Analityk ds. cyberbezpieczeństwa




Reagowania na incydenty

1. Jeśli Lucca chce zweryfikować pliki aplikacji, które pobrał od dostawcy swojej aplikacji, jakich informacji powinien od nich zażądać?

A. Rozmiar pliku i data utworzenia pliku
B. Skrót MD5
C. Klucz prywatny i skrót kryptograficzny
D. Klucz publiczny i skrót kryptograficzny

2. Jeff odkrywa wiele zdjęć JPEG podczas dochodzenia kryminalistycznego komputera biorącego udział w incydencie. Kiedy uruchamia exiftool w celu zebrania metadanych plików, które informacje prawdopodobnie nie będą częścią obrazów, nawet jeśli mają nienaruszone pełne metadane?

A. Lokalizacja GPS
B. Typ kamery
C. Liczba wykonanych kopii
D. Prawidłowa data/sygnatura czasowa

3. Chris chce uruchomić John the Ripper z hasłami systemu Linux. Czego potrzebuje, aby spróbować odzyskać hasło w systemie?

A. Zarówno /etc/passwd, jak i /etc/shadow
B. /etc/shadow
C. /etc/passwd
D. Chris nie może odzyskać haseł; przechowywane są tylko skróty.

4. Charles musi przejrzeć uprawnienia ustawione w strukturze katalogów w badanym systemie Windows, aby określić, czy system zawiera nieautoryzowane uprawnienia. Które narzędzie Sysinternals zapewni mu tę funkcjonalność?

A. DiskView
B. DostępWyliczenie
C. du
D. AccessChk

5. John zaprojektował swoją sieć tak, jak pokazano tutaj i umieszcza niezaufane systemy, które chcą połączyć się z siecią, w segmencie sieci Gości. Jak nazywa się ten rodzaj segmentacji?



A. Proaktywna segmentacja sieci
B. Izolacja
C. Kwarantanna
D. Usunięcie

6. Organizacja, dla której pracuje Jamal, klasyfikuje zdarzenia związane z bezpieczeństwem przy użyciu standardowych definicji NIST. Jakiej klasyfikacji powinien użyć, gdy odkryje oprogramowanie do rejestrowania kluczy na jednym ze swoich laptopów często podróżujących służbowo?

A. Wydarzenie
B. Zdarzenie niepożądane
C. Incydent bezpieczeństwa
D. Naruszenie zasad

7. Mei planuje wdrożyć w swojej sieci funkcje wykrywania nieuczciwych punktów dostępowych. Jeśli chce zastosować najskuteczniejszą zdolność wykrywania, jaką może, to które z poniższych typów wykrywania powinna najpierw wdrożyć?

A. Autoryzowany MAC
B. Autoryzowany identyfikator SSID
Domena 4.0: Reakcja na incydent 211
C. Autoryzowany kanał
D. Autoryzowany sprzedawca

8. Dan projektuje sieć segmentową, która umieszcza systemy o różnych poziomach wymagań bezpieczeństwa w różnych podsieciach z zaporami ogniowymi i innymi urządzeniami zabezpieczającymi sieć pomiędzy nimi. W jakiej fazie procesu reagowania na incydenty znajduje się Dan?

A. Aktywność po zdarzeniu
B. Wykrywanie i analiza
C. Przygotowanie
D. Ograniczanie, eliminacja i odzyskiwanie

9. Firma, w której pracuje Brian, przetwarza karty kredytowe i musi być zgodna z PCI DSS. Jeśli firma Briana doświadczy naruszenia danych karty, jakiego rodzaju ujawnienia będzie musiała podać?

A. Powiadomienie lokalnych organów ścigania
B. Powiadomienie do banku przejmującego
C. Powiadomienie federalnych organów ścigania
D. Powiadomienie Visa i MasterCard

10. Lauren chce utworzyć kopię zapasową uprawnień systemu Linux przed wprowadzeniem zmian na stacji roboczej z systemem Linux, którą próbuje naprawić. Jakiego narzędzia Linux może użyć do utworzenia kopii zapasowej uprawnień całego katalogu w systemie?

A. chbkup
B. getfacl
C. aclman
D. Nie ma popularnego narzędzia do tworzenia kopii zapasowych w systemie Linux.

11. Podczas pracy nad przywróceniem systemów do ich oryginalnej konfiguracji po długotrwałym złamaniu zabezpieczeń APT, Manish ma trzy opcje:

A. Może przywracać dane z kopii zapasowej, a następnie aktualizować poprawki w systemie.
B. Potrafi odbudować i załatać system przy użyciu oryginalnych nośników instalacyjnych i oprogramowania aplikacji, korzystając z dokumentacji kompilacji swojej organizacji.
C. Może usunąć zhakowane konta i narzędzia do rootkitów, a następnie naprawić problemy, które umożliwiły atakującym dostęp do systemów.

Którą opcję powinien wybrać Manish w tym scenariuszu?

A. Opcja A
B. Wariant B
C. Opcja C
D. Żadne z powyższych. Manish powinien zatrudnić osobę trzecią do oceny systemów przed kontynuowaniem.

12. Jessica chce uzyskać dostęp do dysku zaszyfrowanego w systemie macOS FileVault 2. Która z poniższych metod nie jest możliwym sposobem odblokowania woluminu?

A. Zmień klucz FileVault, używając konta zaufanego użytkownika.
B. Pobierz klucz z pamięci, gdy wolumin jest zamontowany.
C. Uzyskaj klucz odzyskiwania.
D. Wyodrębnij klucze z iCloud.

13. Susan odkrywa następujące wpisy dziennika, które pojawiły się w odstępie kilku sekund w jej konsoli Squert (interfejs sieciowy Sguil). Co najprawdopodobniej wykryły jej czujniki sieciowe?



A. Nieudane połączenie z bazą danych z serwera
B. Atak typu "odmowa usługi"
C. Skanowanie portu
D. Źle skonfigurowane źródło dziennika

14. Frank chce rejestrować tworzenie kont użytkowników na stacji roboczej Windows. Jakiego narzędzia powinien użyć, aby włączyć to logowanie?

A. secpol.msc
B. auditpol.msc
C. regedit
D. Frank nie musi dokonywać zmian;
jest to ustawienie domyślne.

15. Jeśli Suki chce wyczyścić popęd, która z poniższych opcji pozwoli osiągnąć jej cel?

A. Wymazywanie kryptograficzne
B. Reformatowanie
C. Nadpisz
D. Podział

16. Cynthia chce zbudować skrypty do wykrywania zachowań związanych z sygnalizacją złośliwego oprogramowania. Które z poniższych nie jest typowym sposobem identyfikowania zachowań związanych z sygnalizacją złośliwego oprogramowania w sieci?

A. Trwałość naświetlania
B. Protokół Beacon
Domena 4.0: Reakcja na incydent 213
C. Interwał radiolatarni
D. Usunięcie znanego ruchu

17. Podczas przeprowadzania walidacji po przebudowie Scott skanuje serwer ze zdalnej sieci i nie widzi luk w zabezpieczeniach. Joanna, administrator maszyny, przeprowadza skanowanie i odkrywa dwie krytyczne luki oraz pięć umiarkowanych problemów. Co najprawdopodobniej powoduje różnicę w ich raportach?

A. Podczas skanowania stosowano różne poziomy poprawek.
B. Skanują przez system równoważenia obciążenia.
C. Między siecią zdalną a serwerem znajduje się zapora.
D. Scott lub Joanna przeprowadzili skanowanie podatności z różnymi ustawieniami.

18. W ramach współpracy jego organizacji w dużej sprawie karnej, zespół kryminalistyczny Adama został poproszony o przesłanie obrazu kryminalistycznego bardzo wrażliwego, zhakowanego systemu w formacie RAW do zewnętrznego eksperta kryminalistycznego. Jakie kroki powinien podjąć zespół Adama przed wysłaniem dysku zawierającego obraz kryminalistyczny?

A. Zakoduj w formacie EO1 i podaj skrót oryginalnego pliku na dysku.
B. Zakoduj w formacie FTK i podaj skrót nowego pliku na dysku.
C. Zaszyfruj plik RAW i przenieś skrót i klucz pod osobną okładką.
D. Odszyfruj plik RAW i przenieś skrót pod osobną okładką.

19. Mika chce przeanalizować zawartość dysku bez wprowadzania w nim żadnych zmian. Jaka metoda najlepiej się do tego nadaje?

A. Ustaw zworkę "tylko do odczytu" na dysku. B. Użyj blokady zapisu.
C. Użyj blokera odczytu.
D. Użyj pakietu oprogramowania śledczego.

20. Jaki rodzaj formularza związanego z dochodzeniem sądowym jest tutaj pokazany?



A. Łańcuch dowodowy
B. Sprawozdanie z badania
C. Dziennik wykrywania kryminalistycznego
D. Zwolnienie z ochrony polisy

21. Które z poniższych poleceń manipulacji plikami nie jest używane do wyświetlania zawartości pliku?

A . head
B. tail
C. chmod
D. cat

22. Eric ma dostęp do pełnego zestawu narzędzi do monitorowania sieci i chce używać odpowiednich narzędzi do monitorowania wykorzystania przepustowości sieci. Która z poniższych nie jest powszechną metodą monitorowania wykorzystania przepustowości sieci?

A. SNMP
B. Portmon
C. Wąchanie pakietów
D. NetFlow

23. James chce ustalić, czy inne systemy Windows w jego sieci są zainfekowane tym samym pakietem złośliwego oprogramowania, który wykrył na analizowanej stacji roboczej. Usunął system ze swojej sieci, odłączając kabel sieciowy, zgodnie z zasadami firmy. Wie, że system wykazywał wcześniej działanie sygnalizacyjne i chce wykorzystać to zachowanie do identyfikacji innych zainfekowanych systemów. Jak może bezpiecznie utworzyć odcisk palca dla tego sygnalizatora bez modyfikowania zainfekowanego systemu?

A. Podłącz system do sieci i szybko przechwyć ruch na zaporze za pomocą Wireshark lub tcpdump.
B. Podłącz system do izolowanego przełącznika i użyj portu span lub dotknij i Wireshark/tcpdump do przechwytywania ruchu.
C. Sprawdź pamięć podręczną ARP pod kątem ruchu wychodzącego.
D. Przejrzyj dziennik Zapory systemu Windows w poszukiwaniu dzienników ruchu.

24. Fred próbuje ustalić, czy konto użytkownika uzyskuje dostęp do innych systemów w jego sieci i używa lsof do określenia, jakie pliki ma otwarte konto użytkownika. Jakie informacje powinien zidentyfikować w obliczu następujących wyników lsof?



A. Demo konta użytkownika jest połączone z remote.host.com do systemu lokalnego.
B. Demo użytkownika zastąpiło plik wykonywalny /bash tym, który kontroluje.
C. Demo użytkownika ma połączenie wychodzące do remote.host.com.
D. Demo użytkownika ma przychodzące połączenie SSH i zastąpiło plik binarny Bash.

25. Po zakończeniu procesu reagowania na incydenty i dostarczeniu końcowego raportu do kierownictwa, jaki krok powinna wykonać Casey, aby zidentyfikować ulepszenia swojego planu reagowania na incydenty?

A. Zaktualizuj dokumentację systemu.
B. Przeprowadź sesję wyciągniętych wniosków.
C. Przejrzyj stan aktualizacji i skany luk w zabezpieczeniach.
D. Zaangażuj zewnętrznych konsultantów.

26. Kierownictwo wyższego szczebla w firmie, w której pracuje Kathleen, jest zaniepokojone nieuczciwymi urządzeniami w sieci. Jeśli Kathleen chce zidentyfikować nieuczciwe urządzenia w swojej sieci przewodowej, które z poniższych rozwiązań szybko dostarczy najdokładniejszych informacji?

A. Skanowanie przy użyciu skanera portów
B. Raportowanie adresów MAC routerów i przełączników
C. Fizyczna ankieta
D. Przegląd centralnego narzędzia do administrowania punktami końcowymi

27. Podczas badania błędu systemowego Lauren uruchamia polecenie df na komputerze z systemem Linux, którego jest administratorem. Jaki problem i prawdopodobną przyczynę powinna zidentyfikować na podstawie tego wpisu?

# df -h /zmienna/

Używany rozmiar systemu plików Dostępne użycie% Zamontowany na

/dev/sda1 40G 11,2G 28,8 28% /
/dev/sda2 3.9G 3.9G 0 100% /var

A. Partycja var jest pełna i należy ją wyczyścić.
B. Luźna przestrzeń została wypełniona i należy ją wyczyścić.
C. Partycja var jest pełna i należy sprawdzić logi.
D. System działa normalnie i naprawi problem po ponownym uruchomieniu.

28. W kolejności, który zestaw uprawnień Linuksa jest od najmniej do najbardziej liberalnego?

A. 777, 444, 111
B. 544, 444, 545
C. 711, 717, 117
Dz. 111, 734, 747

29. Gdy Lauren przygotowuje praktyki i zasady bezpieczeństwa swojej organizacji, chce zająć się jak największą liczbą wektorów zagrożeń, korzystając z programu uświadamiającego. Które z poniższych zagrożeń można najskuteczniej poradzić sobie poprzez świadomość?

A. Wyniszczenie
B. Podszywanie się
C. Niewłaściwe użycie
D. Sieć

30. Scott chce odzyskać hasła użytkowników do systemów w ramach analizy kryminalistycznej. Jeśli chce przetestować najszerszy zakres haseł, w którym z poniższych trybów powinien uruchomić John= The Ripper?

A. Tryb pojedynczego pęknięcia
B. Tryb listy słów
C. Tryb przyrostowy
D. Tryb zewnętrzny

31. Podczas dochodzenia kryminalistycznego Lukas odkrywa, że musi przechwycić maszynę wirtualną, która jest częścią krytycznych operacji witryny internetowej jego firmy. Jeśli nie może zawiesić lub wyłączyć maszyny z powodów biznesowych, jaki proces obrazowania powinien wykonać?

A. Wykonaj migawkę systemu, uruchom go, wstrzymaj skopiowaną wersję i skopiuj katalog, w którym się on znajduje.
B. Skopiuj pliki dysku wirtualnego, a następnie użyj narzędzia do przechwytywania pamięci.
C. Eskalować do kierownictwa, aby uzyskać pozwolenie na zawieszenie systemu, aby umożliwić prawdziwą kopię dochodzeniową.
D. Użyj narzędzia takiego jak Volatility Framework, aby całkowicie uchwycić działającą maszynę.

32. Mika, informatyk sądowy, otrzymuje komputer osobisty i jego urządzenia peryferyjne, które podczas dochodzenia zostały przechwycone jako dowody sądowe. Po tym, jak podpisuje się na dzienniku kontroli pochodzenia i zaczyna przygotowywać się do dochodzenia, jedną z pierwszych rzeczy, jakie zauważa, jest to, że każdy kabel i port zostały oznaczone kolorową naklejką przez zespół na miejscu. Dlaczego przedmioty są tak oznaczone?

A. Aby zapewnić łańcuch dostaw
B. Aby zapewnić prawidłowy ponowny montaż
C. Aby umożliwić łatwiejszą dokumentację nabycia
D. Aby zabezpieczyć system przed manipulacją

33. Laura musi stworzyć bezpieczną funkcję przesyłania wiadomości dla swojego zespołu reagowania na incydenty. Która z poniższych metod zapewni jej bezpieczne narzędzie do przesyłania wiadomości?

A. Wiadomości tekstowe
B. Serwer Jabber z włączoną obsługą TLS
C. Poczta e-mail z włączonym TLS
D. Aplikacja do przesyłania wiadomości korzystająca z protokołu Signal

34. Przeglądając swoje dzienniki Nagios, Selah odkrywa pokazany tutaj komunikat o błędzie. Co powinna zrobić z tym błędem?



A. Sprawdź dowody skanowania portu.
B. Przejrzyj dziennik błędów Apache.
C. Uruchom ponownie serwer, aby przywrócić usługę.
D. Uruchom ponownie usługę Apache.

35. Lakshman musi oczyścić dyski twarde, które opuszczą jego organizację po zakończeniu dzierżawy. Dyski zawierały informacje, które jego organizacja klasyfikuje jako dane wrażliwe, które konkurenci uznaliby za cenne, gdyby mogli je uzyskać. Który wybór jest najwłaściwszy, aby zapewnić, że podczas tego procesu nie dojdzie do narażenia danych?

A. Jasne, zweryfikuj i udokumentuj.
B. Oczyść dyski.
C. Oczyść, zatwierdź i udokumentuj.
D. Dyski muszą zostać zniszczone, aby nie doszło do utraty danych.

36. Selah przygotowuje się do zebrania obrazu kryminalistycznego dla komputera Macintosh z systemem operacyjnym Mojave. Jaki format dysku twardego najprawdopodobniej napotka?

A. FAT32
B. MacFAT
C. APFS
D. HFS+

37. Podczas kryminalistycznej analizy komputera pracownika w ramach śledztwa dotyczącego zasobów ludzkich w sprawie nadużycia zasobów firmy, Tim odkrywa program o nazwie Eraser zainstalowany na komputerze. Czego Tim powinien się spodziewać w ramach swojego śledztwa?

A. Wyczyszczony dysk C:
B. Działania antykryminalistyczne
C. Wyczyszczono wszystkie wolne miejsca
D. Wyczyszczono pliki tymczasowe i historię Internetu

38. Jessica chce odzyskać usunięte pliki z wolnej przestrzeni i musi określić, gdzie zaczynają się i kończą pliki. Jak nazywa się ten proces?
A. Slacing
B. Rzeźba danych
C. Odzyskiwanie dysku
D. Manipulacja nagłówkiem

39. Latisha jest kierownikiem działu IT w małej firmie i czasami pełni funkcję inspektora bezpieczeństwa informacji w organizacji. Którą z poniższych ról powinna uwzględnić jako lidera zespołu CSIRT swojej organizacji?

A. Jej główny technik wsparcia IT
B. Radca prawny jej organizacji
C. Zewnętrzny lider zespołu IR
D. Powinna się wybrać.

40. Podczas analizy kryminalistycznej systemu Windows Cynthia uzyskuje dostęp do rejestru i sprawdza \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogin (jak widać na poniższym obrazku). Do jakiej domeny był podłączony system i jaka była nazwa użytkownika, która pojawiła się przy logowaniu?



A. Administrator, administrator
B. Brak domeny, administrator
C. Prawny, administracyjny
D. Firma, brak domyślnej nazwy użytkownika

41. Latisha chce się upewnić, że dwie najczęściej używane metody zapobiegania atakom przepełnienia bufora Linuksa są włączone dla systemu operacyjnego, który instaluje na swoich serwerach. Jakie dwie powiązane technologie powinna zbadać, aby chronić swoje systemy?

A. Bit NX i ASLR
B. StackAntismash i DEP
C. Zmienne niezależne od pozycji i ASLR
D. DEP i zmienne niezależne od pozycji

42. Angela próbuje ustalić, kiedy konto użytkownika zostało utworzone na stacji roboczej z systemem Windows 10. Jaka metoda jest dla niej najlepsza, jeśli uważa, że konto zostało utworzone niedawno?

A. Sprawdź dziennik systemu.
B. Sprawdź datę utworzenia profilu użytkownika.
C. Sprawdź dziennik bezpieczeństwa.
D. Zapytaj rejestr o datę utworzenia identyfikatora użytkownika.

43. Alex podejrzewa, że atakujący zmodyfikował plik wykonywalny Linuksa przy użyciu bibliotek statycznych. Które z poniższych poleceń systemu Linux najlepiej nadaje się do określenia, czy tak się stało?

A. file
B. stat
C. strings
D. grep

44. Lauren chce wykryć nadużycia konta administracyjnego na serwerze Windows, za który jest odpowiedzialna. Jakie uprawnienia kontrolne powinna ona przyznać, aby określić, czy użytkownicy z uprawnieniami administracyjnymi dokonują zmian?

A. Sukces
B. Niepowodzenie
C. Pełna kontrola
D. Wszystkie

45. Cameron uważa, że system Ubuntu Linux, który przywraca do użytku, został już w pełni zaktualizowany. Jakiego polecenia może użyć, aby sprawdzić dostępność nowych aktualizacji i gdzie może sprawdzić historię aktualizacji w swoim systemie?

A. apt-get -u upgrade, /var/log/apt
B. rpm -i aktualizacja, /var/log/rpm
C. upgrade -l, /var/log/upgrades
D. apt-get install -u; Ubuntu Linux nie udostępnia historii aktualizacji.

46. Adam chce szybko złamać hasła z systemu Windows. Które z poniższych narzędzi zapewni najszybsze wyniki w większości sytuacji?

A. Jho the Ripper
B. Cain and Abel
C. Ophcrack
D. Hashcat

47. Ze względu na czynniki zewnętrzne Eric ma ograniczony czas na pobranie obrazu ze stacji roboczej. Jeśli zbiera tylko konkretne interesujące go akta, jakiego rodzaju przejęcia dokonał?

A. Logiczne
B. Bit po bicie
C. Rzadki
D. Żadne z powyższych

48. Kelly widzi wysokie wykorzystanie procesora w Menedżerze zadań Windows, jak pokazano tutaj, podczas przeglądania problemów z wydajnością systemu. Jeśli chce uzyskać szczegółowy wgląd w wykorzystanie procesora przez aplikację, wraz z identyfikatorami PID i średnim wykorzystaniem procesora, jakiego natywnego narzędzia systemu Windows może użyć do zebrania tych szczegółów?



A. Monitor zasobów
B. Menedżer zadań
C. iperf
D. Perfmon

49. Podczas śledztwa kryminalistycznego Kwame rejestruje informacje o każdym dysku, w tym o tym, gdzie został on pozyskany, kto wykonał kopię kryminalistyczną, skrót MD5 dysku i inne szczegóły. Jaki termin opisuje proces, którego używa Kwame, opisując dowody ze szczegółami, kto je pozyskał i potwierdził?

A. Bezpośrednie dowody
B. Dowody poszlakowe
C. Rejestrowanie incydentów
D. Łańcuch dowodowy

50. System monitorowania Roger zapewnia raportowanie wykorzystania pamięci systemu Windows. Użyj wykresu pokazanego tutaj, aby określić, jakie działania powinien podjąć Roger na podstawie jego monitorowania.



A. Użycie pamięci jest stabilne i można je pozostawić bez zmian.
B. Zużycie pamięci jest wysokie i należy się nim zająć.
C. Roger powinien umożliwiać automatyczne zarządzanie pamięcią.
D. Nie ma wystarczających informacji do podjęcia decyzji.

51. NIST definiuje pięć głównych typów informacji o zagrożeniach w NIST SP 800-150, "Przewodnik po udostępnianiu informacji o zagrożeniach cybernetycznych".

1. Wskaźniki, które są artefaktami technicznymi lub obserwacjami, które sugerują, że atak jest nieuchronny, w toku lub może już doszło do kompromitacji
2. Taktyki, techniki i procedury opisujące zachowanie aktora
3. Alerty bezpieczeństwa, takie jak porady i biuletyny
4. Raporty wywiadu o zagrożeniach, które opisują podmioty, systemy i informacje będące celem ataków oraz stosowane metody

5. Konfiguracje narzędzi obsługujące zbieranie, wymianę, analizę i wykorzystywanie informacji o zagrożeniach Które z nich powinien poszukać Frank, aby jak najlepiej chronić średniej wielkości organizację, dla której pracuje, przed nieznanymi zagrożeniami?

A. 1, 2 i 5
B. 1, 3 i 5
C. 2, 4 i 5
D. 1, 2 i 4

52. Vlad chce ustalić, czy użytkownik laptopa należącego do firmy uzyskał dostęp do złośliwego punktu dostępu bezprzewodowego. Gdzie może znaleźć listę sieci bezprzewodowych, o których wie system?

A. Rejestr
B. Katalog profilu użytkownika
C. Pamięć podręczna adaptera bezprzewodowego
D. Listy sieci bezprzewodowych nie są przechowywane po użyciu.

53. Saanvi chce, aby przepełnienie bufora nie powiodło się przeciwko aplikacjom sieciowym swojej organizacji. Jaka technika najlepiej nadaje się do zapobiegania powodzeniu tego typu ataku?

A. Kanonizacja danych wejściowych użytkownika
B. Sprawdzanie rozmiaru danych wejściowych użytkownika
C. Walidacja ciągu formatującego
D. Nadpisywanie bufora

54. Susan musi przeprowadzić śledztwo na maszynie wirtualnej. Jakiego procesu powinna użyć, aby upewnić się, że otrzyma wszystkie dane kryminalistyczne, których może potrzebować?

A. Zawieś komputer i skopiuj zawartość katalogu, w którym się znajduje.
B. Wykonaj obraz maszyny na żywo.
C. Zawieś maszynę i wykonaj kopię dysku, na którym się znajduje.
D. Wyłącz maszynę wirtualną i wykonaj jej kopię dochodzeniową.

55. Allison chce uzyskać dostęp do dzienników Chrome w ramach dochodzenia kryminalistycznego. W jakim formacie są informacje o plikach cookie, historii i zapisanych formularzach wypełniania informacji?

A. SQLite
B. Zwykły tekst
C. Tekst zakodowany w Base64
D. NoSQL

56. Gdy Chris próbuje zobrazować urządzenie, napotyka problemy z zapisem i nie może zapisać obrazu zgodnie z obecnym ustawieniem (patrz obrazek poniżej). Jaki problem najprawdopodobniej napotka?



A. Pliki muszą być skompresowane.
B. Dysk docelowy jest sformatowany w systemie plików FAT32.
C. Dysk docelowy jest sformatowany w systemie plików NTFS.
D. Pliki są zaszyfrowane.

57. Organizacja Christiny miała niedawno wypadek, w którym atakujący połączył się z ich siecią bezprzewodową. W odpowiedzi konfiguruje bieżące monitorowanie pod kątem nieuczciwych urządzeń w swoim systemie monitorowania i chce wybrać odpowiedni stan resetowania dla alertów dotyczących fałszywych adresów MAC. Która z przedstawionych tutaj opcji najlepiej nadaje się do obsługi nieuczciwych urządzeń, jeśli chce uniknąć tworzenia dodatkowej pracy dla swojego zespołu.?



58. Saanvi musi zweryfikować sumę kontrolną MD5 pliku w systemie Windows, aby upewnić się, że nie ma nieautoryzowanych zmian w pliku binarnym. Nie wolno mu instalować żadnych programów i nie może uruchamiać plików z zewnętrznych nośników lub dysków. Jakiego narzędzia Windows może użyć, aby uzyskać skrót MD5 pliku?

A. suma md5
B. certutil
C. sha1sum
D. hashcheck

59. Które z poniższych nie jest ważną częścią procesu komunikacji w odpowiedzi na incydent?

A. Ograniczenie komunikacji do zaufanych stron
B. Ujawnianie informacji na podstawie opinii publicznej
C. Korzystanie z bezpiecznej metody komunikacji
D. Zapobieganie przypadkowemu ujawnieniu informacji o incydentach

60. Deepa diagnozuje główne problemy z siecią w dużej organizacji i widzi następujący wykres w swojej konsoli PRTG na "zewnętrznym" interfejsie swojego routera granicznego. Co może przypuszczać Deepa?



A. Łącze sieciowe nie powiodło się.
B. Trwa atak DDoS.
C. System wewnętrzny przesyła duże ilości danych.
D. Połączenie sieciowe zostało przywrócone.

61. Które z poniższych poleceń nie jest przydatne do określenia listy interfejsów sieciowych w systemie Linux?

A. ifconfig
B. netstat -i
C. ip link show
D. intf -q

62. Jaka metodologia ochrony pamięci systemu Windows jest tutaj pokazana?



A. DEP
B. ASLR
C. StackProtect
D. MemShuffle

63. Dochodzenie kryminalistyczne pokazuje, że cel dochodzenia użył polecenia Windows Quick Format, aby spróbować zniszczyć dowody na pendrive′ie USB. Która z technik sanityzacji NIST jest celem śledztwa stosowanego w ich próbie ukrycia dowodów? A. Czysty
B. Czystka
C. Zniszcz
D. Żadne z powyższych

64. Angela chce użyć swojego urządzenia zabezpieczającego sieć do wykrycia potencjalnych zachowań związanych z sygnalizacją. Która z poniższych opcji najlepiej nadaje się do wykrywania sygnałów nawigacyjnych przy użyciu jej urządzenia zabezpieczającego sieć?

A. Definicje antywirusowe
B. Reputacja pliku
C. Reputacja IP
D. Analiza plików statycznych

65. Podczas procesu reagowania na incydent Susan podłącza system z powrotem do sieci, umożliwiając mu normalny dostęp do sieci. Na jakim etapie procesu reagowania na incydenty wykonuje Susan?

A. Przygotowanie
B. Wykrywanie i analiza
C. Ograniczanie, eliminacja i odzyskiwanie
D. Aktywność po zdarzeniu

66. Serwer w centrum danych, za monitorowanie którego odpowiada Chris, nieoczekiwanie łączy się z zewnętrznym adresem IP i przesyła 9 GB danych do systemu zdalnego. Jaki rodzaj monitoringu powinien umożliwić Chris, aby najlepiej pomóc mu w wykrywaniu przyszłych zdarzeń tego typu?

A. Logi przepływu z analizą heurystyczną
B. Monitorowanie SNMP z analizą heurystyczną
C. Dzienniki przepływu z wykrywaniem na podstawie sygnatur
D. Monitorowanie SNMP z wykrywaniem opartym na sygnaturach

67. Zespół Mei zakończył początkowe fazy procesu reagowania na incydenty i ocenia czas potrzebny do odzyskania sprawności po incydencie. Korzystając z kategorii nakładu na odzyskanie NIST, zespół ustalił, że potrafi przewidzieć czas regeneracji, ale będzie wymagał dodatkowych zasobów. Jak powinna to kategoryzować za pomocą modelu NIST?

A. Regularny
B. Uzupełnione
C. Rozszerzony
D. Nie do odzyskania

68. Która z poniższych technik kryminalistycznych na urządzeniach mobilnych nie jest prawidłową metodą izolacji podczas badania kryminalistycznego?

A. Użyj kryminalistycznej karty SIM.
B. Kup i używaj kryminalistycznego urządzenia do izolacji.
C. Umieść urządzenie w woreczku antystatycznym.
D. Przełącz urządzenie w tryb samolotowy.

69. Rick chce monitorować zmiany uprawnień i własności krytycznych plików w systemie Red Hat Linux, za który jest odpowiedzialny. Jakiego narzędzia Linux może do tego użyć?

A. watchdog
B. auditctl
C. dirwatch
D. monitord

70. Janet próbuje ukryć swoje działania na komputerze należącym do firmy. W ramach prób czyszczenia usuwa wszystkie pliki pobrane z firmowego serwera plików za pomocą przeglądarki w trybie incognito. W jaki sposób śledczy może ustalić, jakie pliki pobrała?

A. Przepływy sieciowe
B. Dzienniki SMB
C. Pamięć podręczna przeglądarki
D. Analiza napędu

71. Jose jest świadomy, że atakujący zhakował system w swojej sieci, ale chce nadal obserwować wysiłki atakującego, gdy ten kontynuuje atak. Jeśli Jose chce zapobiec dodatkowemu wpływowi na swoją sieć podczas obserwowania, co robi napastnik, jakiej metody powstrzymywania powinien użyć?

A. Usunięcie
B. Izolacja
C. Segmentacja
D. Wykrywanie

72. Kiedy Abdul przybył dziś rano do pracy, znalazł w swojej skrzynce odbiorczej e-mail, który brzmiał: "Twoje systemy są słabe; do końca tygodnia staniemy się właścicielem Twojej sieci." Jak zaklasyfikowałby ten znak potencjalnego incydentu, gdyby używał opisów znaków incydentu NIST SP 800-61?

A. Wskaźnik
B. Groźba
C. Ryzyko
D. Prekursor

73. Podczas procesu reagowania na incydenty, Cynthia przeprowadza przegląd wyciągniętych wniosków. W jakiej fazie procesu reagowania na incydenty ona jest?

A. Przygotowanie
B. Wykrywanie i analiza
C. Ograniczanie, eliminacja i odzyskiwanie
D. Odzyskiwanie po wypadku

74. W ramach swojego programu reagowania na incydenty Allan opracowuje podręcznik dotyczący zagrożeń dnia zerowego. Które z poniższych nie powinny być w jego planie, aby sobie z nimi poradzić?

A. Segmentacja
B. Łatanie
C. Korzystanie z analizy zagrożeń
D. Biała lista

75. Jako CISO swojej organizacji, Mei pracuje nad schematem klasyfikacji incydentów i chce oprzeć swój projekt na definicjach NIST. Którą z poniższych opcji powinna użyć, aby najlepiej opisać użytkownika uzyskującego dostęp do pliku, do którego wyświetlania nie ma uprawnień?

A. Incydent
B. Wydarzenie
C. Zdarzenie niepożądane
D. Incydent bezpieczeństwa

76. Fred chce zidentyfikować cyfrowe dowody, które mogą umieścić osobę w określonym miejscu w określonym czasie. Który z poniższych typów cyfrowych danych kryminalistycznych nie jest powszechnie używany do próby udokumentowania fizycznej lokalizacji w określonych godzinach?

A. Dzienniki GPS telefonu komórkowego
B. Metadane zdjęcia
C. Dzienniki wieży telefonu komórkowego
D. Metadane dokumentu Microsoft Office

77. Kai zakończyła proces walidacji swoich działań na rzecz oczyszczenia mediów i sprawdziła próbkę dysków, które wyczyściła za pomocą wbudowanego narzędzia do czyszczenia kryptograficznego. Jaki jest jej następny krok?

A. Ponów próbkę, aby potwierdzić jej testy.
B. Zniszcz napędy.
C. Tworzenie dokumentacji.
D. Jest skończona i może wysłać dyski do dyspozycji.

78. Jako menedżer ds. bezpieczeństwa informacji w małej firmie Mike ma ograniczony budżet na zatrudnianie stałego personelu. Chociaż jego zespół radzi sobie z prostymi infekcjami wirusowymi, obecnie nie ma sposobu na radzenie sobie z poważnymi incydentami związanymi z bezpieczeństwem informacji. Którą z poniższych opcji powinien zbadać Michał, aby upewnić się, że jego firma jest przygotowana na incydenty związane z bezpieczeństwem?

A. Outsourcing do zewnętrznego SOC
B. Utwórz wewnętrzny SOC
C. Zatrudnij wewnętrzny zespół reagowania na incydenty
D. Outsourcing do dostawcy odpowiedzi na incydenty

79. Atak Stuxnet opierał się na inżynierach, którzy przenosili ze sobą złośliwe oprogramowanie, przekraczając lukę powietrzną między sieciami. Jakie zagrożenie najprawdopodobniej przedostanie się przez sieć z przerwami w powietrzu?

A. E-mail
B. Sieć
C. Nośniki wymienne
D. Wyniszczenie

80. Przeglądając swoją sieć pod kątem nieuczciwych urządzeń, Dan zauważa, że system o adresie MAC D4:BE:D9:E5:F9:18 był podłączony do przełącznika w jednym z biur w jego budynku przez trzy dni. Jakie informacje może dostarczyć Danowi, które mogą być pomocne, jeśli przeprowadzi fizyczny przegląd biura?

A. System operacyjny urządzenia
B. Użytkownik systemu
C. Sprzedawca, który zbudował system
D. Rodzaj podłączonego urządzenia

81. Bohai chce zapewnić, że media zostały odpowiednio zdezynfekowane. Która z poniższych opcji prawidłowo wymienia opisy odkażania od najmniej do najskuteczniejszego?

A. Oczyść, wyczyść, zniszcz
B. Eliminować, wykorzeniać, niszczyć
C. Oczyść, oczyść, zniszcz
D. Zlikwiduj, wyeliminuj, zniszcz

82. Rozmagnesowanie jest przykładem jakiej formy sanityzacji mediów?

A. Rozliczenie
B. Oczyszczanie
C. Zniszczenie
D. Nie jest to forma sanitacji mediów.

83. Podczas przeglądania wykorzystania pamięci w systemie Windows, Brian sprawdza pamięć kopii woluminu w tle, jak pokazano tutaj:

C:\WINDOWS\system32>lista vssadmin Shadowstorage
vssadmin 1.1 - administracyjny wiersz poleceń usługi kopiowania woluminów w tle
narzędzie
(C) Prawa autorskie 2001-2013 Microsoft Corp.
Powiązanie magazynu kopii w tle
Dla objętości: (C:)\\?\Wolumen{c3b53dae-0e54-13e3-97ab-806e6f6e69633}\
Wolumin pamięci kopii w tle: (C:)\\?\Volume{c3b53dae-0e54-13e3-
97ab-806e6f6e6963}\
Używane miejsce do przechowywania kopii w tle: 25,6 GB (2%)
Przydzielone miejsce do przechowywania kopii w tle: 26,0 GB (2%)
Maksymalna przestrzeń do przechowywania kopii w tle: 89,4 GB (10%)
Jakiemu celowi służy ta pamięć i czy może ją bezpiecznie usunąć?

A. Zapewnia migawkę na poziomie bloku i można ją bezpiecznie usunąć.
B. Zapewnia bezpieczne ukryte przechowywanie i można je bezpiecznie usunąć.
C. Zapewnia bezpieczne ukryte przechowywanie i nie można go bezpiecznie usunąć.
D. Zapewnia migawkę na poziomie bloku i nie można go bezpiecznie usunąć.

84. Pod koniec typowego dnia roboczego Suki otrzymuje powiadomienie, że serwery poczty e-mail jej organizacji zostały umieszczone na czarnej liście z powodu wiadomości e-mail, które wydają się pochodzić z jej domeny. Jakich informacji potrzebuje, aby rozpocząć badanie źródła wiadomości spamowych?

A. Dzienniki zapory pokazujące połączenia SMTP
B. Dziennik audytu SMTP z jej serwera poczty e-mail
C. Pełne nagłówki jednej z wiadomości spamowych
D. Przepływy sieciowe dla jej sieci

85. Lauren odzyskuje pewną liczbę kart microSD o pojemności 16 GB i 32 GB podczas dochodzenia kryminalistycznego. Bez sprawdzania ich ręcznie, w jakim typie systemu plików najprawdopodobniej znajdzie je sformatowane tak, jakby były używane z aparatem cyfrowym?

A. RAW
B. FAT16
C. FAT32
D. APFS

86. Podczas sprawdzania problemów z wykorzystaniem przepustowości, Bohai używa polecenia ifconfig w przeglądanym przez siebie systemie Linux. Widzi, że urządzenie wysłało mniej niż 4 GB danych, ale z jego dzienników przepływu sieci wynika, że system wysłał ponad 20 GB. Jaki problem napotkał Bohai?

A. Rootkit ukrywa ruch przed jądrem Linuksa.
B. Dzienniki przepływu pokazują ruch, który nie dociera do systemu.
C. ifconfig resetuje liczniki ruchu na 4 GB.
D. ifconfig tylko próbkuje ruch wychodzący i nie dostarcza dokładnych informacji.

87. Po przybyciu na miejsce śledztwa Brian stwierdza, że trzy komputery z włączonym zasilaniem muszą zostać poddane badaniu kryminalistycznemu. Jakie kroki powinien podjąć przed usunięciem komputerów?

A. Wyłącz je, zrób zdjęcia, jak każdy jest podłączony i zaloguj się jako dowód.
B. Zrób zdjęcia każdego systemu, wyłącz je i przymocuj plombę zabezpieczającą przed manipulacją do każdego komputera.
C. Zbieraj bieżące informacje kryminalistyczne, rób zdjęcia każdego systemu i wyłączaj je.
D. Zbierz statyczny obraz dysku, zweryfikuj skrót obrazu i bezpiecznie przetransportuj każdy system.

88. W swojej roli kryminalistyka Lukas został poproszony o przedstawienie dowodów kryminalistycznych związanych ze sprawą cywilną. Jak nazywa się ten proces?

A. Kryminalistyka kryminalna
B. E-odkrywanie
C. Cyberprodukcja
D. Delikt cywilny

89. Podczas przygotowywania reakcji organizacji na incydent, Manish i Linda identyfikują krytyczne zasoby informacyjne, z których korzysta firma. W ich zestawach danych organizacyjnych znajduje się lista nazw klientów, adresów, numerów telefonów i informacji demograficznych. Jak Manish i Linda powinni klasyfikować te informacje?

A. Dane osobowe
B. Własność intelektualna
C. PHI
D. PCI DSS

90. Gdy Mika studiuje podręcznik komputerowej kryminalistyki swojej firmy, zauważa, że śledczy muszą korzystać z formularza łańcucha dowodowego. Jakie informacje zapisałaby w tym formularzu, gdyby prowadziła dochodzenie sądowe?

A. Lista osób, które miały kontakt z aktami prowadzącymi do śledztwa
B. Lista byłych właścicieli lub operatorów komputerów PC biorących udział w dochodzeniu
C. Wszystkie osoby, które pracują z dowodami w dochodzeniu
D. Funkcjonariusze policji, którzy przejmują dowody

91. Scott musi upewnić się, że system, który właśnie odbudował po incydencie, jest bezpieczny. Jaki rodzaj skanowania dostarczy mu najbardziej przydatnych informacji, aby osiągnąć swój cel?

A. Uwierzytelnione skanowanie luk w zabezpieczeniach z zaufanej sieci wewnętrznej
B. Nieuwierzytelnione skanowanie luk w zabezpieczeniach z zaufanej sieci wewnętrznej
C. Uwierzytelnione skanowanie z niezaufanej sieci zewnętrznej
D. Nieuwierzytelnione skanowanie z niezaufanej sieci zewnętrznej

92. Jaka jest podstawowa rola kierownictwa w procesie reagowania na incydenty?

A. Kierowanie zespołem CSIRT
B. Działanie jako główny interfejs z organami ścigania
C. Zapewnienie autorytetu i zasobów
D. Ocena wpływu na interesariuszy

93. Przeglądając swoje dzienniki OSSEC SIEM, Chris zauważa następujące wpisy. Jakie powinno być jego następne działanie, jeśli chce szybko określić datę i godzinę utworzenia nowego użytkownika?



A. Sprawdź user.log dla nowego użytkownika.
B. Sprawdź syslog pod kątem nowego użytkownika.
C. Sprawdź /etc/passwd dla nowego użytkownika.
D. Sprawdź auth.log dla nowego użytkownika.

94. Jessica chce śledzić zmiany dokonane w rejestrze i ilesystem podczas uruchamiania podejrzanego pliku wykonywalnego w systemie Windows. Które narzędzie Sysinternals pozwoli jej to zrobić?

A. Monitor aplikacji
B. Śledzenie zasobów
C. Monitor procesu
D. Nie ma narzędzia Sysinternals z taką możliwością.

95. Max chce poprawić skuteczność procesu analizy incydentów, za który odpowiada jako lider zespołu CSIRT swojej organizacji. Które z poniższych nie jest powszechnie zalecaną najlepszą praktyką w oparciu o wytyczne NIST?

A. Sieci i systemy profili do pomiaru cech oczekiwanej aktywności.
B. Wykonaj korelację zdarzeń, aby połączyć informacje z wielu źródeł.
C. Utrzymuj kopie zapasowe każdego systemu i urządzenia.
D. Przechwytuj ruch sieciowy, gdy tylko pojawi się podejrzenie incydentu.

96. NIST opisuje cztery główne fazy cyklu reakcji na incydent. Które z poniższych nie jest jednym z czterech?

A. Ograniczanie, eliminacja i odzyskiwanie
B. Powiadomienie i komunikacja
C. Wykrywanie i analiza
D. Przygotowanie

97. Charles chce przeprowadzić analizę pamięci w systemie Windows i uzyskać dostęp do pliku pagefile.sys. Gdy próbuje go skopiować, otrzymuje następujący błąd. Jaka metoda dostępu jest wymagana, aby uzyskać dostęp do pliku strony?



A. Uruchom Eksploratora Windows jako administrator i powtórz kopię.
B. Otwórz plik za pomocą fmem.
C. Uruchom cmd.exe jako administrator i powtórz kopię.
D. Zamknij system, wyjmij dysk i skopiuj go z innego systemu.

98. Stefan chce zapobiec atakom złych bliźniaków działających w jego sieci bezprzewodowej. Która z poniższych nie jest przydatną metodą wykrywania złych bliźniąt?

A. Sprawdź BSSID.
B. Sprawdź identyfikator SSID.
C. Sprawdź atrybuty (kanał, szyfr, metoda uwierzytelniania).
D. Sprawdź otagowane parametry, takie jak unikalny identyfikator organizacji.

99. Gdzie w poniższej mapie partycji Windows znajduje się luz miejsca?



A. Partycja zarezerwowana przez system
B. Partycje zarezerwowane i nieprzydzielone przez system
C. System zarezerwowany i C: partycje
D. Partycje C: i nieprzydzielone

100. Łukasz musi zweryfikować ustawienia na komputerze z systemem macOS, aby upewnić się, że elementy konfiguracji, których oczekuje, są ustawione prawidłowo. Jaki typ pliku jest powszechnie używany do przechowywania ustawień konfiguracyjnych dla systemów macOS?

A. Rejestr
B. .pliki profilowe
C. Plist
D. pliki konfiguracyjne

101. Ty musi określić właściwą politykę przechowywania danych dotyczących incydentów swojej organizacji. Jeśli chce postępować zgodnie z powszechnymi praktykami branżowymi i nie ma określonych zobowiązań prawnych lub umownych, które musi spełnić, jakie ramy czasowe powinien wybrać?

A. 30 dni
B. 90 dni
C. 1 do 2 lat
D. 7 lat

102. System, który Alice zidentyfikowała jako źródło ruchu nawigacyjnego, jest jednym z krytycznych serwerów e-commerce w jej organizacji. Aby utrzymać działanie swojej organizacji, musi szybko przywrócić serwer do pierwotnego, bezkompromisowego stanu. Na jakie kryterium jest najbardziej prawdopodobne, że to działanie będzie miało największy wpływ?

A. Uszkodzenie systemu lub usługi
B. Dostępność usługi
C. Zdolność do zachowania dowodów
D. Czas i zasoby potrzebne do wdrożenia strategii

103. Po wezwaniu organów ścigania z powodu potencjalnej działalności przestępczej wykrytej w ramach śledztwa kryminalistycznego, funkcjonariusze na miejscu zdarzenia zajęli trzy serwery. Kiedy Joe może oczekiwać zwrotu swoich serwerów?

A. Po 30 dniach, co zapewnia wystarczająco dużo czasu na rozsądny proces obrazowania
B. Po 6 miesiącach, zgodnie z wymogami prawa
C. Po 1 roku, ponieważ większość przypadków rozwiązuje się w tym czasie
D. Joe nie powinien planować czasu powrotu.

104. Piper chce stworzyć obraz kryminalistyczny, z którego mogą korzystać zewnętrzni śledczy, ale nie wie, jakiego narzędzia użyje zewnętrzny zespół dochodzeniowy, z którego zamierza skorzystać jej firma. Który z poniższych formatów kryminalistycznych powinna wybrać, jeśli chce, aby prawie każde narzędzie kryminalistyczne miało dostęp do obrazu?

A. E01
B. AFF
C. RAW
D. AD1

105. Po wykryciu przez Janet prób ukrycia pobranych przez nią ważnych informacji korporacyjnych śledczy dowiedzieli się, że często kopiuje pliki robocze na dysk USB. Która z poniższych opcji nie jest możliwym sposobem ręcznego sprawdzenia jej stacji roboczej z systemem Windows pod kątem listy wcześniej podłączonych dysków USB?

A. Sprawdź dzienniki audytu bezpieczeństwa.
B. Sprawdź plik dziennika setupapi.
C. Przeszukaj rejestr.
D. Sprawdź profil użytkownika.

106. W ramach swojego śledztwa kryminalistycznego Scott zamierza wykonać obraz kryminalistyczny udziału sieciowego, który jest montowany przez komputer, na którym koncentruje się jego śledztwo. Jakich informacji nie będzie w stanie uchwycić?

A. Daty utworzenia pliku
B. Usunięte pliki
C. Dane uprawnień do plików
D. Metadane pliku

107. NIST SP 800-61 identyfikuje sześć stron zewnętrznych, z którymi zazwyczaj będzie się komunikował zespół reagowania na incydenty. Która z poniższych nie jest jedną z tych stron?

A. Klienci, wyborcy i media
B. Dostawcy usług internetowych
C. Organy ścigania
D. Radca prawny

108. Jakie typowe działania następcze w odpowiedzi na incydenty obejmują zadawanie pytań typu "Jakie dodatkowe narzędzia lub zasoby są potrzebne do wykrywania lub analizowania przyszłych zdarzeń?"

A. Przygotowanie
B. Przegląd wyciągniętych wniosków
C. Zbieranie dowodów
D. Analiza proceduralna

109. Suki została poproszona o przechwycenie danych kryminalistycznych z komputera z systemem Windows i musi upewnić się, że przechwytuje dane w kolejności ich zmienności. Która kolejność jest prawidłowa od najbardziej do najmniej niestabilnej?

A. Ruch sieciowy, pamięć podręczna procesora, dyski, nośniki optyczne
B. Pamięć podręczna procesora, ruch sieciowy, dyski, nośniki optyczne
C. Nośniki optyczne, dyski, ruch sieciowy, pamięć podręczna procesora
D. Ruch sieciowy, pamięć podręczna procesora, nośniki optyczne, dyski twarde

110. Podczas procesu reagowania na incydent Suki udaje się do zaatakowanego systemu i wyciąga kabel sieciowy. Na jakim etapie procesu reagowania na incydenty wykonuje Suki?

A. Przygotowanie
B. Wykrywanie i analiza
C. Ograniczanie, zwalczanie i odzyskiwanie
D. Aktywność po zdarzeniu
111. Scott musi sprawdzić, czy stworzony przez niego obraz kryminalistyczny jest dokładną kopią oryginalnego dysku. Która z poniższych metod jest uważana za rozsądną z punktu widzenia medycyny sądowej?

A. Utwórz skrót MD5
B. Utwórz skrót SHA-1
C. Utwórz skrót SHA-2
D. Wszystkie powyższe

112. Jaką strategię proponuje NIST w celu identyfikacji napastników podczas procesu reagowania na incydent?

A. Użyj śledzenia geograficznego adresu IP, aby zidentyfikować lokalizację atakującego.
B. Skontaktuj się z dostawcami usług internetowych, aby uzyskać pomoc w wyśledzeniu napastnika.
C. Skontaktuj się z lokalnymi organami ścigania, aby mogły korzystać z narzędzi przeznaczonych dla organów ścigania.
D. Identyfikacja atakujących nie jest ważną częścią procesu reagowania na incydenty.

113. Rick prowadzi dochodzenie kryminalistyczne dotyczące zaatakowanego systemu. Z raportów użytkowników wie, że problemy zaczęły się około 15:30. 12 czerwca. Używając narzędzia kryminalistycznego SANS SIFT o otwartym kodzie źródłowym, jakiego procesu powinien użyć, aby ustalić, co się stało?

A. Przeszukaj dysk pod kątem wszystkich plików, które zostały zmienione między 15:00 a 16:00.
B. Utwórz super oś czasu.
C. Uruchom oprogramowanie antymalware i wyszukaj nowo zainstalowane narzędzia do złośliwego oprogramowania w tym czasie.
D. Przeszukuj dzienniki systemowe pod kątem zdarzeń między 15:00 a 16:00.

114. Vlad uważa, że atakujący mógł dodać konta i spróbować uzyskać dodatkowe prawa na stacji roboczej z systemem Linux. Który z poniższych sposobów nie jest typowym sposobem sprawdzania nieoczekiwanych kont, takich jak to?

A. Przejrzyj /etc/passwd i /etc/shadow w poszukiwaniu nieoczekiwanych kont.
B. Sprawdź /home/ dla nowych katalogów użytkowników.
C. Przejrzyj /etc/sudoers w poszukiwaniu nieoczekiwanych kont.
D. Sprawdź /etc/groups pod kątem problemów z członkostwem w grupie.

115. Ben chce koordynować współpracę z innymi organizacjami w społeczności zajmującej się bezpieczeństwem informacji, aby dzielić się danymi i bieżącymi wydarzeniami, a także ostrzeżeniami o nowych problemach z bezpieczeństwem. Do jakiego typu organizacji powinien dołączyć?

A. ISAC
B. Zespół CSIRT
C. VPAC
D. IRT

116. Podczas badania wiadomości spamowej Adam jest w stanie przechwycić nagłówki jednej z otrzymanych wiadomości e-mail. Zauważa, że nadawcą była Carmen Victoria Garci. Jakie fakty może zebrać z przedstawionych tu nagłówków?



A. Adres e-mail Victorii Garci to tntexpress819@yahoo.com.
B. Nadawca wysłany przez Yahoo.
C. Nadawca wysłany za pośrednictwem systemu w Japonii.
D. Nadawca wysłany przez Gmaila.

117. Azra musi uzyskać dostęp do systemu macOS, ale nie ma hasła użytkownika. Jeśli system nie jest objęty funkcją FileVault, która z poniższych opcji nie jest prawidłową metodą odzyskiwania?

A. Użyj trybu pojedynczego użytkownika, aby zresetować hasło.
B. Użyj trybu odzyskiwania, aby odzyskać hasło.
C. Użyj trybu dysku docelowego, aby usunąć pęk kluczy.


118. Podczas przeprowadzania analizy kryminalistycznej kopii zapasowej iPhone′a, Cynthia odkrywa, że ma tylko niektóre informacje, których spodziewa się, że telefon zawiera. Jaki jest najbardziej prawdopodobny scenariusz, w którym kopia zapasowa, z której korzysta, zawiera częściowe informacje?

A. Tworzenie kopii zapasowej zostało przerwane.
B. Kopia zapasowa jest zaszyfrowana.
C. Kopia zapasowa jest kopią różnicową.
D. Kopia zapasowa jest przechowywana w iCloud.

119. Cullen chce zapewnić, że jego dokumentacja łańcucha areszcie stanie przed sądem. Która z poniższych opcji zapewni mu najlepszy dokumentalny dowód jego działań?

A. Drugi egzaminator występujący w charakterze świadka i kontrasygnujący wszystkie czynności
B. Kompletny dziennik kryminalistyczny podpisany i opieczętowany przez notariusza
C. Udokumentowany proces kryminalistyczny z wymaganym podpisem
D. Fotografowanie wszystkich niezależnych działań kryminalistycznych

120. Cynthia dokonuje przeglądu procesu odzyskiwania odpowiedzi na incydent w swojej organizacji, który jest opisany tutaj. Które z poniższych zaleceń powinna wykonać, aby uniknąć dalszych problemów podczas procesu przywracania?



A. Zmień hasła przed przywróceniem z kopii zapasowej
B. Odizoluj system przed przywróceniem z kopii zapasowych
C. Bezpiecznie wyczyść dysk przed przywróceniem
D. Skanowanie podatności przed poprawką

121. Po wyzerowaniu dysku twardego systemu i odbudowaniu go ze wszystkimi łatami bezpieczeństwa i zaufanymi kontami, Azra zostaje powiadomiona, że system ponownie wykazuje oznaki włamania. Który z poniższych typów pakietów złośliwego oprogramowania nie przetrwa tego typu działań związanych z eliminacją?

A. Narzędzie do złośliwego oprogramowania rezydujące w MBR
B. Złośliwe oprogramowanie rezydujące w UEFI
C. Złośliwe oprogramowanie rezydujące w BIOS-ie
D. Pakiet złośliwego oprogramowania rezydującego w wolnej przestrzeni

122. Z jakim rodzajem aktywów o wysokiej wartości związane są patenty, prawa autorskie, znaki towarowe i tajemnice handlowe?

A. Dane osobowe
B. PHI
C. Poufność korporacyjna
D. Własność intelektualna

123. Który z poniższych problemów nie jest często związany z urządzeniami BYOD?

A. Zwiększone wykorzystanie sieci
B. Zwiększone koszty urządzeń
C. Zwiększone bilety do pomocy technicznej
D. Zwiększone ryzyko bezpieczeństwa

124. Saria przegląda zawartość dysku w ramach prac kryminalistycznych i zauważa, że przeglądany przez nią plik zajmuje więcej miejsca na dysku niż jego rzeczywisty rozmiar, jak pokazano tutaj. Co odkryła?



A. Luźna przestrzeń
B. Treści ukryte
C. Rzadkie pliki
D. Narzuty na szyfrowanie

125. Jaki jest minimalny okres przechowywania danych o incydentach dla agencji rządu federalnego USA?

A. 90 dni
B. 1 rok
C. 3 lata
D. 7 lat

126. Kathleen przywraca działanie krytycznego systemu biznesowego po poważnym włamaniu i musi sprawdzić, czy system operacyjny i pliki aplikacji są legalne i nie zawierają żadnego złośliwego kodu. Jakiego narzędzia powinna użyć, aby to zweryfikować?

A. Zaufany zestaw binarny systemu
B. Dynamiczna analiza kodu
C. Statyczna analiza kodu
D. Tęczowe tabele plików

127. Sadiq chce sprawdzić, czy uwierzytelnianie w usłudze Linux ma ustawione jako wymaganie ustawienia uwierzytelniania dwuskładnikowego. Który wspólny katalog Linux może sprawdzić pod kątem tego typu ustawień, wymienionego według aplikacji, jeśli aplikacja je obsługuje?

A. /etc/pam.d
B. /etc/passwd
C. /etc/auth.d
D. /etc/tfa

128. Mel tworzy dziennik dowodów dla komputera, który był częścią ataku na zewnętrzny system innej firmy. Jakie informacje związane z siecią powinien zawrzeć w tym dzienniku, jeśli chce postępować zgodnie z zaleceniami NIST?

A. Maska podsieci, serwer DHCP, nazwa hosta, adres MAC
B. Adresy IP, adresy MAC, nazwa hosta
C. Domena, nazwa hosta, adresy MAC, adresy IP
D. Producent karty sieciowej, adresy MAC, adresy IP, konfiguracja DHCP

129. Ryan uważa, że systemy w jego sieci zostały naruszone przez zaawansowanego, trwałego gracza. Zaobserwował wiele dużych transferów plików wychodzących do zdalnych witryn za pośrednictwem chronionych TLS sesji HTTP z systemów, które zazwyczaj nie wysyłają danych do tych lokalizacji. Która z poniższych technik najprawdopodobniej wykryje infekcje APT?

A. Analiza ruchu sieciowego
B. Kryminalistyka sieci
C. Analiza zachowania punktu końcowego
D. Kryminalistyka punktów końcowych

130. Po przesłaniu podejrzanego pakietu złośliwego oprogramowania do VirusTotal Damian otrzymuje następujące wyniki. Co to mówi Damianowi?



A. Przesłany plik zawiera więcej niż jeden pakiet złośliwego oprogramowania.
B. Producenci oprogramowania antywirusowego używają różnych nazw dla tego samego złośliwego oprogramowania.
C. VirusTotal nie był w stanie konkretnie zidentyfikować złośliwego oprogramowania.
D. Pakiet złośliwego oprogramowania jest polimorficzny i dopasowania będą nieprawidłowe.

131. Ben bada potencjalną infekcję złośliwym oprogramowaniem laptopa należącego do starszego menedżera w firmie, w której pracuje. Gdy menedżer otwiera dokument, witrynę internetową lub inną aplikację, która pobiera dane wprowadzane przez użytkownika, słowa zaczynają wyglądać tak, jakby były wpisywane. Jaki jest pierwszy krok, który Ben powinien podjąć w swoim śledztwie?

A. Uruchom skanowanie antywirusowe.
B. Odłącz system od sieci.
C. Wyczyść system i zainstaluj ponownie.
D. Obserwuj i zapisuj, co jest wpisywane.

132. Analiza kryminalistyczna Kathleen laptopa, który, jak się uważa, był używany do uzyskiwania dostępu do poufnych danych firmowych pokazują, że podejrzany próbował nadpisać dane, które pobrał w ramach części działań antykryminalistycznych poprzez usunięcie oryginalnych plików, a następnie skopiowanie innych plików . Gdzie Kathleen najprawdopodobniej znajdzie dowody dotyczące oryginalnych plików?

A. MBR
B. Nieprzydzielone miejsce
C. Luźna przestrzeń
D. FAT

133. W ramach testu infrastruktury monitorowania swojej sieci Kelly używa snmpwalk do walidacji jej ustawienia SNMP routera. Wykonuje snmpwalk, jak pokazano tutaj:

snmpwalk -c public 10.1.10.1 -v1
iso.3.6.1.2.1.1.0 = ŁAŃCUCH: "RouterOS 3.6"
iso.3.6.1.2.2.0 = OID: iso.3.6.1.4.1.3.30800
iso.3.6.1.2.1.1.3.0 = Liczniki czasu: (1927523) 08:09:11
iso.3.6.1.2.1.1.4.0 = ŁAŃCUCH: "root"
iso.3.6.1.2.1.1.5.0 = ŁAŃCUCH: "RouterOS"


Która z poniższych informacji nie jest czymś, co może odkryć na podstawie tego zapytania?
A. SNMP v1 jest włączony.
B. Ciąg społeczności jest publiczny.
C. Łańcuch społeczności to root.
D. Nazwa kontaktu to root.

134. Laura musi sprawdzić zużycie pamięci, procesora, dysku, sieci i energii na komputerze Mac. Jakiego narzędzia GUI może użyć, aby to sprawdzić?

A. Monitor zasobów
B. Monitor systemu
C. Monitor aktywności
D. Sysradara

135. Angela chce uzyskać dostęp do klucza deszyfrującego dla systemu zaszyfrowanego funkcją BitLocker, ale system jest obecnie wyłączony. Która z poniższych metod jest realna, jeśli system Windows jest wyłączony?

A. Analiza plików hibernacji
B. Analiza pamięci
C. Analiza sektora rozruchowego
D. Pękanie siłowe

136. Adam uważa, że system w jego sieci jest zainfekowany, ale nie wie, który system. Aby go wykryć, tworzy zapytanie do swojego oprogramowania do monitorowania sieci na podstawie następującego pseudokodu. Jaki rodzaj ruchu najprawdopodobniej próbuje wykryć?

destip: [*] and duration < 10 packets and destbytes < 3000 and
flowcompleted = true
and application = http or https or tcp or unknown and content !=
uripath:* and content
!= contentencoding:*

A. Użytkownicy przeglądający złośliwe witryny
B. Oprogramowanie reklamowe
C. Światło ostrzegawcze
D. Skanowanie portów wychodzących

137. Poszukiwanie przez Casey możliwego konta backdoora dla systemu Linux podczas dochodzenia kryminalistycznego doprowadziło ją do sprawdzenia systemu plików pod kątem problemów. Gdzie powinna szukać tylnych drzwi związanych z usługami?

A. /etc/passwd
B. /etc/xinetd.conf
C. /etc/shadow
D. $HOME/.ssh/

138. Jako pracownik rządu USA, Megan jest zobowiązana do używania kategorii wpływu informacji NIST do klasyfikowania incydentów bezpieczeństwa. Podczas niedawnego incydentu zmieniono zastrzeżone informacje. Jak powinna sklasyfikować ten incydent?

A. Jako naruszenie prywatności
B. Jako utrata integralności
C. Jako naruszenie praw własności
D. Jako naruszenie dostępności

139. Na jakim etapie zdarzenia zazwyczaj zajmuje się zabezpieczaniem dowodów?

A. Przygotowanie
B. Wykrywanie i analiza
C. Ograniczanie, eliminacja i odzyskiwanie
D. Aktywność po zdarzeniu

140. Nara przegląda dzienniki zdarzeń, aby ustalić, kto uzyskał dostęp do stacji roboczej po godzinach pracy. Kiedy uruchamia secpol.msc w systemie Windows, który przegląda, widzi następujące ustawienia. Jakich ważnych informacji będzie brakować w jej dziennikach?



A. Błędy logowania
B. Identyfikatory użytkowników z loginów
C. Pomyślne logowanie
D. Czasy od logowania

141. Marta uruchamia pokazane tutaj polecenie, sprawdzając użycie swojego systemu Linux. Które z poniższych stwierdzeń jest prawdziwe na podstawie przedstawionych informacji?



A. Dwóch użytkowników zalogowanych zdalnie przez SSH.
B. Trwa aktywny exploit wykorzystujący exploit Monkeycom.
C. System lokalny jest częścią domeny demo.com.
D. System nie świadczy żadnych usług UDP.

142. Lukas chce wyczyścić dysk, aby upewnić się, że nie można z niego wyodrębnić danych, gdy są one wysyłane poza witrynę. Która z poniższych opcji nie jest prawidłową opcją czyszczenia dysków twardych w systemie Windows?

A. Użyj wbudowanego wiersza poleceń sdelete systemu Windows.
B. Użyj gumki.
C. Użyj DBAN.
D. Zaszyfruj dysk, a następnie usuń klucz.

143. Firma, w której pracuje Charlene, przygotowywała się do fuzji i podczas cichej fazy odkrywa, że korporacyjny bezpieczny serwer plików, który zawierał szczegóły fuzji, został naruszony. Kiedy pracuje nad swoim raportem podsumowującym incydent, jak powinna najdokładniej kategoryzować dane, które zostały naruszone?

A. Dane osobowe
B. PHI
C. PCI
D. Poufne dane firmowe

144. Który z poniższych przypadków nie jest prawidłowym przypadkiem użycia obrazowania sądowego na żywo?

A. Analiza złośliwego oprogramowania
B. Szyfrowane dyski
C. Pośmiertna kryminalistyka
D. Nieobsługiwane systemy plików

145. Które z poniższych poleceń jest standardowym sposobem określenia wieku konta użytkownika w systemie Linux, jeśli [nazwa użytkownika] jest zastępowana przez sprawdzany identyfikator użytkownika?

A. userstat [nazwa użytkownika]
B. ls -ld /home/[nazwa użytkownika]
C. aureport -auth | grep [nazwa użytkownika]
D. Żadne z powyższych

146. Profilowanie sieci i systemów może pomóc w identyfikacji nieoczekiwanej aktywności. Jakiego typu wykrywania można użyć po utworzeniu profilu?

A. Analiza dynamiczna
B. Analiza anomalii
C. Analiza statyczna
D. Analiza behawioralna

147. Podczas przeglądania działań podjętych podczas procesu reagowania na incydent Mei zostaje poinformowana przez pracownika lokalnego działu pomocy technicznej, że zainfekowana maszyna została przywrócona do działania za pomocą punktu przywracania systemu Windows. Który z poniższych elementów spowoduje powrót systemu Windows do poprzedniego stanu?

A. Akta osobowe
B. Złośliwe oprogramowanie
C. Pliki systemowe Windows
D. Wszystkie zainstalowane aplikacje

148. Podczas próby odpowiedzi na poważny incydent, Kobe odkrywa dowody na to, że krytyczny serwer aplikacji mógł być repozytorium danych i punktem wyjścia w badanym przez niego naruszeniu bezpieczeństwa. Jeśli nie jest w stanie przełączyć systemu w tryb offline, która z poniższych opcji zapewni mu najlepsze dane kryminalistyczne?

A. Uruchom ponownie serwer i zamontuj dysk systemowy za pomocą rozruchowego pakietu śledczego z USB.
B. Utwórz obraz za pomocą narzędzia takiego jak FTK Imager Lite.
C. Przechwyć pamięć systemową za pomocą narzędzia takiego jak Volatility.
D. Zainstaluj i uruchom narzędzie do tworzenia obrazów na serwerze działającym.

149. Manish chce monitorować zmiany uprawnień do plików w systemie Windows, za który jest odpowiedzialny. Jaką kategorię audytu powinien umożliwić, aby to umożliwić?

A. Uprawnienia do plików
B. Prawa użytkownika
C. System plików
D. Obiekty kontrolne

150. Manish znajduje następujące wpisy w systemie Linux w /var/log/auth.log. Jeśli jest jedynym użytkownikiem z uprawnieniami roota, wymaga uwierzytelnienia dwuskładnikowego, aby zalogować się jako root i nie podjął pokazanych działań, co powinien sprawdzić?



A. Zhakowane konto root
B. Atak polegający na eskalacji uprawnień z konta lub usługi o niższym stopniu uprzywilejowania
C. Infekcja złośliwym oprogramowaniem
D. RAT

151. Niezadowolony były pracownik korzysta z systemów, za które była odpowiedzialna, aby spowolnić sieć, za której ochronę odpowiada Chris podczas krytycznego wydarzenia biznesowego. Jaka klasyfikacja zagrożeń NIST najlepiej pasuje do tego typu ataku?

A. Podszywanie się
B. Wyniszczenie
C. Niewłaściwe użycie
D. Sieć

152. W ramach analizy kryminalistycznej serii zdjęć John uruchamia narzędzie exiftool dla każdego zdjęcia. Otrzymuje następujący wykaz z jednego zdjęcia. Jakie przydatne informacje kryminalistyczne może zebrać z tego zdjęcia?



A. Pierwotna data utworzenia, typ urządzenia, lokalizacja GPS i nazwa twórcy
B. Kolejność endian pliku, typ pliku, lokalizacja GPS i typ sceny
C. Oryginalna data utworzenia, typ urządzenia, lokalizacja GPS i producent urządzenia
D. Typ MIME, czas GPS, lokalizacja GPS i nazwa twórcy

153. W fazie przygotowań do procesu reagowania na incydenty w swojej organizacji Oscar zbiera laptopa z przydatnym oprogramowaniem, w tym narzędziami śledczymi i śledczymi, pendrive′ami i zewnętrznymi dyskami twardymi, sprzętem sieciowym i różnymi kablami. Jak potocznie nazywa się ten rodzaj gotowego sprzętu?

A. Torba do chwytania
B. Zestaw do skoku
C. Wózek awaryjny
D. Zestaw pierwszej pomocy

154. Chris analizuje informacje o przeglądaniu Chrome w ramach dochodzenia kryminalistycznego. Po przeszukaniu tabeli odwiedzin przechowywanej przez Chrome odkrywa 64-bitową liczbę całkowitą zapisaną jako "czas wizyty" o wartości 1313355792940000000. Jaką konwersję musi przeprowadzić na tych danych, aby były przydatne?

A. Wartość w sekundach od 1 stycznia 1970 r.
B. Wartość jest w sekundach od 1 stycznia 1601.
C. Wartość jest sygnaturą czasową firmy Microsoft i można ją przekonwertować za pomocą narzędzia czasu.
D. Wartość jest datą w formacie ISO 8601 i można ją przekonwertować za pomocą dowolnego narzędzia czasu ISO.

155. Marsha musi upewnić się, że stacje robocze, za które jest odpowiedzialna, otrzymały krytyczną łatkę systemu Windows. Której z poniższych metod powinna unikać sprawdzania stanu poprawki dla systemów Windows 10?
A. Sprawdź ręcznie historię aktualizacji.
B. Uruchom Microsoft Baseline Security Analyzer.
C. Utwórz i uruchom skrypt PowerShell, aby wyszukać konkretną poprawkę, którą musi sprawdzić.
D. Użyj menedżera konfiguracji punktów końcowych, aby sprawdzić stan poprawki dla każdego komputera w jej domenie.

156. Gdy John kontynuuje śledztwo kryminalistyczne obejmujące liczne obrazy, znajduje katalog oznaczony jako Pobrane z Facebooka. Obrazy wydają się istotne dla jego śledztwa, więc przetwarza je na metadane za pomocą exiftool. Poniższy obraz przedstawia dostarczone dane. Jakie przydatne kryminalistycznie informacje może zebrać Jan z tych danych wyjściowych?



A. Data i godzina utworzenia oryginalnego pliku
B. Urządzenie używane do przechwytywania obrazu
C. Oryginalny skrót (hash) pliku, umożliwiający porównanie z oryginałem
D. Brak; Facebook usuwa z obrazów prawie wszystkie przydatne metadane.

157. Szpital, w którym pracuje Tony, musi być zgodny z HIPAA i musi chronić dane HIPAA. Które z poniższych nie jest przykładem PHI?

A. Nazwiska osób
B. Ewidencja udzielonej opieki zdrowotnej
C. Ewidencja płatności za opiekę zdrowotną
D. Indywidualne zapisy edukacyjne

158. Ben pracuje w amerykańskiej agencji federalnej, która doświadczyła naruszenia bezpieczeństwa danych. W ramach FISMA, do jakiej organizacji musi zgłosić ten incydent?

A. US-CERT
B. Krajowy Urząd ds. Bezpieczeństwa Cybernetycznego
C. Krajowe Centrum Cyberbezpieczeństwa
D. CERT/CC

159. Które z poniższych prawidłowo wymienia kolejność zmienności od najmniej do najbardziej niestabilnej?

A. Wydruki, pliki wymiany, pamięć podręczna procesora, pamięć RAM
B. Dyski twarde, nośniki USB, DVD, CD-RW
C. Płyty DVD, dyski twarde, pamięć wirtualna, pamięci podręczne
D. RAM, pliki wymiany, dyski SSD, wydruki

160. Joe chce odzyskać hasła dla lokalnych użytkowników Windows na stacji roboczej Windows. Gdzie są przechowywane skróty haseł?

A. C:\Windows\System32\passwords
B. C:\Windows\System32\config
C. C:\Windows\Secure\config
D. C:\Windows\Secure\accounts

161. Podczas przeprowadzania analizy kryminalistycznej systemu zaangażowanego w naruszenie danych Alex odkrywa szereg plików Microsoft Word, w tym pliki o nazwach takich jak krytyczne_dane.docx i sales_estimates_2020.docx. Kiedy próbuje przejrzeć pliki za pomocą edytora tekstu w poszukiwaniu przydatnych informacji, znajduje tylko nieczytelne dane. Co się stało?

A. Pliki Microsoft Word są przechowywane w formacie ZIP.
B. Pliki Microsoft Word są zaszyfrowane.
C. Pliki Microsoft Word mogą być otwierane tylko przez Microsoft Word.
D. Użytkownik użył technik antykryminalistycznych do zaszyfrowania danych.

162. Singh próbuje zdiagnozować problemy z wysokim wykorzystaniem pamięci w systemie macOS i zauważa wykres pokazujący zużycie pamięci. Co wskazuje ciśnienie pamięci w systemie macOS, gdy wykres jest żółty i wygląda jak na poniższej ilustracji?



A. Zasoby pamięci są dostępne.
B. Zasoby pamięci są dostępne, ale ich zadaniem jest zarządzanie pamięcią.
C. Zasoby pamięci są zagrożone, a aplikacje zostaną zakończone w celu zwolnienia pamięci.
D. Zasoby pamięci są wyczerpane, a dysk zaczął się wymieniać.

163. Lukas uważa, że jeden z jego użytkowników próbował użyć wbudowanych poleceń systemu Windows do sondowania serwerów w sieci, za którą jest odpowiedzialny. Jak może odzyskać historię poleceń dla tego użytkownika, jeśli system został zrestartowany od czasu rekonesansu?

A. Sprawdź historię Bash.
B. Otwórz okno wiersza polecenia i naciśnij klawisz F7.
C. Ręcznie otwórz historię poleceń z katalogu profilu użytkownika.
D. Wiersz poleceń systemu Windows nie przechowuje historii poleceń.

164. Przeprowadzając ankietę sieci bezprzewodowej, Susan odkrywa dwa bezprzewodowe punkty dostępowe, które używają tego samego adresu MAC. Gdy próbuje połączyć się z każdym z nich, zostaje wysłana na stronę logowania swojej organizacji. O co powinna się martwić?

A. Źle skonfigurowany punkt dostępu
B. Błąd dostawcy
C. Atak złego bliźniaka
D. Złośliwy atak MAC

165. Podczas próby odpowiedzi na incydent Alex odkrywa działający proces uniksowy, który pokazuje, że został uruchomiony za pomocą polecenia nc -k -l 6667. Nie rozpoznaje usługi, uważa, że może to być złośliwy proces i potrzebuje pomocy w ustaleniu co to jest. Które z poniższych najlepiej opisuje to, z czym się spotkał?

A. Serwer IRC
B. Serwer katalogu sieciowego
C. Użytkownik uruchamiający polecenie powłoki
D. Serwer netcat

166. Angela przeprowadza ćwiczenie reagowania na incydenty i musi ocenić ekonomiczny wpływ na jej organizację wydatku 500 000 USD związanego z incydentem związanym z bezpieczeństwem informacji. Jak powinna to sklasyfikować?

A. Niski wpływ
B. Średni wpływ
C. Wysoki wpływ
D. Angela nie może ocenić wpływu na podstawie podanych danych.

167. Saanvi musi sprawdzić, czy jego system Linux wysyła logi systemowe do jego SIEM. Jaką metodą może sprawdzić, czy generowane przez niego zdarzenia są prawidłowo wysyłane i odbierane?

A. Monitoruj ruch, uruchamiając w systemie Wireshark lub tcpdump.
B. Skonfiguruj unikalny identyfikator zdarzenia i wyślij go.
C. Monitoruj ruch, uruchamiając Wireshark lub tcpdump na urządzeniu SIEM.
D. Wygeneruj znany identyfikator zdarzenia i monitoruj go.

168. Susan chce chronić stacje robocze Windows w swojej domenie przed atakami przepełnienia bufora. Co powinna polecić administratorom domen w swojej firmie?

A. Zainstaluj narzędzie antymalware.
B. Zainstaluj narzędzie antywirusowe.
C. Włącz funkcję DEP w systemie Windows.
D. Ustaw VirtualAllocProtection na 1 w rejestrze.

169. Jaki krok następuje po oczyszczeniu mediów zgodnie z wytycznymi NIST w zakresie bezpiecznego obchodzenia się z mediami?

A. Ponowne użycie
B. Walidacja
C. Zniszczenie
D. Dokumentacja

170. Latisha chce stworzyć udokumentowany łańcuch dowodowy dla systemów, którymi zajmuje się w ramach dochodzenia kryminalistycznego. Które z poniższych zapewni jej dowód, że systemy nie zostały naruszone, gdy nie pracuje z nimi?

A. Dziennik kontroli pochodzenia produktu
B. Uszczelki odporne na manipulacje
C. Dzienniki systemowe
D. Żadne z powyższych

171. Zespół ds. reagowania na incydenty Matta zebrał informacje z dziennika i pracuje nad identyfikacją napastników przy użyciu tych informacji. Na jakich dwóch etapach procesu reagowania na incydenty NIST pracuje jego czas?

A. Przygotowanie i powstrzymywanie, eliminacja i odzyskiwanie
B. Przygotowania i działania po zdarzeniu
C. Wykrywanie i analiza oraz ograniczanie, eliminacja i odzyskiwanie
D. Ograniczanie, eliminacja i odzyskiwanie oraz działania po zdarzeniu

172. Maria chce zrozumieć, co robi pakiet złośliwego oprogramowania i wykonuje go na maszynie wirtualnej, która jest oprzyrządowana przy użyciu narzędzi, które będą śledzić, co robi program, jakie wprowadza zmiany i jaki ruch sieciowy wysyła, jednocześnie umożliwiając jej wprowadzanie zmian na systemu lub klikać pliki w razie potrzeby. Jaki rodzaj analizy przeprowadziła Maria?

A. Ręczne cofanie kodu
B. Interaktywna analiza zachowań
C. Analiza właściwości statycznych
D. Dynamiczna analiza kodu

173. Raj odkrywa, że obraz sądowy, który próbował stworzyć, nie powiódł się. Jaki jest najbardziej prawdopodobny powód tego niepowodzenia?

A. Dane zostały zmodyfikowane.
B. Dysk źródłowy jest zaszyfrowany.
C. Dysk docelowy ma uszkodzone sektory.
D. Danych nie można kopiować w formacie RAW.

174. Derek konfiguruje serię maszyn wirtualnych, które są automatycznie tworzone w całkowicie odizolowanym środowisku. Po utworzeniu systemy są wykorzystywane do uruchamiania potencjalnie złośliwego oprogramowania i plików. Działania podejmowane przez te pliki i programy są rejestrowane, a następnie raportowane. Jakiej techniki używa Derek?

A. Piaskownica
B. Inżynieria odwrotna
C. Demontaż złośliwego oprogramowania
D. Analiza darknetu

175. Liam zauważa następujące wpisy w swojej konsoli internetowej Squert (konsoli internetowej dla danych Sguil IDS). Co powinien zrobić, aby ustalić, co się stało?



A. Przejrzyj dzienniki SSH.
B. Wyłącz SSH, a następnie zbadaj dalej.
C. Odłącz serwer od Internetu, a następnie zbadaj.
D. Natychmiast zmienić swoje hasło.

176. Latisha chce uniknąć uruchamiania programu zainstalowanego przez użytkownika, który jej zdaniem ma ustawiony klucz RunOnce w rejestrze systemu Windows, ale musi uruchomić system. Co może zrobić, aby uniemożliwić RunOnce wykonywanie programów wymienionych w kluczu rejestru?

A. Wyłącz rejestr podczas rozruchu.
B. Uruchom w trybie awaryjnym.
C. Uruchom z flagą -RunOnce.
D. RunOnce nie można wyłączyć; będzie musiała najpierw uruchomić komputer z nośnika zewnętrznego, aby go wyłączyć.

177. Pranab chce określić, kiedy urządzenie USB zostało po raz pierwszy podłączone do stacji roboczej Windows. W jakim pliku powinien sprawdzić te informacje?

A. Rejestr
B. Plik dziennika setupapi
C. Dziennik systemowy
D. Dane nie są przechowywane w systemie Windows.

178. Pojawiła się nowa poważna infekcja botnetu, która wykorzystuje proces dowodzenia i kontroli peer-to-peer. Latisha chce wykrywać zainfekowane systemy, ale wie, że komunikacja peer-to-peer jest nieregularna i zaszyfrowana. Jeśli chce monitorować całą swoją sieć pod kątem tego typu ruchu, jakiej metody powinna użyć do wyłapania zainfekowanych systemów?

A. Zbuduj regułę IPS, aby wykrywać wszystkie połączenia peer-to-peer zgodne z sygnaturą instalatora botnetu.
B. Używaj skryptów do wykrywania sygnałów nawigacyjnych skoncentrowanych na systemach dowodzenia i kontroli.
C. Przechwytuj przepływy sieciowe dla wszystkich hostów i używaj filtrów, aby usunąć normalne typy ruchu.
D. Natychmiast zbuduj linię bazową ruchu sieciowego i przeanalizuj ją pod kątem anomalii.

179. Które z poniższych działań nie jest częścią procesu zabezpieczania i przywracania?

A. Minimalizacja strat
B. Identyfikacja napastnika
C. Ograniczenie zakłóceń usług
D. Odbudowa skompromitowanych systemów

180. Samantha niedawno objęła nowe stanowisko pierwszego analityka bezpieczeństwa, jakiego kiedykolwiek zatrudniał jej pracodawca. W pierwszym tygodniu odkrywa, że nie ma polityki bezpieczeństwa informacji, a personel IT nie wie, co robić podczas incydentu związanego z bezpieczeństwem. Samantha planuje uruchomić zespół CSIRT do obsługi incydentów. Jaki rodzaj dokumentacji powinna dostarczyć, aby opisać konkretne procedury, które zespół CSIRT zastosuje podczas zdarzeń, takich jak infekcje złośliwym oprogramowaniem i włamanie do serwera?

A. Zasady reagowania na incydenty
B. Instrukcja operacyjna
C. Program reagowania na incydenty
D. Poradnik

181. Jaki typ zachowania ataku jest tutaj pokazany?



A. Nadpisanie jądra
B. Przepisanie RPC
C. Przepełnienie bufora
D. Hakowanie sterty

182. Podczas dochodzenia w sprawie kompromisu Jack odkrywa cztery pliki, których nie rozpoznaje i uważa, że mogą być złośliwym oprogramowaniem. Co może zrobić, aby szybko i skutecznie sprawdzić pliki pod kątem złośliwego oprogramowania?

A. Prześlij je do witryny takiej jak VirusTotal.
B. Otwórz je za pomocą narzędzia do analizy statycznej.
C. Uruchom ciągi dla każdego pliku, aby zidentyfikować typowe identyfikatory złośliwego oprogramowania.
D. Uruchom przeciwko nim lokalne narzędzie antywirusowe lub antymalware.

183. Alexandra próbuje ustalić, dlaczego system Windows ciągle zapełnia swój dysk. Jakiego narzędzia Sysinternals powinna użyć, jeśli chce zobaczyć graficzny widok zawartości dysku, który umożliwia jej drążenie w każdym klastrze?

A. du
B. df
C. GraphDisk
D. DiskView

184. Jakich przydatnych informacji nie można ustalić na podstawie zawartości folderu $HOME/.ssh podczas przeprowadzania dochodzenia kryminalistycznego systemu Linux?

A. Zdalne hosty, które zostały połączone z
B. Klucze prywatne używane do logowania w innym miejscu
C. Klucze publiczne używane do logowania do tego systemu
D. Hasła związane z klawiszami

185. John uważa, że pliki obrazów, które napotkał podczas dochodzenia kryminalistycznego, zostały pobrane ze strony internetowej. Jakiego narzędzia może użyć Jan, aby określić, skąd zostały pobrane pliki?

A. Odwrotne wyszukiwanie grafiki w Google
B. Tineye
C. Dopasowanie obrazu Bing
D. Wszystkie powyższe

186. Sieć Briana nagle przestaje działać o 8:40, przerywając wideokonferencje, transmisje strumieniowe i inne usługi w całej jego organizacji, a następnie wznawia działanie. Kiedy Brian loguje się do swojej konsoli PRTG i sprawdza ruch routera za pośrednictwem nadmiarowego łącza sieciowego połączenia podstawowego, widzi następujący wykres. Co Brian powinien przypuszczać na podstawie tych informacji?



A. Sieć uległa awarii i działa w trybie buforowanym.
B. Wystąpiła awaria karty łącza i karta została odzyskana.
C. Jego łącze główne przestało działać i powinien sprawdzić ruch w łączu drugorzędnym.
D. PRTG przestał otrzymywać informacje o przepływie i wymaga ponownego uruchomienia.

187. Carlos musi utworzyć kopię dochodzeniową dysku zaszyfrowanego funkcją BitLocker. Która z poniższych metod nie jest metodą, której mógłby użyć do uzyskania klucza funkcji BitLocker?

A. Analizowanie pliku hibernacji
B. Analizowanie pliku zrzutu pamięci
C. Pobieranie klucza z MBR
D. Wykonywanie ataku FireWire na zamontowany dysk

188. Adam pracuje dla dużego uniwersytetu i widzi następujący wykres w swojej konsoli PRTG, patrząc na całoroczny widok. Jaką analizę behawioralną mógłby wykorzystać na podstawie tego wzorca?



A. Zidentyfikuj nieoczekiwany ruch podczas przerw, takich jak najniższy punkt w Boże Narodzenie.
B. Potrafi określić, dlaczego duże spadki ruchu zdarzają się w weekendy.
C. Potrafi zidentyfikować najlepszych mówców.
D. Adam nie może dokonywać żadnych ustaleń behawioralnych na podstawie tego wykresu.

189. Jaka jest nazwa odstępu między ostatnim sektorem zawierającym dane logiczne a końcem klastra?

A. Nieprzydzielone miejsce
B. Przestrzeń efemeryczna
C. Luźna przestrzeń
D. Spacja niesformatowana

190. Faruk chce użyć netstat, aby uzyskać nazwę procesu, PID i nazwę użytkownika skojarzoną z nienormalnie zachowującymi się procesami, które działają w systemie Linux, który bada. Jakie flagi netstatu dostarczą mu tych informacji?

A.-na
B. -pt
C. -pe
D.-sa

191. Jack przygotowuje się do zabrania działającego komputera z powrotem do laboratorium kryminalistycznego w celu analizy. Gdy Jack rozważa swój proces kryminalistyczny, jeden z jego rówieśników zaleca, aby po prostu pociągnął za kabel zasilający, zamiast wyłączać oprogramowanie. Dlaczego Jack może skorzystać z tej rady?

A. Utworzy dziennik awarii, dostarczając przydatnych informacji śledczych dotyczących pamięci.
B. Uniemożliwi uruchomienie skryptów zamykających.
C. Utworzy zrzut pamięci, dostarczając przydatnych informacji kryminalistycznych.
D. Spowoduje przechwycenie rezydującego w pamięci złośliwego oprogramowania, umożliwiając analizę.

192. Amanda otrzymała zadanie pozyskania danych z iPhone′a w ramach mobilnej analizy śledczej. W którym momencie powinna wyjąć kartę SIM (lub UICC) z urządzenia, jeśli otrzyma urządzenie w stanie włączonym?

A. Przy włączonym zasilaniu, ale po logicznym zebraniu
B. Po włączeniu, przed logicznym pobraniem
C. Przy wyłączonym zasilaniu, po logicznym zebraniu
D. Przy wyłączonym zasilaniu, przed logicznym pobraniem

193. Rick chce potwierdzić swoje wysiłki w zakresie odzyskiwania i zamierza przeskanować serwer sieciowy, za który jest odpowiedzialny, za pomocą narzędzia skanującego. Jakiego narzędzia powinien użyć, aby uzyskać najbardziej przydatne informacje o lukach w systemie?

A. Wapiti
B. nmap
C. OpenVAS
D. ZAP

194. Jaki jest główny cel etapu powstrzymywania procesu reagowania na incydent?

A. Aby ograniczyć przecieki do prasy lub klientów
B. Aby ograniczyć dalsze szkody spowodowane wystąpieniem
C. Aby zapobiec eksfiltracji danych
D. Aby przywrócić systemy do normalnej pracy

195. Jaki poziom ekstrakcji danych kryminalistycznych będzie najprawdopodobniej możliwy i rozsądny dla korporacyjnego eksperta kryminalistycznego, który ma do czynienia z nowoczesnymi telefonami, które zapewniają szyfrowanie systemu plików?

A. Poziom 1: Ręczna ekstrakcja
B. Poziom 2: Ekstrakcja logiczna
C. Poziom 3: zrzucanie JTAG lub HEX
D. Poziom 4: Ekstrakcja wiórów

196. Wang przeprowadza analizę kryminalistyczną systemu Windows 10 i chce przedstawić przegląd użytkowania systemu przy użyciu informacji zawartych w rejestrze systemu Windows. Który z poniższych elementów nie jest elementem danych, który może pobrać z SAM?

A. Ustawienie wygaśnięcia hasła
B. Typ konta użytkownika
C. Liczba logowań
D. Pierwsze logowanie konta

197. Samantha przygotowuje raport opisujący typowe modele ataków wykorzystywane przez zaawansowane podmioty zajmujące się trwałym zagrożeniem. Która z poniższych cech jest typową cechą ataków APT?

A. Obejmują wyrafinowane ataki DDoS.
B. Po cichu zbierają informacje z zaatakowanych systemów.
C. Polegają na rozprzestrzenianiu się robaków.
D. Używają szyfrowania do przetrzymywania danych jako zakładników.

198. Podczas procesu reagowania na incydent, Alicja jest przydzielana do zbierania szczegółowych informacji o tym, do jakich danych uzyskano dostęp, czy zostały one eksfiltrowane i jaki rodzaj danych został ujawniony. Jaki rodzaj analizy wykonuje?

A. Analiza wpływu informacji
B. Analiza wpływu ekonomicznego
C. Analiza przestojów
D. Analiza czasu odzyskiwania

199. Carol odkryła atak, który wydaje się podążać za pokazanym tutaj przebiegiem procesu. Jaki rodzaj ataku powinna to określić?



A. Phishing
B. Exploit dnia zerowego
C. Wielorybnictwo
D. Zaawansowane trwałe zagrożenie

Odnieś się do obrazu pokazanego tutaj w przypadku pytań 200-202.



200. Podczas procesu e-discovery Carol przegląda prośbę adwokata strony przeciwnej i tworzy listę wszystkich zidentyfikowanych osób. Następnie kontaktuje się z personelem IT, który wspiera każdą osobę, aby poprosić o listę jej zasobów IT. W jakiej fazie przepływu EDRM jest ona?

A. Zarządzanie informacjami
B. Identyfikacja
C. Konserwacja
D. Kolekcja

201. Podczas fazy zachowywania swojej pracy Carol odkrywa, że informacje wymagane w ramach żądania odkrycia zostały usunięte w ramach regularnie zaplanowanego czyszczenia danych zgodnie z zasadami organizacji. Co powinna zrobić Carol?

A. Przeprowadź kryminalistyczne odzyskiwanie danych.
B. Utwórz syntetyczne dane, aby zastąpić brakujące dane.
C. Zgłoś problem prawnikowi.
D. Usuń wszelkie inne dane związane z żądaniem w oparciu o te same zasady.

202. Na jakim etapie Carol powinna spędzić najwięcej osobogodzin?

A. Identyfikacja
B. Gromadzenie i przechowywanie
C. Przetwarzanie, przegląd i analiza
D. Produkcja

203. Zestaw reagowania na incydenty, który Cassandra buduje, opiera się na potężnym laptopie, dzięki czemu może ona przeprowadzać akwizycje i analizy dysków na miejscu. Jeśli spodziewa się, że będzie musiała pozyskać dane z dysków SATA, IDE, SSD i flash, jaki element powinna uwzględnić w jej zestawie?

A. Blokada zapisu
B. Dysk twardy USB
C. Adapter napędu z wieloma interfejsami
D. Kabel USB-C

204. Który z poniższych elementów nie znajduje się zwykle w korporacyjnych zestawach kryminalistycznych?

A. Blokery zapisu
B. Taśma z miejsca zbrodni
C. Producenci etykiet
D. Narzędzia deszyfrujące

205. Jakie narzędzie reagowania na incydenty Kai powinien zbudować przed incydentem, aby zapewnić personelowi możliwość dotarcia do krytycznych osób reagujących w razie potrzeby?

A. Trójkąt triage
B. Lista połączeń
C. Rotacja połączeń
D. Macierz odpowiedzialności

206. Podczas wykonywania analizy procesu na zaatakowanym systemie Linux, Kai odkrywa uruchomiony proces o nazwie "john". Co powinna określić jako najbardziej prawdopodobne użycie programu?

A. Łamanie hasła
B. Eskalacja uprawnień
C. Rootkit
D. Użytkownik o nazwie osobista aplikacja Johna

207. Która z poniższych organizacji nie jest zazwyczaj zaangażowana w komunikację po zdarzeniu?

A. Deweloperzy
B. Marketing
C. Public relations
D. Prawne

208. Przeglądając dzienniki systemowe, Charles odkrywa, że procesor stacji roboczej, którą przegląda, stale osiąga 100-procentowe wykorzystanie procesora przez przeglądarkę internetową. Po sprawdzeniu reszty systemu nie wydaje się, aby zainstalowano nieautoryzowane oprogramowanie. Co Karol powinien zrobić dalej?

A. Przejrzyj strony odwiedzane przez przeglądarkę internetową w przypadku wystąpienia problemów z wykorzystaniem procesora
B. Sprawdź plik binarny przeglądarki ze znaną dobrą wersją
C. Zainstaluj ponownie przeglądarkę
D. Wyłącz TLS

209. Mika stwierdza, że wersja Java zainstalowana na serwerze sieciowym jej organizacji została zastąpiona. Jaki rodzaj problemu jest najlepiej sklasyfikowany?

A. Nieautoryzowane oprogramowanie
B. Nieautoryzowana zmiana
C. Nieoczekiwane dane wejściowe
D. Przepełnienie pamięci

210. Greg znajduje w swoich dziennikach Apache serię wpisów zawierających długie ciągi "AAAAAAAAAAAAAAAAAAAAAAAA", po których następują ciągi znaków. Jaki rodzaj ataku najprawdopodobniej odkrył?

A. Atak wstrzykiwania SQL
B. Atak typu "odmowa usługi"
C. Atak przepełnienia bufora
D. Atak łańcuchowy PHP

211. Barb chce wykryć nieoczekiwane dane wyjściowe z aplikacji, za którą jest odpowiedzialna i za którą jest odpowiedzialna. Jakiego rodzaju narzędzia może użyć do skutecznego wykrywania nieoczekiwanych wyników?

A. Narzędzie do analizy logów
B. Narzędzie do analizy opartej na zachowaniu
C. Narzędzie do wykrywania oparte na sygnaturach
D. Analiza ręczna

212. Tom buduje swój zespół reagowania na incydenty i jest zaniepokojony tym, jak organizacja poradzi sobie z zagrożeniami wewnętrznymi. Która funkcja biznesowa byłaby najbardziej zdolna do pomocy w opracowaniu polityki dyscyplinarnej?

A. Bezpieczeństwo informacji
B. Zasoby ludzkie
C. Radca prawny
D. Kierownictwo wyższego szczebla

213. Który z poniższych elementów danych stanowiłby wrażliwe dane osobowe (SPI) zgodnie z ogólnym rozporządzeniem o ochronie danych Unii Europejskiej?

A. Numer prawa jazdy
B. Orientacja seksualna
C. Numer rachunku bankowego
D. Adres

214. Podczas incydentu związanego z bezpieczeństwem Joanna wprowadza serię zmian w systemach produkcyjnych, aby powstrzymać uszkodzenia. Jaki rodzaj zmiany powinna zgłosić w procesie kontroli zmian w swojej organizacji, gdy nakłady na odpowiedź dobiegają końca?

A. Rutynowa zmiana
B. Zmiana priorytetu
C. Awaryjna zmiana
D. Wstępnie zatwierdzona zmiana

215. Który z poniższych typów testów reakcji na incydent zapewnia interaktywne ćwiczenie dla całego zespołu, ale nie wiąże się z ryzykiem zakłócenia normalnej działalności biznesowej?

A. Pełny test przerwania
B. Przegląd listy kontrolnej
C. Przegląd zarządzania
D. Ćwiczenie na stole

216. Greg podejrzewa, że atakujący uruchamia serwer SSH w swojej sieci na niestandardowym porcie. Jaki port jest zwykle używany do komunikacji SSH?

A.
B. 22
C. 443
D. 444

217. Amanda dokonuje przeglądu bezpieczeństwa systemu, który został wcześniej naruszony. Szuka oznak, że atakujący osiągnął trwałość w systemie. Które z poniższych powinno być jej najwyższym priorytetem do sprawdzenia?

A. Zaplanowane zadania
B. Ruch sieciowy
C. Uruchomione procesy
D. Dzienniki aplikacji

218. Które z poniższych środowisk usług w chmurze prawdopodobnie zapewni najlepsze dostępne informacje do analizy kryminalistycznej?

A. SaaS
B. IaaS
C. PaaS
D. IDaaS

219. Ken pomaga swojej organizacji przygotować się do przyszłych działań związanych z reagowaniem na incydenty i chciałby upewnić się, że przeprowadzają regularne ćwiczenia szkoleniowe. Którego z poniższych ćwiczeń mógłby użyć, aby przypomnieć osobom odpowiadającym na incydenty o ich obowiązkach z najmniejszym wpływem na inne priorytety organizacyjne?

A. Przegląd listy kontrolnej
B. Zorganizowany przewodnik
C. Zdobądź flagę
D. Ćwiczenie na stole

220. Podczas analizowania ruchu sieciowego pod kątem wskaźników naruszenia bezpieczeństwa, która z następujących par usług/portów wskazuje na wspólny protokół działający na niestandardowym porcie?

A. HTTPS na porcie TCP 443
B. RDP na porcie TCP 3389
C. SSH na porcie TCP 1433
D. HTTP na porcie TCP 80

221. Camilla uczestniczy w fazie eliminacji i odzyskiwania w procesie reagowania na incydenty. Która z poniższych czynności normalnie nie miałaby miejsca w tej fazie?

A. Łagodzenie podatności
B. Przywrócenie uprawnień
C. Weryfikacja logowania/komunikacji z monitoringiem bezpieczeństwa
D. Analiza zużycia pojemności dysku

222. Craig dokonuje przeglądu planu reagowania na incydenty swojej organizacji i chce zapewnić, że plan obejmuje koordynację ze wszystkimi odpowiednimi podmiotami wewnętrznymi i zewnętrznymi. Z którym z poniższych interesariuszy powinien być najbardziej ostrożny w koordynowaniu?

A. Organy regulacyjne
B. Kierownictwo wyższego szczebla
C. Prawne
D. Zasoby ludzkie

Odpowiedzi

1. B. Lucca potrzebuje tylko weryfikowalnego skrótu MD5 do walidacji plików w większości przypadków. Pozwoli mu to zweryfikować, czy pobrany plik jest zgodny z hashem pliku, który według dostawcy dostarcza. Doszło do wielu kompromisów w systemach dostawców, takich jak projekty open source, które obejmowały dystrybucję złośliwego oprogramowania, które atakujący wstawili do plików binarnych lub kodu źródłowego dostępnego do pobrania, co czyni ten krok ważnym krokiem, gdy bezpieczeństwo ma kluczowe znaczenie dla organizacji.

2. C. Ilość metadanych zawartych na zdjęciach różni się w zależności od urządzenia użytego do ich wykonania, ale potencjalnie można znaleźć lokalizację GPS, czas na podstawie znacznika czasu GPS (a zatem prawidłowy, a nie natywny dla urządzenia) oraz typ aparatu. Pliki graficzne nie śledzą ile razy zostały skopiowane!

3. O. Chris potrzebuje zarówno plików /etc/passwd, jak i /etc/shadow, aby John Rozpruwacz mógł złamać hasła. Chociaż przechowywane są tylko skróty, John the Ripper zawiera wbudowane narzędzia brute-force, które łamią hasła.

4. B. Pakiet Sysinternals zapewnia dwa narzędzia do sprawdzania dostępu, AccessEnum i Access-Chk. AccessEnum to program oparty na graficznym interfejsie użytkownika, który daje pełny wgląd w ustawienia systemu plików i rejestru oraz może wyświetlać pliki z uprawnieniami mniej restrykcyjnymi niż uprawnienia nadrzędne lub dowolne pliki z uprawnieniami, które różnią się od uprawnień nadrzędnych. AccessChk to program wiersza poleceń, który może sprawdzić prawa użytkownika lub grupy do zasobów.

5. A. John nie reaguje na incydent, więc jest to przykład proaktywnej segmentacji sieci. Jeśli wykryje system, który powoduje problemy, może utworzyć dedykowaną sieć kwarantanny lub odizolować lub usunąć system.

6. C. NIST opisuje takie zdarzenia jako incydenty bezpieczeństwa, ponieważ stanowią naruszenie lub bezpośrednie zagrożenie naruszenia polityk i praktyk bezpieczeństwa. Zdarzenie niepożądane to każde zdarzenie o negatywnych skutkach, a zdarzenie to każde możliwe do zaobserwowania zdarzenie w systemie lub sieci.

7. B. W większości przypadków pierwszym typem wykrywania, który Mei powinien wdrożyć, jest nieuczciwa funkcja wykrywania SSID. Pomoże jej to zmniejszyć ryzyko łączenia się użytkowników z niezaufanymi identyfikatorami SSID. Może nadal chcieć przeprowadzać skanowanie punktów dostępu, które używają kanałów, którymi nie powinny być, i oczywiście jej sieć powinna albo używać kontroli dostępu do sieci, albo skanować w poszukiwaniu fałszywych adresów MAC, aby zapobiec bezpośredniemu połączeniu fałszywych punktów dostępu i innych urządzeń.

8. C. Wysiłki. Dana są częścią fazy przygotowawczej, która obejmuje działania mające na celu ograniczenie szkód, jakie może spowodować napastnik.

9. B. Organizacje, które przetwarzają karty kredytowe, współpracują z bankami autoryzacyjnymi w celu obsługi przetwarzania ich kart, a nie bezpośrednio z dostawcami kart. Powiadomienie do banku jest częścią tego typu akcji odpowiedzi. Wymaganie powiadomienia organów ścigania jest mało prawdopodobne, a wykaz dostawców kart określa tylko dwóch głównych dostawców kart, z których żaden nie jest wymieniony w pytaniu.

10. B. Linux zapewnia parę przydatnych poleceń tworzenia i przywracania kopii zapasowych ACL: getfacl umożliwia rekurencyjne tworzenie kopii zapasowych katalogów, w tym wszystkich uprawnień do pliku tekstowego, a setfacl przywraca te uprawnienia z pliku kopii zapasowej. Zarówno aclman, jak i chbkup zostały wymyślone na to pytanie.

11. B. W przypadkach, gdy zaawansowane trwałe zagrożenie (APT) było obecne przez nieznany czas, należy założyć, że kopie zapasowe zostały naruszone. Ponieważ APT często mają narzędzia, których nie można wykryć za pomocą normalnych technik antywirusowych, najlepszą opcją, jaką ma Manish, jest staranne odbudowanie systemów od podstaw, a następnie upewnienie się, że są w pełni załatane i zabezpieczone przed przywróceniem ich do działania.

12. A. FileVault pozwala zaufanym kontom na odblokowanie dysku, ale nie przez zmianę klucza. Klucze FileVault 2 mogą być odzyskane z pamięci dla zamontowanych woluminów i podobnie jak BitLocker sugeruje, aby użytkownicy zapisywali swój klucz odzyskiwania, więc Jessica może chcieć zapytać użytkownika lub przeszukać jego biuro lub materiały, jeśli to możliwe. Wreszcie klucze FileVault można odzyskać z iCloud, zapewniając jej trzeci sposób uzyskania dostępu do dysku.

13. C. Przedstawiona seria prób połączenia jest najprawdopodobniej związana ze skanowaniem portu. Seria nieudanych połączeń z różnymi usługami w ciągu kilku sekund (lub nawet minut) jest typowa dla próby skanowania portu. Atak typu "odmowa usługi" będzie zazwyczaj koncentrował się na jednej usłudze, podczas gdy aplikacja, która nie może się połączyć, zostanie skonfigurowana tak, aby wskazywała tylko jedną usługę bazy danych, a nie wiele. Źle skonfigurowane źródło dziennika spowoduje wysłanie nieprawidłowych informacji dziennika lub w większości przypadków nie wyśle dzienników.

14. D. Windows domyślnie kontroluje tworzenie kont. Frank może wyszukiwać zdarzenia związane z tworzeniem konta pod zdarzeniem o identyfikatorze 4720 w nowoczesnych systemach operacyjnych Windows.

15. A. Czyszczenie wymaga całkowitego usunięcia danych, a usuwanie kryptograficzne jest jedyną opcją, która całkowicie zniszczy zawartość dysku z tej listy. Ponowne formatowanie pozostawi oryginalne dane na miejscu, nadpisanie pozostawia potencjalne pozostałości plików w wolnej przestrzeni, a ponowne partycjonowanie również pozostawi nienaruszone dane w nowych partycjach.

16. B. O ile nie zna już protokołu, którego używa konkretny sygnał nawigacyjny, odfiltrowanie sygnałów nawigacyjnych według protokołu może spowodować, że przeoczy zachowanie związane z sygnałem nawigacyjnym. Atakujący chcą uniknąć typowych narzędzi analitycznych i będą korzystać z protokołów, które z mniejszym prawdopodobieństwem przyciągną uwagę. Filtrowanie ruchu sieciowego pod kątem sygnałów nawigacyjnych na podstawie interwałów i częstotliwości, z jakimi są wysyłane, jeśli sygnał nawigacyjny utrzymuje się w czasie, a usuwanie znanego ruchu jest powszechnym sposobem filtrowania ruchu w celu identyfikacji beaconów.

17. C. Skanowanie lokalne często dostarcza więcej informacji niż skanowanie zdalne z powodu zapór sieciowych lub hostów, które blokują dostęp do usług. Drugą najbardziej prawdopodobną odpowiedzią jest to, że Scott lub Joanna używali innych ustawień podczas skanowania.

18. C. Ogólną najlepszą praktyką w przypadku bardzo wrażliwych systemów jest szyfrowanie kopii dysków przed ich wysłaniem do stron trzecich. Adam powinien zaszyfrować obraz dysku i podać zarówno skrót obrazu, jak i klucz deszyfrujący pod osobną osłoną (przesyłany osobnym mechanizmem), aby upewnić się, że sama utrata dysku nie narazi danych. Gdy obraz znajdzie się w rękach zewnętrznego egzaminatora, będzie on odpowiedzialny za jego bezpieczeństwo. Adam może chcieć sprawdzić, co ich umowa mówi o bezpieczeństwie.

19. B. Sprzętowa blokada zapisu może zapewnić, że podłączenie lub zamontowanie dysku nie spowoduje żadnych zmian na dysku. Mika powinna utworzyć jeden lub więcej obrazów kryminalistycznych oryginalnego dysku, a następnie w razie potrzeby pracować z kopią lub kopiami. Może wtedy zdecydować się na użycie oprogramowania śledczego, w tym prawdopodobnie oprogramowania do blokowania zapisu.

20. A. Ten formularz jest przykładowym formularzem dotyczącym łańcucha dostaw. Zawiera informacje o sprawie; kopie dysków, które zostały utworzone; i kto był w posiadaniu napędów, urządzeń i kopii podczas śledztwa.

21. C. Komenda chmod służy do zmiany uprawnień do pliku. Polecenia head i tail służą do wyświetlania odpowiednio początku i końca pliku. Polecenie cat służy do wyświetlania całego pliku.

22. B. SNMP, sniffing pakietów i NetFlow są powszechnie używane podczas monitorowania zużycia przepustowości. Portmon to starzejące się narzędzie systemu Windows służące do monitorowania portów szeregowych, a nie narzędzie, którego używasz do monitorowania wykorzystania przepustowości sieci!

23. B. James może tymczasowo utworzyć niezaufany segment sieci i użyć portu span lub dotknąć, aby umożliwić mu obserwowanie ruchu opuszczającego zainfekowaną stację roboczą. Używając Wireshark lub tcpdump, może zbudować profil wysyłanego ruchu, pomagając mu zbudować odcisk palca zachowania nawigacyjnego. Gdy uzyska te informacje, może je wykorzystać w swoich wysiłkach odzyskiwania, aby upewnić się, że inne systemy nie są podobnie zainfekowane.

24. C. Wyjście lsof pokazuje połączenie z lokalnego hosta (10.0.2.6) do zdalnego. host.com przez SSH. Listing dla /bin/bash oznacza po prostu, że demo używa powłoki bash. Fred nie znalazł dowodów na to, że demo uzyskuje dostęp do innych systemów w swojej sieci lokalnej, ale może uznać wychodzące połączenie SSH za interesujące.

25. B. Przeprowadzenie przeglądu wyciągniętych wniosków po zastosowaniu planu reagowania na incydenty może pomóc w zidentyfikowaniu ulepszeń i zapewnieniu, że plan jest aktualny i gotowy do obsługi nowych zdarzeń.

26. B. Jeśli firma Kathleen używa systemu zarządzania lub procesu inwentaryzacji do przechwytywania adresów MAC znanych systemów należących do organizacji, raport adresów MAC z jej routerów i przełączników pokaże jej podłączone urządzenia, których nie ma w inwentarzu. Następnie może wyśledzić, gdzie urządzenie jest fizycznie podłączone do portu routera lub przełącznika, aby określić, czy urządzenie powinno tam być.

27. C. Kiedy /var się zapełnia, zwykle jest to spowodowane tym, że pliki dziennika wypełniają całą dostępną przestrzeń. Partycję /var należy przejrzeć pod kątem plików dziennika, które urosły do ekstremalnych rozmiarów lub które nie są prawidłowo ustawione do obracania.

28. D. Uprawnienia Linuksa są odczytywane numerycznie jako "właściciel, grupa, inni". Liczby oznaczają czytanie: 4, pisanie: 2 i wykonywanie: 1. Tak więc 7 zapewnia tej osobie, grupie lub innej osobie odczyt, zapis i wykonanie. 4 oznacza tylko do odczytu; 5 oznacza odtworzenie i wykonanie, bez zapisu; i tak dalej. 777 zapewnia najszerszy zestaw uprawnień, a 000 najmniej.

29. C. Niewłaściwe użytkowanie, które wynika z naruszenia zasad dopuszczalnego użytkowania organizacji przez autoryzowanych użytkowników, można ograniczyć poprzez wdrożenie silnego programu uświadamiającego. Pomoże to upewnić się, że użytkownicy będą wiedzieć, co mogą robić, a co jest zabronione. Attrition Attrition koncentruje się na brutalnych metodach atakowania usług. Ataki personifikacji obejmują podszywanie się, ataki typu man-in-the-middle i podobne zagrożenia. Wreszcie ataki internetowe koncentrują się na witrynach lub aplikacjach internetowych. Świadomość może pomóc w przypadku niektórych konkretnych ataków internetowych, takich jak fałszywe witryny logowania, ale wiele innych nie byłoby ograniczonych działaniami uświadamiającymi Lauren.

30. C. Tryb przyrostowy jest najpotężniejszym trybem Johna Rozpruwacza, ponieważ wypróbuje wszystkie możliwe kombinacje znaków zdefiniowane w ustawieniach wprowadzonych na początku. Tryb pojedynczego pęknięcia próbuje używać nazw logowania z różnymi modyfikacjami i jest bardzo przydatny do wstępnego testowania. Lista słów używa pliku słownika wraz z regułami manipulowania do testowania popularnych haseł. Tryb zewnętrzny opiera się na funkcjach tworzonych przez użytkownika w celu generowania haseł. Tryb zewnętrzny może być przydatny, jeśli Twoja organizacja ma niestandardowe zasady haseł, które chcesz dostosować do używanego narzędzia.

31. B. Jeśli problemy biznesowe nie pozwalają na zawieszenie systemu, najlepszą opcją Lukasa jest skopiowanie plików na dysku wirtualnym, a następnie użycie narzędzia do obrazowania pamięci na żywo. To da mu najlepszą kopię kryminalistyczną możliwą do osiągnięcia w danych okolicznościach. Wykonanie migawki systemu i jego uruchomienie spowoduje utratę artefaktów pamięci na żywo. Eskalacja może być możliwa w pewnych okolicznościach, ale scenariusz określa, że system musi pozostać w trybie online. Wreszcie, zmienność może przechwytywać artefakty pamięci, ale nie jest przeznaczona do przechwytywania pełnej maszyny wirtualnej.

32. B. Ponowne zmontowanie systemu w celu dopasowania do jego pierwotnej konfiguracji może być ważne w śledztwach kryminalistycznych. Oznaczenie kolorami każdego kabla i portu, ponieważ system jest demontowany przed przeniesieniem, pomaga zapewnić prawidłowy ponowny montaż. Mika powinna również mieć zdjęcia zrobione przez śledczych na miejscu, aby dopasować jej prace związane z ponownym montażem do konfiguracji na miejscu.

33. D. Protokół Signal został zaprojektowany z myślą o bezpiecznym przesyłaniu wiadomości typu end-to-end, a użycie odrębnego narzędzia przesyłania wiadomości do reagowania na incydenty może być pomocne w zapewnieniu, że personel oddzieli komunikację o incydentach od codziennych operacji. Wiadomości tekstowe nie są bezpieczne. Poczta e-mail z włączoną obsługą TLS jest szyfrowana tylko między stacją roboczą a serwerem poczty e-mail i może być ujawniana w postaci zwykłego tekstu w stanie spoczynku oraz między innymi serwerami. Serwer Jabber z TLS może być rozsądnym rozwiązaniem, ale jest mniej bezpieczny niż aplikacja oparta na Signal.

34. B. Selah powinien sprawdzić dziennik błędów, aby określić, która strona internetowa lub dostęp do pliku spowodował błędy 404 "nie znaleziono". Błędy mogą wskazywać, że strona jest niewłaściwie połączona, ale mogą również wskazywać na skanowanie jej serwera internetowego.

35. C. Ponieważ dyski są zwracane po zakończeniu najmu, musisz założyć, że umowa nie pozwala na ich zniszczenie. Oznacza to, że czyszczenie dysków, sprawdzenie, czy dyski zostały wyczyszczone i udokumentowanie procesu w celu upewnienia się, że wszystkie dyski są uwzględnione, są odpowiednimi działaniami. Wyczyszczenie dysków pozostawia możliwość odzyskania danych, podczas gdy czyszczenie, zgodnie z definicją NIST SP 800-88, uniemożliwia odzyskanie danych.

36. C. Domyślnym formatem dysku macOS jest APFS i jest to natywny format dysku macOS. macOS obsługuje FAT32 i może czytać NTFS, ale nie może zapisywać na dyskach NTFS bez dodatkowego oprogramowania. HFS+ był domyślnym systemem plików we wcześniejszych wersjach systemu macOS.

37. B. Eraser to narzędzie służące do bezpiecznego czyszczenia plików i dysków. Jeśli Eraser nie jest zwykle instalowany na komputerach swojej organizacji, Tim powinien spodziewać się, że osoba, której dotyczy dochodzenie, zaangażowała się w pewne działania antykryminalistyczne, w tym usuwanie plików, które mogły zostać pobrane lub użyte wbrew zasadom firmy. Nie oznacza to, że nie powinien kontynuować dochodzenia, ale może chcieć zajrzeć do dziennika Gumka w poszukiwaniu dodatkowych dowodów na to, co zostało usunięte.

38. B. Wycinanie danych to proces identyfikowania plików na podstawie sygnatur plików, takich jak nagłówki i stopki, a następnie wyciągania informacji między tymi lokalizacjami jako pliku. Jessica może używać popularnych narzędzi do rzeźbienia lub ręcznie rzeźbić pliki, jeśli zna popularne typy nagłówków i stopek, które może wyszukiwać.

39. D. Lider zespołu CSIRT musi mieć uprawnienia do kierowania procesem reagowania na incydenty i powinien być w stanie działać jako łącznik z kierownictwem organizacji. Chociaż Latisha może nie mieć głębokiego doświadczenia w reagowaniu na incydenty, jest we właściwej roli, aby zapewnić te kontakty i przywództwo. Powinna zadbać o zatrudnianie zewnętrznych ekspertów na wypadek incydentów, jeśli potrzebuje dodatkowych umiejętności lub wiedzy w swoim zespole IR.

40. B. Ten system nie jest połączony z domeną (domyślna nazwa domeny nie ma wartości), a domyślnym użytkownikiem jest admin.

41. A. Bit NX ustawia szczegółowe uprawnienia do mapowanych regionów pamięci, podczas gdy ASLR zapewnia, że biblioteki współdzielone są ładowane w losowych lokalizacjach, co utrudnia atakującym wykorzystanie znanych lokalizacji w pamięci za pomocą ataków na biblioteki współdzielone. DEP to narzędzie systemu Windows do ochrony pamięci, a zmienne niezależne od pozycji są ochroną na poziomie kompilatora, która służy do zabezpieczania programów podczas ich kompilacji.

42. C. Jeśli dziennik bezpieczeństwa nie uległ rotacji, Angela powinna być w stanie znaleźć utworzenie konta pod zdarzeniem o identyfikatorze 4720. Dziennik systemowy nie zawiera zdarzeń tworzenia użytkownika, a informacje o profilu użytkownika nie istnieją do pierwszego Zaloguj sie. Rejestr nie jest również wiarygodnym źródłem informacji o dacie utworzenia konta.

43. A. Linuksowe polecenie file pokazuje format pliku, kodowanie, biblioteki, z którymi jest on połączony i typ pliku (binarny, tekst ASCII itp.). Ponieważ Alex podejrzewa, że atakujący użył statycznie połączonych bibliotek, polecenie file jest najlepszym poleceniem w tym scenariuszu. stat zapewnia ostatni dostęp, uprawnienia, ustawienia bitów UID i GID oraz inne szczegóły. Jest to przydatne do sprawdzania, kiedy plik był ostatnio używany lub modyfikowany, ale nie dostarcza szczegółów na temat bibliotek połączonych. stringi i grep są przydatne do analizowania zawartości pliku i mogą dostarczyć Alexowi innych wskazówek, ale nie będą tak przydatne jak polecenie file do tego celu.

44. D. Lauren uzyska najwięcej informacji ustawiając audyt na Wszystkie, ale może otrzymać bardzo dużą liczbę zdarzeń, jeśli przeprowadzi audyt często używanych folderów. Inspekcja samych sukcesów lub niepowodzeń nie wykazałaby wszystkich działań, a pełna kontrola to uprawnienie, a nie ustawienie audytu.

45. A. Polecenie apt służy do instalowania i aktualizowania pakietów w systemie Ubuntu Linux z wiersza poleceń. Polecenie apt-get -u upgrade wyświetli listę potrzebnych uaktualnień i poprawek (a dodanie flagi -V dostarczy użytecznych informacji o wersji). Informacje o zainstalowanych łatach są zachowywane w /var/log/apt , chociaż rotacja dzienników może usunąć lub skompresować starsze informacje o aktualizacji.

46. C. W większości przypadków cracking oparty na tablicy tęczowej Ophcracka spowoduje najszybsze crackowanie haszowe. Szybkie, oparte na GPU techniki łamania Hashcata prawdopodobnie znajdą się na drugim miejscu, natomiast tradycyjne metody łamania oparte na procesorach Johna the Rippera i Caina i Abla pozostają wolniejsze, chyba że ich łamania haseł oparte na mutacjach bardzo szybko wykrywają proste hasła.

47. A. Logiczne pozyskiwanie skupia się na określonych plikach będących przedmiotem zainteresowania, takich jak określony typ pliku lub pliki z określonej lokalizacji. W przypadku Erica logiczne przejęcie spełnia jego potrzeby. Akwizycja rzadka zbiera również dane z nieprzydzielonego miejsca. Akwizycja bit po bicie jest zwykle wykonywana dla pełnego dysku i trwa dłużej.

48. Monitor zasobów zapewnia średnie wykorzystanie procesora oprócz wykorzystania procesora w czasie rzeczywistym. Ponieważ Kelly chce zobaczyć średnie zużycie w czasie, lepiej jest używać Monitora zasobów zamiast Menedżera zadań (który spełnia wszystkie jej inne wymagania). Monitor wydajności jest przydatny do zbierania danych o wydajności, a iperf to narzędzie do pomiaru wydajności sieci.

49. D. Łańcuch dowodowy dla dowodów jest utrzymywany poprzez rejestrowanie i oznaczanie dowodów. Gwarantuje to, że dowody są odpowiednio kontrolowane i dostępne.

50. O. Roger ma włączone monitorowanie wykorzystania pamięci z progami pokazanymi na dole wykresu, które wygenerują alarm, jeśli będzie trwał nadal. Wykres przedstawia miesiące stabilnego wykorzystania pamięci z bardzo małymi odchyleniami. Chociaż może nastąpić nagły wzrost, ten system wydaje się działać dobrze. Zużycie pamięci jest jednak wysokie w dobrze dostrojonym systemie, który nie ma zmiennego wykorzystania pamięci ani nagłych skoków. Jest to często akceptowalna sytuacja. System Windows nie ma zautomatyzowanego narzędzia do zarządzania pamięcią, które w takiej sytuacji ograniczy użycie pamięci.

51. B. Im więcej wysiłku wkłada Frank, aby być na bieżąco z informacjami poprzez zbieranie informacji o zagrożeniach (5), monitorowanie wskaźników (1) i bycie na bieżąco z alertami bezpieczeństwa (3), tym silniejszy jest jego bezpieczeństwo organizacji będzie. Zrozumienie konkretnych podmiotów zajmujących się zagrożeniami może okazać się istotne, jeśli ich celem są konkretnie organizacje takie jak Frank, ale jako organizacja średniej wielkości pracodawca Franka jest mniej prawdopodobny, aby był bezpośrednio atakowany.

52. A. Rejestr systemu Windows przechowuje listę sieci bezprzewodowych, z którymi połączył się system, w rejestrze pod HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ListaSieci\Profile . Nie jest to ustawienie specyficzne dla użytkownika i jest przechowywane dla wszystkich użytkowników w LocalMachine .

53. B. Chociaż może się to wydawać prostą odpowiedzią, zapewnienie, że wszystkie dane wejściowe są sprawdzane, aby upewnić się, że nie są dłuższe niż zmienna lub bufor, w którym zostaną umieszczone, jest ważnym elementem ochrony aplikacji internetowych. Kanonizacja jest przydatna w przypadku ataków skryptowych. Ataki na ciągi formatujące występują, gdy dane wejściowe są interpretowane przez aplikację jako polecenie. Nadpisywanie bufora zwykle występuje w buforze cyklicznym, gdy dane są zastępowane i nie jest metodą ataku ani zapobiegania atakom.

54. A. Zawieszenie maszyny wirtualnej spowoduje, że pamięć RAM i zawartość dysku zostaną zapisane w katalogu, w którym się ona znajduje. Wystarczy skopiować ten folder, aby dostarczyć Susan wszystkich potrzebnych informacji. Nie powinna wyłączać maszyny wirtualnej, a tworzenie śledczej kopii dysku nie jest konieczne (ale powinna nadal sprawdzać skróty skopiowanych plików lub katalogu).

55. A. Chrome przechowuje w swojej bazie danych SQLite szeroki zakres przydatnych informacji śledczych, w tym pliki cookie, favicons, historię, loginy, najpopularniejsze witryny, dane formularzy internetowych i inne szczegóły. Umiejętność pisania zapytań SQL lub dostęp do narzędzia śledczego, które ułatwia dostęp do tych baz danych, może dostarczyć bogatej skarbnicy informacji o historii przeglądania sieci przez użytkownika Chrome.

56. B. FTK Imager Light jest pokazany jako skonfigurowany do zapisywania jednego dużego pliku, który nie powiedzie się na dyskach sformatowanych w systemie FAT32, gdzie największy pojedynczy plik ma 4 GB. Jeśli Chris musi utworzyć pojedynczy plik, powinien sformatować swój dysk docelowy jako NTFS. W wielu przypadkach powinien po prostu utworzyć surowy obraz na czystym dysku!

57. A. Najprostszym sposobem obsługi takiej konfiguracji jest umożliwienie jej zresetowania, gdy warunek nie jest już spełniony. Jeśli Christina doda adres MAC do swojej listy dozwolonych urządzeń, alert zostanie automatycznie usunięty. Jeśli tego nie zrobi, alert pozostanie w celu prawidłowego postępowania.

58. B. Nowoczesne wersje systemu Windows zawierają wbudowane narzędzie certutil. Uruchomienie certutil -hashfile [lokalizacja pliku] md5 obliczy skrót MD5 pliku. certutil obsługuje również SHA1 i SHA256, a także inne rzadziej używane skróty. md5sum i sha1sum są narzędziami Linuksa, a hashcheck jest rozszerzeniem powłoki dla Windows.

59. B. Ujawnianie informacji w oparciu o wymogi regulacyjne lub legislacyjne jest zwykle częścią procesu reagowania na incydenty; jednak opinia publiczna jest zazwyczaj elementem przewodnim rozpowszechniania informacji. Ograniczenie komunikacji do zaufanych stron oraz zapewnienie odpowiedniego zabezpieczenia danych i komunikacji o incydencie ma kluczowe znaczenie dla bezpieczeństwa procesu reagowania na incydent. Oznacza to również, że ratownicy powinni pracować nad ograniczeniem możliwości przypadkowego uwolnienia informacji związanych z incydentami.

60. D. Nagłe wznowienie ruchu w kierunku "do" po ustawieniu się na zero prawdopodobnie wskazuje, że łącze sieciowe lub trasa zostały naprawione. Awaria łącza wykazałaby raczej spadek do zera niż wzrost. Całkowity brak ruchu przychodzącego przed wznowieniem o 9:30 sprawia, że jest mało prawdopodobne, że jest to atak DDoS, a systemy wewnętrzne nie wysyłają znacznego ruchu wychodzącego.

61. D. ifconfig , netstat -i i ip link show wyświetlą listę interfejsów sieciowych dla systemu Linux. Polecenie intf jest wymyślone dla tego pytania.

62. B. Randomizacja układu przestrzeni adresowej (ASLR) jest techniką stosowaną do zapobiegania przepełnieniom bufora i atakom polegającym na rozbijaniu stosu, które nie są w stanie przewidzieć, gdzie w stercie znajduje się kod wykonywalny. DEP to ochrona wykonywania danych, a zarówno StackProtect, jak i MemShuffle zostały wymyślone na to pytanie.

63. D. Opcja Windows Quick Format pozostawia dane w nieprzydzielonym miejscu na nowym woluminie, umożliwiając ich wycinanie i pobieranie. Nie spełnia to wymagań dla żadnego z trzech poziomów odkażania określonych przez NIST.

64. Najlepszym wyborem C. Angeli byłoby zaimplementowanie reputacji IP w celu monitorowania połączeń ze znanymi złymi hostami. Definicje antywirusowe, reputacja plików i statyczna analiza plików są przydatne do wykrywania złośliwego oprogramowania, ale ruch związany z poleceniami i kontrolą, taki jak sygnalizacja, zazwyczaj nie jest zgodny z definicjami, nie wysyła znanych plików i nie udostępnia plików do analizy.

65. C. Przywrócenie systemu do normalnego funkcjonowania, w tym usunięcie go z izolacji, jest częścią etapu powstrzymywania, eliminacji i odzyskiwania. Może się wydawać, że jest to część fazy działań po incydencie, ale faza ta obejmuje działania takie jak raportowanie i aktualizacje procesów, a nie przywracanie systemu.

66. A. Dzienniki przepływów pokażą Chrisowi przepływy ruchu wychodzącego na podstawie zdalnych adresów IP, a także wielkość ruchu, a analiza behawioralna (heurystyczna) pomoże mu ostrzegać o podobnych zachowaniach. Chris powinien stworzyć alert, który będzie alarmował, gdy serwery w jego centrum danych łączą się z domenami, które nie są jeszcze na białej liście, i powinien zdecydowanie rozważyć, czy serwery powinny mieć w ogóle możliwość inicjowania połączeń wychodzących.

67. B. Kategorie nakładu na odzyskanie NIST nazywają scenariusz, w którym czas do odzyskania jest przewidywalny z dodatkowymi zasobami "uzupełnionymi". Kluczem do poziomów NIST jest pamiętanie, że każdy poziom dodatkowych niewiadomych i wymaganych zasobów zwiększa poziom dotkliwości ze zwykłego do uzupełnianego, a następnie do rozszerzonego. Sytuacja, której nie można naprawić, ma miejsce, gdy nie można naprawić zdarzenia, na przykład w przypadku ujawnienia danych. W tym momencie rozpoczyna się dochodzenie. W agencji pozarządowej ta faza może obejmować eskalację do organów ścigania.

68. C. Korzystanie z kryminalistycznej karty SIM (która zapewnia niektóre, ale nie wszystkie pliki niezbędne do działania telefonu); za pomocą dedykowanego urządzenia do izolacji kryminalistycznej, które blokuje sygnały Wi-Fi, komórkowe i Bluetooth; lub nawet po prostu przełączenie urządzenia w tryb samolotowy to wszystkie ważne techniki kryminalistyki mobilnej służące do izolacji urządzenia. Chociaż manipulowanie urządzeniem w celu przełączenia go w tryb samolotowy może wydawać się dziwne dla tradycyjnych kryminalistów, jest to przydatna technika którą można udokumentować w ramach ćwiczeń kryminalistycznych, jeśli zezwalają na to protokoły kryminalistyczne, których przestrzega Twoja organizacja.

69. B. Pakiet audytu może zapewnić taką funkcjonalność. auditd działa jako usługa, a następnie auditctl jest używany do konkretnego wywołania plików lub katalogów, które będą monitorowane.

70. D. Najlepszą opcją śledczego jest przejęcie, zobrazowanie i przeanalizowanie dysku, na który Janet pobrała pliki. Ponieważ usunęła tylko pliki, prawdopodobnie badacz będzie w stanie odzyskać większość zawartości plików, umożliwiając ich identyfikację. Przepływy sieciowe nie dostarczają informacji o plikach, SMB nie rejestruje pobrań plików, pamięci podręczne przeglądarek zazwyczaj nie zawierają listy wszystkich pobranych plików, a tryb incognito jest specjalnie zaprojektowany, aby nie przechowywać informacji o sesji i pamięci podręcznej.

71. B. Jose może wybrać izolację zaatakowanego systemu, fizycznie lub logicznie, pozostawiając atakującemu dostęp do systemu, jednocześnie izolując go od innych systemów w swojej sieci. Jeśli popełni błąd, może narazić własne systemy na niebezpieczeństwo, ale pozwoli mu to obserwować napastnika.

72. D. NIST SP 800-61 klasyfikuje oznaki incydentu na dwie kategorie, prekursory i wskaźniki. Prekursory to oznaki, że w przyszłości może dojść do incydentu. Ponieważ nie ma wskaźnika, że wydarzenie jest w toku, można je sklasyfikować jako prekursor. Teraz Abdul musi wymyślić, jak będzie monitorować potencjalny atak.

73. D. Przeglądy zdobytych doświadczeń są zazwyczaj przeprowadzane przez niezależnych facylitatorów, którzy zadają pytania typu "Co się wydarzyło io której godzinie?" oraz "Jakie informacje były potrzebne i kiedy?" Przeglądy zdobytych doświadczeń są przeprowadzane w ramach etapu działań po incydencie w ramach reagowania na incydenty i zapewniają organizacjom możliwość usprawnienia procesu reagowania na incydenty.

74. B. Chociaż łatanie jest przydatne, nie powstrzyma zagrożeń dnia zerowego. Jeśli Allan opracowuje plan mający na celu radzenie sobie z zagrożeniami dnia zerowego, powinien skupić się na zaprojektowaniu swojej sieci i systemów, aby ograniczyć możliwość i wpływ nieznanej luki w zabezpieczeniach. Obejmuje to korzystanie z analizy zagrożeń, stosowanie segmentacji, korzystanie z aplikacji do umieszczania na białej liście, wdrażanie tylko niezbędnych reguł zapory ogniowej, stosowanie reguł zapobiegania włamaniom opartych na zachowaniu i bazowych oraz alertów SIEM, a także budowanie planu z wyprzedzeniem.

75. C. NIST opisuje zdarzenia o negatywnych konsekwencjach jako zdarzenia niepożądane. Kuszące może być natychmiastowe nazwanie tego incydentem bezpieczeństwa; jednak nie zostanie to zaklasyfikowane w ten sposób, dopóki nie zostanie przeprowadzone dochodzenie. Jeśli użytkownik przypadkowo uzyskał dostęp do pliku, zwykle nie zmieni to klasyfikacji. Zamierzony lub złośliwy dostęp spowodowałby, że niepożądane zdarzenie przekształciłoby się w incydent bezpieczeństwa.

76. D. Telefony komórkowe zawierają skarbnicę danych lokalizacyjnych, w tym w niektórych przypadkach zarówno dane dziennika połączenia z wieżą, jak i dzienniki lokalizacji GPS. Zdjęcia wykonane na urządzeniach mobilnych mogą również zawierać metadane lokalizacji. Pliki pakietu Microsoft Office zazwyczaj nie zawierają informacji o lokalizacji. Inne potencjalne źródła danych obejmują samochodowe systemy GPS, jeśli dana osoba posiada samochód z wbudowanym GPS, systemy gromadzenia danych z czarnej skrzynki, posty w mediach społecznościowych i oprogramowanie fitness, a także wszelkie inne urządzenia, które mogą mieć wbudowany GPS lub możliwości wykrywania lokalizacji. W niektórych przypadkach może to być tak proste, jak ustalenie, czy urządzenia danej osoby były podłączone do określonej sieci w określonym czasie.

77. C. Dokumentacja jest ważna podczas śledzenia dysków, aby upewnić się, że wszystkie dyski, które powinny być oczyszczone, zostały odebrane. Dokumentacja może również stanowić dowód właściwego postępowania w przypadku audytów i przeglądów wewnętrznych.

78. D. Outsourcing do zewnętrznego dostawcy reagowania na incydenty pozwala Mike′owi na sprowadzenie ekspertów w przypadku wystąpienia incydentu, jednocześnie unikając codziennych wydatków związanych z zatrudnieniem pełnoetatowego członka personelu. Może to mieć sens finansowy, jeśli incydenty zdarzają się rzadko, a nawet duże organizacje zatrudniają zewnętrznych dostawców odpowiedzi w przypadku wystąpienia dużych incydentów. Centrum operacji bezpieczeństwa (SOC) byłoby odpowiednie, gdyby Mike potrzebował codziennego monitorowania bezpieczeństwa i operacji, a zatrudnienie wewnętrznego zespołu nie odpowiadało ograniczeniom modelu finansowania Mike′a w tym scenariuszu.

79. C. Szczelina powietrzna to model projektowy, który usuwa połączenia między segmentami sieci lub innymi systemami. Jedynym sposobem na przekroczenie luki powietrznej jest przenoszenie urządzeń lub danych między systemami lub sieciami, dzięki czemu nośniki wymienne stają się tutaj wektorem zagrożenia.

80. C. Dan może wyszukać prefiks producenta, który stanowi pierwszą część adresu MAC. W takim przypadku Dan odkryje, że system to prawdopodobnie Dell, co potencjalnie ułatwi mu znalezienie urządzenia w biurze. Narzędzia do zarządzania siecią i monitorowania są wbudowane w tę funkcję identyfikacji, co ułatwia sprawdzenie, czy w sieci pojawiają się nieoczekiwane urządzenia. Oczywiście, jeśli przełącznik lokalny jest przełącznikiem zarządzanym, może również wysłać do niego zapytanie, aby określić, do którego portu jest podłączone urządzenie, i poprowadzić do niego kabel sieciowy.

81. C. NIST identyfikuje trzy działania dotyczące sanityzacji mediów: usuwanie, które wykorzystuje techniki logiczne do sanityzacji danych we wszystkich adresowanych przez użytkownika lokalizacjach pamięci; czyszczenie, które polega na zastosowaniu technik fizycznych lub logicznych w celu uniemożliwienia odzyskania danych przy użyciu najnowocześniejszych technik laboratoryjnych; i zniszczenie, które polega na fizycznym niszczeniu mediów.

82. B. Rozmagnesowanie, które wykorzystuje potężny elektromagnes do usuwania danych z nośników taśmowych, jest formą oczyszczania.

83. A. Tak długo, jak Brian jest w stanie polegać na innym mechanizmie tworzenia kopii zapasowych, może bezpiecznie wyłączyć kopie woluminów w tle i usunąć powiązane pliki. W przypadku dysku, na który patrzy, udostępni to około 26 GB pamięci.

84. C. Najlepszym sposobem Suki na wyśledzenie oryginalnego źródła wysyłanych wiadomości e-mail jest uzyskanie pełnych nagłówków wiadomości spamowych. Pozwoli jej to określić, czy wiadomość e-mail pochodzi z systemu w jej sieci, czy też źródło wiadomości e-mail jest fałszywe. Gdy ma nagłówki lub nie może ich zdobyć, może chcieć sprawdzić jedną lub więcej innych opcji z tej listy pod kątem potencjalnych problemów.

85. C. Większość przenośnych urządzeń konsumenckich, zwłaszcza tych, które generują duże pliki, formatuje swoją pamięć masową jako FAT32. FAT16 jest ograniczony do partycji 2 GB, RAW to format pliku zdjęć, a APFS to natywny format pliku macOS. Lauren może oczekiwać, że większość urządzeń będzie domyślnie formatować multimedia jako FAT32 ze względu na szeroką kompatybilność między urządzeniami i systemami operacyjnymi.

86. C. Wartości ruchu przechwycone przez ifconfig resetują się przy 4 GB danych, co czyni go niewiarygodnym sposobem oceny, ile ruchu wysłał system, gdy ma do czynienia z dużymi ilościami ruchu. Bohai powinien użyć alternatywnego narzędzia zaprojektowanego specjalnie do monitorowania poziomów ruchu w celu oceny wykorzystania przepustowości systemu.

87. C. Brian powinien ustalić, czy potrzebuje informacji kryminalistycznych na żywo, ale jeśli nie jest pewien, najbezpieczniejszą dla niego ścieżką jest zbieranie informacji kryminalistycznych na żywo, robienie zdjęć, aby wiedzieć, jak każdy system został skonfigurowany i skonfigurowany, a następnie wyłącz je. Następnie rejestruje każdy system jako dowód i prawdopodobnie tworzy kopie kryminalistyczne dysków, gdy dotrze do swojego obszaru roboczego kryminalistyki, lub może użyć przenośnego systemu kryminalistycznego, aby wykonać obrazy dysków na miejscu. Wyłączenie działającego systemu może spowodować utratę istotnych informacji śledczych, co oznacza, że wyłączanie systemu przed zebraniem niektórych informacji zazwyczaj nie jest zalecane. Zebranie statycznego obrazu dysku wymaga uprzedniego wyłączenia systemu.

88. B. Gdy dowody sądowe lub informacje są przedstawiane w sprawie cywilnej, nazywa się to e-discovery. Ten rodzaj wykrywania często obejmuje ogromne ilości danych, w tym wiadomości e-mail, pliki, wiadomości tekstowe i wszelkie inne dowody elektroniczne, które są istotne dla sprawy.

89. A. Informacje umożliwiające identyfikację osoby (PII) obejmują informacje, które można wykorzystać do identyfikacji, skontaktowania się lub zlokalizowania określonej osoby. Czasami, aby to osiągnąć, informacje umożliwiające identyfikację osoby muszą być połączone z innymi danymi, ale nadal są przydatne do bezpośredniej identyfikacji osoby. Dane, które klasyfikują Manish i Linda, są przykładem PII. PHI to osobiste informacje zdrowotne. Własność intelektualna to wytwór ludzkich umysłów, w tym dzieła chronione prawem autorskim, wynalazki i inne podobne właściwości. PCI DSS to standardy bezpieczeństwa danych w branży kart płatniczych.

90. C. Formularz łańcucha dowodowego służy do rejestrowania każdej osoby, która pracuje z dowodami lub ma z nimi kontakt w dochodzeniu. Zazwyczaj praca dochodzeniowa jest również wykonywana w sposób, który w pełni rejestruje wszystkie podjęte działania, a czasami wymaga obecności dwóch osób w celu weryfikacji podjętych działań.

91. A. Ponieważ Scott musi wiedzieć więcej o potencjalnych lukach w zabezpieczeniach, uwierzytelnione skanowanie z sieci wewnętrznej dostarczy mu najwięcej informacji. Nie zyska punktu widzenia prawdziwego napastnika, ale w tym przypadku ważne jest posiadanie większej ilości szczegółów.

92. C. Podstawową rolą kierownictwa w reagowaniu na incydent jest zapewnienie uprawnień i zasobów wymaganych do odpowiedniej reakcji na incydent. Mogą również zostać poproszeni o podejmowanie decyzji biznesowych, komunikowanie się z grupami zewnętrznymi lub ocenę wpływu na kluczowych interesariuszy.

93. D. Zarówno auth.log, jak i /etc/passwd mogą pokazywać dowody istnienia nowego użytkownika, ale auth.log poda szczegóły, podczas gdy Chris musiałby wiedzieć, którzy użytkownicy istnieli przed dodaniem nowego użytkownika. Chris uzyska więcej przydatnych informacji, sprawdzając auth.log .

94. C. Process Monitor zapewnia szczegółowe śledzenie zmian systemu plików i rejestru, a także inne szczegóły, które mogą być przydatne podczas określania zmian, jakie aplikacja wprowadza w systemie. Administratorzy systemu oraz specjaliści ds. medycyny sądowej i reagowania na incydenty często z tego korzystają, ponieważ może to znacznie ułatwić śledzenie skomplikowanych problemów z instalatorem.

95. C. NIST nie uwzględnia w swojej dokumentacji tworzenia kopii zapasowych każdego systemu i urządzenia. Zamiast tego NIST sugeruje utrzymanie bazy wiedzy obejmującej całą organizację z krytycznymi informacjami o systemach i aplikacjach. Tworzenie kopii zapasowej każdego urządzenia i systemu może być bardzo kosztowne. Kopie zapasowe są zwykle wykonywane tylko dla określonych systemów i urządzeń, a dane dotyczące konfiguracji i przywracania są przechowywane dla reszty.

96. B. NIST identyfikuje cztery główne fazy cyklu życia IR: przygotowanie; wykrywanie i analiza; powstrzymywanie, eliminowanie i odzyskiwanie; i aktywność po zdarzeniu. Powiadomienie i komunikacja mogą mieć wiele faz.

97. D. Plik stronicowania, podobnie jak wiele plików systemowych, jest zablokowany podczas działania systemu Windows. Charles musi po prostu zamknąć system i skopiować plik strony. Niektóre systemy Windows mogą być ustawione na czyszczenie pliku stronicowania po wyłączeniu systemu, więc może być konieczne wyciągnięcie wtyczki aby uzyskać nienaruszony plik strony.

98. B. Sprawdzenie identyfikatora SSID nie pomoże,



ponieważ zły bliźniak klonuje identyfikator SSID legalnego AP. Złe bliźniaki można zidentyfikować, sprawdzając ich BSSID (bezprzewodowy adres MAC). Jeśli bezprzewodowy adres MAC został sklonowany, sprawdzenie dodatkowych atrybutów, takich jak kanał, szyfr lub metoda uwierzytelniania, może pomóc w ich identyfikacji. W wielu przypadkach można je również zidentyfikować za pomocą unikatowego identyfikatora organizacji (OUI), który jest wysyłany jako oznaczony parametr w ramkach beacon.

99. C. Slack to pozostała pamięć, która istnieje, ponieważ pliki nie zajmują całej przydzielonej im przestrzeni. Ponieważ partycja nieprzydzielona nie zawiera systemu plików, przestrzeń tam nie powinna być uważana za wolną przestrzeń. Zarówno System Reserved, jak i C: są sformatowane w systemie plików NTFS i będą miały wolną przestrzeń między plikami.

100. C. Luke powinien spodziewać się, że większość ustawień, których szuka, znajdzie w plikach plist lub listach właściwości, które są plikami XML zakodowanymi w formacie binarnym.

101. C. Bez innych wymagań wiele organizacji wybiera okres przechowywania od roku do dwóch lat. Daje to wystarczająco dużo czasu na wykorzystanie istniejących informacji do dochodzeń, ale nie zachowuje tak dużej ilości danych, że nie można nimi zarządzać. Niezależnie od wybranego okresu, organizacje powinny ustalić i konsekwentnie przestrzegać polityki przechowywania.

102. C. Jeśli Alice skupi się na szybkiej odbudowie, jest mało prawdopodobne, aby zachowała wszystkie dowody, które byłaby w stanie zachować podczas dłuższego procesu reagowania na incydenty. Ponieważ skupia się na szybkiej odbudowie, usługa powinna być dostępna szybciej, a usługa i system nie powinny zostać w znaczący sposób uszkodzone przez proces przywracania. Czas potrzebny na wdrożenie strategii będzie zazwyczaj krótszy, jeśli nie przeprowadzi pełnego dochodzenia kryminalistycznego, a zamiast tego skupi się na przywróceniu usług.

103. D. Rozstrzygnięcie śledztw kryminalnych może trwać bardzo długo. W większości przypadków Joe powinien upewnić się, że w dającej się przewidzieć przyszłości będzie mógł nadal działać bez serwerów.

104. C. Obraz RAW, taki jak te stworzone przez dd , jest najlepszą opcją Piper dla szerokiej kompatybilności. Wiele narzędzi kryminalistycznych obsługuje wiele formatów obrazów, ale pliki RAW są obsługiwane niemal powszechnie przez narzędzia kryminalistyczne.

105. D. Systemy Windows rejestrują nowe połączenia urządzeń w dzienniku audytu bezpieczeństwa, jeśli są do tego skonfigurowane. Ponadto informacje są gromadzone zarówno w pliku dziennika setupapi, jak iw rejestrze, w tym informacje o urządzeniu, jego numerze seryjnym, a często także dane producenta i modelu. Profil użytkownika nie zawiera informacji o urządzeniu.

106. B. Gdy udział sieciowy lub zamontowany dysk zostanie przechwycony z systemu, który go montuje, dane takie jak usunięte pliki, nieprzydzielone miejsce i inne informacje wymagające bezpośredniego dostępu do dysku nie zostaną przechwycone. Jeśli Scott potrzebuje tych informacji, będzie musiał utworzyć obraz dysku do badań kryminalistycznych z serwera hosta.

107. D. NIST identyfikuje klientów, części składowe, media, inne zespoły reagowania na incydenty, dostawców usług internetowych, osoby zgłaszające incydenty, organy ścigania oraz dostawców oprogramowania i wsparcia jako strony zewnętrzne, z którymi zespół IR będzie się komunikował.

108. B. Pytania, w tym, jakie narzędzia i zasoby są potrzebne do wykrywania, analizowania lub łagodzenia incydentów związanych z danymi, a także tematy takie jak usprawnienie wymiany informacji, co można zrobić lepiej lub inaczej oraz jak skuteczne są istniejące procesy i polityki są, mogą być częścią przeglądu wyciągniętych wniosków.

109. B. Kolejność zmienności dla wspólnych miejsc przechowywania jest następująca:

1. Pamięć podręczna procesora, rejestry, uruchomione procesy, pamięć RAM
2. Ruch sieciowy
3. Napędy dyskowe
4. Kopie zapasowe, wydruki, nośniki optyczne

110. C. Usunięcie systemu z sieci zwykle następuje w ramach fazy powstrzymywania procesu reagowania na incydenty. Systemy zazwyczaj nie są zwracane do sieci do końca fazy przywracania.

111. D. Skróty MD5, SHA-1 i SHA-2 są uważane za prawidłowe z punktu widzenia medycyny sądowej. Chociaż skróty MD5 nie są już bezpiecznym sposobem mieszania, nadal są uważane za odpowiednie do walidacji obrazów kryminalistycznych, ponieważ jest mało prawdopodobne, aby osoba atakująca celowo stworzyła kolizję skrótów w celu sfałszowania kryminalistycznej integralności dysku.

112. D. Przewodnik obsługi incydentów bezpieczeństwa komputerowego firmy NIST zauważa, że identyfikacja napastnika może być "czasochłonna i daremna". Ogólnie rzecz biorąc, spędzanie czasu na identyfikowaniu napastników nie jest cennym wykorzystaniem czasu reakcji na incydent w większości organizacji.

113. B. Możliwość tworzenia osi czasu zdarzeń, która obejmuje logi, zmiany plików i wiele innych artefaktów, jest znana jako Super Oś Czasu. SIFT zawiera tę funkcję, pozwalając Rickowi decydować, jakie typy zdarzeń i moduły chce włączyć w ramach swojego widoku zdarzeń opartego na osi czasu.

114. B. Jest mało prawdopodobne, że wykwalifikowani napastnicy stworzą nowy katalog domowy dla konta, które chcą ukryć. Sprawdzanie /etc/password i /etc/shadow pod kątem nowych kont to szybki sposób na wykrycie nieoczekiwanych kont, a sprawdzenie zarówno sudoers, jak i członkostwa w wheel i innych grupach o wysokim poziomie uprawnień może pomóc Vladowi wykryć nieoczekiwane konta o zwiększonych uprawnieniach.

115. A. Centra wymiany informacji i analizy (ISAC) to organizacje zajmujące się udostępnianiem informacji i wspieraniem społeczności, które działają w branżach wertykalnych, takich jak energetyka, szkolnictwo wyższe i inne dziedziny biznesu. Ben może zdecydować się na przyłączenie swojej organizacji do ISAC w celu dzielenia się i uzyskiwania informacji o zagrożeniach i działaniach, które są szczególnie istotne dla tego, co robi jego organizacja. Zespół CSIRT to zespół reagowania na incydenty związane z bezpieczeństwem komputerowym, który zwykle znajduje się w jednej organizacji, zespół VPAC jest utworzony, a zespół IRT to zespół reagowania na incydenty.

116. C. Nagłówki mogą być pomocne przy śledzeniu wiadomości e-mail będących spamem, ale spamerzy często używają wielu metod do zaciemniania adresu IP, adresu e-mail lub innych szczegółów pierwotnego nadawcy. Niestety, adresy e-mail są często fałszowane, a adres e-mail może być sfałszowany. W tym przypadku jedyną weryfikowalną informacją w tych nagłówkach jest adres IP hosta źródłowego, mf-smf-ucb011.ocn.ad.jp (mf-smf-ucb011.ocn.ad.jp) [153.149.228.228] . Czasami nawet ten szczegół może zostać sfałszowany, ale w większości przypadków jest to po prostu skompromitowany host lub taki z otwartą aplikacją do obsługi poczty e-mail, którą spamerzy mogą wykorzystać do wysyłania masowych wiadomości e-mail.

117. C. Pęk kluczy w macOS przechowuje poświadczenia użytkownika, ale nie przechowuje haseł kont użytkowników. Wszystkie inne wymienione opcje są możliwymi rozwiązaniami dla Azra, ale żadna z nich nie będzie działać, jeśli system ma włączoną funkcję FileVault.

118. C. Kopie zapasowe iPhone′a w systemach lokalnych mogą być pełne lub różnicowe iw tym scenariuszu najbardziej prawdopodobnym problemem jest odzyskanie przez Cynthia różnicowej kopii zapasowej. Powinna poszukać dodatkowych plików kopii zapasowych, jeśli nie ma dostępu do oryginalnego telefonu. Jeśli kopia zapasowa byłaby zaszyfrowana, nie byłaby w stanie uzyskać do niej dostępu bez narzędzia do łamania zabezpieczeń, a jeśli zostałaby przerwana, prawdopodobnie nie miałaby pliku kopii zapasowej ani nie byłaby w stanie nadającym się do użytku. Kopie zapasowe iCloud wymagają dostępu do komputera lub konta użytkownika i są mniej prawdopodobne, że będą częścią dochodzenia kryminalistycznego.

119. A. Drugi śledczy sądowy, który występuje jako świadek, kontrasygnuje całą dokumentację i pomaga dokumentować wszystkie działania, dostarcza zarówno solidnej dokumentacji, jak i innego potencjalnego świadka w sądzie. Niezależne postępowanie sądowe, bez względu na to, jak dobrze udokumentowane, nie będzie tak wiarygodne, jak posiadanie świadka.

120. B. Chociaż może wydawać się oczywiste, że system powinien być odizolowany od sieci podczas przebudowy, widzieliśmy już wcześniej rozgrywany dokładnie ten scenariusz. W jednym przypadku system został dwukrotnie naruszony, zanim administrator systemu nauczył się lekcji!

121. D. Pakiety złośliwego oprogramowania rezydujące w MBR, UEFI i BIOS mogą przetrwać wymazywanie dysku, ale ukrywanie plików w wolnej przestrzeni nie przetrwa wyczyszczenia zerowego. Chociaż te techniki są rzadkie, istnieją i były obserwowane na wolności.

122. D. Patenty, prawa autorskie, znaki towarowe i tajemnice handlowe to wszelkie formy własności intelektualnej. Patenty, prawa autorskie i znaki towarowe są tworami prawnymi wspierającymi twórców, podczas gdy tajemnice handlowe są zastrzeżonymi informacjami biznesowymi i nie są formalnie chronione przez rządy.

123. B. BYOD (Bring Your Own Device) jest coraz bardziej powszechny, a administratorzy zazwyczaj stwierdzają, że wzrasta wykorzystanie sieci, zgłoszenia do pomocy technicznej i zagrożenia bezpieczeństwa (z powodu źle skonfigurowanych, niezałatanych lub niewłaściwie zabezpieczonych urządzeń). Większość organizacji nie ponosi dodatkowych kosztów związanych z urządzeniami BYOD, ponieważ użytkownicy dostarczają własne urządzenia.

124. A. Przestrzeń, którą widzi Saria, to przestrzeń między końcem pliku a przestrzenią przydzieloną na klaster lub blok. Ta przestrzeń może zawierać pozostałości poprzednich plików zapisanych w klastrze lub bloku lub może po prostu zawierać losowe dane z momentu sformatowania lub zainicjowania dysku.

125. C. Harmonogram rejestrów ogólnych archiwów narodowych Stanów Zjednoczonych przewiduje trzyletni okres przechowywania rejestrów dla rejestrów związanych z obsługą incydentów.

126. A. Zestawy binarne zaufanych systemów, takie jak te dostarczane przez National Software Reference Library, zawierają znane dobre skróty wielu systemów operacyjnych i aplikacji. Kathleen może sprawdzić poprawność plików w swoim systemie za pomocą odniesień, takich jak NSRL ( www.nsrl.nist.gov/new.html ).

127. A. Aplikacje obsługujące wtykowy moduł uwierzytelniania (PAM) mają plik w katalogu /etc/pam.d. Te pliki zawierają listę dyrektyw, które definiują moduł i jakie ustawienia lub kontrolki są włączone. Sadiq powinien upewnić się, że używany przez niego system uwierzytelniania wieloskładnikowego jest skonfigurowany zgodnie z wymaganiami w plikach PAM przeglądanych usług.

128. B. NIST szczególnie zaleca nazwę hosta, adresy MAC i adresy IP systemu. Przechwycenie pełnego wyniku polecenia ipconfig lub ifconfig może być przydatne, ale analiza śledcza może nie pozwolić na interakcję z działającą maszyną. Dodatkowe szczegóły, takie jak domena (lub członkostwo w domenie), mogą być lub nie być dostępne dla danego komputera, a producent karty sieciowej i podobne dane w większości przypadków nie są konieczne.

129. D. Ponieważ większość APT (w tym ten, o którym mowa w pytaniu) wysyła ruch w postaci zaszyfrowanej, wykonanie analizy śledczej sieci lub analizy ruchu dostarczy tylko informacji o potencjalnie zainfekowanych hostach. Jeśli Ryan chce znaleźć rzeczywiste narzędzia, które może istnieć w systemach końcowych, powinien przeprowadzić analizę punktów końcowych. Po drodze może wykorzystać analizę zachowania punktów końcowych, śledztwo sieciowe i analizę ruchu sieciowego, aby pomóc w identyfikacji systemów docelowych.

130. B. Każdy dostawca oprogramowania antywirusowego lub antymalware używa własnej nazwy dla złośliwego oprogramowania, co skutkuje wyświetlaniem różnych nazw dla danego pakietu złośliwego oprogramowania lub rodziny. W tym przypadku pakiet złośliwego oprogramowania jest pakietem oprogramowania ransomware; który jest znany przez niektórych sprzedawców jako GoldenEye lub Petya.

131. B. Gdy system nie jest krytycznym zasobem biznesowym, który musi pozostać w trybie online, najlepszą reakcją jest zazwyczaj odizolowanie go od innych systemów i sieci, na które mógłby mieć negatywny wpływ. Odłączając go od wszystkich sieci, Ben może bezpiecznie zbadać problem bez powodowania nadmiernego ryzyka. Rzeczywiście napotkaliśmy tę sytuację. Po zbadaniu stwierdziliśmy, że aplikacja zamiany tekstu na mowę użytkownika była włączona, a wzmocnienie mikrofonu było maksymalnie podkręcone. System automatycznie wpisywał słowa w oparciu o to, jak zinterpretował hałas w tle, co skutkowało dziwnym tekstem, który przeraził niczego niepodejrzewającego użytkownika.

132. C. Gdy klastry są nadpisywane, oryginalne dane pozostają w niewykorzystanej przestrzeni między końcem nowego pliku a końcem klastra. Oznacza to, że kopiowanie nowych plików na stare pliki może pozostawić resztki danych, które mogą pomóc Kathleen udowodnić, że pliki znajdowały się w systemie, sprawdzając wolne miejsce.

133. C. Wiersz poleceń snmpwalk dostarcza wskazówek, których potrzebujesz. Flaga -c określa łańcuch wspólnoty do użycia, a flaga -v określa wersję SNMP. Ponieważ znamy ciąg wspólnoty, można założyć, że identyfikator kontaktu jest rootem, a nie ciągiem wspólnoty.

134. C. Wbudowanym narzędziem macOS do pomiaru zużycia pamięci, procesora, dysku, sieci i energii jest Monitor aktywności. System Windows używa Monitora zasobów, Sysradar został wymyślony na to pytanie, a Monitor systemu służy do zbierania informacji z serwera SQL firmy Microsoft za pośrednictwem RPC.

135. A. Jeśli system, do którego Angela próbuje uzyskać dostęp, zamontował zaszyfrowany wolumin przed pójściem spać i istnieje plik hibernacji, Angela może użyć narzędzi do analizy plików hibernacji, aby pobrać klucz funkcji BitLocker. Jeśli system nie przeszedł w stan hibernacji lub wolumin nie został podłączony, gdy system przeszedł w stan uśpienia, nie będzie w stanie odzyskać kluczy. Analiza pamięci nie zadziała z wyłączonym systemem, sektor rozruchowy nie zawiera kluczy, a łamanie metodą brute-force nie jest realną metodą łamania kluczy funkcji BitLocker, ponieważ czasu angażować

136. C. Pseudokod mówi, że Adam próbuje wykryć pakiety wychodzące, które są częścią krótkiej komunikacji (mniej niż 10 pakietów i mniej niż 3000 bajtów) i uważa, że ruch może wyglądać na ruch sieciowy, ogólny ruch TCP lub nie pasują do znanych typów ruchu. Jest to zgodne z atrybutami ruchu nawigacyjnego. Adam upewnia się również, że ogólny ruch sieciowy nie zostanie przechwycony przez niedopasowanie uripath i kodowanie treści.

137. B. Usługi są często uruchamiane przez xinetd (chociaż nowsze wersje niektórych dystrybucji używają teraz systemctl ). Zarówno /etc/passwd, jak i /etc/shadow są powiązane z kontami użytkowników, a $HOME/.ssh/ zawiera klucze SSH i inne szczegóły logowania opartego na SSH.

138. B. NIST klasyfikuje zmiany lub usuwanie informacji wrażliwych lub zastrzeżonych jako utratę integralności. Naruszenia praw własności mają miejsce w przypadku uzyskania dostępu do niesklasyfikowanych informacji zastrzeżonych lub ich eksfiltracji, a naruszenia prywatności obejmują informacje umożliwiające identyfikację osoby (PII), które są udostępniane lub eksfiltrowane.

139. C. Chociaż ratownicy pracują nad powstrzymaniem incydentu, powinni również zarezerwować informacje sądowe i informacje o incydentach do przyszłej analizy. Przywracanie usługi jest często traktowane priorytetowo przed analizą podczas działań zabezpieczających, ale poświęcenie czasu na stworzenie obrazów kryminalistycznych oraz zachowanie dziennika i innych danych jest ważne dla późniejszego dochodzenia.

140. C. System, który przegląda Nara, ma tylko włączone rejestrowanie błędów logowania i nie rejestruje udanych logowań. Nie może polegać na dziennikach, aby pokazać jej, kto się zalogował, ale może być w stanie znaleźć inne śledcze wskaźniki aktywności, w tym zmiany w katalogach profili użytkowników i pamięciach podręcznych aplikacji.

141. A. Jedynym prawdziwym stwierdzeniem opartym na obrazie jest to, że jest dwóch zdalnych użytkowników podłączonych do systemu przez SSH. Port 9898 jest zarejestrowany w IANA jako Monkeycom, ale jest często używany przez Tripwire, co prowadzi do nieprawidłowej identyfikacji usługi. System lokalny jest częścią domeny example.com, a uruchomione polecenie nie wyświetli żadnych usług UDP ze względu na flagę -at, co oznacza, że nie można sprawdzić, czy działają jakieś usługi UDP.

142. A. System Windows nie zawiera wbudowanego narzędzia do bezpiecznego wymazywania w interfejsie graficznym ani w wierszu poleceń. Korzystanie z programu innej firmy, takiego jak Eraser lub narzędzia rozruchowego, takiego jak DBAN, jest rozsądną opcją, a zaszyfrowanie całego dysku, a następnie usunięcie klucza przyniesie ten sam efekt.

143. D. Dane te nie są oczywiście informacjami umożliwiającymi identyfikację osoby (PII), osobistymi informacjami o stanie zdrowia (PHI) ani informacjami dotyczącymi kart płatniczych (PCI). Dane dotyczące fuzji będą traktowane jako informacje poufne firmy.

144. C. Post mortem kryminalistyki można zwykle przeprowadzić po wyłączeniu systemów, aby zapewnić wykonanie kompletnej kopii kryminalistycznej. Obrazowanie śledcze na żywo może pomóc w przechwytywaniu złośliwego oprogramowania rezydującego w pamięci. Może również pomóc w przechwytywaniu zaszyfrowanych dysków i systemów plików, gdy są one odszyfrowywane do użytku na żywo. Wreszcie, nieobsługiwane systemy plików mogą czasami zostać zobrazowane podczas uruchamiania systemu poprzez skopiowanie danych z systemu do obsługiwanego typu systemu plików. Nie zachowa to niektórych danych specyficznych dla systemu plików, ale może umożliwić przeprowadzenie kluczowych działań śledczych.

145. D. Nie ma wspólnego standardu określania wieku konta użytkownika w Linuksie. Niektóre organizacje dodają komentarze do kont użytkowników za pomocą flagi -c, aby utworzyć użytkowników, aby zauważyć, kiedy są tworzone. Użycie polecenia ls z flagą -ld spowoduje wyświetlenie daty utworzenia pliku, która może wskazywać, kiedy konto użytkownika zostało utworzone, jeśli katalog domowy został utworzony dla użytkownika podczas tworzenia konta, ale nie jest to wymagane. Polecenie aureport jest przydatne, jeśli używany jest auditd, ale nie jest to spójne między dystrybucjami Linuksa.

146. B. Profilowanie sieci i systemów zapewni podstawowy zestaw zachowań. SIEM lub podobny system może monitorować różnice lub anomalie, które są rejestrowane jako zdarzenia. Po skorelowaniu z innymi zdarzeniami, mogą one zostać zbadane i mogą okazać się incydentami bezpieczeństwa. Analizy dynamiczne i statyczne to rodzaje analizy kodu, podczas gdy analiza behawioralna lub heurystyczna koncentruje się na zachowaniach wskazujących na atak lub inne niepożądane zachowanie. Analiza behawioralna nie wymaga linii bazowej; zamiast tego wymaga wiedzy, jakie zachowanie jest niedopuszczalne.

147. C. Przywracanie systemu nie powinno być używane do odbudowy systemu po infekcji lub złamaniu, ponieważ przywraca tylko pliki systemu Windows, niektóre pliki programów, ustawienia rejestru i sterowniki sprzętu. Oznacza to, że pliki osobiste i większość złośliwego oprogramowania, a także programy zainstalowane lub modyfikacje programów po utworzeniu punktu przywracania nie zostaną przywrócone.

148. B. Przenośne narzędzia do obrazowania, takie jak FTK Imager Lite, można uruchamiać z nośników wymiennych, umożliwiając przechwytywanie obrazu na żywo. Kobe może nadal chcieć przechwytywać pamięć systemową, ale gdy systemy są używane do zbierania danych i wychodzenia, zawartość dysku będzie ważna. Zainstalowanie narzędzia lub przełączenie systemu w tryb offline i zamontowanie dysku są niepożądane w tego typu scenariuszu, gdy system musi pozostać w trybie online i nie powinien być modyfikowany.

149. C. Podkategoria audytu systemu plików obejmuje możliwość monitorowania zarówno dostępu do obiektów (identyfikator zdarzenia 4663), jak i zmian uprawnień (identyfikator zdarzenia 4670). Manish będzie prawdopodobnie najbardziej zainteresowany 4670 zdarzeniami związanymi ze zmianą uprawnień, ponieważ 4663 zdarzenia obejmują odczyt, zapis, usuń i inne zdarzenia i może być dość głośny!

150. B. Jeśli Manish ma dobry powód, by sądzić, że jest jedyną osobą z dostępem do systemu jako root, powinien poszukać ataku eskalacji uprawnień. Trojan zdalnego dostępu nie zapewniłby bezpośrednio dostępu root, a zhakowane konto roota jest mniej prawdopodobne niż atak polegający na eskalacji uprawnień. Możliwa jest infekcja złośliwym oprogramowaniem i do wykonania pokazanych działań wymagana byłaby eskalacja uprawnień.

151. B. NIST opisuje metody brute-force stosowane do degradacji sieci lub usług jako formę osłabienia w ich schemacie klasyfikacji zagrożeń. Kuszące może być nazwanie tego niewłaściwego użycia i tak jest; jednak gdy pracownik został zwolniony, nie jest to już atak poufny, nawet jeśli pracownik zachowa dostęp.

152. C. Oryginalna data utworzenia (wskazywana przez datę GPS), typ urządzenia (iPhone X), lokalizacja GPS i producent urządzenia (Apple) mogą dostarczyć przydatnych informacji kryminalistycznych. Tutaj wiesz, kiedy zdjęcie zostało zrobione, gdzie zostało zrobione i na jakim urządzeniu zostało zrobione. Może to pomóc w określeniu, kto zrobił zdjęcie lub może dostarczyć innych przydatnych wskazówek w połączeniu z innymi informacjami lub teoriami sądowymi.

153. B. Zestaw do skoków jest powszechną częścią planu reagowania na incydenty i zapewnia ratownikom narzędzia, których będą potrzebować, bez martwienia się o to, gdzie znajdują się kluczowe elementy wyposażenia w stresującym czasie. Wózki awaryjne są często używane w centrach danych do podłączenia klawiatury, myszy i monitora do serwera w celu pracy na nim. Zestawy pierwszego reagowania są zwykle związane z ratownikami medycznymi, a torba do chwytania zawiera losowe przedmioty.

154. B. Chrome używa liczby sekund od północy 1 stycznia 1601, jako swoich sygnatur czasowych. Jest to podobne do czasu pliku używanego przez firmę Microsoft w niektórych lokalizacjach, chociaż czas pliku rejestruje czas w wycinkach 100 nanosekund zamiast sekund. Ponieważ problem nie określał systemu operacyjnego, a Chrome jest powszechnie dostępny dla wielu platform, prawdopodobnie zauważysz, że jest to mało prawdopodobne, aby był to znacznik czasu firmy Microsoft. ISO 8601 jest napisane w następującym formacie: 2017-04-02T04:01:34+00:00 .

155. B. Chociaż może się to wydawać oczywistą odpowiedzią, MBSA firmy Microsoft jest już nieaktualne i nie obsługuje w pełni systemu Windows 10. Marsha powinna wybrać jedną z innych wymienionych opcji, aby upewnić się, że otrzyma kompletny raport.

156. D. Facebook, podobnie jak wiele innych serwisów społecznościowych, usuwa teraz metadane obrazu, aby chronić prywatność użytkowników. Jan musiałby zlokalizować kopie zdjęć, z których nie usunięto metadanych, a mimo to może stwierdzić, że nie zawierają one dodatkowych przydatnych danych.

157. D. Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych definiuje elementy danych PHI tak, aby obejmowały wszystkie "indywidualnie identyfikowalne informacje zdrowotne", w tym zdrowie fizyczne lub psychiczne danej osoby oraz płatności za opiekę zdrowotną w przeszłości, teraźniejszości i przyszłości; ich tożsamość lub informacje, które można wykorzystać do identyfikacji osoby; oraz dane o świadczeniu opieki zdrowotnej osobom fizycznym. Nie obejmuje dokumentacji edukacyjnej.

158. A. FISMA wymaga, aby amerykańskie agencje federalne zgłaszały incydenty do US-CERT. CERT/CC jest centrum koordynacyjnym Instytutu Inżynierii Oprogramowania i bada luki w zabezpieczeniach oprogramowania i Internetu, a także pracuje nad poprawą oprogramowania i bezpieczeństwa Internetu. National Cyber Security Authority to izraelski CERT, a National Cyber Security Center to brytyjski CERT.

159. C. Kolejność zmienności dla mediów od najmniej do najbardziej niestabilnej jest często wymieniana jako kopie zapasowe i wydruki; następnie dyski twarde, takie jak dyski twarde i SSD; następnie pamięć wirtualna; i wreszcie pamięć podręczna procesora, rejestry i pamięć RAM. Artefakty przechowywane w każdej z tych lokalizacji mogą być powiązane z poziomem zmienności tego mechanizmu przechowywania. Na przykład tablice routingu są zwykle przechowywane w pamięci RAM, co czyni je bardzo niestabilnymi. Dane przechowywane na nośnikach wielokrotnego zapisu są zawsze uważane za bardziej niestabilne niż nośniki przechowywane na nośnikach tylko do zapisu.

160. B. SAM jest przechowywany w C:\Windows\System32\config, ale nie jest dostępny podczas uruchamiania systemu. Zaszyfrowane hasła są również przechowywane w rejestrze w HKEY_LOCAL_MACHINE\SAM, ale są również chronione podczas uruchamiania systemu. Najlepszym sposobem na odzyskanie SAM jest uruchomienie komputera z nośnika wymiennego lub użycie narzędzia takiego jak fgdump .

161. A. Nowoczesne pliki Microsoft Office są w rzeczywistości przechowywane w formacie ZIP. Alex będzie musiał je otworzyć za pomocą narzędzia, które może je rozpakować, zanim będzie mógł ręcznie przejrzeć ich zawartość. Może chcieć użyć dedykowanego narzędzia do kryminalistyki Microsoft Office lub pakietu kryminalistycznego z wbudowaną obsługą dokumentów pakietu Office.

162. B. Ciśnienie pamięci to termin specyficzny dla systemu macOS, używany do opisania dostępności zasobów pamięci. Żółte segmenty na wykresie obciążenia pamięcią wskazują, że zasoby pamięci są nadal dostępne, ale są wykonywane przez procesy zarządzania pamięcią, takie jak kompresja.

163. D. Po zamknięciu okna wiersza poleceń w systemie Windows historia poleceń jest usuwana. Gdyby Lukas mógł złapać użytkownika z otwartym wierszem poleceń, mógłby nacisnąć F7 i zobaczyć historię poleceń.

164. C. Bezprzewodowe ataki typu evil twin wykorzystują nieuczciwy punkt dostępowy skonfigurowany do fałszowania adresu MAC legalnego punktu dostępowego. Urządzenie jest następnie konfigurowane tak, aby udostępniało coś, co wygląda jak legalna strona logowania do przechwytywania poświadczeń użytkownika, umożliwiając atakującym użycie tych poświadczeń w celu uzyskania dostępu do innych zasobów organizacji.

165. D. Program netcat jest zwykle uruchamiany przy użyciu nc . Flaga -k dla netcat sprawia, że nasłuchuje on w sposób ciągły, a nie kończy się po rozłączeniu klienta, a -l określa port, na którym nasłuchuje. W tym przypadku serwer netcat nasłuchuje na porcie TCP 6667, który jest zwykle powiązany z IRC.

166. D. Wpływ ekonomiczny jest obliczany w skali względnej, a Angela nie ma wszystkich potrzebnych jej informacji. Strata w wysokości 500 000 USD może być katastrofalna dla małej organizacji i może mieć znacznie mniejszy wpływ na firmę z listy Fortune 500. Inne czynniki, takie jak ubezpieczenie cyberbezpieczeństwa, mogą również ograniczać wpływ ekonomiczny incydentu cyberbezpieczeństwa.

167. D. Saanvi musi po prostu wygenerować znany identyfikator zdarzenia, który może jednoznacznie zweryfikować. Gdy to zrobi, może zalogować się do SIEM i wyszukać to zdarzenie w momencie jego wygenerowania, aby sprawdzić, czy jego system wysyła logi systemowe.

168. C. System Windows zawiera wbudowany schemat ochrony pamięci o nazwie Zapobieganie wykonywaniu danych (DEP), który zapobiega uruchamianiu kodu na stronach oznaczonych jako niewykonywalne. Domyślnie funkcja DEP chroni tylko "podstawowe programy i usługi systemu Windows", ale można ją włączyć dla wszystkich programów i usług, włączyć dla wszystkich programów i usług z wyjątkiem tych, które znajdują się na liście wyjątków lub całkowicie wyłączyć.

169. B. Wytyczne NIST wymagają walidacji po oczyszczeniu, oczyszczeniu lub zniszczeniu nośnika, aby zapewnić, że podjęte działanie jest skuteczne. Jest to ważny krok, ponieważ niewłaściwe zastosowanie procesu sanityzacji i pozostawienie danych częściowo lub nawet w całości nienaruszonych może prowadzić do naruszenia danych.

170. B. Plomby odporne na manipulacje są stosowane, gdy konieczne jest udowodnienie, że urządzenia, systemy lub przestrzenie nie były dostępne. Często zawierają holograficzne logo, które pomagają zapewnić, że manipulacje są widoczne i nie można ich łatwo ukryć poprzez wymianę naklejki. Dziennik kontroli pochodzenia produktu działa tylko wtedy, gdy personel aktywnie z niego korzysta, a dzienniki systemowe nie pokazują fizycznego dostępu. Jeśli Latisha ma poważne obawy, może również chcieć upewnić się, że pomieszczenie lub przestrzeń są fizycznie zabezpieczone i monitorowane za pomocą systemu kamer.

171. C. Zbieranie i analizowanie dzienników najczęściej występuje w fazie wykrywania, podczas gdy łączenie ataków z atakującym jest zwykle obsługiwane w fazie powstrzymywania, eliminacji i odzyskiwania w procesie reagowania na incydenty NIST.

172. B. Maria przeprowadziła interaktywną analizę zachowania. Ten proces obejmuje wykonanie pliku w w pełni oprzyrządowanym środowisku, a następnie śledzenie tego, co się dzieje. Zdolność Marii do interakcji z plikiem jest częścią elementu interaktywnego i pozwala jej w razie potrzeby symulować normalne interakcje użytkownika lub zapewnić złośliwemu oprogramowaniu środowisko, w którym może wchodzić w interakcje tak, jak w środowisku naturalnym.

173. C. Jeżeli Rajmund zapewnił, że jego docelowy nośnik jest wystarczająco duży, aby pomieścić obraz, to niepowodzenie kopiowania jest najprawdopodobniej spowodowane złym nośnikiem. Modyfikacja danych źródłowych spowoduje niezgodność skrótu, zaszyfrowane dyski mogą być pomyślnie zobrazowane pomimo zaszyfrowania (wywoływaczowi to nie przeszkadza!), a kopiowanie w formacie RAW jest po prostu kopią bit po bicie i nie spowoduje awaria.

174. A. Derek stworzył piaskownicę do analizy złośliwego oprogramowania i może zdecydować się na użycie narzędzi takich jak Cuckoo, Truman, Minibis lub narzędzia do analizy komercyjnej. Jeśli rozłoży pliki na części, aby przeanalizować ich działanie, zaangażuje się w inżynierię wsteczną, a analiza wykonywalnego złośliwego oprogramowania na poziomie kodu będzie wymagała demontażu. Darknety służą do identyfikowania szkodliwego ruchu i nie są wykorzystywane w ten sposób.

175. A. Nieudane logowania SSH są powszechne, albo z powodu użytkownika, który błędnie wpisał swoje hasło, albo z powodu skanowań i losowych prób połączenia. Liam powinien przejrzeć swoje logi SSH, aby zobaczyć, co mogło się wydarzyć.

176. B. Domyślnie klawisze Run i RunOnce są ignorowane podczas uruchamiania systemu Windows w trybie awaryjnym. Sprytni napastnicy mogą wstawić gwiazdkę, aby wymusić uruchomienie programu w trybie awaryjnym; jednak nie jest to powszechna taktyka.

177. B. Plik setupapi (C:\Windows\INF\setupapi.dev.log) rejestruje pierwsze podłączenie urządzenia USB do systemu Windows przy użyciu czasu lokalnego systemu. Inne informacje o urządzeniu są gromadzone w rejestrze, a dziennik zabezpieczeń systemu może zawierać informacje o połączeniu, jeśli rejestrowanie urządzenia USB jest specjalnie włączone.

178. C. Jedynym rozwiązaniem z listy Latishy, które może działać, jest przechwytywanie przepływów sieciowych, usuwanie normalnego ruchu, a następnie analizowanie tego, co pozostało. Botnety peer-to-peer wykorzystują szybko zmieniające się węzły kontrolne i nie polegają na spójnej, możliwej do zidentyfikowania infrastrukturze kontrolnej, co oznacza, że tradycyjne metody wykrywania sygnałów nawigacyjnych zazwyczaj zawodzą. Wykorzystują również szybko zmieniające się pakiety infekcji, co sprawia, że wykrywanie oparte na sygnaturach jest mało prawdopodobne. Wreszcie, zbudowanie linii bazowej ruchu sieciowego po infekcji zazwyczaj powoduje, że infekcja staje się częścią linii bazowej, co skutkuje niewykryciem złośliwego ruchu.

179. B. Identyfikacją atakującego zwykle zajmuje się albo na etapie identyfikacji, albo jako część działań po incydencie. Proces IR zazwyczaj koncentruje się na przechwytywaniu danych i umożliwieniu późniejszej analizy w celu zapewnienia przywrócenia usług.

180. D. Playbooki opisują szczegółowe procedury, które pomagają zapewnić, że organizacje i osoby fizyczne podejmą właściwe działania podczas stresu związanego z incydentem. Przewodniki operacyjne zazwyczaj obejmują normalne procedury operacyjne, podczas gdy zasady reagowania na incydenty opisują kierunek i uprawnienia organizacji wysokiego poziomu w zakresie reagowania na incydenty. Program reagowania na incydenty może generować politykę i podręcznik, ale nie zawierałby samych szczegółowych instrukcji.

181. C. Jest to prosta reprezentacja ataku przepełnienia bufora. Atakujący przepełnia bufor, powodując, że adres zwrotny jest wskazywany na złośliwy kod, który atakujący umieścił w pamięci przydzielonej procesowi.

182. A. Narzędzia online, takie jak VirusTotal, MetaScan i inne internetowe skanery złośliwego oprogramowania, wykorzystują do skanowania plików wiele silników antywirusowych i chroniących przed złośliwym oprogramowaniem. Oznacza to, że mogą szybko zidentyfikować wiele pakietów złośliwego oprogramowania. Statyczna analiza kodu złośliwego oprogramowania rzadko jest szybka i w wielu przypadkach wymaga specjalistycznej wiedzy, aby rozpakować lub rozszyfrować pliki. Uruchamianie ciągów może być pomocne w szybkim wybieraniu tekstu, jeśli kod nie jest zakodowany w sposób, który temu zapobiega, ale nie jest to konsekwentnie użyteczna technika. Uruchamianie lokalnego oprogramowania antywirusowego lub chroniącego przed złośliwym oprogramowaniem może być pomocne, ale ma niższy wskaźnik sukcesu niż narzędzie wielosilnikowe.

183. D. DiskView zapewnia graficzny widok dysku z każdym klastrem oznaczonym przez pliki i katalogi, które zawiera. du to narzędzie do raportowania użycia dysku z wiersza poleceń, które może raportować rozmiar katalogów i ich podkatalogów. df to narzędzie do wykorzystania miejsca na dysku z wiersza poleceń Linuksa, a GraphDisk został stworzony na to pytanie.

184. D. Hasła powiązane z kluczami nie są przechowywane w folderze .ssh. Zawiera zdalne hosty, z którymi zostały połączone, klucze publiczne skojarzone z tymi hostami oraz klucze prywatne wygenerowane do użycia podczas łączenia się z innymi systemami.

185. D. Istnieje wiele narzędzi do wyszukiwania wstecznych obrazów, w tym wyszukiwarka wstecznych obrazów Google, Tineye i Bing′s Image Match. Jan może użyć każdego z tych narzędzi do sprawdzenia pasujących obrazów.

186. C. Ten obraz przedstawia rzeczywistą sytuację, która dotyczyła przerwanego łącza światłowodowego. Sprawdzenie łącza drugorzędnego pokazałoby, że po kilku minutach nieudanych prób połączenia ruch nie przeszedł do łącza drugorzędnego. Ten diagram nie jest wystarczający, aby określić, czy Brian ma serwer buforujący, ale normalny ruch dla usług strumieniowych i wideokonferencji nie działałby za pośrednictwem pamięci podręcznej. Jeśli łącze nie powiodło się, a karta lub urządzenie odzyskało sprawność na tym samym łączu, pojawi się wznowienie normalnego ruchu. PRTG nadal otrzymuje niewielki ruch, co wskazuje, że nadal otrzymuje pewne informacje.

187. C. Klucze funkcji BitLocker można odzyskać, analizując pliki hibernacji lub zrzuty pamięci lub za pomocą ataku FireWire na zamontowane dyski. Klucz funkcji BitLocker nie jest przechowywany w MBR. Po zakończeniu dochodzenia Carlos może chcieć przekonać swoją organizację, aby zażądała depozytu kluczy BitLocker, aby ułatwić mu pracę w przyszłości.

188. A. Adam szybko zauważy, że w weekendy obserwuje się niewielkie spadki, ale zarówno wakacje świąteczne, jak i przerwa letnia widzą znaczne spadki ogólnego ruchu. Może to wykorzystać jako punkt odniesienia, aby zidentyfikować nieoczekiwany ruch w tych czasach lub zrozumieć, który student i wykładowca , zachowanie ma wpływ na wykorzystanie sieci przez jego organizację. Ten szczegół nie jest wystarczający, aby określić najlepiej mówiących rozmówców i należy spodziewać się weekendowych spadków ruchu, zamiast wymagać od niego, aby zastanowił się, dlaczego mniejsza liczba osób w kampusie powoduje mniejsze wykorzystanie!

189. C. Slack space to przestrzeń pozostała między końcem pliku a końcem klastra. To miejsce pozostaje otwarte, ale osoby atakujące mogą tam ukryć dane, a analitycy sądowi mogą odzyskać dane z tego miejsca, jeśli w klastrze były wcześniej przechowywane większe pliki, a miejsce to nie zostało nadpisane przed ponownym użyciem.

190. C. Szczegóły procesu są dostarczane przy użyciu flagi p, podczas gdy flaga -e pokaże rozszerzone informacje, które obejmują nazwę użytkownika i i-węzeł procesu. Flaga -t pokazuje tylko połączenia TCP, -s pokazuje informacje podsumowujące, -a pokazuje wszystkie gniazda, a flaga -n pokazuje numeryczne adresy IP, co jest szybsze niż zapytania odwrotnego DNS.

191. B. Jeśli system zawiera jakiekolwiek skrypty zamykające lub jeśli istnieją pliki tymczasowe, które zostałyby usunięte podczas zamykania, po prostu pociągnięcie kabla zasilającego pozostawi te pliki na miejscu do analizy kryminalistycznej. Pociągnięcie za przewód nie spowoduje zrzutu pamięci ani awarii, a złośliwe oprogramowanie rezydujące w pamięci zostanie utracone po wyłączeniu zasilania.

192. C. Jeśli urządzenie jest włączone, karta SIM nie powinna być wyjęta, dopóki nie nastąpi logiczne zebranie danych. Po logicznym zebraniu należy wyłączyć urządzenie, a następnie wyjąć kartę SIM. Gdyby to nie był iPhone, Amanda może chcieć sprawdzić, czy urządzenie nie jest urządzeniem z dwiema lub wieloma kartami SIM.

193. C. Spośród wymienionych narzędzi tylko OpenVAS jest skanerem luk w zabezpieczeniach całego systemu. Wapiti to skaner aplikacji internetowych, ZAP to proxy ataku używane do testowania aplikacji internetowych, a nmap to skaner portów.

194. B. Etap powstrzymywania reakcji na incydent ma na celu ograniczenie szkód i zapobieżenie wystąpieniu dalszych szkód. Może to pomóc w powstrzymaniu eksfiltracji danych, ale szerszym celem jest zapobieganie wszelkim rodzajom szkód, w tym dalszym exploitom lub kompromisom.

195. B. Logiczne kopie danych i woluminów z odblokowanego lub odszyfrowanego urządzenia to w wielu przypadkach najbardziej prawdopodobny scenariusz kryminalistyki mobilnej. Większość kryminalistów nie ma dostępu do funkcji kryminalistyki na poziomie chipa, które fizycznie usuwają pamięć flash z płytki drukowanej, a akwizycja na poziomie JTAG może obejmować inwazyjne techniki pozyskiwania, takie jak bezpośrednie łączenie z chipami na płytce drukowanej.

196. D. Chociaż rejestr zawiera datę i godzinę utworzenia konta oraz datę i godzinę ostatniego logowania, nie zawiera czasu pierwszego zalogowania się użytkownika. Na szczęście dla Wang SAM zawiera również informacje o wygaśnięciu hasła, konto użytkownika Wpisz nazwę użytkownika, imię i nazwisko, podpowiedź do hasła użytkownika, kiedy należy zresetować hasło, a kiedy się nie powiedzie, a także czy hasło jest wymagane. SAM nie zawiera liczby logowań dla użytkownika, ale niektóre z tych szczegółów mogą być dostępne w dziennikach systemowych.

197. B. Zaawansowane trwałe zagrożenia często wykorzystują pocztę e-mail, phishing lub podatność na dostęp do systemów i umieszczają złośliwe oprogramowanie. Po zdobyciu przyczółka zagrożenia APT zwykle działają w celu uzyskania dostępu do większej liczby systemów z większymi uprawnieniami. Gromadzą dane i informacje, a następnie eksfiltrują je, pracując nad ukryciem swoich działań i utrzymywaniem długoterminowego dostępu. Ataki DDoS, robaki i wyłudzenia oparte na szyfrowaniu nie są typowymi zachowaniami APT.

198. A. Alice przeprowadza analizę wpływu informacji. Obejmuje to ustalenie, do jakich danych uzyskano dostęp, czy zostały one wykradzione i jaki wpływ może mieć ta utrata. analiza wpływu ekonomicznego analizuje wpływ finansowy zdarzenia, analizę przestojów analizuje czas, w którym usługi i systemy będą przestoje, a analiza czasu odzyskiwania szacuje czas powrotu do serwisu.

199. D. Przebieg procesów, który odkryła Carol, jest zwykle używany przez zaawansowane, trwałe zagrożenie. Phishing skupiałby się na zdobywaniu referencji, wielorybnictwo jest podobne, ale koncentruje się na ważnych osobach, a exploit zero-day wykorzystuje nowo odkrytą lukę, zanim pojawi się łatka lub ogólna świadomość problemu.

200. B. Jest w fazie identyfikacji, która obejmuje identyfikację systemów i danych przed ich zebraniem i zachowaniem.

201. C. Carol powinna powiadomić radcę prawnego i dostarczyć informacje o polityce i harmonogramie, które doprowadziły do usunięcia danych. Umożliwi to doradcy wybór dalszych kroków.

202. C. W większości przypadków e-Discovery przeglądanie dużych ilości danych w celu upewnienia się, że prezentowane są tylko potrzebne dane oraz że wszystkie niezbędne dane są dostępne, zajmuje najwięcej czasu personelu. Wiele organizacji z większymi potrzebami w zakresie e-discovery poświęca personel lub zleca takie działania na zewnątrz.

203. C. Cassandra powinna upewnić się, że posiada co najmniej jeden adapter dysku USB z wieloma interfejsami, który można podłączyć do wszystkich popularnych typów dysków. Gdyby przeprowadzała analizę kryminalistyczną, chciałaby również użyć sprzętowego lub programowego narzędzia do blokowania zapisu, aby zapewnić zachowanie integralności kryminalistycznej przejęcia. Kabel USB-C i dysk twardy USB są powszechnie spotykane w zestawach narzędzi kryminalistycznych i reagowania na incydenty, ale żadne z nich nie pomogą Cassandrze w połączeniu się z samymi dyskami.

204. B. Taśma z miejsca zbrodni nie jest typową częścią zestawu kryminalistycznego, jeśli nie jesteś analitykiem sądowym lub funkcjonariuszem organów ścigania. Niektóre firmy mogą używać pieczęci lub innych wskaźników, aby zniechęcić do zakłócania dochodzeń. Blokery zapisu, twórcy etykiet i narzędzia do deszyfrowania są powszechnie spotykane w zestawach kryminalistycznych używanych zarówno przez personel handlowy, jak i organy ścigania.

205. B. Lista połączeń zawiera listę personelu, z którym należy lub można się skontaktować podczas incydentu lub scenariusza reagowania. Czasami nazywane listą eskalacji, zazwyczaj zawierają nazwiska członków personelu, do których należy zadzwonić w przypadku braku odpowiedzi. Lista rotacji lub rotacja połączeń służy do rozdzielenia obciążenia pracą między zespół, zwykle poprzez umieszczenie określonej osoby na dyżurze na określony czas. Może to pomóc w podjęciu decyzji, kto jest na liście połączeń w danym momencie. Na to pytanie składa się trójkąt triage, a czasami tworzone są macierze odpowiedzialności w celu wyjaśnienia, kto jest odpowiedzialny za jaki system lub aplikację, ale nie są one bezpośrednio wykorzystywane do tworzenia list kontaktów w nagłych wypadkach.

206. A. John the Ripper jest popularnym łamaczem haseł w Linuksie. Chociaż możliwe jest, że atakujący może nazwać rootkita lub złośliwy program używany do eskalacji uprawnień "john", jest to znacznie mniej prawdopodobne. Ponieważ procesy użytkownika są identyfikowane przez nazwę binarną, a nie tożsamość użytkownika dla procesu, użytkownik o imieniu Jan nie stworzy procesu o nazwie Jan, chyba że utworzy plik binarny o tej samej nazwie.

207. A. Komunikacja po zdarzeniu często angażuje pracowników marketingu i public relations, którzy koncentrują się na nastrojach konsumentów i poprawie wizerunku organizacji, podczas gdy prawnicy często przeglądają oświadczenia w celu ograniczenia odpowiedzialności lub innych kwestii. Deweloperzy zazwyczaj nie są bezpośrednio zaangażowani w komunikację po zdarzeniu, a zamiast tego pracują nad zapewnieniem bezpieczeństwa aplikacji lub systemów, za które są odpowiedzialni.

208. A. Złośliwe witryny mogą uruchamiać skrypty przeznaczone do wydobywania kryptowaluty lub wykonywania innych działań podczas ich odwiedzania lub reklamy wykonują kod, co powoduje wysokie zużycie procesora. Karol powinien przejrzeć odwiedzone witryny i porównać je z narzędziem listy zaufanych witryn lub narzędziem do sprawdzania reputacji. Opisany scenariusz nie wskazuje, że sprawdzenie pliku binarnego pomoże, a ponowna instalacja przeglądarki nie jest zwykle częścią odpowiedzi w przypadku dużego obciążenia procesora. Wyłączenie TLS to okropny pomysł, a nowoczesne procesory nie powinny mieć problemu z obsługą bezpiecznych witryn.

209. Organizacja B. Miki powinna stosować proces zarządzania zmianami, aby uniknąć nieautoryzowanych zmian na swoim serwerze WWW. Mika może wtedy sprawdzić dzienniki procesu zmian lub ścieżkę audytu, aby ustalić, kto i kiedy dokonał zmiany. Gdyby Java została zainstalowana bez odpowiedniej autoryzacji, byłoby to nieautoryzowane oprogramowanie. Nieoczekiwane dane wejściowe często występują, gdy aplikacje internetowe są atakowane i mogą spowodować przepełnienie pamięci.

210. C. Przepełnienie lokalizacji pamięci przez umieszczenie w zmiennej łańcucha dłuższego niż program oczekuje, jest formą ataku przepełnienia bufora. Atakujący mogą zdecydować się na użycie ciągu tych samych liter, aby ułatwić wykrycie przepełnienia podczas testowania exploita.

211. B. Barb może skonfigurować narzędzie do analizy opartej na zachowaniu, które może przechwytywać i analizować normalne zachowanie jej aplikacji, a następnie ostrzegać ją, gdy wystąpi nieoczekiwane zachowanie. Chociaż wymaga to wstępnej konfiguracji, wymaga mniej długotrwałej pracy niż ciągłe monitorowanie ręczne i w przeciwieństwie do narzędzi opartych na sygnaturach lub analizie logów, zazwyczaj odpowiednio obsługuje nieoczekiwane dane wyjściowe.

212. B. Chociaż wszystkie te funkcje prawdopodobnie są w stanie zapewnić ważne porady dotyczące polityki dyscyplinarnej, zespół ds. zasobów ludzkich ponosi główną odpowiedzialność za relacje pracownicze i byłby najlepszym zespołem do włączenia w tym celu.

213. B. Wrażliwe dane osobowe obejmują dane związane z pochodzeniem etnicznym lub rasowym, poglądami politycznymi, przekonaniami religijnymi lub filozoficznymi, przynależnością do związków zawodowych, danymi genetycznymi, danymi biometrycznymi oraz danymi dotyczącymi zdrowia, życia seksualnego i orientacji seksualnej danej osoby. Inne elementy danych w tym pytaniu są przykładami informacji umożliwiających identyfikację osoby (PII), ale nie należą do kategorii SPI.

214. C. Jest to przykład nagłej zmiany, ponieważ zmiana została dokonana bez wcześniejszej zgody. Konieczne było spełnienie pilnych wymogów bezpieczeństwa, a Joanna powinna jak najszybciej złożyć wniosek o zmianę w nagłych wypadkach.

215. D. Ćwiczenia planszowe umożliwiają testowanie procesu reagowania na incydenty bez zakłócania normalnej działalności biznesowej. To dobre podejście, które gromadzi zespół w celu przeanalizowania scenariusza incydentu. Pełne testy przerwań zakłócają działalność firmy i nie byłyby w tym przypadku odpowiednie. Przeglądy listy kontrolnej i przeglądy zarządzania nie zapewniają wymaganego poziomu interakcji z zespołem.

216. B. Komunikacja SSH zwykle odbywa się przez port TCP 22. Atakujący mogą próbować uruchomić serwery SSH na różnych portach, aby uniknąć wykrycia.

217. A. Atakujący często wykorzystują zaplanowane zadania, aby osiągnąć trwałość. Jeśli analityk zapomni sprawdzić zaplanowane zadania, atakujący mogą pozostawić zaplanowane zadanie, które otwiera lukę w późniejszym terminie, osiągając trwałość w systemie.

218. B. Ogólnie mówiąc, analitycy mogą uzyskać więcej informacji kryminalistycznych, gdy ich organizacja ma większą kontrolę nad bazowymi zasobami chmury. Środowiska infrastruktury jako usługi (IaaS) zapewniają najwyższy poziom kontroli i dlatego zazwyczaj zapewniają dostęp do najbardziej szczegółowych informacji.

219. A. Każde z tych ćwiczeń może być użyte, aby przypomnieć ratownikom o ich obowiązkach. Przeglądy list kontrolnych mają najmniejszy wpływ na organizację, ponieważ mogą być wykonywane asynchronicznie przez poszczególnych pracowników. Inne wymienione tutaj rodzaje szkoleń/ćwiczeń wymagałyby większego zaangażowania czasu.

220. C. Wszystko to są standardowe pary portów/usług, z wyjątkiem SSH, które normalnie działa na porcie 22. Jeśli jest to często wykrywane podczas ataków, analitycy mogą chcieć wygenerować nowy IoC, aby lepiej rozpoznawać przyszłe ataki.

221. D. Łagodzenie podatności, przywracanie uprawnień oraz weryfikacja rejestrowania i komunikacji z monitorowaniem bezpieczeństwa to wszystkie czynności, które zwykle występują w fazie eliminacji i odzyskiwania w reakcji na incydent. Analiza zużycia pojemności dysku jest oceną wskaźnika kompromitacji, który pojawia się w fazie wykrywania i analizy reakcji na incydent.

222. A. Wszyscy ci interesariusze powinni być uwzględnieni w planowaniu programu reagowania na incydenty. Craig powinien jednak być bardzo ostrożny w koordynacji z podmiotami zewnętrznymi, takimi jak organy regulacyjne, ze względu na ich rolę egzekucyjną. Powinien planować swobodniejszą koordynację z podmiotami wewnętrznymi, takimi jak kierownictwo wyższego szczebla, dział prawny i kadrowy.




[ 2587 ]