsas alarmas más bajas que
sistemas basados ​en el comportamiento, pero deben actualizarse continuamente con nuevas firmas de ataque para ser
eficaz.
Un sistema basado en el comportamiento utiliza una línea de base de la actividad normal de la red para identificar patrones inusuales.
o niveles de actividad de la red que pueden ser indicativos de un intento de intrusión. Estos tipos de
Los sistemas son más adaptables que los sistemas basados ​en el conocimiento y, por lo tanto, pueden ser más efectivos.
en la detección de vulnerabilidades y ataques previamente desconocidos, pero tienen un nivel de falsificación mucho mayor
tasa positiva que los sistemas basados ​en el conocimiento.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué tipo de medida de seguridad proporciona el sistema de detección de intrusos?
A. preventivo
B. detective
C. correctivo
D. auditivo
2. ¿Qué tipo de ataque puede habilitar un sistema de prevención de intrusiones?
A. malware de tipo caballo de Troya
B. exfiltración de datos
C. mando y control
D. denegación de servicio
3. ¿Qué tipo de sistema puede cegarse con un enfoque lento y lento?
A. detección de intrusos
B. prevención de intrusiones
C. basado en firma
D. basado en el comportamiento
4. ¿Qué tipo de sistema no puede identificar las vulnerabilidades de día cero?
A. detección de intrusos
B. prevención de intrusiones
C. basado en firma
D. basado en el comportamiento
https://translate.googleusercontent.com/translate_f
93/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
115
Página 116
2.12 Definir redes privadas virtuales
Una red privada virtual (VPN) crea una conexión (o túnel) segura y cifrada a través del
Internet de vuelta a la red de una organización. El software de cliente VPN generalmente se instala en dispositivos móviles
terminales, como computadoras portátiles y teléfonos inteligentes, para extender una red más allá de lo físico
límites de la organización. El cliente VPN se conecta a un servidor VPN, como un firewall,
enrutador o dispositivo VPN (o concentrador). Una vez establecido un túnel VPN, un usuario remoto puede
acceder a recursos de red como servidores de archivos, impresoras y teléfonos de voz sobre IP (VoIP) en el
de la misma manera que si estuvieran ubicados físicamente en la oficina.
Protocolo de tunelización punto a punto
El protocolo de túnel punto a punto (PPTP) es un protocolo VPN básico que utiliza
Puerto 1723 del Protocolo de control (TCP) para establecer la comunicación con el par VPN y luego
crea un túnel de encapsulación de enrutamiento genérico (GRE) que transporta encapsulado punto a
Paquetes de protocolo de puntos (PPP) entre los pares VPN. Aunque PPTP es fácil de configurar y es
Considerado muy rápido, es quizás el menos seguro de los varios protocolos VPN. Eso
comúnmente se usa con el Protocolo de autenticación de contraseña (PAP), Desafío
Protocolo de autenticación de protocolo de enlace (CHAP) o Autenticación de protocolo de enlace de desafío de Microsoft
Versiones de protocolo 1 y 2 (MS-CHAP v1 / v2), todos los cuales tienen seguridad conocida
vulnerabilidades, para autenticar el tráfico PPP tunelizado. El protocolo de autenticación extensible
Transport Layer Security (EAP-TLS) proporciona un protocolo de autenticación más seguro para PPTP
pero requiere una infraestructura de clave pública (PKI) y, por lo tanto, es más difícil de configurar.
Términos clave
● La encapsulación de enrutamiento genérico (GRE) es un protocolo de tunelización desarrollado por Cisco Systems
que puede encapsular varios protocolos de capa de red dentro de enlaces virtuales punto a punto.
● El protocolo punto a punto (PPP) es un protocolo de capa 2 (enlace de datos) que se utiliza para establecer una
conexión entre dos nodos.
● El Protocolo de autenticación de contraseña (PAP) es un protocolo de autenticación utilizado por PPP para
validar a los usuarios con una contraseña no cifrada.
● El Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP) se utiliza para
autenticar estaciones de trabajo basadas en Microsoft Windows, utilizando un mecanismo de desafío-respuesta para
autenticar conexiones PPTP sin enviar contraseñas.
● La seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS) es una
Estándar abierto de Engineering Task Force (IETF) que utiliza Transport Layer Security (TLS)
Protocolo en redes Wi-Fi y conexiones PPP.
● La infraestructura de clave pública (PKI) es un conjunto de roles, políticas y procedimientos necesarios para crear,
administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar la clave pública
cifrado.
Protocolo de túnel de capa 2
El protocolo de túnel de capa 2 (L2TP) es compatible con la mayoría de los sistemas operativos (incluidos los
dispositivos). Aunque no proporciona cifrado por sí mismo, se considera seguro cuando se usa en conjunto
con IPsec.
© 2021 Palo Alto Networks, Inc.
116
Página 117
Protocolo de túnel de socket seguro
Secure Socket Tunneling Protocol (SSTP) es un túnel VPN creado por Microsoft para transportar PPP
https://translate.googleusercontent.com/translate_f
94/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
o tráfico L2TP a través de un canal SSL 3.0. SSTP se utiliza principalmente para clientes remotos seguros
Acceso VPN, en lugar de túneles VPN de sitio a sitio.
Cifrado punto a punto de Microsoft
El cifrado punto a punto de Microsoft (MPPE) cifra los datos en conexiones de acceso telefónico basadas en PPP o
Conexiones VPN PPTP. MPPE utiliza el algoritmo de cifrado RSA RC4 para proporcionar datos
confidencialidad y admite claves de sesión de 40 y 128 bits.
OpenVPN
OpenVPN es una implementación de VPN de código abierto y altamente segura que utiliza cifrado SSL / TLS
para intercambio de claves. OpenVPN utiliza un cifrado de hasta 256 bits y puede ejecutarse a través de TCP o UDP.
Aunque no es compatible de forma nativa con la mayoría de los sistemas operativos principales, se ha adaptado a la mayoría de
los principales sistemas operativos, incluidos los sistemas operativos de dispositivos móviles.
Seguridad del protocolo de Internet
IPsec es un protocolo de comunicaciones seguro que autentica y cifra los paquetes IP en un
sesión de comunicación. Una VPN IPsec requiere la instalación de un software cliente VPN compatible
en el dispositivo de punto final. Se requiere una contraseña o clave de grupo para la configuración. Servidor de cliente
Las VPN IPsec generalmente requieren la acción del usuario para iniciar la conexión, como iniciar el cliente.
software e iniciando sesión con un nombre de usuario y contraseña.
Una asociación de seguridad (SA) en IPsec define cómo dos o más entidades se comunicarán de forma segura
a través de la red usando IPsec. Se establece una única SA de intercambio de claves de Internet (IKE) entre
entidades comunicantes para iniciar el túnel VPN IPsec. A continuación, se establecen SA de IPsec independientes
para cada dirección de comunicación en una sesión VPN.
Se puede configurar una VPN IPsec para forzar todo el tráfico de Internet del usuario a través de un
firewall de la organización, proporcionando así una protección óptima con seguridad de nivel empresarial pero con
alguna pérdida de rendimiento. O se puede configurar el túnel dividido para permitir el tráfico de Internet desde el
dispositivo para ir directamente a Internet, mientras que otros tipos específicos de tráfico enrutan a través de IPsec
túnel, para una protección aceptable con una degradación del rendimiento mucho menor.
Si se utiliza el túnel dividido, se debe configurar y activar un firewall personal en el
puntos finales de la organización porque una configuración de túnel dividido puede crear una "puerta lateral" en el
red de la organización. Los atacantes esencialmente pueden conectarse a sí mismos a través de Internet, a través de
el punto final del cliente y en la red a través del túnel IPsec.
© 2021 Palo Alto Networks, Inc.
117
Página 118
Capa de enchufes seguros
Secure Sockets Layer (SSL) es un protocolo de cifrado asimétrico que se utiliza para proteger la comunicación.
sesiones. SSL ha sido reemplazado por Transport Layer Security (TLS), aunque SSL sigue siendo el
terminología más utilizada.
Una VPN SSL se puede implementar como una conexión basada en un navegador o basada en un agente. Un
SSL VPN sin agente requiere que los usuarios solo inicien un navegador web, abra un portal o una página web de VPN
utilizando el protocolo HTTPS e inicie sesión en la red con sus credenciales de usuario. Un agente
El cliente SSL se usa dentro de la sesión del navegador, que persiste solo mientras la conexión está activa
y se quita cuando se cierra la conexión. Este tipo de VPN puede resultar especialmente útil para
usuarios remotos que se conectan desde un dispositivo de punto final que no poseen ni controlan, como un
quiosco del hotel, donde no se puede instalar el software VPN de cliente completo.
La tecnología SSL VPN se ha convertido en el método estándar y preferido de facto para conectarse
dispositivos terminales remotos de vuelta a la red empresarial, e IPsec se usa más comúnmente en
conexiones VPN de sitio a sitio o de dispositivo a dispositivo, como la conexión de la red de una sucursal
https://translate.googleusercontent.com/translate_f
95/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
una red de ubicación de la sede o un centro de datos.
Términos clave
● Secure Sockets Layer (SSL) es un protocolo criptográfico para administrar la autenticación y
comunicación cifrada entre un cliente y un servidor para proteger la confidencialidad y
integridad de los datos intercambiados en la sesión.
● Transport Layer Security (TLS) es el sucesor de SSL (aunque todavía se le conoce comúnmente
como SSL).
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué tecnología VPN se considera el método preferido para conectar de forma segura un
dispositivo de punto final remoto de vuelta a una red empresarial?
A. Protocolo de túnel punto a punto (PPTP)
B. Protocolo de túnel de socket seguro (SSTP)
C. Capa de sockets seguros (SSL)
D. Seguridad del protocolo de Internet (IPsec)
2. ¿Cuál es la VPN de empresa a consumidor (B2C) más común?
A. SSL / TLS
B. IPsec
C. SSH
D. APP
3. ¿Qué significa PKI?
A. Identificación de contraseña / clave
B. Identificación de clave pasiva
C. Infraestructura de clave pública
D. Infraestructura de clave privada
© 2021 Palo Alto Networks, Inc.
118
Página 119
4. ¿Qué VPN esperaría ver en uso entre dos de los datos de una organización?
centros?
A. SSL / TLS
B. IPsec
C. SSH
D. APP
5. ¿Qué protocolo de tunelización puede utilizar para conectar dos segmentos Ethernet en uno?
A. PPP
B. L2TP
C. IPsec (sin L2TP)
D. DESLIZAMIENTO
6. ¿Cuál es el método de autenticación que utiliza nombres de usuario y contraseñas?
A. PAP
B. CHAP
C. MS-CHAP
D. SAP
2.13 Explicar la prevención de pérdida de datos
Las soluciones de prevención de pérdida de datos de red (DLP) inspeccionan los datos que salen o salen de un
red (por ejemplo, a través de correo electrónico, transferencia de archivos o cargas de Internet, o copiando a un dispositivo USB
drive) y evitar que ciertos datos confidenciales basados ​en políticas definidas abandonen la red.
Los datos sensibles pueden incluir:
● Información de identificación personal (PII), como nombres, direcciones, fechas de nacimiento,
Números de seguridad, registros médicos (incluidos registros médicos electrónicos o EMR, y
registros de salud electrónicos , o HCE) y datos financieros (como números de cuentas bancarias
y números de tarjetas de crédito)
● Materiales clasificados (como información militar o de seguridad nacional)
● Propiedad intelectual, secretos comerciales y otra empresa confidencial o patentada.
información
https://translate.googleusercontent.com/translate_f
96/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Una solución de seguridad DLP evita que los datos confidenciales sean transmitidos fuera de la red por un
usuario, ya sea de forma inadvertida o maliciosa. Una solución DLP robusta puede detectar la presencia de
ciertos patrones de datos incluso si los datos están encriptados.
Sin embargo, estas soluciones introducen una nueva vulnerabilidad potencial en la red porque
tener visibilidad y la capacidad de descifrar todos los datos de la red. Otros métodos se basan en
el descifrado ocurre en otro lugar, como en un dispositivo de seguridad web u otro intermediario
motor de descifrado.
© 2021 Palo Alto Networks, Inc.
119
Página 120
Términos clave
● Según lo define HealthIT.gov, un registro médico electrónico (EMR) "contiene el estándar
datos médicos y clínicos recopilados en el consultorio de un proveedor ".
● Según lo define HealthIT.gov, un registro de salud electrónico (EHR) “va más allá de los datos
recopilados en el consultorio del proveedor e incluyen un historial más completo del paciente. HCE
Los datos pueden ser creados, administrados y consultados por proveedores autorizados y personal de todo el mundo.
más de una organización sanitaria ".
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿En qué formato deben estar los datos para que DLP funcione?
A. ASCII
B. texto sin cifrar
C. sin comprimir
D. cifrado
2. ¿DLP funciona en qué capa del modelo ISO?
A.7, capa de aplicación
B.5, capa de sesión
C. 4, capa de transporte
D. 3, capa de red
2.14 Describir la gestión unificada de amenazas
Los dispositivos de gestión unificada de amenazas (UTM) combinan numerosas funciones de seguridad en una sola
aparato, que incluye:
● Anti-malware
● Anti-spam
● filtrado de contenido
● DLP
● Cortafuegos (inspección de estado)
● IDS / IPS
● VPN
Los dispositivos UTM no necesariamente realizan ninguna de estas funciones de seguridad mejor que sus
contrapartes independientes, pero no obstante tienen un propósito en la pequeña y mediana empresa
redes como una solución conveniente y económica que brinda a una organización un todo en uno
dispositivo de seguridad. Las desventajas típicas de UTM incluyen:
● A veces tienen conjuntos de funciones reducidos para que sean más asequibles.
● Todas las funciones de seguridad utilizan el mismo procesador y recursos de memoria. Habilitación de todos
https://translate.googleusercontent.com/translate_f
97/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
las funciones de un UTM pueden resultar en una caída de hasta un 97 por ciento en el rendimiento y
rendimiento, en comparación con el rendimiento de gama alta sin las funciones de seguridad habilitadas.
© 2021 Palo Alto Networks, Inc.
120
Página 121
A pesar de las numerosas funciones de seguridad que se ejecutan en la misma plataforma, los motores individuales
operan en silos con poca o ninguna integración o cooperación entre ellos.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué tres funciones de seguridad están integradas con un dispositivo UTM? (Elige tres.)
A. agente de seguridad de acceso a la nube (CASB)
B. Aislamiento remoto del navegador (RBI)
C. cortafuegos
D. Sistema de detección de intrusiones (IDS)
E. anti-spam
2. ¿Qué dos recursos se comparten entre las diferentes funciones de un dispositivo UTM?
(Escoge dos.)
A. RAM
B. información de alerta
C. CPU
D. firmas de ataque
E. estado del cortafuegos
2.15 Definir los conceptos básicos de seguridad de endpoints
La seguridad de endpoint tradicional abarca numerosas herramientas de seguridad, como anti-malware
software, software anti-spyware, firewalls personales, sistemas de prevención de intrusiones basados ​en host
(HIPS) y software de gestión de dispositivos móviles (MDM). La seguridad de los endpoints también requiere
implementación de las mejores prácticas de seguridad de endpoints efectivas, incluida la administración de parches y
gestión de la configuración.
La mayoría de las organizaciones implementan varios productos de seguridad para proteger sus puntos finales, incluidos
cortafuegos personales, HIPS, MDM, gestión de aplicaciones móviles (MAM), DLP y antivirus
software. Sin embargo, las infracciones cibernéticas continúan aumentando en frecuencia, variedad y
sofisticación. La cantidad y los tipos de puntos finales, incluidos los dispositivos móviles y de IoT, también tienen
creció exponencialmente y aumentó la superficie de ataque. Nuevas variantes de Gafgyt, Mirai y
Las botnets de Muhstik, entre otras, se dirigen específicamente a dispositivos de IoT y a nuevos motores de búsqueda como
Shodan (Shodan.io) puede automatizar la búsqueda de puntos finales vulnerables conectados a Internet.
Las soluciones de seguridad de endpoint tradicionales y los antivirus ya no pueden evitar las infracciones de seguridad en
el punto final en el panorama de amenazas que cambia rápidamente.
La seguridad de los terminales es un elemento esencial de la ciberseguridad porque el firewall de la red no puede
proteja completamente los hosts de los ataques de día cero. Los exploits de día cero apuntan a un objetivo desconocido
vulnerabilidades en el sistema operativo y el software de aplicación en las máquinas host. Cortafuegos de red
Es posible que no pueda bloquear la entrega por parte de un atacante de un exploit de día cero hasta que haya una nueva firma.
La identificación del ataque de día cero se ha desarrollado y enviado al firewall.
© 2021 Palo Alto Networks, Inc.
121
Página 122
Los firewalls de red también pueden tener restricciones para descifrar todo el tráfico debido a regulaciones y
https://translate.googleusercontent.com/translate_f
98/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
leyes. Esta restricción proporciona una ventana de oportunidad para que los atacantes eludan los
protección y explotar una máquina host, por lo que se necesita protección de seguridad de punto final. Punto final
La protección de seguridad la proporciona una aplicación que se ejecuta en la máquina host. Eficaz
La seguridad del endpoint debe poder detener el malware, las vulnerabilidades y el ransomware antes de que puedan
comprometer el host, brindar protección mientras los puntos finales están en línea y fuera de línea, y detectar
amenazas y automatización de la contención para minimizar el impacto.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué dos opciones son puntos finales? (Escoge dos.)
A. computadora portátil
B. combinación de enrutador / módem / punto de acceso para una red doméstica
C. servidor de base de datos físico
D. teléfono inteligente utilizado para consultar el correo electrónico del trabajo
2. ¿Qué método para identificar ransomware que utiliza un exploit de día cero está disponible en
protección de endpoint, pero no en el firewall?
A. firmas de ataque
B. análisis de comportamiento
C. observación de los efectos del ataque
D. descifrado de datos
3. ¿Qué opción no forma parte de una solución de protección de terminales?
A. cortafuegos
B. antivirus
C. descifrado de intermediario
D. detección de intrusos
2.16 Comparar la protección contra malware basada en firmas y en contenedores
La protección contra malware (más específicamente, el software antivirus) ha sido una de las primeras y más
principios básicos de la seguridad de la información desde principios de la década de 1980. Desafortunadamente, todo este esfuerzo ganado
experiencia no significa necesariamente que los mecanismos de protección contra malware estén garantizados
detectar todos los ataques al instante. Por ejemplo, el Informe de seguridad global de 2019 de Trustwave encontró que
desde la infección hasta la detección de malware "en la naturaleza" se tarda una media de 55 días. Curiosamente, webLos ataques de día cero basados, en promedio, permanecen "en la naturaleza" hasta cuatro veces más que el correo electrónico.
amenazas basadas en factores que incluyen la conciencia del usuario sobre las amenazas transmitidas por correo electrónico, la disponibilidad
y el uso de soluciones de seguridad de correo electrónico (como anti-spam y antivirus), y el uso preferido de la
web como vector de amenaza para los desarrolladores de malware.
Esta baja "tasa de captura" se debe a varios factores. Algunos programas maliciosos pueden mutar o actualizarse a
Evite la detección mediante firmas anti-malware tradicionales. Además, el malware avanzado es cada vez más
especializado hasta el punto en que un atacante puede desarrollar malware personalizado que se dirige
contra un individuo u organización específicos.
© 2021 Palo Alto Networks, Inc.
122
Página 123
El software anti-malware tradicional utiliza varios enfoques para detectar y responder al malware
amenazas, incluidas listas de permisos de aplicaciones basadas en firmas, basadas en contenedores y basadas en anomalías
técnicas.
Nota: Con la proliferación de malware avanzado, como los troyanos de acceso remoto (RAT), antiAV y rootkits / boot kits, los proveedores de seguridad han rebautizado en gran medida sus soluciones antivirus como
"Anti-malware" y ampliaron sus protecciones contra malware para abarcar el malware más amplio
clasificaciones.
Software anti-malware basado en firmas
El software antivirus (o antimalware) basado en firmas es el más antiguo y el más utilizado
enfoque para detectar e identificar malware en endpoints. Este enfoque requiere seguridad
proveedores para recopilar continuamente muestras de malware, crear archivos de firmas coincidentes para aquellos
https://translate.googleusercontent.com/translate_f
99/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
muestras y distribuya esos archivos de firmas como actualizaciones para sus productos de seguridad de punto final a todos
de sus clientes.
La implementación de software antivirus basado en firmas requiere la instalación de un motor que normalmente
tiene acceso a nivel de kernel a los recursos del sistema de un punto final. Software antivirus basado en firmas
escanea el disco duro y la memoria de un endpoint, según una programación predefinida y en tiempo real
cuando se accede a un archivo. Si se detecta una firma de malware conocida, el software realiza una
acción predefinida, como:
● Cuarentena: aísla el archivo infectado para que no pueda infectar el endpoint u otros archivos.
● Eliminar: elimina el archivo infectado.
● Alerta: notifica al usuario (o al administrador del sistema) que se ha detectado software malicioso.
Las firmas actualizadas deben descargarse con regularidad y frecuencia del proveedor de seguridad y
instalado en los puntos finales de la organización. Descarga y procesamiento de archivos de firmas en este
manera puede causar degradaciones notables del rendimiento en las redes y puntos finales en los que
están corriendo.
Aunque el enfoque basado en firmas es muy popular, su eficacia es limitada. Por diseño,
es una contramedida reactiva porque no se puede crear un archivo de firma para nuevo malware y
entregado hasta que el malware ya esté "en estado salvaje", tiempo durante el cual las redes y los puntos finales
están ciegos a la amenaza: la notoria amenaza (o ataque) de día cero. La etiqueta "día cero" es
engañoso, sin embargo, porque el número de días desde la liberación hasta la detección promedia de 5 a 20 días
(vea la Figura 2-3).
© 2021 Palo Alto Networks, Inc.
123
Página 124
Figura 2-3: Tiempo promedio de detección por vector de aplicación
Primero se debe capturar e identificar una muestra de tráfico sospechoso nuevo o desconocido antes de
Los proveedores de seguridad pueden crear una firma de detección. La nueva firma entonces debe ser
descargado e instalado en los puntos finales de una organización para brindar protección.
Este proceso significa que algunos usuarios y redes serán violados con éxito por nuevo malware.
hasta que se cree, descargue e instale una nueva firma de detección. Este modelo reactivo crea
una ventana de oportunidad para los atacantes, dejando los puntos finales vulnerables, a veces durante semanas o
incluso meses, hasta que se sospeche, recopile, analice e identifique un nuevo malware. Durante esto
https://translate.googleusercontent.com/translate_f
100/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
tiempo, los atacantes pueden infectar redes y puntos finales.
Otro desafío para el enfoque basado en firmas es que millones de nuevas variaciones de malware
se crean cada año (en promedio alrededor de 20.000 formularios nuevos al día), para los cuales firmas únicas
deben escribirse, probarse e implementarse después de que se descubra y muestree la nueva variación de malware.
A pesar de que el 70 por ciento de estos millones de variaciones de malware se basan en un
número limitado de "familias" de malware que ascendían a solo siete en 2005 y aumentaban a solo 20
Durante la última década, este enfoque reactivo no es eficaz para proteger los puntos finales contra
amenazas de malware moderno.
Además, el malware avanzado utiliza técnicas como el metamorfismo y el polimorfismo para tomar
ventaja de las debilidades inherentes de la detección basada en firmas para evitar ser descubierto en
el salvaje y eludir las firmas que ya se han creado.
© 2021 Palo Alto Networks, Inc.
124
Página 125
Protección de punto final basada en contenedor
La protección de punto final basada en contenedores envuelve una barrera virtual protectora alrededor de los
procesos mientras se ejecutan. Si un proceso es malicioso, el contenedor lo detecta y lo cierra
hacia abajo, evitando así que dañe otros procesos o archivos legítimos en el endpoint.
Sin embargo, el enfoque basado en contenedores generalmente requiere una cantidad significativa de computación
sobrecarga de recursos, y se han demostrado ataques que eluden o deshabilitan los contenedores
protección basada. Este enfoque también requiere conocimiento de las aplicaciones que deben ser
protegidos y cómo interactúan con otros componentes de software. Entonces, una herramienta de contenedorización
se desarrollará para admitir ciertas aplicaciones comunes, pero no podrá proteger la mayoría
software propietario o específico de la industria. Incluso los complementos del navegador web y dispositivos similares pueden
tienen problemas para funcionar correctamente en un entorno basado en contenedores.
Listas de aplicaciones permitidas
Las listas de aplicaciones permitidas son otra técnica de protección de endpoints que se utiliza comúnmente para
evitar que los usuarios finales ejecuten aplicaciones no autorizadas, incluido el malware, en sus terminales.
Las listas de permisos de aplicaciones requieren un modelo de control positivo en el que no se permiten aplicaciones
se ejecutan en el punto final a menos que estén explícitamente permitidos por la política de lista de permitidos. En la práctica,
Las listas de solicitudes permitidas requieren un gran esfuerzo administrativo para establecer y mantener una lista de
aplicaciones aprobadas. Este enfoque se basa en la premisa de que si crea una lista de
aplicaciones que están específicamente permitidas y luego impiden que se ejecute cualquier otro archivo, puede
proteger el punto final. Aunque esta funcionalidad básica puede resultar útil para reducir la superficie de ataque,
no es un enfoque integral para la seguridad de los terminales.
Tendencias modernas como la computación en la nube y móvil, la consumerización y traiga la suya
dispositivo (BYOD) y traiga su propio acceso (BYOA) hacen que las listas de permisos de aplicaciones sean extremadamente
difícil de hacer cumplir en la empresa. Además, después de agregar una aplicación a una lista de permitidos, es
permite su ejecución, incluso si la aplicación tiene una vulnerabilidad que puede ser explotada. Un atacante
luego, simplemente puede explotar una aplicación permitida y tener un control completo del punto final de destino
independientemente de la lista de permitidos. Una vez que la aplicación se ha aprovechado con éxito, el atacante puede
ejecutar código malicioso manteniendo toda la actividad en la memoria. Porque no se crean archivos nuevos
y ningún nuevo ejecutable intenta ejecutarse, el software de lista de permitidos se vuelve ineficaz contra este
tipo de ataque.
Detección de anomalías
Enfoques de seguridad de endpoints que utilizan algoritmos matemáticos para detectar actividad inusual en un
https://translate.googleusercontent.com/translate_f
101/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
endpoint se conocen como soluciones basadas en heurística, basadas en comportamiento o de detección de anomalías. Esta
El enfoque se basa en establecer primero una línea de base precisa de lo que se considera actividad "normal".
Este enfoque ha estado disponible durante muchos años y requiere un conjunto de datos muy grande para reducir la
número de falsos positivos.
© 2021 Palo Alto Networks, Inc.
125
Página 126
Software anti-spyware
El software anti-spyware es muy similar al software antivirus tradicional porque usa firmas
para buscar otras formas de malware más allá de los virus, como adware, aplicaciones web maliciosas
componentes y otras herramientas maliciosas, que comparten comportamientos de usuarios sin su permiso.
Términos clave
● En antimalware, un falso positivo identifica incorrectamente un archivo o una aplicación legítimos como
malware. Un falso negativo identifica incorrectamente el malware como un archivo o una aplicación legítimos. En
detección de intrusiones, un falso positivo identifica incorrectamente el tráfico legítimo como una amenaza, y un
falso negativo identifica incorrectamente una amenaza como tráfico legítimo.
Referencias:
“Informe de seguridad global de Trustwave 2019”. Trustwave. 2019.
https://www.trustwave.com/en-us/resources/library/documents/2019-trustwave-global-securityreporte/.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: el software anti-malware basado en firmas se considera reactivo
contramedida porque no se puede crear un archivo de firma para nuevo malware y
entregado hasta que el malware ya esté "en estado salvaje".
2. ¿Qué tipo de protección contra malware se puede eludir mediante la mutación del malware?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
3. Qué tipo de protección contra malware requiere un conocimiento profundo de las aplicaciones y cómo
se comunican?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
4. ¿Qué tipo de protección contra malware tiene problemas con las actualizaciones de software legítimas?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
5. ¿Qué tipo de protección contra malware es vulnerable a un enfoque lento y lento?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
© 2021 Palo Alto Networks, Inc.
126
Página 127
https://translate.googleusercontent.com/translate_f
102/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
2.17 Reconocer tipos de gestión de dispositivos móviles
El software de gestión de dispositivos móviles (MDM) proporciona seguridad de punto final para dispositivos móviles como
como teléfonos inteligentes y tabletas. Capacidades de administración centralizada para dispositivos móviles proporcionadas por
MDM incluye:
● Prevención de pérdida de datos (DLP): restrinja el tipo de datos que se pueden almacenar o transmitir
desde el dispositivo
● Aplicación de políticas: solicite contraseñas, habilite el cifrado, bloquee la configuración de seguridad,
y evitar el jailbreak o el enraizamiento , por ejemplo
● Protección contra malware: detecta y previene el malware móvil.
● Distribución de software: instale software de forma remota, incluidos parches y actualizaciones en un
red celular o Wi-Fi
● Borrado / borrado remoto: elimine de forma segura y remota el contenido completo de un
dispositivo robado
● Servicios de geovalla y ubicación: restrinja la funcionalidad específica en el dispositivo según
su ubicación física
Términos clave
● Jailbreak se refiere a piratear un dispositivo Apple iOS para obtener acceso de nivel raíz al dispositivo.
El jailbreak a veces lo realizan los usuarios finales para permitirles descargar e instalar dispositivos móviles.
aplicaciones sin pagar por ellas, de fuentes distintas a la App Store que no están autorizadas
y / o controlado por Apple. El jailbreak evita las funciones de seguridad del dispositivo al
reemplazar el sistema operativo del firmware con una versión similar, aunque falsa, que
lo hace vulnerable a malware y exploits. El jailbreak se conoce como rooting en Google
Dispositivos Android.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: el software antimalware basado en firmas se considera un programa proactivo.
contramedida de seguridad.
2. ¿Qué dos sistemas operativos pueden tener administración de dispositivos móviles (MDM)?
A. iOS
B. MacOS
C. Android
D. Ventanas
E. Linux
3. Realiza una visita de negocios a otro país y no puede acceder a una solicitud de trabajo en
tu celular. ¿Qué función de MDM podría ser la razón?
A. Prevención de pérdida de datos
B. protección contra malware
C. borrado / borrado remoto
D. servicios de geovalla y ubicación
4. Descargó un archivo confidencial a su teléfono para usarlo en una reunión de negocios. Ahora tu
mira que ya no está allí. ¿Qué función de MDM podría ser la razón?
© 2021 Palo Alto Networks, Inc.
127
Página 128
A. prevención de pérdida de datos
B. protección contra malware
C. borrado / borrado remoto
D. servicios de geovalla y ubicación
2.18 Explicar el propósito de la gestión de identificaciones y accesos
Los administradores de servidores y sistemas realizan una variedad de tareas importantes en un entorno de red.
Las tareas típicas de administración del servidor y del sistema incluyen:
● Aprovisionamiento y desaprovisionamiento de cuentas
● Administrar los permisos de la cuenta
https://translate.googleusercontent.com/translate_f
103/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Instalación y mantenimiento de software de servidor.
● Mantener y optimizar servidores, aplicaciones, bases de datos (pueden asignarse a un
administrador de base de datos), dispositivos de red (pueden asignarse a un administrador de red),
y dispositivos de seguridad (pueden asignarse a un administrador de seguridad)
● Instalación de parches de seguridad
● Gestión de la copia de seguridad y recuperación de datos y del sistema
● Supervisión de la comunicación de la red y los registros del servidor.
● Solución de problemas y resolución de problemas del sistema y del servidor
La gestión de identidades y accesos (IAM) proporciona autenticación, autorización y acceso
funciones de control. Las herramientas de IAM proporcionan control para el aprovisionamiento, el mantenimiento y el funcionamiento de
las identidades de los usuarios y el nivel de acceso a la red, el centro de datos y los recursos en la nube que difieren
se permiten identidades.
Directorio de Servicios
Un servicio de directorio es una base de datos que contiene información sobre usuarios, recursos y servicios en
una red. El servicio de directorio asocia usuarios y permisos de red para controlar quién tiene
acceso a qué recursos y servicios en la red. Los servicios de directorio incluyen:
● A ctivo Directorio: Un servicio de directorio desarrollado por Microsoft para Windows centralizada
redes para proporcionar autenticación y autorización de usuarios y recursos de red.
Active Directory utiliza el Protocolo ligero de acceso a directorios (LDAP), Kerberos y el
Sistema de nombres de dominio (DNS).
● Protocolo ligero de acceso a directorios (LDAP): un protocolo cliente-servidor basado en IP que
proporciona acceso y gestiona la información del directorio en redes TCP / IP.
Términos clave
● Kerberos es un protocolo de autenticación en el que se utilizan tickets para identificar a los usuarios de la red.
© 2021 Palo Alto Networks, Inc.
128
Página 129
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué tres procesos forman parte del modelo AAA? (Elige tres.)
A. autenticación
B. autorización
C. reconocimiento
D. auditoría
E. aprobación
2. ¿Qué principio está detrás del control de acceso basado en roles (RBAC)?
A. separación de funciones
B. auditabilidad
C. privilegio mínimo
D. defensa en profundidad
3. ¿Qué tipo de control de acceso puede cambiar los permisos de un usuario según su ubicación?
A. RBAC
B. ABAC
C. PAP
D. CHAP
4. Solo un gerente puede obtener cheques de la empresa. Solo un gerente diferente puede firmar cheques.
¿Este ejemplo describe qué principio?
A. separación de funciones
B. auditabilidad
C. privilegio mínimo
https://translate.googleusercontent.com/translate_f
104/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
D. defensa en profundidad
5. Un usuario puede acceder a la aplicación de nómina para ver un cheque de pago, pero no puede modificarlo. Este ejemplo
describe qué principio?
A. separación de funciones
B. auditabilidad
C. privilegio mínimo
D. defensa en profundidad
6. ¿Cuál es el protocolo común para acceder a un directorio?
A. DAP
B. LDAP
C. Bofetada
D. SLDAP
© 2021 Palo Alto Networks, Inc.
129
Página 130
2.19 Describir la gestión de la configuración
La gestión de la configuración es el proceso formal utilizado por las organizaciones para definir y mantener
configuraciones estándar para aplicaciones, dispositivos y sistemas a lo largo de su ciclo de vida. Para
Por ejemplo, un modelo de PC de escritorio en particular puede ser configurado por una organización con
configuraciones de seguridad, como habilitar el cifrado de todo el disco y deshabilitar los puertos USB. Dentro de
sistema operativo de escritorio, configuraciones de seguridad como deshabilitar servicios innecesarios y riesgosos (para
ejemplo, FTP y Telnet). Mantenimiento de configuraciones estándar en
aplicaciones, dispositivos y sistemas utilizados por una organización ayudan a reducir la exposición al riesgo y
mejorar la postura de seguridad.
Todo el tiempo se descubren nuevas vulnerabilidades y exploits de software y, por lo tanto, un software diligente
La gestión de parches es necesaria para los administradores de sistemas y seguridad de todas las organizaciones.
Sin embargo, la administración de parches protege los puntos finales de una organización solo después de que se haya producido una vulnerabilidad.
descubierto y el parche instalado. Los retrasos de días, semanas o más son inevitables porque
Los parches de seguridad para las vulnerabilidades recién descubiertas deben desarrollarse, distribuirse, probarse y
desplegado. Aunque la gestión de parches es un aspecto importante de cualquier seguridad de la información
programa, como la detección antimalware basada en firmas, es una carrera interminable contra el tiempo que
no ofrece protección contra exploits de día cero.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué proceso forma parte de la gestión de la configuración?
A. gestión de identidad y acceso
B. auditoría
C. gestión de parches
D. escaneo en busca de vulnerabilidades
2. ¿Cuál es el término colectivo para las versiones de software, la configuración del sistema operativo y el archivo de configuración?
¿ajustes?
A. elementos de configuración
B. valores configurables
C. configuración de la computadora
D. configuración
https://translate.googleusercontent.com/translate_f
105/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
130
Página 131
2.20 Identificar las funciones y capacidades del firewall de próxima generación
Se han producido cambios fundamentales en el uso de aplicaciones, el comportamiento del usuario y la infraestructura de red compleja.
creó un panorama de amenazas que expone las debilidades de los firewalls de red tradicionales basados ​en puertos.
Los usuarios finales desean acceder a un número cada vez mayor de aplicaciones que operan en una amplia
variedad de tipos de dispositivos, a menudo con poca consideración por los riesgos comerciales o de seguridad. Mientras tanto, los datos
La expansión del centro, la segmentación de la red, la virtualización y las iniciativas de movilidad están obligando
organizaciones para repensar cómo permitir el acceso a aplicaciones y datos, mientras protege sus
redes de una clase nueva y más sofisticada de amenazas avanzadas que evaden la seguridad tradicional
mecanismos.
Los firewalls de próxima generación de Palo Alto Networks son el núcleo de la cartera de productos. El siguienteEl firewall de generación inspecciona todo el tráfico, incluidas las aplicaciones, las amenazas y el contenido, y los asociados.
con el usuario, independientemente de la ubicación o el tipo de dispositivo. La aplicación, el contenido y el usuario se convierten
componentes integrales de la política de seguridad empresarial.
Los cortafuegos de próxima generación de Palo Alto Networks se basan en una arquitectura de un solo paso (consulte la Figura
2-4), que es una integración única de software y hardware que simplifica la gestión,
agiliza el procesamiento y maximiza el rendimiento. La arquitectura de un solo paso se integra
múltiples disciplinas de prevención de amenazas (IPS, anti-malware, filtrado de URL, etc.) en una sola
motor basado en flujo con un formato de firma uniforme. Esta arquitectura permite que el tráfico esté completamente
analizados en una sola pasada sin la degradación del rendimiento que se observa en las puertas de enlace multifunción.
El software está asociado directamente a una plataforma de hardware de procesamiento paralelo que utiliza funciones
procesadores específicos para la prevención de amenazas, para maximizar el rendimiento y minimizar la latencia.
Figura 2-4: Los firewalls de próxima generación de Palo Alto Networks utilizan una arquitectura de paso único.
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
131
106/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 132
El uso de un motor común significa que se obtienen dos beneficios clave. Primero, a diferencia de los proxies de archivos
que necesitan descargar el archivo completo antes de que puedan escanear el tráfico, un motor basado en flujo escanea
tráfico en tiempo real, reensamblando paquetes solo cuando sea necesario y solo en cantidades muy pequeñas. Segundo,
a diferencia de los enfoques tradicionales, todo el tráfico se puede escanear con un solo motor, en lugar de
múltiples motores de escaneo.
Las organizaciones implementan firewalls de próxima generación en el perímetro de la red y dentro de la red.
en los límites lógicos de la confianza. Todo el tráfico que cruza el cortafuegos de próxima generación se somete a una
apilado, inspección de una sola pasada, que proporciona el contexto completo de la aplicación, asociado
contenido e identidad del usuario. Con este nivel de contexto, puede alinear la seguridad con su clave
iniciativas comerciales (ver Figura 2-5).
Figura 2-5: Ubicaciones de firewall de próxima generación en la red empresarial
El firewall de próxima generación funciona como una puerta de enlace de segmentación en una arquitectura Zero Trust.
Al crear un microperímetro, el cortafuegos de próxima generación asegura que solo los conocidos, permitidos
el tráfico o las aplicaciones legítimas tienen acceso a la superficie protegida.
© 2021 Palo Alto Networks, Inc.
132
Página 133
Los firewalls de próxima generación incluyen varias capacidades clave que permiten una visibilidad completa del
los flujos de tráfico de la aplicación, el contenido asociado y la identidad del usuario, y protéjalos de conocidos,
amenazas persistentes desconocidas y avanzadas. Las capacidades funcionales esenciales en un
El firewall de próxima generación incluye:
● Identificación de la aplicación: identifique con precisión las aplicaciones independientemente del puerto, protocolo,
técnicas evasivas o cifrado. Proporcionar visibilidad de aplicaciones y políticas granulares.
control basado en aplicaciones, incluidas las funciones de aplicaciones individuales.
● Identificación del usuario: identifique con precisión a los usuarios y, posteriormente, utilice la información de identidad.
https://translate.googleusercontent.com/translate_f
107/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
como atributo para el control de políticas
● Identificación de contenido: la identificación de contenido controla el tráfico en función de
análisis de todo el tráfico permitido, utilizando prevención de amenazas múltiples y prevención de pérdida de datos
técnicas en una arquitectura de un solo paso que integra completamente todas las funciones de seguridad
Identificación de la aplicación
La tecnología de inspección de paquetes con estado, que es la base de la mayoría de los firewalls heredados de la actualidad,
fue creado hace más de 25 años, en un momento en el que las aplicaciones podían controlarse mediante puertos
y direcciones IP de origen / destino. El estricto cumplimiento de la clasificación y el control basados ​en puertos
la metodología es el elemento principal de la política; está codificado en la base y no se puede
apagado. Como resultado, muchas de las aplicaciones actuales no pueden ser identificadas y mucho menos controladas por
el cortafuegos, y ninguna cantidad de clasificación de tráfico "posterior al hecho" por los "ayudantes" del cortafuegos puede
Corrija la clasificación basada en puertos del cortafuegos.
El establecimiento de la información de puerto y protocolo es un primer paso en la identificación de la aplicación, pero es
insuficiente por sí mismo. Identificación e inspección de aplicaciones sólidas en una nueva generación
El cortafuegos permite un control granular del flujo de sesiones a través del cortafuegos. La identificación es
según las aplicaciones específicas (como Skype, Gmail y WebEx) que se estén utilizando,
en lugar de simplemente confiar en el conjunto subyacente de comunicaciones de red a menudo indistinguibles
servicios (consulte la Figura 2-6).
© 2021 Palo Alto Networks, Inc.
133
Página 134
Figura 2-6: La clasificación de tráfico centrada en la aplicación identifica aplicaciones específicas en el
red, independientemente del puerto y protocolo en uso.
https://translate.googleusercontent.com/translate_f
108/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La identificación de la aplicación proporciona visibilidad y control sobre los relacionados con el trabajo y los no relacionados con el trabajo.
aplicaciones que pueden evadir la detección por firewalls antiguos basados ​en puertos, por ejemplo,
haciéndose pasar por tráfico legítimo, saltando puertos o utilizando cifrado para pasar el cortafuegos.
Tecnología de identificación de aplicaciones (App-ID) en una nueva generación de Palo Alto Networks
El cortafuegos no se basa en un solo elemento, como un puerto o un protocolo. En cambio, App-ID usa
múltiples mecanismos para determinar primero cuál es la aplicación, y luego la identidad de la aplicación
se convierte en la base de la política de firewall que se aplica a la sesión. App-ID es altamente
extensible y, a medida que las aplicaciones continúan evolucionando, los mecanismos de detección de aplicaciones pueden ser
agregado o actualizado como un medio para mantenerse al día con el panorama de aplicaciones en constante cambio.
Muchas organizaciones no son plenamente conscientes de la cantidad de aplicaciones en uso, en qué medida
son utilizados, o por quién. Esta falta de visibilidad obliga a las organizaciones a implementar (bloquear
lista) enfoques de aplicación en los que bloquean selectivamente el tráfico y los destinos conocidos por ser un
riesgo para la organización. El cortafuegos de próxima generación también le permite implementar un
(lista de permitidos) política de cumplimiento en la que permite de forma selectiva que las aplicaciones necesarias ejecuten su
organización. Una clave para la aplicación positiva es App-ID. App-ID identifica las aplicaciones
atravesar el cortafuegos, independientemente del puerto o protocolo, incluso si el tráfico se canaliza en genérico
Los túneles de encapsulación de enrutamiento (GRE) utilizan tácticas evasivas o están encriptados. App-ID puede
determinar la diferencia entre las aplicaciones base y las funciones de la aplicación. Este nivel de
La visibilidad brinda una comprensión completa de las aplicaciones en su red y su valor.
y riesgo para su organización.
© 2021 Palo Alto Networks, Inc.
134
Página 135
Tecnología de clasificación de tráfico App-ID
La primera tarea que ejecuta un cortafuegos de próxima generación de Palo Alto Networks es usar App-ID para
identificar las aplicaciones que atraviesan la red. App-ID utiliza un enfoque multifacético para
determinar la aplicación, independientemente del puerto, protocolo, cifrado (SSL y SSH) u otro
tácticas evasivas empleadas. El número y orden de los mecanismos de identificación utilizados para identificar
la aplicación varía según la aplicación. Las técnicas de identificación de aplicaciones (ver
Figura 2-7) utilizados incluyen:
● Firmas de la aplicación: para identificar una aplicación, App-ID primero usa firmas para buscar
para conocer las propiedades únicas de la aplicación y las características de transacción relacionadas. La firma
también determina si la aplicación está utilizando su puerto predeterminado o un puerto no estándar.
Las firmas basadas en el contexto buscan propiedades únicas y características de transacción para
Identificar correctamente la aplicación independientemente del puerto y protocolo que se utilice. Estos
Las firmas incluyen la capacidad de detectar funciones específicas dentro de las aplicaciones (como archivos
transferencias dentro de aplicaciones SaaS). Si la política de seguridad permite la identificación
aplicación, App-ID analiza más el tráfico para identificar aplicaciones más granulares y
escanear para amenazas.
● Descifrado TLS / SSL y SSH: si App-ID determina que el cifrado TLS / SSL está en
utilizar, puede descifrar y reevaluar el tráfico. App-ID utiliza un enfoque similar con SSH
para determinar si el reenvío de puertos se está utilizando para canalizar el tráfico a través de SSH.
● Decodificación de aplicaciones y protocolos: para protocolos conocidos, los decodificadores aplican
firmas basadas en el contexto para detectar aplicaciones que hacen un túnel dentro de los protocolos. Decodificadores
validar que el tráfico se ajuste a la especificación del protocolo y que sean compatibles con la red
traducción de direcciones (NAT) transversal y apertura de orificios dinámicos para aplicaciones como
como Voz sobre IP (VoIP) o Protocolo de transferencia de archivos (FTP). Decodificadores para populares
Las aplicaciones también identifican las funciones individuales dentro de la aplicación. Además de
Identificar aplicaciones, decodificadores identifican archivos y otros contenidos para ser escaneados.
amenazas o datos sensibles.
● Heurística: en algunos casos, las aplicaciones evasivas no se pueden detectar mediante el uso de
decodificación de firma y protocolo. En esos casos, App-ID utiliza heurística o conductual
análisis para identificar aplicaciones que utilizan cifrado patentado, como peer-to-peer
(P2P) intercambio de archivos. El análisis heurístico, con las otras técnicas de App-ID, proporciona
visibilidad de aplicaciones que, de otro modo, podrían eludir la identificación. Las heurísticas son
específicos para cada aplicación e incluyen comprobaciones basadas en información como el paquete
https://translate.googleusercontent.com/translate_f
109/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
longitud, velocidad de la sesión y origen del paquete.
© 2021 Palo Alto Networks, Inc.
135
Página 136
Figura 2-7: Cómo Palo Alto Networks App-ID clasifica las aplicaciones
Con App-ID como elemento fundamental para cada nueva generación de Palo Alto Networks
Firewall, los administradores pueden recuperar la visibilidad y el control de las aplicaciones que atraviesan
la red.
App-ID: abordar aplicaciones personalizadas o desconocidas
Puede usar el Centro de comando de aplicaciones (ACC) para ver las aplicaciones en uso en su
organización. Una vez que haya determinado el valor de una aplicación para su organización, App-ID
controla la política de seguridad para esa aplicación. La política de seguridad puede incluir una serie de
diferentes acciones, tales como:
● Permitir o negar
● Permitir, pero analizar el contenido en busca de vulnerabilidades, virus y otras amenazas.
● Permitir según el horario, los usuarios o los grupos
● Controlar la transferencia de archivos o datos confidenciales
● Permitir o denegar un subconjunto de funciones de la aplicación.
Mientras compila la lista de aplicaciones que desea admitir, tolerar o bloquear, AppID puede restringir las aplicaciones que se comportan de manera no deseada. Puede utilizar categorías de aplicaciones,
tecnologías y clasificaciones de riesgo para definir una política de seguridad para bloquear cualquier aplicación que coincida
esas características.
https://translate.googleusercontent.com/translate_f
110/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
136
Página 137
La habilitación de aplicaciones seguras a menudo significa lograr un equilibrio de política de seguridad adecuado
entre permitir algunas funciones de la aplicación y negar otras. Ejemplos incluyen:
● Permitir Facebook, pero negar el correo, el chat, las publicaciones y las aplicaciones de Facebook, de manera efectiva.
Permitir a los usuarios solo navegar por Facebook
● Permitir el uso de aplicaciones SaaS como Dropbox pero denegar la carga de archivos. Esta
La técnica otorga a los usuarios internos acceso a recursos compartidos de archivos personales, pero evita intencionalmente o
filtraciones no intencionales de información corporativa.
La lista de App-ID se actualiza mensualmente, con nuevas aplicaciones agregadas en función de la entrada de la
Comunidad de Palo Alto Networks (clientes, socios) y tendencias del mercado. Todos los ID de aplicación son
clasificados por categoría, subcategoría, tecnología y clasificación de riesgo. La política de seguridad puede usar
estas clasificaciones para admitir automáticamente nuevas aplicaciones a medida que se expande la lista de ID de aplicaciones.
Alternativamente, puede especificar que desea revisar nuevas aplicaciones y determinar cómo
se tratan antes de que se instale la nueva lista.
A pesar de las actualizaciones periódicas, el tráfico de aplicaciones desconocidas inevitablemente seguirá siendo detectado en el
red, como:
● Aplicaciones comerciales desconocidas: los administradores pueden utilizar el ACC y el registro.
visor para determinar rápidamente si una aplicación desconocida es comercial
solicitud. Los administradores pueden utilizar la función de captura de paquetes (pcap) en Palo Alto
Firewall de próxima generación de redes para registrar el tráfico y enviarlo para App-ID
desarrollo. El nuevo App-ID se desarrolla, se prueba con la organización y luego se agrega
a la base de datos global para todos los usuarios.
● Aplicaciones internas o personalizadas: los administradores pueden usar el ACC y el visor de registros para
Determine rápidamente si una aplicación desconocida es una aplicación interna o personalizada.
Puede desarrollar un App-ID personalizado para la aplicación, utilizando el protocolo expuesto
decodificadores. Los decodificadores de protocolo que se han expuesto incluyen:
▪ FTP (Protocolo de transferencia de archivos)
▪ HTTP (Protocolo de transferencia de hipertexto) y HTTPS (HTTP seguro o HTTP sobre SSL)
▪ IMAP (Protocolo de acceso a mensajes de Internet) y SMTP (Protocolo simple de transferencia de correo)
▪ RTSP (Protocolo de transmisión en tiempo real)
▪ Telnet
▪ desconocido-TCP, desconocido-UDP y cuerpo de archivo (para html / pdf / flv / swf / riff / mov)
Después de que se desarrolle el App-ID personalizado, el tráfico identificado por él se trata de la misma manera que el
tráfico previamente clasificado: se puede habilitar a través de una política, inspeccionarse en busca de amenazas, dar forma usando
calidad de servicio (QoS), etc. Alternativamente, se puede crear y aplicar una anulación de la aplicación,
que efectivamente cambia el nombre de la aplicación. Las entradas de App-ID personalizadas se gestionan en un
base de datos en el firewall de próxima generación para garantizar que no se vean afectados por el ID de aplicación semanal
actualizaciones.
Un punto importante a destacar es que los cortafuegos de próxima generación de Palo Alto Networks utilizan un
modelo de aplicación positiva, lo que significa que se puede denegar todo el tráfico excepto esas aplicaciones
que están expresamente permitidos a través de la política. Este modelo de aplicación positiva significa que en algunos casos
© 2021 Palo Alto Networks, Inc.
137
Página 138
el tráfico desconocido se puede bloquear fácilmente o controlar estrictamente. Ofertas alternativas que son
basado en IPS permitirá que el tráfico desconocido pase sin proporcionar ninguna apariencia de
visibilidad o control.
App-ID en acción: identificación de WebEx
https://translate.googleusercontent.com/translate_f
111/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Cuando un usuario inicia una sesión de WebEx, la conexión inicial es una comunicación basada en SSL.
Con App-ID, el dispositivo ve el tráfico y determina que está usando SSL. Si hay un
coincidencia de la regla de política de descifrado, luego se inician el motor de descifrado y los decodificadores de protocolo
para descifrar el SSL y detectar que es tráfico HTTP. Una vez que el decodificador tiene el flujo HTTP,
App-ID puede aplicar firmas contextuales y detectar que la aplicación en uso es WebEx.
Luego, WebEx se muestra en el ACC y se puede controlar mediante una política de seguridad. Si el usuario final
inicia la función de uso compartido de escritorio de WebEx, WebEx se somete a un "cambio de modo": la sesión ha
se ha modificado de una aplicación de conferencias a una aplicación de acceso remoto. En este escenario, el
Las características de WebEx han cambiado y App-ID detecta el uso compartido de escritorio de WebEx.
característica, que luego se muestra en el ACC. En esta etapa, un administrador ha aprendido más
sobre el uso de la aplicación y puede ejercer un control de políticas sobre el uso de WebEx Desktop
Compartir función por separado del uso general de WebEx.
Identificación de aplicaciones y control de políticas
La identificación de la aplicación permite a los administradores ver las aplicaciones en la red, aprender
cómo funcionan y analizar sus características de comportamiento y riesgo relativo. Cuando la aplicación
La identificación se utiliza junto con la identificación del usuario, los administradores pueden ver exactamente quién
utiliza la aplicación en función de su identidad, no solo de una dirección IP. Con esta información,
Los administradores pueden usar reglas granulares basadas en un modelo de seguridad positivo para bloquear lo desconocido.
aplicaciones, mientras habilita, inspecciona y da forma a aquellas aplicaciones que están permitidas.
Una vez que se ha identificado una aplicación y se obtiene una imagen completa de su uso, las organizaciones
puede aplicar políticas con una variedad de respuestas que son mucho más granulares que el "permitir" o
"Denegar" acciones disponibles en firewalls heredados. Ejemplos incluyen:
● Permitir o denegar
● Permitir, pero analizar en busca de vulnerabilidades, virus y otras amenazas.
● Permitir según la programación, los usuarios o los grupos.
● Descifrar e inspeccionar
● Aplicar la configuración del tráfico a través de QoS.
● Aplicar reenvío basado en políticas
● Permitir determinadas funciones de la aplicación
● Cualquier combinación de los ejemplos anteriores.
© 2021 Palo Alto Networks, Inc.
138
Página 139
Control de función de aplicación
Para muchas organizaciones, la habilitación de aplicaciones seguras significa lograr una seguridad adecuada
equilibrio de políticas al habilitar la funcionalidad de la aplicación individual mientras se bloquean otras funciones
dentro de la misma aplicación. Los ejemplos pueden incluir:
● Permitir documentos de SharePoint pero bloquear el uso de la administración de SharePoint.
● Bloquear el correo, el chat, las publicaciones y las aplicaciones de Facebook, pero permitir que el propio Facebook
permitiendo efectivamente a los usuarios navegar solo en Facebook
App-ID utiliza una jerarquía de aplicaciones que sigue un modelo de "contenedor y función de apoyo"
para ayudar a los administradores a elegir fácilmente qué aplicaciones permitir, mientras bloquean o controlan
funciones dentro de la aplicación. La figura 2-8 muestra SharePoint como la aplicación de contenedor y
el individuo funciona dentro de él.
https://translate.googleusercontent.com/translate_f
112/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-8: El control de la función de aplicación maximiza la productividad al habilitar
aplicación en sí (Microsoft SharePoint) o funciones individuales.
Control de múltiples aplicaciones: filtros y grupos dinámicos
En algunos casos, las organizaciones pueden querer controlar las aplicaciones de forma masiva, en lugar de controlar
ellos individualmente. Los dos mecanismos del cortafuegos de próxima generación de Palo Alto Networks
que abordan esta necesidad son los grupos de aplicaciones y los filtros dinámicos:
● Grupos de aplicaciones: un grupo de aplicaciones es una lista estática de aplicaciones que se pueden
utilizado para permitir su uso para ciertos usuarios mientras bloquea su uso para otros. Por ejemplo,
aplicaciones de administración remota como el Protocolo de escritorio remoto (RDP), Telnet y
El personal de soporte de TI suele utilizar Secure Shell (SSH), pero los empleados externos
Estos grupos también utilizan estas herramientas para acceder a sus redes domésticas. Un grupo de aplicaciones
se puede crear y asignar al soporte de TI a través de User-ID, vinculando los grupos al
© 2021 Palo Alto Networks, Inc.
139
Página 140
política. Los nuevos empleados solo deben agregarse al grupo de directorio; no hay actualizaciones
necesario para la política en sí.
● Filtros dinámicos: un filtro dinámico es un conjunto de aplicaciones que se crea en función de cualquier
combinación de los criterios de filtrado: categoría, subcategoría, característica de comportamiento,
tecnología subyacente o factor de riesgo. Una vez creado el filtro deseado, una política que
bloquea o habilita y escanea el tráfico que se puede aplicar. A medida que se agregan nuevos archivos de App-ID,
cumplen los criterios del filtro, el filtro se actualiza automáticamente tan pronto como el dispositivo se
actualizado, minimizando así el esfuerzo administrativo asociado con la política
administración.
Identificación de usuario
Al definir políticas de seguridad basadas en el uso de la aplicación, un componente clave de esa política es quién
debería poder utilizar esas aplicaciones. Las direcciones IP son identificadores ineficaces del usuario o del
papel del servidor dentro de la red. Con el ID de usuario y el grupo de direcciones dinámicas (DAG)
características, puede asociar dinámicamente una dirección IP con un usuario o la función de un servidor en el
centro de datos. Posteriormente, puede definir políticas de seguridad que se adapten dinámicamente a los cambios
Ambientes.
En entornos que admiten varios tipos de usuarios finales (por ejemplo, marketing o
Recursos) en una variedad de ubicaciones y tecnologías de acceso, una garantía de
la segmentación de cada tipo de usuario no es realista. Visibilidad de la actividad de la aplicación en un usuario
nivel, no solo a nivel de dirección IP, le permite habilitar las aplicaciones de manera más efectiva
atravesando la red. Puede definir políticas de entrada y salida para habilitar de forma segura
aplicaciones basadas en usuarios o grupos de usuarios. Los ejemplos de políticas basadas en el usuario incluyen:
● Permitir que el departamento de TI use SSH, Telnet y FTP en puertos estándar
● Permitir que el grupo de servicios de la mesa de ayuda utilice Slack
● Permitir que todos los usuarios lean Facebook pero bloquear el uso de aplicaciones de Facebook y
restringir la publicación solo a empleados en marketing
ID de usuario: integración de la información del usuario y las políticas de seguridad
https://translate.googleusercontent.com/translate_f
113/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Creación y gestión de políticas de seguridad en un firewall de última generación, basado en la
la aplicación y la identidad del usuario, independientemente del dispositivo o la ubicación, es un medio más eficaz
de proteger la red que confiar únicamente en el puerto y la información de la dirección IP en el legado, puerto
cortafuegos basados. User-ID permite a las organizaciones aprovechar la información del usuario almacenada en una amplia
gama de repositorios para los siguientes propósitos:
● Visibilidad: visibilidad mejorada del uso de la aplicación en función de la información del usuario y del grupo.
puede ayudar a las organizaciones a mantener una visión más precisa de la actividad de la red.
● Control de políticas: vincular la información del usuario a la política de seguridad ayuda a las organizaciones a
Habilite de forma segura aplicaciones o funciones de aplicaciones específicas, mientras reduce la
esfuerzo administrativo asociado con movimientos, adiciones y cambios de empleados.
● Registro e informes: si ocurre un incidente de seguridad, análisis e informes forenses
puede incluir información del usuario, lo que proporciona una vista más completa del incidente.
© 2021 Palo Alto Networks, Inc.
140
Página 141
User-ID en acción
User-ID integra a la perfección los cortafuegos de próxima generación de Palo Alto Networks con una amplia gama
de repositorios de usuarios y entornos de servicios de terminal. Dependiendo del entorno de red,
Se pueden configurar múltiples técnicas para asignar con precisión la identidad del usuario a una dirección IP.
Los eventos incluyen eventos de autenticación, autenticación de usuario, monitoreo de servicios de terminal, cliente
sondeo, integración de servicios de directorio y una potente API XML (consulte la Figura 2-9).
Figura 2-9: User-ID integra directorios empresariales para políticas, informes y
forense.
Una vez que se identifican las aplicaciones y los usuarios, la visibilidad y el control totales dentro de la aplicación
El Centro de comando (ACC), la edición de políticas y el registro y la generación de informes están disponibles. Herramientas de identificación de usuario
y las técnicas incluyen:
● Autenticación de usuario: esta técnica permite a las organizaciones configurar un desafío
secuencia de autenticación de respuesta para recopilar información sobre el usuario y la dirección IP,
siguientes herramientas:
▪ Portal de autenticación: en los casos en que los administradores necesiten establecer reglas
qué usuarios deben autenticarse en el firewall antes de acceder a Internet,
El portal de autenticación se puede implementar. El portal de autenticación se utiliza en los casos en que el
https://translate.googleusercontent.com/translate_f
114/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
el usuario no puede ser identificado mediante otros mecanismos. El portal de autenticación se puede
© 2021 Palo Alto Networks, Inc.
141
Página 142
configurado para enviar una solicitud de autenticación de NT LAN Manager (NTLM) a la web
navegador para que el proceso de autenticación sea transparente para el usuario.
▪ Prisma Access: los usuarios que inician sesión en la red con Prisma Access proporcionan usuario y
alojar información en el cortafuegos de próxima generación, que, a su vez, se puede utilizar para políticas
control.
● Supervisión del servidor: la supervisión de los eventos de autenticación en una red permite al usuario
ID para asociar un usuario con la dirección IP del dispositivo desde el que el usuario inicia sesión
hacer cumplir la política en el cortafuegos. El ID de usuario se puede configurar para monitorear la autenticación
eventos para:
▪ Microsoft Active Directory: User-ID monitorea constantemente los registros de eventos del controlador de dominio
para identificar a los usuarios cuando inician sesión en el dominio. Cuando un usuario inicia sesión en Windows
dominio, se registra un nuevo evento de autenticación en el dominio de Windows correspondiente
controlador. Supervisando de forma remota los eventos de autenticación en el dominio de Windows
controladores, User-ID puede reconocer eventos de autenticación para identificar a los usuarios en la red
para la creación y ejecución de políticas.
▪ Microsoft Exchange Server: el ID de usuario se puede configurar para monitorear constantemente Microsoft
Eventos de inicio de sesión de Exchange producidos por clientes que acceden a su correo electrónico. Cuando este monitoreo
se utiliza la técnica, incluso macOS, Apple iOS y sistemas cliente Linux / Unix que no
autenticarse directamente en Active Directory puede ser descubierto e identificado.
▪ Novell eDirectory: User-ID puede consultar y supervisar la información de inicio de sesión para identificar a los usuarios
y membresías de grupos a través del Protocolo ligero de acceso a directorios (LDAP) estándar
consultas en servidores de eDirectory.
● Sondeo de clientes y servicios de terminal: esta técnica permite a las organizaciones
configurar User-ID para monitorear clientes o hosts de Windows para recopilar la identidad y mapearla
a la dirección IP. En entornos donde Citrix oculta la identidad del usuario
XenApp o Microsoft Terminal Services, el agente de Terminal Services con ID de usuario puede
implementado para determinar a qué aplicaciones acceden los usuarios. La siguiente
las técnicas están disponibles:
▪ Sondeo del cliente: si no se puede identificar a un usuario mediante la supervisión de los eventos de autenticación,
User-ID investiga activamente a los clientes de Microsoft Windows en la red para obtener información sobre
el usuario actualmente conectado. Con el sondeo de clientes, los usuarios de portátiles que a menudo cambian de
conectados a redes inalámbricas se pueden identificar de forma fiable.
▪ Sondeo de host: el ID de usuario también se puede configurar para sondear servidores Windows en busca de
sesiones de red de un usuario. Tan pronto como un usuario accede a un recurso compartido de red en el servidor,
User-ID identifica la dirección IP de origen y la asigna al nombre de usuario proporcionado para establecer
La sesión.
▪ Servicios de terminal: usuarios que comparten direcciones IP mientras trabajan en Microsoft Terminal
Se pueden identificar los servicios o Citrix. A cada sesión de usuario se le asigna un cierto rango de puertos en
el servidor, que es completamente transparente para el usuario y permite que la próxima generación
cortafuegos para asociar conexiones de red con usuarios y grupos que comparten un host en el
red.
© 2021 Palo Alto Networks, Inc.
142
Página 143
● API XML: en algunos casos, es posible que las organizaciones ya tengan un repositorio de usuarios o un
aplicación que se utiliza para almacenar información sobre los usuarios y su dirección IP actual. En
En estos escenarios, la API XML dentro de User-ID permite una rápida integración de los
https://translate.googleusercontent.com/translate_f
115/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
información con políticas de seguridad. La API XML proporciona una forma programática de mapear
usuarios a direcciones IP a través de integraciones con tecnologías asociadas, como Aruba
Controladores de movilidad ClearPass y Aruba. Uso de la API XML para recopilar usuarios e IP
la información de dirección incluye:
▪ Entornos inalámbricos: organizaciones que utilizan 802.1 x para proteger la tecnología inalámbrica corporativa.
Las redes pueden aprovechar una integración basada en syslog con la API XML User-ID para identificar
usuarios a medida que se autentican en la infraestructura inalámbrica.
▪ Proxies: la autenticación solicitada por un servidor proxy se puede proporcionar a User-ID a través de su
API XML analizando el archivo de registro de autenticación para obtener información sobre el usuario y la dirección IP.
▪ Control de acceso a la red (NAC): la API XML permite a las organizaciones recolectar usuarios
información de entornos NAC. Como ejemplo, un proveedor de soluciones NAC podría usar
la API XML User-ID para completar los inicios y cierres de sesión de los usuarios de su solución 802.1 x . Esta
La integración permite a las organizaciones identificar a los usuarios tan pronto como se conectan a la red.
y establecer políticas de habilitación basadas en el usuario.
● Oyente de Syslog: en entornos con servicios de red existentes que autentican a los usuarios
(por ejemplo, controladores inalámbricos, 802.1 x , o productos NAC), ID de usuario puede controlar syslog
mensajes para mapeo de usuarios. Los filtros de syslog extensibles controlan el análisis de syslog
mensajes. Los filtros de Syslog pueden ser definidos por el usuario, pero hay varios filtros predefinidos disponibles,
incluidos los de proxy Blue Coat, redes inalámbricas de área local (WLAN) y Pulse
Política segura.
Para permitir que las organizaciones especifiquen reglas de seguridad basadas en grupos de usuarios y resuelvan el grupo
miembros automáticamente, User-ID se integra con los servidores de directorio mediante el uso de un estándar
protocolo y una configuración flexible. Una vez configurada la integración con el servidor de directorio,
el cortafuegos recupera automáticamente la información de usuarios y grupos de usuarios y mantiene la información
actualizado para ajustarse automáticamente a los cambios en la base de usuarios u organización.
Después de que User-ID recopila la información del usuario, el firewall de próxima generación utiliza LDAP para obtener
información de grupo para ese usuario. Además, como en el caso del mapeo de usuarios, la API XML puede servir como
una interfaz programática para una capacidad flexible de mapeo de grupos. Con el mapeo de grupo, el User-ID puede
expresar las políticas de seguridad en términos de grupos, lo que permite que las políticas existentes se actualicen dinámicamente
User-ID agrega o quita usuarios de grupos.
User-ID le ofrece solo la mitad de la vista al asociar direcciones IP a usuarios específicos. Servidores
y muchos otros dispositivos no pueden utilizar a un usuario para identificar sus requisitos de acceso de seguridad. Dinámica
Los grupos de direcciones (DAG) le permiten crear políticas que se adapten automáticamente al servidor
adiciones, movimientos o eliminaciones. También permiten la flexibilidad de aplicar la política de seguridad al
dispositivo en función de su función en la red.
© 2021 Palo Alto Networks, Inc.
143
Página 144
Un DAG utiliza etiquetas como criterio de filtrado para determinar sus miembros. Puede definir etiquetas estáticamente
o registrarlos dinámicamente. Puede registrar dinámicamente la dirección IP y las etiquetas asociadas
para un dispositivo en el cortafuegos mediante el uso de la API XML o el agente de supervisión de VM en el cortafuegos;
cada dirección IP registrada puede tener varias etiquetas. Dentro de los 60 segundos de la llamada a la API, el firewall
registra la dirección IP y las etiquetas asociadas y actualiza automáticamente la membresía
información para los DAG.
Dado que los miembros de un DAG se actualizan automáticamente, puede utilizar grupos de direcciones para adaptar
a los cambios en su entorno sin depender de un administrador del sistema para hacer políticas
cambios y consúltelos (consulte la Figura 2-10).
https://translate.googleusercontent.com/translate_f
116/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-10: Grupos de direcciones dinámicas (DAG)
© 2021 Palo Alto Networks, Inc.
144
Página 145
Visibilidad de la actividad de un usuario
El poder de User-ID se vuelve evidente cuando App-ID encuentra una aplicación extraña o desconocida
En la red. Un administrador puede utilizar el ACC o el visor de registros para identificar el
aplicación, quién está utilizando la aplicación, el ancho de banda y el consumo de sesión, las fuentes
y destinos del tráfico de la aplicación y cualquier amenaza asociada.
La visibilidad de la actividad de la aplicación a nivel de usuario, no solo a nivel de dirección IP, permite
organizaciones para habilitar de manera más efectiva las aplicaciones que atraviesan la red. Administradores
puede alinear el uso de la aplicación con los requisitos de la unidad de negocio y, si corresponde, puede optar por
informar al usuario que está violando la política, o puede tomar el enfoque más directo de
bloquear el uso de la aplicación por parte del usuario.
Control de políticas basado en el usuario
Se pueden crear controles de políticas basados ​en el usuario en función de la aplicación, categoría y subcategoría,
tecnología subyacente o características de la aplicación. Las políticas se pueden utilizar para habilitar de forma segura
aplicaciones basadas en usuarios o grupos, ya sea en una dirección saliente o entrante.
Las políticas basadas en el usuario pueden incluir:
● Permitir que solo el departamento de TI use herramientas como SSH, Telnet y FTP en su
puertos estándar
● Permitir que el grupo de servicios de la mesa de ayuda utilice Yahoo Messenger.
● Permitir Facebook para todos los usuarios, permitir que solo el grupo de marketing utilice las publicaciones en Facebook,
y bloquear el uso de aplicaciones de Facebook para todos los usuarios
Optimizador de políticas
Policy Optimizer puede ayudar a las organizaciones a migrar de configuraciones de reglas de firewall heredadas a
https://translate.googleusercontent.com/translate_f
117/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
reglas basadas en aplicaciones a través de App-ID. Esta capacidad refuerza la postura de seguridad mediante el uso de
App-ID para cerrar cualquier brecha de seguridad y minimizar los errores de configuración, que son una de las principales causas
de infracciones. Policy Optimizer analiza el uso de la aplicación y recomienda reglas de política que reducen
exposición y riesgo.
Policy Optimizer identifica las reglas basadas en puertos para que se puedan convertir en basadas en aplicaciones.
reglas. La conversión de reglas basadas en puertos a reglas basadas en aplicaciones mejora la seguridad general
postura porque puede permitir las aplicaciones que desea permitir y luego negar todas las demás
aplicaciones. Policy Optimizer simplifica su capacidad para priorizar qué reglas basadas en puertos
migre primero, identifique reglas basadas en aplicaciones que permitan aplicaciones que no usa y analice
las características de uso de cada regla, como el recuento de aciertos.
© 2021 Palo Alto Networks, Inc.
145
Página 146
Identificación de contenido
La identificación de contenido infunde firewalls de próxima generación con capacidades que no son posibles en el legado,
cortafuegos basados ​en puertos. La identificación de la aplicación elimina los vectores de amenazas mediante un control estricto
de todo tipo de aplicaciones. Esta capacidad reduce inmediatamente la superficie de ataque del
red, después de lo cual todo el tráfico permitido se analiza en busca de exploits, malware, URL peligrosas y
archivos o contenido peligrosos o restringidos. La identificación de contenido va más allá de dejar de conocer
amenazas para identificar y controlar de forma proactiva el malware desconocido, que a menudo se utiliza como
borde de ataques de red sofisticados.
Prevención de amenazas
Las redes empresariales se enfrentan a un panorama de amenazas en rápida evolución lleno de aplicaciones modernas,
exploits, malware y estrategias de ataque que pueden evitar los métodos tradicionales de detección. Amenazas
se entregan a través de aplicaciones que saltan puertos dinámicamente, usan puertos no estándar, hacen un túnel dentro
otras aplicaciones, o esconderse dentro de proxies, SSL u otros tipos de cifrado. Estas tecnicas
puede evitar que las soluciones de seguridad tradicionales como IPS y firewalls inspeccionen el
tráfico, lo que permite que las amenazas fluyan fácil y repetidamente a través de la red. Además, las empresas
están expuestos a malware dirigido y personalizado, que puede pasar desapercibido a través de
soluciones anti-malware.
Content-ID de Palo Alto Networks aborda estos desafíos con una prevención de amenazas única
capacidades que no se encuentran en las soluciones de seguridad tradicionales. Primero, el firewall de próxima generación elimina
los métodos que utilizan las amenazas para esconderse de la seguridad mediante el análisis completo de todo el tráfico, en
todos los puertos independientemente de las técnicas de evasión, tunelización o elusión que se utilicen. No
La solución de prevención de amenazas será eficaz si no tiene visibilidad del tráfico. palo Alto
La tecnología de redes asegura la visibilidad a través de la identificación y control de todo el tráfico, utilizando
las siguientes herramientas y técnicas:
● Decodificadores de aplicaciones: Content-ID aprovecha las más de 100 aplicaciones y protocolos.
decodificadores en App-ID para buscar amenazas ocultas dentro de los flujos de datos de la aplicación. Esta herramienta
permite que el firewall detecte y prevenga amenazas canalizadas dentro de aplicaciones aprobadas
que pasaría por alto las soluciones IPS o proxy tradicionales.
● Formato de firma de amenazas uniforme: en lugar de utilizar un conjunto separado de motores de análisis
y firmas para cada tipo de amenaza, Content-ID aprovecha un motor de amenazas uniforme y
formato de firma para detectar y bloquear una amplia gama de actividades de malware C2 y
explota vulnerabilidades en una sola pasada.
● Protección contra ataques de vulnerabilidad (IPS): rutinas sólidas para la normalización del tráfico y
La desfragmentación está unida por anomalía de protocolo, anomalía de comportamiento y heurística.
mecanismos de detección para proporcionar protección contra la más amplia gama de
amenazas desconocidas.
● Inteligencia basada en la nube: para contenido desconocido, WildFire proporciona un análisis rápido y
https://translate.googleusercontent.com/translate_f
118/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
un veredicto que el firewall puede aprovechar.
© 2021 Palo Alto Networks, Inc.
146
Página 147
● Descifrado SSL: cada vez más conexiones de tráfico web se cifran con SSL por
predeterminado, que puede proporcionar cierta protección a los usuarios finales, pero SSL también puede proporcionar
atacantes con un canal encriptado para entregar exploits y malware. Palo Alto Networks
asegura la visibilidad al brindar a las organizaciones de seguridad la flexibilidad para, por política, de manera granular
mire dentro del tráfico SSL según la aplicación o la categoría de URL.
● Control de las tecnologías de elusión: los atacantes y el malware tienen cada vez más
recurrió a proxies, anonimizadores y una variedad de proxies encriptados para esconderse de
productos tradicionales de seguridad de red. Los productos de Palo Alto Networks brindan la capacidad de
controle estrictamente estas tecnologías y limítelas a los usuarios aprobados, mientras bloquea
comunicaciones no aprobadas que podrían ser utilizadas por atacantes.
Escaneo de malware basado en flujo
La prevención de malware conocido se realiza mediante el uso de un análisis basado en flujo, un
técnica que comienza a escanear tan pronto como se reciben los primeros paquetes del archivo, a diferencia de
esperando hasta que todo el archivo se cargue en la memoria para comenzar a escanear. Escaneo basado en flujo
minimiza los problemas de rendimiento y latencia al recibir, escanear y enviar tráfico a su
destino previsto inmediatamente sin tener que almacenar primero en búfer y luego escanear el archivo (ver Figura
2-11).
Figura 2-11: El escaneo basado en flujo ayuda a minimizar la latencia y maximizar el rendimiento
rendimiento.
© 2021 Palo Alto Networks, Inc.
147
Página 148
https://translate.googleusercontent.com/translate_f
119/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Prevención de intrusiones
Content-ID protege las redes de todo tipo de vulnerabilidades, desbordamientos de búfer, DoS
ataques y escaneos de puertos que conducen al compromiso de empresas confidenciales y sensibles
información. Los mecanismos IPS en Content-ID incluyen:
● Decodificadores de protocolo y detección de anomalías.
● Coincidencia de patrones con estado
● Detección de anomalías estadísticas
● Análisis basado en heurística
● Detección de paquetes no válidos o con formato incorrecto
● Desfragmentación de IP y reensamblaje de TCP
● Firmas personalizadas de teléfono-hogar de software espía y vulnerabilidades
El tráfico se normaliza para eliminar paquetes inválidos y con formato incorrecto, mientras que el reensamblaje de TCP e IP
La desfragmentación se realiza para garantizar la máxima precisión y protección a pesar de cualquier paquete
técnicas de evasión de nivel.
Filtrado de archivos y datos
El filtrado de archivos y datos aprovecha la inspección en profundidad de las aplicaciones y permite
Aplicación de políticas que reducen el riesgo de transferencia de información no autorizada o malware.
propagación. Las capacidades de filtrado de archivos y datos en Content-ID incluyen:
● Bloqueo de archivos por tipo: controle el flujo de una amplia gama de tipos de archivos buscando en profundidad
dentro de la carga útil para identificar el tipo de archivo (en lugar de mirar solo el archivo
extensión)
● Filtrado de datos: controle la transferencia de patrones de datos confidenciales, como números de tarjetas de crédito.
y números de seguro social en el contenido de la solicitud o en los archivos adjuntos
● Control de la función de transferencia de archivos : controle la función de transferencia de archivos dentro de un
aplicación individual, que permite el uso de la aplicación al tiempo que evita entradas no deseadas
o transferencia de archivos salientes
Correlación de registros e informes
El filtrado de registros de gran alcance permite a los administradores investigar rápidamente los incidentes de seguridad mediante
correlacionar las amenazas con las aplicaciones y la identidad del usuario. El ACC proporciona una vista completa
de datos actuales e históricos, incluida la actividad de la red, el uso de aplicaciones, los usuarios y las amenazas en un
formato interactivo altamente visual, totalmente personalizable y fácil de usar. Esta visibilidad permite
administradores para tomar decisiones de políticas informadas y responder rápidamente a la seguridad potencial
amenazas.
El ACC proporciona una vista con pestañas de la actividad de la red, la actividad de amenazas y la actividad bloqueada, y
cada pestaña incluye widgets pertinentes para una mejor visualización de los patrones de tráfico en la red (consulte
Figura 2-12).
© 2021 Palo Alto Networks, Inc.
148
Página 149
https://translate.googleusercontent.com/translate_f
120/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-12 : El ACC proporciona una seguridad altamente visual, interactiva y personalizable.
tablero de administración.
La figura 2-13 muestra un widget central del ACC, el widget de uso de aplicaciones. En este caso, el
El widget muestra el tráfico de la aplicación en bytes. Las aplicaciones (cuadros de colores) se agrupan en
categorías de aplicación (barras grises). El tamaño de cada cuadro indica la cantidad de tráfico en un determinado
aplicación consumida durante el período de tiempo seleccionado. El color de la caja indica el riesgo.
nivel de una aplicación, donde el rojo es crítico, el naranja medio y el azul el riesgo más bajo. El
La lista tabular debajo del gráfico muestra información adicional, como el número de sesiones,
amenazas detectadas, contenido o archivos incluidos y URL a las que acceden estas aplicaciones.
© 2021 Palo Alto Networks, Inc.
149
Página 150
Figura 2-13: El widget de uso de la aplicación ACC muestra el tráfico de la aplicación por tipo, cantidad,
riesgo y categoría.
En la Figura 2-14, un widget ACC muestra el origen y el destino por región, con una visualización de
donde se origina y se dirige el tráfico. Los mapas del mundo son interactivos y brindan la capacidad de
Obtenga más detalles e información sobre el tráfico hacia o desde países individuales.
https://translate.googleusercontent.com/translate_f
121/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-14: El conocimiento de la geolocalización en el ACC proporciona información valiosa sobre la fuente
y destino de todo el tráfico de aplicaciones.
© 2021 Palo Alto Networks, Inc.
150
Página 151
La figura 2-15 muestra un widget ACC que muestra el poder del control de aplicaciones en un siguiente
cortafuegos de generación frente a un cortafuegos tradicional basado en puertos. Este widget muestra aplicaciones con
capacidades de salto de puerto utilizando puertos no estándar.
Figura 2-15: El widget Aplicaciones ACC que utilizan puertos no estándar destaca el salto de puerto
y muestra la importancia de la aplicación frente al control de puertos.
También se pueden crear pestañas personalizadas que incluyan widgets que permitan a los administradores ver más
Información específica. Con el ACC, cada administrador puede personalizar sus propias vistas
seleccionar widgets prediseñados de una lista desplegable y crear su propia interfaz de usuario (consulte
Figura 2-16).
https://translate.googleusercontent.com/translate_f
122/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
151
Página 152
Figura 2-16: Se puede seleccionar una amplia variedad de widgets para personalizar pestañas en el ACC.
Además de personalizar las pestañas existentes (Actividad de red, Actividad de amenazas y Bloqueado
Actividad), los administradores pueden crear pestañas personalizadas para monitorear ciertos empleados, situaciones o
aplicaciones.
Con las capacidades interactivas del ACC, puede obtener más información sobre aplicaciones, URL
categorías, niveles de riesgo o amenazas para obtener una vista completa de la red y la actividad de amenazas (consulte la Figura
2-17).
© 2021 Palo Alto Networks, Inc.
152
Página 153
https://translate.googleusercontent.com/translate_f
123/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-17: Las capacidades interactivas con un clic brindan información adicional y la capacidad de
aplicar cualquier elemento como filtro global.
El motor de correlación automatizado en ACC es una herramienta de análisis que muestra amenazas críticas
que puede estar oculto en la red. Reduce la extracción manual de datos y permite una respuesta más rápida.
veces. Examina los eventos aislados automáticamente en varios registros, consulta los datos para
patrones específicos y correlaciona eventos de red para identificar hosts comprometidos. E incluye
objetos de correlación definidos por el equipo de investigación de malware de Palo Alto Networks. Estos
Los objetos identifican patrones de tráfico sospechosos, hosts comprometidos y otros eventos que indican un
resultado malicioso. Algunos objetos de correlación pueden identificar patrones dinámicos que se han
observado a partir de muestras de malware en WildFire.
© 2021 Palo Alto Networks, Inc.
153
Página 154
Los objetos de correlación desencadenan eventos de correlación cuando coinciden en los patrones de tráfico y la red.
artefactos que indican un host comprometido en su red. En el ACC, los desencadenantes de correlación son
claramente identificado y resaltado para permitir una respuesta rápida (consulte la Figura 2-18).
https://translate.googleusercontent.com/translate_f
124/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-18: El motor de correlación automatizado resalta automáticamente los hosts comprometidos en
el ACC correlacionando los indicadores de compromiso (IoC).
Un registro es un archivo con marca de tiempo generado automáticamente que proporciona una pista de auditoría para el sistema.
eventos en el firewall o eventos de tráfico de red que monitorea el firewall. Las entradas de registro contienen
artefactos , que son propiedades, actividades o comportamientos asociados con el evento registrado, como
el tipo de aplicación o la dirección IP de un atacante. Cada tipo de registro registra información para un
tipo de evento separado. Por ejemplo, el firewall genera un registro de amenazas para registrar el tráfico que
coincide con un software espía, una vulnerabilidad o una firma de virus o un ataque DoS que coincide con los umbrales
configurado para un escaneo de puertos o una actividad de barrido de host en el firewall.
Los siguientes registros se pueden ver desde la pestaña Monitor en Palo Alto Networks Next-Generation
Cortafuegos:
● Registros de alarmas: una alarma es un mensaje generado por un firewall que indica que el número de
eventos de un tipo particular (por ejemplo, fallos de cifrado y descifrado) ha superado
el umbral configurado para ese tipo de evento.
● Registros de configuración: estos registros muestran entradas para cambios en la configuración del firewall. Cada
La entrada incluye la fecha y la hora, el nombre de usuario del administrador, la dirección IP desde donde
el administrador hizo el cambio, el tipo de cliente (web, CLI o Panorama), el tipo
del comando ejecutado, el estado del comando (exitoso o fallido), la ruta de configuración,
y los valores antes y después del cambio.
● Registros de correlación: el firewall registra un evento correlacionado cuando los patrones y umbrales
definidos en un objeto de correlación coinciden con los patrones de tráfico en su red.
● Registros de filtrado de datos: estos registros muestran entradas para las reglas de seguridad que ayudan a prevenir
información confidencial, como números de tarjetas de crédito, para que no salgan del área que el firewall
protege.
© 2021 Palo Alto Networks, Inc.
154
Página 155
● Registros de coincidencia de HIP: la función Perfil de información del host (HIP) de Prisma Access le permite
para recopilar información sobre el estado de seguridad de los dispositivos finales que acceden a su red
(por ejemplo, si tienen habilitado el cifrado de disco). El cortafuegos puede permitir o denegar
acceso a un host específico basado en el cumplimiento de las reglas de seguridad basadas en HIP que usted defina.
Los registros HIP Match muestran los flujos de tráfico que coinciden con un objeto HIP o un perfil HIP que usted
configurado para las reglas.
● Registros del sistema: estos registros muestran entradas para cada evento del sistema en el firewall. Cada entrada
incluye la fecha y hora, la gravedad del evento y la descripción del evento.
● Registros de amenazas: estos registros muestran entradas cuando el tráfico coincide con uno de los perfiles de seguridad.
adjunto a una regla de seguridad en el cortafuegos. Cada entrada incluye la siguiente información:
fecha y hora; tipo de amenaza (como virus o software espía); descripción de la amenaza o URL (Nombre
columna); zonas, direcciones y puertos de origen y destino; Nombre de la aplicación; alarma
acción (como "permitir" o "bloquear"); y nivel de gravedad.
● Registros de tráfico: estos registros muestran una entrada para el inicio y el final de cada sesión. Cada entrada
incluye la siguiente información: fecha y hora; zonas de origen y destino,
direcciones y puertos; Nombre de la aplicación; regla de seguridad aplicada al flujo de tráfico; regla
acción ("permitir", "negar" o "eliminar"); interfaz de entrada y salida; número de bytes; y
motivo de finalización de la sesión.
● Registros unificados: los registros unificados son entradas de Tráfico, Amenazas, Filtrado de URL, WildFire
Los registros de envíos y filtrado de datos se muestran en una sola vista. La vista de registro unificada
le permite investigar y filtrar las últimas entradas de diferentes tipos de registros en una
lugar, en lugar de buscar en cada tipo de registro por separado.
https://translate.googleusercontent.com/translate_f
125/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Registros de filtrado de URL: estos registros muestran entradas para el tráfico que coincide con el filtrado de URL.
Perfiles adjuntos a reglas de seguridad. Por ejemplo, el cortafuegos genera un registro si una regla
bloquea el acceso a sitios web específicos y categorías de sitios web o si configuró una regla para
generar una alerta cuando un usuario accede a un sitio web.
● Registros de envíos de WildFire: el cortafuegos reenvía muestras (enlaces de archivos y correos electrónicos) al
Nube de WildFire para análisis basados ​en la configuración de Perfiles de análisis de WildFire. El cortafuegos
genera entradas de registro de envíos de WildFire para cada muestra que envía después de WildFire
completa el análisis estático y dinámico de la muestra. Entradas de registro de envíos de WildFire
incluir el veredicto de WildFire para la muestra enviada.
Las capacidades de generación de informes del cortafuegos de próxima generación de Palo Alto Networks le permiten
monitorear el estado de su red, validar sus políticas y concentrar sus esfuerzos en mantener
Seguridad de la red. Están disponibles los siguientes tipos de informes:
● Los informes de redes de bots le permiten utilizar mecanismos basados ​en el comportamiento para identificar posibles redes de bots.
hosts infectados en la red.
● Se pueden crear y programar informes personalizados para mostrar exactamente la información que desea.
ver filtrando por condiciones y columnas para incluir. También puede incluir consulta
constructores para obtener detalles más específicos en los datos del informe.
● Los informes resumidos en PDF agregan hasta 18 informes y gráficos predefinidos o personalizados de
Categorías de filtrado de amenazas, aplicaciones, tendencias, tráfico y URL en un solo PDF
documento.
© 2021 Palo Alto Networks, Inc.
155
Página 156
● Los informes predefinidos le permiten ver un resumen del tráfico en su red.
Los informes predefinidos están disponibles en cuatro categorías: aplicaciones, tráfico, amenazas y
Filtrado de URL.
● Los grupos de informes combinan informes personalizados y predefinidos en grupos de informes y compilan un
documento PDF único que se envía por correo electrónico a uno o más destinatarios. Actividad de usuario o grupo
Los informes le permiten programar o crear un informe bajo demanda sobre el uso de la aplicación y
Actividad de URL para un usuario específico o para un grupo de usuarios. El informe incluye la URL
categorías y un cálculo del tiempo de navegación estimado para usuarios individuales. Los informes pueden ser
generados a pedido o en un horario recurrente, y se pueden programar para correo electrónico
entrega.
Opciones de implementación de firewall de próxima generación
La familia de firewalls de próxima generación de Palo Alto Networks incluye dispositivos físicos,
cortafuegos virtualizados y cortafuegos preparados para 5G.
Aparatos físicos (serie PA)
La gama completa de firewalls físicos de próxima generación de Palo Alto Networks es fácil de implementar en
la red de su organización. Están diseñados expresamente para simplificar, automatizar y
integración. Los firewalls de la serie PA admiten una variedad de implementaciones de centros de datos y sucursales remotas
casos de uso. Los firewalls de la serie PA disponibles incluyen lo siguiente (consulte la Figura 2-19):
● Serie PA-7000: los cortafuegos de próxima generación de la serie PA-7000 permiten
organizaciones y proveedores de servicios para implementar seguridad en entornos de alto rendimiento,
como grandes centros de datos y perímetros de red de gran ancho de banda. Estos sistemas son
diseñado para manejar las crecientes necesidades de rendimiento para aplicaciones, usuarios y dispositivos
datos generados, y ofrecen rendimiento, capacidades de prevención para detener la mayoría
ciberataques avanzados y descifrado de alto rendimiento para detener las amenazas que se esconden bajo el
velo de cifrado. La serie PA-7000 está diseñada para maximizar los recursos de procesamiento de seguridad
utilizar y escalar automáticamente a medida que se disponga de nueva potencia informática, y ofrece
simplicidad definida por un enfoque de sistema único para la gestión y la concesión de licencias.
● Serie PA-5200: los cortafuegos de próxima generación de la serie PA-5200 que comprenden el PA-5280,
Los firewalls PA-5260, PA-5250 y PA-5220 son ideales para centros de datos de alta velocidad, Internet
implementaciones de puerta de enlace y proveedor de servicios. La serie PA-5200 ofrece hasta 64 Gbps
de rendimiento, utilizando procesamiento y memoria dedicados, para las áreas funcionales clave de
redes, seguridad, prevención de amenazas y administración.
https://translate.googleusercontent.com/translate_f
126/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Serie PA-3200: los cortafuegos de próxima generación de la serie PA-3200 que comprenden el PA-3260,
PA-3250 y PA-3220 están destinados a implementaciones de puertas de enlace de Internet de alta velocidad. PENSILVANIALos dispositivos de la serie 3200 protegen todo el tráfico (incluido el tráfico cifrado) mediante
procesamiento y memoria para redes, seguridad, prevención de amenazas y administración.
● Serie PA-800: Los cortafuegos de próxima generación de la serie PA-800 que comprenden el PA-850 y
Los cortafuegos PA-820 están diseñados para proporcionar conectividad segura para las sucursales de las organizaciones.
oficinas y para medianas empresas.
● PA-220: el cortafuegos PA-220 ofrece capacidades de cortafuegos de próxima generación para
sucursales empresariales, ubicaciones minoristas y medianas empresas en un factor de forma pequeño.
© 2021 Palo Alto Networks, Inc.
156
Página 157
● PA-220R: el cortafuegos PA-220R es un cortafuegos reforzado de próxima generación que protege
Redes industriales y de defensa en una variedad de entornos hostiles, como servicios públicos.
subestaciones, plantas de energía, plantas de fabricación, instalaciones de petróleo y gas, construcción
sistemas de gestión y redes sanitarias.
Figura 2-19: Firewall de próxima generación de Strata
Cortafuegos virtualizados (serie VM)
Los firewalls virtuales de la serie VM brindan todas las capacidades de la próxima generación de Palo Alto Networks
firewalls de hardware físico (serie PA) en un factor de forma de máquina virtual. Formulario de la serie VM
Los factores respaldan una variedad de casos de uso de implementación, que incluyen:
● Microsegmentación: los firewalls virtuales de la serie VM reducen el ataque de su entorno.
superficie permitiendo la segmentación granular y microsegmentación. Prevención de amenazas
Las capacidades garantizan que las amenazas que ingresan al entorno se identifiquen rápidamente y
detenidos antes de que puedan exfiltrar datos, entregar cargas útiles de malware o ransomware, o
causar otros daños.
● Nube híbrida y multicloud: los firewalls virtuales de la serie VM eliminan la necesidad de
múltiples conjuntos de herramientas de seguridad al proporcionar una visibilidad y un control completos en
Entornos de nubes híbridas y multicloud, incluidos Amazon Web Services (AWS),
Google Cloud Platform (GCP), Microsoft Azure y Oracle Cloud, y al igual que
sin esfuerzo en redes definidas por software y entornos virtualizados, todo administrado desde
una sola consola.
● Canalizaciones de DevOps y CI / CD: los firewalls virtuales de la serie VM proporcionan
escalabilidad para garantizar la seguridad cuando y donde más se necesita. Con red automatizada
seguridad, el aprovisionamiento de seguridad se puede integrar directamente en los flujos de trabajo de DevOps y
Pipelines de CI / CD sin ralentizar el ritmo del negocio.
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
157
127/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 158
Serie K2
5G crea oportunidades comerciales disruptivas para los operadores de redes móviles porque puede moverse
más allá de brindar conectividad y utilizar la seguridad como un habilitador comercial y una ventaja competitiva.
La evolución a 5G evita oportunidades para nuevos servicios, pero también aumenta el número de
puntos de intrusión potenciales, amplificando así el impacto en la seguridad. Si quieres aprovechar el 5G
oportunidades comerciales con un riesgo mínimo de ser explotados por piratas informáticos, necesita una completa
visibilidad y seguridad automatizada en todas las ubicaciones de la red.
Palo Alto Networks ha desarrollado, como parte de la plataforma de firewall de próxima generación, una plataforma preparada para 5G
plataforma, llamada K2-Series, para evitar que los ciberataques exitosos se dirijan a la red móvil
servicios. Los firewalls de la serie K2 están diseñados para manejar las crecientes necesidades de rendimiento debido a la
aumento de datos generados por aplicaciones, usuarios y dispositivos. La serie K2 ofrece una fuerte
capacidades de prevención de amenazas y rendimiento para detener ciberataques avanzados y proteger los dispositivos móviles
infraestructura de red, suscriptores y servicios.
Puede implementar firewalls de la serie K2 en todas las interfaces de red 5G para lograr
protección con una gestión coherente y una visibilidad total de la aplicación (consulte la Figura 2-20). El
El cambio fundamental en las arquitecturas de redes 5G intensifica aún más el impacto en la seguridad.
paisaje, con un crecimiento en el número de puntos de intrusión, incluidos los ataques dentro de túneles móviles
y amenazas dentro de aplicaciones que atraviesan el tráfico celular. Los operadores móviles necesitan una seguridad constante
cumplimiento en todas las ubicaciones de la red y todo el tráfico de señalización. Esta superficie de ataque más grande
aumenta la necesidad de seguridad de Capa 7 con reconocimiento de aplicaciones para detectar amenazas conocidas y desconocidas.
Figura 2-20: Protección de redes nuevas de radio (NR) 4G y 5G
La serie K2 ofrece dos modos: modo seguro y modo rápido. El modo seguro viene con todos los
Funciones de firewall de próxima generación habilitadas, incluida la prevención de amenazas con lo siguiente
habilitado: App-ID, IPS, antivirus, antispyware, análisis avanzado de malware y registro. Rápido
el modo está optimizado para la configuración de rendimiento más alto; se puede actualizar al modo seguro.
© 2021 Palo Alto Networks, Inc.
158
Página 159
Sartén De Hierro
IronSkillet es un conjunto de plantillas de configuración de firewall de próxima generación para PAN-OS.
software que se basan en recomendaciones de mejores prácticas de seguridad.
En lugar de una extensa documentación práctica, las plantillas proporcionan una
modelo de configuración que es independiente del caso de uso. El énfasis está en elementos clave de seguridad como
actualizaciones dinámicas, perfiles de seguridad, reglas y registros que deben ser consistentes en todos los
https://translate.googleusercontent.com/translate_f
128/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
despliegues.
Palo Alto Networks tiene experiencia en prevención de seguridad y en su propia cartera de productos. Mejor
La documentación de la práctica está diseñada para compartir el conocimiento de esta experiencia con
clientes y socios. Este intercambio ayuda a mejorar la postura de seguridad en varios escenarios.
Las plantillas juegan un papel complementario al tomar recomendaciones de mejores prácticas comunes
y compilarlos en configuraciones predefinidas del primer día que se pueden cargar fácilmente en
Panorama o un cortafuegos de última generación. Los beneficios incluyen:
● Tiempo de implementación más rápido
● Menos errores de configuración
● postura de seguridad mejorada
Las plantillas están disponibles en GitHub y son específicas para cada versión del software PAN-OS.
Expedición de Palo Alto Networks (herramienta de migración)
La migración a un cortafuegos de próxima generación de Palo Alto Networks es un paso crítico hacia la
prevención y detección de ciberataques. Las amenazas avanzadas de hoy requieren un alejamiento de
políticas de firewall basadas en puertos, que ya no son adecuadas para proteger contra una amenaza moderna
paisaje, en una arquitectura que reduce su superficie de ataque habilitando de manera segura solo aquellos
aplicaciones que son críticas para su organización y la eliminación de aplicaciones que presentan riesgos.
Expedition permite a las organizaciones analizar su entorno existente, convertir la seguridad existente
políticas a los cortafuegos de próxima generación de Palo Alto Networks y ayudar con la transición de
prueba de concepto a producción.
Las funciones principales de Expedition incluyen:
● La migración de terceros transfiere las distintas reglas de firewall, direcciones y objetos de servicio.
a un archivo de configuración XML PAN-OS que se puede importar a Palo Alto Networks
Cortafuegos de próxima generación. La migración de terceros de los siguientes proveedores de firewall es
disponible:
▪ Punto de control
▪ Cisco ASA / PIX / FWSM
▪ Fortinet
▪ Juniper SRX / NETSCREEN
▪ McAfee Sidewinder
© 2021 Palo Alto Networks, Inc.
159
Página 160
● La adopción de App-ID permite a las organizaciones aprovechar al máximo sus próximos
cortafuegos de generación, al tiempo que reduce la superficie de ataque y recupera visibilidad y control
sobre la organización a través de App-ID.
● La optimización mantiene los firewalls de próxima generación funcionando al máximo rendimiento con
servicios que incluyen:
▪ Revisión de arquitectura
▪ Verificación del estado del sistema
▪ Auditoría de configuración
▪ Implementación de cambio de configuración y ajuste de producto opcional
● La consolidación de firewalls heredados a los sistemas virtuales de Palo Alto Networks permite
organizaciones para personalizar las políticas de administración, redes y seguridad para el
tráfico de red que está asociado con departamentos o clientes específicos. En un estándar
configuración de la interfaz del sistema virtual, cada sistema virtual utiliza una interfaz dedicada para
Internet, que requiere el uso de varias direcciones IP. Una puerta de enlace compartida permite
organizaciones para crear una interfaz virtual común para los sistemas virtuales que corresponden
a una única interfaz física. Esta puerta de enlace compartida es útil en entornos donde el
El ISP proporciona solo una única dirección IP. Todos los sistemas virtuales se comunican con el
mundo exterior a través de la interfaz física, utilizando una única dirección IP.
● La gestión centralizada con Panorama permite a las organizaciones gestionar de forma centralizada
https://translate.googleusercontent.com/translate_f
129/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
el proceso
de configuración
de dispositivos,
implementación
de políticas
deAlto
seguridad, realización de análisis forense
análisis
y generación
de informes
en toda la red
de la organización
de Palo
Firewalls de próxima generación de redes. Panorama y la gestión de dispositivos individuales
las interfaces están disponibles como un dispositivo virtual o una plataforma de gestión dedicada
y comparten la misma apariencia basada en la web, lo que garantiza la coherencia del flujo de trabajo mientras
minimizando cualquier curva de aprendizaje o retraso en la ejecución de tareas.
● La zonificación automática adapta automáticamente las políticas de seguridad de los proveedores que no usan zonas.
y reglas basadas en zonas. El mapeo de zonas depende de las rutas y la zona.
dirección IP de la interfaz. Las asignaciones se ajustan cuando configura o cambia las interfaces y
ajustes de zonas.
● Los administradores pueden cargar páginas de respuesta personalizadas para notificar a los usuarios finales
infracciones de la política.
La combinación de herramientas, experiencia y mejores prácticas de Palo Alto Networks ayuda a analizar un
entorno existente de la organización y migrar las políticas y la configuración del cortafuegos a la siguiente
cortafuegos de generación, mientras ayuda en todas las fases de la transición.
Implementación de Zero Trust con firewalls de próxima generación
Las empresas a menudo se muestran reacias a comenzar el viaje de Zero Trust porque creen que es difícil,
costoso y perturbador. Los paradigmas de diseño del siglo XX pueden crear problemas cuando un
Se diseña la red Century Zero Trust. Sin embargo, construir redes Zero Trust es en realidad mucho
más simple que construir redes jerárquicas heredadas del siglo XX. Porque la mayoría de nosotros aprendimos a
diseñar redes de afuera hacia adentro, basándose en la clasificación de los usuarios como "confiables" y "no confiables",
que es un enfoque que desde entonces ha demostrado ser inseguro, luchamos por adaptar nuestro pensamiento de diseño a
la metodología Zero Trust.
© 2021 Palo Alto Networks, Inc.
160
Página 161
No es necesario reemplazar una red existente para implementar una red Zero Trust. Confianza cero
aumenta una red existente, con cada red Zero Trust diseñada para una protección específica
superficie. La red Zero Trust está interconectada con una red existente para aprovechar
tecnología existente. Luego, conjuntos de datos, aplicaciones, activos o servicios adicionales son iterativamente
se trasladó de la red heredada a la red Zero Trust. Este enfoque por fases ayuda a
implementación de redes Zero Trust manejable, rentable y sin interrupciones.
La siguiente metodología de cinco pasos describe una implementación de Zero Trust con la próxima generación
cortafuegos y otras soluciones de seguridad de Palo Alto Networks estrechamente integradas (consulte la Figura 2-21).
Figura 2-21: La metodología Zero Trust de Palo Alto Networks
Paso 1: Defina su superficie de protección
Cuando defina la superficie de protección, debe considerar todos los datos, aplicaciones, activos o
servicios (DAAS). Su superficie protegida podría incluir:
● Datos: información de la tarjeta de pago (PCI), información médica protegida (PHI), información personal
información identificable (PII) y propiedad intelectual
● Aplicaciones: software estándar o personalizado
● Activos: controles de control de supervisión y adquisición de datos (SCADA), puntos de venta
terminales, equipos médicos, activos de fabricación y dispositivos de IoT
● Servicios: Sistema de nombres de dominio (DNS), Protocolo de configuración dinámica de host (DHCP),
https://translate.googleusercontent.com/translate_f
130/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
y Active Directory
Los cortafuegos de próxima generación de Palo Alto Networks, en forma física o virtualizada, proporcionan
Visibilidad integral de Capa 7 para ayudarlo a determinar sus datos, aplicaciones, activos y
perfil de servicio. Palo Alto Networks también tiene amplias asociaciones con terceros líderes
empresas para ayudar con datos adicionales y descubrimiento de activos. Detección y respuesta de Cortex XDR
utiliza la red, la nube y los puntos finales como sensores, alimentando datos en Cortex Data Lake para proporcionar
visibilidad de la actividad de los usuarios, dispositivos, aplicaciones y servicios para una mayor comprensión de la
las superficies de protección individual en un entorno empresarial.
© 2021 Palo Alto Networks, Inc.
161
Página 162
Paso 2: mapear los flujos de transacciones
Para diseñar correctamente una red, debe comprender cómo deberían funcionar los sistemas. La forma en que el tráfico
se mueve a través de la red (específico a los datos en la superficie protegida) determina cómo debe ser
protegido. Esta comprensión proviene de escanear y mapear los flujos de transacciones dentro de un
red para determinar cómo interactúan varios componentes de datos, aplicaciones, activos y servicios con
otros recursos en la red.
Los flujos comúnmente se aproximan a través del conocimiento de la documentación sobre cuán específicos
los recursos interactúan. Incluso sin una vista completa, esta información aún proporciona datos valiosos, por lo que
que los controles no se implementan arbitrariamente sin conocimiento.
Zero Trust es una arquitectura basada en flujo. Después de que se entienda el diseño de cómo funcionan los sistemas,
los mapas de flujo indican dónde insertar los controles.
Zero Trust es un proceso iterativo. Empiece con lo que sabe. A medida que avanza por los pasos en
esta metodología, recopilará más información que permitirá una mayor granularidad en su
diseño. No debe retrasar su iniciativa Zero Trust solo porque no tiene el perfecto
información.
Los cortafuegos de próxima generación de Palo Alto Networks ofrecen una visibilidad profunda de la capa de aplicación con
información detallada de los flujos de tráfico. Policy Optimizer ofrece una visibilidad profunda de las aplicaciones para ayudar
usted prioriza la migración de reglas, identifica reglas que permiten aplicaciones no utilizadas o aprovisionadas en exceso,
y analizar las características de uso de las reglas.
Cortex Data Lake también recopila telemetría de la red a través de un firewall de próxima generación
dispositivos, la nube a través de firewalls virtualizados de próxima generación de la serie VM y puntos finales a través de
Cortex XDR. Con estos datos centralizados, Cortex XDR aprovecha Cortex Data Lake para validar
interacción establecida y proporcionar detalles sobre esa interacción para ayudar a refinar el uso de
comunicación y comprensión del flujo.
Paso 3: diseñar una red de confianza cero
El primer paso de cualquier diseño de red suele ser su arquitectura. Las personas obtienen "referencia
arquitecturas ”para la red y deben trabajar para hacerlas utilizables para su negocio. En el cero
El proceso de confianza, la arquitectura de la red es el tercer paso. Además, las redes Zero Trust son
personalizado, no un diseño universal. Una vez definida la superficie de protección y los flujos
mapeado, la arquitectura Zero Trust se hará evidente.
Los elementos arquitectónicos comienzan con la implementación de un firewall de próxima generación como
puerta de enlace de segmentación para hacer cumplir el acceso granular de Capa 7 como un microperímetro alrededor de la protección
superficie. Con esta arquitectura, cada paquete que accede a un recurso dentro de la superficie protegida
pasará a través de un firewall de próxima generación para que se pueda hacer cumplir la política de Capa 7,
simultáneamente controlando e inspeccionando el acceso. Existe un malentendido importante de que
Zero Trust se trata solo de control de acceso: el control de acceso con privilegios mínimos es solo una faceta de Zero
Confianza. Otra faceta es la inspección y el registro de cada paquete, hasta el final
Capa 7, para determinar si los paquetes están limpios. Esta determinación se toma después de inspeccionar todos
https://translate.googleusercontent.com/translate_f
131/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
162
Página 163
tráfico de red para contenido malicioso con múltiples servicios de seguridad integrados, incluido IPS,
capacidades de sandboxing, seguridad DNS, filtrado de URL y prevención de pérdida de datos (DLP).
Los firewalls de próxima generación de Palo Alto Networks aprovechan App-ID, User-ID y
Content-ID para definir controles autorizados de políticas de Capa 7 y evitar comprometer la protección
superficies. Porque estas pasarelas de segmentación se ofrecen tanto en forma física como virtual
factores, este modelo arquitectónico puede funcionar en cualquier lugar donde pueda tener una superficie protegida, ya sea en
Centros de datos físicos locales o externos, o en la nube privada, pública o híbrida.
Ambientes.
La seguridad de punto final como Cortex XDR puede evitar el compromiso de la superficie de protección mediante
y amenazas desconocidas, ya sea de malware, ataques sin archivos o exploits. Ofertas de acceso seguro
como Prisma Access extienden la política de cada microperímetro hasta los puntos finales
intentar acceder a proteger los recursos de la superficie.
La cartera de productos ofrece telemetría de todas las tecnologías centrales de Palo Alto Networks a Cortex
Data Lake, lo que permite la optimización y la automatización de políticas basadas en el aprendizaje automático a través de Cortex
XDR para mejorar en etapas posteriores de la implementación.
La arquitectura aún estaría incompleta sin importantes ofertas de terceros. palo Alto
Networks se integra con múltiples proveedores de autenticación multifactor (MFA) para agregar fidelidad a
ID de usuario. Para simplificar las arquitecturas Zero Trust, una potente API proporciona integraciones profundas con
más de 250 socios externos, e incluye tecnologías anti-spam / anti-phishing, DLP
sistemas, redes de área amplia definidas por software (SD-WAN) y ofertas inalámbricas.
Paso 4: Cree la política de Confianza Cero
Una vez que haya diseñado la arquitectura de su red Zero Trust, debe crear el soporte Zero Trust
políticas, siguiendo el Método Kipling, para responder al quién, qué, cuándo, dónde, por qué y cómo de
su red y políticas. Antes de que un recurso pueda hablar con otro, una regla específica debe permitir
ese tráfico. El método de Kipling para crear políticas habilita la política de capa 7 para
aplicación de modo que solo se conozca el tráfico permitido o la comunicación legítima de la aplicación.
permitido en su red. Este proceso reduce significativamente la superficie de ataque al tiempo que reduce la
número de reglas de firewall basadas en puertos impuestas por los firewalls de red tradicionales. Con el kipling
Método, puede escribir políticas fácilmente respondiendo:
● Quién debería acceder a un recurso, que define la "identidad declarada".
● ¿Qué aplicación utiliza la identidad declarada del paquete para acceder a un recurso dentro
la superficie protegida?
● ¿ Cuándo intenta la identidad declarada acceder al recurso?
● ¿Dónde está el destino del paquete? El destino de un paquete a menudo se extrae automáticamente
de otros sistemas que gestionan activos en un entorno, como desde un sistema de carga equilibrada
servidor a través de una dirección IP virtual.
● ¿Por qué este paquete intenta acceder a este recurso dentro de la superficie protegida? Esta pregunta
se relaciona con la clasificación de datos, donde los metadatos se ingieren automáticamente de los datos
Las herramientas de clasificación ayudan a que su política sea más granular.
© 2021 Palo Alto Networks, Inc.
163
Página 164
● ¿Cómo se afirma la identidad de un paquete que accede a la superficie de protección a través de una
¿solicitud?
Para simplificar el proceso, debe crear políticas principalmente en sus puertas de enlace de segmentación.
herramienta de gestión centralizada. Panorama proporciona esta funcionalidad, y Panorama es donde el
https://translate.googleusercontent.com/translate_f
132/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Se aplica el Método Kipling.
La tecnología de firewall de próxima generación de Palo Alto Networks y las características únicas le permiten
redactar políticas que sean fáciles de entender y mantener al tiempo que brindan la máxima seguridad
transparente para sus usuarios finales. User-ID ayuda a definir quién, App-ID ayuda a definir qué y
Content-ID ayuda a definir el cómo, todo lo cual se aplica a lo largo de su implementación,
incluso por el servicio de prevención de malware WildFire y por Prevención de amenazas, URL
Servicios de filtrado y seguridad DNS. El software PAN-OS ofrece una creación de políticas mejorada
capacidad, en particular a través de Policy Optimizer, que le ayuda continuamente a comprender cómo
Aumente la fidelidad de su póliza Zero Trust. También puede crear políticas para Prisma SaaS
basado en cómo se accede a las aplicaciones SaaS.
Paso 5: monitorear y mantener la red
El último paso en este proceso iterativo es monitorear y mantener su red, lo que significa
mirando continuamente todos los registros internos y externos a través de la Capa 7 y centrándose en el
aspectos operativos de Zero Trust. La inspección y el registro de todo el tráfico en su red son
facetas fundamentales de Zero Trust.
Debe enviar al sistema tanta telemetría como sea posible sobre su entorno. Estos datos
brindarle nuevos conocimientos sobre cómo mejorar su red Zero Trust. Cuanto más su red es
atacado, más fuerte se volverá, con mayor conocimiento para hacer las políticas más seguras.
Los datos adicionales brindan información sobre la superficie protegida, como lo que debe incluir en ella
y las interdependencias de los datos dentro de él, que pueden mejorar aún más su seguridad.
Toda la telemetría generada por la seguridad de la nube, la red y el punto final de Palo Alto Networks
tecnologías se envían a Cortex Data Lake, donde los datos se unen para habilitar la máquina
optimización y análisis de políticas basadas en el aprendizaje.
El firewall de próxima generación y los datos de la serie VM se consolidan en una vista única en
Panorama, que genera una alerta cuando se debe producir un suceso malicioso o sospechoso.
investigado.
El servicio de inteligencia de amenazas contextual AutoFocus, permite esta investigación con una combinación de
inteligencia de máquina de WildFire e inteligencia humana proporcionada por Palo Alto Networks
Unidad 42 Equipo de investigación de amenazas, lo que resulta en una mejora de la política y una protección más refinada.
superficie. El motor MineMeld dentro de AutoFocus puede agregar, hacer cumplir y compartir amenazas
inteligencia de fuentes de terceros, lo que proporciona un contexto adicional para mejorar la confianza cero
política. MineMeld puede integrarse sin problemas con su firewall de próxima generación dentro o fuera
su implementación de Palo Alto Networks.
© 2021 Palo Alto Networks, Inc.
164
Página 165
Prisma Cloud proporciona seguridad en la nube pública y monitoreo de cumplimiento, escaneando todas las auditorías y
Registros de flujo en entornos multinube para usuarios raíz y administradores excesivamente permisivos.
ocupaciones. Prisma Cloud desarrolla una comprensión contextual profunda de su entorno de nube, por lo tanto
permitiendo la detección de anomalías del usuario en función de la actividad y la ubicación que podrían indicar
credenciales comprometidas, ataques de fuerza bruta y otras actividades sospechosas. Prisma Cloud también
correlaciona los datos de inteligencia de amenazas para proporcionar visibilidad de las direcciones IP y el host sospechosos
vulnerabilidades en sus recursos, que se pueden aislar rápidamente para evitar una exposición adicional.
Estos datos proporcionan información que le permite ajustar los privilegios de Zero Trust.
Cortex XDR aprovecha Cortex Data Lake para crear perfiles de usuarios y dispositivos, actuando
como referencia de uso normal. Esta línea de base permite que el motor de análisis de comportamiento detecte amenazas.
basado en anomalías dirigidas a su superficie protegida. Porque evalúa actual o adicional
proteger las políticas de superficie, Cortex XDR le permite buscar la telemetría dentro de Cortex Data Lake
para la comunicación y las interacciones entre entidades. También puede analizar la telemetría para
demuestre la condición u obtenga información valiosa sobre cómo debe modificarse su póliza. En raras
casos, la búsqueda puede identificar un vector de amenaza desconocido que no se incluye en la superficie de protección.
https://translate.googleusercontent.com/translate_f
133/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Cortex XDR facilitará una investigación profunda de la nueva amenaza para que pueda
descubra lo que ocurrió y reaccione en consecuencia.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Content-ID opera en qué capa del modelo ISO?
A.7, capa de aplicación
B.6, capa de presentación
C. 5, capa de sesión
D.4, capa de transporte
2. ¿Qué característica del NGFW se requiere para implementar RBAC?
A. ID de aplicación
B. Identificación de contenido
C. ID de usuario
D. Global Protect
3. ¿Qué característica del NGFW puede distinguir entre leer Facebook y comentar?
A. ID de aplicación
B. Identificación de contenido
C. ID de usuario
D. Global Protect
4. ¿Qué característica del NGFW distingue entre descargar un programa legítimo y
descarga de malware?
A. ID de aplicación
B. Identificación de contenido
C. ID de usuario
D. Global Protect
© 2021 Palo Alto Networks, Inc.
165
Página 166
2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW
Para que su firewall de próxima generación obtenga una visibilidad completa y aplique una prevención de amenazas completa en
su red, debe activar las licencias para cada uno de los servicios de suscripción:
● Seguridad DNS
● filtrado de URL
● Prevención de amenazas
● WildFire
Servicio de seguridad DNS
El servicio de seguridad de DNS de Palo Alto Networks aplica análisis predictivo para interrumpir los ataques que
utilizar DNS para C2 o robo de datos. Estrecha integración con Palo Alto Networks Next-Generation
Los firewalls le brindan protección automatizada y eliminan la necesidad de herramientas independientes. Amenazas
ocultos en el tráfico de DNS se identifican rápidamente con inteligencia de amenazas compartida y aprendizaje automático.
Las protecciones basadas en la nube escalan infinitamente y siempre están actualizadas, lo que le brinda a su organización
un nuevo punto de control crítico para detener los ataques que utilizan DNS (consulte la Figura 2-22).
https://translate.googleusercontent.com/translate_f
134/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-22: Los datos de DNS enriquecidos potencian el aprendizaje automático para la protección.
© 2021 Palo Alto Networks, Inc.
166
Página 167
Predecir y bloquear nuevos dominios maliciosos
El DNS es una superficie de ataque masiva y a menudo pasada por alto presente en todas las organizaciones. Adversarios
aprovechar la naturaleza ubicua del DNS para abusar de él en múltiples puntos de un ataque,
incluido el confiable C2. Los equipos de seguridad luchan por comprender nuevos dominios maliciosos y hacer cumplir
protecciones consistentes para millones de dominios emergentes al mismo tiempo.
El servicio de seguridad de DNS adopta un enfoque diferente para predecir y bloquear
dominios, devolviendo así la ventaja a los defensores de la red abrumados.
Los firewalls de próxima generación lo protegen contra decenas de millones de dominios maliciosos identificados
con análisis en tiempo real e inteligencia de amenazas global en continuo crecimiento. Tu protección
continúa creciendo con datos de una gran comunidad en expansión de intercambio de inteligencia sobre amenazas. El
La base de datos de dominios maliciosos de Palo Alto Networks se ha recopilado durante años, con fuentes
incluso:
● Servicio de prevención de malware WildFire para encontrar nuevos dominios C2, fuente de descarga de archivos
dominios y dominios en enlaces de correo electrónico maliciosos
● Filtrado de URL para rastrear continuamente sitios nuevos o sin clasificar en busca de amenazas.
indicadores
● DNS pasivo y telemetría de dispositivos para comprender el historial de resolución de dominios visto desde
miles de firewalls de próxima generación implementados, que generan petabytes de datos por día
● Investigación de amenazas de la Unidad 42 para proporcionar seguimiento de adversarios impulsado por humanos y reversión de malware
ingeniería, incluida la información de los honeypots implementados a nivel mundial
● Más de 30 fuentes de inteligencia de amenazas de terceros para enriquecer la comprensión.
Con el servicio de seguridad DNS, sus firewalls de próxima generación pueden predecir y detener
dominios de malware basado en algoritmos de generación de dominios con aplicación instantánea. Malware
El uso de algoritmos de generación de dominios (DGA) continúa creciendo, lo que limita la efectividad de
bloquear dominios maliciosos conocidos únicamente. El malware DGA utiliza una lista de
dominios para C2, que pueden sobrepasar la capacidad de firma de los enfoques de seguridad tradicionales.
DNS Security maneja el malware DGA usando:
● Aprendizaje automático para detectar dominios DGA nuevos y nunca antes vistos mediante el análisis de DNS.
consultas a medida que se realizan
● Política fácil de configurar para acciones dinámicas para bloquear dominios DGA o consultas DNS de sumideros.
● Atribución de amenazas y contexto para identificar la familia de malware con aprendizaje automático.
para esfuerzos de investigación más rápidos
Una base de datos basada en la nube se escala infinitamente para brindar una protección ilimitada contra
dominios. Sus protecciones están siempre actualizadas, ya sean 10.000 o 100 millones de nuevos dispositivos maliciosos.
Los dominios se crean en un solo día. Como parte del servicio basado en la nube, todas las consultas de DNS son
cotejado con la base de datos basada en la nube infinitamente escalable de Palo Alto Networks en tiempo real para
determinar la acción de ejecución apropiada. El servicio de seguridad DNS elimina uno de los más
https://translate.googleusercontent.com/translate_f
135/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
métodos efectivos y ampliamente utilizados mediante los cuales los atacantes establecen C2, y sus escalas de protección
infinitamente, asegurando que sus firewalls de próxima generación puedan procesar nuevos dominios maliciosos antes
cualquier daño está hecho.
© 2021 Palo Alto Networks, Inc.
167
Página 168
Neutralizar la tunelización de DNS
Los atacantes avanzados utilizan el túnel de DNS para ocultar el robo de datos o C2 en el tráfico de DNS estándar. El
El gran volumen de tráfico de DNS a menudo significa que los defensores simplemente carecen de visibilidad o recursos para
inspecciónelo universalmente en busca de amenazas. El servicio de seguridad DNS le permite:
● Utilice el aprendizaje automático para detectar rápidamente C2 o el robo de datos ocultos en el túnel de DNS. Utilizando
inteligencia de amenazas compartida histórica y en tiempo real, los algoritmos de Palo Alto Networks observan
las características de las consultas de DNS, incluida la tasa y los patrones de consulta, la entropía y el n -grama
Análisis de frecuencia de los dominios para detectar con precisión el comportamiento de los túneles.
● Amplíe la protección basada en firmas de PAN-OS para identificar intentos de tunelización avanzados.
DNS Security amplía la capacidad nativa de los firewalls de próxima generación para detectar y
evitar la tunelización del DNS. Las protecciones son escalables y resistentes a la evasión, por lo que cubren
variantes conocidas y desconocidas de tunelización DNS.
● Neutralice rápidamente el túnel de DNS con acciones de políticas automatizadas. La tunelización de DNS es
se detuvo automáticamente con la combinación de acciones de política fáciles de establecer en el próximo
cortafuegos de generación y bloqueo del dominio principal para todos los clientes.
Simplifique la seguridad con la automatización y reemplace las herramientas independientes
Los equipos de seguridad necesitan innovaciones integradas que amplíen el valor de su seguridad existente
Inversiones sin complicar las operaciones. DNS Security aprovecha las siguientes
cortafuegos de generación para detener ataques mediante DNS, con automatización completa para reducir el esfuerzo manual.
La estrecha integración con el firewall de próxima generación proporciona un nuevo punto de control crítico para detener
ataques que utilizan DNS. El servicio garantiza que tenga un dispositivo para implementar, con un único conjunto de
políticas a gestionar. Las alertas se coordinan en toda su pila de seguridad, incluido el firewall
violaciones de políticas, IDS / IPS, seguridad web y análisis de malware.
Cuando se identifican ataques que utilizan DNS, los administradores de seguridad pueden automatizar el proceso de
hundir dominios maliciosos en el firewall para eliminar C2 e identificar rápidamente a los usuarios infectados
En la red. Combinación de acciones de registro, DAG y sumideros de dominios maliciosos
automatiza los flujos de trabajo de detección y respuesta, lo que ahorra tiempo a los analistas al eliminar los
Procesos manuales.
El servicio de seguridad DNS se basa en una arquitectura modular basada en la nube para agregar sin problemas nuevos
capacidades de detección, prevención y análisis sin impacto en la producción de próxima generación
cortafuegos.
© 2021 Palo Alto Networks, Inc.
168
Página 169
Servicio de filtrado de URL
Para complementar las capacidades de prevención de amenazas y control de aplicaciones, un
https://translate.googleusercontent.com/translate_f
136/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La base de datos de filtrado de URL box permite a los equipos de seguridad no solo controlar la navegación web del usuario final
actividades, sino también para combinar el contexto de la URL con las reglas de aplicación y usuario. El filtrado de URL
El servicio complementa App-ID permitiéndole configurar el firewall de próxima generación para
identificar y controlar el acceso a los sitios web y proteger a su organización de los sitios web que alojan
páginas de malware y phishing. Puede utilizar la categoría de URL como criterio de coincidencia en las políticas,
que permite el comportamiento basado en excepciones y la aplicación de políticas granulares. Por ejemplo, puedes
denegar el acceso a sitios de piratería y malware a todos los usuarios, pero permitir el acceso a los usuarios que pertenecen a la
Grupo de seguridad informática.
Cuando habilita el filtrado de URL, todo el tráfico web se compara con la base de datos de filtrado de URL,
PAN-DB, que contiene millones de URL que se han agrupado en aproximadamente 65 categorías. El
Las categorías de URL de malware y phishing en PAN-DB se actualizan en tiempo real, lo que puede evitar
intentos posteriores de acceder al sitio en función de la categoría de URL, en lugar de tratarlo como
desconocido. La detección de credenciales de usuario, una parte del filtrado de URL, le permite alertar o bloquear
que los usuarios envíen credenciales a sitios que no sean de confianza. Si las credenciales corporativas se ven comprometidas,
La detección de credenciales de usuario le permite identificar quién envió las credenciales para que pueda
remediar (ver Figura 2-23).
Figura 2-23: Servicio de filtrado de URL
La base de datos de URL incorporada se puede aumentar para adaptarse a los patrones de tráfico del usuario local.
comunidad con una base de datos de URL personalizada. Para acceder de forma rápida y sencilla a las URL visitadas con frecuencia,
PAN-DB proporciona almacenamiento en caché local de alto rendimiento y URL que no están categorizadas por el
La base de datos de URL local se puede introducir en la memoria caché desde una base de datos de URL alojada. Además de
personalización de la base de datos, los administradores pueden crear categorías de URL únicas para personalizar aún más
los controles de URL para adaptarse a sus necesidades específicas.
La categorización de URL se puede combinar con la clasificación de aplicaciones y usuarios para orientar más
y definir políticas. Por ejemplo, se puede invocar el descifrado SSL para determinadas URL de alto riesgo
categorías para garantizar que las amenazas estén expuestas, y los controles de QoS se pueden aplicar a los medios de transmisión
sitios. La visibilidad del filtrado de URL y los controles de políticas se pueden vincular a usuarios específicos a través de
Integración transparente con servicios de directorio empresarial (como Active Directory, LDAP y
eDirectory), con información adicional proporcionada a través de informes y registros personalizables.
© 2021 Palo Alto Networks, Inc.
169
Página 170
Los administradores pueden configurar una página de bloqueo personalizada para notificar a los usuarios finales sobre cualquier infracción de la política.
La página puede incluir referencias al nombre de usuario, la dirección IP, la URL que están intentando
acceso y la categoría de URL. Para devolver al usuario parte de la propiedad de la actividad web,
Los administradores pueden permitir que los usuarios continúen en el sitio web o la página web después de que se les presente un
página de advertencia, o pueden usar contraseñas para anular la política de filtrado de URL.
Servicio de prevención de amenazas (antivirus, antispyware y protección contra vulnerabilidades)
Threat Prevention bloquea el malware conocido, los exploits y la actividad C2 en la red. Además de
la suscripción a Threat Prevention brinda capacidades adicionales a su firewall de próxima generación
que identifican y previenen amenazas conocidas ocultas dentro de las aplicaciones permitidas. La amenaza
La suscripción de prevención incluye malware / antivirus, C2 y protección contra vulnerabilidades (consulte la Figura
2-24).
https://translate.googleusercontent.com/translate_f
137/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-24: Servicio de prevención de amenazas
© 2021 Palo Alto Networks, Inc.
170
Página 171
Protección contra malware / antivirus
La protección contra malware en línea utiliza firmas basadas en contenido para bloquear el malware antes de que llegue
el host de destino. Las firmas basadas en el contenido detectan patrones en el cuerpo del archivo que identifican
futuras variaciones de los archivos, incluso cuando el contenido se modifique ligeramente. Esta habilidad permite al
cortafuegos de próxima generación para identificar y bloquear malware polimórfico que de otro modo sería
tratado como un nuevo archivo desconocido.
El motor de escaneo basado en flujo protege la red sin introducir una latencia significativa.
La latencia es un serio inconveniente de las ofertas de antivirus de red que dependen del escaneo basado en proxy.
motores. El escaneo de malware basado en flujo inspecciona el tráfico cuando se encuentran los primeros paquetes del archivo.
recibido, eliminando así las amenazas y los problemas de rendimiento típicos de los sistemas autónomos tradicionales
soluciones. Las capacidades anti-malware importantes incluyen:
● Detección y prevención en línea, basada en flujo, de malware oculto en archivos comprimidos y
contenido web
● Protección contra cargas ocultas en tipos de archivos comunes, como Microsoft Office.
documentos y archivos PDF
Protección de comando y control (software espía)
No hay garantías para evitar que todas las amenazas entren en la red. Después de la inicial
infección, los atacantes se comunican con el dispositivo comprometido a través de un canal C2, usándolo para
eliminar malware adicional, emitir más instrucciones y robar datos. Las protecciones C2 se centran en
esos canales de comunicación no autorizados y evitarlos bloqueando las solicitudes salientes a
dominios maliciosos y de kits de herramientas C2 conocidos instalados en dispositivos infectados.
La protección C2 proporciona capacidades de sumidero para solicitudes salientes a dominios maliciosos,
identificando así con precisión el dispositivo comprometido y evitando la filtración de datos. Usted puede
https://translate.googleusercontent.com/translate_f
138/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
configurar el sumidero de modo que cualquier solicitud saliente a un dominio o dirección IP maliciosos sea
redirigido a una de las direcciones IP internas de su red. Esta política bloquea efectivamente C2
comunicación, evitando así que esas solicitudes salgan de la red. Un informe de la
hosts en su red que realizan tales solicitudes se compila aunque esos hosts estén detrás de la
Servidor DNS. Tiene una lista diaria de dispositivos potencialmente comprometidos sobre los que actuar, sin
el estrés adicional de la remediación, porque las comunicaciones con el atacante ya han sido
cortado.
Protección de vulnerabilidad
Las capacidades de prevención de intrusiones y protección contra vulnerabilidades del firewall de próxima generación
detectar y bloquear intentos de explotación y técnicas evasivas tanto en la red como en la aplicación
capas. Estos exploits pueden incluir escaneos de puertos, desbordamientos de búfer, ejecución remota de código, protocolo
fragmentación y ofuscación. Las protecciones contra vulnerabilidades se basan en la coincidencia de firmas y
detección de anomalías, que decodifican y analizan protocolos y utilizan la información aprendida para bloquear
patrones de tráfico maliciosos y proporcionar visibilidad a través de alertas. Detecta la coincidencia de patrones con estado
ataques a través de múltiples paquetes, considerando el orden y la secuencia de llegada, asegurando así que todos
El tráfico permitido está bien intencionado y no tiene técnicas de evasión.
© 2021 Palo Alto Networks, Inc.
171
Página 172
El análisis basado en decodificadores de protocolos decodifica el protocolo y luego aplica firmas de manera inteligente a
detectar vulnerabilidades de red y aplicaciones. Porque hay muchas formas de explotar una sola
vulnerabilidad, las firmas de prevención de intrusiones se basan en la propia vulnerabilidad, por lo que
proporcionando una protección más completa contra una amplia variedad de exploits. Una sola firma puede
detener múltiples exploits de un sistema conocido o una vulnerabilidad de aplicación. Protocolo basado en anomalías
La protección detecta el uso del protocolo que no cumple con la Solicitud de comentarios (RFC), como un
identificador uniforme de recursos (URI) demasiado largo o inicio de sesión FTP. Fácil de configurar, personalizado
Las firmas de vulnerabilidades le permiten personalizar las capacidades de prevención de intrusiones para su
las necesidades únicas de la red.
Prevención de malware de día cero (WildFire)
El entorno de análisis de malware basado en la nube de WildFire es un servicio de prevención de ciberamenazas que
identifica malware desconocido, exploits de día cero y amenazas persistentes avanzadas (APT) a través de
Análisis estático y dinámico en un entorno virtual escalable. WildFire automáticamente
difunde protecciones actualizadas casi en tiempo real para prevenir inmediatamente las amenazas
esparcimiento, sin intervención manual. Aunque el soporte básico de WildFire se incluye como parte de
la licencia de Prevención de amenazas, el servicio de suscripción de WildFire proporciona servicios mejorados para
organizaciones que requieren cobertura inmediata para amenazas, actualizaciones frecuentes de firmas de WildFire,
reenvío de tipo de archivo avanzado (APK, PDF, Microsoft Office y Java Applet), y la capacidad de
cargar archivos utilizando la API de WildFire.
Como parte de la capacidad de prevención de amenazas en línea del firewall de próxima generación, el firewall funciona
un cálculo de hash para cada archivo desconocido y el hash se envía a WildFire. Si algún WildFire
el suscriptor ha visto el archivo antes, entonces el veredicto existente para ese archivo se devuelve inmediatamente.
Los enlaces de los correos electrónicos inspeccionados también se envían a WildFire para su análisis. Posibles veredictos
incluir:
● Benigno: seguro y no muestra un comportamiento malicioso.
● Grayware: sin riesgo de seguridad, pero puede mostrar un comportamiento molesto (por ejemplo, adware,
software espía y objetos de ayuda del navegador)
● Software malicioso : de naturaleza e intención maliciosas y puede representar una amenaza para la seguridad (por ejemplo,
virus, gusanos, troyanos, kits de raíz, redes de bots y kits de herramientas de acceso remoto)
● Phishing: intento malintencionado de engañar al destinatario para que revele datos confidenciales.
Si WildFire nunca ha visto el archivo, se le indica al firewall de próxima generación que envíe el archivo para
análisis. Si el tamaño del archivo está por debajo del límite de tamaño configurado, el firewall de próxima generación
transmite el archivo a WildFire. Los cortafuegos de próxima generación con una licencia WildFire activa funcionan
actualizaciones automáticas programadas para sus firmas WildFire, con comprobaciones de actualización configuradas con la frecuencia
cada minuto.
https://translate.googleusercontent.com/translate_f
139/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
172
Página 173
WildFire aprovecha la prevención de phishing y malware basado en aprendizaje automático en línea (tiempo real
Veredicto de WildFire y clasificación dinámica antimalware) para determinar si el
Las páginas web correspondientes para los enlaces de correo electrónico enviados al servicio alojan cualquier exploits, malware o
capacidades de phishing. Se tienen en cuenta los comportamientos y propiedades del sitio web.
cuando se dicta un veredicto sobre el enlace.
Para admitir el análisis dinámico de malware en la red a escala, WildFire se basa en una nube:
arquitectura basada en (ver Figura 2-25). Cuando los requisitos reglamentarios o de privacidad impidan el uso
de la infraestructura de nube pública, se puede construir una solución de nube privada en un centro de datos local.
Figura 2-25: WildFire proporciona análisis de malware basado en la nube y prevención de amenazas.
Las organizaciones pueden aprovechar las implementaciones en la nube pública o en la nube privada, y también pueden usar
ambos dentro del mismo entorno. Las capacidades de nube híbrida de WildFire permiten la seguridad
equipos más flexibilidad de análisis de archivos porque pueden definir qué tipos de archivos se envían al
Nube pública WildFire frente al dispositivo local o nube privada. El híbrido WildFire
La capacidad en la nube permite a las organizaciones aliviar las preocupaciones de privacidad o normativas mediante el uso de
Dispositivo WildFire para tipos de archivos que contienen datos confidenciales. Las organizaciones también se benefician de la
servicios integrales de análisis e inteligencia de amenazas globales de la nube pública de WildFire para
todos los otros. AutoFocus es la pieza central de la inteligencia de amenazas de WildFire.
© 2021 Palo Alto Networks, Inc.
173
Página 174
https://translate.googleusercontent.com/translate_f
140/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La cartera de productos bloquea de forma proactiva las amenazas conocidas, lo que proporciona defensas de referencia.
contra exploits conocidos, malware, URL maliciosas y actividad C2. Cuando surgen nuevas amenazas,
la cartera de productos enruta automáticamente los archivos sospechosos y las URL a WildFire para obtener información detallada
análisis.
WildFire inspecciona millones de muestras por semana de su red global de clientes y amenazas
socios de inteligencia, en busca de nuevas formas de malware, exploits, malware
dominios y actividad C2 saliente. El servicio basado en la nube crea automáticamente nuevos
protecciones que pueden bloquear malware dirigido y desconocido, exploits y actividad C2 saliente mediante
utilizando observaciones de su comportamiento real, en lugar de depender de firmas preexistentes. El
las protecciones se entregan globalmente en minutos. El resultado es un enfoque automatizado de circuito cerrado para
prevenir ciberamenazas que incluyen:
● Controles de seguridad positivos para reducir la superficie de ataque.
● Inspección de todo el tráfico, puertos y protocolos para bloquear todas las amenazas conocidas.
● Detección rápida de amenazas desconocidas mediante la observación de las acciones del malware en una nube
entorno de ejecución
● Implementación automática de nuevas protecciones para garantizar que las amenazas sean conocidas por todos y
bloqueado a lo largo del ciclo de vida del ataque
Descubrimiento de ciberamenazas basado en el comportamiento
Para encontrar malware y exploits desconocidos, WildFire ejecuta contenido sospechoso en Windows,
Sistemas operativos Android y macOS, con visibilidad completa de los tipos de archivos comunes, que incluyen:
● Ejecutables (EXE), bibliotecas de vínculos dinámicos (DLL), archivos comprimidos (ZIP) y archivos portátiles.
Formato de documento (PDF)
● Presentaciones, hojas de cálculo y documentos de Microsoft Office
● archivos Java
● Paquetes de aplicaciones de Android (APK)
● Subprogramas y páginas web de Adobe Flash (incluido contenido incrustado de alto riesgo, como Java
y archivos / imágenes de Adobe Flash)
© 2021 Palo Alto Networks, Inc.
174
Página 175
WildFire identifica cientos de comportamientos potencialmente maliciosos para descubrir la verdadera naturaleza de
archivos maliciosos basados ​en sus acciones, que incluyen:
● Cambios realizados en el host: WildFire supervisa todos los procesos para detectar modificaciones en el host,
incluyendo actividad de registro y archivo, inyección de código, rociado de memoria dinámica (exploits),
mutex , actividad del servicio de Windows, la adición de programas de ejecución automática y otros
actividades potencialmente sospechosas.
● Tráfico de red sospechoso: WildFire realiza un análisis de toda la actividad de red producida.
por el archivo sospechoso, incluida la creación por la puerta trasera, la descarga de malware de la siguiente etapa,
visitando dominios de baja reputación y reconocimiento de red.
● Detección de anti-análisis: WildFire monitorea las técnicas utilizadas por malware avanzado que es
diseñado para evitar el análisis basado en máquinas virtuales, como la detección de depuradores, hipervisor
detección, inyección de código en procesos confiables y desactivación de la seguridad basada en host
https://translate.googleusercontent.com/translate_f
141/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
características.
WildFire está integrado de forma nativa con la cartera de productos, que incluye el punto final Cortex XDR
Protection y Prisma SaaS, y puede clasificar todo el tráfico en cientos de aplicaciones.
WildFire aplica exclusivamente este análisis de comportamiento al tráfico web, protocolos de correo electrónico (SMTP, IMAP,
y POP3) y FTP, independientemente de los puertos o el cifrado.
Términos clave
● Un mutex es un objeto de programa que permite que varios subprocesos de programa compartan el mismo recurso,
como el acceso a archivos, pero no simultáneamente.
WildFire aplica los siguientes métodos de análisis a los archivos enviados (consulte la Figura 2-26):
● Aprendizaje automático / análisis estático: identificación de variantes de amenazas conocidas por
comparar conjuntos de características de malware con un sistema de clasificación actualizado dinámicamente.
Las amenazas conocidas se detectan mediante el análisis de las características de las muestras antes
ejecución.
● Análisis dinámico: un entorno virtual personalizado y resistente a la evasión en el que
Las presentaciones previamente desconocidas se ejecutan dentro de un entorno de prueba virtualizado para
determinar los efectos y el comportamiento del mundo real
● Análisis dinámico bare-metal: un entorno de análisis completamente basado en hardware específicamente
diseñado para amenazas avanzadas con reconocimiento de máquinas virtuales. Muestras que muestran las características de un
Las amenazas avanzadas con reconocimiento de VM se dirigen hacia el dispositivo bare-metal mediante la heurística
motor.
© 2021 Palo Alto Networks, Inc.
175
Página 176
Figura 2-26: Análisis de WildFire
Las actualizaciones dinámicas de Threat Intelligence Cloud coordinan la prevención de amenazas en todo el
https://translate.googleusercontent.com/translate_f
142/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
plataforma
y sonde
importantes
para las capacidades
proporciona.
La amenaza
desconocida
La
metodología
manejo esencialmente
conviertedelasprevención
amenazas que
desconocidas
en amenazas
conocidas.
WildFire protege su red de archivos y enlaces maliciosos y explotadores, y también se ve
profundamente en la comunicación saliente maliciosa, interrumpiendo así el comando y control (C2)
actividad con firmas anti-C2 y firmas de devolución de llamada basadas en DNS. WildFire también alimenta esto
información en el filtrado de URL con PAN-DB, que bloquea automáticamente los nuevos
URL maliciosas. Esta correlación de datos de amenazas y protecciones automatizadas es importante para
identificar y bloquear los intentos de intrusión en curso y los ataques futuros a su organización,
sin requerir actualizaciones de políticas y confirmaciones de configuración.
Palo Alto Networks también promueve el intercambio de información y la defensa de la industria contribuyendo
inteligencia estructurada derivada de su Threat Intelligence Cloud a Cyber ​Threat Alliance
(CTA). La CTA fue cofundada por Palo Alto Networks y otros líderes de la industria, y es una
organización que trabaja para mejorar la ciberseguridad del ecosistema digital global al permitir
intercambio de información sobre amenazas cibernéticas de alta calidad y casi en tiempo real dentro de la comunidad de ciberseguridad.
CTA y sus miembros comparten inteligencia oportuna, procesable, contextualizada y basada en campañas.
que pueden utilizar para mejorar sus productos y servicios para proteger mejor a sus clientes, más
frustrar sistemáticamente a los adversarios y mejorar la seguridad del ecosistema digital.
© 2021 Palo Alto Networks, Inc.
176
Página 177
Prevención de amenazas con intercambio de inteligencia global
Cuando se descubre una amenaza desconocida, WildFire genera automáticamente protecciones para bloquearla
a lo largo del ciclo de vida del ciberataque, y comparte estas actualizaciones con todos los suscriptores globales dentro de un
tan solo 5 minutos. Estas actualizaciones rápidas pueden detener la propagación rápida de malware. Y estas actualizaciones
se basan en la carga útil, por lo que pueden bloquear la proliferación de variantes futuras sin ningún tipo de carga adicional
acción o análisis.
Registro, informes y análisis forenses integrados
WildFire proporciona acceso a registros integrados, análisis y visibilidad de eventos a través del
interfaz de administración, el portal WildFire, AutoFocus y Panorama. Este acceso habilita
equipos de seguridad para investigar rápidamente y correlacionar los eventos observados en sus redes para
localizar los datos necesarios para las investigaciones oportunas y la respuesta a incidentes.
Los indicadores de compromiso (IoC) basados ​en host y en red se vuelven procesables a través del registro
análisis y firmas personalizadas. Para ayudar a los equipos de seguridad y respuesta a incidentes a descubrir
hosts infectados, WildFire también proporciona:
● Análisis detallado de cada archivo malicioso enviado a WildFire en múltiples operaciones
entornos del sistema, incluida la actividad basada en host y en red
● Datos de sesión asociados con la entrega del archivo malicioso, incluida la fuente,
destino, aplicación, ID de usuario y URL
● Acceso a la muestra de malware original para realizar ingeniería inversa y capturas de paquetes completos.
(pcaps) de sesiones de análisis dinámico
● Una interfaz de programación de aplicaciones (API) abierta para la integración con las mejores
herramientas de gestión de eventos e información de seguridad (SIEM) (como Palo Alto
Aplicación de redes para Splunk) y agentes de endpoint líderes. Este análisis proporciona
numerosos IoC que se pueden aplicar a lo largo del ciclo de vida del ataque.
● Integración nativa con protección de punto final Cortex XDR y Prisma SaaS
● Acceso a la inteligencia procesable y el contexto global proporcionado por la amenaza AutoFocus
inteligencia
● Integración nativa con el motor de correlación en Palo Alto Networks Next-Generation
Cortafuegos
Términos clave
● Un indicador de compromiso (IoC) es un artefacto de red o sistema operativo (SO) que proporciona
un alto nivel de confianza de que se ha producido un incidente de seguridad informática.
https://translate.googleusercontent.com/translate_f
143/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
● Una captura de paquetes (pcap) es una intercepción de tráfico de paquetes de datos que se pueden utilizar para análisis.
© 2021 Palo Alto Networks, Inc.
177
Página 178
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué suscripción central de NGFW le diría a su firewall que un intento de resolver
adfewqrtgfhghyj.uykfhzvsdfgpoiyte.evil.com es probablemente un ataque?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
2. ¿Qué suscripción principal de NGFW permite que su firewall bloquee malware conocido?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
3. ¿Qué suscripción principal de NGFW permite que su firewall identifique el malware de día cero?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
4. ¿Qué suscripción principal de NGFW permite que su firewall bloquee a los usuarios cuando intentan
enviar sus credenciales a un sitio de phishing?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama)
Panorama le permite administrar todas las funciones clave de Palo Alto Networks Next-Generation
Cortafuegos mediante el uso de un modelo que proporciona supervisión central y control local. Puedes desplegar
Panorama como un dispositivo de hardware local o un dispositivo virtual, y también puede
impleméntelo como un dispositivo virtual en la nube pública.
Tres opciones de modo de implementación están disponibles para Panorama, que (si es necesario) permite la
separación de manejo y recolección de registros (ver Figura 2-27):
● Modo Panorama: Panorama controla las funciones de gestión de registros y políticas para todos
los dispositivos gestionados.
● Modo de solo gestión: Panorama gestiona las configuraciones de los dispositivos gestionados.
pero no recopila ni gestiona registros.
● Modo de recopilador de registros: uno o más recopiladores de registros recopilan y administran registros del
dispositivos gestionados. Este modo asume que está operando otra implementación de Panorama.
en modo de gestión únicamente.
© 2021 Palo Alto Networks, Inc.
178
Página 179
https://translate.googleusercontent.com/translate_f
144/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-27: Modos de implementación de Panorama
La separación de la gestión y la recopilación de registros permite que la implementación de Panorama cumpla
escalabilidad, requisitos organizativos y geográficos. La elección del factor de forma y
El modo de implementación le brinda la máxima flexibilidad para administrar Palo Alto Networks NextFirewalls de generación en una red distribuida.
Panorama reduce la complejidad de la gestión de la seguridad con la creación de políticas consolidadas y
Funciones de gestión centralizada. El Centro de comando de aplicaciones (ACC) en Panorama
proporciona un panel personalizable para la configuración y el control de Palo Alto Networks Next-Generation
Cortafuegos, con una base de reglas eficiente y conocimientos prácticos sobre el tráfico y las amenazas de toda la red.
Panorama simplifica la gestión de la seguridad de la red con una única base de reglas de seguridad para cortafuegos,
prevención de amenazas, filtrado de URL, reconocimiento de aplicaciones, identificación de usuarios, sandboxing, archivo
bloqueo y filtrado de datos para habilitar aplicaciones de forma segura en la empresa. Reglas de seguridad fácilmente
se puede importar, duplicar o modificar a través de la red. Gestión centralizada de políticas
y objetos proporciona una seguridad global coherente para la organización y administración local.
El control proporciona flexibilidad a nivel local.
El tiempo necesario para implementar cambios en docenas o cientos de firewalls puede resultar costoso
debido a la cantidad de empleados requeridos y la demora que experimentan los proyectos mientras
Espere a que se complete el proceso. El número de errores también puede aumentar cuando la red y
El programa de ingenieros de seguridad cambia el cortafuegos por cortafuegos. Panorama proporciona las siguientes herramientas
para una administración centralizada que puede reducir el tiempo y los errores para la administración de su firewall
operación:
© 2021 Palo Alto Networks, Inc.
179
Página 180
● Plantillas y pilas de plantillas. Panorama gestiona dispositivos y redes comunes
configuración a través de plantillas. Puede usar plantillas para administrar la configuración
centralmente y luego empujar los cambios a todos los firewalls administrados. Este enfoque evita la
necesita realizar el mismo cambio de firewall individual repetidamente en muchos dispositivos.
Las plantillas se agrupan dentro de una pila de plantillas y la pila se aplica a las
cortafuegos.
Puede definir bloques de construcción comunes para la configuración de dispositivos y redes dentro de un
plantilla. Estos bloques de construcción se combinan lógicamente agregándolos a una plantilla.
apilar. Si no hay parámetros superpuestos, la pila refleja la combinación de
https://translate.googleusercontent.com/translate_f
145/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
todas las plantillas individuales. Si hay superposición, entonces la configuración de la prioridad más alta
la plantilla tiene prioridad. Puede anular la configuración de la plantilla a nivel de pila. A
El administrador local también puede realizar anulaciones directamente en un dispositivo individual si
necesario (ver Figura 2-28).
Figura 2-28: Pila de plantillas de panorama y plantillas
La configuración específica del cortafuegos, como las direcciones IP, debe ser única por dispositivo. En lugar de usar
anulaciones, puede administrar esta configuración mediante el uso de variables dentro de las plantillas. Panorama
gestiona las asignaciones de variables en el momento de la implementación, ya sea por dispositivo a través del manual
asignación o de forma masiva mediante la importación de una hoja de cálculo con la configuración para varios dispositivos.
● Grupos de dispositivos jerárquicos. Panorama gestiona políticas y objetos comunes a través de
grupos de dispositivos jerárquicos. Utiliza grupos de dispositivos de varios niveles para gestionar de forma centralizada
políticas en todas las ubicaciones de implementación con requisitos comunes. Por ejemplo, dispositivo
los grupos se pueden determinar geográficamente, como Europa y América del Norte. También,
Cada grupo de dispositivos puede tener un subgrupo funcional de dispositivos (por ejemplo, perímetro o datos
centrar).
© 2021 Palo Alto Networks, Inc.
180
Página 181
Puede definir políticas compartidas para el control central mientras otorga su firewall local
administrador la autonomía para realizar ajustes locales específicos. En el nivel del grupo de dispositivos,
puede crear políticas comunes que se definen como el primer conjunto de reglas (reglas previas) y el
último conjunto de reglas (reglas de publicación) que se evaluarán con respecto a los criterios de coincidencia. Puedes ver las reglas previas
y publicar reglas en un firewall administrado, pero puede editarlas en Panorama solo en el
contexto de los roles administrativos definidos. Reglas de dispositivos locales (aquellas entre reglas previas
y reglas de publicación) pueden ser editadas por su administrador de firewall local o un Panorama
administrador que ha cambiado a un contexto de firewall local. También puede hacer referencia a compartidos
objetos definidos por un administrador de Panorama en reglas de dispositivos administrados localmente (consulte la Figura
2-29).
https://translate.googleusercontent.com/translate_f
146/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 2-29: Evaluación de políticas y grupos de dispositivos de Panorama
La administración basada en roles delega el acceso a nivel de función, incluida la disponibilidad de datos (habilitado,
solo lectura, o discapacitados y ocultos a la vista), a diferentes miembros de su personal. Puedes dar
individuos específicos acceden a tareas que son pertinentes para su trabajo mientras realizan otras tareas, ya sea
oculto o de solo lectura.
A medida que su implementación crece en tamaño, puede asegurarse de que las actualizaciones se envíen a las cajas posteriores en
de una manera organizada. Por ejemplo, es posible que prefiera calificar de forma centralizada una actualización de software antes
se envía a través de Panorama a todos los cortafuegos de producción simultáneamente. Puede utilizar Panorama para
Gestionar de forma centralizada el proceso de actualización para actualizaciones de software, actualizaciones de aplicaciones de contenido, antivirus.
firmas, firmas de amenazas, bases de datos de filtrado de URL y licencias.
Panorama también puede integrarse con sus aplicaciones de flujo de trabajo de TI. Cuando se genera un registro en el
cortafuegos de próxima generación, Panorama puede desencadenar acciones e iniciar flujos de trabajo a través de HTTPAPI basadas. El reenvío de registros selectivo le permite definir los criterios para automatizar un flujo de trabajo o
una acción. Aunque puede integrarse con cualquier servicio basado en HTTP que exponga una API,
© 2021 Palo Alto Networks, Inc.
181
Página 182
El formato predefinido para ServiceNow y VMware NSX Manager le permite crear incidentes
informes y etiquetado de máquinas virtuales.
Panorama utiliza el mismo conjunto de potentes herramientas de seguimiento y generación de informes disponibles a nivel local.
nivel de gestión de dispositivos. A medida que realiza consultas de registro y genera informes, Panorama
extrae dinámicamente los datos más actuales directamente de los firewalls de próxima generación bajo
gestión o de los registros reenviados a Panorama. Capacidades de registro y generación de informes en
Panorama incluye:
● Visor de registro: puede ver rápidamente las actividades de registro de un dispositivo individual o de todos
dispositivos que usan filtrado de registro dinámico haciendo clic en un valor de celda y / o usando la expresión
constructor para definir los criterios de clasificación. Los resultados se pueden guardar para consultas futuras o exportar para
análisis mas extenso.
● Informes personalizados: los informes predefinidos se pueden usar tal cual, personalizados o agrupados como uno.
informe para cumplir con los requisitos específicos.
● Informes de actividad del usuario: un informe de actividad del usuario muestra las aplicaciones utilizadas, URL
categorías visitadas, sitios web visitados y todas las URL visitadas durante un período de tiempo específico
para usuarios individuales. Panorama crea los informes utilizando una vista agregada de los usuarios
actividad, independientemente del cortafuegos con el que estén protegidos o la dirección IP o el dispositivo
pueden estar usando.
● Reenvío de registros: Panorama agrega los registros recopilados de todos sus Palo Alto.
Redes cortafuegos, tanto de factor de forma física como virtual, y las reenvía a un
destino para fines tales como almacenamiento a largo plazo, análisis forense o informes de cumplimiento.
Panorama puede reenviar todos los registros o los seleccionados, Protocolo simple de administración de red
(SNMP) trampas y notificaciones por correo electrónico a un destino de registro remoto, como un syslog
servidor (sobre UDP, TCP o SSL).
Panorama se puede implementar en una arquitectura centralizada con toda la gestión de Panorama y
funciones de registro consolidadas en un solo dispositivo o en una arquitectura distribuida con
unidades de gestión y recopiladores de registros en una arquitectura de implementación jerárquica:
● Administrador de panorámicas. El administrador de Panorama maneja las tareas asociadas con la política
y configuración de dispositivos en todos los dispositivos administrados. El administrador no almacena el registro
localmente, sino que utiliza recopiladores de registros separados para manejar los datos de registro. El gerente
analiza los datos almacenados en los recopiladores de registros para generar informes centralizados.
● Recopilador de registros de panorama. Organizaciones con alto volumen y retención de registros
https://translate.googleusercontent.com/translate_f
147/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
los requisitos pueden implementar dispositivos de recopilación de registros de Panorama dedicados que agregarán
registrar información de varios cortafuegos gestionados.
© 2021 Palo Alto Networks, Inc.
182
Página 183
Palo Alto Networks y Splunk se han asociado para ampliar la poderosa visibilidad en la red
tráfico de Panorama a otros componentes de la red. La solución combinada ofrece una alta
detección, investigación de incidentes y respuesta eficaz y coordinada a las ciberamenazas. El
La aplicación Splunk para Palo Alto Networks (consulte la Figura 2-30) brinda a los equipos de seguridad empresarial una poderosa
plataforma para visualización, monitoreo y análisis de seguridad que les permite aprovechar al máximo
la extensa aplicación, usuario, contenido y datos de amenazas generados por Palo Alto Networks
dispositivos.
Figura 2-30: La integración con Splunk amplía las capacidades de visibilidad y prevención a toda su
infraestructura de red.
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
183
148/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 184
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Una organización internacional tiene más de cien cortafuegos, repartidos en cincuenta ubicaciones.
¿Qué modo de implementación de Panorama instalaría la organización en varias ubicaciones?
(más allá de la necesidad de recuperación ante desastres)?
A. Panorama
B. solo gestión
C. recolector de troncos
D. gestión de amenazas
2. ¿Qué objeto Panorama se utiliza para administrar la configuración de red?
Una plantilla
B. grupo de dispositivos
C. sistema virtual
D. Perfil de descifrado
3. ¿Qué objeto Panorama se utiliza para gestionar la política de seguridad?
Una plantilla
B. grupo de dispositivos
C. sistema virtual
D. Perfil de descifrado
© 2021 Palo Alto Networks, Inc.
184
Página 185
Dominio del examen 3: tecnologías en la nube
La computación en la nube no es una ubicación, sino un conjunto de recursos que se pueden aprovisionar rápidamente.
de forma automatizada y bajo demanda.
3.1 Definir los modelos de implementación y servicio en la nube del NIST
https://translate.googleusercontent.com/translate_f
149/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) define la computación en nube en
Publicación especial (SP) 800-145 como “un modelo para permitir que los servicios sean ubicuos, convenientes y bajo demanda
acceso de red a un grupo compartido de recursos informáticos configurables (como redes, servidores,
almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo
esfuerzo de gestión o interacción con el proveedor de servicios ".
El valor de la computación en la nube es la capacidad de agrupar recursos para lograr economías de escala y
agilidad. Esta capacidad es válida para nubes públicas o privadas. En lugar de tener muchos independientes
y, a menudo, servidores infrautilizados implementados para sus aplicaciones empresariales, los grupos de recursos son
agregados, consolidados y diseñados para ser lo suficientemente elásticos para escalar con las necesidades de su
organización.
El movimiento hacia la computación en la nube no solo trae beneficios operativos y de costos, sino también
Beneficios tecnológicos. Los usuarios pueden acceder fácilmente a los datos y las aplicaciones, independientemente de dónde
residen, los proyectos se pueden escalar fácilmente y el consumo se puede rastrear de manera efectiva. La virtualización es una
parte fundamental de una arquitectura de computación en la nube que, cuando se combina con la orquestación de software
y herramientas de gestión, le permite integrar procesos dispares para que puedan automatizarse,
se replica fácilmente y se ofrece según sea necesario.
Modelos de servicios en la nube
NIST define tres modelos distintos de servicios de computación en la nube:
● Software como servicio (SaaS): los clientes tienen acceso a una aplicación que se ejecuta
en una infraestructura en la nube. Se puede acceder a la aplicación desde varios dispositivos cliente y
interfaces, pero el cliente no tiene conocimiento de, y no gestiona ni controla, las
infraestructura de nube subyacente. El cliente puede tener acceso a un número limitado de usuarios específicos.
la configuración de la aplicación y la seguridad de los datos del cliente sigue siendo responsabilidad del
cliente.
● Plataforma como servicio (PaaS): los clientes pueden implementar aplicaciones compatibles en el
la infraestructura en la nube del proveedor, pero el cliente no tiene conocimiento y no
administrar o controlar la infraestructura de nube subyacente. El cliente tiene control sobre el
aplicaciones implementadas y ajustes de configuración limitados para el alojamiento de aplicaciones
ambiente. La empresa es propietaria de las aplicaciones y los datos implementados y, por lo tanto, es
responsable de la seguridad de esas aplicaciones y datos.
● Infraestructura como servicio (IaaS): los clientes pueden aprovisionar procesamiento, almacenamiento,
redes y otros recursos informáticos, e implementar y ejecutar sistemas operativos y
aplicaciones. Sin embargo, el cliente no tiene conocimiento ni gestiona ni
control, la infraestructura de nube subyacente. El cliente tiene control sobre el funcionamiento
sistemas, almacenamiento y aplicaciones implementadas, junto con algunos componentes de red
© 2021 Palo Alto Networks, Inc.
185
Página 186
(por ejemplo, cortafuegos de host). La empresa es propietaria de las aplicaciones y los datos implementados, y
por lo tanto, es responsable de la seguridad de esas aplicaciones y datos.
Modelos de implementación en la nube
NIST también define estos cuatro modelos de implementación de computación en la nube:
● Pública: una infraestructura en la nube que está abierta al público en general. Es propiedad
administrado y operado por un tercero (o partes), y existe en el proveedor de la nube
local.
● Comunidad: una infraestructura en la nube que es utilizada exclusivamente por un grupo específico de
organizaciones
● Privado. Una infraestructura en la nube que es utilizada exclusivamente por una sola organización. Puede
ser propiedad, administrada y operada por la organización o un tercero (o una combinación
de ambos), y puede existir dentro o fuera de las instalaciones.
● Híbrido: una infraestructura en la nube que comprende dos o más de los mencionados anteriormente.
modelos de implementación, vinculados por tecnología patentada o estandarizada que habilita los datos
y portabilidad de la aplicación (por ejemplo, conmutación por error a un centro de datos secundario para desastres
redes de recuperación o entrega de contenido a través de múltiples nubes).
https://translate.googleusercontent.com/translate_f
150/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor en una nube?
infraestructura y el consumidor no gestiona ni controla el subyacente
¿infraestructura?
A. plataforma como servicio (PaaS)
B. infraestructura como servicio (IaaS)
C. software como servicio (SaaS)
D. nube pública
2. ¿Qué modelo de servicio en la nube del NIST no requiere que la organización del cliente haga nada?
¿programación?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
3. ¿Qué modelo de servicio en la nube del NIST requiere que el cliente mantenga el sistema operativo en funcionamiento?
¿hasta la fecha?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
4. ¿Qué modelo de servicio en la nube NIST limita su elección de entornos de tiempo de ejecución en los que
¿Se puede escribir la solicitud?
A. IaaS
B. PaaS
C. FaaS
© 2021 Palo Alto Networks, Inc.
186
Página 187
D. SaaS
5. ¿Qué modelo de implementación de nube de NIST recomendaría para una startup que no
¿Tiene mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7?
Un público
B. privado
C. comunidad
D. híbrido
6. Una empresa de noticias puede atender todas las solicitudes de su centro de datos el 95% del tiempo. Sin embargo,
algunos días hay una gran demanda de actualizaciones de noticias. Qué modelo de implementación de NIST
¿les recomendarías?
Un público
B. privado
C. comunidad
D. híbrido
https://translate.googleusercontent.com/translate_f
151/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
187
Página 188
3.2 Reconocer y enumerar los desafíos de seguridad en la nube
Los riesgos de seguridad que amenazan su red hoy en día no cambian cuando se cambia a la nube.
El modelo de responsabilidad compartida define quién (cliente y / o proveedor) es responsable de qué
(relacionado con la seguridad) en la nube pública.
En términos generales, el proveedor de la nube es responsable de la seguridad de la nube, incluida la
seguridad física de los centros de datos en la nube y redes, almacenamiento, computación y
servicios de virtualización. El cliente de la nube es responsable de la seguridad en la nube, que es
delineado con mayor detalle por el modelo de servicio en la nube (consulte la Figura 3-1).
Figura 3-1: El modelo de responsabilidad compartida
Por ejemplo, en un modelo de infraestructura como servicio (IaaS), el cliente de la nube es responsable de
la seguridad de los sistemas operativos, middleware, tiempo de ejecución, aplicaciones y datos. En una plataforma
modelo como servicio (PaaS), el cliente de la nube es responsable de la seguridad de las aplicaciones
y datos, y el proveedor de la nube es responsable de la seguridad de los sistemas operativos,
middleware y tiempo de ejecución. En un modelo SaaS, el cliente de la nube es responsable solo de la
seguridad de los datos, y el proveedor de la nube es responsable de la pila completa desde el
seguridad de los centros de datos en la nube a la aplicación. Multiempresa en entornos de nube,
particularmente en los modelos SaaS, significa que los controles y recursos del cliente son necesariamente limitados
https://translate.googleusercontent.com/translate_f
152/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
por el proveedor de la nube.
© 2021 Palo Alto Networks, Inc.
188
Página 189
Con el uso de tecnologías de computación en la nube, el entorno de su centro de datos puede evolucionar desde un
entorno fijo donde las aplicaciones se ejecutan en servidores dedicados hacia un entorno que es
dinámico y automatizado, donde los grupos de recursos informáticos están disponibles para respaldar la aplicación
cargas de trabajo a las que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo.
La seguridad sigue siendo un desafío importante cuando se adopta esta nueva informática dinámica en la nube
Entorno de tejido. Muchos de los principios que hacen atractiva la computación en la nube son contrarios a
mejores prácticas de seguridad de la red:
● La computación en la nube no mitiga los riesgos de seguridad de la red existentes. Los riesgos de seguridad
que amenazan su red hoy no cambian cuando se pasa a la nube. El compartido
El modelo de responsabilidad define quién (cliente y / o proveedor) es responsable de qué
(relacionado con la seguridad) en la nube pública. En términos generales, el proveedor de la nube es
responsable de la seguridad de la nube, incluida la seguridad física de los datos de la nube
centros y servicios de virtualización, almacenamiento, computación y redes fundamentales. El
El cliente en la nube es responsable de la seguridad en la nube, que está más delineada por la
modelo de servicio en la nube. Por ejemplo, en un modelo de infraestructura como servicio (IaaS), el
El cliente en la nube es responsable de la seguridad de los sistemas operativos, middleware,
tiempo de ejecución, aplicaciones y datos. En un modelo de plataforma como servicio (PaaS), la nube
el cliente es responsable de la seguridad de las aplicaciones y los datos, y de la nube
El proveedor es responsable de la seguridad de los sistemas operativos, middleware y
tiempo de ejecución. En un modelo SaaS, el cliente de la nube es responsable solo de la seguridad del
datos, y el proveedor de la nube es responsable de la pila completa, desde la seguridad física de
los centros de datos en la nube a la aplicación.
● La seguridad requiere aislamiento y segmentación; la nube se basa en recursos compartidos.
Las mejores prácticas de seguridad dictan que las aplicaciones y los datos de misión crítica estén aislados en
segmentos seguros en la red utilizando el principio de confianza cero de "nunca confiar, siempre
verificar." En una red física, Zero Trust es relativamente sencillo de lograr
utilizando cortafuegos y políticas basadas en la aplicación y la identidad del usuario. En una computación en la nube
entorno, comunicación directa entre máquinas virtuales dentro de un servidor y en el centro de datos
(El tráfico de este a oeste se produce constantemente, en algunos casos en distintos niveles de confianza, por lo que
haciendo de la segmentación una tarea difícil. Niveles mixtos de confianza, cuando se combinan con la falta de
La visibilidad del tráfico dentro del host mediante las ofertas de seguridad basadas en puertos virtualizados, puede debilitar un
postura de seguridad de la organización.
● Las implementaciones de seguridad están orientadas a procesos; Los entornos de computación en la nube son
dinámica. La creación o modificación de sus cargas de trabajo en la nube a menudo se puede realizar en
minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede tardar horas, días o semanas.
Los retrasos de seguridad no son intencionales; son el resultado de un proceso que está diseñado para
Mantenga una postura de seguridad sólida. Los cambios de política deben aprobarse, el
Es necesario identificar los cortafuegos y determinar las actualizaciones de políticas relevantes. En
Por el contrario, la nube es un entorno altamente dinámico, con cargas de trabajo (y direcciones IP).
constantemente se agregan, eliminan y cambian. El resultado es una desconexión entre
políticas de seguridad e implementaciones de cargas de trabajo en la nube que dan como resultado una seguridad debilitada
postura. Las tecnologías y los procesos de seguridad deben aprovechar capacidades como la clonación
e implementaciones con secuencias de comandos para escalar automáticamente y aprovechar la elasticidad de
© 2021 Palo Alto Networks, Inc.
189
Página 190
la nube manteniendo una sólida postura de seguridad.
● La multipropiedad es una característica clave de la nube pública y un riesgo importante.
Aunque los proveedores de nube pública se esfuerzan por garantizar el aislamiento entre sus diversos
clientes, la infraestructura y los recursos en la nube pública se comparten. Riesgos inherentes
https://translate.googleusercontent.com/translate_f
153/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
en un entorno compartido incluyen configuraciones incorrectas, procesos inadecuados o ineficaces
y controles, y el problema del "vecino ruidoso" (tráfico de red excesivo, E / S de disco o
el uso del procesador puede afectar negativamente a otros clientes que comparten el mismo recurso). En
Entornos híbridos y multinube que conectan numerosas nubes públicas y / o privadas,
la delimitación se vuelve borrosa, la complejidad aumenta y los riesgos de seguridad se vuelven más
desafiante de abordar.
● Los modelos tradicionales de seguridad de host y red no funcionan en la nube para sistemas sin servidor
aplicaciones. La defensa en profundidad se ha realizado principalmente a través de la capa de red.
control S. Las herramientas avanzadas de prevención de amenazas pueden reconocer las aplicaciones que atraviesan el
red y determinar si deben permitirse. Este tipo de seguridad todavía es muy
muy necesario en los entornos nativos de la nube, pero ya no es suficiente por sí solo.
Los proveedores de nube pública ofrecen una amplia cartera de servicios y la única forma de gobernar y
Muchos de ellos son seguros mediante la gestión de identidades y accesos (IAM). Controles de IAM
los permisos y el acceso para los usuarios y los recursos de la nube. Las políticas de IAM son conjuntos de
políticas de permisos que se pueden adjuntar a usuarios o recursos en la nube para autorizar
a qué acceden y qué pueden hacer con aquello a lo que acceden.
Términos clave
● La gestión de identidades y accesos (IAM) es un marco de procesos, políticas y
tecnologías que facilitan la gestión de identidades electrónicas o digitales.
A medida que las organizaciones pasan de una arquitectura de centro de datos tradicional a una arquitectura pública, privada o
entorno de nube híbrida, las estrategias de seguridad empresarial deben adaptarse para soportar cambios
requisitos en la nube. Los requisitos importantes para proteger la nube incluyen:
● Seguridad constante en factores de forma físicos y virtualizados: los mismos niveles de
El control de aplicaciones y la prevención de amenazas deben usarse para proteger tanto su nube
entorno informático y su red física. Primero, debes poder confirmar
la identidad de sus aplicaciones, validando su identidad y obligándolas a usar solo
sus puertos estándar. También debe poder bloquear el uso de aplicaciones no autorizadas mientras
simultáneamente buscando y bloqueando aplicaciones mal configuradas. Finalmente, aplicaciónSe deben aplicar políticas específicas de prevención de amenazas para bloquear tanto las conocidas como las desconocidas.
el malware se mueva hacia y a través de su red y entorno de nube.
● Sus aplicaciones comerciales segmentadas según los principios de Confianza cero: para
maximizar el uso de los recursos informáticos, una práctica actual relativamente común es mezclar
niveles de confianza de la carga de trabajo de la aplicación en el mismo recurso informático. Aunque niveles mixtos
de confianza son eficientes en la práctica, introducen riesgos de seguridad en caso de
compromiso. Su solución de seguridad en la nube debe poder implementar políticas de seguridad
basado en el concepto de Zero Trust como un medio para controlar el tráfico entre cargas de trabajo
al tiempo que previene el movimiento lateral de las amenazas.
© 2021 Palo Alto Networks, Inc.
190
Página 191
● Aplicaciones comerciales administradas de forma centralizada; actualizaciones de políticas optimizadas: físicas
La seguridad de la red todavía se implementa en casi todas las organizaciones, por lo que la capacidad de administrar
implementaciones tanto de hardware como de factor de forma virtual desde una ubicación centralizada utilizando el
La misma infraestructura e interfaz de gestión es fundamental. Para garantizar que la seguridad se mantenga
al ritmo de la velocidad de cambio que pueden exhibir sus flujos de trabajo, su solución de seguridad
debe incluir características que le permitan reducir, y en algunos casos eliminar, la
procesos manuales que las actualizaciones de políticas de seguridad requieren a menudo.
Independientemente del tipo de servicio en la nube que utilice, la carga de proteger ciertos tipos de
las cargas de trabajo siempre recaerán sobre usted, nunca sobre su proveedor. Para maximizar su entorno de nube
seguridad, tenga en cuenta las siguientes prácticas recomendadas:
● Revisar la configuración predeterminada: aunque el proveedor establece automáticamente ciertas configuraciones,
algunos deben activarse manualmente. Debe tener su propio conjunto de políticas de seguridad
en lugar de asumir que el proveedor está manejando un aspecto particular de su nube nativa
seguridad.
● Adapte las configuraciones de autenticación y almacenamiento de datos a su organización: todos
https://translate.googleusercontent.com/translate_f
154/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
las
dondedeben
se cargarán
los datoscuidadosamente
deben estar protegidas
con contraseña.
Caducidad
la contraseña
Lasubicaciones
políticas también
seleccionarse
para satisfacer
las necesidades
de sudeorganización.
● No asuma que sus datos en la nube están seguros: nunca asuma que los datos cifrados por el proveedor
totalmente seguro. Algunos proveedores brindan servicios de cifrado antes de la carga y otros no.
Cualquiera que sea el caso, asegúrese de cifrar sus datos en tránsito y en reposo utilizando su
propias llaves.
● Integrarse con la política de retención de datos de su nube: debe comprender la política de su proveedor
política de retención y eliminación de datos. Debe tener varias copias de sus datos y una
período de retención de datos fijo. Pero, ¿qué pasa cuando borras datos de la nube? Lo es
todavía accesible para el proveedor? ¿Hay otros lugares donde podría haberse almacenado en caché o
copiado? Debe verificar estos problemas antes de configurar un nuevo entorno de nube.
● Establecer los privilegios adecuados: la configuración adecuada de los niveles de privilegios es útil para
haciendo que su entorno en la nube sea más seguro. Cuando usa controles de acceso basados ​en roles
(RBAC) para la autorización, puede asegurarse de que todas las personas que vean o trabajen con
sus datos tienen acceso solo a las cosas que son absolutamente necesarias.
● Mantenga actualizado el software de la nube: su proveedor puede proporcionar infraestructura y, en algunos
casos, un entorno de software prediseñado o un firewall nativo en la nube. Pero cualquier cosa que añadas
es su responsabilidad asegurar. Por lo tanto, usted como usuario es responsable de garantizar que su
los parches de seguridad, los sistemas operativos, etc. están actualizados. La forma más sencilla de prevenir
la deuda técnica y los retrasos es automatizar las actualizaciones.
● Cree políticas de seguridad y mejores prácticas en sus imágenes en la nube: si deja su
seguridad nativa en la nube para diferentes desarrolladores de su equipo de seguridad de DevOps, el resultado
podrían ser discrepancias en las políticas. Una buena forma de combatir este efecto es crear imágenes en la nube.
con herramientas de seguridad configuradas y políticas aplicadas para que los desarrolladores puedan simplemente crear
instancias de ellos.
● Aísle sus recursos en la nube: para reducir el riesgo de que los piratas informáticos obtengan un control completo
en su sistema, debe separar las cuentas de administrador para el desarrollo, la implementación,
pruebas, etc. Si un pirata informático que accede a una cuenta no puede moverse lateralmente a otra
aspectos del medio ambiente.
© 2021 Palo Alto Networks, Inc.
191
Página 192
Términos clave
● La deuda técnica es un concepto de desarrollo de software, que también se ha aplicado de manera más general.
a TI, en el que se anticipan costos futuros adicionales para reelaborar debido a una decisión anterior o
curso de acción que era necesario para la agilidad pero no era necesariamente el más óptimo o
decisión o curso de acción apropiado.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Usted es responsable de la seguridad de la aplicación, el tiempo de ejecución y el funcionamiento de la VM.
sistema. ¿Qué modelo de implementación en la nube está utilizando?
A. SaaS
B. FaaS
C. PaaS
D. IaaS
2. ¿Qué componente se puede compartir con otros inquilinos de la nube incluso cuando se usa IaaS?
A. aplicación
B. tiempo de ejecución
C. máquina virtual (invitado)
D. máquina física (host)
3. Dos empresas utilizan Gmail para su correo electrónico (SaaS). ¿Qué dos componentes pueden ser
compartido de forma transparente entre ellos? (Escoge dos.)
A. libreta de direcciones
B. código de aplicación
C. mensajes
D. base de datos de mensajes
E. identidades de usuario
4. ¿Qué modelo de servicio en la nube le permite instalar un firewall para proteger su información?
A. SaaS
https://translate.googleusercontent.com/translate_f
155/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. PaaS
C. FaaS
D. IaaS
© 2021 Palo Alto Networks, Inc.
192
Página 193
3.3 Definir el propósito de la virtualización en la computación en nube
La tecnología de virtualización emula recursos informáticos físicos o reales, como servidores
(computación), almacenamiento, redes y aplicaciones. La virtualización permite múltiples aplicaciones o
cargas de trabajo del servidor para que se ejecuten de forma independiente en uno o más recursos físicos.
Un hipervisor permite que varios sistemas operativos virtuales ("invitados") se ejecuten simultáneamente en un solo
ordenador host físico. El hipervisor funciona entre el sistema operativo de la computadora y
el kernel de hardware. Los dos tipos de hipervisores son:
● Tipo 1 ( nativo o bare metal ). Se ejecuta directamente en el hardware de la computadora host
● Tipo 2 ( alojado ). Se ejecuta dentro de un entorno de sistema operativo
Términos clave
● Un hipervisor permite que varios sistemas operativos virtuales (o invitados) se ejecuten simultáneamente en un
una sola computadora host física.
● Un hipervisor nativo (también conocido como Tipo 1 o bare metal ) se ejecuta directamente en el host.
hardware de la computadora.
● Un hipervisor alojado (también conocido como tipo 2 ) se ejecuta dentro de un entorno de sistema operativo.
La virtualización es una tecnología importante que se utiliza en los centros de datos y la computación en la nube para optimizar
recursos. Las consideraciones de seguridad importantes asociadas con la virtualización incluyen:
● Máquinas virtuales inactivas (VM): en muchos centros de datos y entornos de nube,
Las máquinas virtuales inactivas se apagan de forma rutinaria (a menudo automáticamente) cuando no están en uso.
Las máquinas virtuales que se apagan durante períodos prolongados (semanas o meses) pueden ser inadvertidamente
se pierde cuando se aplican actualizaciones anti-malware y parches de seguridad.
● Vulnerabilidades del hipervisor: además de las vulnerabilidades dentro de las aplicaciones alojadas,
VM y otros recursos en un entorno virtual, el hipervisor mismo puede ser
vulnerable, que puede exponer los recursos alojados a ataques.
● Comunicaciones intra-VM: tráfico de red entre hosts virtuales, particularmente en un
servidor físico único, no puede atravesar un conmutador físico. Esta falta de visibilidad aumenta
la complejidad de la resolución de problemas y puede aumentar los riesgos de seguridad debido a
capacidades de seguimiento y registro.
● Expansión de VM: los entornos virtuales pueden crecer rápidamente, lo que da como resultado un colapso en
cambiar los procesos de gestión y agravar los problemas de seguridad, como las máquinas virtuales inactivas,
vulnerabilidades del hipervisor y comunicaciones dentro de la máquina virtual.
https://translate.googleusercontent.com/translate_f
156/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
193
Página 194
Maquinas virtuales
Aunque una discusión sobre las máquinas virtuales en el contexto de la nube nativa puede resultar sorprendente, la realidad es que
la gran mayoría de las cargas de trabajo del mundo actual se ejecutan "directamente" (no en contenedores) en las máquinas virtuales.
La mayoría de las organizaciones no ven las máquinas virtuales como una plataforma heredada para eliminar, ni simplemente como un host tonto.
en el que ejecutar contenedores. Más bien, reconocen que muchas de sus aplicaciones aún no se han
en contenedores y que la máquina virtual tradicional sigue siendo un modelo de implementación fundamental para ellos. A pesar de que
una máquina virtual que no aloja contenedores no cumple con los tres atributos de un sistema nativo en la nube,
sin embargo, se puede operar de forma dinámica y ejecutar microservicios.
Las máquinas virtuales proporcionan los mayores niveles de aislamiento, compatibilidad y control en el continuo (consulte
Figura 3-3) y son adecuados para ejecutar casi cualquier tipo de carga de trabajo. Ejemplos de VM
Las tecnologías incluyen VMware vSphere, Microsoft Hyper-V y las instancias proporcionadas por
prácticamente todos los proveedores de nube de IaaS, como Amazon EC2. Las máquinas virtuales se diferencian de las "delgadas
VM ”a su derecha en el continuo porque a menudo se operan de una manera con estado con
poca separación entre el sistema operativo, la aplicación y los datos.
Figura 3-3: VM y VM delgadas en el continuo de tecnologías nativas de la nube
Máquinas virtuales delgadas
Los VMS "delgados" son menos una tecnología distinta que una metodología operativa diferente y, por lo general,
son la misma tecnología subyacente que las máquinas virtuales, pero implementadas y ejecutadas en un entorno mucho más sin estado
manera. Las máquinas virtuales delgadas generalmente se implementan a través de la automatización sin participación humana, son
operan como flotas en lugar de entidades individuales, y dan prioridad a la separación del sistema operativo, la aplicación y los datos.
Mientras que una VM puede almacenar datos de aplicaciones en el volumen del sistema operativo, una VM delgada almacenaría todos los datos en un
volumen separado que se podría volver a adjuntar fácilmente a otra instancia. Aunque las máquinas virtuales delgadas también
carecen del atributo contenedor de un sistema nativo en la nube, por lo general tienen un mayor énfasis en
gestión dinámica que las máquinas virtuales tradicionales. Mientras que una VM puede ser instalada y configurada por un
operador humano, una máquina virtual delgada normalmente se implementaría a partir de una imagen estándar, utilizando
herramientas de automatización como Puppet, Chef o Ansible, sin participación humana.
Las VM delgadas se diferencian de las VM a su izquierda en el continuo (consulte la Figura 3-3) por la
enfoque intencional en la separación de datos, la automatización y la disponibilidad de cualquier instancia determinada. Son
diferenciados de los contenedores integrados en VM a su derecha en el continuo por la falta de un
© 2021 Palo Alto Networks, Inc.
194
Página 195
tiempo de ejecución del contenedor. Las máquinas virtuales delgadas tienen aplicaciones instaladas directamente en el sistema de archivos de su sistema ope
https://translate.googleusercontent.com/translate_f
157/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
directamente por el kernel del sistema operativo host sin ningún tiempo de ejecución intermediario.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué opción es un hipervisor de tipo 2?
A. alojado
B. nativo
C. de metal desnudo
D. importado
2. ¿Qué proveedor de nube llama a su servicio IaaS Elastic Computing Service (ECS)?
A. Alibaba
B. AWS
C. Azur
D. GCP
3. ¿Qué problema de seguridad puede hacer que resurja una vulnerabilidad parcheada durante mucho tiempo?
A. Expansión de VM
B. comunicaciones intra-VM
C. vulnerabilidades del hipervisor
D. máquinas virtuales inactivas
3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones
Los desarrolladores han adoptado ampliamente los contenedores porque hacen que la construcción e implementación de
aplicaciones nativas en la nube más sencillas que nunca. Los contenedores no solo eliminan gran parte del
fricción típicamente asociada con mover el código de la aplicación desde la prueba hasta la producción,
El código de la aplicación empaquetado como contenedores también se puede ejecutar en cualquier lugar. Todas las dependencias
asociados con cualquier aplicación se incluyen dentro de la aplicación en contenedor, lo que hace un
aplicación en contenedores altamente portátil en máquinas virtuales o servidores bare metal en ejecución
en un centro de datos local o en una nube pública.
Ese nivel de flexibilidad permite a los desarrolladores obtener enormes ganancias en productividad que son demasiado grandes.
ignorar. Sin embargo, como es el caso con el surgimiento de cualquier nueva arquitectura de TI, la nube nativa
las aplicaciones aún deben estar protegidas. Los entornos de contenedores incluyen una gama de ciberseguridad
problemas relacionados con imágenes, contenedores, hosts, tiempos de ejecución, registros y plataformas de orquestación, todos
que necesitan ser asegurados.
Kubernetes es una plataforma de orquestación de código abierto que proporciona una API que permite
desarrolladores para definir la infraestructura de contenedores de una manera declarativa, es decir, la infraestructura como
código (IaC). Las organizaciones pueden aprovechar la orquestación de Kubernetes y los microservicios
arquitectura para publicar, mantener y actualizar aplicaciones nativas de la nube en contenedores de forma rápida y
a escala.
© 2021 Palo Alto Networks, Inc.
195
Página 196
Contenedores integrados en VM
Para algunas organizaciones, especialmente las grandes empresas, los contenedores proporcionan una aplicación atractiva
implementación y enfoque operativo, pero carecen de suficiente aislamiento para mezclar cargas de trabajo de diferentes
niveles de sensibilidad. Las máquinas virtuales proporcionan un grado de aislamiento mucho más fuerte, pero a costa de una mayor
complejidad y carga de gestión. Contenedores integrados en VM, como contenedores Kata y
VMware vSphere Integrated Containers, busca lograr el aislamiento de VM proporcionando una combinación
de una API amigable para el desarrollador y la abstracción de la aplicación del sistema operativo mientras oculta el
complejidades de la compatibilidad y el aislamiento de seguridad dentro del hipervisor.
, Estas tecnologías buscan básicamente proporcionar máquinas virtuales sin que los usuarios tengan que saber que son máquinas virtuales o
gestionarlos. En su lugar, los usuarios ejecutan comandos de contenedor típicos como "docker run" y el
La plataforma subyacente crea de forma automática e invisible una nueva máquina virtual, inicia un tiempo de ejecución del contenedor
dentro de él, y ejecuta el comando. El resultado es que el usuario ha iniciado un contenedor en un
https://translate.googleusercontent.com/translate_f
158/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
instancia separada del sistema operativo, aislada de todas las demás por un hipervisor. Estos VMLos contenedores integrados suelen ejecutar un solo contenedor (o un conjunto de contenedores estrechamente relacionados similares
a un pod en Kubernetes) dentro de una sola VM. Los contenedores integrados en VM poseen las tres
atributos nativos del sistema y, por lo general, ni siquiera proporcionan la configuración manual como opcional
enfoque de implementación.
Los contenedores integrados en VM se diferencian de las VM delgadas a su izquierda en el continuo (consulte
Figura 3-4) porque están diseñados explícitamente para ejecutar únicamente contenedores e integrar estrechamente la VM
aprovisionamiento con acciones de tiempo de ejecución del contenedor. Se diferencian de los envases puros a sus
justo en el continuo mediante el mapeo de un solo contenedor por instancia de SO y el
flujo de trabajo utilizado para crear una instancia de una nueva máquina virtual, junto con el contenedor que aloja, a través de un singular,
flujo centrado en contenedores.
Figura 3-4: Contenedores integrados en VM en el continuo de tecnologías nativas de la nube
© 2021 Palo Alto Networks, Inc.
196
Página 197
Contenedores
Los contenedores ofrecen las tres características del sistema nativo de la nube y proporcionan un conjunto equilibrado de
capacidades y compensaciones a lo largo del continuo. Los contenedores se popularizaron y son los mejores
conocido por el proyecto Docker, y han existido en diversas formas durante muchos años y tienen su
raíces en tecnologías como Solaris Zones y BSD Jails. Aunque Docker es un conocido
marca, otros proveedores están adoptando sus tecnologías subyacentes de runc y containerd para crear
soluciones similares pero separadas.
Los contenedores equilibran la separación (aunque no tan bien como las VM), excelente compatibilidad con
aplicaciones y un alto grado de control operativo con buen potencial de densidad y fácil integración
en los flujos de desarrollo de software. Los contenedores pueden ser complejos de operar, principalmente debido a su
amplia capacidad de configuración y la amplia variedad de opciones que presentan a los equipos operativos.
Dependiendo de estas opciones, los contenedores pueden ser completamente sin estado, dinámicos y aislados;
altamente entremezclado con el sistema operativo host y con estado; o en cualquier lugar intermedio. Esta
El grado de elección es tanto la mayor fortaleza como la gran debilidad de los contenedores. En respuesta,
el mercado ha creado sistemas a su derecha en el continuo, como sin servidor, para hacer
son más fáciles de gestionar a escala y abstraen parte de su complejidad al reducir algunos
configurabilidad.
Los contenedores se diferencian de los contenedores integrados en VM a su izquierda en el continuo (ver
Figura 3-5) sin usar un mapeo estricto uno a uno del contenedor a la VM ni encapsular el
aprovisionamiento del sistema operativo host subyacente en el flujo de implementación del contenedor.
Se diferencian de las plataformas de contenedores como servicio a su derecha en el continuo por
requiriendo que los usuarios sean responsables de la implementación y operación de todos los
infraestructura, que incluye no solo hardware y máquinas virtuales, sino también el mantenimiento del host
sistemas operativos dentro de cada VM.
https://translate.googleusercontent.com/translate_f
159/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 3-5: Contenedores en el continuo de tecnologías nativas de la nube
© 2021 Palo Alto Networks, Inc.
197
Página 198
Contenedores como servicio
A medida que los contenedores crecieron en popularidad y se diversificó el uso, los orquestadores como Kubernetes (y sus
derivados como OpenShift), Mesos y Docker Swarm se volvieron cada vez más importantes para
Implementar y operar contenedores a escala. Aunque estos orquestadores abstraen gran parte de la
complejidad requerida para implementar y operar una gran cantidad de microservicios compuestos por muchos
contenedores y se ejecutan en muchos hosts, pueden ser complejos de configurar y mantener. Estos
Los orquestadores también se centran en el tiempo de ejecución del contenedor y hacen poco para ayudar con la implementación.
y gestión de hosts subyacentes. Aunque las organizaciones sofisticadas suelen utilizar
tecnologías como las máquinas virtuales delgadas envueltas en herramientas de automatización para abordar la implementación y
gestión de hosts subyacentes, incluso estos enfoques no alivian completamente a la organización
desde la gestión del hardware de red, almacenamiento y computación subyacentes. Contenedores como servicio
(CaaS) proporcionan las tres características nativas de la nube de forma predeterminada y, aunque
ensamblados a partir de muchos componentes más genéricos, están altamente optimizados para cargas de trabajo de contenedores.
Debido a que los principales proveedores de IaaS de nube pública ya tienen grandes inversiones en
automatización e implementación, muchos han optado por aprovechar esta ventaja para construir
plataformas para ejecutar contenedores que se esfuerzan por eliminar la administración del hardware subyacente
y VM de los usuarios. Estas plataformas CaaS incluyen Google Kubernetes Engine, Azure
Kubernetes Service y Amazon EC2 Container Service. Estas soluciones combinan el contenedor
capacidades de implementación y gestión de un orquestador con su propia plataforma específica
API para crear y administrar máquinas virtuales. Esta integración permite a los usuarios aprovisionar capacidad más fácilmente
sin la necesidad de administrar el hardware subyacente o la capa de virtualización. Algunos de estos
plataformas, como Google Kubernetes Engine, incluso utilizan máquinas virtuales delgadas que se ejecutan en contenedores
sistemas operativos, como Container-Optimized OS o CoreOS, para reducir aún más la necesidad de
administrar el sistema operativo del host.
https://translate.googleusercontent.com/translate_f
160/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
198
Página 199
Las plataformas CaaS se diferencian de los contenedores a su izquierda en el continuo (ver Figura 3-6)
al proporcionar un conjunto más completo de capacidades que abstraen las complejidades involucradas
con aprovisionamiento de hardware y VM. Se diferencian de los contenedores bajo demanda a sus
directamente en el continuo al permitir que los usuarios aún administren directamente las VM subyacentes
y sistema operativo del host. Por ejemplo, en la mayoría de las implementaciones de CaaS, los usuarios pueden usar SSH directamente en un nodo y
ejecutar herramientas arbitrarias como usuario root para ayudar en el diagnóstico o personalizar el sistema operativo del host.
Figura 3-6: Plataforma CaaS en el continuo de tecnologías nativas de la nube
Contenedores bajo demanda
Aunque las plataformas CaaS simplifican la implementación y operación de contenedores a escala, aún
proporcionar a los usuarios la capacidad de administrar el sistema operativo host subyacente y las máquinas virtuales. Para algunos
organizaciones, esta flexibilidad es muy deseable, pero en otros casos de uso puede ser innecesaria
distracción. la capacidad de ejecutar simplemente un contenedor, sin ningún conocimiento o configuración del
Los hosts o máquinas virtuales subyacentes pueden aumentar la eficiencia y la agilidad del desarrollo, especialmente para
desarrolladores.
Los contenedores bajo demanda son un conjunto de tecnologías diseñadas para compensar parte de la compatibilidad
y control de las plataformas CaaS para reducir la complejidad y facilitar la implementación. Bajo demanda
Las plataformas de contenedores incluyen AWS Fargate y Azure Container Instances. En estas plataformas,
Es posible que los usuarios no tengan la capacidad de acceder directamente al sistema operativo host y deben utilizar exclusivamente el
interfaces de plataforma para implementar y administrar sus cargas de trabajo de contenedores. Estas plataformas proporcionan todos
tres atributos nativos de la nube y posiblemente incluso los requiera; normalmente no es práctico no
Cree aplicaciones para ellos como microservicios, y el entorno solo se puede administrar de forma dinámica
y desplegado como contenedores.
© 2021 Palo Alto Networks, Inc.
199
Página 200
https://translate.googleusercontent.com/translate_f
161/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Los contenedores bajo demanda se diferencian de las plataformas CaaS a su izquierda en el continuo (ver
Figura 3-7) por la falta de soporte para el control directo del sistema operativo host y las VM, junto con el
requisito de que la gestión típica se produzca a través de interfaces específicas de la plataforma. Son
diferenciados de los sin servidor a su derecha en el continuo porque los contenedores bajo demanda todavía
ejecutar imágenes de contenedores normales que podrían ejecutarse en cualquier otra plataforma de contenedores. Para
Por ejemplo, se puede ejecutar la misma imagen que un usuario puede ejecutar directamente en un contenedor en su escritorio
sin cambios en una plataforma CaaS o en un contenedor bajo demanda. La consistencia de una imagen
formato como un paquete portátil global para aplicaciones, incluidos todos sus niveles de sistema operativo subyacentes
dependencias, es una diferencia importante con los entornos sin servidor.
Figura 3-7: Contenedores bajo demanda en el continuo de tecnologías nativas de la nube
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué modelo de uso de la nube ejecuta solo un contenedor por máquina virtual?
A. sin servidor
B. contenedores como servicio (CaaS)
C. contenedores estibadores estándar
D. Contenedores integrados en VM
2. ¿Qué modelo de uso de la nube le permite utilizar contenedores sin tener que administrar
capas de virtualización y hardware subyacentes, pero aún le permite acceder a las capas subyacentes
virtualización si es necesario?
A. sin servidor
B. contenedores como servicio (CaaS)
C. contenedores estibadores estándar
D. Contenedores integrados en VM
3. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 1
hipervisores. ¿Cuántas instancias de SO estás ejecutando?
A. 2
B. 5
C. 7
D. 17
© 2021 Palo Alto Networks, Inc.
200
Página 201
4. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 2
hipervisores. ¿Cuántas instancias de SO estás ejecutando?
A. 2
B. 5
C. 7
D. 17
3.5 Discutir el propósito de la computación sin servidor
El término "sin servidor" generalmente se refiere a un modelo operativo en la computación en nube. En el
modelo sin servidor, las aplicaciones se basan en servicios administrados que abstraen la necesidad de administrar,
https://translate.googleusercontent.com/translate_f
162/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
parche e infraestructura
y máquinas
Las aplicaciones
sin servidor
se basan en
combinación
de serviciossegura
gestionados
en la virtuales.
nube y función
como servicio
(FaaS). Adopción
deun
un
El modelo sin servidor puede afectar el desarrollo de aplicaciones de varias formas:
● Reducción de la sobrecarga operativa: sin servidores que administrar, desarrolladores y DevOps.
no necesita preocuparse por escalar la infraestructura, instalar y mantener agentes, o
otras operaciones relacionadas con la infraestructura.
● Mayor agilidad: debido a que las aplicaciones sin servidor dependen en gran medida de los servicios administrados para
cosas como bases de datos y autenticación, los desarrolladores pueden centrarse en la lógica empresarial de
la aplicación, que normalmente se ejecutará en un FaaS, como AWS Lambda o Google
Funciones en la nube.
● Costos reducidos: con la mayoría de los servicios utilizados en aplicaciones sin servidor, el cliente paga
solo para uso. Por ejemplo, con AWS Lambda, los clientes pagan por las ejecuciones de sus
funciones. Este modelo de precios generalmente tiene un impacto significativo en el costo porque
los clientes no tienen que pagar por la capacidad no utilizada como lo harían con las máquinas virtuales.
Aunque los contenedores bajo demanda reducen en gran medida la "superficie" expuesta a los usuarios finales y, por lo tanto,
la complejidad asociada con su gestión, algunos usuarios prefieren una forma aún más sencilla de implementar
sus aplicaciones. Serverless es una clase de tecnologías diseñadas para permitir a los desarrolladores proporcionar solo
su código de aplicación a un servicio, que luego instancia el resto de la pila debajo de él automáticamente.
En las aplicaciones sin servidor, el desarrollador solo carga el paquete de la aplicación, sin un contenedor completo.
imagen o cualquier componente del sistema operativo. La plataforma lo empaqueta dinámicamente en una imagen, ejecuta el
imagen en un contenedor y (si es necesario) crea una instancia del SO host subyacente y la VM y el
hardware necesario para ejecutarlos. En un modelo sin servidor, los usuarios hacen las compensaciones más dramáticas de
compatibilidad y control para la implementación y administración más simple y eficiente
experiencia.
Entre los ejemplos de entornos sin servidor se incluyen Amazon Lambda y Azure Functions. Muchas PaaS
ofertas, como Pivotal Cloud Foundry, también son efectivamente sin servidor, incluso si no lo han hecho.
históricamente se ha comercializado como tal. Aunque sin servidor puede parecer que carece del contenedor,
atributo nativo de la nube específico, los contenedores se utilizan ampliamente en el
implementaciones, incluso si esas implementaciones no se exponen directamente a los usuarios finales.
© 2021 Palo Alto Networks, Inc.
201
Página 202
Serverless se diferencia de los contenedores bajo demanda a la izquierda en el continuo (consulte la Figura
3-8) por la total incapacidad de interactuar con el host subyacente y el tiempo de ejecución del contenedor, a menudo para
el grado de ni siquiera tener visibilidad del software que ejecuta.
Figura 3-8: Sin servidor en la continuidad de las tecnologías nativas de la nube
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué modelo de uso de la nube restringe su elección de un entorno de ejecución al
entornos compatibles con el proveedor de la nube?
https://translate.googleusercontent.com/translate_f
163/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A. sin servidor
B. contenedores a pedido
C. contenedores como servicio (CaaS)
D. contenedores estibadores estándar
2. ¿Qué tres atributos son ventajas de la informática sin servidor, en comparación con
CaaS? (Elige tres.)
A. costos reducidos
B. mayor control sobre la carga de trabajo
C. mayor capacidad para monitorear e identificar problemas
D. mayor agilidad
E. gastos generales operativos reducidos
© 2021 Palo Alto Networks, Inc.
202
Página 203
3.6 Compare las diferencias entre DevOps y DevSecOps
En un modelo de desarrollo de software tradicional, los desarrolladores escriben grandes cantidades de código para nuevos
características, productos, correcciones de errores, etc., y luego pasar su trabajo al equipo de operaciones para
implementación, generalmente a través de un sistema de venta de boletos automatizado. El equipo de operaciones recibe este
solicitar en su cola, prueba el código y lo prepara para la producción, un proceso que puede llevar días,
semanas o meses. Bajo este modelo tradicional, si Operaciones tiene algún problema durante
implementación, el equipo envía un ticket a los desarrolladores para decirles qué corregir. Finalmente,
una vez que se resuelve esta interacción de ida y vuelta, la carga de trabajo pasa a producción.
Este modelo hace que la entrega de software sea un proceso largo y fragmentado. Los desarrolladores a menudo ven
Las operaciones como un obstáculo, lo que ralentiza los cronogramas de sus proyectos, y los equipos de operaciones se sienten como un
repositorio de problemas de desarrollo.
DevOps resuelve estos problemas al unir los equipos de desarrollo y operaciones en todo el
todo el proceso de entrega de software, lo que les permite descubrir y solucionar problemas antes,
Automatice las pruebas y la implementación, y reduzca el tiempo de comercialización.
Para comprender mejor qué es DevOps, primero comprendamos qué no es DevOps.
DevOps no es:
● Una combinación de los equipos Dev y Ops: todavía hay dos equipos; ellos simplemente operan
de forma comunicativa y colaborativa.
● Su propio equipo independiente: no existe un "ingeniero de DevOps". A pesar de que algunos
Las empresas pueden designar un "equipo de DevOps" como piloto cuando intenten realizar la transición a un
Cultura DevOps, DevOps se refiere a una cultura en la que los desarrolladores, evaluadores y operaciones
el personal coopera durante todo el ciclo de vida de la entrega de software.
● Una herramienta o un conjunto de herramientas: aunque hay herramientas que funcionan bien con un modelo DevOps o
ayudar a promover la cultura DevOps, DevOps es, en última instancia, una estrategia, no una herramienta.
● Automatización: aunque la automatización es muy importante para una cultura de DevOps, solo lo hace
no define DevOps.
Ahora, analicemos qué es DevOps. En lugar de que los desarrolladores codifiquen enormes conjuntos de funciones antes a ciegas
entregándolos a Operaciones para su implementación., en un modelo DevOps, los desarrolladores con frecuencia
entregar pequeñas cantidades de código para pruebas continuas. En lugar de comunicar problemas y
solicitudes a través de un sistema de tickets, los equipos de Desarrollo y Operaciones se reúnen periódicamente,
https://translate.googleusercontent.com/translate_f
164/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Comparta análisis y copropiedad de proyectos de principio a fin.
© 2021 Palo Alto Networks, Inc.
203
Página 204
Canalización de CI / CD
DevOps es un ciclo de integración continua y entrega continua (o continua
despliegue), también conocido como el canal de CI / CD. La canalización de CI / CD se integra
Equipos de desarrollo y operaciones para mejorar la productividad mediante la automatización de la infraestructura y
flujos de trabajo y medición continua del rendimiento de las aplicaciones.
La integración continua requiere que los desarrolladores integren código en un repositorio varias veces por
día para pruebas automatizadas. Cada registro se verifica mediante una compilación automatizada, lo que permite a los equipos
para detectar problemas a tiempo.
La entrega continua significa que la canalización de CI está automatizada, pero el código debe pasar
controles técnicos manuales antes de su implementación en producción.
La implementación continua lleva la entrega continua un paso más allá. En lugar de verificaciones manuales,
El código pasa las pruebas automatizadas y se implementa automáticamente, lo que brinda a los clientes
acceso a nuevas funciones.
DevOps y seguridad
Un problema en DevOps es que a menudo se descuida la seguridad. Los desarrolladores se mueven rápidamente y su
los flujos de trabajo están automatizados. La seguridad es un equipo separado y los desarrolladores no quieren reducir la velocidad
para controles de seguridad y solicitudes. Como resultado, muchos desarrolladores implementan sin pasar por el
canales de seguridad adecuados e inevitablemente cometer errores de seguridad dañinos.
Para resolver el problema de la eficiencia de DevOps, las organizaciones están adoptando DevSecOps. DevSecOps
toma el concepto detrás de DevOps de que los desarrolladores y los equipos de TI deben trabajar juntos en estrecha colaboración,
en lugar de por separado, a lo largo de la entrega de software y lo extiende para incluir seguridad y
integre verificaciones automatizadas en la canalización completa de CI / CD. La integración de la canalización de CI / CD
se ocupa del problema de seguridad que parece una fuerza externa y permite a los desarrolladores
mantener su velocidad sin comprometer la seguridad de los datos.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué proceso continuo reemplaza las verificaciones manuales con pruebas de código automatizadas y
¿despliegue?
A. integración
B. desarrollo
C. entrega
D. despliegue
2. ¿Cuáles son los dos significados de la canalización de CI / CD? (Escoge dos.)
A. integración continua / entrega continua
B. implementación continua / entrega continua
C. integración continua / despliegue continuo
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
204
165/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 205
D. implementación continua / despliegue continuo
E. innovación continua / desarrollo continuo
3. ¿Qué paso de la canalización de CI / CD no se puede automatizar?
A. Codificación
B. Integración
C. Pruebas
D. Seguimiento
4. ¿Qué paso de la canalización de CI / CD es el lugar ideal para las pruebas de penetración automatizadas?
A. Codificación
B. Integración
C. Pruebas
D. Despliegue
3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS
Los recursos en la nube y las aplicaciones SaaS deben configurarse correctamente y cumplir con su
los estándares de seguridad de la organización desde el primer día para evitar ataques exitosos. Además, estos
aplicaciones, y los datos que recopilan y almacenan, deben estar debidamente protegidos y cumplir con
evite costosas multas, daños a la reputación de la marca y pérdida de la confianza del cliente. Los equipos de seguridad deben
cumplir con los estándares de seguridad y mantener entornos compatibles a escala y en todo SaaS
aplicaciones.
A pesar de la disponibilidad de numerosas herramientas, la mayoría de las organizaciones luchan por controlar de manera efectiva
su exposición de datos y hacer cumplir las políticas de seguridad en entornos de nube en constante cambio y
Aplicaciones SaaS. Además, garantizar el cumplimiento donde los datos se almacenan a través de distribuidos
Los entornos suponen una carga importante para los equipos de seguridad limitados.
Garantizar la gobernanza y el cumplimiento en entornos de múltiples nubes y aplicaciones SaaS
requiere:
● Descubrimiento y clasificación en tiempo real de recursos y datos en SaaS dinámico y
Entornos PaaS e IaaS
● Gobernanza de la configuración, asegurando que las configuraciones de aplicaciones y recursos coincidan con sus
las mejores prácticas de seguridad tan pronto como se implementan y evitan la desviación de la configuración
● Gobernanza de acceso mediante definiciones de políticas granulares para gobernar el acceso a SaaS
aplicaciones y recursos en la nube pública y para aplicar la segmentación de la red
● Auditoría de cumplimiento, aprovechando la automatización y los marcos de cumplimiento integrados, para
Garantice el cumplimiento en cualquier momento y genere informes listos para auditorías bajo demanda.
Experiencia de usuario perfecta que no obliga a pasos adicionales ni introduce una latencia significativa en el
uso de aplicaciones a medida que agrega nuevas herramientas de seguridad
© 2021 Palo Alto Networks, Inc.
205
Página 206
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Cuál es el significado de una aplicación SaaS que se anuncia como compatible con HIPPA?
R. Independientemente de cómo configure la aplicación para su empresa, será
Cumple con HIPPA.
B. Si su administrador configura la configuración de seguridad en la aplicación correctamente, usted
cumplirá con HIPPA.
https://translate.googleusercontent.com/translate_f
166/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
C.Siobediente.
su administrador y sus usuarios usan la aplicación correctamente, será HIPPA
D. Si su administrador y sus usuarios utilizan la aplicación correctamente, la aplicación
no hará que no cumpla con HIPPA.
2. ¿Qué sistemas debe proteger para garantizar el cumplimiento de los estándares de seguridad?
A. Los servidores en el centro de datos
B. Los dispositivos propiedad de la empresa, ya sean servidores en el centro de datos,
VM en la nube que administra o dispositivos de punto final de usuario
C.Cualquier sistema donde vayan los datos de los que eres responsable
D. Todos los dispositivos que pertenecen a la empresa o que son utilizados por empleados de la empresa.
3. ¿En qué área se requiere el cumplimiento de GDPR para hacer negocios?
A. Estados Unidos de América
B. Canadá
C. China
D. Unión Europea
3.8 Describir las debilidades de las soluciones de seguridad de datos tradicionales
Las soluciones tradicionales de seguridad del centro de datos exhiben las mismas debilidades que se encuentran cuando se
implementados en una puerta de enlace perimetral en la red física: hacen su control positivo inicial
decisiones de acceso a la red basadas en el puerto, utilizando la inspección de estado, y luego toman una serie de
Decisiones secuenciales de control negativo utilizando conjuntos de características instaladas. Este enfoque tiene varios
problemas:
● Visibilidad y control limitados: el enfoque de "puertos primero" de la seguridad de datos tradicional
soluciones limita su capacidad para ver todo el tráfico en todos los puertos, lo que significa que evasivas o
aplicaciones encriptadas, y cualquier amenaza correspondiente que pueda o no usar estándares
puertos, puede evadir la detección. Por ejemplo, muchas aplicaciones de centros de datos (como
Microsoft Lync, Active Directory y SharePoint) utilizan una amplia gama de puertos contiguos
para funcionar correctamente. Por lo tanto, primero debe abrir todos esos puertos, exponiendo esos mismos
puertos a otras aplicaciones o ciberamenazas.
● Sin concepto de tráfico desconocido: el tráfico desconocido es de alto riesgo, pero representa solo un
cantidad relativamente pequeña de tráfico en cada red. El tráfico desconocido puede ser personalizado
aplicación, una aplicación comercial lista para usar no identificada o una amenaza. El
La práctica común de bloquear todo el tráfico desconocido puede paralizar su negocio. Permitiendo todo
el tráfico es muy riesgoso. Necesita poder administrar sistemáticamente el tráfico desconocido
utilizando herramientas de gestión de políticas nativas para reducir los riesgos de seguridad de su organización.
● Múltiples políticas, sin herramientas de conciliación de políticas: análisis de tráfico secuencial (con estado
inspección, control de aplicaciones, sistema de prevención de intrusiones (IPS), anti-malware, etc.) en
© 2021 Palo Alto Networks, Inc.
206
Página 207
Las soluciones tradicionales de seguridad del centro de datos requieren una política de seguridad correspondiente o
perfil, a menudo utilizando múltiples herramientas de gestión. El resultado es que sus políticas de seguridad
se complica a medida que crea y administra una política de firewall con origen, destino,
usuario, puerto y acción; una política de control de aplicaciones con reglas similares; y cualquier otro
Se requieren reglas de prevención de amenazas. Múltiples políticas de seguridad que mezclan positivo (firewall) y
Los modelos de control negativos (control de aplicaciones, IPS y anti-malware) pueden causar seguridad
agujeros por falta de tráfico y / o no identificar el tráfico. Esta situación se agrava
cuando no hay herramientas de conciliación de políticas.
● Proceso de actualización de la política de seguridad engorroso. Soluciones de seguridad existentes en los datos
centro no abordan la naturaleza dinámica de su entorno de nube, porque su
las políticas tienen dificultades para lidiar con los numerosos cambios dinámicos que son comunes
en centros de datos virtuales. En un centro de datos virtual, los servidores de aplicaciones de VM a menudo se mueven de
un host físico a otro, por lo que sus políticas de seguridad deben adaptarse a los cambios de red
condiciones.
Muchas ofertas de seguridad en la nube son simplemente versiones virtualizadas de seguridad basada en puertos y protocolos.
electrodomésticos con las mismas deficiencias que sus contrapartes físicas.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
https://translate.googleusercontent.com/translate_f
167/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
respuestas
en el Apéndice
A. un firewall de filtro de puerto el acceso a la URL?
1. ¿Cómo
clasificaría
https://example.com:22/this/page?
A. HTTP
B. HTTPS
C. Telnet
D. SSH
© 2021 Palo Alto Networks, Inc.
207
Página 208
3.9 Comparar la protección del tráfico este-oeste y norte-sur
En un centro de datos virtual (nube privada), hay dos tipos diferentes de tráfico, cada uno de los cuales es
asegurado de una manera diferente (ver Figura 3-10):
● Norte-sur se refiere a los paquetes de datos que entran y salen del entorno virtualizado.
desde la red de host o un centro de datos tradicional correspondiente. El tráfico de norte a sur es
asegurado por uno o más cortafuegos de borde perimetral de factor de forma física. El cortafuegos de borde
generalmente es un dispositivo de alto rendimiento que trabaja en alta disponibilidad activo / pasivo (o
modo activo / activo) para aumentar la resiliencia. Controla todo el tráfico que llega a los datos
Center y autoriza que solo los paquetes permitidos y "limpios" fluyan hacia el virtualizado
ambiente.
● Este-oeste se refiere a los paquetes de datos que se mueven entre cargas de trabajo virtuales completamente dentro del
nube privada. El tráfico este-oeste está protegido por un firewall virtualizado local instanciado en
cada hipervisor. Los cortafuegos de este a oeste se insertan de forma transparente en la aplicación
infraestructura y no necesitan un rediseño de la topología lógica.
https://translate.googleusercontent.com/translate_f
168/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 3-10: Arquitectura típica de diseño de un centro de datos virtual
El clúster de cómputo es el componente básico para alojar la infraestructura de la aplicación y proporciona
los recursos necesarios en términos de computación, almacenamiento, redes y seguridad. Clústeres de cómputo
se puede interconectar utilizando las tecnologías de capa 2 (enlace de datos) o capa 3 (red) del modelo OSI
como LAN virtual (VLAN), LAN virtual extensible (VXLAN) o Protocolo de Internet (IP), por lo tanto
proporcionando una extensión de dominio para la capacidad de carga de trabajo. Innovaciones en el espacio de la virtualización
Permitir que las máquinas virtuales se muevan libremente en esta nube privada mientras se preserva la computación, el almacenamiento, las redes,
y características y posturas de seguridad.
© 2021 Palo Alto Networks, Inc.
208
Página 209
Las organizaciones generalmente implementan seguridad para proteger el tráfico que fluye de norte a sur, pero esto
El enfoque es insuficiente para proteger el tráfico este-oeste dentro de una nube privada. Para mejorar su
postura de seguridad, las empresas deben protegerse contra las amenazas en toda la red, tanto en el norte
sur y este-oeste.
Una práctica común en una nube privada es aislar las máquinas virtuales en diferentes niveles. El aislamiento proporciona
delimitación clara de las funciones de la aplicación y permite que un equipo de seguridad implemente fácilmente la seguridad
políticas. El aislamiento se logra utilizando atributos de red lógicos (como una VLAN o una VXLAN) o
construcciones de software lógicas (como grupos de seguridad). La figura 3-11 muestra un sencillo de tres niveles
aplicación que se compone de una WEB-VM como frontend, una APP-VM como aplicación, y
una DB-VM que proporciona servicios de base de datos.
Figura 3-11: Aplicación de tres niveles alojada en un centro de datos virtual
Un atacante tiene múltiples opciones para robar datos de la DB-VM. La primera opción es iniciar un
Ataque de inyección SQL mediante el envío de solicitudes HTTP que contienen comandos SQL normalizados que
apuntar a una vulnerabilidad de la aplicación. La segunda opción es comprometer la WEB-VM (usando
vulnerabilidades) y luego moverse lateralmente a la APP-VM, iniciando un ataque de fuerza bruta para
recuperar la contraseña de administrador de SQL.
Una vez que la DB-VM se ve comprometida, el atacante puede ocultar la extracción de datos confidenciales utilizando
técnicas como el túnel de DNS o el movimiento de datos a través de la red con NetBIOS y luego
fuera de la red a través de FTP. De hecho, los atacantes que utilizan aplicaciones que se encuentran comúnmente en casi todos los
La red tiene opciones virtualmente ilimitadas para robar datos críticos en este entorno. Infiltración
en el medio ambiente y la exfiltración de datos críticos puede ser completamente transparente y
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
209
169/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 210
sin ser detectado porque los datos se transportan a través de protocolos legítimos (como HTTP y DNS) que
se utilizan para actividades comerciales normales.
Las mejores prácticas de seguridad del centro de datos virtual exigen una combinación de norte-sur y este-oeste
proteccion. La protección este-oeste proporciona los siguientes beneficios:
● Autoriza que solo las aplicaciones permitidas fluyan dentro del centro de datos, entre VM
● Reduce el movimiento lateral de amenazas cuando una carga de trabajo inicial se ha visto comprometida (el
El atacante viola el servidor de aplicaciones para el usuario mediante el uso de una aplicación mal configurada o sin parche.
explotar)
● Detiene las amenazas conocidas y desconocidas que se originan internamente dentro del centro de datos.
● Protege contra el robo de datos aprovechando la capacidad de filtrado y bloqueo de datos y archivos.
comunicaciones anti-spyware al mundo externo
Un beneficio adicional del uso de firewalls virtuales para la protección este-oeste es el tráfico sin precedentes
y visibilidad de amenazas que ahora puede proporcionar el dispositivo de seguridad virtualizado. Después de los registros de tráfico y
Los registros de amenazas se activan, las comunicaciones de máquina virtual a máquina virtual y los ataques maliciosos se vuelven visibles.
Esta conciencia del centro de datos virtual permite a los equipos de seguridad optimizar las políticas y hacer cumplir
protección contra ciberamenazas (por ejemplo, IPS, antimalware, bloqueo de archivos, filtrado de datos y DoS
protección) donde sea necesario.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿El tráfico intra-VM también se conoce como qué tipo de tráfico?
A. norte-sur
B. desconocido
C. este-oeste
D. no confiable
2. ¿Cuál es el término para el tráfico entre un sitio web y una base de datos local que almacena información?
¿para ello?
A. norte-sur
B. este-oeste
C. desconocido
D. nube
3. ¿Cuál es el término para el tráfico entre un sitio web y el navegador de un usuario remoto?
A. norte-sur
B. este-oeste
C. desconocido
D. nube
4. ¿Qué tipo de tráfico puede permanecer contenido en un solo servidor físico?
A. norte-sur
B. este-oeste
C. desconocido
D. tráfico confiable
© 2021 Palo Alto Networks, Inc.
210
Página 211
5. ¿Qué tipo de tráfico se puede asegurar mediante un dispositivo físico?
A. norte-sur
B. este-oeste
C. desconocido
D. nube
6. ¿Qué etapa de un ataque suele ser el tráfico de este a oeste?
https://translate.googleusercontent.com/translate_f
170/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A. reconocimiento
B. armamento
C. propagación lateral
D. acciones sobre el objetivo
3.10 Reconocer las cuatro fases de la seguridad del centro de datos híbrido
El siguiente enfoque de seguridad en el centro de datos en evolución de los tres niveles tradicionales
arquitecturas a los centros de datos virtuales y a la nube se alinea con realidades prácticas, como la
necesitan aprovechar las mejores prácticas existentes y las inversiones en tecnología, y la probabilidad de que la mayoría
Las organizaciones transformarán sus centros de datos de forma incremental.
Este enfoque consta de cuatro fases:
● Consolidar servidores dentro de niveles de confianza: las organizaciones a menudo consolidan servidores
dentro del mismo nivel de confianza en un único entorno informático virtual: uno
host físico o un grupo de hosts físicos. Las comunicaciones dentro del host generalmente son
mínima e intrascendente. La mayor parte del tráfico se dirige rutinariamente "fuera de la caja" a los usuarios y
sistemas que residen en diferentes niveles de confianza. Cuando suceden las comunicaciones dentro del host, el
La ausencia de salvaguardas protectoras entre estos sistemas virtualizados también es consistente con
la postura de seguridad de la organización para los sistemas no virtualizados. Funciones de migración en vivo
normalmente se utilizan para permitir la transferencia de máquinas virtuales solo a hosts que admiten cargas de trabajo dentro de
la misma subred. Las soluciones de seguridad deben incorporar una capacidad robusta de sistemas virtuales
en el que una sola instancia de las contramedidas asociadas se puede dividir en
múltiples instancias lógicas, cada una con su propia política, gestión y dominios de eventos.
Esta capacidad de sistemas virtuales permite utilizar un único dispositivo físico para
Cumpla simultáneamente los requisitos únicos de múltiples máquinas virtuales o grupos de máquinas virtuales.
Control y protección del tráfico entre hosts con dispositivos de seguridad de red física que
están colocados y configurados correctamente es el principal enfoque de seguridad.
● Consolidar servidores en todos los niveles de confianza: cargas de trabajo con diferentes niveles de confianza a menudo
coexisten en el mismo host físico o grupo de hosts físicos. Comunicaciones intrahospitalarias
son limitadas y las funciones de migración en vivo se utilizan para permitir la transferencia de máquinas virtuales solo a hosts
que están en la misma subred y que están configurados de manera idéntica con respecto al enrutamiento de
Tráfico de VM a VM. Las rutas de comunicación dentro del host no están configuradas intencionalmente
entre máquinas virtuales con diferentes niveles de confianza. En cambio, todo el tráfico se expulsa de la caja a través de un
puerta de enlace predeterminada, como un dispositivo de seguridad de red física antes de que se le permita
proceda a la máquina virtual de destino. Este enrutamiento fuera de la caja generalmente se puede lograr mediante
configurar conmutadores virtuales independientes con tarjetas de interfaz de red físicas independientes
(NIC) para las máquinas virtuales en cada nivel de confianza distinto. Como práctica recomendada para la virtualización,
debe minimizar la combinación de cargas de trabajo con diferentes niveles de confianza en el mismo
servidor. Las migraciones en vivo de máquinas virtuales también deben restringirse a los servidores que admiten cargas de trabajo.
© 2021 Palo Alto Networks, Inc.
211
Página 212
dentro de los mismos niveles de confianza y dentro de la misma subred. Con el tiempo, y en particular a medida que
las cargas de trabajo se trasladan a la nube, el mantenimiento de la segmentación en función de los niveles de confianza se convierte en
más desafiante.
● Virtualización de seguridad de red selectiva: comunicaciones dentro del host y en vivo
las migraciones se diseñan en esta fase. Todas las rutas de comunicación dentro del host son estrictamente
controlado para garantizar que el tráfico entre máquinas virtuales en diferentes niveles de confianza sea intermediado
ya sea mediante un dispositivo de seguridad virtual integrado o mediante un dispositivo de seguridad físico externo
aparato. Las migraciones en vivo de larga distancia (por ejemplo, entre centros de datos) están habilitadas
mediante una combinación de funciones nativas de migración en vivo con soluciones externas que abordan
desafíos asociados de redes y rendimiento. Los intensos requisitos de procesamiento
de soluciones como los dispositivos virtuales de firewall de próxima generación garantizarán ese propósito
Los dispositivos físicos construidos continúan desempeñando un papel importante en el centro de datos virtual.
Sin embargo, las instancias virtuales son ideales para escenarios donde es necesario tomar contramedidas.
migrar junto con las cargas de trabajo que controlan y protegen.
● Estructura informática dinámica: los entornos informáticos convencionales y estáticos son
transformado en tejidos dinámicos (nubes privadas o híbridas) donde los recursos subyacentes
como los dispositivos de red, el almacenamiento y los servidores se pueden involucrar de manera fluida en cualquier
La combinación satisface mejor las necesidades de la organización en un momento dado. Intrahttps://translate.googleusercontent.com/translate_f
171/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
la comunicación del host y las migraciones en vivo no están restringidas. Esta fase requiere trabajo en red
y soluciones de seguridad que no solo se pueden virtualizar, sino que también son compatibles con la virtualización.
y puede ajustarse dinámicamente según sea necesario para abordar la comunicación y la protección
requisitos, respectivamente. Mecanismos de clasificación, inspección y control en
Las soluciones de seguridad conscientes de la virtualización no deben depender de sistemas físicos y fijos.
Atributos de la capa de red. En general, los atributos de capa superior, como la aplicación, el usuario y
La identificación del contenido es la base no solo de cómo las contramedidas brindan protección.
sino también de cómo se ajustan dinámicamente para dar cuenta de cualquier combinación de
las cargas de trabajo y los recursos informáticos existen en su esfera de influencia. Seguridad asociada
Las aplicaciones de gestión también deben ser capaces de orquestar las actividades de
instancias físicas y virtuales de contramedidas primero entre sí y luego con
otros componentes de la infraestructura. Esta capacidad es necesaria para garantizar que
La protección se brinda de manera óptima en situaciones en las que las cargas de trabajo se migran con frecuencia.
en los hosts del centro de datos.
3.11 Identificar los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud]
Las metodologías de desarrollo de aplicaciones se están alejando del modelo tradicional de "cascada"
hacia procesos de integración continua / entrega continua (CI / CD) más ágiles con
automatización. Este nuevo enfoque trae una multitud de beneficios, como un menor tiempo de comercialización y
entrega más rápida, pero también presenta desafíos de seguridad porque la seguridad tradicional
Las metodologías no fueron diseñadas para abordar estos flujos de trabajo de aplicaciones modernas. Como desarrollador
Los equipos adoptan tecnologías nativas de la nube, los equipos de seguridad se esfuerzan por mantener
ritmo. Controles de prevención limitados, mala visibilidad y herramientas que carecen de rendimiento de automatización
análisis de seguridad incompletos; todas estas cosas aumentan el riesgo de compromiso y la
probabilidad de infracciones exitosas en entornos de nube. Mientras tanto, la demanda de un
Surge un nuevo enfoque de seguridad: plataformas de seguridad nativas en la nube (CNSP).
© 2021 Palo Alto Networks, Inc.
212
Página 213
El término "nativo de la nube" se refiere a un enfoque para crear y ejecutar aplicaciones que requiere
ventaja de un modelo de entrega de computación en la nube en lugar de un centro de datos local. Esta
El enfoque aprovecha lo mejor de lo que la nube tiene para ofrecer (escalabilidad, implementación, capacidad de administración y
potencia de cálculo bajo demanda ilimitada) y aplica estos principios al desarrollo de software,
combinado con la automatización de CI / CD, para aumentar radicalmente la productividad, la agilidad empresarial y los costos
ahorros.
Las arquitecturas nativas de la nube consisten en servicios en la nube como contenedores, seguridad sin servidor,
plataforma como servicio (PaaS) y microservicios. Estos servicios están débilmente acoplados, lo que significa
no están conectados a ningún componente de infraestructura, lo que permite a los desarrolladores hacer
cambia con frecuencia sin afectar a otras partes de la aplicación o de otros miembros del equipo
proyectos, en todos los límites de la tecnología, como implementaciones públicas, privadas y multinube.
"Nativo de la nube" se refiere a una metodología de desarrollo de software que esencialmente está diseñada para
entrega en la nube y ejemplifica todos los beneficios de la nube por naturaleza.
A medida que más organizaciones han adoptado DevOps y los equipos de desarrolladores han comenzado a actualizar sus
canalizaciones de desarrollo de aplicaciones, los equipos de seguridad se dieron cuenta rápidamente de que sus herramientas no estaban bien
adecuado para los patrones de infraestructura nativa de la nube impulsados ​por desarrolladores, centrados en API e independientes de la infraestructura
seguridad. Como resultado, comenzaron a aparecer en el mercado productos de puntos de seguridad nativos de la nube. Estos
Cada uno de los productos fue diseñado para abordar una parte del problema o un segmento del software.
apilar, pero por sí mismos no podrían recopilar suficiente información para comprender con precisión o
Informar sobre los riesgos en los entornos nativos de la nube. Esta situación obligó a los equipos de seguridad a
hacer malabares con múltiples herramientas y proveedores, lo que aumentó el costo, la complejidad y el riesgo, además de
creando puntos ciegos donde las herramientas se superponen pero no se integran.
La solución a este problema requiere un enfoque de plataforma unificada que pueda abarcar todo
Ciclo de vida de CI / CD e integración con el flujo de trabajo de DevOps. Al igual que los enfoques nativos de la nube
cambiado fundamentalmente la forma en que se utiliza la nube, los CNSP están reestructurando fundamentalmente la forma en que
https://translate.googleusercontent.com/translate_f
172/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
la nube está asegurada.
Los CNSP comparten contexto sobre infraestructura, PaaS, usuarios, plataformas de desarrollo, datos y
cargas de trabajo de aplicaciones en los componentes de la plataforma para mejorar la seguridad. Ellos también:
● Proporcionar visibilidad unificada para los equipos de SecOps y DevOps.
● Ofrecer un conjunto integrado de capacidades para responder a las amenazas y proteger la nube nativa.
aplicaciones
● Automatizar la corrección de vulnerabilidades y configuraciones incorrectas de manera consistente en todo el
ciclo de vida completo de compilación, implementación y ejecución
© 2021 Palo Alto Networks, Inc.
213
Página 214
En el pasado, las organizaciones que querían adoptar nuevas opciones informáticas se veían reprimidas por la necesidad
para comprar más productos de seguridad para respaldar esas opciones. Uniendo soluciones dispares en
un intento de hacer cumplir políticas consistentes a través de las fronteras de la tecnología se convirtió más en un
problema que una solución. Sin embargo, los CNSP brindan cobertura en todo el proceso de computación
opciones, multicloud y el ciclo de vida de desarrollo de aplicaciones. Esta cobertura permite
organizaciones para elegir las opciones de cómputo correctas para cualquier carga de trabajo dada, otorgándoles así
libertad sin preocuparse por cómo integrar soluciones de seguridad. Los CNSP personifican la
beneficios de una estrategia nativa de la nube, que permite agilidad, flexibilidad y transformación digital.
El CNSP de Palo Alto Networks incluye las siguientes soluciones para proteger la nube: Prisma
Cloud, Prisma Access y Prisma SaaS.
Prisma Cloud es la plataforma de seguridad nativa en la nube más completa, diseñada para proteger a todos
aspectos del uso de la nube con la tecnología líder de la industria. Prisma Cloud ofrece una amplia
cobertura de seguridad y cumplimiento para toda la pila y las aplicaciones de tecnología nativa de la nube
y datos a lo largo de todo el ciclo de vida de la aplicación, a través de nubes híbridas y multicloud
Ambientes. Prisma Cloud adopta un enfoque integrado que habilita SecOps y DevOps
equipos para acelerar la implementación de aplicaciones nativas en la nube mediante la implementación de la seguridad en las primeras
ciclo de desarrollo.
Prisma Cloud consta de cuatro pilares:
● Visibilidad, gobernanza y cumplimiento. Obtenga una visibilidad profunda de la postura de seguridad de
entornos multicloud. Realice un seguimiento de todo lo que se implementa con un activo automatizado
inventario y mantener el cumplimiento de las políticas de gobernanza listas para usar que hacen cumplir
buen comportamiento en sus entornos.
● Computar seguridad. Proteja los hosts, los contenedores y las cargas de trabajo sin servidor en todo el
ciclo de vida de la aplicación. Detecte y prevenga riesgos integrando inteligencia de vulnerabilidades
en su entorno de desarrollo integrado (IDE), configuración de software
gestión (SCM) y flujos de trabajo de CI / CD. Hacer cumplir el tiempo de ejecución basado en el aprendizaje automático
protección para proteger aplicaciones y cargas de trabajo en tiempo real.
● Protección de la red. Monitorear continuamente la actividad de la red para detectar comportamientos anómalos.
hacer cumplir la microsegmentación consciente de los microservicios e implementar
protección de cortafuegos. Proteja el perímetro de la red y la conectividad entre
contenedores y hosts.
● Seguridad de la identidad. Supervisar y aprovechar el análisis de comportamiento de entidades y usuarios (UEBA)
en sus entornos para detectar y bloquear acciones maliciosas. Obtenga visibilidad y
hacer cumplir las políticas de gobierno en las actividades de los usuarios y administrar los permisos de ambos usuarios
y cargas de trabajo.
https://translate.googleusercontent.com/translate_f
173/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
214
Página 215
Términos clave
● Un entorno de desarrollo integrado (IDE) es una aplicación de software que proporciona
herramientas integrales como un editor de código fuente, herramientas de automatización de compilación y un depurador para
desarrolladores de aplicaciones.
● La gestión de la configuración de software (SCM) es la tarea de rastrear y controlar los cambios en
software.
● El análisis de comportamiento de usuarios y entidades (UEBA) es un tipo de solución o función de ciberseguridad que
descubre amenazas identificando la actividad que se desvía de una línea de base.
Cumplimiento y gobernanza de la nube
Asegurarse de que sus recursos en la nube y aplicaciones SaaS estén configurados correctamente y cumplan
Los estándares de seguridad de su organización desde el primer día son esenciales para evitar ataques exitosos.
Además, asegurarse de que estas aplicaciones, y los datos que recopilan y almacenan, estén correctamente
protegido y compatible es fundamental para evitar costosas multas, una imagen empañada y la pérdida de clientes
confianza. Cumplir con los estándares de seguridad y mantener entornos compatibles a escala y en todo
Aplicaciones SaaS, es la nueva expectativa para los equipos de seguridad.
A pesar de la disponibilidad de numerosas herramientas, la mayoría de las organizaciones luchan por controlar de manera efectiva
su exposición de datos y hacer cumplir las políticas de seguridad en entornos de nube en constante cambio y
Aplicaciones SaaS. Además, garantizar el cumplimiento donde los datos se almacenan a través de distribuidos
Los entornos suponen una carga importante para sus equipos de seguridad ya limitados.
Garantizar la gobernanza y el cumplimiento en entornos multicloud y aplicaciones SaaS
requiere:
● Descubrimiento y clasificación en tiempo real de recursos y datos en SaaS dinámico,
Entornos PaaS e IaaS
● Gobernanza de la configuración que garantiza que las configuraciones de las aplicaciones y los recursos coincidan
sus mejores prácticas de seguridad tan pronto como se implementan y evitan la configuración
deriva
● Gobernanza de acceso mediante definiciones de políticas granulares para gobernar el acceso a SaaS
aplicaciones y recursos en la nube pública y para aplicar la segmentación de la red
● Auditoría de cumplimiento que aprovecha la automatización y los marcos de cumplimiento integrados, para
Garantice el cumplimiento en cualquier momento y genere informes listos para auditorías bajo demanda.
● Experiencia de usuario perfecta que no obliga a realizar pasos adicionales ni introduce importantes
latencia en el uso de aplicaciones a medida que agrega nuevas herramientas de seguridad
© 2021 Palo Alto Networks, Inc.
215
Página 216
Seguridad informática
El panorama nativo de la nube está en constante evolución con nuevas tecnologías y niveles de
abstracción. Los hosts, los contenedores y las cargas de trabajo sin servidor brindan beneficios únicos y tienen
https://translate.googleusercontent.com/translate_f
174/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
diferentes requisitos de seguridad. Prisma Cloud proporciona las mejores soluciones de su clase para proteger cualquier
tipo de carga de trabajo nativa de la nube, a lo largo del ciclo de vida del desarrollo.
Prisma Cloud proporciona seguridad informática nativa de la nube desde la construcción hasta la ejecución, que incluye:
● Gestión de vulnerabilidades. Detectar y prevenir vulnerabilidades y configuraciones incorrectas
durante todo el proceso de desarrollo. Priorice las vulnerabilidades según su
entorno único y evitar que el código vulnerable llegue a producción.
● Seguridad en tiempo de ejecución. Evite amenazas y anomalías en sus hosts, contenedores,
funciones sin servidor y orquestadores. Cree modelos automatizados basados ​en el aprendizaje automático
que definen buenos comportamientos conocidos en procesos, redes, sistemas de archivos y llamadas al sistema
sensores. Los modelos están correlacionados con los ID de imagen, por lo que cada vez que crea su aplicación, obtiene una
modelo calculado y personalizado de forma única para esa construcción específica.
● Seguridad de la aplicación. Proteja las aplicaciones y las API mediante una potente combinación de
inspección del tráfico web y autoprotección de aplicaciones en tiempo de ejecución (RASP). Adopte una "explícita
permitir "modelo donde solo las actividades y capacidades específicas requeridas por su
La aplicación está permitida y todo lo demás se trata como anómalo y, por lo tanto, se
prevenido.
● DevSecOps habilitado. Integre la seguridad en sus flujos de trabajo IDE, SCM y CI para detectar
y prevenir problemas lo antes posible. Los potentes complementos permiten a los desarrolladores inspeccionar
imágenes, plantillas de IaC y funciones y para ver el estado de vulnerabilidad cada vez que ejecutan un
construir. Los equipos de seguridad pueden evitar que los activos comprometidos avancen por
tubería.
Términos clave
● La autoprotección de aplicaciones en tiempo de ejecución (RASP) detecta ataques contra una aplicación en tiempo real.
RASP monitorea continuamente el comportamiento de una aplicación y el contexto del comportamiento para inmediatamente
identificar y prevenir la actividad malintencionada.
© 2021 Palo Alto Networks, Inc.
216
Página 217
Protección de la red
La protección de la red debe adaptarse a los entornos nativos de la nube sin dejar de cumplir
políticas coherentes en entornos híbridos. Prisma Cloud detecta y previene la red
anomalías mediante la aplicación de microsegmentación a nivel de contenedor, la inspección de los registros de flujo de tráfico y
aprovechando la protección avanzada contra amenazas de Capa 7.
Las capacidades de protección de red de Prisma Cloud incluyen:
● Visibilidad de red y detección de anomalías: ingiera registros de flujo de tráfico de red desde
múltiples fuentes y obtenga una visibilidad profunda del comportamiento de la red para detectar y prevenir
anomalías.
● Microsegmentación basada en identidad: aplique la microsegmentación nativa de la nube en el
niveles de contenedor y host con firewalls distribuidos de Capa 4 y Capa 7. Nube de segmento
redes e implementar políticas basadas en la carga de trabajo lógica y las identidades de la aplicación, en lugar de
que las direcciones IP dinámicas.
● Firewall nativo en la nube: modele automáticamente los flujos de tráfico entre microservicios y
https://translate.googleusercontent.com/translate_f
175/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Cree filtros dinámicamente que permitan conexiones válidas y eliminen las sospechosas. Proteger
Redes con capacidades de seguridad de Capa 4 y Capa 7, como seguridad DNS y URL
filtración.
Seguridad de la identidad
Gestión de una gran cantidad de usuarios privilegiados con acceso a un conjunto de
Los recursos sensibles pueden ser un desafío. Los propios recursos en la nube también tienen conjuntos de permisos
que necesitan ser gestionados. Prisma Cloud le ayuda a aprovechar la identidad de los recursos de la nube para
Haga cumplir las políticas de seguridad y garantice un comportamiento seguro del usuario en sus entornos de nube.
Las capacidades clave incluyen:
● Seguridad de administración de identidades y accesos (IAM): proteja y administre las relaciones
entre los usuarios y los recursos de la nube. Hacer cumplir las políticas de gobernanza para garantizar que los usuarios y
Los recursos se comportan solo según lo previsto y no presentan riesgos para el medio ambiente.
● Gestión de acceso: garantice el acceso con privilegios mínimos a los recursos de la nube y
infraestructura y desacoplar los permisos de usuario de los permisos de carga de trabajo.
● Identidad de la máquina: desacople la identidad de la carga de trabajo de las direcciones IP. Aproveche las etiquetas y
metadatos para asignar una identidad lógica a aplicaciones y cargas de trabajo, y luego usarla para
hacer cumplir las políticas de seguridad y microsegmentación basadas en ID que se adapten a su dinámica
Ambientes.
● UEBA: analiza continuamente el comportamiento de los usuarios y los recursos en tu nube para detectar
y evitar comportamientos anómalos, como que un administrador inicie sesión desde una ubicación desconocida
o un contenedor que accede a un archivo al que no debería poder acceder.
© 2021 Palo Alto Networks, Inc.
217
Página 218
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué acción es parte del pilar de seguridad informática?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
2. ¿Qué acción forma parte del pilar de cumplimiento y gobernanza de la nube informática?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
3. ¿Qué acción forma parte del pilar de seguridad de la identidad?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
4. ¿Qué acción forma parte del pilar de seguridad de la red?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
3.12 Describir la arquitectura SASE de Prisma Access
Con un número creciente de usuarios móviles, sucursales, datos y servicios ubicados fuera del
protecciones de los dispositivos de seguridad de red tradicionales, las organizaciones luchan por mantener el ritmo
y garantizar la seguridad, privacidad e integridad de sus redes y los datos de sus clientes.
https://translate.googleusercontent.com/translate_f
176/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Muchas de las tecnologías en el mercado se basan en arquitecturas que no fueron diseñadas para
Manejar todo tipo de tráfico y amenazas de seguridad. Por tanto, las organizaciones se ven obligadas a adoptar múltiples
productos de punto para manejar diferentes requisitos, como puertas de enlace web seguras, cortafuegos, seguridad
Acceso remoto VPN y SD-WAN. Para cada producto hay una arquitectura para implementar, un conjunto de
políticas para configurar y una interfaz para administrar, cada una con su propio conjunto de registros. Esta situación
crea una carga administrativa que introduce costos, complejidad y brechas en la postura de seguridad.
Para abordar estos desafíos, ha surgido Secure Access Service Edge (SASE). SASE
(pronunciado "atrevido") está diseñado para ayudar a las organizaciones a adoptar la nube y la movilidad al proporcionar
servicios de red y seguridad de red desde una arquitectura común en la nube. UN SASE
La solución debe proporcionar servicios de seguridad consistentes y acceso a todo tipo de aplicaciones en la nube.
(nube pública, nube privada y SaaS) entregados a través de un marco común. Organizaciones
puede eliminar varios productos puntuales y adoptar una única solución SASE entregada en la nube para reducir
complejidad al tiempo que se ahorran importantes recursos técnicos, humanos y financieros.
© 2021 Palo Alto Networks, Inc.
218
Página 219
Una solución SASE converge los servicios de redes y seguridad en uno unificado, entregado en la nube
solución (consulte la Figura 3-12) que incluye lo siguiente:
● Redes :
▪ Redes de área amplia definidas por software (SD-WAN)
▪ Redes privadas virtuales (VPN)
▪ Acceso a la red Zero Trust (ZTNA)
▪ Calidad de servicio (QoS)
● Seguridad :
▪ Cortafuegos como servicio (FWaaS)
▪ Seguridad del sistema de nombres de dominio (DNS)
▪ Prevención de amenazas
▪ Pasarela web segura (SWG)
▪ Prevención de pérdida de datos (DLP)
▪ Agente de seguridad de acceso a la nube (CASB)
Términos clave
● Una puerta de enlace web segura (SWG) es una plataforma o servicio de seguridad diseñado para mantener
visibilidad en el tráfico web. La funcionalidad adicional puede incluir el filtrado de contenido web.
● Un agente de seguridad de acceso a la nube (CASB) es un software que supervisa la actividad y refuerza la seguridad.
políticas sobre el tráfico entre los usuarios de una organización y las aplicaciones y servicios basados ​en la nube.
https://translate.googleusercontent.com/translate_f
177/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
219
Página 220
Figura 3-12: SASE ofrece capacidades avanzadas de seguridad y red en un entorno convergente
solución entregada en la nube.
Prisma Access ofrece seguridad y redes distribuidas globalmente a todos sus usuarios y
aplicaciones. Ya sea que sus usuarios se encuentren en sucursales o estén remotos, se conectan a Prisma
Acceso para acceder de forma segura a las aplicaciones de la nube y del centro de datos e Internet.
Prisma Access protege constantemente todo el tráfico, en todos los puertos y de todas las aplicaciones, por lo tanto
permitiendo a su organización:
● Prevenir ciberataques exitosos con filosofías y amenazas de seguridad comprobadas.
inteligencia para una visibilidad profunda y un control preciso que se extiende a toda su organización
● Inspeccione completamente todo el tráfico de aplicaciones de forma bidireccional, incluido el cifrado SSL / TLS
tráfico, en todos los puertos, ya sea comunicándose con Internet, con la nube o entre
sucursales
● Benefíciese de la inteligencia de amenazas integral impulsada por datos de amenazas automatizados de
Palo Alto Networks y cientos de feeds de terceros
© 2021 Palo Alto Networks, Inc.
220
Página 221
https://translate.googleusercontent.com/translate_f
178/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
La
arquitectura
Prisma
Access SASE
consta
de una
capa
de redacomo
servicio,móviles
una seguridad
como / minoristas
capa
de serviciode
y una
plataforma
de gestión
común
para
proteger
los usuarios
y de sucursales
en entornos de SaaS, nube pública, Internet y oficinas centrales / centros de datos (consulte la Figura 3-13).
Figura 3-13: La arquitectura de Prisma Access
Capa de red como servicio
La capa de red como servicio en Prisma Access ofrece importantes capacidades SASE,
incluso:
● Red de área amplia definida por software (SD-WAN)
● Red privada virtual (VPN)
● Acceso a la red Zero Trust (ZTNA)
● Calidad de servicio (QoS)
© 2021 Palo Alto Networks, Inc.
221
Página 222
SD-WAN
Las empresas están adoptando una red de área amplia definida por software (SD-WAN) para conectar sucursales
oficinas a la red corporativa y proporcionar una ruptura de Internet local como una alternativa a los costosos
Conexiones de conmutación de etiquetas multiprotocolo (MPLS). Sin embargo, el desafío con SD-WAN es
cómo combinar la seguridad con la estructura SD-WAN, lo que lleva a la necesidad de múltiples superposiciones.
En una solución SASE, los dispositivos de borde SD-WAN se pueden conectar a una infraestructura basada en la nube,
en lugar de concentradores SD-WAN físicos ubicados en centros de datos o instalaciones de coubicación. Esta
El enfoque permite la interconectividad entre sucursales sin la complejidad de
Implementar y administrar concentradores SD-WAN físicos.
Ya debería estar considerando o ya ha adoptado SD-WAN en el
https://translate.googleusercontent.com/translate_f
179/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
infraestructura
de redSASE
comocrea
una un
forma
de conectar
controlar
de forma
segura
el acceso
a las sucursales y
empleados remotos.
marco
unificadoypara
servicios
SD-WAN
y otras
soluciones
para conectarse, proporcionando así un punto de vista único y una solución de gestión simplificada para
proteger su red.
Prisma Access conecta las sucursales a través de un túnel VPN IPsec estándar utilizando IPsecdispositivos compatibles, como su enrutador de sucursal existente, dispositivo de borde SD-WAN o un tercero
cortafuegos. Utiliza Border Gateway Protocol (BGP) o rutas estáticas para enrutar desde la sucursal y
enrutamiento de múltiples rutas de igual costo (ECMP) para un rendimiento más rápido y una mejor redundancia en
múltiples enlaces.
Red privada virtual
Las organizaciones confían en redes privadas virtuales (VPN) para proporcionar una conexión cifrada segura.
para que los usuarios móviles y las sucursales accedan a datos corporativos, aplicaciones y acceso a Internet.
Hay muchos tipos de servicios VPN, desde IPsec VPN hasta SSL VPN, VPN sin cliente y remoto.
acceder a VPN, todos los cuales requieren una conexión a una puerta de enlace VPN. Las VPN no están optimizadas para
acceso a la nube, lo que da como resultado que no haya seguridad o control de acceso cuando los usuarios se desconectan para alcanzar
aplicaciones o servicios en la nube.
Una solución SASE abarca servicios VPN y mejora las capacidades para operar en una nube.
infraestructura basada en enrutar de forma segura el tráfico a la nube pública, SaaS, Internet o nube privada
aplicaciones. En un ejemplo de VPN IPsec, puede crear una conexión de sitio a sitio a una red basada en la nube.
infraestructura desde cualquier dispositivo compatible con IPsec ubicado en una sucursal o ubicación minorista a través de un
enrutador de sucursal, punto de acceso inalámbrico, dispositivo de borde SD-WAN o firewall. Los usuarios móviles emplean un
conexión IPsec o SSL VPN siempre activa entre su punto final o dispositivo móvil y un SASE
La solución garantiza un cifrado de tráfico constante y una prevención de amenazas.
Independientemente del tipo de servicio VPN que utilice en su organización, una solución SASE
proporciona una infraestructura de nube unificada a la que conectarse, en lugar de retroceder a una puerta de enlace VPN en
sedes corporativas. Esta solución simplifica drásticamente la gestión y el control de políticas.
necesario para hacer cumplir las reglas de acceso con privilegios mínimos.
© 2021 Palo Alto Networks, Inc.
222
Página 223
Prisma Access (anteriormente servicio en la nube GlobalProtect) proporciona seguridad en la nube
infraestructura que permite a su organización conectar a los usuarios a una puerta de enlace en la nube cercana, habilitar
acceso seguro a todas las aplicaciones y mantener una visibilidad e inspección completas del tráfico en todos
puertos y protocolos.
Para dispositivos móviles administrados:
● Los usuarios con dispositivos administrados tienen la aplicación GlobalProtect instalada en su computadora portátil, dispositivo móvil
teléfono o tableta. La aplicación GlobalProtect se conecta a Prisma Access automáticamente
siempre que el acceso a Internet esté disponible, sin requerir la interacción del usuario.
● Los usuarios pueden acceder a todas sus aplicaciones, ya sea en la nube o en el centro de datos. El
La capa de conectividad conecta aplicaciones en diferentes ubicaciones, lo que permite
acceso (basado en las políticas de ID de aplicación y de ID de usuario) a la nube pública, SaaS y el centro de datos
aplicaciones.
● Prisma Access brinda protección a través de la capa de servicio de seguridad, como protecciones
contra malware conocido y desconocido, exploits, tráfico C2 y ataques basados ​en credenciales.
Para dispositivos BYOD / no administrados:
● Su organización puede implementar Prisma Access junto con un dispositivo móvil.
integración de administración (MDM) para admitir políticas de traer su propio dispositivo (BYOD).
La integración habilita capacidades como VPN por aplicación.
● Usuarios como contratistas y empleados con dispositivos BYOD con dispositivos no administrados
puede acceder a aplicaciones sin una aplicación instalada usando Prisma Access con Clientless
VPN.
● Clientless VPN también permite el acceso seguro a aplicaciones SaaS desde dispositivos no administrados
con protecciones en línea mediante el uso de proxy de lenguaje de marcado de aserción de seguridad (SAML)
integración. Esta funcionalidad funciona junto con Prisma SaaS.
https://translate.googleusercontent.com/translate_f
180/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Acceso a la red Zero Trust
El acceso a la red Zero Trust (ZTNA) es una parte importante de la filosofía Zero Trust de "nunca
confiar, verificar siempre ”, desarrollado por Forrester para identificar la necesidad de proteger los datos. ZTNA requiere
usuarios que desean conectarse a la nube para autenticarse a través de una puerta de enlace antes de obtener acceso a
las aplicaciones que necesitan. Este requisito proporciona a un administrador de TI la capacidad de identificar a los usuarios.
y crear políticas para restringir el acceso, minimizar la pérdida de datos y mitigar rápidamente cualquier problema o
amenazas que puedan surgir.
Muchos productos ZTNA se basan en arquitecturas de perímetro definido por software (SDP), que no
no proporcionar inspección de contenido, lo que crea una discrepancia en los tipos de protección disponibles
para cada aplicación. En términos de protección consistente, la organización debe construir más
controla sobre el modelo ZTNA y establece la inspección para todo el tráfico en todas las aplicaciones.
SASE se basa en los principios clave de ZTNA y los aplica en todos los demás servicios dentro de un
Solución SASE. SASE identifica usuarios, dispositivos y aplicaciones, independientemente de dónde
conectarse, simplificando así la creación y gestión de políticas. SASE elimina la complejidad
de conectarse a una puerta de enlace incorporando los servicios de red en una única nube unificada
infraestructura.
© 2021 Palo Alto Networks, Inc.
223
Página 224
Una solución SASE debe incorporar conceptos ZTNA para proteger aplicaciones y aplicar otros
servicios de seguridad para la aplicación coherente de las políticas de prevención de amenazas y DLP. Acceso
Los controles son útiles para establecer quién es una persona, pero también son necesarios otros controles de seguridad.
para asegurarse de que los comportamientos y acciones de la persona no sean perjudiciales para la organización. Y el
se deben aplicar los mismos controles en el acceso a todas las aplicaciones.
Calidad de servicio
Las organizaciones que realizan la transición de MPLS a SD-WAN utilizando servicios de banda ancha están descubriendo que
la calidad del servicio varía. La calidad de servicio (QoS) establece la asignación de ancho de banda asignada a
aplicaciones y servicios particulares. Las empresas confían en QoS para garantizar que sus aplicaciones críticas y
los servicios funcionan adecuadamente (por ejemplo, equipos médicos o servicios de procesamiento de tarjetas de crédito).
Si estos sistemas se ralentizaran debido a la falta de ancho de banda, las operaciones comerciales y las ventas
se vería gravemente afectado. QoS prioriza las aplicaciones críticas para el negocio, basadas en un sistema de clasificación,
para que pueda elegir qué aplicaciones y servicios tienen prioridad sobre otros.
QoS es un paso importante cuando comienza a migrar desde MPLS. Una solución SASE incorpora
Servicios de QoS en la nube, lo que le permite marcar fácilmente aplicaciones sensibles (como VoIP)
como mayor prioridad que las aplicaciones generales de navegación y entretenimiento por Internet.
QoS es inmensamente importante para empresas de cualquier tamaño. Gestión del tráfico QoS y
la asignación no tiene por qué ser difícil. SASE le permite configurar dinámicamente el tráfico en función de
las políticas que priorizan los requisitos críticos de las aplicaciones. Asegúrese de que su solución SASE
contiene capacidades de QoS.
Capa de seguridad como servicio
La capa de seguridad como servicio en Prisma Access ofrece importantes capacidades SASE,
incluso:
● seguridad DNS
● Cortafuegos como servicio (FWaaS)
● Prevención de amenazas
● Pasarela web segura (SWG)
● Prevención de pérdida de datos (DLP)
● Agente de seguridad de acceso a la nube (CASB)
https://translate.googleusercontent.com/translate_f
181/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
224
Página 225
Seguridad DNS
Todas las organizaciones utilizan DNS para traducir un nombre de dominio a una dirección IP. DNS es un abierto
servicio y, de forma predeterminada, no puede detectar amenazas basadas en DNS. Como resultado, la actividad maliciosa dentro
El DNS se puede utilizar para propagar un ataque.
La seguridad de DNS protege a sus usuarios al predecir y bloquear dominios maliciosos mientras
neutralizar las amenazas. Una solución SASE adopta características de seguridad de DNS al proporcionar
seguridad en la red y los usuarios, independientemente de su ubicación.
Su solución SASE debe contener protecciones DNS, entregadas dentro del entorno de la nube como
parte del acceso a la red. La seguridad de DNS debe integrarse en la solución de sus sucursales.
y los usuarios móviles utilizan para conectarse a Internet. La seguridad DNS proporcionada en su SASE
La solución debe aprovechar una combinación de análisis predictivo, aprendizaje automático y automatización.
para combatir las amenazas en el tráfico de DNS.
Prisma Access ofrece el servicio de seguridad DNS de Palo Alto Networks, que proporciona una
combinación de análisis predictivo, aprendizaje automático y automatización para combatir amenazas en DNS
tráfico. Las organizaciones pueden bloquear dominios maliciosos conocidos, predecir nuevos dominios maliciosos y
detener la tunelización de DNS.
Cortafuegos como servicio
El cortafuegos como servicio (FWaaS) es un método de implementación para entregar un cortafuegos como un
Servicio. FWaaS tiene las mismas características que un firewall de próxima generación, pero está implementado en el
nube. Las organizaciones que trasladan el firewall a la nube pueden beneficiarse de los ahorros de costos al
eliminando la necesidad de instalar o mantener hardware de seguridad en sucursales y tiendas minoristas.
Una solución SASE incorpora FWaaS en su plataforma unificada. Organizaciones que engloban
El modelo de servicio FWaaS dentro de un marco SASE puede administrar fácilmente sus implementaciones desde un
plataforma única.
Una solución SASE debería permitir las capacidades de FWaaS para proporcionar la protección de un próximo
firewall de generación mediante la implementación de la política de seguridad de red en la nube. Debes asegurarte de que
su solución SASE no proporciona solo bloqueo básico de puertos o protecciones mínimas de firewall.
Necesita las mismas características que incorpora un firewall de próxima generación y las características que
ofertas de seguridad basadas en, como servicios de prevención de amenazas y seguridad DNS.
Prisma Access proporciona FWaaS, que protege las sucursales de las amenazas al tiempo que proporciona la
servicios de seguridad que se esperan de un firewall de próxima generación. El espectro completo de FWaaS incluye
prevención de amenazas, filtrado de URL y espacio aislado.
© 2021 Palo Alto Networks, Inc.
225
Página 226
https://translate.googleusercontent.com/translate_f
182/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Prevención de amenazas
En el mundo actual de brechas a pequeña y gran escala, donde los ataques de ransomware ocurren a diario,
La prevención de amenazas es importante para proteger los datos y los empleados de su organización. Una variedad
de herramientas de prevención de amenazas disponibles, desde anti-malware y prevención de intrusiones hasta SSL
descifrado y bloqueo de archivos, proporcionando así a las organizaciones formas de bloquear amenazas. Sin embargo, estos
Los productos puntuales requieren soluciones independientes, lo que dificulta la gestión y la integración.
Dentro de una solución SASE, todos estos productos y servicios puntuales ahora están integrados en un solo
plataforma en la nube. Esta integración proporciona una gestión y supervisión simplificadas de todas las amenazas y
vulnerabilidades en sus entornos de red y nube.
Debe detener las vulnerabilidades y el malware utilizando la inteligencia de amenazas más reciente para proteger sus datos.
Su solución SASE debe incorporar herramientas de prevención de amenazas en su marco para que
puede reaccionar rápida y rápidamente para remediar amenazas. Asegúrese de verificar la calidad de la amenaza
inteligencia proporcionada por el proveedor. El proveedor debe reunirse y compartir
datos de diversas fuentes, incluidos clientes, otros proveedores y otros líderes de la industria relacionados,
para proporcionar protección continua contra amenazas desconocidas.
El uso de Prisma Access para la prevención de amenazas combina las tecnologías probadas en el Palo
Plataforma de Alto Networks con fuentes globales de inteligencia de amenazas y automatización para detener
Ataques previamente conocidos o desconocidos.
Pasarela web segura
Las organizaciones confían en una puerta de enlace web segura (SWG) para evitar que los empleados y los dispositivos
acceder a sitios web maliciosos. SWG se puede utilizar para bloquear contenido inapropiado (como
pornografía y juegos de azar) o sitios web a los que las empresas no quieren que los usuarios accedan mientras están en
funcionan, como servicios de transmisión como Netflix. SWG también se puede utilizar para hacer cumplir un
use la política (AUP) antes de que se otorgue el acceso a Internet.
SWG es uno de los muchos servicios de seguridad que debe proporcionar una solución SASE. Como organizaciones
crecer y agregar un número cada vez mayor de usuarios remotos, la cobertura y la protección se vuelven más
difícil. Una solución SASE mueve SWG a la nube, proporcionando así protección en la nube.
a través de una plataforma unificada para una visibilidad y un control completos de toda la red.
Una solución SASE incluye los mismos servicios de seguridad en un SWG, lo que permite a las organizaciones
controlar el acceso a la web y hacer cumplir las políticas de seguridad que protegen a los usuarios de sitios web hostiles.
Otros servicios de seguridad como FWaaS, seguridad DNS, prevención de amenazas, DLP y CASB también
debe incluirse.
La funcionalidad Prisma Access for SWG está diseñada para mantener la visibilidad de todo tipo de tráfico.
al mismo tiempo que detiene las evasiones que pueden enmascarar amenazas. Las capacidades de filtrado web de Palo Alto Networks
también impulsa su tecnología de prevención de robo de credenciales, que puede evitar que las credenciales corporativas
siendo enviado a sitios previamente desconocidos.
© 2021 Palo Alto Networks, Inc.
226
Página 227
Prevención de pérdida de datos
Las herramientas de prevención de pérdida de datos (DLP) protegen los datos confidenciales y garantizan que no se pierdan, roben o
mal utilizado. DLP es una solución compuesta que monitorea los datos dentro de los entornos donde se encuentra
implementados (como redes, puntos finales y nubes) y a través de sus puntos de salida. También alerta
partes interesadas importantes cuando se violan las políticas. Debido a requisitos de cumplimiento como el
Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), Datos de la Industria de Tarjetas de Pago
Estándar de seguridad (PCI DSS) y el Reglamento general de protección de datos (GDPR), DLP es un
solución necesaria para la seguridad y el cumplimiento de los datos. Los DLP heredados se basan en tecnología de núcleo antiguo
inicialmente diseñado para perímetros locales y posteriormente ampliado y adaptado a la nube
https://translate.googleusercontent.com/translate_f
183/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
aplicaciones. Los DLP están cargados con funciones, políticas inconexas, configuraciones y
soluciones alternativas y se han vuelto muy complejas, difíciles de implementar a escala y demasiado caras.
La transformación digital y los nuevos modelos de uso de datos exigen un nuevo enfoque de la protección de datos.
A través del enfoque SASE, DLP se convierte en una solución en la nube centralizada alrededor de la
datos en sí, en todas partes. Las mismas políticas se aplican sistemáticamente a los datos confidenciales, ya sea en
en reposo, en movimiento y en uso, e independientemente de su ubicación. En la arquitectura SASE, DLP no es un
solución independiente, pero está integrado en los puntos de control existentes de la organización, por lo tanto
eliminando la necesidad de implementar y mantener múltiples herramientas. Con SASE, las organizaciones finalmente pueden
habilitar una solución integral de protección de datos que se basa en una arquitectura escalable y simple
y permite un aprendizaje automático eficaz al aprovechar el acceso al tráfico global.
DLP es una herramienta necesaria para proteger los datos confidenciales y garantizar el cumplimiento en todo el
Organizaciones. En consecuencia, la solución SASE debe incluir esta capacidad central. Con SASE,
DLP es un servicio integrado en la nube que se utiliza para identificar de manera precisa y consistente,
monitorear y proteger datos confidenciales en todas partes a través de redes, nubes y usuarios.
Prisma Access combina la integración con controles DLP controlados por API (a través de Prisma
SaaS) y en línea (a través de Prisma Access). Estas políticas de DLP permiten a las organizaciones categorizar
datos y establecer políticas que eviten la pérdida de datos.
Agente de seguridad de acceso a la nube
Muchas organizaciones dependen de los agentes de seguridad de acceso a la nube (CASB) para proporcionar visibilidad
Uso de aplicaciones SaaS, comprender dónde residen sus datos confidenciales, hacer cumplir las políticas de la empresa para
acceso de los usuarios y proteger sus datos de los piratas informáticos. Los CASB son políticas de seguridad basadas en la nube
puntos de aplicación que proporcionan una puerta de enlace para su proveedor de SaaS y sus empleados.
CASB debería ser otra característica de seguridad que sea parte de su solución SASE, creando una
plataforma para que las partes interesadas gestionen los controles de seguridad. Una solución SASE lo ayuda a comprender
qué aplicaciones SaaS se están utilizando y adónde van los datos, independientemente de dónde se encuentren los usuarios.
Su solución SASE debe incorporar controles SaaS en línea y basados ​en API para la gobernanza,
controles de acceso y protección de datos. La combinación de capacidades CASB en línea y basadas en API
se llama CASB multimodo y proporciona visibilidad, gestión, seguridad y cero
© 2021 Palo Alto Networks, Inc.
227
Página 228
protección diaria contra amenazas emergentes.
Prisma Access y Prisma SaaS implementan controles de seguridad que combinan API de seguridad en línea
controles de seguridad y contextuales, actuando como un CASB para determinar el acceso a información sensible.
Estos controles se implementan de manera integrada y se aplican en toda la nube.
políticas de aplicación.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué significa SASE?
A. Seguridad de acceso al servicio
B. Entorno sensible semi-accesible
C. Secretos accesibles en un entorno seguro
D. Servicio de acceso seguro Edge
2. ¿Qué dos tipos de servicios ofrece SASE? (Elige tres.)
A. almacenamiento
B. seguridad
C. trabajo en red
D. calcular
3. ¿Cuáles son las dos ventajas de SASE? (Escoge dos.)
A. un único punto físico de entrada a la organización
B. un único punto lógico de entrada a la organización
https://translate.googleusercontent.com/translate_f
184/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
C.
la organización
D. un
un único
único punto
punto físico
lógicode
desalida
salidafuera
de la de
organización
3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas
Para habilitar de forma segura el uso de SaaS en su organización, comience por definir claramente las aplicaciones SaaS
que deben usarse y qué comportamientos dentro de esas aplicaciones están permitidos. Este paso requiere
una definición clara de qué aplicaciones son:
● Sancionado (permitido y proporcionado por TI)
● Tolerado (permitido debido a una necesidad comercial legítima, con restricciones, pero no
proporcionado por TI)
● No autorizado
Las aplicaciones SaaS autorizadas brindan beneficios comerciales y son rápidas de implementar, requieren un mínimo
costo, y son infinitamente escalables. Las aplicaciones SaaS toleradas satisfacen una necesidad comercial legítima,
pero pueden ser necesarias ciertas restricciones de uso para reducir el riesgo. Aplicaciones SaaS no autorizadas
claramente no proporcionan beneficios comerciales o los riesgos de seguridad de la aplicación superan a los
beneficios de negocio. Por ejemplo, una aplicación SaaS no autorizada puede violar las
mandatos de cumplimiento, crean un riesgo inaceptable de pérdida de propiedad intelectual corporativa o
otros datos confidenciales o habilite la distribución de malware (consulte la Figura 3-14).
© 2021 Palo Alto Networks, Inc.
228
Página 229
Figura 3-14: Aplicaciones SaaS autorizadas y no autorizadas
Para controlar el uso autorizado de SaaS, una solución de seguridad empresarial debe proporcionar lo siguiente:
● Prevención de amenazas: las aplicaciones SaaS introducen nuevos riesgos de amenazas que deben ser
entendido y controlado. Muchas aplicaciones SaaS sincronizan archivos automáticamente con los usuarios,
y los usuarios a menudo comparten datos en aplicaciones SaaS con terceros que están fuera de un
control de la organización. Estos dos aspectos de los entornos SaaS crean una nueva inserción
punto para el malware que no solo puede ingresar desde recursos compartidos externos, sino que también puede
sincronice esos archivos infectados en toda la organización sin la intervención del usuario. Dirigirse
Amenazas de malware basadas en SaaS, una solución de seguridad debe poder prevenir
malware desconocido resida en aplicaciones SaaS autorizadas, independientemente de la
fuente.
● Control de visibilidad y exposición de datos: después de que se defina y se autorice el uso de SaaS
controlados con una política granular, los datos que residen en esas aplicaciones SaaS ya no están
visible para los firewalls perimetrales de la organización. Esta pérdida de visibilidad crea un punto ciego
para ello. Se necesitan controles de exposición de datos adicionales para abordar específicamente los
riesgos asociados con los entornos SaaS, con un enfoque en la protección de datos. Visibilidad de
Los datos almacenados y utilizados en aplicaciones SaaS son fundamentales para garantizar una comprensión profunda de
usuarios, los datos que han compartido y cómo los han compartido.
● Prevención de riesgos, no solo respuesta a riesgos: los usuarios de una organización suelen utilizar determinados
https://translate.googleusercontent.com/translate_f
185/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Aplicaciones
SaaS
antes de que
organización
aplicaciones.
Incluso después
de mucho
que se sanciona
una la
aplicación
SaaS,sancione
los datosoficialmente
a menudo seesas
comparten
con terceros que
no necesariamente tienen soluciones de seguridad de próxima generación para salvaguardar eficazmente SaaS
datos de amenazas de malware y riesgos de exposición de datos. Prevención de amenazas y exposición de datos
El control en un entorno basado en SaaS requiere visibilidad y control no solo desde el momento
que una aplicación SaaS está autorizada en el futuro. Necesita visibilidad y control de todos
sus datos, incluidos los datos que se estaban almacenando y compartiendo antes de la aplicación SaaS
fue sancionado.
© 2021 Palo Alto Networks, Inc.
229
Página 230
Los datos que residen en aplicaciones SaaS habilitadas para empresas no son visibles para los
perímetro de la red. Prisma SaaS se conecta directamente a aplicaciones SaaS autorizadas para proporcionar
clasificación de datos, visibilidad para compartir / permisos y detección de amenazas dentro de la aplicación. Esta
La capacidad produce una visibilidad incomparable, que permite a las organizaciones inspeccionar el contenido en busca de datos.
infracciones de exposición y control de acceso a datos compartidos a través de una política contextual.
Prisma SaaS se basa en la visibilidad de SaaS existente y las capacidades de control granular del producto.
cartera proporcionada a través de App-ID, con informes detallados basados ​en SaaS y control granular de
Uso de SaaS. La Figura 3-15 muestra un ejemplo de los controles granulares para aplicaciones SaaS compatibles
por App-ID.
Figura 3-15: Ejemplo de controles granulares compatibles con App-ID
Prisma SaaS es una solución de seguridad de extremo a extremo completamente basada en la nube que brinda visibilidad
y control dentro de las aplicaciones SaaS, sin necesidad de proxies, agentes, software,
hardware adicional o cambios en la red. Prisma SaaS no es un servicio en línea, por lo que no lo es
impactan la latencia, el ancho de banda o la experiencia del usuario final. Prisma SaaS se comunica directamente con el
Las propias aplicaciones SaaS y analizan los datos de cualquier fuente, independientemente del dispositivo o
ubicación desde la que se enviaron los datos.
Prevención de amenazas de SaaS
La integración de la nube de amenazas WildFire con Prisma SaaS proporciona prevención de ciberamenazas para bloquear
malware conocido y para identificar y bloquear malware desconocido. Esta integración extiende la
integración existente de WildFire para evitar que las amenazas se propaguen a través del SaaS autorizado
aplicaciones, lo que evita un nuevo punto de inserción de malware. Cuando hay un nuevo malware
descubierto por Prisma SaaS, la información de amenazas se comparte con el resto de la cartera de productos,
incluso si no se implementa en línea con las aplicaciones SaaS.
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
230
186/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 231
Visibilidad de la exposición de datos
Prisma SaaS proporciona una visibilidad completa de toda la actividad de usuarios, carpetas y archivos, lo que proporciona
análisis detallado que le ayuda a pasar de una posición de especulación a una de conocimiento
exactamente lo que está ocurriendo en el entorno SaaS en un momento dado. Porque puedes ver
análisis profundo del uso diario, puede determinar rápidamente si existe algún riesgo de datos o
infracciones de políticas relacionadas con el cumplimiento. Este análisis detallado de la actividad de datos y usuarios permite
Gobernanza de datos granulares y análisis forense.
Prisma SaaS se conecta directamente a las aplicaciones mismas, por lo que proporciona un funcionamiento silencioso continuo.
monitoreo de los riesgos dentro de las aplicaciones SaaS sancionadas, con visibilidad detallada que no es
posible con las soluciones de seguridad tradicionales.
Control de exposición de datos contextuales
Prisma SaaS le permite definir un control de políticas granular y sensible al contexto que le proporciona
la capacidad de impulsar la aplicación y poner en cuarentena a los usuarios y los datos tan pronto como se produzca una infracción. Esta
El control le permite satisfacer rápida y fácilmente los requisitos de cumplimiento de riesgos de datos, como PCI.
y PII manteniendo los beneficios de las aplicaciones basadas en la nube.
Prisma SaaS evita la exposición de datos en archivos no estructurados (archivos alojados) y estructurados (aplicación
entradas como Salesforce.com) datos. Ambos tipos de datos son fuentes comunes de datos incorrectos.
Comparte.
Clasificación de documentos avanzada
Prisma SaaS inspecciona documentos en busca de cadenas de datos confidenciales comunes (como números de tarjetas de crédito,
Claves SSH y números de seguro social) y los marca como riesgos si se comparten de forma incorrecta.
Exclusivo de Prisma SaaS es la capacidad de identificar documentos por tipo, a través de documentos avanzados
clasificación independientemente de los datos que se contengan en el propio documento. Prisma SaaS tiene
ha sido diseñado para identificar automáticamente documentos sensibles, como los relacionados con médicos,
cuestiones fiscales y legales.
Política retroactiva
Una solución de seguridad de red tradicional puede ver solo datos en línea y aplicar políticas de seguridad a
datos a los que se accede en línea, después de que se crea la política. Este enfoque no previene de manera efectiva
Exposición de datos de SaaS, sin embargo, porque los datos de SaaS pueden haberse compartido mucho antes de la política
fue creado. Es posible que no se pueda acceder a estos datos en línea durante muchos meses o años, por lo que potencialmente
dejando los datos confidenciales expuestos indefinidamente a infecciones de malware y acceso no autorizado.
Prisma SaaS aplica retroactivamente políticas de seguridad a todos los usuarios y datos desde el comienzo del
La creación de la cuenta SaaS, en lugar de la creación de la política, para identificar posibles vulnerabilidades
o violaciones de políticas. Prisma SaaS no espera a que alguien acceda a los datos en línea para postularse
políticas y resolver cualquier vulnerabilidad o violación; Los datos y los recursos compartidos de SaaS se
descubiertos, protegidos y resueltos, independientemente de cuándo fueron creados.
© 2021 Palo Alto Networks, Inc.
231
Página 232
Las políticas se basan en el contexto para permitir definiciones granulares de los riesgos de exposición de datos. Esta
La granularidad es necesaria para permitir el uso de SaaS por parte de los usuarios y, al mismo tiempo, evitar los datos accidentales.
exposición. Las políticas toman varios factores en contexto para crear un perfil de riesgo de exposición de datos general.
Es posible que uno o dos factores no proporcionen suficiente información sobre el riesgo potencial de la acción. El
El riesgo general de exposición se determina solo después de que se comprenda el contexto completo de la acción.
Los riesgos se calculan por tipo de usuario, tipo de documento, datos confidenciales contenidos, cómo se comparten los datos,
y si hay malware presente. Esta capacidad proporciona la capacidad de controlar la exposición a
https://translate.googleusercontent.com/translate_f
187/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
nivel granular basado en varios factores importantes. Por ejemplo, un equipo financiero puede
compartir datos financieros con otras personas de su equipo, pero no más allá de eso. Aunque el original
Se permite compartir, el equipo no puede compartir datos que estén infectados con malware. El equipo financiero
Sin embargo, se le puede permitir compartir datos no confidenciales en toda la empresa o, en algunos casos, con
proveedores externos. La clave para habilitar este nivel de granularidad es la capacidad de mirar el recurso compartido en
el contexto de todos los factores.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso. Prisma SaaS se utiliza para proteger el uso autorizado de SaaS, como parte de un
solución de seguridad integrada que incluye firewalls de próxima generación para prevenir
uso no autorizado de SaaS. Prisma SaaS se comunica directamente con las aplicaciones SaaS
por sí mismos y, por lo tanto, no necesita ser implementado en línea y no requiere ningún
agentes de software, proxies, hardware adicional o cambios en la configuración de la red.
2. Verdadero o falso . Prisma SaaS protege los datos en archivos alojados y entradas de aplicaciones.
3. ¿Quién es responsable del software de una aplicación SaaS autorizada?
A. proveedor
B. Departamento de TI
C. línea de negocio que lo utiliza
D. usuarios
4. ¿Quién es responsable de la configuración de seguridad de una aplicación SaaS autorizada?
A. el proveedor
B. Departamento de TI
C. línea de negocio que lo utiliza
D. usuarios
© 2021 Palo Alto Networks, Inc.
232
Página 233
Dominio del examen 4: elementos de las operaciones de seguridad
4.1 Los seis elementos esenciales de las operaciones de seguridad eficaces
Las operaciones de seguridad (SecOps) es una función necesaria para proteger el estilo de vida digital, para
empresas y clientes globales. SecOps requiere una mejora continua en las operaciones para
Manejar amenazas de rápida evolución. SecOps necesita dotar a los profesionales de operaciones de seguridad con
inteligencia de fidelidad, datos contextuales y flujos de trabajo de prevención automatizados para identificar rápidamente
y responder a estas amenazas. SecOps debe aprovechar la automatización para reducir la tensión sobre los analistas y
ejecutar la misión del Security Operation Center (SOC) para identificar, investigar y mitigar
amenazas. Todas estas características de mejora continua y automatización, aunque necesarias, pueden ser muy
abrumador para las organizaciones que están desarrollando una función SecOps o modernizando un SOC existente.
Para aumentar la confianza en la capacidad de detener rápidamente ataques sigilosos y adaptar las defensas a
Para prevenir ataques futuros, una función SecOps requiere el conjunto correcto de componentes básicos. Estos
Los bloques de construcción incluyen los aspectos de personas, procesos y tecnología necesarios para respaldar la
negocio, la visibilidad que se requiere para defender el negocio y las interfaces necesarias con
otras organizaciones fuera del SOC. Las operaciones pueden usar estos elementos para construir un SecOps
funcionar y mejorar aumentando la automatización y acelerando las investigaciones.
https://translate.googleusercontent.com/translate_f
188/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
SecOps consta de seis elementos:
1. Negocio (objetivos y resultados)
2. Personas (que realizarán el trabajo)
3. Interfaces (funciones externas para ayudar a lograr los objetivos)
4. Visibilidad (información necesaria para lograr los objetivos)
5. Tecnología (capacidades necesarias para brindar visibilidad y capacitar a las personas)
6. Procesos (pasos tácticos necesarios para ejecutar los objetivos)
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué función SecOp es proactiva?
A. Identificar
B. Investigar
C. Mitigar
D. Mejorar
2. ¿Qué función de SecOp requiere procesar grandes cantidades de información y, por lo general, es
automatizado?
A. Identificar
B. Investigar
C. Mitigar
D. Mejorar
© 2021 Palo Alto Networks, Inc.
233
Página 234
3. ¿Qué tres opciones comprenden parcialmente los seis elementos de SecOps? (Elige tres.)
Una personas
B. Redes
C. Almacenamiento de datos
D. Tecnología
E. Procesos
F. Clasificación
4. ¿Qué opciones tres comprenden parcialmente los seis elementos de SecOps? (Elige tres.)
A. Visibilidad
B. Recuperación de desastres
C. Negocios
D. Interfaces
E. Auditorías periódicas
F. Registro
4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM)
y SOAR
Una plataforma SIEM, comercial o de cosecha propia, se utiliza como repositorio central para ingerir registros de
todos los sistemas de propiedad corporativa. Los SIEM recopilan y procesan pistas de auditoría, registros de actividad, seguridad
alarmas, telemetría, metadatos y otros datos históricos u observacionales de una variedad de diferentes
aplicaciones, sistemas y redes en una empresa. La mayoría de SIEM también proporcionan correlación
capacidades.
Antes de que un SIEM pueda funcionar correctamente, se requieren conectores e interfaces para garantizar la traducción
fluyen desde el sistema de interés al lago de datos SIEM. La organización SecOps debe definir
cómo se establecerá la propiedad de un evento y el punto central al que irá un analista
para recibir alertas. A veces es el SIEM y en otros casos es una orquestación de seguridad,
plataforma de automatización y respuesta (SOAR) o sistema de tickets.
El enfoque SIEM seleccionado debe abordar cualquier requisito de gobernanza, riesgo y cumplimiento.
para la separación de datos, privacidad y tiempos de retención, lo que impulsará los requisitos de almacenamiento
espacio y controles. La limitación de la redundancia de datos entre el SIEM y los sistemas de alimentación puede
https://translate.googleusercontent.com/translate_f
189/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Ayude a controlar los costos y el almacenamiento fuera de línea para satisfacer las necesidades de cumplimiento a largo plazo.
Orquestación, automatización y respuesta de seguridad
Según Gartner:
“SOAR se refiere a tecnologías que permiten a las organizaciones recolectar insumos monitoreados por
equipo de operaciones de seguridad. Por ejemplo, alertas del sistema SIEM y otros elementos de seguridad.
tecnologías, donde el análisis de incidentes y la clasificación se pueden realizar aprovechando un
combinación de potencia humana y mecánica: ayuda a definir, priorizar e impulsar
actividades de respuesta a incidentes. Las herramientas SOAR permiten a una organización definir el análisis de incidentes y
procedimientos de respuesta en un formato de flujo de trabajo digital.
© 2021 Palo Alto Networks, Inc.
234
Página 235
Los sistemas SOAR permiten una respuesta acelerada a incidentes mediante la ejecución de
libros de jugadas automatizados que funcionan con las aportaciones de la tecnología de seguridad y otros flujos de datos.
Las herramientas SOAR ingieren alertas agregadas de fuentes de detección (como SIEM, seguridad de red).
herramientas y buzones de correo) antes de ejecutar guías automatizadas basadas en procesos para enriquecer y
responder a estas alertas. Los libros de jugadas se coordinan entre tecnologías, equipos de seguridad y
usuarios externos para una acción y visibilidad de datos centralizada. Ayudan a acelerar la respuesta a incidentes
tiempos y aumentar la productividad de los analistas. Estandarizan los procesos y así proporcionan
consistencia, que mejora la confianza operativa en las capacidades de SOC (ver Figura 4-2).
Figura 4-2: Vista de alto nivel de cómo se ubican las herramientas SOAR en un SOC
https://translate.googleusercontent.com/translate_f
190/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
235
Página 236
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué significa SOAR?
A. automatización de operaciones de seguridad para la reacción
B. operaciones e investigación seguras
C. operaciones, análisis e investigación de seguridad
D. orquestación, automatización y respuesta de seguridad
2. ¿Cuál es la relación entre SIEM y SOAR?
A. Los productos SIEM implementan el proceso comercial SOAR.
B. SIEM y SOAR son nombres diferentes para la misma categoría de producto.
C.Los sistemas SIEM recopilan información para identificar problemas a los que ayudan los productos SOAR
mitigar.
D. Los sistemas SOAR recopilan información para identificar problemas a los que ayudan los productos SIEM
mitigar.
3. ¿Cuál es la ventaja de las respuestas automáticas sobre las respuestas manuales?
Una velocidad
B. precisión
C. flexibilidad
D. facilidad de uso
4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad.
Las herramientas de análisis incluyen técnicas, herramientas y algoritmos avanzados que brindan la capacidad de
detectar evidencia de compromiso de seguridad dentro de grandes volúmenes de datos. Los procesos deben ser
definido de cómo un analista determinará si una alerta es maliciosa y las herramientas elegidas
debe ayudar o automatizar este proceso. Las herramientas también deben proporcionar acceso para recopilar contexto,
preferiblemente automatizado sobre el evento dado. Propiedad, presupuesto y modelo de apoyo para el
es necesario definir las herramientas.
Las herramientas de análisis a menudo se basan en el aprendizaje automático, el aprendizaje profundo y la inteligencia artificial que
proporcionar funciones independientes, integradas o complementarias para detectar pruebas de seguridad
compromiso. Los análisis de seguridad se pueden realizar en datos que se almacenan en reposo o se recopilan
en movimiento, incluso a la velocidad de la línea en una red masiva. Esta capacidad puede obtenerse mediante SecOps
equipos en una variedad de formas diferentes con la mayoría de los productos y servicios de seguridad, incluido algún tipo
de la función de análisis de seguridad.
© 2021 Palo Alto Networks, Inc.
236
Página 237
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué entorno le permite instalar un dispositivo que ve todo el tráfico?
A. LAN cuando la gente trabaja desde casa
https://translate.googleusercontent.com/translate_f
191/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. centro de datos no virtualizado
C. centro de datos virtualizado
D. Red de VPC
2. Una herramienta de análisis generó una alerta, pero el analista de seguridad que la investigó la descubrió.
no fue un problema. ¿Qué tipo de hallazgo es este?
A. falso positivo
B. verdadero positivo
C. falso negativo
D. verdadero negativo
3. El aprendizaje automático de una herramienta de análisis identificó, correctamente, que la red está infectada por un
gusano. ¿Qué tipo de hallazgo es este?
A. falso positivo
B. verdadero positivo
C. falso negativo
D. verdadero negativo
4.4 Describir las características de la tecnología de protección de terminales Cortex XDR
Las estrategias adversarias han evolucionado desde una simple distribución de malware hasta un amplio conjunto de
ataques dirigidos y sofisticados que pueden eludir la protección tradicional de endpoints. Esta evolución
ha obligado a las organizaciones a implementar múltiples productos de diferentes proveedores para protegerse contra,
detectar y responder a estas amenazas. Cortex XDR reúne una potente protección de endpoints
con detección y respuesta de punto final (EDR) en un solo agente. Puedes reemplazar todos tus
agentes antivirus tradicionales con un agente ligero que protege sus puntos finales de la mayoría
adversarios avanzados al comprender y bloquear todos los elementos de los ataques.
Debido a las diferencias fundamentales entre malware y exploits, una prevención eficaz debe
proteger contra ambos. El agente Cortex XDR combina múltiples métodos de prevención en condiciones críticas.
fases dentro del ciclo de vida del ataque para detener la ejecución de programas maliciosos y detener la
explotación de aplicaciones legítimas, independientemente del sistema operativo, el punto final en línea o
estado fuera de línea y si el punto final está conectado a la red de una organización o en roaming
(vea la Figura 4-4).
© 2021 Palo Alto Networks, Inc.
237
Página 238
Figura 4-4: Archivos maliciosos frente a exploits
Detenga el malware y el ransomware
El agente Cortex XDR evita la ejecución de archivos maliciosos con un enfoque personalizado para
https://translate.googleusercontent.com/translate_f
192/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
combatir los ataques tanto tradicionales como modernos. Los administradores también pueden utilizar el escaneo periódico para
identificar amenazas inactivas, cumplir con los requisitos reglamentarios y acelerar la respuesta a incidentes
con contexto de punto final. El agente Cortex XDR también realiza exploraciones programadas o bajo demanda para
malware inactivo en archivos de Office maliciosos con macros, archivos ejecutables y DLL, para corregir
ellos sin que se abran los archivos maliciosos. Malware conocido y desconocido, incluido
ransomware, está sujeto a múltiples tecnologías preventivas (consulte la Figura 4-5).
Figura 4-5: Cortex XDR aprovecha múltiples tecnologías y técnicas para proteger los puntos finales
de malware conocido y desconocido.
© 2021 Palo Alto Networks, Inc.
238
Página 239
Inteligencia de amenazas WildFire
Además de las fuentes de terceros, Cortex XDR utiliza la inteligencia obtenida de decenas de
miles de suscriptores al servicio de prevención de malware Palo Alto Networks WildFire para
agregue continuamente datos de amenazas y mantenga la inmunidad colectiva de todos los usuarios en todo
terminales, redes y aplicaciones en la nube:
1. Antes de que se ejecute un archivo, el agente de Cortex XDR consulta WildFire con el hash de cualquier Windows,
macOS o archivo ejecutable de Linux, y cualquier biblioteca de vínculos dinámicos (DLL) o macro de Office, para
evaluar su posición dentro de la comunidad global de amenazas. WildFire devuelve un casi
Veredicto instantáneo sobre si un archivo es malicioso o benigno.
2. Si se desconoce un archivo, el agente de Cortex XDR procede con una prevención adicional
técnicas para determinar si se trata de una amenaza que debe bloquearse.
3. Si un archivo se considera malicioso, el agente de Cortex XDR finaliza automáticamente el proceso.
y (opcionalmente) pone en cuarentena el archivo.
Análisis local y aprendizaje automático
Si un archivo permanece desconocido después de la búsqueda inicial de hash, el agente Cortex XDR usa análisis local
a través del aprendizaje automático en el punto final entrenado por la rica inteligencia de amenazas de fuentes globales,
incluido WildFire, para determinar si el archivo se puede ejecutar. Examinando miles de archivos
características en tiempo real, el análisis local puede determinar si un archivo es probablemente malicioso o
benigno sin depender de firmas, escaneo o análisis de comportamiento. El modelo está construido sobre un
marco ágil único, lo que permite actualizaciones continuas para garantizar que las últimas
la prevención siempre está disponible.
Protección contra amenazas conductuales
Ataques sofisticados que utilizan múltiples aplicaciones y procesos legítimos para
Las operaciones se han vuelto más comunes, son difíciles de detectar y requieren una visibilidad más profunda para
correlacionar el comportamiento malicioso. Antes de que la protección basada en el comportamiento pueda ser eficaz,
identificación de actividad maliciosa que ocurre dentro de procesos legítimos, debe comprender
todo lo que sucede en el punto final. El agente Cortex XDR promulga protección basada en el comportamiento
https://translate.googleusercontent.com/translate_f
193/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
de diferentes formas.
Los ataques de endpoints a menudo comprenden múltiples eventos que ocurren en el sistema. Cada evento por sí mismo
parece benigno ya que los atacantes utilizan aplicaciones legítimas y funciones del sistema operativo para lograr
Su meta. Sin embargo, una colección de eventos puede representar un flujo de eventos maliciosos. Con
Behavioral Threat Protection, el agente Cortex XDR puede detectar y actuar sobre cadenas maliciosas de
eventos que tienen como objetivo múltiples operaciones en un punto final, como red, proceso, archivo y registro
actividad. Cuando el agente de Cortex XDR detecta una coincidencia, ejecuta una acción basada en políticas, como
"Bloquear" o "alertar". También informa el comportamiento de toda la cadena de eventos a la consola y
identifica al actor que provocó la cadena de actividades. El agente Cortex XDR también puede poner en cuarentena
archivos que estaban involucrados en flujos maliciosos. La protección contra amenazas conductuales es ideal para proteger
contra ataques basados ​en scripts y sin archivos.
© 2021 Palo Alto Networks, Inc.
239
Página 240
El módulo de protección de proceso infantil granular evita los ataques basados ​en scripts que se utilizan para entregar
malware al bloquear procesos específicos conocidos para que no inicien procesos secundarios que comúnmente
se utilizan para eludir los enfoques de seguridad tradicionales. El agente de Cortex XDR evita que los archivos basados ​en scripts
y ataques sin archivos de forma predeterminada con controles detallados y listos para usar sobre el lanzamiento de
aplicaciones legítimas, como motores de secuencias de comandos y shells de comandos, y continúa expandiendo estas
controles a través de actualizaciones periódicas de contenido. Los administradores tienen flexibilidad y control adicionales
con la capacidad de permitir o bloquear procesos secundarios, junto con comparaciones de línea de comando, para
Aumente la detección sin afectar negativamente el rendimiento del proceso o detener los procesos.
Términos clave
● En los sistemas operativos multitarea, un proceso secundario es un subproceso creado por un proceso principal.
que se está ejecutando en el sistema.
El módulo de protección contra ransomware basado en el comportamiento protege contra el comportamiento basado en cifrado
asociado con ransomware mediante el análisis y la detención de la actividad de ransomware antes de cualquier pérdida de datos
ocurre. Para combatir estos ataques, Cortex XDR emplea archivos señuelo para atraer el ransomware.
Cuando el ransomware intenta escribir, cambiar el nombre, mover, eliminar o cifrar los archivos señuelo, el
El agente Cortex XDR analiza el comportamiento y evita que el ransomware se cifre y
manteniendo archivos como rehenes. Cuando el agente Cortex XDR está configurado para operar en modo de prevención,
bloquea el proceso que intenta manipular los archivos señuelo. Cuando configura este módulo
en el modo de notificación, el agente registra un evento de seguridad.
Inspección y análisis de WildFire
Además del análisis local, Cortex XDR puede enviar archivos desconocidos a WildFire para su descubrimiento y
análisis más profundo para detectar rápidamente malware potencialmente desconocido. WildFire reúne a los
Beneficios de las técnicas de detección independientes para el descubrimiento de alta fidelidad y resistente a la evasión.
que va más allá de los enfoques heredados. Entre estas técnicas:
● El análisis estático es una forma poderosa de análisis, basada en la nube, que detecta
amenazas analizando las características de las muestras antes de su ejecución.
● El análisis dinámico (sandboxing) detona presentaciones previamente desconocidas en un
entorno virtual construido y resistente a la evasión para determinar los efectos y el comportamiento del mundo real.
● El análisis bare-metal utiliza un entorno de análisis basado en hardware diseñado específicamente
para amenazas avanzadas que exhiben características altamente evasivas y pueden detectar virtual
análisis.
Si WildFire determina que un archivo es una amenaza, automáticamente crea y comparte una nueva prevención
control con el agente Cortex XDR y otros productos de Palo Alto Networks en minutos para garantizar
que la amenaza se clasifique inmediatamente como maliciosa y se bloquee si se vuelve a encontrar.
https://translate.googleusercontent.com/translate_f
194/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
240
Página 241
Bloquear exploits y amenazas sin archivos
El agente Cortex XDR no se basa en firmas ni en la detección basada en el comportamiento para identificar
ataques basados ​en exploits. Toma el enfoque único de apuntar al conjunto limitado de técnicas, o
herramientas, cualquier ataque basado en exploits debe utilizar para manipular una vulnerabilidad de software. Previniendo
el uso de estas técnicas, en lugar de identificar cada ataque individual, el agente Cortex XDR
utiliza varios métodos para evitar exploits de día cero y proteger los sistemas sin parches, supervisa la TI
(o aplicaciones de las que TI no tiene conocimiento) y sistemas heredados no compatibles.
Protección previa a la explotación
El agente Cortex XDR evita las técnicas de creación de perfiles de vulnerabilidad que utilizan los kits de explotación antes
lanzar ataques. Al bloquear estas técnicas, el agente evita que los atacantes apunten
endpoints y aplicaciones vulnerables, deteniendo eficazmente los ataques antes de que comiencen.
Prevención de exploits basada en técnicas
El agente Cortex XDR previene vulnerabilidades conocidas, de día cero y sin parches al bloquear el
técnicas de explotación que utilizan los atacantes para manipular aplicaciones (consulte la Figura 4-7). Aunque hay
son miles de exploits, por lo general se basan en un pequeño conjunto de técnicas de explotación que cambian
con poca frecuencia. Al bloquear estas técnicas, Cortex XDR evita los intentos de explotación antes
los puntos finales pueden verse comprometidos.
Figura 4-7: Cortex XDR se centra en las técnicas de explotación en lugar de en las propias vulnerabilidades.
© 2021 Palo Alto Networks, Inc.
241
Página 242
Prevención de exploits del kernel
El agente Cortex XDR evita exploits que utilizan vulnerabilidades en el kernel del sistema operativo para
https://translate.googleusercontent.com/translate_f
195/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
crear procesos con privilegios escalados a nivel de sistema. También protege contra nuevos exploits
técnicas utilizadas para ejecutar cargas útiles maliciosas, como las que se ven en WannaCry 2017 y
Ataques de NotPetya. El agente Cortex XDR bloquea los procesos para que no accedan a los elementos maliciosos inyectados.
código del kernel y, por lo tanto, puede detener un ataque al principio del ciclo de vida del ataque sin afectar
Procesos legítimos. Esta capacidad permite al agente bloquear ataques avanzados que tienen como objetivo o
provienen del propio sistema operativo.
Al bloquear las técnicas comunes a los ataques basados ​en exploits, el agente Cortex XDR permite
clientes a:
● Proteja las aplicaciones que no se pueden parchear y remeda las aplicaciones de TI. La corteza
El agente XDR permite a las organizaciones ejecutar cualquier aplicación, incluidas las desarrolladas en
casa, ya no recibe actualizaciones o soporte de seguridad, o se ejecuta en el entorno
sin el conocimiento de TI, sin abrir la red a la amenaza de exploits
ataques.
● Evitar exploits exitosos de día cero. Debido a que el agente Cortex XDR bloquea el limitado
conjunto de técnicas de explotación que suelen utilizar los exploits de día cero, protege
organizaciones contra ataques que utilizan exploits de día cero.
● Elimina la necesidad de parchear aplicaciones urgentemente. Organizaciones que utilizan Cortex
El agente XDR puede aplicar parches de seguridad cuando sea mejor para la empresa y después de
pruebas. Previene la explotación de las vulnerabilidades de las aplicaciones independientemente de cuándo
La organización aplica parches de seguridad emitidos por los proveedores de aplicaciones.
Protección contra robo de credenciales
Los atacantes roban credenciales para hacerse pasar por usuarios válidos, se mueven ininterrumpidamente a través de
redes de las organizaciones y encontrar y exfiltrar datos valiosos. El agente Cortex XDR previene
herramientas de robo de credenciales como Mimikatz para que no accedan a las contraseñas del sistema, lo que garantiza que
los adversarios y los iniciados malintencionados no pueden hacer un mal uso de las credenciales o escalar los privilegios. Para
protección adicional contra el robo de credenciales, Cortex XDR puede recopilar eventos de puntos finales, comportamiento del perfil,
y detectar ataques basados ​en credenciales para eliminar ataques difíciles de encontrar.
© 2021 Palo Alto Networks, Inc.
242
Página 243
Investigar y responder a los ataques
Para facilitar una investigación y una respuesta más rápidas, Cortex XDR ofrece a los administradores y
equipos de respuesta múltiples medios para promover sus investigaciones, recopilar la información necesaria y
Realice los cambios necesarios en el punto final en cuestión (consulte la Figura 4-8).
https://translate.googleusercontent.com/translate_f
196/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 4-8: Investigar y responder a ataques
Cuando se necesita una reparación en el punto final después de una alerta o investigación, los administradores
puede realizar las siguientes acciones:
● Aísle los puntos finales desactivando todos los accesos a la red en los puntos finales comprometidos, excepto
tráfico a la consola de administración de Cortex XDR, evitando así que estos puntos finales
comunicarse con otros endpoints y potencialmente infectarlos
● Finalizar procesos para evitar que cualquier malware en ejecución continúe actuando
actividad en el punto final
● Bloquear ejecuciones adicionales de un archivo determinado bloqueándolo en la política.
● Poner en cuarentena los archivos maliciosos y eliminarlos de sus directorios de trabajo si el
El agente de Cortex XDR aún no ha puesto en cuarentena los archivos
● Recupere archivos específicos de los puntos finales bajo investigación para un análisis más detallado.
● Acceda directamente a los puntos finales con Live Terminal , obteniendo la respuesta más flexible.
acciones en la industria para ejecutar Python, PowerShell o comandos o scripts del sistema; revisión
y gestionar procesos activos; y ver, eliminar, mover o descargar archivos
● Organice la respuesta con API abiertas que permitan que las herramientas de terceros apliquen la aplicación.
políticas y recopilar información del agente desde cualquier ubicación
© 2021 Palo Alto Networks, Inc.
243
Página 244
Extendiendo la prevención más allá de los entornos Windows
Aunque la seguridad nativa ha crecido entre los principales proveedores de sistemas operativos, dicha seguridad
sigue centrado en su propio sistema operativo, creando así una protección, políticas, aplicación y
visibilidad. Las organizaciones deben poder aplicar reglas de seguridad en un entorno mixto desde
una sola pantalla y protege contra una variedad de amenazas, desde las básicas hasta las avanzadas.
Las organizaciones pueden usar la consola Cortex XDR para controlar las políticas de seguridad predeterminadas y personalizadas
en endpoints de Windows, macOS, Linux y Android con la confianza de que varios métodos
de protección están manteniendo sus sistemas a salvo de ataques.
Cortex XDR para macOS
Cortex XDR protege los sistemas macOS contra malware y exploits con algo más que "comprobar
caja de seguridad. El agente Cortex XDR utiliza múltiples métodos como el análisis local, WildFire
inspección y análisis, mejoras de Gatekeeper, identificación de editor confiable y
el administrador anula las políticas para bloquear el malware. Para evitar exploits, el agente bloquea el kernel
técnicas de escalada y explotación de privilegios, incluido JIT y ROP y secuestro de dylib .
El agente Cortex XDR evita que los atacantes eludan la firma digital macOS
mecanismo de verificación, Gatekeeper. Este mecanismo permite o bloquea la ejecución de
aplicaciones basadas en sus firmas digitales, que se clasifican en tres niveles de firma: Apple
Sistema, Mac App Store y Desarrolladores. Extiende la funcionalidad de Gatekeeper para permitir
clientes para especificar si bloquear todos los procesos secundarios o permitir solo aquellos con firma
niveles que coinciden o superan los de sus procesos principales.
Cortex XDR para Android
El agente Cortex XDR previene malware conocido y archivos desconocidos del Kit de paquetes de Android (APK)
https://translate.googleusercontent.com/translate_f
197/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
se ejecute en puntos finales de Android. Hace cumplir la política de seguridad de su organización según se define en
la consola Cortex XDR. La política de seguridad determina si se debe bloquear el malware conocido y
archivos desconocidos, cargue archivos desconocidos para una inspección y análisis en profundidad, trate el malware como
grayware, o realizar un análisis local para determinar la probabilidad de que los archivos desconocidos sean malware.
También puede permitir que los firmantes de confianza habiliten aplicaciones firmadas desconocidas para que se ejecuten antes de Cortex
El agente XDR recibe un veredicto oficial para la aplicación.
Términos clave
● Un archivo de Android Package Kit (APK) es una aplicación creada para el funcionamiento de dispositivos móviles Android.
sistema.
© 2021 Palo Alto Networks, Inc.
244
Página 245
Cortex XDR para Linux
El agente Cortex XDR protege los servidores Linux al evitar que los atacantes ejecuten
Archivos ELF o la explotación de vulnerabilidades de Linux conocidas o desconocidas para poner en peligro los puntos finales. El
El agente también extiende la protección a los procesos que se ejecutan en contenedores de Linux. El agente Cortex XDR
hace cumplir la política de seguridad de su organización tal como se define en la consola Cortex XDR. Cuando un
ocurre un evento de seguridad en su servidor Linux, el agente Cortex XDR recopila información forense
que puede utilizar para analizar más el incidente. El agente Cortex XDR en Linux opera
de forma transparente en segundo plano como un proceso del sistema. Después de instalarlo en un servidor Linux,
protege automáticamente cualquier proceso nuevo o existente en contenedores, independientemente de cómo
El contenedor está implementado y administrado.
Control de dispositivos para un acceso USB seguro
Los dispositivos USB ofrecen una variedad de beneficios, pero también presentan riesgos. Cuando los usuarios, sin saberlo
conectar unidades flash cargadas de malware a sus computadoras o copiar datos confidenciales al disco de respaldo
unidades, exponen a sus organizaciones a ataques y pérdida de datos. Los atacantes avanzados incluso pueden
infectar dispositivos USB aparentemente inocuos como teclados y cámaras web con malware. El
El poderoso módulo de control de dispositivos incluido con Cortex XDR le permite monitorear y asegurar
Acceso USB sin necesidad de instalar otro agente de punto final en todos sus hosts. Puede asignar
políticas basadas en el grupo de Active Directory y la unidad organizativa, restringir el uso por tipo de dispositivo y
Asigne excepciones de política de solo lectura o lectura / escritura por proveedor, producto y número de serie. El
El módulo de control de dispositivos le permite administrar fácilmente el acceso USB y tener la seguridad de que ha
amenazas mitigadas basadas en USB.
https://translate.googleusercontent.com/translate_f
198/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
© 2021 Palo Alto Networks, Inc.
245
Página 246
Gestión sencilla de la seguridad de los terminales
Cortex XDR tiene una interfaz de usuario intuitiva basada en web (consulte la Figura 4-9) que ayuda a los administradores
coordinar y proteger rápidamente la organización con capacidades listas para usar, desde el primer día,
sin sacrificar la necesidad de control y personalización de un entorno complejo.
Figura 4-9: Panel de control Cortex XDR
Gestión basada en la nube
El servicio Cortex XDR multirregión y basado en la nube le evita invertir en la construcción de su
propia infraestructura de seguridad global y complementa el conjunto de productos de Palo Alto Networks para
integración y valor adicionales. El servicio es fácil de implementar y no requiere licencias de servidor.
bases de datos u otra infraestructura para comenzar, lo que permite a su organización proteger
cientos o millones de terminales sin incurrir en costos operativos adicionales.
Interfaz intuitiva
Cortex XDR fue diseñado para abordar las crecientes responsabilidades de los equipos de seguridad con una interfaz
que facilita la gestión de políticas y eventos y acelera la respuesta a incidentes. Corteza XDR
combina la gestión, detección, investigación y respuesta de políticas de endpoints en un solo sitio web
consola de administración para brindar una experiencia de plataforma perfecta. Puede evaluar rápidamente la seguridad
estado con paneles personalizables y resumir incidentes y tendencias de seguridad con gráficos
informes que se pueden programar o generar bajo demanda. También puede implementar y actualizar Cortex
Agentes XDR fácilmente desde una ubicación central.
© 2021 Palo Alto Networks, Inc.
246
Página 247
https://translate.googleusercontent.com/translate_f
199/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Los elementos de Cortex XDR incluyen:
● Múltiples métodos de agrupación , incluidos grupos estáticos o grupos dinámicos. Dinámica
La agrupación se puede basar en las características del punto final, como un nombre de host parcial o un alias,
o dominio parcial o nombre de grupo de trabajo, dirección IP, rango o subred, tipo de instalación como
como VDI, versión del agente, tipo de punto final o versión del sistema operativo.
● Perfiles de seguridad y políticas simplificadas basadas en reglas para proteger los endpoints fuera de la red.
box mientras permite la personalización granular para departamentos o individuos sensibles y
reutilización sencilla de la configuración en diferentes grupos de terminales
● Gestión de incidentes para ayudar a identificar eventos de alta prioridad y permitir que los equipos
comunicar sobre el estado, el progreso y otra información útil. WildFire integrado
El análisis muestra información como valores hash, usuarios objetivo, aplicaciones, procesos,
y URL involucradas en actividades de entrega o teléfono a domicilio para respuesta a incidentes.
Beneficios de una plataforma conectada
Al integrarse estrechamente con el conjunto de productos de Palo Alto Networks, el agente Cortex XDR
intercambia continuamente información y datos de amenazas con WildFire, y
registros de eventos con Cortex Data Lake, un servicio de recopilación, almacenamiento y análisis de datos basado en la nube para ayudar a su organización a coordinar y automatizar la aplicación en toda su seguridad
ecosistema, incluidos los puntos finales, las redes y las nubes.
Integración nativa para una investigación y respuesta rápidas
Los datos recopilados del agente Cortex XDR se almacenan en Cortex Data Lake, que ofrece
almacenamiento de registros eficiente que escala para manejar el gran volumen de datos necesarios para análisis,
detección y respuesta. Puede implementar rápidamente Cortex XDR y Cortex Data Lake, por lo tanto
evitando el largo proceso de instalación de nuevos equipos.
Cortex XDR elimina el almacenamiento de registros en las instalaciones y sensores adicionales y puntos de cumplimiento
y por lo tanto puede reducir el costo total de propiedad en un 44 por ciento en promedio. Cortex XDR también aumenta
la productividad de su equipo de operaciones de seguridad mediante la detección automática de ataques y
acelerar las investigaciones.
Cortex XDR es la primera aplicación de detección y respuesta del mundo que rompe los silos de forma nativa
integración de aplicaciones de red, nube y endpoint para detener ataques sofisticados. Cortex admite datos
de los agentes de cortafuegos de próxima generación, Prisma Access y Cortex XDR de Palo Alto Networks, en
además de alertas y registros de terceros (consulte la Figura 4-10). Acelera la clasificación de alertas y los incidentes
respuesta proporcionando una vista completa de un ataque, incluida la causa raíz, y uniendo
la secuencia de eventos para simplificar las investigaciones. Agrupación inteligente de alertas y deduplicación
Reducir el número de alertas individuales para revisar en un 98 por ciento, aliviando así la fatiga de las alertas.
© 2021 Palo Alto Networks, Inc.
247
Página 248
https://translate.googleusercontent.com/translate_f
200/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 4-10: Integración nativa con aplicaciones de red, endpoint y nube y amenaza WildFire
inteligencia
Cortex XDR reduce el tiempo y la experiencia necesarios en cada etapa de las operaciones de seguridad, desde
triaje a la caza de amenazas. Cortex XDR utiliza una estrecha integración con puntos de aplicación como el
Agente Cortex XDR para detectar y contener amenazas rápidamente, y aplica el conocimiento adquirido a
mejore continuamente su seguridad (consulte la Figura 4-11).
Figura 4-11: Cortex XDR acelera la clasificación de alertas y la respuesta a incidentes.
© 2021 Palo Alto Networks, Inc.
248
Página 249
Aplicación coordinada
El conjunto integrado de productos de Palo Alto Networks ofrece un valor de seguridad mayor que el aislado
componentes. Siempre que un firewall de próxima generación detecte una nueva pieza de malware o
endpoint ve una nueva amenaza, las protecciones están disponibles en minutos para todos los demás equipos de próxima generación
cortafuegos y puntos finales que ejecutan el agente Cortex XDR, que no requieren esfuerzo administrativo,
ya sea a la 1 a. m. o a las 3 p. m. Estrecha integración entre su red, puntos finales y
nubes permite una postura de seguridad que mejora continuamente y proporciona una aplicación coordinada a
protegerte de los ataques de día cero.
Registro centralizado en toda la plataforma
Para sacar a la superficie amenazas evasivas y prevenir ataques, su organización debe poder realizar
análisis avanzado y detección y respuesta de todos los datos disponibles. Aplicaciones de seguridad que
realizar tales análisis necesitan acceso a capacidad de almacenamiento escalable y potencia de procesamiento.
Cortex Data Lake es una oferta de almacenamiento basada en la nube para la red mejorada y rica en contexto y
registros de terminales que generan los productos de seguridad de Palo Alto Networks,
cortafuegos, Prisma Access y el agente Cortex XDR. La naturaleza basada en la nube de Cortex Data
Lake le permite recopilar volúmenes de datos en constante expansión sin necesidad de planificar
Computación y almacenamiento.
Cortex XDR utiliza Cortex Data Lake para almacenar todos los datos de eventos e incidentes que captura, asegurando así
un traspaso limpio a otros productos y servicios de Palo Alto Networks, como AutoFocus
inteligencia de amenazas contextual, para una mayor investigación y respuesta a incidentes con endpoint
contexto.
https://translate.googleusercontent.com/translate_f
201/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Arquitectura técnica de Cortex XDR
La arquitectura de Cortex XDR está optimizada para una máxima disponibilidad, flexibilidad y
escalabilidad para gestionar millones de terminales. Consta de los siguientes componentes:
● Agente de punto final Cortex XDR: el agente de punto final consta de varios controladores y
servicios, pero solo requiere un uso mínimo de memoria y CPU (512 MB de RAM y
200 MB de espacio en disco) para garantizar una experiencia de usuario sin interrupciones. Después de que se implemente en
sus puntos finales, sus administradores tienen control total sobre todos los agentes de Cortex XDR en
su entorno a través de la consola Cortex XDR.
● Consola de administración de Cortex XDR: Cortex XDR es una aplicación basada en la nube diseñada
para minimizar los desafíos operativos asociados con la protección de sus terminales. Desde
la consola Cortex XDR basada en la web, puede administrar la política de seguridad del punto final, revisar
eventos de seguridad a medida que ocurren, identificar información de amenazas y realizar análisis adicionales
de registros asociados.
● Servicio de prevención de malware WildFire: Cortex XDR puede enviar malware desconocido a
Fuego fatuo. Las propiedades, comportamientos y actividades que muestra una muestra durante el análisis.
y la ejecución en la zona de pruebas de WildFire ayudan a WildFire a determinar un veredicto para la muestra:
benigno, grayware o malicioso. WildFire luego genera firmas y hace estas
disponible a nivel mundial cada cinco minutos, lo que permite que otros productos de Palo Alto Networks
© 2021 Palo Alto Networks, Inc.
249
Página 250
reconocer el malware recién descubierto.
● Cortex Data Lake: Cortex Data Lake es un repositorio de registros escalable y basado en la nube que almacena
registros ricos en contexto generados por los productos de seguridad de Palo Alto Networks, incluidos los siguientes
firewalls de generación, Prisma Access y agentes Cortex XDR. La naturaleza basada en la nube de
Cortex Data Lake le permite recopilar volúmenes de datos en constante expansión sin necesidad
para planificar la computación y el almacenamiento locales.
● Agente local para redes restringidas: el servicio de agente local amplía
Agentes Cortex XDR a dispositivos que no pueden conectarse directamente a Internet. Los agentes pueden utilizar
el servicio de intermediario como un proxy de comunicación para el servicio de gestión de Cortex XDR,
reciba la última consola de seguridad y envíe contenido a Cortex Data Lake y WildFire
sin tener que acceder directamente a Internet.
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. Verdadero o falso: la clave de Cortex XDR es bloquear el malware y la explotación del núcleo
técnicas, no ataques individuales.
2. ¿Qué dos ventajas tiene la tecnología de protección de puntos finales sobre el tráfico de red?
¿análisis? (Escoge dos.)
A. capacidad para identificar los ataques más comunes por sus síntomas
B. Implementado y administrado de manera centralizada
C. más fácil de implementar la protección de endpoints cuando la gente trabaja desde casa
D. detecta canales de mando y control
E. puede identificar fácilmente los gusanos
3. ¿Cuál es el orden en el que el endpoint comprueba si un nuevo programa es seguro?
A. protección contra amenazas de comportamiento, luego análisis local, luego consulta WildFire
B. análisis local, luego protección contra amenazas de comportamiento, luego consulta WildFire
C. Consulta de WildFire, luego análisis local, luego protección contra amenazas de comportamiento
D. análisis local, luego consulta WildFire, luego protección contra amenazas de comportamiento
4. De las comprobaciones de endpoints, ¿cuál se omite en los programas conocidos?
A. Consulta de WildFire
B. protección contra amenazas de comportamiento
C. análisis local
D. análisis de firewall
5. ¿Qué tres sistemas operativos son compatibles con Cortex XDR? (Elige tres.)
A. z / OS
B. Linux
C. macOS
https://translate.googleusercontent.com/translate_f
202/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
D.
Minix
E. Android
© 2021 Palo Alto Networks, Inc.
250
Página 251
4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake
mejora la visibilidad del SOC
Los equipos de seguridad carecen de las personas y los procesos escalables para seguir el ritmo de una abrumadora
volumen de alertas y un sinfín de tareas de seguridad. Los analistas pierden tiempo girando entre consolas en busca de datos
recopilación, determinación de falsos positivos y realización de tareas manuales y repetitivas a lo largo del
ciclo de vida de un incidente.
Cortex XSOAR mejora la eficiencia del Centro de operaciones de seguridad (SOC) con la mayor
plataforma operativa integral para la seguridad empresarial. Cortex XSOAR unifica el caso
gestión, automatización, colaboración en tiempo real y gestión de inteligencia de amenazas nativas en el
la primera oferta de orquestación, automatización y respuesta de seguridad extendida (SOAR) de la industria.
Los equipos pueden administrar alertas en todas las fuentes, estandarizar procesos con guías, tomar medidas
inteligencia de amenazas y respuesta automatizada para cualquier caso de uso de seguridad, lo que resulta en hasta un 90 por ciento
Tiempos de respuesta más rápidos y una reducción de hasta un 95 por ciento en las alertas que requieren
intervención.
Cortex XSOAR ingiere alertas agregadas e indicadores de compromiso (IoC) de la detección
fuentes como soluciones de gestión de eventos e información de seguridad (SIEM), seguridad de red
herramientas, fuentes de inteligencia de amenazas y buzones de correo antes de ejecutar
manuales para enriquecer y responder a estos incidentes (consulte la Figura 4-12). Estos libros de jugadas
coordinar entre tecnologías, equipos de seguridad y usuarios externos para una visibilidad de datos centralizada
y acción.
Figura 4-12: Cortex XSOAR ingiere alertas e IoC de múltiples fuentes de detección y
ejecuta libros de jugadas para enriquecer y responder a incidentes.
Cortex XSOAR permite a los profesionales de la seguridad llevar a cabo operaciones de seguridad y
respuesta a incidentes optimizando los procesos de seguridad, conectando herramientas de seguridad dispares y
mantener el equilibrio correcto entre la automatización de la seguridad impulsada por máquinas y la
intervención.
© 2021 Palo Alto Networks, Inc.
251
Página 252
https://translate.googleusercontent.com/translate_f
203/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Verificación de conocimientos
Pon a prueba tu comprensión de los fundamentos en la sección anterior. Revisa el correcto
respuestas en el Apéndice A.
1. ¿Qué utiliza Cortex XSOAR para automatizar los procesos de seguridad?
A. scripts de bash
B. Windows PowerShell
C. libros de jugadas
D. Scripts de Python
4.6 Explique cómo AutoFocus obtiene inteligencia sobre amenazas para análisis de seguridad y
respuesta
Los ciberataques altamente automatizados y cada vez más sofisticados están ocurriendo en un mayor volumen.
que nunca antes. Equipos de seguridad sobrecargados intentan inútilmente investigar cada amenaza en el
red empresarial y tienen poco tiempo para analizar y comprender los ataques verdaderamente avanzados.
AutoFocus de Palo Alto Networks permite un enfoque de red proactivo y basado en la prevención
seguridad que pone la automatización a trabajar para los profesionales de la seguridad. Inteligencia de amenazas del
el servicio se hace accesible directamente en la plataforma de Palo Alto Networks, incluido PAN-OS
software y Panorama. AutoFocus acelera los flujos de trabajo existentes del equipo de seguridad, lo que permite
para una investigación en profundidad de actividades sospechosas, sin recursos especializados adicionales.
AutoFocus se basa en un entorno informático distribuido a gran escala alojado en Palo Alto
Nube de inteligencia de amenazas de redes. A diferencia de otras soluciones, el servicio convierte los datos de amenazas
accesible y procesable a nivel de IoC y va más allá de simplemente mostrar registros resumidos
de múltiples fuentes en un tablero. AutoFocus tiene una visibilidad sin precedentes de la amenaza
paisaje, con el conocimiento colectivo de miles de empresas globales, proveedores de servicios y
gobiernos que alimentan el servicio (ver Figura 4-13).
© 2021 Palo Alto Networks, Inc.
252
Página 253
https://translate.googleusercontent.com/translate_f
204/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Figura 4-13: Nube de inteligencia de amenazas de enfoque automático de Palo Alto Networks
El servicio se correlaciona y obtiene inteligencia de:
● WildFire
● filtrado de URL con el servicio PAN-DB
● Red DNS pasiva global de Palo Alto Networks
● Equipo de investigación e inteligencia sobre amenazas de la Unidad 42 de Palo Alto Networks
● Feeds de terceros, incluida la inteligencia de código cerrado y de código abierto
AutoFocus realiza más de mil millones de muestras y sesiones, incluidos miles de millones de artefactos,
inmediatamente procesable para análisis de seguridad y esfuerzos de respuesta. AutoFocus extiende el producto
cartera con la inteligencia global sobre amenazas y el contexto de ataque necesarios para acelerar el análisis,
forense y flujos de trabajo de caza. Juntos, la plataforma y AutoFocus mueven los equipos de seguridad
lejos de los enfoques manuales heredados que se basan en la agregación de un número creciente de detecciones
alertas basadas en alertas y mitigación posterior al evento, para prevenir ataques sofisticados y permitir
actividades de caza.
© 2021 Palo Alto Networks, Inc.
253
Página 254
Alertas y etiquetas prioritarias
AutoFocus le permite distinguir las amenazas más importantes de los productos cotidianos
ataques, contextualizando así eventos en su red con etiquetas. Exclusivo de AutoFocus son las etiquetas
que enriquecen su visibilidad de las amenazas más críticas, con inteligencia contextual que le permite
saber qué familias de malware, campañas, actores de amenazas, comportamientos maliciosos y exploits son
siendo utilizado en tu contra.
Cuando una etiqueta coincide con un evento en su red, se envía una alerta de prioridad por correo electrónico, dentro del
Panel de AutoFocus o mediante publicación HTTP, con el contexto de etiqueta completo incluido. Las alertas son muy
personalizable, que mejora su flujo de trabajo de seguridad existente con priorización y contexto para
las amenazas más críticas.
Se pueden crear etiquetas para cualquier indicador de host o de red en AutoFocus para alertarle cuando
Se ha observado una amenaza específica en su organización o industria. Todas las etiquetas se pueden buscar para que
puede identificar rápidamente muestras o indicadores maliciosos asociados.
A medida que se identifican nuevas amenazas, Palo Alto Networks Unit 42, su propia organización y el
La comunidad de expertos en AutoFocus agrega nuevas etiquetas al servicio. AutoFocus es el análisis principal
herramienta utilizada por la Unidad 42 para identificar nuevas amenazas, correlacionar datos globales, identificar conexiones entre
muestras maliciosas y cree perfiles de adversarios o campañas.
https://translate.googleusercontent.com/translate_f
205/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Con AutoFocus y la cartera de productos, los equipos de seguridad pueden:
● Determinar qué tan específica o única es una amenaza que se ve en su red.
● Investigar muestras maliciosas relacionadas.
● Identificar consultas de DNS sospechosas con el historial de resolución de dominios.
Correlación de amenazas
Cuando los equipos de seguridad realizan análisis de amenazas, deben identificar rápidamente qué IoC representan
el mejor camino hacia la remediación. Para un compromiso activo o continuo, la velocidad de la investigación
y la capacidad de correlacionar datos de manera significativa es fundamental. Cada archivo tiene cientos o, potencialmente
miles de artefactos, con solo una pequeña cantidad de IoC únicos que pueden correlacionarse con el
perfil más amplio de un adversario o ataques relacionados.
AutoFocus utiliza un motor de análisis estadístico innovador para correlacionar miles de millones de artefactos en un
conjunto de datos global y presentar IoC únicos probablemente asociados con ataques dirigidos. El servicio
aplica automáticamente un sistema de ponderación visual único para identificar IoC únicos y críticos,
que guía adecuadamente los esfuerzos de análisis y respuesta a incidentes.
AutoFocus le permite crear búsquedas sofisticadas de múltiples capas en el host y en la red
niveles de artefactos y oriente su búsqueda dentro de la industria, el período de tiempo y otros filtros. Estos
Las búsquedas le permiten establecer conexiones previamente desconocidas entre ataques y planificar su
acciones de respuesta a incidentes en consecuencia.
© 2021 Palo Alto Networks, Inc.
254
Página 255
Cuando se requiere un análisis más detallado, los equipos de seguridad pueden cambiar entre AutoFocus y PAN-OS
software o Panorama, con búsquedas precargadas para ambos sistemas. AutoFocus proporciona
la totalidad de la inteligencia de amenazas de Palo Alto Networks, que reduce drásticamente el tiempo requerido
para realizar análisis, análisis forense y tareas de caza.
Inteligencia procesable
Los equipos de seguridad necesitan más que una forma de priorizar, analizar y correlacionar la inteligencia sobre amenazas.
Necesitan una forma de convertirlo en controles procesables para prevenir futuros ataques. Enfoque automático
le permite crear nuevas protecciones para la cartera de productos mediante la exportación de IoC de alto valor
del servicio al software PAN-OS Listas dinámicas externas para bloquear instantáneamente
URL, dominios y direcciones IP. AutoFocus también puede exportar IoC a dispositivos de seguridad de terceros
a través de un formato CSV estándar. Los equipos de seguridad pueden utilizar AutoFocus para identificar
ataques contra su organización y emprender acciones directas para mitigarlos y prevenirlos.
Los equipos de análisis de amenazas, análisis forense y respuesta a incidentes a menudo se basan en una amplia gama de scripts,
herramientas de código abierto, dispositivos de seguridad y servicios para investigar posibles incidentes de seguridad.
El enfoque automático puede reducir drásticamente el tiempo necesario para investigar al enriquecer a terceros
servicios a través de:
● Compatibilidad con API abierta: la API de AutoFocus se basa en un estado de representación fácil de usar.
marco de transferencia (RESTful) y permite integraciones en cientos de casos de uso,
como enviar datos de inteligencia sobre amenazas a herramientas SIEM existentes. Este marco hace
datos disponibles para análisis de amenazas adicionales o automatizaciones personalizadas de bloqueo de amenazas.
● Capacidad de barrido remoto: los equipos de seguridad pueden pasar de los indicadores del servicio a
sistemas externos internos y de terceros directamente desde AutoFocus. Los equipos pueden definir
a 10 sistemas externos, lo que les permite continuar su análisis sin problemas en sus
toda la infraestructura, como la correlación de registros de firewalls de próxima generación o la activación
búsquedas en herramientas SIEM.
● Compatibilidad con el formato de datos STIX: AutoFocus proporciona una integración inmediata con
Infraestructura de expresión de información de amenazas estructurada (STIX) y hace que los datos estén disponibles
para exportar en formato de datos STIX.
Términos clave
● La transferencia de estado representacional (REST) es un estilo de programación arquitectónica que normalmente
se ejecuta a través de HTTP. Se usa comúnmente para aplicaciones móviles, sitios web de redes sociales y
https://translate.googleusercontent.com/translate_f
206/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
herramientas de mashup.
● La expresión de información de amenazas estructurada (STIX) es un lenguaje de marcado extensible
(XML) para transmitir datos sobre amenazas de ciberseguridad en un formato estandarizado.
● Extensible Markup Language (XML) es una especificación de lenguaje de programación que define un
conjunto de reglas para codificar documentos en un formato legible por humanos y legible por máquina.
© 2021 Palo Alto Networks, Inc.
255
Página 256
Intercambio de indicadores de amenazas (MineMeld)
Para evitar ciberataques exitosos, muchas organizaciones recopilan indicadores de compromiso (IoC)
de varios proveedores de inteligencia de amenazas con la intención de crear nuevos controles para sus
dispositivos de seguridad. Desafortunadamente, los enfoques heredados para la agregación y el cumplimiento son altamente
de naturaleza manual, a menudo creando flujos de trabajo complejos y extendiendo el tiempo necesario para identificar
y validar qué IoC deben bloquearse.
MineMeld es una aplicación de código abierto que agiliza la agregación, aplicación y
intercambio de inteligencia sobre amenazas. MineMeld está disponible directamente en GitHub y en virtual prediseñado
máquinas (VM) para una fácil implementación. MineMeld tiene una arquitectura modular extensible, por lo que
cualquiera puede aumentar su funcionalidad contribuyendo con código al repositorio de código abierto.
MineMeld admite una variedad de casos de uso, y la comunidad agrega más cada día,
incluso:
● Agregar y correlacionar fuentes de inteligencia sobre amenazas
● Aplicación de nuevos controles de prevención, incluido el bloqueo de direcciones IP.
● Evaluar el valor de una fuente de inteligencia de amenazas específica para su entorno.
● Extraer indicadores de los registros de dispositivos de Palo Alto Networks y compartirlos con otros
herramientas de seguridad
● Compartir indicadores con compañeros de confianza.
● Identificación de sesiones entrantes de los nodos de salida de Tor para bloqueo o inspección estricta
● Seguimiento de direcciones IP y URL de Office365
MineMeld le permite agregar inteligencia sobre amenazas en los sectores público, privado y comercial.
fuentes de inteligencia, incluso entre organizaciones gubernamentales y comerciales.
MineMeld simplifica la recopilación y correlación de inteligencia en:
● Feeds de inteligencia de amenazas comerciales
● Proveedores de inteligencia de código abierto (OSINT)
● Plataformas de inteligencia de amenazas
● Centros de análisis e intercambio de información (ISAC)
● Equipos de respuesta a emergencias informáticas (CERT)
● Otros usuarios de MineMeld
Una vez recopilados los indicadores, MineMeld puede filtrar, deduplicar y consolidar metadatos en
todas las fuentes, lo que permite a los equipos de seguridad analizar un conjunto de datos más procesable, enriquecido con
múltiples fuentes, para facilitar la aplicación.
MineMeld se integra de forma nativa con la cartera de productos de Palo Alto Networks para
crear nuevos controles basados ​en la prevención para URL, direcciones IP e inteligencia de dominio derivada
de todas las fuentes que ingresan a la herramienta. Las organizaciones pueden simplificar sus flujos de trabajo para bloquear
IoC con listas dinámicas externas y grupos de direcciones dinámicas (DAG), sin gasto
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
256
207/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 257
recursos adicionales para administrar listas de bloqueo, incluido el tiempo de espera automático de los indicadores vencidos.
MineMeld también se integra con el servicio de inteligencia de amenazas contextual AutoFocus para permitir
organizaciones para identificar indicadores específicos de alto valor en AutoFocus y bloquearlos en su
cortafuegos de próxima generación con listas de exportación y MineMeld.
© 2021 Palo Alto Networks, Inc.
257
Página 258
Apéndice A: Respuestas a las preguntas de verificación de conocimientos
Dominio del examen 1 - Fundamentos de ciberseguridad
1.1 Identificar aplicaciones y servicios Web 2.0 / 3.0
1. Verdadero. El software de inteligencia empresarial (BI) consta de herramientas y técnicas que se utilizan para
superficie grandes cantidades de datos sin procesar no estructurados para realizar una variedad de tareas, incluyendo
https://translate.googleusercontent.com/translate_f
208/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
minería de datos, procesamiento de eventos y análisis predictivo.
2. Verdadero. El proceso en el que los usuarios finales encuentran tecnología personal y aplicaciones que son más
potente o capaz, más conveniente, menos costoso, más rápido de instalar y más fácil de
El uso que las soluciones de TI empresarial se conoce como consumerización .
3. ¿Qué acción está asociada con la Web 1.0?
A. consultar el sitio web de CNN en busca de noticias
B. publicar en Facebook
C. agregar información a Wikipedia
D. hacerle una pregunta a Siri de Apple
4. ¿Qué acción está asociada con Web 3.0?
A. Consultar el sitio web de CNN en busca de noticias
B. publicar en Facebook
C. agregar información a Wikipedia
D. hacerle una pregunta a Siri de Apple
5. ¿A qué modelo de computación en la nube está asociado Gmail?
A. SaaS
B. PaaS
C. IaaS
D. DaaS
1.2 Reconocer las aplicaciones utilizadas para eludir los firewalls basados ​en puertos
1. ¿Qué dos números de puerto están asociados con HTTP? (Escoge dos.)
A. 80
B. 389
C. 8080
D. 25
2. ¿Qué número de puerto está asociado con HTTPS?
A. 21
B. 23
C. 443
D. 53
3. ¿Qué puerto se utiliza para la comunicación cifrada?
A. 22
B. 80
C. 389
D. 25
4. ¿Qué dos protocolos distinguen entre aplicaciones que utilizan números de puerto? (Escoge dos.)
A. TCP
B. ICMP
© 2021 Palo Alto Networks, Inc.
258
Página 259
C. ESP
D. UDP
E. IPX
5. ¿Cómo evitan los atacantes que el software de monitoreo detecte los escaneos de puertos?
A. escanear puertos tan rápido que termina antes de que pueda ser detectado y detenido
B. escanear puertos tan lentamente que parece intentos aleatorios de conexión, en lugar de una concertada
ataque
C. escanear puertos desde un dispositivo interno
D. escanear puertos a través de WiFi en lugar de Ethernet
6. ¿Qué atributos potencialmente riesgosos son los más graves?
A. omnipresente
B. malware
C. ancho de banda excesivo
D. túneles
7. ¿Qué aplicación se puede utilizar como túnel para otras aplicaciones?
A. Telnet
B. SMTP
C. HTTPS
D. SSH
8. ¿Qué dos dispositivos o sistemas requieren la configuración de puertos no estándar para poder
utilizar una aplicación en un puerto no estándar? (Escoge dos.)
https://translate.googleusercontent.com/translate_f
209/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A. cortafuegos
B. cliente
C. servidor
D. sistema operativo
E. certificado
1.3 Resumir los desafíos y las mejores prácticas de la computación en la nube
1. Si es responsable de la seguridad de la aplicación pero no de la seguridad del sistema operativo,
¿Qué modelo de servicio de computación en la nube está utilizando?
A. su propio centro de datos
B. IaaS
C. PaaS
D. SaaS
2. ¿Qué tipo de seguridad es siempre responsabilidad del cliente de la nube?
A. físico
B. red
C. aplicación
D. datos
1.4 Identificar la seguridad de la aplicación SaaS
1. ¿Dónde se almacenan normalmente sus datos en una aplicación SaaS?
A. en su centro de datos, en una base de datos bajo su control
B. en su centro de datos, en una base de datos controlada por el proveedor de SaaS
C. en la nube, en una base de datos que controlas
D. en la nube, en una base de datos controlada por el proveedor de SaaS
© 2021 Palo Alto Networks, Inc.
259
Página 260
2. ¿Quién es responsable de la configuración de seguridad en una aplicación SaaS empresarial?
A. Proveedor de SaaS
B. Administrador de TI de la organización del cliente
C. usuario, normalmente un empleado de la organización del cliente.
D. tanto administradores como usuarios de TI
3. ¿Cuándo es imposible proteger los datos SaaS?
A. cuando un usuario usa un dispositivo no administrado para acceder a un SaaS no autorizado
ejemplo
B. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS no autorizada
C. cuando un usuario usa un dispositivo no administrado para acceder a una instancia de SaaS autorizada
D. cuando un usuario usa un dispositivo administrado para acceder a una instancia de SaaS autorizada
1.5 Reconocer las leyes y regulaciones de ciberseguridad
1. Verdadero. Una organización puede cumplir con toda la seguridad y privacidad aplicables.
las regulaciones para su industria aún no son seguras.
2. ¿Qué tres campos de datos se consideran información de identificación personal (PII)? Escoger
Tres.)
A. número de identificación único (como el número de licencia de conducir)
A. honorífico (Sr., Sra., Dr., etc.)
B. número de teléfono
C. presión arterial (cuando no está conectada a otros campos)
D. huellas dactilares
3. ¿Qué riesgo se elimina en una organización que cumple al 100%?
A. hacer pública la información confidencial
B. tener una amenaza persistente avanzada que cambie su información
C. hacer que el regulador lo castigue por no cumplir
D. hacer que personas internas malintencionadas roben información
1.6 Enumere ejemplos recientes de ciberataques de alto perfil
1. ¿Qué significa CVE?
A. Vulnerabilidades informáticas y sus vulnerabilidades
https://translate.googleusercontent.com/translate_f
210/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. Vulnerabilidades y exposiciones informáticas
C. Vulnerabilidades comunes y sus hazañas
D. Vulnerabilidades y exposiciones comunes
2. ¿Cuál es la diferencia entre CVE y CVSS?
A. CVE le dice cuáles son las vulnerabilidades. CVSS otorga una puntuación a las vulnerabilidades
(0-10) para evaluar su gravedad.
B. CVE está en una escala de bajo, medio, alto, crítico. CVSS está en una escala de 0 a 100.
C. CVSS le dice cuáles son las vulnerabilidades. CVE otorga a las vulnerabilidades una puntuación (010) para evaluar su gravedad.
D. CVE está en una escala de 0 a 100. CVSS está en una escala de 0 a 10.
1.7 Descubra los perfiles y las motivaciones de los atacantes
© 2021 Palo Alto Networks, Inc.
260
Página 261
1. Falso . Los actores de amenazas externas han representado la mayoría de las violaciones de datos en el
últimos cinco años.
2. ¿Qué grupo es probable que ataque indiscriminadamente, si usted es un objetivo valioso o
¿no?
A. hacktivistas
B. ciberdelincuentes
C. ciberterroristas
D. grupos afiliados al estado
3. ¿Qué grupo está principalmente motivado por el dinero?
A. hacktivistas
B. ciberdelincuentes
C. ciberterroristas
D. grupos afiliados al estado
1.8 Describir el ciclo de vida moderno de los ciberataques
1. Falso . El ciclo de vida del ciberataque es un proceso de siete pasos.
2. Falso. Un defensor necesita romper solo un paso en el ciclo de vida del ciberataque
framework para evitar que un ataque tenga éxito.
3. Verdadero. La clave para romper el ciclo de vida del ciberataque durante la fase de instalación es
implementar la segmentación de la red, un modelo Zero Trust y un control granular de
aplicaciones para limitar o restringir el movimiento lateral de un atacante dentro de la red.
4. ¿Qué etapa del ciclo de vida del ciberataque se puede identificar mediante análisis de puertos desde
¿fuentes?
A. Reconocimiento
B. Armamento y entrega
C. Explotación
D. Instalación
5. ¿Qué etapa del ciclo de vida del ciberataque implica consultar bases de datos públicas y
probando exploits en la red interna del atacante?
A. Reconocimiento
B. Armamento y entrega
C. Explotación
D. Instalación
6. ¿Qué paso implica hacer que el malware se ejecute en el interior del objetivo?
¿organización?
A. Armamento y entrega
B. Explotación e instalación
C. Mando y control
D. Acciones sobre el objetivo
7. ¿En qué etapa del ciclo de vida del ciberataque identificaría una comunicación inusual?
entre una base de datos interna que no debería acceder a Internet y un servidor externo?
A. Explotación
https://translate.googleusercontent.com/translate_f
211/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. Instalación
© 2021 Palo Alto Networks, Inc.
261
Página 262
C. Mando y control
D. Acciones sobre el objetivo
1.9 Clasificar tipos de malware
1. ¿Qué dos tipos de malware se replican automáticamente? (Escoge dos.)
A. bomba lógica
B. puerta trasera
C. virus
D. caballo de Troya
E. gusano
2. ¿Cuáles son los dos tipos de malware que probablemente dejará un empleado descontento? (Escoger
dos.)
A. bomba lógica
B. puerta trasera
C. virus
D. caballo de Troya
E. gusano
3. ¿Qué tres tipos de malware requieren canales de comunicación externos? (Elige tres.)
A. rootkit
B. puerta trasera
C. ransomware
D. software espía
E. adware
F. bomba lógica
4. ¿Cuál es el término para un programa de acceso remoto no autorizado?
A. bomba lógica
B. puerta trasera
C. caballo de Troya
D. ransomware
1.10 Enumere las diferencias entre vulnerabilidades y exploits
1. ¿Qué afirmación es correcta?
R. Un investigador de seguridad podría escribir una vulnerabilidad para demostrar un exploit.
B. Un investigador de seguridad podría escribir un exploit para demostrar una vulnerabilidad.
C. Los exploits a menudo son el resultado de programadores mal entrenados.
D. Los exploits siempre son responsabilidad del proveedor.
2. ¿Qué tipo de vulnerabilidad utiliza un exploit de día cero?
A. uno que aún no ha sido descubierto por nadie.
B. uno que no ha sido revelado al proveedor (o publicado)
C. uno que el proveedor conoce, pero que no ha lanzado un parche para
D. uno que tiene un parche, pero el parche aún no se ha instalado en todas partes
3. ¿Qué intervalo de tiempo describe una "ventana de vulnerabilidad"?
© 2021 Palo Alto Networks, Inc.
262
Página 263
A. entre el momento en que se descubre una vulnerabilidad y el momento en que se publica un parche
B. entre el momento en que se publica un parche y el momento en que se instala en su sistema
C. entre el momento en que se descubre una vulnerabilidad y el momento en que se instala el parche en
tu sistema
https://translate.googleusercontent.com/translate_f
212/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
D. entre el momento en que se descubre una vulnerabilidad y el momento en que se revela al proveedor
1.11 Categorizar los ataques de spam y phishing
1. ¿Qué tipo de ataque incluye un anuncio por correo electrónico de un servicio de tintorería?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
2. ¿Qué tipo de ataque incluye un correo electrónico con un archivo adjunto not-a-trojan.exe?
A. spam
B. phishing
C. spear phishing
D. Caza de ballenas
3. ¿Qué tipo de ataque incluiría un correo electrónico con su nombre que dice ser de
su banco y le dice que haga clic en el enlace https://chase.bankofamerica.mysite.ru?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
4. Su CFO recibe un correo electrónico con su nombre que dice ser el banco de la empresa y
le dice que haga clic en el enlace https://chase.bankofamerica.mysite.ru. ¿Qué tipo de ataque es
¿esta?
A. spam
B. phishing
C. spear phishing
D. caza de ballenas
1.12 Ingeniería social
1. ¿Qué dos técnicas utilizan los "ingenieros sociales" para distraer a sus objetivos de modo que
lo que quiera el atacante? (Escoge dos.)
A. piloto automático, que solicita una acción que el usuario realiza automáticamente sin
pensando
B. phishing, envío de correo electrónico que solicita acciones específicas
C. disfrazado de caballo de Troya
D. infectar programas con virus
E. distracción emocional, como gritar que el objetivo sería despedido
2. ¿Quién es el objetivo más probable de la ingeniería social?
A. dirección ejecutiva, porque tiene la mayor cantidad de permisos
© 2021 Palo Alto Networks, Inc.
263
Página 264
B. ingenieros superiores de TI, porque el atacante espera que desactiven la seguridad
infraestructura
C. personas jóvenes, porque son más fáciles de estresar y probablemente no tan bien
entrenado
D. el departamento de contabilidad, porque puede transferir dinero directamente a la oficina del atacante
cuenta
1.13 Ataques de ciberseguridad
1. En el ciclo de vida del ciberataque, ¿qué significa C2?
A. Configuración y comunicación
B. Control de configuración
C. Mando y control
D. Control de comunicación
2. Un servidor que tiene un error que permite que una sola transacción lo desconecte es susceptible a
que tipo de ataque?
A. Denegación de servicio (DoS)
https://translate.googleusercontent.com/translate_f
213/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. Denegación de servicio distribuida (DDoS)
C. caballos de Troya
D. gusanos
3. ¿Qué dos ataques suelen utilizar una botnet? (Escoge dos.)
A. ingeniería social
B. DoS
C. DDoS
D. enviar spam a una larga lista de distribución
E. spear phishing
1.14 Definir las características de las amenazas persistentes avanzadas
1. ¿Qué opción es menos probable que sea el propósito de una amenaza persistente avanzada?
A. transferir dinero a una cuenta bancaria en el extranjero
B. robar información clasificada
C. expandir una botnet para enviar más spam
D. ser capaz de destruir la infraestructura de un enemigo en caso de guerra
2. ¿Qué comportamiento utiliza una amenaza persistente avanzada (APT) para eludir la detección?
A. hacer todo por la noche, cuando nadie está monitoreando
B. depender exclusivamente de personas con información privilegiada con acceso privilegiado
C.Haga todo rápidamente con secuencias de comandos para que el efecto de la amenaza se logre mediante
la hora en que se detecta
D. use un enfoque lento y lento para evitar activar alarmas
1.15 Reconocer ataques comunes de Wi-Fi
1. ¿Qué dos tipos de comportamiento podrían permitirle a alguien espiar una red WiFi?
(Escoge dos.)
© 2021 Palo Alto Networks, Inc.
264
Página 265
A. pasivo
B. inactivo
C. ceder
D. activo
E. ágil
2. ¿Cuál es el nombre del ataque en el que el atacante consigue que la víctima se conecte a un
punto de acceso que controla el ataque?
A. persona en el medio
B. hombre en el medio
C. punto de acceso en el medio
D. enmascaramiento del punto de acceso
3. ¿Cuál es el nombre del método de "autenticación" que permite a cualquiera con la contraseña
acceder a una red WiFi?
A. Clave precompartida (PSK)
B. Autenticación de contraseña (PA)
C.Protocolo de autenticación extensible (EAP)
D. identificador de conjunto de servicios (SSID)
1.16 Definir la seguridad de la red basada en el perímetro
1. ¿Qué es una zona desmilitarizada de red (DMZ)?
A. la parte más segura de la red, utilizada para la infraestructura de seguridad
B. la parte de la red que no protege, por ejemplo, un segmento de red utilizado para
visitantes para acceder a internet
C. la zona de gestión de la base de datos
D. la zona de red donde coloca servidores que sirven al exterior, para limitar la
exposición
2. ¿Qué tipo de tráfico fluye entre la Internet pública y la DMZ privada?
A. norte-sur
B. este-oeste
https://translate.googleusercontent.com/translate_f
214/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
C. arriba-abajo
D. tráfico de salida
3. ¿Qué tipo de tráfico fluye dentro de un centro de datos?
A. norte-sur
B. este-oeste
C. arriba-abajo
D. tráfico de salida
4. ¿Cuál es el nombre del dispositivo que se utiliza para proteger el perímetro de una red?
Un interruptor
B. hub
C. módem
D. cortafuegos
1.17 Explicar los principios de diseño y la configuración de la arquitectura de Zero Trust
1. ¿En qué principio de seguridad se basa un modelo de seguridad de red Zero Trust?
A. debida diligencia
© 2021 Palo Alto Networks, Inc.
265
Página 266
B. privilegio mínimo
C. no repudio
D. control negativo
2. ¿Qué significa Zero Trust?
R. Los sistemas nunca confían en la información que obtienen de otros sistemas.
B. Los sistemas no confían unos en otros implícitamente.
C. Los sistemas no confían entre sí de forma explícita.
D. Los sistemas solo confían entre sí dentro del mismo centro de datos.
3. En una arquitectura Zero Trust completa, ¿se pueden comunicar dos dispositivos excepto a través de un dispositivo de seguridad?
¿control?
R. Sí, pero solo si están en la misma zona de confianza.
B. Sí, pero solo si el nivel de la zona de confianza del cliente es superior al del servidor.
C. No, a menos que pertenezcan a la misma aplicación.
D. No, necesitamos asegurar todo el tráfico.
1.18 Definir las capacidades de una cartera de productos eficaz
1. ¿Qué componente de una plataforma operativa de seguridad puede identificar un troyano que no
no usas la red?
A. seguridad de la red
B. seguridad en la nube
C. Protección avanzada de endpoints
D. Servicio de registro SaaS
2. El servicio de registro almacena datos en la nube en una instancia que su organización hace
no controla y, por lo tanto, proporciona protección contra qué?
A. caballos de Troya
B. virus
C. gusanos
D. amenaza interna
1.19 Reconocer las tecnologías Strata, Prisma y Cortex de Palo Alto Networks
1. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el centro de datos?
A. Strata
B. Prisma
C. Corteza
D. WildFire
2. ¿Qué paquete de productos de Palo Alto Networks se utiliza para proteger el acceso remoto y la nube nativa?
tecnologías?
A. Strata
B. Prisma
C. Corteza
D. WildFire
https://translate.googleusercontent.com/translate_f
215/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
3. ¿Qué paquete de productos de Palo Alto Networks se utiliza para administrar alertas? Obtenga información adicional.
información y orquestar respuestas?
A. Strata
© 2021 Palo Alto Networks, Inc.
266
Página 267
B. Prisma
C. Corteza
D. WildFire
Dominio del examen 2: el mundo conectado
2.1 Definir la diferencia entre concentradores, conmutadores y enrutadores
1. ¿Qué dispositivo no procesa direcciones?
Un concentrador
B. cambiar
C. Punto de acceso WiFi
D. enrutador
2. ¿Qué dispositivo procesa direcciones lógicas?
Un concentrador
B. cambiar
C. Punto de acceso WiFi
D. enrutador
3. ¿En qué dispositivo configura las VLAN?
A. repetidor inalámbrico
B. hub
C. interruptor
D. enrutador
2.2 Clasificar protocolos enrutados y de enrutamiento
1. ¿Qué es un protocolo enrutado?
A. Abra primero la ruta más corta (OSPF)
B. Protocolo de Internet (IP)
C.Protocolo de puerta de enlace fronteriza (BGP)
D. Protocolo de información de enrutamiento (RIP)
2. ¿Qué tipo de dispositivo utiliza protocolos de enrutamiento para intercambiar información?
A. interruptores
B. hubs
C. enrutadores
D. servidores
3. ¿Cuál es el propósito principal de la información intercambiada por los protocolos de enrutamiento?
A. enrutamiento dinámico
B. enrutamiento estático
C. facturación por acceso a la red
D. publicidad de direcciones MAC
2.3 Resumir topologías y redes de área
1. Verdadero. Internet es un ejemplo de red de área amplia (WAN).
2. ¿Qué tecnología de red se utiliza para las WAN?
A. Ethernet
B. anillo simbólico
C. línea de abonado digital (DSL)
D. FDDI
© 2021 Palo Alto Networks, Inc.
267
Página 268
3. ¿Qué dispositivo crea un dominio de colisión que incluye todas las interfaces a las que está
¿conectado?
https://translate.googleusercontent.com/translate_f
216/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Un concentrador
B. cambiar
C. enrutador
D. servidor web
4. ¿Qué requisito debe cumplirse para que un dispositivo cliente utilice un servidor DHCP, asumiendo
¿No hay agentes de retransmisión DHCP?
A. estar en el mismo dominio de colisión
B. estar en el mismo dominio de transmisión
C. tienen una latencia inferior a 20 ms
D. tener la misma máscara de subred
5. ¿Qué tipo de red es más probable que utilice enlaces punto a punto?
A. LAN
B. WAN
C. SD WAN (solo)
D. WAN (solo si no es SD WAN)
2.4 Explicar el propósito del sistema de nombres de dominio (DNS)
1. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv4 de un host?
A. A
B. AAAA
C. PTR
D. MX
2. ¿Qué tipo de registro DNS utiliza para encontrar la dirección IPv6 de un host?
A. A
B. AAAA
C. PTR
D. MX
3. Un sitio web se llama www.amazing.co.uk. ¿Qué significa eso?
R. El sitio web está alojado en el Reino Unido por una empresa llamada Amazing.
B. El sitio web se puede alojar en cualquier lugar, pero la empresa debe estar ubicada en los Estados Unidos.
Reino.
C. El sitio web se puede alojar en cualquier lugar y la empresa decidió aparecer
Británico.
D. La empresa decidió parecer británica y el sitio web está alojado en los Estados Unidos.
Reino.
2.5 Identificar categorías de Internet de las cosas (IoT)
1. ¿Qué dispositivo es M2M (de máquina a máquina)?
A. Televisión conectada a Internet
B. alarma de casa que llama a la policía para responder
C. GPS para coche
D. sensor de temperatura conectado a un sistema de extinción de incendios
2. Los sensores para un campo cultivado deben informar los resultados una vez al día. Estos sensores son
alimentado por baterías que necesitan durar años. ¿Qué forma de conectividad utilizas?
A. Bluetooth
B. Wi-Fi
© 2021 Palo Alto Networks, Inc.
268
Página 269
C. LoRaWAN
D. Banda C satelital
3. ¿Qué dos ventajas hacen que 2G sea una opción popular para los dispositivos IoT celulares? (Escoge dos.)
A. baja latencia
B. latencia alta
C. bajo costo de hardware
D. bajo consumo de energía
4. ¿Por qué los dispositivos de IoT son a menudo inseguros?
A. desarrollo apresurado
B. ciclos prolongados de liberación y parche
C. tiempo insuficiente para garantizar la calidad
D. bajo presupuesto de desarrollo
2.6 Ilustre la estructura de una dirección IPv4 / IPv6
https://translate.googleusercontent.com/translate_f
217/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
1. ¿Qué opción es un ejemplo de dirección lógica?
A. PI
B. hardware
C. MAC
D. quemado
2. ¿Cuántos bytes hay en una dirección IPv6?
A. 4
B. 8
C. 16
D. 32
3. ¿Qué dos componentes están en una dirección IPv4? (Escoge dos.)
Una red
B. dirección MAC
C. anfitrión
D. tipo de dispositivo
E. número de ruta
4. ¿En qué dos escenarios la traducción de direcciones de red (NAT) reduce el número de
direcciones IP necesarias? (Escoge dos.)
A. los dispositivos son clientes, NAT dinámica que los esconde detrás de una única IP
B. los dispositivos son servidores, NAT dinámica para el equilibrio de carga que los hace parecer un
dispositivo único
C. los dispositivos son clientes, NAT estática para permitirles compartir una dirección IP
D. los dispositivos son servidores, NAT estática para permitirles compartir una dirección IP
5. ¿Cómo traduce ARP las direcciones lógicas?
A. Direcciones lógicas IPv6 a IPv4
B. Direcciones lógicas IPv4 a IPv6
C. IPv4 a direcciones MAC
D. IPv6 sa direcciones MAC
6. ¿Cuál es el propósito del NDP?
A. Direcciones lógicas IPv6 a IPv4
B. Direcciones lógicas IPv4 a IPv6
C. IPv4 a direcciones MAC
D. IPv6 a direcciones MAC
© 2021 Palo Alto Networks, Inc.
269
Página 270
2.7 Describir el propósito de la división en subredes IPv4
1. ¿Qué es la máscara de subred para la red 10.2.0.0/20?
A. 255.0.0.0
B. 255.255.0.0
C. 255.255.240.0
D. 255.255.255.0
2. ¿Qué dos redes son subredes de 10.2.0.0/20? (Escoge dos.)
A. 10.2.0.0/19
B. 10.2.5.0/24
C. 10.2.20.0/24
D. 10.2.14.0/28
E. 10.2.0.0/16
3. ¿Cuál es el número máximo teórico de dispositivos en una clase B?
A.2 ^ 24-2 = 16777214
B.2 ^ 20-2 = 1048574
C. 2 ^ 16-2 = 65534
D. 2 ^ 8-2 = 254
4. ¿Cuántas subredes / 28 caben en una clase C?
A. 2
B. 4
C. 8
D. 16
2.8 Ilustre los modelos OSI y TCP / IP
1. ¿El modelo OSI consta de cuántas capas?
A. cuatro
https://translate.googleusercontent.com/translate_f
218/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. seis
C. siete
D. nueve
2. ¿Qué dos protocolos funcionan en la capa de transporte del modelo OSI? (Escoge dos.).
A. Protocolo de control de transmisión (TCP)
B. Protocolo de Internet (IP)
C.Protocolo de datagramas de usuario (UDP)
D. Protocolo de transferencia de hipertexto (HTTP)
3. ¿Qué cuatro capas componen el modelo TCP / IP? (Elija cuatro).
A. Aplicación
B. Transporte
C. Físico
D. Internet
E. Acceso a la red
4. ¿Qué opción muestra las capas ISO en el orden correcto (de la capa inferior a la superior)?
A. Físico, transporte, red, sesión, enlace de datos, presentación, aplicación
B. Físico, enlace de datos, red, aplicación, presentación, transporte, sesión
C.Físico, enlace de datos, transporte, sesión, presentación, red, aplicación
© 2021 Palo Alto Networks, Inc.
270
Página 271
D. Físico, enlace de datos, red, transporte, sesión, presentación, aplicación
5. ¿Ethernet y WiFi incluyen elementos de cuáles dos capas? (Escoge dos.)
Una sesión
B. Transporte
C. Red
D. Enlace de datos
E. Físico
6. ¿El protocolo de Internet en sí proporciona la funcionalidad de qué capa?
A. Transporte
B. Red
C. Enlace de datos
D. Físico
7. Cuando HTTP se usa directamente en las páginas web del servidor, ¿es un protocolo de qué capa?
A. Aplicación
B. Presentación
C. Sesión
D. Transporte
8. Cuando se usa HTTP para enviar solicitudes REST, ¿es un protocolo de qué capa?
A. Aplicación
B. Presentación
C. Sesión
D. Transporte
2.9 Explicar el proceso de encapsulación de datos
1. En un paquete TCP enviado a través de Ethernet, ¿cuál es el orden de los datos?
A. Encabezado de Ethernet, encabezado de TCP y luego datos de TCP
B. Encabezado IP, encabezado TCP y luego datos TCP
C. Encabezado de Ethernet, encabezado de IP, encabezado de TCP y luego datos de TCP
D. Encabezado de Ethernet, encabezado de IP, datos de IP, encabezado de TCP y luego datos de TCP
2. ¿Qué encabezado no aparece en todos los paquetes de una transferencia de archivos HTTP a través de Ethernet?
A. Encabezado de Ethernet
B. Encabezado de IP
C. encabezado TCP
D. encabezado HTTP
2.10 Clasifique varios tipos de firewalls de red
1. Falso. Un cortafuegos de filtrado dinámico de paquetes (también conocido como inspección de paquetes con estado)
solo inspecciona los encabezados de paquetes individuales durante el establecimiento de la sesión para determinar si
el tráfico debe ser permitido, bloqueado o descartado por el firewall. Después de una sesión
establecido, los paquetes individuales que forman parte de la sesión no se inspeccionan.
2. ¿Qué tipo de firewall de red proporciona traducción de direcciones de cliente de forma predeterminada?
https://translate.googleusercontent.com/translate_f
219/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A. Filtrado de paquetes
B. inspección de paquetes con estado
C. aplicación
D. próxima generación
3. ¿Qué tipo de firewall requiere la menor cantidad de RAM por conexión?
A. filtrado de paquetes
© 2021 Palo Alto Networks, Inc.
271
Página 272
B. inspección de paquetes con estado
C. aplicación
D. próxima generación
2.11 Comparar los sistemas de detección de intrusos y de prevención de intrusiones
1. ¿Qué tipo de medida de seguridad proporciona el sistema de detección de intrusos?
A. preventivo
B. detective
C. correctivo
D. auditivo
2. ¿Qué tipo de ataque puede habilitar un sistema de prevención de intrusiones?
A. malware de tipo caballo de Troya
B. exfiltración de datos
C. mando y control
D. denegación de servicio
3. ¿Qué tipo de sistema puede cegarse con un enfoque lento y lento?
A. detección de intrusos
B. prevención de intrusiones
C. basado en firma
D. basado en el comportamiento
4. ¿Qué tipo de sistema no puede identificar las vulnerabilidades de día cero?
A. detección de intrusos
B. prevención de intrusiones
C. basado en firma
D. Basado en el comportamiento
A. Para el mismo hardware, la capacidad de procesar más paquetes
2.12 Definir redes privadas virtuales
1. ¿Qué tecnología VPN se considera el método preferido para conectar de forma segura un
dispositivo de punto final remoto de vuelta a una red empresarial?
A. Protocolo de túnel punto a punto (PPTP)
B. Protocolo de túnel de socket seguro (SSTP)
C. Capa de sockets seguros (SSL)
D. Seguridad del protocolo de Internet (IPsec)
2. ¿Cuál es la VPN de empresa a consumidor (B2C) más común?
A. SSL / TLS
B. IPsec
C. SSH
D. APP
3. ¿Qué significa PKI?
A. Identificación de contraseña / clave
B. Identificación de clave pasiva
C. Infraestructura de clave pública
D. Infraestructura de clave privada
4. ¿Qué VPN esperaría ver en uso entre dos de los datos de una organización?
centros?
A. SSL / TLS
© 2021 Palo Alto Networks, Inc.
272
Página 273
https://translate.googleusercontent.com/translate_f
220/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. IPsec
C. SSH
D. APP
5. ¿Qué protocolo de tunelización puede utilizar para conectar dos segmentos Ethernet en uno?
A. PPP
B. L2TP
C. IPsec (sin L2TP)
D. DESLIZAMIENTO
6. ¿Cuál es el método de autenticación que utiliza nombres de usuario y contraseñas?
A. PAP
B. CHAP
C. MS-CHAP
D. SAP
2.13 Explicar la prevención de pérdida de datos (DLP)
1. ¿En qué formato deben estar los datos para que DLP funcione?
A. ASCII
B. texto sin cifrar
C. sin comprimir
D. cifrado
2. ¿DLP trabaja en qué capa del modelo ISO?
A.7, capa de aplicación
B.5, capa de sesión
C. 4, capa de transporte
D. 3, capa de red
2.14 Describir la gestión unificada de amenazas
1. ¿Qué tres funciones de seguridad están integradas con un dispositivo UTM? (Elige tres.)
A. agente de seguridad de acceso a la nube (CASB)
B. Aislamiento remoto del navegador (RBI)
C. Automatización de DevOps
D. cortafuegos
E. Sistema de detección de intrusiones (IDS)
F. anti-spam
2. ¿Qué dos recursos se comparten entre las diferentes funciones de un dispositivo UTM?
(Escoge dos.)
A. RAM
B. información de alerta
C. CPU
D. firmas de ataque
E. estado del cortafuegos
2.15 Definir los conceptos básicos de seguridad de endpoints
1. ¿Qué dos opciones son puntos finales? (Escoge dos.)
A. computadora portátil
B. combinación de enrutador / módem / punto de acceso para una red doméstica
C. servidor de base de datos físico
© 2021 Palo Alto Networks, Inc.
273
Página 274
D. teléfono inteligente utilizado para consultar el correo electrónico del trabajo
2. ¿Qué método para identificar ransomware que utiliza un exploit de día cero está disponible en el endpoint?
protección, pero no en el cortafuegos?
A. firmas de ataque
B. análisis de comportamiento
C. observación de los efectos del ataque
D. descifrado de datos
3. ¿Qué opción no forma parte de una solución de protección de terminales?
A. cortafuegos
B. antivirus
C. descifrado de intermediario
D. detección de intrusos
https://translate.googleusercontent.com/translate_f
221/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
2.16 Comparar la protección contra malware basada en firmas y en contenedores
1. Falso. El software anti-malware basado en firmas se considera una contramedida reactiva
porque un archivo de firma para nuevo malware no se puede crear y entregar hasta que el
el malware ya está "en estado salvaje".
2. ¿Qué tipo de protección contra malware se puede eludir mediante la mutación del malware?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
3. Qué tipo de protección contra malware requiere un conocimiento profundo de las aplicaciones y cómo
se comunican?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
4. ¿Qué tipo de protección contra malware tiene problemas con las actualizaciones de software legítimas?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
5. ¿Qué tipo de protección contra malware es vulnerable a un enfoque lento y lento?
A. basado en firmas
B. basado en contenedores
C. listas de permisos de aplicaciones
D. detección de anomalías
2.17 Reconocer tipos de gestión de dispositivos móviles
1. Falso: el software anti-malware basado en firmas se considera una seguridad proactiva.
contramedida.
2. ¿Qué dos sistemas operativos pueden tener administración de dispositivos móviles (MDM)?
A. iOS
B. MacOS
C. Android
D. Ventanas
© 2021 Palo Alto Networks, Inc.
274
Página 275
E. Linux
3. Realiza una visita de negocios a otro país y no puede acceder a una solicitud de trabajo en
tu celular. ¿Qué función de MDM podría ser la razón?
A. prevención de pérdida de datos
B. protección contra malware
C. borrado / borrado remoto
D. servicios de geovalla y ubicación
4. Descargó un archivo confidencial a su teléfono para usarlo en una reunión de negocios. Ahora tu
mira que ya no está allí. ¿Qué función de MDM podría ser la razón?
A. prevención de pérdida de datos
B. protección contra malware
C. borrado / borrado remoto
D. servicios de geovalla y ubicación
2.18 Explicar el propósito de la gestión de identificaciones y accesos
1. ¿Qué tres procesos forman parte del modelo AAA? (Elige tres.)
A. autenticación
B. autorización
C. reconocimiento
D. auditoría
E. aprobación
2. ¿Qué principio está detrás del control de acceso basado en roles (RBAC)?
A. separación de funciones
B. auditabilidad
C. privilegio mínimo
https://translate.googleusercontent.com/translate_f
222/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
D. tipo
defensa
en profundidad
3. ¿Qué
de control
de acceso puede cambiar los permisos de un usuario según su ubicación?
A. RBAC
B. ABAC
C. PAP
D. CHAP
4. Solo un gerente puede obtener cheques de la empresa. Solo un gerente diferente puede firmar cheques.
¿Este ejemplo describe qué principio?
A. separación de funciones
B. auditabilidad
C. privilegio mínimo
D. defensa en profundidad
5. Un usuario puede acceder a la aplicación de nómina para ver un cheque de pago, pero no puede modificarlo. Este ejemplo
describe qué principio?
A. separación de funciones
B. auditabilidad
C. privilegio mínimo
D. defensa en profundidad
6. ¿Cuál es el protocolo común para acceder a un directorio?
A. DAP
B. LDAP
C. Bofetada
D. SLDAP
© 2021 Palo Alto Networks, Inc.
275
Página 276
2.19 Describir la gestión de la configuración
3. ¿Qué proceso forma parte de la gestión de la configuración?
A. gestión de identidad y acceso
B. auditoría
C. gestión de parches
D. escaneo en busca de vulnerabilidades
4. ¿Cuál es el término colectivo para las versiones de software, la configuración del sistema operativo y el archivo de configuración?
¿ajustes?
A. elementos de configuración
B. valores configurables
C. configuración de la computadora
D. la configuración
2.20 Identificar las funciones y capacidades del firewall de próxima generación
1. ¿Content-ID opera en qué capa del modelo ISO?
A.7, capa de aplicación
B.6, capa de presentación
C. 5, capa de sesión
D.4, capa de transporte
2. ¿Qué característica del NGFW se requiere para implementar RBAC?
A. ID de aplicación
B. Identificación de contenido
C. ID de usuario
D. GlobalProtect
3. ¿Qué característica del NGFW puede distinguir entre leer Facebook y comentar?
A. ID de aplicación
B. Identificación de contenido
C. ID de usuario
D. Global Protect
4. ¿Qué característica del NGFW distingue entre descargar un programa legítimo y
descarga de malware?
A. ID de aplicación
B. Identificación de contenido
C. ID de usuario
D. GlobalProtect
2.21 Compare los servicios de suscripción de cuatro núcleos de NGFW
https://translate.googleusercontent.com/translate_f
223/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
1. ¿Qué suscripción central de NGFW le diría a su firewall que un intento de resolver
adfewqrtgfhghyj.uykfhzvsdfgpoiyte.evil.com es probablemente un ataque?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
2. ¿Qué suscripción principal de NGFW permite que su firewall bloquee malware conocido?
A. Seguridad DNS
B. Filtrado de URL
© 2021 Palo Alto Networks, Inc.
276
Página 277
C. Prevención de amenazas
D. WildFire
3. ¿Qué suscripción principal de NGFW permite que su firewall identifique el malware de día cero?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
4. ¿Qué suscripción principal de NGFW permite que su firewall bloquee a los usuarios cuando intentan
enviar sus credenciales a un sitio de phishing?
A. Seguridad DNS
B. Filtrado de URL
C. Prevención de amenazas
D. WildFire
2.22 Definir el propósito de la gestión de la seguridad de la red (Panorama).
1. Una organización internacional tiene más de 100 firewalls en 50 ubicaciones. Cual
El modo de implementación de Panorama ¿instalaría la organización en varias ubicaciones (más allá de
la necesidad de recuperación ante desastres )?
A. Panorama
B. solo gestión
C. recolector de troncos
D. gestión de amenazas
2. ¿Qué objeto Panorama se utiliza para administrar la configuración de red?
Una plantilla
B. grupo de dispositivos
C. sistema virtual
D. Perfil de descifrado
3. ¿Qué objeto Panorama se utiliza para gestionar la política de seguridad?
Una plantilla
B. grupo de dispositivos
C. sistema virtual
D. Perfil de descifrado
Dominio del examen 3: tecnologías en la nube
3.1 Definir los modelos de implementación y servicio en la nube del NIST
1. ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor en una nube?
infraestructura y el consumidor no gestiona ni controla el subyacente
¿infraestructura?
A. plataforma como servicio (PaaS)
B. infraestructura como servicio (IaaS)
C. software como servicio (SaaS)
D. nube pública
2. ¿Qué modelo de servicio en la nube del NIST no requiere que la organización del cliente haga nada?
¿programación?
A. IaaS
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
277
224/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 278
B. PaaS
C. FaaS
D. SaaS
3. ¿Qué modelo de servicio en la nube del NIST requiere que el cliente mantenga el sistema operativo en funcionamiento?
¿hasta la fecha?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
4. ¿Qué modelo de servicio en la nube NIST limita su elección de entornos de tiempo de ejecución en los que
¿Se puede escribir la solicitud?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
5. ¿Qué modelo de implementación de nube de NIST recomendaría para una startup que no
¿Tiene mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7?
Un público
B. privado
C. comunidad
D. híbrido
6. Una empresa de noticias puede atender todas las solicitudes de su centro de datos el 95% del tiempo. Sin embargo,
algunos días hay una gran demanda de actualizaciones de noticias. ¿Qué modelo de implementación de NIST es
recomendado para la empresa?
Un público
B. privado
C. comunidad
D. híbrido
3. 2 Reconocer y enumerar los desafíos de seguridad en la nube
1. Usted es responsable de la seguridad de la aplicación, el tiempo de ejecución y el funcionamiento de la VM.
sistema. ¿Qué modelo de implementación en la nube está utilizando?
A. SaaS
B. FaaS
C. PaaS
D. IaaS
2. ¿Qué componente se puede compartir con otros inquilinos de la nube incluso cuando se usa IaaS?
A. aplicación
B. tiempo de ejecución
C. máquina virtual (invitado)
D. máquina física (host)
3. Dos empresas utilizan Gmail para su correo electrónico (SaaS). ¿Qué dos componentes pueden ser
compartido de forma transparente entre ellos? (Escoge dos.)
A. libreta de direcciones
B. código de aplicación
C. mensajes
D. base de datos de mensajes
E. identidades de usuario
© 2021 Palo Alto Networks, Inc.
278
Página 279
4. ¿Qué modelo de servicio en la nube le permite instalar un firewall para proteger su información?
A. SaaS
B. PaaS
C. FaaS
D. IaaS
3.3 Definir el propósito de la virtualización en la computación en nube
1. ¿Qué opción es un hipervisor de tipo 2?
A. alojado
https://translate.googleusercontent.com/translate_f
225/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. nativo
C. de metal desnudo
D. importado
2. ¿Qué proveedor de nube llama a su servicio IaaS Elastic Computing Service (ECS)?
A. Alibaba
B. AWS
C. Azur
D. GCP
3. ¿Cuál de los siguientes problemas de seguridad puede causar una vulnerabilidad parcheada durante mucho tiempo
¿volver a emerger?
A. Expansión de VM
B. comunicaciones intra-vm
C. vulnerabilidades del hipervisor
D. máquinas virtuales inactivas
3.4 Explicar el propósito de los contenedores en la implementación de aplicaciones
1. ¿Qué modelo de uso de la nube ejecuta solo un contenedor por máquina virtual?
A. sin servidor
B. contenedores como servicio (CaaS)
C. contenedores estibadores estándar
D. Contenedores integrados en VM
2. ¿Qué modelo de uso de la nube le permite utilizar contenedores sin tener que administrar
capas de virtualización y hardware subyacentes, pero aún le permite acceder a las capas subyacentes
virtualización si es necesario?
A. sin servidor
B. contenedores como servicio (CaaS)
C. contenedores estibadores estándar
D. Contenedores integrados en VM
3. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 1
hipervisores. ¿Cuántas instancias de SO estás ejecutando?
A. 2
B. 5
C. 7
D. 17
4. Diez contenedores que se ejecutan en cinco máquinas virtuales se distribuyen entre dos de tipo 2
hipervisores. ¿Cuántas instancias de SO estás ejecutando?
A. 2
B. 5
C. 7
© 2021 Palo Alto Networks, Inc.
279
Página 280
D. 17
3.5 Discutir el propósito de la computación sin servidor
1. ¿Qué modelo de uso de la nube restringe su elección de un entorno de ejecución al
entornos compatibles con el proveedor de la nube?
A. sin servidor
B. contenedores a pedido
C. contenedores como servicio (CaaS)
D. contenedores estibadores estándar
2. ¿Qué tres atributos son ventajas de la informática sin servidor, en comparación con
CaaS? (Elige tres.)
A. costos reducidos
B. mayor control sobre la carga de trabajo
C. mayor capacidad para monitorear e identificar problemas
D. mayor agilidad
E. gastos generales operativos reducidos
3.6 Compare las diferencias entre DevOps y DevSecOps
1. ¿Qué procesos continuos reemplazan las verificaciones manuales con pruebas de código automatizadas y
¿despliegue?
A. integración
B. desarrollo
https://translate.googleusercontent.com/translate_f
226/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
C. entrega
D. despliegue
2. ¿Cuáles son los dos significados de la canalización de CI / CD? (Escoge dos.)
A. integración continua / entrega continua
B. implementación continua / entrega continua
C. integración continua / despliegue continuo
D. implementación continua / despliegue continuo
3. ¿Qué paso de la canalización de CI / CD no se puede automatizar?
A. Codificación
B. Integración
C. Pruebas
D. Seguimiento
4. ¿Qué paso de la canalización de CI / CD es el lugar ideal para las pruebas de penetración automatizadas?
A. Codificación
B. Integración
C. Pruebas
D. Despliegue
3.7 Explicar la gobernanza y el cumplimiento relacionados con la implementación de aplicaciones SaaS
1. ¿Cuál es el significado de una aplicación SaaS que se anuncia como compatible con HIPPA?
R. Independientemente de cómo configure la aplicación para su empresa, será
Cumple con HIPPA.
B. Si su administrador configura la configuración de seguridad en la aplicación correctamente, usted
cumplirá con HIPPA.
© 2021 Palo Alto Networks, Inc.
280
Página 281
C.Si su administrador y sus usuarios usan la aplicación correctamente, será HIPPA
obediente.
D. Si su administrador y sus usuarios utilizan la aplicación correctamente, el
La aplicación no causará que usted no cumpla con HIPPA.
2. ¿Qué sistemas debe proteger para garantizar el cumplimiento de los estándares de seguridad?
A. los servidores en el centro de datos
B. los dispositivos propiedad de la empresa, ya sean servidores en el centro de datos,
vms en la nube que administra o dispositivos de punto final de usuario
C. cualquier sistema donde vayan los datos de los que eres responsable
D. todo dispositivo que sea propiedad de la empresa o que lo utilicen empleados de la empresa
3. ¿En qué área se requiere el cumplimiento de GDPR para hacer negocios?
A. Estados Unidos de América
B. Canadá
C. China
D. Unión Europea
3.8 Ilustre las debilidades de las soluciones de seguridad de datos tradicionales
1. ¿Cómo clasificaría un firewall de filtro de puerto el acceso a la URL?
https://example.com:22/this/page?
A. HTTP
B. HTTPS
C. Telnet
D. SSH
3.9 Comparar la protección del tráfico este-oeste y norte-sur
1. ¿El tráfico intra-VM también se conoce como qué tipo de tráfico?
A. norte-sur
B. desconocido
C. este-oeste
D. no confiable
2. ¿Cuál es el término para el tráfico entre un sitio web y una base de datos local que almacena información?
¿para ello?
A. norte-sur
B. este-oeste
C. desconocido
https://translate.googleusercontent.com/translate_f
227/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
D. nube
3. ¿Cuál es el término para el tráfico entre un sitio web y el navegador de un usuario remoto?
A. norte-sur
B. este-oeste
C. desconocido
D. nube
4. ¿Qué tipo de tráfico puede permanecer contenido en un solo servidor físico?
A. norte-sur
B. este-oeste
C. desconocido
D. confiable
5. ¿Qué tipo de tráfico se puede asegurar mediante un dispositivo físico?
© 2021 Palo Alto Networks, Inc.
281
Página 282
A. norte-sur
B. este-oeste
C. desconocido
D. nube
6. ¿Qué etapa de un ataque suele ser el tráfico de este a oeste?
A. reconocimiento
B. armamento
C. propagación lateral
D. acciones sobre el objetivo
3.11 Enumere los cuatro pilares de la seguridad de las aplicaciones en la nube [Prisma Cloud]
1. ¿Qué acción es parte del pilar de seguridad informática?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
2. ¿Qué acción forma parte del pilar de cumplimiento y gobernanza de la nube informática?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
3. ¿Qué acción forma parte del pilar de seguridad de la identidad?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
4. ¿Qué acción forma parte del pilar de seguridad de la red?
A. análisis de comportamiento de usuarios y entidades (UEBA)
B. Microsegmentación basada en microservicios
C. integración con el flujo de trabajo de CI / CD
D. inventario de activos automatizado
3.12 Ilustre la arquitectura SASE de Prisma Access
1. ¿Qué significa SASE?
A. Seguridad de acceso al servicio
B. Entorno sensible semi-accesible
C. Secretos accesibles en un entorno seguro
D. Servicio de acceso seguro Edge
2. ¿Qué dos tipos de servicios ofrece SASE? (Elige tres.)
A. Almacenamiento
B. seguridad
C. trabajo en red
D. calcular
3. ¿Cuáles son las dos ventajas de SASE? (Escoge dos.)
A. un único punto físico de entrada a la organización
B. un único punto lógico de entrada a la organización
C. un único punto físico de salida fuera de la organización
D. un único punto lógico de salida de la organización
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
282
228/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Página 283
3.13 Comparar aplicaciones SaaS autorizadas, toleradas y no autorizadas
1. Falso. Prisma SaaS se utiliza para proteger el uso autorizado de SaaS, como parte de un
solución de seguridad que incluye firewalls de próxima generación para evitar SaaS no autorizado
usar. Prisma SaaS se comunica directamente con las propias aplicaciones SaaS y
por lo tanto, no necesita implementarse en línea y no requiere ningún agente de software,
proxies, hardware adicional o cambios en la configuración de la red.
2. Verdadero. Prisma SaaS protege los datos en archivos alojados y entradas de aplicaciones.
3. ¿Quién es responsable del software de una aplicación SaaS autorizada?
A. proveedor
B. Departamento de TI
C. línea de negocio que lo utiliza
D. usuarios
4. ¿Quién es responsable de la configuración de seguridad de una aplicación SaaS autorizada?
A. proveedor
B. Departamento de TI
C. línea de negocio que lo utiliza
D. usuarios
Dominio del examen 4: elementos de las operaciones de seguridad
4.1 Enumere los seis elementos esenciales de las operaciones de seguridad eficaces
1. ¿Qué función SecOp es proactiva?
A. Identificar
B. Investigar
C. Mitigar
D. Mejorar
2. ¿Qué función de SecOp requiere procesar grandes cantidades de información y, por lo general, es
automatizado?
A. Identificar
B. Investigar
C. Mitigar
D. Mejorar
3. ¿Qué tres opciones comprenden parcialmente los seis elementos de SecOps? (Elige tres.)
Una personas
B. Redes
C. Almacenamiento de datos
D. Tecnología
E. Procesos
4. ¿Qué tres opciones comprenden parcialmente los seis elementos de SecOps? (Elige tres.)
A. Visibilidad
B. Recuperación de desastres
C. Negocios
D. Interfaces
E. Auditorías periódicas
4.2 Describir el propósito de la gestión de eventos e información de seguridad (SIEM) y SOAR
© 2021 Palo Alto Networks, Inc.
283
Página 284
1. ¿Qué significa SOAR?
A. Automatización de operaciones de seguridad para la reacción
B. Operaciones e investigación seguras
C. Operaciones, análisis e investigación de seguridad
D. Orquestación, automatización y respuesta de seguridad
2. ¿Cuál es la relación entre SIEM y SOAR?
https://translate.googleusercontent.com/translate_f
229/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
A.
productos
implementan
el proceso
SOAR. de producto.
B. Los
SIEM
y SOARSIEM
son nombres
diferentes
para lacomercial
misma categoría
C.Los sistemas SIEM recopilan información para identificar problemas a los que ayudan los productos SOAR
mitigar.
D. Los sistemas SOAR recopilan información para identificar problemas a los que ayudan los productos SIEM
mitigar.
3. ¿Cuál es la ventaja de las respuestas automáticas sobre las respuestas manuales?
Una velocidad
B. precisión
C. flexibilidad
D. facilidad de uso
4.3 Describir las herramientas de análisis utilizadas para detectar evidencia de un compromiso de seguridad.
1. ¿Qué entorno le permite instalar un dispositivo que ve todo el tráfico?
A. LAN cuando la gente trabaja desde casa
B. Centro de datos no virtualizado
C. centro de datos virtualizado
D. Red de VPC
2. Una herramienta de análisis generó una alerta, pero el analista de seguridad que la investigó la descubrió.
no fue un problema. ¿Qué tipo de hallazgo es este?
A. falso positivo
B. verdadero positivo
C. falso negativo
D. verdadero negativo
3. El aprendizaje automático de una herramienta de análisis identificó, correctamente, que la red está infectada por un
gusano. ¿Qué tipo de hallazgo es este?
A. falso positivo
B. verdadero positivo
C. falso negativo
D. verdadero negativo
4.4 Describir las características de la tecnología de protección de terminales Cortex XDR
1. Verdadero. La clave de Cortex XDR es bloquear las técnicas centrales de exploits y malware, no
ataques individuales.
2. ¿Qué dos ventajas tiene la tecnología de protección de puntos finales sobre el tráfico de red?
¿análisis? (Escoge dos.)
A. capacidad para identificar los ataques más comunes por sus síntomas
B. desplegado y gestionado de forma centralizada
C. más fácil de implementar la protección de endpoints cuando la gente trabaja desde casa
D. detecta canales de mando y control
E. puede identificar fácilmente los gusanos
3. ¿Cuál es el orden en el que el endpoint comprueba si un nuevo programa es seguro?
© 2021 Palo Alto Networks, Inc.
284
Página 285
A. protección contra amenazas de comportamiento, luego análisis local, luego consulta WildFire
B. análisis local, luego protección contra amenazas de comportamiento, luego consulta WildFire
C. Consulta de WildFire, luego análisis local, luego protección contra amenazas de comportamiento
D. análisis local, luego consulta WildFire, luego protección contra amenazas de comportamiento
4. De las comprobaciones de endpoints, ¿qué se omite para los programas conocidos?
A. Consulta de WildFire
B. protección contra amenazas de comportamiento
C. análisis local
D. Análisis de cortafuegos
5. ¿Qué tres sistemas operativos son compatibles con Cortex XDR? (seleccione tres)
A. z / OS
B. Linux
C. macOS
D. Minix
E. Android
4.5 Describa cómo Cortex XSOAR mejora la eficiencia del SOC y cómo Cortex Data Lake mejora el SOC
visibilidad
1. ¿Qué utiliza Cortex XSOAR para automatizar los procesos de seguridad?
A. scripts de bash
https://translate.googleusercontent.com/translate_f
230/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
B. Windows PowerShell
C. libros de jugadas
D. Scripts de Python
© 2021 Palo Alto Networks, Inc.
285
Página 286
Apéndice B: Glosario
Protocolo de resolución de direcciones (ARP): un protocolo que traduce una dirección lógica, como una IP
dirección, a una dirección MAC física. RARP traduce una dirección MAC física a una lógica
habla a. Consulte también dirección IP , dirección de control de acceso a medios (MAC) y dirección inversa
Protocolo de resolución (RARP) .
Estándar de cifrado avanzado (AES): un cifrado de bloque simétrico basado en Rijndael
cifrar.
AES: consulte Estándar de cifrado avanzado (AES).
AI: ver inteligencia artificial (AI).
Código estándar americano para el intercambio de información (ASCII): codificación de caracteres
esquema basado en el alfabeto inglés, que consta de 128 caracteres.
Android Packet Kit (APK): una aplicación creada para el sistema operativo móvil Android.
API: consulte la interfaz de programación de aplicaciones (API).
APK: consulte el kit de paquetes de Android (APK).
APLICACIÓN: Consulte los Principios de privacidad australianos (APLICACIÓN).
interfaz de programación de aplicaciones (API): un conjunto de rutinas, protocolos y herramientas para la construcción
aplicaciones e integraciones de software.
AR: Ver realidad aumentada (AR).
ARP: consulte Protocolo de resolución de direcciones (ARP).
inteligencia artificial (IA): la capacidad de un sistema o aplicación para interactuar y aprender de
su entorno, y realizar acciones automticamente en consecuencia, sin requerir explcitacin
programación.
AS: Ver sistema autónomo (AS).
ASCII: consulte el Código estándar americano para el intercambio de información (ASCII).
vector de ataque: ruta o herramienta que utiliza un atacante para atacar una red. También conocido como amenaza
vector.
realidad aumentada (AR): la realidad aumentada mejora un entorno del mundo real con
objetos.
https://translate.googleusercontent.com/translate_f
231/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Principios de privacidad australianos (APP): La Ley de privacidad de 1988 establece estándares para
recopilar y manejar información personal, denominados Principios de privacidad australianos
(APLICACIÓN).
Servidor DNS autorizado: El sistema de registro de un dominio determinado. Ver también Nombre de dominio
Sistema (DNS) .
sistema autónomo (AS): un grupo de rangos de direcciones IP contiguos bajo el control de un solo
entidad de internet. A los sistemas autónomos individuales se les asigna un número AS (ASN) de 16 o 32 bits
que identifica de forma única la red en Internet. Los ASN son asignados por Internet Assigned
Autoridad de Números (IANA). Consulte también Dirección de protocolo de Internet (IP) y Asignación de Internet.
Autoridad de Números (IANA) .
Hipervisor nativo : consulte hipervisor nativo .
BES: Ver sistema eléctrico a granel (BES) .
blockchain: una estructura de datos que contiene registros transaccionales (almacenados como bloques) que asegura
seguridad y transparencia a través de una vasta red descentralizada peer-to-peer sin un solo
© 2021 Palo Alto Networks, Inc.
286
Página 287
autoridad de control. La criptomoneda es un instrumento financiero basado en Internet que utiliza
tecnología blockchain. Consulte también criptomoneda .
Booleano: sistema de notación algebraica que se utiliza para representar proposiciones lógicas.
sector de arranque: contiene el código de la máquina que se carga en la memoria de un punto final por firmware
durante el proceso de inicio, antes de que se cargue el sistema operativo.
virus del sector de arranque: se dirige al sector de arranque o al registro de arranque maestro (MBR) del almacenamiento de un punto final
unidad u otro medio de almacenamiento extraíble. Consulte también sector de arranque y registro de arranque maestro (MBR) .
bot: puntos finales individuales que están infectados con malware avanzado que permite a un atacante
tomar el control del punto final comprometido. También conocido como zombi. Véase también botnet y
malware .
botnet: una red de bots (a menudo decenas de miles o más) que trabajan juntos bajo el control
de los atacantes que utilizan numerosos servidores de comando y control (C2). Consulte también bot .
puente: un dispositivo de red alámbrico o inalámbrico que extiende una red o se une a una red separada
segmentos.
traiga su propio acceso (BYOA): una política de acceso remoto en la que los usuarios remotos pueden
conectarse a la red corporativa usando un servicio inalámbrico personal (por ejemplo, servicio celular
para un teléfono inteligente personal) de un operador de red inalámbrica.
traiga su propio dispositivo (BYOD): una tendencia política en la que las organizaciones permiten que los usuarios finales utilicen
sus propios dispositivos personales, principalmente teléfonos inteligentes y tabletas, para fines relacionados con el trabajo. BYOD
alivia a las organizaciones del costo de proporcionar equipos a los empleados, pero crea un
desafío de gestión debido a la gran cantidad y tipo de dispositivos que deben ser compatibles.
cable de banda ancha: un tipo de acceso a Internet de alta velocidad que ofrece diferentes
descargar velocidades de datos a través de un medio de red compartido. La velocidad general varía según el
carga de tráfico de red de todos los suscriptores en el segmento de red.
dominio de difusión: la parte de una red que recibe paquetes de difusión enviados desde un nodo en
el dominio.
sistema eléctrico a granel (BES): El gran sistema eléctrico interconectado, que consta de generación
e instalaciones de transmisión (entre otras), que comprende la “red eléctrica”.
topología de bus: una topología de LAN en la que todos los nodos están conectados a un solo cable (el
backbone) que termina en ambos extremos. En el pasado, las redes de bus se usaban comúnmente para
redes muy pequeñas porque eran económicas y relativamente fáciles de instalar, pero hoy en día
las topologías rara vez se utilizan. El medio del cable tiene limitaciones físicas (la longitud del cable), la
La red troncal es un único punto de falla (una ruptura en cualquier parte de la red afecta a toda la red).
red), y el rastreo de una falla en una red grande puede ser extremadamente difícil. Ver también área local
red (LAN) .
BYOA: vea traer su propio acceso (BYOA).
BYOD: consulte traer su propio dispositivo (BYOD).
Ley de Privacidad del Consumidor de California (CCPA): un estatuto de protección del consumidor y derechos de privacidad
para los residentes de California que se promulgó en 2018 y entró en vigencia el 1 de enero de 2020.
CASB: consulte Agente de seguridad de acceso a la nube (CASB).
CCPA: consulte la Ley de privacidad del consumidor de California (CCPA).
CD: Ver entrega continua (CD).
CDN: consulte la red de entrega de contenido (CDN).
https://translate.googleusercontent.com/translate_f
232/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
proceso hijo: en los sistemas operativos multitarea, un subproceso creado por un proceso padre que es
© 2021 Palo Alto Networks, Inc.
287
Página 288
actualmente en ejecución en el sistema.
CI: Ver integración continua (CI).
CIDR: consulte el enrutamiento entre dominios sin clases (CIDR) .
CIP: consulte Protección de infraestructura crítica (CIP) .
red de conmutación de circuitos: una red en la que se establece una ruta de circuito físico dedicada,
mantenido y terminado entre el remitente y el receptor a través de una red para cada
Sesión de comunicaciones.
Enrutamiento entre dominios sin clases (CIDR): método para asignar direcciones IP y enrutamiento IP
que reemplaza el direccionamiento IP con clase (por ejemplo, redes de Clase A, B y C) con IP sin clase
direccionamiento. Consulte también la dirección de Protocolo de Internet (IP) .
agente de seguridad de acceso a la nube (CASB): software que supervisa la actividad y refuerza la seguridad
políticas sobre el tráfico entre los usuarios de una organización y las aplicaciones y servicios basados ​en la nube.
dominio de colisión: un segmento de red en el que los paquetes de datos pueden colisionar entre sí durante
transmisión.
Consumerización: Una tendencia informática que describe el proceso que ocurre como usuarios finales.
encontrar cada vez más tecnología personal y aplicaciones que son más potentes o capaces, más
convenientes, menos costosas, más rápidas de instalar y más fáciles de usar que las soluciones de TI empresariales.
contenedor: paquete de código de software ligero, ejecutable y estandarizado que contiene
los componentes necesarios para ejecutar una determinada aplicación (o aplicaciones), incluido el código, el tiempo de ejecución,
herramientas y bibliotecas del sistema, y ​ajustes de configuración, en un entorno aislado y virtualizado
para permitir la agilidad y portabilidad de las cargas de trabajo de la aplicación.
red de entrega de contenido (CDN): una red de servidores distribuidos que distribuye en caché
páginas web y otro contenido estático a un usuario desde una ubicación geográfica más cercana físicamente
al usuario.
implementación continua: una canalización de CI automatizada que requiere que el código pase
realizar pruebas antes de que se implemente automáticamente, lo que brinda a los clientes acceso instantáneo a nuevas funciones. Ver
también integración continua (CI) .
Integración continua (CI): un proceso de desarrollo que requiere que los desarrolladores integren código
en un repositorio varias veces al día para realizar pruebas automatizadas. Cada check-in es verificado por un
compilación automatizada, lo que permite a los equipos detectar problemas con anticipación.
Entrega continua (CD): una canalización de CI automatizada que requiere que el código pase
controles técnicos manuales antes de que se implemente en producción. Ver también continuo
integración (CI) .
convergencia: el tiempo necesario para que todos los enrutadores de una red actualicen sus tablas de enrutamiento con
la información de enrutamiento más actualizada sobre la red.
entidad cubierta: definida por HIPAA como un proveedor de atención médica que transmite PHI electrónicamente
(como médicos, clínicas, psicólogos, dentistas, quiroprácticos, hogares de ancianos y farmacias),
un plan de salud (como una compañía de seguros de salud, una organización de mantenimiento de la salud, una empresa
plan de salud o programa gubernamental que incluye Medicare, Medicaid, militares y veteranos
asistencia sanitaria) o una cámara de compensación sanitaria. Consulte también Portabilidad del seguro médico y
Ley de Responsabilidad (HIPAA) e información médica protegida (PHI) .
CRC: Ver comprobación de redundancia cíclica (CRC).
Protección de infraestructura crítica (CIP): estándares de ciberseguridad definidos por NERC para proteger
los activos físicos y cibernéticos necesarios para operar el sistema eléctrico a granel (BES). Ver también a granel
© 2021 Palo Alto Networks, Inc.
288
Página 289
sistema eléctrico (BES) y North American Electric Reliability Corporation (NERC) .
criptomoneda: una forma de moneda digital, como Bitcoin, que utiliza cifrado para controlar la
creación de moneda y verificación de la transferencia de fondos independientemente de un banco central o autoridad.
https://translate.googleusercontent.com/translate_f
233/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Ley de mejora de la ciberseguridad de 2014: una regulación de EE. UU. Que proporciona un
Asociación público-privada voluntaria para mejorar la ciberseguridad y fortalecer la ciberseguridad
investigación y desarrollo, desarrollo y educación de la fuerza laboral, y conciencia pública y
preparación.
Ley de intercambio de información sobre ciberseguridad (CISA): una regulación de EE. UU. Que mejora la información
compartir acerca de las amenazas a la seguridad cibernética al permitir que la información del tráfico de Internet se comparta entre
el gobierno de los Estados Unidos y las empresas de tecnología y fabricación.
Comprobación de redundancia cíclica (CRC): suma de comprobación que se utiliza para crear un perfil de mensaje. El CRC es
recalculado por el dispositivo receptor. Si el CRC recalculado no coincide con el CRC recibido,
el paquete se descarta y una solicitud para reenviar el paquete se transmite de vuelta al dispositivo que
envió el paquete.
DAAS: datos, activos, aplicaciones y servicios.
encapsulación de datos: proceso en el que la información de protocolo de la capa OSI o TCP / IP
inmediatamente arriba está envuelto en la sección de datos de la capa OSI o TCP / IP inmediatamente debajo.
También conocido como ocultación de datos. Consulte también el modelo de interconexión de sistemas abiertos (OSI) y
Modelo de Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) .
ocultación de datos: ver encapsulación de datos.
minería de datos: permite descubrir patrones en grandes conjuntos de datos mediante el aprendizaje automático,
análisis estadístico y tecnologías de bases de datos. Consulte también aprendizaje automático .
DDOS: consulte denegación de servicio distribuida (DDOS).
puerta de enlace predeterminada: un dispositivo de red, como un enrutador o conmutador, al que un punto final envía
tráfico de red cuando una aplicación o una aplicación no especifica una dirección IP de destino específica
servicio, o cuando el punto final no sabe cómo llegar a un destino específico. Ver también
enrutador y conmutador .
DevOps: la cultura y la práctica de la colaboración mejorada entre el desarrollo de aplicaciones
y equipos de operaciones de TI.
DGA: consulte el algoritmo de generación de dominios (DGA).
DHCP: consulte Protocolo de configuración dinámica de host (DHCP).
línea de suscriptor digital (DSL): un tipo de acceso a Internet de alta velocidad que ofrece diferentes
velocidades de carga y descarga de datos. La velocidad general depende de la distancia desde la casa o
ubicación comercial a la oficina central del proveedor (CO).
denegación de servicio distribuida (DDOS): un tipo de ciberataque en el que volúmenes extremadamente altos
del tráfico de red, como paquetes, datos o transacciones, se envían a la red de la víctima objetivo para
hacer su red y sistemas (como un sitio web de comercio electrónico u otra aplicación web)
no disponible o inutilizable.
DLL: consulte la biblioteca de vínculos dinámicos (DLL).
DNS: consulte Sistema de nombres de dominio (DNS).
DNS sobre HTTPS (DoH): tráfico DNS cifrado mediante el protocolo HTTPS. Ver también
Sistema de nombres de dominio (DNS) y Protocolo seguro de transferencia de hipertexto (HTTPS) .
DoH: consulte DNS sobre HTTPS (DOH) .
algoritmo de generación de dominio (DGA): programa diseñado para generar nombres de dominio en
© 2021 Palo Alto Networks, Inc.
289
Página 290
una moda particular. Los atacantes desarrollaron DGA para que el malware pueda generar rápidamente una lista de
dominios que puede utilizar para mando y control (C2).
registrador de nombres de dominio: una organización que está acreditada por un registro de TLD para administrar el dominio
registros de nombres. Consulte también dominio de nivel superior (TLD) .
Sistema de nombres de dominio (DNS): una base de datos distribuida jerárquica que asigna el FQDN para
computadoras, servicios o cualquier recurso conectado a Internet o una red privada a una IP
habla a. Consulte también el nombre de dominio completo (FQDN) .
Descarga automática: una descarga de software, generalmente software malicioso, que se realiza sin que el usuario
conocimiento o permiso.
DSL: Ver línea de abonado digital (DSL).
Protocolo de configuración dinámica de host (DHCP): un protocolo de administración de red que
asigna dinámicamente (arrendamiento) direcciones IP y otros parámetros de configuración de red (como
puerta de enlace predeterminada e información de DNS) a los dispositivos de una red. Consulte también puerta de enlace predeterminada y
Sistema de nombres de dominio (DNS) .
biblioteca de vínculos dinámicos (DLL): un tipo de archivo utilizado en los sistemas operativos de Microsoft que permite
múltiples programas para compartir simultáneamente instrucciones de programación contenidas en un solo archivo para
https://translate.googleusercontent.com/translate_f
234/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
realizar funciones específicas.
EAP: consulte Protocolo de autenticación extensible (EAP) .
EAP-TLS: consulte Seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS) .
EBCDIC: consulte Código de intercambio decimal codificado en binario extendido (EBCDIC).
EHR: consulte la historia clínica electrónica (EHR) .
historia clínica electrónica (EHR): según la definición de HealthIT.gov, una EHR “va más allá de los datos
recopilados en el consultorio del proveedor e incluyen un historial más completo del paciente. Datos de HCE
puede ser creado, administrado y consultado por proveedores autorizados y personal de más de
una organización sanitaria ".
historia clínica electrónica (EMR): según la definición de HealthIT.gov, una EMR "contiene el estándar
datos médicos y clínicos recopilados en el consultorio de un proveedor ".
EMR: consulte la historia clínica electrónica (EMR) .
punto final: un dispositivo informático, como una computadora de escritorio o portátil, un escáner de mano, IoT
dispositivo o sensor (como un vehículo autónomo, un dispositivo inteligente, un medidor inteligente, un televisor inteligente o
dispositivo portátil), terminal de punto de venta (POS), impresora, radio satelital, seguridad o
cámara de videoconferencia, quiosco de autoservicio, teléfono inteligente, tableta o teléfono VoIP. A pesar de que
Los puntos finales pueden incluir servidores y equipos de red, el término se utiliza generalmente para describir
dispositivos de usuario. Consulte también Internet de las cosas (IoT) y Voice over Internet Protocol (VoIP) .
Enterprise 2.0: término introducido por Andrew McAfee y definido como "el uso de
plataformas de software social dentro de las empresas, o entre empresas y sus socios o
clientes." Consulte también Web 2.0 .
exclusivo o (XOR): un operador booleano en el que la salida es verdadera solo cuando las entradas son
diferente (por ejemplo, VERDADERO y VERDADERO es igual a FALSO, pero VERDADERO y FALSO es igual a VERDADERO).
Consulte también booleano .
exploit: una pequeña pieza de código de software, parte de un archivo de datos con formato incorrecto o una secuencia (cadena) de
comandos, que aprovecha una vulnerabilidad en un sistema o software, causando no intencional o
Comportamiento no anticipado en el sistema o software.
Código de intercambio decimal extendido codificado en binario (EBCDIC): una codificación de caracteres de 8 bits
© 2021 Palo Alto Networks, Inc.
290
Página 291
esquema ampliamente utilizado en computadoras centrales y de rango medio.
Realidad extendida (XR): cubre ampliamente el espectro desde la realidad física a la virtual con varios
grados de experiencias sensoriales parciales a totalmente inmersivas.
Protocolo de autenticación extensible (EAP): un marco de autenticación ampliamente utilizado que
incluye alrededor de 40 métodos de autenticación diferentes.
Seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS): Internet
Estándar abierto de Engineering Task Force (IETF) que utiliza Transport Layer Security (TLS)
Protocolo en redes Wi-Fi y conexiones PPP. Véase también Grupo de trabajo de ingeniería de Internet
(IETF) , Protocolo punto a punto (PPP) y Seguridad de la capa de transporte (TLS) .
Lenguaje de marcado extensible (XML): una especificación de lenguaje de programación que define un
conjunto de reglas para codificar documentos en un formato legible por humanos y legible por máquina.
FaaS: Ver función como servicio (FaaS).
falso negativo: en anti-malware, malware que se identifica incorrectamente como un archivo legítimo o
solicitud. En la detección de intrusos, una amenaza que se identifica incorrectamente como tráfico legítimo. Ver
también falso positivo .
falso positivo: en antimalware, un archivo o una aplicación legítimos que se identifica incorrectamente como
malware. En la detección de intrusiones, tráfico legítimo que se identifica incorrectamente como una amenaza. Ver
también falso negativo .
favicon ("icono favorito"): un archivo pequeño que contiene uno o más iconos pequeños asociados con un
sitio web o página web en particular.
Ley de Notificación de Violación de Datos de Intercambio Federal de 2015: una regulación de EE.
fortalece la HIPAA al exigir que los intercambios de seguros médicos notifiquen a las personas cuyas
la información personal se ha visto comprometida como resultado de una violación de datos tan pronto como sea posible,
pero a más tardar 60 días después del descubrimiento de la infracción. Consulte también Portabilidad del seguro médico y
Ley de Responsabilidad (HIPAA) .
Ley Federal de Administración de Seguridad de la Información (FISMA): consulte Seguridad Federal de la Información
Ley de Modernización (FISMA) .
Ley Federal de Modernización de la Seguridad de la Información (FISMA): una ley de EE. UU. Que implementa un
https://translate.googleusercontent.com/translate_f
235/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Marco integral para proteger los sistemas de información utilizados en el gobierno federal de EE. UU.
agencias. Conocida como la Ley Federal de Gestión de Seguridad de la Información antes de 2014.
fibra óptica: tecnología que convierte las señales de datos eléctricos en luz y proporciona datos constantes
velocidades en las direcciones de carga y descarga a través de un medio de cable de fibra óptica dedicado. Fibra
La tecnología óptica es mucho más rápida y segura que otros tipos de tecnología de red.
Protocolo de transferencia de archivos (FTP): programa que se utiliza para copiar archivos de un sistema a otro a través de un
red.
FISMA: consulte la Ley Federal de Modernización de la Seguridad de la Información (FISMA) .
disquete: un medio de almacenamiento magnético extraíble comúnmente utilizado desde mediados de la década de 1970 hasta
alrededor de 2007, cuando fue reemplazado en gran medida por dispositivos de almacenamiento USB extraíbles.
control de flujo: una técnica utilizada para monitorear el flujo de datos entre dispositivos para asegurar que un
dispositivo receptor, que puede no estar operando necesariamente a la misma velocidad que el transmisor
dispositivo, no suelta paquetes.
FQDN: consulte el nombre de dominio completo (FQDN) .
FTP: consulte Protocolo de transferencia de archivos (FTP).
nombre de dominio completo (FQDN): el nombre de dominio completo para una computadora específica,
© 2021 Palo Alto Networks, Inc.
291
Página 292
servicio o recurso conectado a Internet o una red privada.
función como servicio (FAAS): Un servicio de computación en la nube que proporciona una plataforma para
clientes para desarrollar, ejecutar y administrar las funciones de sus aplicaciones sin tener que construir y
mantener la infraestructura normalmente necesaria para desarrollar y lanzar una aplicación.
GDPR: consulte el Reglamento general de protección de datos (GDPR) .
Reglamento general de protección de datos (GDPR): un reglamento de la Unión Europea (UE) que se aplica
a cualquier organización que haga negocios con residentes de la UE. Refuerza la protección de datos para la UE
residentes y aborda la exportación de datos personales fuera de la UE.
Encapsulación de enrutamiento genérico (GRE): un protocolo de tunelización desarrollado por Cisco Systems que
puede encapsular varios protocolos de capa de red dentro de enlaces virtuales punto a punto.
GIF: consulte Formato de intercambio de gráficos (GIF).
GLBA: Ver Ley Gramm-Leach-Bliley (GLBA) .
Ley Gramm-Leach-Bliley (GLBA): una ley de EE. UU. Que requiere que las instituciones financieras implementen
políticas de privacidad y seguridad de la información para salvaguardar la información personal no pública de
clientes y consumidores.
Formato de intercambio de gráficos (GIF): un formato de imagen de mapa de bits que permite hasta 256 colores y
es adecuado para imágenes o logotipos (pero no fotografías).
GRE: consulte Encapsulación de enrutamiento genérico (GRE) .
hacker: término utilizado originalmente para referirse a cualquier persona con habilidades informáticas altamente especializadas,
sin connotar buenos o malos propósitos. Sin embargo, el mal uso común del término ha redefinido un
hacker como alguien que elude la seguridad informática con intenciones maliciosas, como un
ciberdelincuente, ciberterrorista o hacktivista.
firma hash: una representación criptográfica de un archivo completo o del código fuente de un programa.
Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA): una ley de EE. UU. Que define los datos
requisitos de privacidad y seguridad para proteger los registros médicos de las personas y otros
información de salud. Consulte también la entidad cubierta y la información médica protegida (PHI).
heap spray: una técnica utilizada para facilitar la ejecución de código arbitrario inyectando un cierto
secuencia de bytes en la memoria de un proceso de destino.
hexteto: grupo de cuatro dígitos hexadecimales de 4 bits en una dirección IPv6 de 128 bits. Ver también Internet
Dirección de protocolo (IP) .
Bits de orden superior: los primeros cuatro bits de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP)
dirección , octeto y bits de orden inferior .
HIPAA: Consulte la Ley de responsabilidad y portabilidad de seguros médicos (HIPAA).
recuento de saltos: la cantidad de nodos de enrutador por los que debe pasar un paquete para llegar a su destino.
hipervisor alojado: un hipervisor que se ejecuta dentro de un entorno de sistema operativo. También conocido
como hipervisor de tipo 2. Consulte también hipervisor e hipervisor nativo .
HTTP: consulte Protocolo de transferencia de hipertexto (HTTP).
HTTPS: consulte Protocolo seguro de transferencia de hipertexto (HTTPS).
hub: un dispositivo que se utiliza para conectar varios dispositivos en red juntos en una red de área local
(LAN). También conocido como concentrador.
https://translate.googleusercontent.com/translate_f
236/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Protocolo de transferencia de hipertexto (HTTP): un protocolo de aplicación que se utiliza para transferir datos entre
servidores web y navegadores web.
Protocolo seguro de transferencia de hipertexto (HTTPS): una versión segura de HTTP que utiliza SSL o
Cifrado TLS. Consulte también Secure Sockets Layer (SSL) y Transport Layer Security (TLS) .
© 2021 Palo Alto Networks, Inc.
292
Página 293
hipervisor: tecnología que permite la ejecución de varios sistemas operativos virtuales (o invitados)
simultáneamente en una sola computadora host física.
IaaS: consulte Infraestructura como servicio (IaaS) .
IaC: vea la infraestructura como código (IaC).
IAM: consulte Gestión de identidades y accesos (IAM).
IANA: Ver Autoridad de Números Asignados de Internet (IANA).
ICMP: consulte Protocolo de mensajes de control de Internet (ICMP) .
IDE: ver entorno de desarrollo integrado (IDE).
Gestión de identidades y accesos (IAM): un marco de procesos, políticas y
tecnologías que facilitan la gestión de identidades electrónicas o digitales.
IETF: consulte Grupo de trabajo de ingeniería de Internet (IETF) .
IMAP: consulte Protocolo de acceso a mensajes de Internet (IMAP).
indicador de compromiso (IoC): un artefacto de red o sistema operativo (SO) que proporciona un
alto nivel de confianza de que se ha producido un incidente de seguridad informática.
infraestructura como servicio (IaaS). Un modelo de servicio de computación en la nube en el que los clientes pueden
aprovisionar procesamiento, almacenamiento, redes y otros recursos informáticos e implementar y ejecutar
sistemas operativos y aplicaciones. Sin embargo, el cliente no tiene conocimiento y no
administrar o controlar la infraestructura de nube subyacente. El cliente tiene control sobre el funcionamiento
sistemas, almacenamiento y aplicaciones implementadas, junto con algunos componentes de red (para
ejemplo, cortafuegos de host). La empresa es propietaria de las aplicaciones y los datos implementados, y
por lo tanto, responsable de la seguridad de esas aplicaciones y datos.
Infraestructura como código (IaC): un proceso de DevOps en el que los desarrolladores o los equipos de operaciones de TI
puede aprovisionar y administrar mediante programación la pila de infraestructura (como máquinas virtuales,
redes y conectividad) para una aplicación en software. Consulte también DevOps .
vector de inicialización (IV): un número aleatorio que se utiliza solo una vez en una sesión, junto con un
clave de cifrado, para proteger la confidencialidad de los datos. También conocido como nonce.
entorno de desarrollo integrado (IDE): una aplicación de software que proporciona
herramientas integrales como un editor de código fuente, herramientas de automatización de compilación y un depurador para
desarrolladores de aplicaciones.
comunicación entre procesos (IPC): un mecanismo en un sistema operativo que lo hace
posible coordinar actividades al mismo tiempo y gestionar datos compartidos entre diferentes programas
Procesos.
Autoridad de Números Asignados de Internet (IANA): una corporación estadounidense privada sin fines de lucro que
supervisa la asignación de direcciones IP globales, la asignación de números del sistema autónomo (AS), la zona raíz
gestión en el sistema de nombres de dominio (DNS), tipos de medios y otros protocolos de Internet
símbolos relacionados y números de Internet. Ver también sistema autónomo (AS) y Nombre de dominio
Sistema (DNS) .
Protocolo de mensajes de control de Internet (ICMP): protocolo de Internet que se utiliza para transmitir
mensajes.
Grupo de trabajo de ingeniería de Internet (IETF): una comunidad internacional abierta de redes
diseñadores, operadores, proveedores e investigadores preocupados por la evolución de Internet
arquitectura y el buen funcionamiento de Internet.
Protocolo de acceso a mensajes de Internet (IMAP): un protocolo de correo electrónico de almacenamiento y reenvío que permite
cliente de correo electrónico para acceder, administrar y sincronizar el correo electrónico en un servidor remoto.
© 2021 Palo Alto Networks, Inc.
293
Página 294
Internet de las cosas (IoT): IoT se refiere a la red de objetos físicos inteligentes conectados que
https://translate.googleusercontent.com/translate_f
237/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
están integrados con electrónica, software, sensores y conectividad de red.
Dirección de Protocolo de Internet (IP): un identificador de 32 bits o 128 bits asignado a un dispositivo en red
para comunicaciones en la capa de red del modelo OSI o la capa de Internet del TCP / IP
modelo. Consulte también el modelo de interconexión de sistemas abiertos (OSI) y control de transmisión
Modelo de Protocolo / Protocolo de Internet (TCP / IP) .
intranet: una red privada que proporciona información y recursos, como una empresa
directorio, políticas y formularios de recursos humanos, archivos de departamento o equipo, y otros
información a los usuarios de una organización. Al igual que Internet, una intranet utiliza HTTP y / o
Protocolos HTTPS, pero el acceso a una intranet normalmente está restringido a los
usuarios. Microsoft SharePoint es un ejemplo popular de software de intranet. Ver también hipertexto
Protocolo de transferencia (HTTP) y Protocolo de transferencia de hipertexto seguro (HTTPS) .
IoC: ver indicador de compromiso (IoC) .
IoT: consulte Internet de las cosas (IoT) .
Dirección IP: consulte Dirección de Protocolo de Internet (IP) .
Telefonía IP: consulte Protocolo de voz sobre Internet (VoIP).
IPC: consulte comunicación entre procesos (IPC).
IV: Ver vector de inicialización (IV) .
jailbreak: piratear un dispositivo Apple iOS para obtener acceso de nivel raíz al dispositivo. Este hackeo
a veces lo hacen los usuarios finales para permitirles descargar e instalar aplicaciones móviles sin
pagando por ellos, de fuentes, distintas a la App Store, que no estén sancionadas y / o
controlado por Apple. El jailbreak evita las funciones de seguridad del dispositivo al reemplazar el
el sistema operativo del firmware con una versión similar, aunque falsa, lo que hace que el dispositivo
vulnerable a malware y exploits. Consulte también enraizamiento .
Grupo conjunto de expertos en fotografía (JPEG): método de compresión fotográfica utilizado para
almacenar y transmitir fotografías.
JPEG: consulte Grupo conjunto de expertos en fotografía (JPEG).
Kerberos: protocolo de autenticación en el que se utilizan tickets para identificar a los usuarios de la red.
LAN: consulte red de área local (LAN).
privilegio mínimo: un principio de seguridad de red en el que solo el permiso o los derechos de acceso
necesarios para realizar una tarea autorizada.
bit menos significativo: el último bit de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP)
dirección , octeto y bit más significativo .
topología de bus lineal: consulte la topología de bus.
LLC: consulte Control de enlace lógico (LLC).
red de área local (LAN): una red de computadoras que conecta computadoras portátiles y de escritorio,
servidores, impresoras y otros dispositivos para que las aplicaciones, bases de datos, archivos y almacenamiento de archivos, y
otros recursos en red se pueden compartir en un área geográfica relativamente pequeña, como un
piso, un edificio o un grupo de edificios.
Control de enlace lógico (LLC): una subcapa de la capa de enlace de datos del modelo OSI que gestiona la
control, secuenciación y reconocimiento de tramas y gestiona el tiempo y el control de flujo. Ver
también modelo de Interconexión de Sistemas Abiertos (OSI) y control de flujo .
Evolución a largo plazo (LTE): un tipo de conexión celular 4G que proporciona conectividad rápida
principalmente para uso de Internet móvil.
© 2021 Palo Alto Networks, Inc.
294
Página 295
Bits de orden inferior: los últimos cuatro bits de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP)
dirección , octeto y bits de orden superior .
LTE: consulte Evolución a largo plazo (LTE).
M2M: Ver máquina a máquina (M2M).
Dirección MAC: consulte la dirección de control de acceso a medios (MAC).
aprendizaje automático: un subconjunto de IA que aplica algoritmos a grandes conjuntos de datos para descubrir
patrones en los datos que luego se pueden utilizar para mejorar el rendimiento del sistema. Ver también
inteligencia artificial (IA) .
máquina a máquina (M2M): los dispositivos M2M son dispositivos en red que intercambian datos y
puede realizar acciones sin interacción humana manual.
malware: software o código malicioso que normalmente daña, toma el control o recopila
información de un endpoint infectado. El malware incluye, en general, virus, gusanos y troyanos.
(incluidos los troyanos de acceso remoto o RAT), anti-AV, bombas lógicas, puertas traseras, kits de raíz, arranque
https://translate.googleusercontent.com/translate_f
238/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
kits, software espía y (en menor medida) software publicitario.
registro de arranque maestro (MBR): el primer sector en el disco duro de una computadora, que contiene información
acerca de cómo se organizan las particiones lógicas (o sistemas de archivos) en los medios de almacenamiento, y una
cargador de arranque ejecutable que inicia el sistema operativo instalado.
MBR: consulte el registro de arranque maestro (MBR).
MEC: consulte computación de borde de acceso múltiple (MEC).
Dirección de control de acceso a medios (MAC): un identificador único de 48 o 64 bits asignado a un
tarjeta de interfaz de red (NIC) para comunicaciones en la capa de enlace de datos del modelo OSI. Ver
también modelo Open Systems Interconnection (OSI) .
metamorfismo: una técnica de programación utilizada para alterar el código de malware con cada iteración, para
Evite la detección por software anti-malware basado en firmas. Aunque la carga útil del malware
cambia con cada iteración, por ejemplo, mediante el uso de una secuencia o estructura de código diferente, o
insertar código basura para cambiar el tamaño del archivo, el comportamiento fundamental de la carga útil del malware
permanece sin cambios. El metamorfismo utiliza técnicas más avanzadas que el polimorfismo. Ver
también polimorfismo .
MFA: consulte autenticación multifactor (MFA).
Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP): un protocolo utilizado para
autenticar estaciones de trabajo basadas en Microsoft Windows mediante un mecanismo de desafío-respuesta para
autenticar conexiones PPTP sin enviar contraseñas. Consulte también Túneles punto a punto.
Protocolo (PPTP) .
realidad mixta (MR): incluye tecnologías como VR, AR y XR, que brindan una
y experiencia sensorial física y digital interactiva en tiempo real. Ver también realidad aumentada
(AR) , realidad extendida (XR) y realidad virtual (VR) .
bit más significativo: el primer bit de un octeto de dirección IPv4 de 32 bits. Consulte también Protocolo de Internet (IP)
dirección , octeto y bit menos significativo .
Motion Picture Experts Group (MPEG): método de compresión de audio y video que se utiliza para
almacenar y transmitir archivos de audio y video.
MPEG: consulte Grupo de expertos en imágenes en movimiento (MPEG).
MPLS: Ver conmutación de etiquetas multiprotocolo (MPLS).
MR: Ver realidad mixta (MR) .
MS-CHAP: consulte el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP) .
© 2021 Palo Alto Networks, Inc.
295
Página 296
Informática de borde de acceso múltiple (MEC): MEC está definido por la European Telecommunications
Standards Institute (ETSI) como un entorno “caracterizado por una latencia ultrabaja y alta
ancho de banda, así como acceso en tiempo real a la información de la red de radio que puede ser aprovechado por
aplicaciones ”.
multicloud: un entorno (o estrategia) de nube empresarial que consta de dos o más
y / o nubes privadas.
autenticación multifactor (MFA): cualquier mecanismo de autenticación que requiera dos o más
de los siguientes factores: algo que sabes, algo que tienes, algo que eres.
conmutación de etiquetas multiprotocolo (MPLS): MPLS es una tecnología de red que enruta el tráfico
utilizando la ruta más corta basada en "etiquetas", en lugar de direcciones de red, para manejar el reenvío
a través de redes privadas de área amplia.
mutex: un objeto de programa que permite que varios subprocesos de programa compartan el mismo recurso, como
como acceso a archivos, pero no simultáneamente.
NAT: consulte traducción de direcciones de red (NAT).
Ley Nacional de Promoción de la Protección de la Ciberseguridad de 2015: un reglamento de EE. UU. Que enmienda
la Ley de Seguridad Nacional de 2002 para mejorar el intercambio multidireccional de información relacionada con
la seguridad cibernética pone en riesgo y refuerza la protección de la privacidad y las libertades civiles.
hipervisor nativo: un hipervisor que se ejecuta directamente en el hardware del equipo host. También conocido
como hipervisor de tipo 1 o bare-metal. Consulte también hipervisor e hipervisor alojado .
búsqueda de lenguaje natural: la capacidad de comprender el lenguaje hablado y el contexto humano, en lugar de
que una búsqueda booleana, por ejemplo, para encontrar información. Consulte también booleano .
NERC: consulte la Corporación de Confiabilidad Eléctrica de América del Norte (NERC) .
traducción de direcciones de red (NAT): técnica utilizada para virtualizar direcciones IP mediante el mapeo
direcciones IP privadas no enrutables asignadas a dispositivos de red internos a direcciones IP públicas.
Directiva de seguridad de la red y la información (NIS): una directiva de la Unión Europea (UE) que
https://translate.googleusercontent.com/translate_f
239/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
impone requisitos de seguridad de la red y de la información para bancos, empresas de energía, servicios de salud
proveedores y proveedores de servicios digitales, entre otros.
Directiva NIS: consulte la Directiva de seguridad de la información y las redes (NIS) .
nonce: Ver vector de inicialización (IV).
North American Electric Reliability Corporation (NERC): una organización internacional sin fines de lucro
autoridad reguladora responsable de asegurar la confiabilidad del sistema eléctrico a granel (BES) en
los Estados Unidos continentales, Canadá y la parte norte de Baja California, México. Ver
también sistema eléctrico a granel (BES) y Protección de infraestructura crítica (CIP) .
ofuscación: Una técnica de programación utilizada para hacer que el código sea ilegible. Se puede implementar
utilizando un cifrado de sustitución simple, como una operación XOR, o un cifrado más sofisticado
algoritmos, como AES. Consulte también Estándar de cifrado avanzado (AES) , exclusivo o (XOR) ,
y empaquetador .
octeto: grupo de 8 bits en una dirección IPv4 de 32 bits. Consulte Dirección de Protocolo de Internet (IP) .
función hash unidireccional: una función matemática que crea una representación única (un hash
valor) de un conjunto más grande de datos de una manera que sea fácil de calcular en una dirección (entrada para
salida), pero no en sentido inverso (salida a entrada). La función hash no puede recuperar el
texto original del valor hash. Sin embargo, un atacante podría intentar adivinar lo que el original
text era y ver si produce un valor hash coincidente.
Modelo de interconexión de sistemas abiertos (OSI): un modelo de red de siete capas que consta de
© 2021 Palo Alto Networks, Inc.
296
Página 297
la Aplicación (Capa 7 o L7), Presentación (Capa 6 o L6), Sesión (Capa 5 o L5), Transporte
(Capa 4 o L4), Red (Capa 3 o L3), Enlace de datos (Capa 2 o L2) y Físico (Capa 1 o
L1) capas. Define protocolos estándar para la comunicación y la interoperabilidad utilizando una capa
enfoque en el que los datos se pasan de la capa más alta (aplicación) hacia abajo a través de cada
capa a la capa más baja (física), luego se transmite a través de la red a su destino, luego
pasó hacia arriba desde la capa más baja a la capa más alta. Consulte también encapsulación de datos .
portadora óptica: una especificación estándar para el ancho de banda de transmisión de señales digitales en
Redes de fibra óptica SONET. Las velocidades de transmisión de la portadora óptica están designadas por el número entero
valor del múltiplo de la tasa base (51.84Mbps). Por ejemplo, OC-3 designa un 155.52Mbps
(3 x 51,84) y OC-192 designa una red de 9953,28 Mbps (192 x 51,84). Ver también
Redes ópticas síncronas (SONET) .
Modelo OSI: consulte el modelo de interconexión de sistemas abiertos (OSI).
PaaS: ver plataforma como servicio (PaaS) .
empaquetador: una herramienta de software que se puede utilizar para ofuscar código comprimiendo un programa de malware
para su entrega, luego descomprimiéndolo en la memoria en tiempo de ejecución. Véase también ofuscación .
captura de paquetes (pcap): Intercepción de tráfico de paquetes de datos que se pueden utilizar para análisis.
Red de conmutación de paquetes: una red en la que los dispositivos comparten ancho de banda en las comunicaciones.
enlaces para transportar paquetes entre un remitente y un receptor a través de una red.
PAP: consulte el Protocolo de autenticación de contraseña (PAP) .
Protocolo de autenticación de contraseña (PAP): un protocolo de autenticación utilizado por PPP para validar
usuarios con una contraseña no cifrada. Consulte también Protocolo punto a punto (PPP) .
Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS): información patentada
estándar de seguridad exigido y administrado por el PCI Security Standards Council (SSC), y
aplicable a cualquier organización que transmita, procese o almacene tarjetas de pago (como tarjetas de débito)
y tarjetas de crédito) información. Consulte también PCI Security Standards Council (SSC) .
pcap: Ver captura de paquetes (pcap).
PCI: consulte los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
PCI DSS: consulte los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
PCI Security Standards Council (SSC): un grupo que comprende Visa, MasterCard, American
Express, Discover y JCB que mantiene, evoluciona y promueve PCI DSS. Ver también Pago
Estándares de seguridad de datos de la industria de tarjetas (PCI DSS) .
PDU: Ver unidad de datos de protocolo (PDU).
Ley de Protección de la Información Personal y Documentos Electrónicos (PIPEDA): una
ley de privacidad que define los derechos individuales con respecto a la privacidad de sus
información, y gobierna cómo las organizaciones del sector privado recopilan, usan y divulgan información personal
información en el curso del negocio.
información de identificación personal (PII): definida por el Instituto Nacional de Estándares de EE. UU.
y Tecnología (NIST) como "cualquier información sobre un individuo mantenida por una agencia,
https://translate.googleusercontent.com/translate_f
240/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo ...
y (2) cualquier otra información que esté vinculada o que pueda vincularse a un individuo ... "
pharming: un tipo de ataque que redirige el tráfico de un sitio web legítimo a un sitio falso.
PHI: consulte la información médica protegida (PHI).
PII: consulte la información de identificación personal (PII).
PIPEDA: Ver Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA).
© 2021 Palo Alto Networks, Inc.
297
Página 298
PKI: consulte infraestructura de clave pública (PKI) .
plataforma como servicio (PaaS): un modelo de servicio de computación en la nube en el que los clientes pueden implementar
aplicaciones compatibles en la infraestructura de nube del proveedor, pero el cliente no tiene
conoce y no gestiona ni controla la infraestructura de nube subyacente. El cliente
tiene control sobre las aplicaciones implementadas y ajustes de configuración limitados para la aplicaciónentorno de alojamiento. La empresa es propietaria de las aplicaciones y los datos implementados y, por lo tanto, es
responsable de la seguridad de esas aplicaciones y datos.
Playbooks: flujos de trabajo gráficos basados ​en tareas que ayudan a visualizar los procesos en todos los productos de seguridad.
Los libros de jugadas pueden ser completamente automáticos, completamente manuales o en cualquier lugar intermedio. También conocido como
Manuales.
PoE: consulte Alimentación a través de Ethernet (PoE).
Protocolo punto a punto (PPP): una capa de protocolo de capa 2 (enlace de datos) que se utiliza para establecer una
conexión entre dos nodos.
Protocolo de túnel punto a punto (PPTP): un método obsoleto para implementar
redes privadas, con muchos problemas de seguridad conocidos, que utilizan un canal de control TCP y un GRE
túnel para encapsular paquetes PPP. Consulte también Protocolo de control de transmisión (TCP) , genérico
Encapsulación de enrutamiento (GRE) y Protocolo punto a punto (PPP) .
polimorfismo: una técnica de programación utilizada para alterar una parte del código de malware con cada
iteración, para evitar la detección por software anti-malware basado en firmas. Por ejemplo, un
La clave de cifrado o la rutina de descifrado pueden cambiar con cada iteración, pero la carga útil del malware
permanece sin cambios. Véase también metamorfismo .
POP3: consulte Protocolo de oficina postal versión 3 (POP3).
Protocolo de oficina postal versión 3 (POP3): un protocolo de recuperación de correo electrónico que permite a un cliente de correo electrónico
para acceder al correo electrónico en un servidor de correo electrónico remoto.
Power over Ethernet (PoE): un estándar de red que proporciona energía eléctrica a ciertos
dispositivos de red a través de cables Ethernet.
PPP: consulte Protocolo punto a punto (PPP) .
PPTP: consulte Protocolo de túnel punto a punto (PPTP).
clave precompartida (PSK): un secreto compartido, utilizado en la criptografía de clave simétrica que se ha
intercambiado entre dos partes que se comunican a través de un canal cifrado.
nube privada: un modelo de computación en la nube que consta de una infraestructura en la nube que se utiliza
exclusivamente por una sola organización.
integraciones de productos (o aplicaciones): mecanismos a través de los cuales las plataformas SOAR se comunican
con otros productos. Estas integraciones se pueden ejecutar a través de API REST, webhooks y
otras técnicas. Una integración puede ser unidireccional o bidireccional, permitiendo esta última
ambos productos para ejecutar acciones entre consolas. Consulte también orquestación de seguridad, automatización y
respuesta (SOAR) , transferencia de estado representacional (REST) y programación de aplicaciones
interfaz (API) .
proteger la superficie: en una arquitectura Zero Trust, la superficie de protección consta de los elementos más críticos y
datos, activos, aplicaciones y servicios valiosos (DAAS) en una red.
información de salud protegida (PHI): definida por HIPAA como información sobre la
estado de salud, prestación de atención médica o pago por atención médica que incluya identificadores como
nombres, identificadores geográficos (más pequeños que un estado), fechas, números de teléfono y fax, correo electrónico
direcciones, números de seguro social, números de historia clínica o fotografías. Ver también Salud
© 2021 Palo Alto Networks, Inc.
298
Página 299
https://translate.googleusercontent.com/translate_f
241/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) .
unidad de datos de protocolo (PDU): Unidad autónoma de datos (que consta de datos de usuario o control
información y direccionamiento de red).
PSK: consulte la clave precompartida (PSK) .
nube pública: un modelo de implementación de computación en la nube que consta de una infraestructura en la nube que
abierto al público en general.
Infraestructura de clave pública (PKI): un conjunto de roles, políticas y procedimientos necesarios para crear,
administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar el cifrado de clave pública.
QoS: consulte calidad de servicio (QoS) .
calidad de servicio (QoS): El rendimiento general de aplicaciones o servicios específicos en un
red, incluida la tasa de error, la tasa de bits, el rendimiento, el retardo de transmisión, la disponibilidad, la fluctuación, etc. QoS
Las políticas se pueden configurar en ciertas redes y dispositivos de seguridad para priorizar cierto tráfico,
como voz o video, sobre otro tráfico menos intensivo en rendimiento, como transferencias de archivos.
RADIUS: consulte Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) .
tabla de arco iris: una tabla precalculada que se utiliza para encontrar el valor original de un hash criptográfico
función.
RARP: consulte el Protocolo de resolución de dirección inversa (RARP).
RASP: consulte la autoprotección de aplicaciones en tiempo de ejecución (RASP).
RBAC: consulte control de acceso basado en roles (RBAC).
consulta de DNS recursiva: una consulta de DNS que se realiza (si el servidor DNS permite
consultas) cuando un servidor DNS no tiene autoridad para un dominio de destino. El no autoritario
El servidor DNS obtiene la dirección IP del servidor DNS autorizado para el dominio de destino y
envía la solicitud de DNS original a ese servidor para que se resuelva. Véase también Sistema de nombres de dominio
(DNS) y servidor DNS autorizado .
Servicio de usuario de acceso telefónico de autenticación remota (RADIUS): un protocolo cliente-servidor y
software que permite que los servidores de acceso remoto se comuniquen con un servidor central para autenticarse
usuarios y autorizan el acceso a un sistema o servicio.
Llamada a procedimiento remoto (RPC): un protocolo de comunicación entre procesos (IPC) que permite
la aplicación se ejecutará en una computadora o red diferente, en lugar de en la computadora local en
que está instalado.
repetidor: un dispositivo de red que aumenta o retransmite una señal para extender físicamente el rango de un
red cableada o inalámbrica.
Transferencia de estado representacional (REST): un estilo de programación arquitectónica que normalmente se ejecuta
a través de HTTP, y se usa comúnmente para aplicaciones móviles, sitios web de redes sociales y mashup
instrumentos. Consulte también Protocolo de transferencia de hipertexto (HTTP) .
REST: Ver transferencia de estado representacional (REST) .
Protocolo de resolución de dirección inversa (RARP): un protocolo que traduce una MAC física
dirección a una dirección lógica. Consulte también la dirección de control de acceso a medios (MAC) .
topología de anillo: una topología de LAN en la que todos los nodos están conectados en un bucle cerrado que forma un
anillo continuo. En una topología de anillo, todas las comunicaciones viajan en una sola dirección alrededor del
anillo. Las topologías en anillo eran comunes en las redes token ring. Consulte también red de área local (LAN) .
control de acceso basado en roles (RBAC): un método para implementar controles de acceso discrecional en
cuyas decisiones de acceso se basan en la pertenencia al grupo, de acuerdo con la organización o
roles funcionales.
© 2021 Palo Alto Networks, Inc.
299
Página 300
enraizamiento: el equivalente de Google Android al jailbreak. Ver jailbreak .
enrutador: un dispositivo de red que envía paquetes de datos a una red de destino a lo largo de una ruta de red.
RPC: consulte llamada a procedimiento remoto (RPC) .
Autoprotección de aplicaciones en tiempo de ejecución (RASP): tecnología que detecta ataques contra un
aplicación en tiempo real. RASP monitorea continuamente el comportamiento de una aplicación y el contexto de
comportamiento para identificar y prevenir inmediatamente actividades maliciosas.
SaaS: consulte software como servicio (SaaS).
salt: datos generados aleatoriamente que se utilizan como una entrada adicional a una función hash unidireccional que
hash una contraseña o frase de contraseña. El mismo texto original mezclado con diferentes sales da como resultado
diferentes valores hash. Consulte también la función hash unidireccional .
https://translate.googleusercontent.com/translate_f
242/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Ley Sarbanes-Oxley (SOX): una ley de EE. UU. Que aumenta la gobernanza financiera y la responsabilidad
en empresas que cotizan en bolsa.
SASE: consulte Secure Access Service Edge (SASE).
SCM: consulte gestión de configuración de software (SCM).
script kiddie: alguien con habilidades limitadas de piratería y / o programación que utiliza
programas (malware) escritos por otros para atacar una computadora o red. Consulte también malware .
SCTP: consulte Protocolo de transmisión de control de flujo (SCTP).
SD-WAN: consulte la red de área amplia definida por software (SD-WAN).
Secure Access Service Edge (SASE): una solución integrada que proporciona
servicios de redes y seguridad y acceso a aplicaciones en la nube entregadas a través de un
marco de referencia.
Secure Shell (SSH): una alternativa más segura a Telnet para el acceso remoto. SSH establece una
túnel cifrado entre el cliente y el servidor, y también puede autenticar al cliente en el
servidor. Consulte también telnet .
Capa de sockets seguros (SSL): un protocolo criptográfico para gestionar la autenticación y
comunicación cifrada entre un cliente y un servidor para proteger la confidencialidad y la integridad
de datos intercambiados en la sesión.
puerta de enlace web segura (SWG): una plataforma o servicio de seguridad que está diseñado para mantener
visibilidad en el tráfico web. La funcionalidad adicional puede incluir el filtrado de contenido web.
orquestación, automatización y respuesta de seguridad (SOAR): tecnología que ayuda a coordinar,
ejecutar y automatizar tareas entre varias personas y herramientas, lo que permite a las empresas responder
rápidamente a los ataques de ciberseguridad y mejorar su postura de seguridad general. Uso de herramientas SOAR
manuales para automatizar y coordinar los flujos de trabajo que pueden incluir cualquier número de
herramientas de seguridad y tareas humanas. Consulte también el libro de jugadas .
sin servidor: generalmente se refiere a un modelo operativo en la computación en nube en el que las aplicaciones
Confíe en servicios administrados que abstraen la necesidad de administrar, parchear y proteger la infraestructura.
y máquinas virtuales. Las aplicaciones sin servidor se basan en una combinación de servicios gestionados en la nube
y ofertas de FaaS. Consulte también función como servicio (FaaS) .
identificador de conjunto de servicios (SSID): un identificador alfanumérico de 32 caracteres que distingue entre mayúsculas y minúsculas
identifica de forma única una red Wi-Fi.
Protocolo de inicio de sesión (SIP): estándar de protocolo de señalización abierto para establecer,
administrar y finalizar comunicaciones en tiempo real como voz, video y texto en grandes
Redes basadas en IP.
Protocolo simple de transferencia de correo (SMTP): protocolo que se utiliza para enviar y recibir correo electrónico
© 2021 Palo Alto Networks, Inc.
300
Página 301
Internet.
Protocolo simple de administración de red (SNMP): protocolo que se utiliza para recopilar información
colegios electorales y envío de trampas (o alertas) a un puesto de gestión.
SIP: consulte Protocolo de inicio de sesión (SIP).
SMTP: consulte Protocolo simple de transferencia de correo (SMTP).
SNMP: consulte Protocolo simple de administración de redes (SNMP).
SOAR: vea orquestación, automatización y respuesta de seguridad (SOAR).
software como servicio (SaaS): una categoría de servicios de computación en la nube en la que el cliente
proporcionó acceso a una aplicación alojada que es mantenida por el proveedor de servicios.
Red de área amplia definida por software (SD-WAN): un servicio virtualizado que separa
Procesos de control y gestión de la red desde el hardware subyacente en un área amplia.
red y los pone a disposición como software.
Gestión de configuración de software (SCM): La tarea de rastrear y controlar los cambios en
software.
SONET: Ver redes ópticas síncronas (SONET).
SOX: Ver Ley Sarbanes-Oxley (SOX) .
spear phishing: un ataque de phishing altamente dirigido que utiliza información específica sobre el objetivo
para que el intento de phishing parezca legítimo.
SSH: consulte Secure Shell (SSH) .
SSID: consulte el identificador de conjunto de servicios (SSID) .
SSL: consulte Capa de sockets seguros (SSL).
STIX: consulte Expresión estructurada de información sobre amenazas (STIX).
https://translate.googleusercontent.com/translate_f
243/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
Stream Control Transmission Protocol (SCTP): un protocolo orientado a mensajes (similar a
UDP) que asegura un transporte en secuencia confiable con control de congestión (similar a TCP). Ver
también User Datagram Protocol (UDP) y Transmission Control Protocol (TCP) .
Expresión estructurada de información sobre amenazas (STIX): formato XML para transmitir datos sobre
amenazas de ciberseguridad en un formato estandarizado. Consulte también Lenguaje de marcado extensible (XML) .
máscara de subred: un número que oculta la parte de red de una dirección IPv4, dejando solo el host
parte de la dirección IP. Consulte también la dirección de Protocolo de Internet (IP) .
división en subredes: técnica utilizada para dividir una red grande en subredes múltiples más pequeñas.
superredes: una técnica utilizada para agregar múltiples redes contiguas más pequeñas en un mayor
red para permitir un enrutamiento de Internet más eficiente.
SWG: consulte puerta de enlace web segura (SWG).
conmutador: un concentrador inteligente que reenvía paquetes de datos solo al puerto asociado con el
dispositivo de destino en una red.
Red óptica síncrona (SONET): un protocolo que transfiere múltiples flujos de bits digitales.
sincrónicamente a través de fibra óptica.
T-carrier: un sistema de transmisión digital full-duplex que usa múltiples pares de alambre de cobre para
transmitir señales eléctricas a través de una red. Por ejemplo, un circuito T-1 consta de dos pares de
alambre de cobre - un par transmite, el otro par recibe - que se multiplexan para proporcionar un total
de 24 canales, cada uno de los cuales entrega 64 Kbps de datos, para un ancho de banda total de 1.544 Mbps.
TCP: consulte Protocolo de control de transmisión (TCP).
Segmento TCP: una PDU definida en la capa de transporte del modelo OSI. Ver también datos de protocolo
© 2021 Palo Alto Networks, Inc.
301
Página 302
unidad (PDU) y modelo de interconexión de sistemas abiertos (OSI) .
Modelo TCP / IP: consulte el modelo Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) .
deuda técnica: Un concepto de desarrollo de software, que también se ha aplicado de manera más general a
TI, en la que se anticipan costos futuros adicionales para reelaborar debido a una decisión o curso anterior
de acción que era necesaria para la agilidad, pero no necesariamente la más óptima o apropiada
decisión o curso de acción.
telnet: un emulador de terminal que se utiliza para proporcionar acceso remoto a un sistema.
Apretón de manos de tres vías: una secuencia utilizada para establecer una conexión TCP. Por ejemplo, una PC
inicia una conexión con un servidor enviando un paquete TCP SYN (Sincronizar). El servidor
responde con un paquete SYN ACK (Sincronizar acuse de recibo). Finalmente, la PC envía un ACK
o paquete SYN-ACK-ACK, reconociendo el reconocimiento del servidor y los datos
comienza la comunicación. Consulte también Protocolo de control de transmisión (TCP) .
vector de amenaza: Ver vector de ataque.
TLD: consulte dominio de nivel superior (TLD).
TLS: consulte Seguridad de la capa de transporte (TLS) .
dominio de nivel superior (TLD): el dominio de nivel más alto en DNS, representado por la última parte de un
FQDN (por ejemplo, .com o .edu). Los TLD más utilizados son genéricos de nivel superior.
dominios (gTLD) como .com, edu, .net y .org, y dominios de nivel superior con código de país (ccTLD)
como .ca y .us. Consulte también Sistema de nombres de dominio (DNS) .
Protocolo de control de transmisión (TCP): Orientado a la conexión (una conexión directa entre
dispositivos de red se establece antes de que se transfieran los segmentos de datos) protocolo que proporciona
entrega confiable (los segmentos recibidos son reconocidos y la retransmisión de los
se solicitan segmentos corruptos) de datos.
Modelo de Protocolo de control de transmisión / Protocolo de Internet (TCP / IP): una red de cuatro capas
modelo que consta de la Aplicación (Capa 4 o L4), Transporte (Capa 3 o L3), Internet (Capa 2
o L2) y capas de acceso a la red (capa 1 o L1).
Seguridad de la capa de transporte (TLS): el sucesor de SSL (aunque todavía se denomina comúnmente
como SSL). Consulte también Capa de sockets seguros (SSL) .
Hipervisor de tipo 1: consulte hipervisor nativo .
Hipervisor de tipo 2: consulte hipervisor alojado.
UDP: consulte Protocolo de datagramas de usuario (UDP).
Datagrama UDP: Una PDU definida en la capa de transporte del modelo OSI. Ver también datos de protocolo
unidad (PDU), protocolo de datagramas de usuario (UDP) y modelo de interconexión de sistemas abiertos (OSI) .
UEBA: ver análisis de comportamiento de usuarios y entidades (UEBA).
Análisis de comportamiento de usuarios y entidades (UEBA): un tipo de solución o característica de ciberseguridad que
https://translate.googleusercontent.com/translate_f
244/245
20/12/21 15:22
GUÍA DE ESTUDIO PCCET DE PALO ALTO NETWORKS
descubre amenazas identificando la actividad que se desvía de una línea de base normal.
identificador uniforme de recursos (URI): una cadena de caracteres que identifica de forma única un recurso,
utilizando una sintaxis predefinida en un esquema de nomenclatura jerárquico.
localizador uniforme de recursos (URL): una referencia única (o dirección) a un recurso de Internet, como
como una página web.
URI: consulte el identificador uniforme de recursos (URI).
URL: consulte el localizador uniforme de recursos (URL) .
Protocolo de datagramas de usuario (UDP): sin conexión (una conexión directa entre redes
dispositivos no se establece antes de que se transfieran los datagramas) protocolo que proporciona el mejor esfuerzo
© 2021 Palo Alto Networks, Inc.
302
Página 303
entrega (los datagramas recibidos no son reconocidos y los datagramas faltantes o dañados no son
solicitado) de datos.
enmascaramiento de subred de longitud variable (VLSM): una técnica que permite que los espacios de direcciones IP sean
dividido en diferentes tamaños. Consulte también la dirección de Protocolo de Internet (IP) .
Red de área local virtual (VLAN): una red lógica que se crea dentro de un local físico
red de área.
máquina virtual (VM): una emulación de un sistema informático físico (hardware) que incluye
CPU, memoria, disco, sistema operativo, interfaces de red, etc.
realidad virtual (VR): una experiencia digital simulada.
VLAN: consulte red de área local virtual (VLAN) .
VLSM: consulte el enmascaramiento de subred de longitud variable (VLSM) .
VM: consulte máquina virtual (VM).
Protocolo de voz sobre Internet (VoIP): tecnología que proporciona comunicación de voz a través de un
Red basada en Protocolo de Internet (IP). También conocida como telefonía IP.
VoIP: consulte Protocolo de voz sobre Internet (VoIP) .
VR: vea la realidad virtual (VR).
vulnerabilidad: un error o falla que existe en un sistema o software y crea un riesgo de seguridad.
WAN: consulte red de área amplia (WAN).
abrevadero: un ataque que compromete sitios web que es probable que sean visitados por un objetivo
víctima para entregar malware a través de una descarga automática. Consulte también descarga desde un vehículo .
Web 2.0: término popularizado por Tim O'Reilly y Dale Dougherty que se refiere extraoficialmente a un
nueva era de la World Wide Web, que se caracteriza por contenido dinámico o generado por el usuario,
interacción y colaboración, y el crecimiento de las redes sociales. Consulte también Enterprise 2.0 .
Web 3.0: como se define en ExpertSystem.com, Web 3.0 se caracteriza por los siguientes cinco
características: web semántica, inteligencia artificial, gráficos 3D, conectividad y ubicuidad.
caza de ballenas: un tipo de ataque de spear phishing que se dirige específicamente a altos ejecutivos u otros
objetivos de alto perfil dentro de una organización. Consulte también suplantación de identidad (spear phishing) .
red de área amplia (WAN): una red informática que conecta varias LAN u otras WAN
en un área geográfica relativamente grande, como una ciudad pequeña, una región o un país, un
red empresarial, o en todo el planeta (por ejemplo, Internet). Véase también red de área local.
(LAN) .
repetidor inalámbrico: un dispositivo que retransmite la señal inalámbrica desde un enrutador inalámbrico o AP a
ampliar el alcance de una red Wi-Fi.
XML: consulte Lenguaje de marcado extensible (XML) .
XOR: Ver exclusivo o (XOR) .
XR: Ver realidad extendida (XR).
Amenaza de día cero: la ventana de vulnerabilidad que existe desde el momento en que una nueva (desconocida) amenaza
se publica hasta que los proveedores de seguridad publiquen un archivo de firma o un parche de seguridad para la amenaza.
zombie: Ver bot .
© 2021 Palo Alto Networks, Inc.
https://translate.googleusercontent.com/translate_f
303
245/245
Descargar