Analityk ds. cyberbezpieczeństwa




Egzamin Praktyczny cz.I

1. Przeglądając dzienniki przepływu sieci, Jan zauważa, że przepływ sieci w określonym segmencie nagle spadł do zera. Jaka jest najbardziej prawdopodobna przyczyna tego?

A. Atak typu "odmowa usługi"
B. Awaria łącza
C. Wysokie zużycie przepustowości
D. Światło ostrzegawcze

2. Charlotte toczy spór ze współpracownikiem o dostęp do informacji zawartych w bazie danych prowadzonej przez dział jej współpracownika. Charlotte twierdzi, że potrzebuje informacji do wykonywania swoich obowiązków służbowych, podczas gdy współpracownik twierdzi, że nikt spoza działu nie ma dostępu do informacji. Charlotte nie zgadza się, że inny dział powinien być w stanie podjąć tę decyzję, a przełożony Charlotte zgadza się z nią. Do jakiego rodzaju polityki mogłaby zwrócić się Charlotte, aby uzyskać najbardziej odpowiednie wskazówki?

A. Polityka klasyfikacji danych
B. Polityka przechowywania danych
C. Polityka własności danych
D. Zasady dopuszczalnego użytkowania

3. Saanvi przeprowadza proces odzyskiwania po tym, jak jego organizacja doświadczyła incydentu bezpieczeństwa. Podczas tego procesu planuje zastosować poprawki do wszystkich systemów w swoim środowisku. Które z poniższych powinno być jego najwyższym priorytetem przy łataniu?

A. Systemy Windows
B. Systemy zaangażowane w incydent
C. Systemy Linux
D. Serwery WWW

4. Organizacja Susan doznała poważnego naruszenia związanego z zaawansowanym trwałym zagrożeniem (APT), które wykorzystywało luki zero-day, aby przejąć kontrolę nad systemami w sieci jej firmy. Które z poniższych jest najmniej odpowiednim rozwiązaniem, które Susan zalecała, aby zapobiec przyszłym atakom tego typu?

A. Heurystyczne metody wykrywania ataków
B. Metody wykrywania ataków oparte na sygnaturach
C. Segmentacja
D. Wykorzystaj analizę zagrożeń

5. Podczas badania systemu Windows Eric odkrył, że pliki zostały usunięte i chce ustalić, czy określony plik istniał wcześniej na komputerze. Które z poniższych jest najmniej prawdopodobnym miejscem do odkrycia dowodów potwierdzających tę teorię?

A. Rejestr systemu Windows
B. Główna tabela plików
C. Pliki INDX
D. Dzienniki zdarzeń

6. W ramach swoich obowiązków jako analityk SOC Emily ma za zadanie monitorowanie czujników wykrywania włamań, które obejmują sieć centrali firmy jej pracodawcy. Podczas jej zmiany alarmy IDS Emily informują o skanowaniu sieci z systemu o adresie IP 10.0.11.19 w sieci bezprzewodowej WPA2 Enterprise organizacji skierowanej do systemów w dziale finansowym. Jakie źródło danych powinna najpierw sprawdzić?

A. Dzienniki zapory hosta
B. Dzienniki uwierzytelniania AD
C. Dzienniki uwierzytelniania bezprzewodowego
D. Dzienniki WAF

7. Proces reagowania na incydenty Casey prowadzi ją do serwera produkcyjnego, który musi pozostać w trybie online, aby firma jej firmy mogła nadal działać. Jakiej metody powinna użyć, aby zebrać potrzebne dane?

A. Obraz na żywo na dysk zewnętrzny.
B. Obraz na żywo na głównym dysku systemu.
C. Przełącz system w tryb offline i przenieś obraz na dysk zewnętrzny.
D. Przełącz system w tryb offline, zainstaluj blokadę zapisu na głównym dysku systemu, a następnie zobrazuj go na dysku zewnętrznym.

8. Podczas rutynowego uaktualniania Maria nieumyślnie zmienia uprawnienia do krytycznego katalogu, powodując awarię infrastruktury RADIUS swojej organizacji. Jak należy sklasyfikować to zagrożenie przy użyciu kategorii zagrożeń NIST?

A. Przeciwnik
B. Przypadkowe
C. Strukturalny
D. Środowisko;

9. Co oznacza odpowiedź nmap "filtrowana" w wynikach skanowania portów?

A. nmap nie może stwierdzić, czy port jest otwarty czy zamknięty.
B. Wykryto zaporę.
C. Wykryto IPS.
D. Nie ma nasłuchiwania aplikacji, ale może być w każdej chwili.

10. Darcy jest administratorem bezpieczeństwa w szpitalu, który działa w Stanach Zjednoczonych i podlega ustawie o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA). Projektuje program do skanowania podatności dla szpitalnego centrum danych, który przechowuje i przetwarza elektroniczne chronione informacje zdrowotne (ePHI). Jaka jest minimalna częstotliwość skanowania dla tego środowiska, zakładając, że skanowanie nie wykazuje krytycznych luk w zabezpieczeniach?

A. Co 30 dni
B. Co 90 dni
C. Co 180 dni
D. Skanowanie nie jest wymagane.

11. Podczas przeglądania dzienników incydentów Deepa o 8:02 odkrywa pierwszy wpis przez SSH na hoście bastionu (A) o 8:02. Jeśli sieć, za którą odpowiada Deepa, została zaprojektowana tak, jak pokazano tutaj, jaka jest najbardziej prawdopodobna diagnoza, jeśli drugie wtargnięcie pojawia się na hoście B o 7:15?



A. Host wewnętrzny B został wcześniej skompromitowany.
B. Host A został skompromitowany; następnie host B został skompromitowany.
C. Ani host B, ani host A nie są prawidłowo zsynchronizowane z NTP.
D. Zagrożenie wewnętrzne skompromitowało hosta B, a następnie hosta A.

12. Matt niedawno przeprowadził skanowanie podatności sieci swojej organizacji i otrzymał wyniki pokazane tutaj. Chciałby najpierw naprawić serwer z największą liczbą najpoważniejszych luk w zabezpieczeniach. Który z poniższych serwerów powinien znajdować się na jego liście o najwyższym priorytecie?



A. Serwer A
B. Serwer B
C. Serwer C
D. Serwer D

13. Saanvi otrzymał zadanie przeprowadzenia oceny ryzyka dla średniej wielkości banku, w którym pracuje, z powodu niedawnego włamania się do ich aplikacji internetowej bankowości internetowej. Saanvi zdecydowało się na wykorzystanie przedstawionych tutaj ram oceny ryzyka NIST 800-30. Jakie prawdopodobieństwo wystąpienia powinien przypisać naruszeniom aplikacji webowej?



A. Niski
B. Średni
C. Wysoki
D. Nie można określić na podstawie podanych informacji

14. Szef Hanka wrócił niedawno z wydarzenia na szczycie CEO, na którym dowiedział się o znaczeniu cyberbezpieczeństwa i roli skanowania podatności. Zapytał Hanka o skany luk w zabezpieczeniach przeprowadzane przez organizację i zasugerował, aby zamiast uruchamiać cotygodniowe skanowanie, po prostu skonfiguruj skaner tak, aby rozpoczynał nowe skanowanie natychmiast po zakończeniu poprzedniego. Jak Hank powinien zareagować na tę prośbę?

O. Hank powinien poinformować CEO, że miałoby to negatywny wpływ na wydajność systemu i nie jest zalecane.
B. Hank powinien natychmiast wdrożyć sugestię prezesa.
C. Hank powinien rozważyć żądanie i współpracować z zespołami sieciowymi i inżynierskimi nad ewentualnym wdrożeniem.
D. Hank powinien poinformować dyrektora generalnego, że takie podejście nie przynosi żadnych dodatkowych korzyści w zakresie bezpieczeństwa i że go nie zaleca.

15. Organizacja Selah cierpi na awarię swojej szyfrowanej sieci VPN typu punkt-punkt z powodu włamania do systemu u jej dostawcy usług internetowych. Jaki to rodzaj problemu?

A. Poufność
B. Dostępność
C. Uczciwość
D. Odpowiedzialność

16. Garrett współpracuje z administratorem bazy danych w celu rozwiązania problemów bezpieczeństwa na kilku serwerach zarządzanych przez zespół bazy danych. Chciałby uzyskać raport dla DBA, który dostarczy przydatnych informacji, które pomogą w wysiłkach naprawczych. Który z przedstawionych tutaj szablonów raportów byłby najbardziej przydatny dla zespołu DBA?



A. Raport Qualys Top 20
B. Raport techniczny dotyczący branży kart płatniczych (PCI)
C. Raport Wykonawczy
D. Raport techniczny

17. Narzędzia do monitorowania sieci SolarWinds firmy Jiang dostarczają danych o systemie hostowanym w środowisku AWS firmy Amazon. Kiedy Jiang sprawdza średni czas odpowiedzi swojego serwera, widzi tutaj pokazane wyniki.



Jakie działania powinien podjąć Jiang w oparciu o te informacje?

O. Powinien zwiększyć szybkość swojego łącza sieciowego.
B. Powinien sprawdzać zaplanowane zadania w momencie, gdy widzi skok.
C. Powinien upewnić się, że jego karta sieciowa ma odpowiednie ustawienia opóźnień.
D. Powinien przeprowadzić dodatkową diagnostykę w celu ustalenia przyczyny opóźnienia.

18. Alex zauważa ruch pokazany tutaj podczas przechwytywania pakietów Wireshark. Co najprawdopodobniej robi host z adresem IP 10.0.2.11?



A. Skanowanie portów oparte na protokole UDP
B. Wykrywanie sieci przez TCP
C. Skanowanie portów oparte na SYN
D. Wykrywanie w oparciu o DNS

19. Jenny ocenia bezpieczeństwo praktyk zarządzania siecią swojej organizacji. Odkrywa, że organizacja używa usługi RADIUS do uwierzytelniania administratora na urządzeniach sieciowych. Jaka dodatkowa kontrola bezpieczeństwa powinna być również wdrożona, aby zapewnić bezpieczeństwo operacji?

A. IPsec
B. Kerberos
C. TACACS+
D. SSL

20. Jake buduje obraz śledczy skompromitowanego dysku za pomocą polecenia dd z ustawieniami domyślnymi. Uważa, że obrazowanie przebiega bardzo powoli. Jaki parametr powinien najpierw wyregulować?

A. if
B. bs
C. of
D. count

21. Jakiemu celowi służy system honeypotów umieszczony w sieci, jak pokazano tutaj?



A. Zapobiega atakowaniu serwerów produkcyjnych przez atakujących.
B. Zawiera informacje o technikach używanych przez atakujących.
C. Spowalnia atakujących jak lepki miód.
D. Dostarcza dane wejściowe w czasie rzeczywistym do IDS i IPS.

22. Zespół bezpieczeństwa Munju znalazł spójne dowody na włamanie się do systemu przez okres kilku tygodni, z dodatkowymi dowodami wskazującymi na to, że systemy, które badają, były zagrożone od lat. Pomimo najlepszych starań swojego zespołu, Munju odkryła, że jej zespół nie wydaje się, aby wyśledzić i całkowicie usunąć kompromis. Z jakim atakiem prawdopodobnie ma do czynienia Munju?

A. Koń trojański
B. APT
C. Rootkit
D. Atak dnia zerowego

23. Który z poniższych wskaźników byłby najbardziej przydatny w określaniu skuteczności programu naprawy luk w zabezpieczeniach?

A. Liczba usuniętych krytycznych luk
B. Czas na rozwiązanie krytycznych luk
C. Liczba nowych krytycznych podatności na miesiąc
D. Czas na ukończenie skanowania podatności

24. Skanowanie systemu nmap przez Mike′a za pomocą polecenia nmap 192.168.1.100 nie zwraca żadnych wyników. Co Mike wie o systemie, jeśli jest pewien jego adresu IP i dlaczego?

A. W systemie nie są uruchomione żadne otwarte usługi.
B. Wszystkie usługi są objęte zaporą ogniową.
C. Nie ma usług TCP dostępnych na domyślnych 1000 portach TCP nmapa.
D. Nie ma usług TCP dostępnych na domyślnych portach TCP 65535 nmapa.

25. Jaki jest cel tworzenia skrótu MD5 dla dysku podczas procesu obrazowania sądowego?

A. Aby udowodnić, że zawartość dysku nie została zmieniona
B. Aby udowodnić, że żadne dane nie zostały usunięte z dysku
C. Aby udowodnić, że na dysku nie zostały umieszczone żadne pliki
D. Wszystkie powyższe

26. Po zakończeniu nieudanej analizy kryminalistycznej dysku twardego ze stacji roboczej, która została zaatakowana przez złośliwe oprogramowanie, Ben wysyła go do ponownego zobrazowania i załatania przez zespół pomocy technicznej swojej firmy. Krótko po powrocie systemu do działania urządzenie ponownie łączy się z tym samym botnetem. Jakie działanie powinien podjąć Ben w ramach swojej następnej oceny kryminalistycznej, jeśli jest to jedyny system wykazujący takie objawy?

A. Sprawdź, czy wszystkie łatki są zainstalowane
B. Zniszcz system
C. Sprawdź poprawność skrótu BIOS ze znaną dobrą wersją
D. Sprawdź system ze zduplikowanym adresem MAC

27. Częścią danych kryminalistycznych, które Susan dostarczyła do jej śledztwa, było przechwycenie pakietu Wireshark. Dochodzenie ma na celu ustalenie, jakiego rodzaju media konsumował pracownik podczas pracy. Jaka jest bardziej szczegółowa analiza, którą Susan może przeprowadzić, jeśli otrzyma ona przedstawione tutaj dane?



A. Może ustalić, że użytkownik oglądał GIF.
B. Może ręcznie przeglądać strumień TCP, aby zobaczyć, jakie dane zostały wysłane.
C. Potrafi eksportować i przeglądać GIF.
D. Nie potrafi określić, do jakich mediów uzyskano dostęp przy użyciu tego zestawu danych.

28. Który z poniższych modeli śledzi kroki, które osoba atakująca zwykle wykonywałaby podczas włamania?

A. MITRE ATT&CK
B. Diament
C. Łańcuch zabijania cybernetycznego
D. STIX

29. Lukas jest analitykiem cyberbezpieczeństwa w dużej firmie, która opiera się na systemach SCADA. Jaki protokół sieciowy najprawdopodobniej znajdzie w tych systemach?

A. Magistrala CAN
B. Modbus
C. SoC
D. RTOS

30. Mika chce uruchomić skanowanie nmap, które obejmuje wszystkie porty TCP i wykorzystuje wykrywanie usług. Które z poniższych poleceń nmap powinna wykonać?

A. nmap -p0 -all -SC
B. nmap -p 1-32768 -sVS
C. nmap -p 1-65535 -sV -sS
D. nmap -all -sVS

31. Który z poniższych modeli usług w chmurze opiera się na dostawcy usług w chmurze przy wdrażaniu największej liczby kontroli bezpieczeństwa?

A. SaaS
B. PaaS
C. FaaS
D. IaaS

32. Dan jest analitykiem cyberbezpieczeństwa w organizacji opieki zdrowotnej. Przeprowadził skanowanie podatności serwera VPN używanego przez jego organizację. Jego skanowanie przebiegało z wnętrza centrum danych na serwerze VPN również znajdującym się w centrum danych. Pełny raport o luce znajduje się tutaj. Jakie działania powinien podjąć Dan?



A. Dan powinien natychmiast naprawić tę lukę.
B. Dan powinien zaplanować usunięcie luki w zabezpieczeniach w ciągu najbliższych 30 dni.
C. Dan powinien ponownie przeprowadzić skanowanie, ponieważ jest to prawdopodobnie fałszywy raport pozytywny.
D. Dan nie powinien podejmować żadnych działań.

33. Gina testuje zestaw reguł zapory sieciowej do użytku z nową zaporą sieciową Check Point swojej organizacji. Chciałaby, aby zapora umożliwiała nieograniczone przeglądanie Internetu użytkownikom w sieci wewnętrznej, z wyjątkiem witryn wymienionych na liście zablokowanych hostów, którą prowadzi zespół ds. cyberbezpieczeństwa. Zaprojektowała pokazany tutaj zestaw reguł. Jaki błąd, jeśli w ogóle, zawiera?



A. Zasada rozwiązłości
B. Zasada osierocona
C. Zacieniowana reguła
D. Baza reguł nie zawiera błędu.

34. Kwame otrzymał alert z SIEM swojej organizacji, że wykrył potencjalny atak na serwer sieciowy w jego sieci. Nie ma jednak pewności, czy ruch generujący alert rzeczywiście trafił do sieci z zewnętrznego źródła, czy też pochodził z jej wnętrza. Zasada NAT na zaporze sieciowej na obwodzie sieciowym przepisuje ponownie publiczne adresy IP, co utrudnia ocenę tych informacji na podstawie adresów IP. Kwame chciałby przeprowadzić ręczny przegląd dzienników, aby zlokalizować źródło ruchu. Gdzie powinien się zwrócić po najlepsze informacje?

A. Dzienniki serwera aplikacji
B. Logi serwera bazy danych
C. Dzienniki zapory
D. Dzienniki antymalware

35. Jim uruchomił polecenie traceroute, aby wykryć ścieżkę sieciową między jego systemem a witryną CompTIA. Otrzymał pokazane tutaj wyniki. Jakie wnioski może wyciągnąć z tych wyników?



A. Witryna CompTIA znajduje się w Chicago.
B. Witryna CompTIA nie działa.
C. Urządzenie sieciowe znajdujące się najbliżej witryny CompTIA, które Jim może zidentyfikować, to 216.182.225.74.
D. Urządzenie sieciowe znajdujące się najbliżej witryny CompTIA, które Jim może zidentyfikować, to 216.55.11.62.

36. Który z poniższych typów skanowań podatności dostarczyłby najmniej informacji o konfiguracji zabezpieczeń systemu?

A. Skanowanie agentowe
B. Skanowanie uwierzytelnione
C. Skanowanie wewnętrzne bez autoryzacji
D. Skanowanie zewnętrzne bez autoryzacji

37. Po zakończeniu sprawy sądowej Sam musi wytrzeć media, których używa, aby przygotować je do następnej sprawy. Która z poniższych metod najlepiej nadaje się do przygotowania dysku twardego, którego będzie używał, jeśli chce być zgodny z NIST SP 800-88?

A. Rozmagnesuj napęd.
B. Zapisz na dysku zero.
C. Siedem rund: same jedynki, same zera i pięć rund losowych wartości.
D. Użyj polecenia ATA Secure Erase.

38. Po zapoznaniu się ze standardami NIST dotyczącymi reagowania na incydenty, Mateo spędza czas na konfigurowaniu usługi NTP na każdym ze swoich serwerów, stacji roboczych i urządzeń w całej swojej sieci. Nad którą fazą procesu reagowania na incydenty pracuje nad poprawą?

A. Przygotowanie
B. Wykrywanie i analiza
C. Ograniczanie, zwalczanie i odzyskiwanie
D. Aktywność po zdarzeniu

39. Latisha jest ISO dla swojej firmy i otrzymuje powiadomienie, że opublikowano exploita dnia zerowego, który może spowodować zdalne wykonanie kodu na wszystkich stacjach roboczych z systemem Windows 10 w jej sieci z powodu ataku na usługi domeny Windows. Chce ograniczyć swoją ekspozycję na ten exploit, ale potrzebuje systemów, aby nadal mieć dostęp do Internetu. Które z poniższych podejść najlepiej odpowiada jej odpowiedzi?

A. Zapora sieciowa
B. Łatanie
C. Izolacja
D. Segmentacja

40. Luis skonfigurował SNMP do zbierania informacji ze swoich urządzeń sieciowych i wydaje następujące polecenie:

$ snmpgetnext -v 1 -c public device1 \

Otrzymuje odpowiedź zawierającą następujące dane:
ip.ipRouteTable.ipRouteEntry.ipRouteDest \
ip.ipRouteTable.ipRouteEntry.ipRouteNextHop
ip.ipRouteTable.ipRouteEntry.ipRouteDest.0.0.0.0 = Adres IP:
0.0.0.0
ip.ipRouteTable.ipRouteEntry.ipRouteNextHop.0.0.0.0 =
Adres IP: 10.0.11.1

Jakie lokalne polecenie mógł wykonać, aby zebrać te same informacje?

A. traceroute
B. trasa dodaj domyślną gw 10.0.11.1
C. netstat -nr
D. ping -r 10.0.11.1

41. Po zeskanowaniu urządzenia sieciowego znajdującego się w centrum danych jej organizacji, Shannon zauważyła pokazaną tutaj lukę. Jaki jest minimalny poziom wersji SNMP, którą powinien uruchomić Shannon?



A. 1.1
B. 1.2
C. 2
D. 3

42. Kiedy Saanvi został wezwany do pomocy w naprawie incydentu, odkrył, że administrator sieci skonfigurował sieć tak, jak pokazano tutaj. Jakiego rodzaju działania w odpowiedzi na incydent najlepiej opisują to, z czym spotkała się firma Saanvi?



A. Segmentacja
B. Izolacja
C. Usunięcie
D. Blokowanie sieci

43. W ramach śledztwa sądowego dotyczącego stacji roboczej z systemem Linux, Alex musi ustalić, jakie polecenia mogły zostać wydane w systemie. Jeśli nie miały miejsca żadne działania antykryminalistyczne, jaka jest najlepsza lokalizacja, w której Alex może sprawdzić historię poleceń wydanych na system?

A. /var/log/commands.log
B. $HOME/.bash_history
C. $HOME/.commands.sqlite
D. /var/log/authactions.log

44. Ben niedawno zakończył analizę ryzyka i stwierdził, że powinien zaimplementować nowy zestaw reguł zapory sieciowej, aby filtrować ruch ze znanych podejrzanych adresów IP. Jaki rodzaj działalności związanej z zarządzaniem ryzykiem wykonuje?

A. Unikanie ryzyka
B. Akceptacja ryzyka
C. Przenoszenie ryzyka
D. Ograniczanie ryzyka

45. Crystal próbuje określić następne zadanie, które powinna podjąć z listy priorytetów bezpieczeństwa. Jej szef powiedział jej, że powinna skoncentrować się na działaniach, które są najbardziej "opłacalne". Które z przedstawionych tutaj zadań powinna wykonać jako pierwsze?



A. Zadanie 1
B. Zadanie 2
C. Zadanie 3
D. Zadanie 4

46. Podczas analizy incydentu, który miał miejsce w jej sieci, Sofia odkryła, że atakujący użył skradzionego pliku cookie, aby uzyskać dostęp do aplikacji internetowej. Który z poniższych typów ataków najprawdopodobniej wystąpił?

A. Man-in-the-middle
B. Eskalacja uprawnień
C. Skrypty między witrynami
D. Przejęcie sesji

47. Kiedy Pete łączy się z siecią swojej organizacji, jego komputer PC uruchamia oprogramowanie NAC, które zainstalował jego administrator systemu. Oprogramowanie komunikuje się z przełącznikiem brzegowym, do którego jest podłączony, co weryfikuje jego logowanie i stan bezpieczeństwa systemu. Jakiego typu rozwiązania NAC używa Pete?

A. Oparte na agencie, w paśmie
B. Bez agenta, w paśmie
C. Oparte na agentach, poza pasmem
D. Bez agenta, poza pasmem

48. Curt przeprowadza analizę kryminalistyczną systemu Windows i musi ustalić, czy program został ustawiony na automatyczne uruchamianie. W której z poniższych lokalizacji powinien sprawdzić te informacje?

A. Pliki NTFS INDX
B. Rejestr
C. Dzienniki zdarzeń
D. Wstępne pobieranie plików

49. Podczas oceny zgodności z przepisami Manish odkrywa, że jego organizacja wdrożyła wymóg uwierzytelniania wieloskładnikowego dla systemów, które przechowują i przetwarzają bardzo wrażliwe dane. System wymaga od użytkowników podania zarówno hasła, jak i czterocyfrowego kodu PIN. Co powinien odnotować Manish w swoich odkryciach dotyczących tego systemu?

A. System wieloczynnikowy zapewnia dwa niezależne czynniki i zapewnia skuteczną kontrolę bezpieczeństwa.
B. Zastosowane czynniki są tym samym rodzajem czynników, co sprawia, że kontrola jest mniej skuteczna.
C. System wykorzystuje tylko dwa czynniki i nie jest prawdziwym systemem wieloczynnikowym. Aby kwalifikować się jako wieloczynnikowy, powinien zawierać co najmniej trzy czynniki.
D. Użycie czterocyfrowego kodu PIN w systemie wieloskładnikowym nie zapewnia wystarczającej złożoności, a każdy kod PIN w bezpiecznych środowiskach wymaga dodatkowej długości.

50. Jaka koncepcja mierzy łatwość utraty danych?

A. Kolejność zmienności
B. Przemijanie danych
C. Przewidywanie utraty danych
D. Ramy zmienności

51. Podczas ćwiczenia rozpoznawczego Mika używa następującej komendy:

root@demo:~# nc -v 10.0.2.9 8080
www.example.com [10.0.2.9] 8080 (http-alt) open
GET / HTTP/1.0

Co ona robi?

A. Sprawdzanie wersji serwera HTTP za pomocą netcat
B. Tworzenie odwróconej powłoki za pomocą netcar
C. Przechwytywanie banerów HTTP za pomocą netcat
D. Wykonywanie utrzymywania aktywności HTTP przy użyciu netcar

52. Kroki takie jak te wymienione tutaj są przykładem jakiego rodzaju przygotowania reakcji na incydent?

1. Odwiedź otx.alienvault.com i adres IP podejrzanego systemu C&C w górnym polu wejściowym wyszukiwania.
2. Jeśli adres IP jest powiązany z aktywnością złośliwego oprogramowania C&C, utwórz zgłoszenie w systemie śledzenia odpowiedzi na incydenty.

A. Tworzenie zespołu CSIRT
B. Tworzenie podręcznika
C. Tworzenie planu reagowania na incydenty
D. Tworzenie IR-FAQ

53. Podczas analizy skanu luk w zabezpieczeniach z jej serwera internetowego, Kristen odkrywa problem pokazany tutaj. Które z poniższych rozwiązań najlepiej zaradzi tej sytuacji?



A. Przejdź z TLS 1.0 na SSL 3.0.
B. Wymagaj połączeń IPsec z serwerem.
C. Wyłącz korzystanie z TLS.
D. Przejdź z TLS 1.0 na TLS 1.2.

54. Charles buduje dla swojej organizacji podręcznik reagowania na incydenty, który będzie dotyczył dowodzenia i kontroli wykrywania ruchu klient-serwer oraz reagowania na nie. Które z poniższych źródeł informacji z najmniejszym prawdopodobieństwem będzie częścią jego podręcznika?

A. Dzienniki zapytań DNS
B. Kanały informacji o zagrożeniach
C. Dane Honeypot
D. Powiadomienia od personelu wewnętrznego o podejrzanym zachowaniu

55. Który z poniższych mechanizmów może zostać wykorzystany do zwiększenia bezpieczeństwa w kontekstowym systemie uwierzytelniania?

A. Pora dnia
B. Lokalizacja
C. Odcisk palca urządzenia
D. Wszystkie powyższe

56. Organizacja Latishy doświadczyła znacznego wzrostu liczby udanych ataków phishingowych, w wyniku których zostały zhakowane konta. Wie, że musi wdrożyć dodatkowe kontrole techniczne, aby zapobiec udanym atakom. Która z poniższych formantów będzie najskuteczniejsza, a jednocześnie pozostanie stosunkowo prosta i niedroga we wdrożeniu?

A. Zwiększone wymagania dotyczące złożoności hasła
B. Uwierzytelnianie wieloskładnikowe oparte na aplikacjach lub tokenach
C. Uwierzytelnianie wieloskładnikowe oparte na biometrii
D. Jednokrotne logowanie oparte na protokole OAuth

57. Carol niedawno padła ofiarą ataku phishingowego. Kiedy kliknęła łącze w otrzymanej wiadomości e-mail, została wysłana do centralnej usługi uwierzytelniania swojej organizacji i zalogowana pomyślnie. Zweryfikowała adres URL i certyfikat, aby potwierdzić, że serwer uwierzytelniający jest prawdziwy. Po uwierzytelnieniu została wysłana do formularza, który zbierał poufne dane osobowe, które zostały wysłane do atakującego. Jaki typ luki najprawdopodobniej wykorzystał atakujący?

A. Przepełnienie bufora
B. Przejmowanie sesji
C. Spoofing IP
D. Otwórz przekierowanie

58. Jako tester penetracji Max używa Wireshark do przechwytywania całego ruchu testowego. Które z poniższych nie jest powodem, dla którego Max przechwytuje pakiety podczas testów penetracyjnych?

A. Aby udokumentować test penetracyjny
B. Skanowanie w poszukiwaniu luk
C. Aby zebrać dodatkowe informacje o systemach i usługach
D. Aby rozwiązać problemy napotkane podczas łączenia się z celami

59. Rich niedawno skonfigurował nowe skanowanie podatności dla systemów analizy biznesowej swojej organizacji. Skanowanie jest wykonywane późno w nocy, gdy użytkownicy nie są obecni. Rich otrzymał skargi od zespołu analityki biznesowej, że obciążenie wydajności nałożone przez skanowanie powoduje, że ich nocne zadania ETL działają zbyt wolno i nie kończą przed godzinami pracy. Jak Rich powinien poradzić sobie z tą sytuacją?

A. Rich powinien poinformować zespół, że muszą uruchomić zadania ETL według innego harmonogramu.
B. Rich powinien ponownie skonfigurować skany, aby były uruchamiane w godzinach pracy.
C. Rich powinien poinformować zespół, że musi zmienić rozmiar sprzętu, aby spełnić oba wymagania.
D. Rich powinien współpracować z zespołem, aby znaleźć rozwiązanie akceptowalne dla obu stron.

60. Która z poniższych regulacji nakłada obowiązek zapewnienia zgodności konkretnie na instytucje finansowe?

A. SOX
B. HIPAA
C. PCI DSS
D. GLBA

61. Bryce przeprowadził skan luk w zabezpieczeniach sieci bezprzewodowej swojej organizacji i odkrył, że wszyscy pracownicy wprowadzają swoje osobiste urządzenia do sieci firmowej (za pozwoleniem), a urządzenia te czasami zawierają poważne luki. Z jakiej strategii mobilnej korzysta organizacja Bryce′a?

A. COPE
B. SAFE
C. BYOD
D. Żadne z powyższych

62. Jamal używa następującego polecenia, aby zamontować obraz kryminalistyczny. Co określił w swoim dowództwie? sansforensics@siftworkstation:~/Case1$ sudo mount RHINOUSB.dd /mnt/usb
-t auto -o pętla, noexec,ro

A. Zamontował plik automatycznie i nie użyje żadnego autorun pliki zawarte w obrazie.
B. Zamontował plik z typem systemu plików ustawionym na automatyczne rozpoznawanie i ustawił montowanie tak, aby działało jako urządzenie pętli tylko do odczytu, które nie uruchamia plików.
C. Zamontował plik automatycznie i ustawił montowanie tak, aby działało jako urządzenie pętli tylko do odczytu, które nie uruchamia plików.
D. Zamontował plik z typem systemu plików ustawionym na automatyczne rozpoznawanie i ustawił go tak, aby działał jako zdalne urządzenie pętlowe, które nie uruchamia plików.

63. Javier przeprowadził skanowanie podatności nowej aplikacji internetowej stworzonej przez programistów z jego zespołu i otrzymał raport pokazany tutaj. Deweloperzy dokładnie sprawdzili swój kod i nie wierzą, że problem istnieje. Dobrze rozumieją problemy związane z wstrzykiwaniem SQL i naprawili podobne luki w innych aplikacjach. Jaki jest najbardziej prawdopodobny scenariusz w tym przypadku?



A. Javier źle skonfigurował skanowanie.
B. Kod jest wadliwy i wymaga korekty.
C. Luka występuje w innej aplikacji internetowej działającej na tym samym serwerze.
D. Wynik jest fałszywie pozytywny.

64. Mateo jest w stanie włamać się do hosta w zabezpieczonym segmencie sieci podczas testu penetracyjnego. Niestety, zasady zaangażowania mówią, że nie wolno mu instalować dodatkowego oprogramowania na systemach, które uda mu się skompromitować. Jak może użyć netcata do skanowania portów innych systemów w zabezpieczonym segmencie sieci?

A. Może użyć opcji -sS do wykonania skanowania SYN.
B. Może użyć opcji -z, aby wykonać skanowanie.
C. Może użyć opcji -s, aby wykonać skanowanie.
D. Nie może; netcat nie jest skanerem portów.

65. Która z poniższych technologii umożliwia dynamiczne przeprogramowanie chipa komputera?

A. TPM
B. HSM
C. eFuse
D. UEFI

66. Pełniąc rolę menedżera ds. bezpieczeństwa, Luis i mały zespół ekspertów przygotowali scenariusz, który jego zespoły ds. bezpieczeństwa i administracji systemu mają wykorzystać podczas corocznych testów bezpieczeństwa. Jego scenariusz zawiera zasady, których muszą przestrzegać zarówno obrońcy, jak i atakujący, a także punktację, której użyje do ustalenia, która drużyna wygra ćwiczenie. Jakiego terminu powinien użyć Luis, aby opisać rolę swojego zespołu w ćwiczeniu?

A. Biały zespół
B. Drużyna czerwona
C. Złoty zespół
D. Niebieska drużyna

67. Lauren pobiera nowe narzędzie bezpieczeństwa i sprawdza jego MD5. Co wie o pobranym oprogramowaniu, jeśli otrzyma następujący komunikat?

root@demo:~# md5sum -c demo.md5
demo.txt: NIEPOWODZENIE
suma md5: OSTRZEŻENIE: 1 obliczona suma kontrolna nie pasuje

A. Plik jest uszkodzony.
B. Atakujący zmodyfikowali plik.
C. Pliki nie pasują.
D. Test zakończył się niepowodzeniem i nie dał odpowiedzi.

68. Martha przeprowadziła skanowanie pod kątem podatności na szereg punktów końcowych w swojej sieci i otrzymała raport o podatności pokazany tutaj. Zbadała dalej i odkryła, że na kilku punktach końcowych działa Internet Explorer 7. Jaka jest minimalna wersja IE, która jest uważana za bezpieczną?



A. 7
B. 9
C. 11
D. Żadna wersja przeglądarki Internet Explorer nie jest uważana za bezpieczną.

69. Podczas dochodzenia w sprawie incydentu Mateo jest w stanie zidentyfikować adres IP systemu, który został wykorzystany do włamania się do wielu systemów należących do jego firmy. Co Mateo może ustalić na podstawie tych informacji?

A. Tożsamość napastnika
B. Kraj pochodzenia napastnika
C. Nazwa domeny atakującego
D. Żadne z powyższych

70. Nick uważa, że atakujący włamał się na stację roboczą z systemem Linux w swojej sieci i dodał nowego użytkownika. Niestety, większość logowania nie była włączona w systemie. Która z poniższych opcji najprawdopodobniej dostarczy przydatnych informacji o tym, który użytkownik został utworzony ostatnio?

A. /etc/passwd
B. /var/log/auth.log
C. Uruchom ls -ld /home/$username dla każdego użytkownika w systemie
D. Uruchom ls -l /home/$username/.bash_logout, aby zobaczyć ostatni czas wylogowania dla każdego użytkownika w systemie

71. Po poważnym kompromisie obejmującym coś, co wydaje się być APT, Jaime musi przeprowadzić badanie kryminalistyczne zhakowanych systemów. Którą metodę zabezpieczania powinien zalecić, aby upewnić się, że może w pełni zbadać zaangażowane systemy, jednocześnie minimalizując ryzyko dla innych systemów produkcyjnych swojej organizacji?

A. Piaskownica
B. Usunięcie
C. Izolacja
D. Segmentacja

72. Piper próbuje naprawić lukę w zabezpieczeniach i musi zastosować poprawkę do produkcyjnego serwera bazy danych. Zespół administracyjny bazy danych obawia się, że poprawka zakłóci operacje biznesowe. Jak powinna postępować Piper?

A. Powinna natychmiast wdrożyć poprawkę w systemie produkcyjnym.
B. Powinna poczekać 60 dni na wdrożenie łatki, aby ustalić, czy zostały zgłoszone błędy.
C. Powinna wdrożyć poprawkę w środowisku piaskownicy, aby przetestować ją przed zastosowaniem jej w rodukcji.
D. Powinna skontaktować się z dostawcą, aby określić bezpieczne ramy czasowe wdrożenia poprawki w środowisku produkcyjnym.

73. Kent przeprowadził skanowanie pod kątem luk w zabezpieczeniach wewnętrznego serwera CRM, który jest rutynowo używany przez pracowników, a skanowanie wykazało, że na serwerze nie są dostępne żadne usługi. Podczas skanowania pracownicy bez problemu nadal korzystali z aplikacji CRM przez Internet. Jakie jest najbardziej prawdopodobne źródło wyniku Kenta?

A. Serwer wymaga silnego uwierzytelniania.
B. Serwer używa szyfrowania.
C. Skanowanie zostało uruchomione z innej perspektywy sieci niż ruch użytkownika.
D. Domyślne ustawienia skanera nie sprawdzają portów używanych przez aplikację CRM.

74. Steve musi wykonać skanowanie zdalnej sieci za pomocą nmapa i chce działać jak najbardziej dyskretnie. Które z poniższych poleceń nmapa zapewni najbardziej skryte podejście do jego skanowania?

A. nmap -P0 -sT 10.0.10.0/24
B. nmap -sT -T0 10.0.10.0/24
C. nmap -P0 -sS 10.0.10.0/24
D. nmap -P0 -sS -T0 10.0.10.0/24

75. Po przeprowadzeniu polowania na zagrożenia Lakshman stwierdza, że należałoby wyłączyć niektóre usługi na serwerach baz danych swojej organizacji. W jaką działalność angażuje się Lakshman?

A. Postawienie hipotezy
B. Zbieranie dowodów
C. Zmniejszenie powierzchni ataku
D. Wykonywalna analiza procesu

76. Jenna konfiguruje częstotliwość skanowania dla programu do skanowania podatności swojej organizacji. Które z poniższych kryteriów jest najmniej ważne dla Jenny?

A. Wrażliwość informacji przechowywanych w systemach
B. Krytyczność procesów biznesowych obsługiwanych przez systemy
C. System operacyjny zainstalowany w systemach
D. Ekspozycja systemu na sieci zewnętrzne

77. Donna interpretuje skan podatności z sieci swojej organizacji, pokazany tutaj. Chciałaby ustalić, którą podatność należy najpierw zaradzić. Donna chciałaby skoncentrować się na najbardziej krytycznej luce w zależności od potencjalnego wpływu, jeśli zostanie wykorzystana. Zakładając, że zapora jest poprawnie skonfigurowana, której z poniższych luk Donna powinna nadać najwyższy priorytet?



A. Luka o poziomie ważności 5 w serwerze plików
B. Luka o poziomie ważności 3 w serwerze plików
C. Podatność serwera WWW o poziomie ważności 4
D. Luka o poziomie ważności 2 w serwerze pocztowym

78. Która z poniższych kategorii dokumentów zapewnia najwyższy poziom uprawnień dla programu cyberbezpieczeństwa organizacji?

A. Polityka
B. Standardowy
C. Procedura
D. Ramy

79. Mateo planuje dla swojej organizacji program do skanowania podatności i planuje cotygodniowe skanowanie wszystkich serwerów w swoim środowisku. Zwróciła się do niego grupa administratorów systemu, którzy poprosili o bezpośredni dostęp do raportów skanowania bez przechodzenia przez zespół ds. bezpieczeństwa. Jak powinien zareagować Mateo?

A. Mateo powinien zapewnić dostęp administratorom.
B. Mateo powinien odmówić dostępu administratorom, ponieważ informacje mogą ujawnić krytyczne problemy z bezpieczeństwem.
C. Mateo powinien zaproponować dostarczenie administratorom kopii raportu po przejściu przez nich kontroli bezpieczeństwa.
D. Mateo powinien odmówić dostępu administratorom, ponieważ pozwoliłoby im to poprawić problemy z bezpieczeństwem, zanim zostaną przeanalizowane przez zespół ds. bezpieczeństwa.

80. Podczas dochodzenia w sprawie incydentu Mateo odkrywa, że atakujący byli w stanie przeszukiwać informacje o jego routerach i przełącznikach za pomocą protokołu SNMP. Ponadto odkrywa, że ruch SNMP był przesyłany w postaci zwykłego tekstu przez zaplecze zarządzania siecią jego sieci orgaanizacji. Która wersja SNMP zapewniłaby funkcje szyfrowania i uwierzytelniania, aby zapobiec temu w przyszłości?

A. SNMP v1
B. SNMP v2
C. SNMP v3
D. SNMP v4

81. Która z poniższych technologii zapewnia automatyczny wgląd w dane dotyczące bezpieczeństwa?

A. Uczenie maszynowe
B. Wzbogacanie danych
C. Ciągła integracja
D. Ciągła dostawa

82. Podczas przeglądania raportu ze skanowania podatności serwera WWW Paul natknął się na pokazaną tutaj podatność. W jaki sposób Paul może najłatwiej naprawić tę lukę przy minimalnym wpływie na firmę?



A. Zablokuj porty 80 i 443.
B. Dostosuj uprawnienia do katalogu.
C. Zablokuj port 80 tylko, aby wymagać użycia szyfrowania.
D. Usuń CGI z serwera.

83. Dziennik pokazujący pomyślne uwierzytelnienie użytkownika jest klasyfikowany jako rodzaj zdarzenia w definicjach NIST?

A. Incydent bezpieczeństwa
B. Wydarzenie związane z bezpieczeństwem
C. Wydarzenie
D. Zdarzenie niepożądane

84. Mei użyła polecenia dig, aby spróbować wyszukać adres IP witryny CompTIA i otrzymała pokazane tutaj wyniki. Co Mei może wyciągnąć z tych wyników?



A. Witryna CompTIA znajduje się pod adresem 198.134.5.6.
B. Witryna CompTIA znajduje się pod adresem 172.30.0.2.
C. Witryna CompTIA jest obecnie niedostępna.
D. Wyszukiwanie DNS nie powiodło się, ale nie możesz wyciągnąć żadnych wniosków na temat strony.

85. Fran próbuje uruchomić skanowanie podatności serwera WWW z zewnętrznej sieci, a skaner zgłasza, że na serwerze WWW nie działają żadne usługi. Zweryfikowała konfigurację skanowania i próbowała uzyskać dostęp do witryny działającej na tym serwerze za pomocą przeglądarki internetowej na komputerze znajdującym się w tej samej sieci zewnętrznej i nie napotkała żadnych trudności. Jaki jest najbardziej prawdopodobny problem ze skanowaniem?

A. Zapora hosta blokuje dostęp do serwera.
B. Zapora sieciowa blokuje dostęp do serwera.
C. System zapobiegania włamaniom blokuje dostęp do serwera.
D. Fran skanuje zły adres IP.

Odpowiedzi

1. B. Nagły spadek do zera najprawdopodobniej jest przykładem awarii łącza. Atak typu "odmowa usługi" może spowodować tego typu odrzucenie, ale jest mniej prawdopodobny w przypadku większości organizacji. Zarówno duże zużycie przepustowości, jak i sygnały nawigacyjne, pokazują inne wzorce ruchu niż pokazano w tym przykładzie.

2. C. Jest to zasadniczo spór dotyczący własności danych. Współpracownik Charlotte twierdzi, że jej dział jest właścicielem danych, o których mowa, a Charlotte się z tym nie zgadza. Chociaż inne wspomniane zasady mogą zawierać pewne istotne informacje, Charlotte powinna najpierw zapoznać się z zasadami dotyczącymi własności danych, aby sprawdzić, czy wzmacniają one, czy podważają roszczenia jej współpracowników dotyczące własności danych.

3. B. Podczas działań naprawczych po incydencie priorytetem łatania powinny być systemy, które były bezpośrednio zaangażowane w incydent. Jest to jeden z elementów naprawiania znanych problemów, które były aktywnie wykorzystywane.

4. B. Metody wykrywania ataków oparte na sygnaturach polegają na znajomości wyglądu ataku lub złośliwego oprogramowania. Jest mało prawdopodobne, aby ataki dnia zerowego miały istniejącą sygnaturę, co czyni je złym wyborem, aby im zapobiec. Heurystyczne (zachowania) metody wykrywania mogą wskazywać na włamanie pomimo braku sygnatur dla konkretnego exploita. Wykorzystanie analizy zagrożeń do zrozumienia nowych ataków i środków zaradczych jest ważną częścią obrony przed atakami dnia zerowego. Zbudowanie dobrze zaprojektowanej i podzielonej na segmenty sieci może ograniczyć wpływ kompromisów, a nawet im zapobiec.

5. D. Rejestr systemu Windows, główne tabele plików i pliki INDX zawierają informacje o plikach, w tym często pliki usunięte lub usunięte. Dzienniki zdarzeń znacznie rzadziej zawierają informacje o określonej lokalizacji pliku.

6. C. Ponieważ organizacja Emilii używa WPA2 Enterprise, użytkownicy muszą się uwierzytelnić, aby korzystać z sieci bezprzewodowej. Powiązanie skanowania z uwierzytelnionym użytkownikiem pomoże osobom odpowiadającym na incydenty zidentyfikować urządzenie, które przeprowadziło skanowanie.

7. A. Zwykle obrazy kryminalistyczne są gromadzone z systemów, które są w trybie offline, aby zapewnić wykonanie kompletnej kopii. W takich przypadkach, gdy utrzymanie systemu w trybie online jest ważniejsze niż kompletność obrazu kryminalistycznego, właściwym wyborem jest przesłanie obrazu na żywo na dysk zewnętrzny za pomocą przenośnego narzędzia kryminalistycznego, takiego jak FTK Imager Lite, dd lub podobnego.

8. B. Przypadkowe zagrożenia pojawiają się, gdy osoby wykonujące swoją rutynową pracę omyłkowo wykonują działanie, które zagraża bezpieczeństwu. W tym przypadku działania Marii były przykładem wypadku, który spowodował problem z dostępnością.

9. A. Gdy nmap zwraca odpowiedź "filtrowany", oznacza to, że nmap nie może stwierdzić, czy port jest otwarty czy zamknięty. Filtrowane wyniki są często wynikiem działania zapory lub innego urządzenia sieciowego, ale odpowiedź filtrowania nie wskazuje, że wykryto zaporę lub IPS. Gdy nmap zwraca wynik "zamknięty", oznacza to, że w tym momencie żadna aplikacja nie nasłuchuje.

10. D. Pomimo tego, że skanowanie podatności jest ważną kontrolą bezpieczeństwa, HIPAA nie oferuje konkretnych wymagań dotyczących częstotliwości skanowania. Jednak Darcy dobrze byłoby, aby zaimplementował skanowanie luk w zabezpieczeniach jako najlepszą praktykę, a zalecane jest codzienne lub cotygodniowe skanowanie.

11. C. Najbardziej prawdopodobnym problemem jest problem z synchronizacją NTP dla obu hostów z powodu niewłaściwie ustawionej strefy czasowej lub innego problemu czasowego. Zestaw reguł zezwala tylko na ruch inicjowany przez host A, co uniemożliwia hostowi B być źródłem włamania się do A. Inne opcje są możliwe, ale najbardziej prawdopodobnym problemem jest problem NTP.

12. D. Najpoważniejsze podatności przedstawione w tym raporcie to podatności o średniej wadze. Serwer D ma największą liczbę (8) luk na tym poziomie ważności.

13. C. Gdy zdarzenie typu, który jest analizowany, miało miejsce w niedalekiej przeszłości (często definiowane jako rok), oceny, które analizują to zdarzenie, zwykle klasyfikują prawdopodobieństwo wystąpienia jest tak wysokie, jak już wystąpiło.

14. C. Sugestia CEO jest rozsądnym podejściem do skanowania podatności, które jest stosowane w niektórych organizacjach, często pod pojęciem ciągłego skanowania. Powinien rozważyć żądanie i wpływ na systemy i sieci, aby określić rozsądny sposób działania.

15. B. To jest przykład problemu z dostępnością. Gdyby dane zostały zmodyfikowane, byłby to problem z integralnością, podczas gdy ujawnienie danych byłoby kwestią poufności. Odpowiedzialność zewnętrznego dostawcy nie jest omawiana w pytaniu.

16. D. Raport techniczny będzie zawierał szczegółowe informacje na temat konkretnego hosta i jest przeznaczony dla inżyniera, który chce naprawić system. Raport techniczny PCI skupiałby się na kwestiach zgodności kart kredytowych i nic nie wskazuje na to, że ten serwer jest używany do przetwarzania kart kredytowych. Raport Qualys Top 20 i Raport dla kierownictwa zawierałyby informacje podsumowujące bardziej odpowiednie dla grupy zarządzającej i obejmowałyby całą sieć, a nie szczegółowe informacje na temat pojedynczego systemu.

17. D. Jiang musi przeprowadzić dodatkową diagnostykę, aby ustalić przyczynę opóźnienia. Niestety dla Jianga ten wykres nie dostarcza wystarczających informacji, aby określić, dlaczego maksymalny czas odpowiedzi wzrasta okresowo do wysokich poziomów. Ponieważ zdarzenia nie są regularnie zaplanowane, jest stosunkowo mało prawdopodobne, że przyczyną problemu jest zaplanowane zadanie. Karty sieciowe nie mają ustawień opóźnienia; opóźnienie jest spowodowane ruchem w sieci, czasem odpowiedzi systemu i podobnymi czynnikami. Zwiększenie szybkości łącza sieciowego może pomóc w opóźnieniu, ale nie masz wystarczających informacji, aby to określić.

18. C. Ten obraz przedstawia skanowanie portów w oparciu o SYN. Ruch składa się głównie z pakietów TCP SYN do różnych popularnych portów, co jest typowe dla skanowania portów opartego na SYN.

19. A. RADIUS wysyła hasła, które są zaciemniane przez wspólny klucz tajny i skrót MD5, co oznacza, że jego zabezpieczenia hasłem nie są zbyt silne. Ruch RADIUS między serwerem dostępu do sieci RADIUS a serwerem RADIUS jest zwykle szyfrowany przy użyciu tuneli IPsec lub innych zabezpieczeń w celu ochrony ruchu. Kerberos i TACACS+ są alternatywnymi protokołami uwierzytelniania i nie są wymagane oprócz RADIUS. Protokół SSL nie jest już uważany za bezpieczny i nie powinien być używany do zabezpieczania tunelu RADIUS.

20. B. Najbardziej prawdopodobną przyczyną tego spowolnienia jest nieprawidłowy rozmiar bloku. Rozmiar bloku jest ustawiany za pomocą flagi bs i jest określony w bajtach. Domyślnie dd używa 512-bajtowego rozmiaru bloku, ale jest on znacznie mniejszy niż rozmiar bloku większości nowoczesnych dysków. Użycie większego rozmiaru bloku będzie zazwyczaj znacznie szybsze, a jeśli znasz rozmiar bloku dla kopiowanego urządzenia, użycie jego macierzystego rozmiaru bloku może zapewnić ogromny wzrost prędkości. Jest to ustawiane za pomocą flagi typu bs = 64k. Flagi if i of dostosowują odpowiednio pliki wejściowe i wyjściowe, ale nic nie wskazuje na to, że są one błędne. Flaga liczby dostosowuje liczbę bloków do skopiowania i nie powinna być zmieniana, jeśli Jake chce zobrazować cały dysk.

21. B. Honeypot jest używany przez badaczy bezpieczeństwa i praktyków do zbierania informacji o technikach i narzędziach wykorzystywanych przez atakujących. Honeypot nie powstrzyma atakujących przed atakowaniem innych systemów i w przeciwieństwie do tarpita nie jest przeznaczony do spowalniania atakujących. Zazwyczaj dane honeypota muszą być przeanalizowane, aby dostarczyć użytecznych informacji, które można wykorzystać do zbudowania reguł IDS i IPS.

22. B. Zaawansowane trwałe zagrożenia (APT) to wysoce wykwalifikowani napastnicy o zaawansowanych możliwościach, którzy zazwyczaj koncentrują się na określonych celach. Aby osiągnąć te cele, często uzyskują i utrzymują długoterminowy dostęp do systemów i sieci za pomocą potężnych narzędzi, które pozwalają im uniknąć wykrycia i wyprzedzić ratowników, którzy próbują je usunąć.

23. B. Spośród tych wyborów najbardziej użytecznym miernikiem byłby czas potrzebny do usunięcia krytycznych luk w zabezpieczeniach. Jest to metryka, która jest całkowicie pod kontrolą programu naprawy luk w zabezpieczeniach i pokazuje szybkość reakcji na działania naprawcze oraz czas, w którym luka była obecna. Liczba usuniętych luk i liczba nowych luk w zabezpieczeniach każdego miesiąca nie są dobrymi miarami skuteczności programu, ponieważ zależą od liczby systemów i usług objętych skanowaniem oraz charakteru tych usług.

24. C. Domyślnie nmap skanuje 1000 najpopularniejszych portów TCP. Mike wie tylko, że skanowany system nie miał dostępnych (otwartych, filtrowanych lub zamkniętych) portów TCP na tej liście.

25. D. Po połączeniu przez blokadę zapisu tworzona jest suma kontrolna (często przy użyciu MD5 lub SHA1). Jeśli ten skrót pasuje do skrótu obrazów kryminalistycznych, są one dokładnie zgodne, co oznacza, że zawartość dysku nie została zmieniona i żadne pliki nie zostały dodane ani usunięte z dysku.

26. C. Chociaż infekcje BIOS-u są stosunkowo rzadkie, niektóre złośliwe oprogramowanie rezyduje w oprogramowaniu układowym lub BIOS-ie systemu. Tam analiza dysku twardego nie pokaże infekcji. Jeśli zespół wsparcia komputerów stacjonarnych w firmie Bena w pełni załatał system i żaden inny system nie jest w podobny sposób zainfekowany, następnym krokiem Bena powinno być sprawdzenie, czy elementy systemu, których wcześniej nie sprawdzał, takie jak BIOS, są nienaruszone .

27. C. Wireshark zawiera możliwość eksportowania pakietów. W takim przypadku Susan może wybrać szczegół GIF89a, klikając ten pakiet, a następnie wyeksportować rzeczywisty obraz do pliku, który może wyświetlić.

28. C. Lockheed Martin Cyber Kill Chain śledzi kroki użyte do przeprowadzenia ataku. Model diamentowy i model MITER ATT&CK służą do klasyfikacji ataków. STIX to standardowy format opisu zagrożeń.

29. B. Protokół Modbus służy do łączenia systemów SCADA. Standard CAN Bus jest stosowany w systemach pojazdów. RTOS to akronim od systemu operacyjnego czasu rzeczywistego, a SoC to akronim od System on a Chip. Ani RTOS, ani SoC nie jest protokołem sieciowym.

30. C. Skanowanie pełnego zakresu portów TCP można wykonać za pomocą skanowania SYN (-sS) i zadeklarowania pełnego zakresu możliwych portów (1-65535). Identyfikacja wersji usługi jest włączana za pomocą flagi -sV.

31. A. Model oprogramowania jako usługi (SaaS) wymaga od dostawcy usług w chmurze zabezpieczenia całego stosu usług. Inne modele zapewniają klientom większy stopień kontroli i odpowiedzialności za bezpieczeństwo.

32. D. Dan nie musi podejmować żadnych działań. Jest to luka o bardzo niskiej krytyczności (1/5) i prawdopodobnie nie można jej wykorzystać spoza centrum danych. Nie jest konieczne naprawienie tej luki i nic nie wskazuje na to, że jest to fałszywie pozytywny raport. Ogólnie rzecz biorąc, jest to bardzo czysty wynik skanowania serwera VPN.

33. C. Ta baza reguł zawiera regułę cieniowaną. Reguła zaprojektowana do odrzucania żądań dostępu do zablokowanych witryn nigdy nie zostanie uruchomiona, ponieważ znajduje się poniżej reguły, która umożliwia dostęp do wszystkich witryn. Odwrócenie kolejności dwóch pierwszych reguł poprawiłoby ten błąd. Nie ma osieroconych reguł, ponieważ każda reguła w bazie reguł została zaprojektowana tak, aby spełniała wymagania bezpieczeństwa. Nie ma rozwiązłych reguł, ponieważ reguły nie pozwalają na większy dostęp niż zamierzony, są po prostu w złej kolejności.

34. C. Wszystkie źródła danych wymienione w tym pytaniu mogą dostarczyć Kwame dalszych informacji o ataku. Jednak logi zapory byłyby najlepiej umieszczone, aby odpowiedzieć na jego konkretne pytanie dotyczące źródła ataku. Ponieważ zapora wykonuje translację adresów sieciowych (NAT), prawdopodobnie będzie miała wpis w dzienniku oryginalnego (przed NAT) źródłowego adresu IP ruchu.

35. D. Te wyniki pokazują ścieżkę sieciową między systemem Jima a serwerem WWW CompTIA. Nie jest niczym niezwykłym obserwowanie nieznanych urządzeń w ścieżce, reprezentowanych przez * * *, ponieważ te urządzenia mogą być skonfigurowane do ignorowania żądań traceroute. Te wyniki zapytania wskazują, że ścieżka sieciowa przechodzi przez Chicago, ale nie oznacza to, że ostateczny cel znajduje się w Chicago. Nic nie wskazuje na to, że witryna nie działa. 216.182.225.74 to system najbliższy Jimowi w tym wyniku, natomiast 216.55.11.62 jest najbliższym systemie do zdalnego serwera.

36. D. Skanowanie bez poświadczeń dostarcza znacznie mniej informacji niż skanowanie z poświadczeniami lub skanowanie z wykorzystaniem agenta, ponieważ zarówno skanowanie z wykorzystaniem danych uwierzytelniających, jak i skanowanie z wykorzystaniem agenta umożliwia zebranie informacji o konfiguracji z systemów docelowych. Skanowania zewnętrzne dostarczają również mniej informacji niż skany wewnętrzne, ponieważ są filtrowane przez zapory graniczne i inne urządzenia zabezpieczające. W związku z tym skanowanie zewnętrzne bez autoryzacji dostarczyłoby najmniej informacji.

37. B. NIST SP800-88, wraz z wieloma podręcznikami kryminalistyki, wymaga całkowitego zerowego czyszczenia dysku, ale nie wymaga wielu rund czyszczenia. Rozmagnesowanie jest używane głównie w przypadku taśm magnetycznych podobnych do nośników magnetycznych i może nie wymazać całkowicie dysku twardego (a w rzeczywistości może go uszkodzić). Użycie polecenia ATA Secure Erase jest powszechnie używane w przypadku dysków SSD.

38. B. NIST zaleca, aby synchronizacja zegara była wykonywana dla wszystkich urządzeń w celu poprawy zdolności respondentów do przeprowadzania analizy, będącej częścią fazy wykrywania i analizy procesu reagowania na incydenty NIST. Chociaż może to nastąpić w fazie przygotowawczej, ma to na celu usprawnienie procesu analizy.

39. A. Latisha wie, że usługi domeny Windows mogą być blokowane za pomocą zapory sieciowej. Dopóki zbuduje prawidłowy zestaw reguł, może uniemożliwić systemom zewnętrznym wysyłanie tego typu ruchu do jej stacji roboczych z systemem Windows. Może nadal chcieć segmentować swoją sieć, aby chronić najważniejsze stacje robocze, ale jej pierwszym krokiem powinno być użycie zapór sieciowych, aby uniemożliwić ruch docierający do stacji roboczych.

40. C. Polecenie SNMP. Luisa zażądało tabeli tras z systemu o nazwie urządzenie1 . Można to zreplikować w systemie lokalnym za pomocą polecenia netstat -nr. Polecenie traceroute dostarcza informacji o ścieżce między dwoma systemami. Do uzyskania tych informacji można użyć polecenia route, ale wymienione tutaj polecenie dodaje bramę 476 domyślną zamiast sprawdzania bieżących informacji. ping -r zapisuje trasę do lokacji dla określonej liczby prób (od 1 do 9).

41. D. Kiedy Internet Engineering Task Force (IETF) zatwierdził SNMP v3.0 jako standard, wszystkie wcześniejsze wersje SNMP zostały uznane za przestarzałe. Shannon powinien zaktualizować to urządzenie do SNMP v3.0.

42. B. Systemy w sieci przechowawczej są całkowicie odizolowane od reszty sieci za pomocą logicznych elementów sterujących, które uniemożliwiają jakikolwiek dostęp. Aby pracować z systemami, do których musi uzyskać dostęp, Saanvi będzie musiał albo dodać reguły zapory, aby umożliwić mu zdalny dostęp do systemów, albo fizycznie z nimi pracować.

43. B. W systemach Linux, które używają powłoki Bash, $home/.bash_history będzie zawierał dziennik ostatnio wykonanych akcji. Każdy z pozostałych został wymyślony na to pytanie.

44. D. Wdrożenie reguł zapory jest próbą zmniejszenia prawdopodobieństwa wystąpienia zagrożenia. Jest to zatem przykład strategii ograniczania ryzyka.

45. C. Zadanie 3 zapewnia najlepszą równowagę między krytycznością a trudnością. Umożliwia Crystal naprawienie problemu o średniej krytyczności przy inwestycji zaledwie 6 godzin. Zadanie 2 ma wyższą krytyczność, ale rozwiązanie zajmie 12 tygodni. Zadanie 1 ma tę samą krytyczność, ale wymagałoby całego dnia na naprawę. Zadanie 4 ma mniejszą krytyczność, ale jego rozwiązanie wymagałoby takiej samej ilości czasu jak zadanie 1.

46. D. Użycie skradzionego pliku cookie jest znakiem rozpoznawczym ataku polegającego na przejmowaniu sesji. Ataki te skupiają się na przejęciu już istniejącej sesji, poprzez uzyskanie klucza sesji lub plików cookie używanych przez zdalny serwer do weryfikacji sesji lub spowodowanie przejścia sesji przez system kontrolowany przez atakującego, umożliwiając im udział w sesji.

47. C. Organizacja . Pete'a korzysta z opartego na agencie, pozapasmowego rozwiązania NAC, które opiera się na lokalnie zainstalowanym agencie w celu komunikowania się z istniejącymi urządzeniami infrastruktury sieciowej o stanie bezpieczeństwa jego systemu. Gdyby organizacja Pete'a korzystała z dedykowanych urządzeń, byłoby to rozwiązanie typu in-band, a brak zainstalowanego agenta spowodowałby, że byłaby bezagentowa.

48. B. Rejestr zawiera klucze automatycznego uruchamiania, które są używane do uruchamiania programów podczas uruchamiania. Ponadto zaplanowane zadania, foldery startowe poszczególnych użytkowników i biblioteki DLL umieszczone w lokalizacjach, które będą uruchamiane przez programy (zazwyczaj złośliwe biblioteki DLL), to wszystkie lokalizacje, w których pliki będą automatycznie uruchamiane podczas uruchamiania lub logowania użytkownika.

49. B. Największym problemem w tym scenariuszu jest to, że oba czynniki są czynnikami opartymi na wiedzy. Prawdziwy system wieloczynnikowy opiera się na więcej niż jednym typie odrębnych czynników, w tym na czymś, co znasz, czymś, co masz lub czymś, czym jesteś (a czasami gdzie jesteś). Ten system opiera się na dwóch rzeczach, które znasz, a atakujący prawdopodobnie przejmą obie z tej samej lokalizacji w udanym ataku.

50. A. Kolejność zmienności danych mierzy łatwość ich utraty. Volatility Framework to narzędzie kryminalistyczne przeznaczone do kryminalistyki pamięci, podczas gdy przewidywanie ulotności i utraty danych nie są powszechnymi terminami.

51. C. Mika używa netcata do pobrania domyślnej odpowiedzi HTTP ze zdalnego serwera. Używanie netcata w ten sposób umożliwia testerom penetracyjnym szybkie zbieranie informacji za pomocą skryptów lub ręcznie, gdy interakcja może być wymagana lub narzędzia są ograniczone.

52. B. Playbooki zawierają określone procedury stosowane podczas określonego rodzaju incydentu cyberbezpieczeństwa. W takim przypadku wpis playbook dotyczy sprawdzania poprawności poleceń i kontroli ruchu złośliwego oprogramowania. Tworzenie planu CSIRT lub IR odbywa się na wyższym poziomie, a IR-FAQ nie jest powszechnym terminem branżowym.

53. D. Kristen powinna zaktualizować serwer sieciowy do najnowszej bezpiecznej wersji TLS: TLS 1.2. SSL 3.0 ma luki podobne do tych w TLS 1.0 i nie jest odpowiednią alternatywą. Protokół IPsec nie jest skuteczny w komunikacji internetowej. Wyłączenie korzystania z TLS zagroziłoby bezpieczeństwu informacji przesyłanych do iz serwera i stworzyłoby dodatkowe ryzyko, zamiast naprawiać sytuację.

54. C. Stosunkowo niewiele organizacji uruchamia honeypoty ze względu na wysiłek wymagany do utrzymania i analizy generowanych przez nie danych. Zapytania DNS i inne dzienniki ruchu, źródła informacji o zagrożeniach oraz powiadomienia od pracowników są powszechnymi źródłami informacji dla różnych typów wykrywania incydentów.

55. D. Uwierzytelnianie kontekstowe może wykorzystywać szeroką gamę informacji. Potencjalne atrybuty obejmują porę dnia, lokalizację, odcisk palca urządzenia, częstotliwość dostępu, role użytkowników, członkostwo w grupach użytkowników oraz adres IP/reputację.

56. B. Uwierzytelnianie wieloskładnikowe oparte na aplikacji lub tokenie zapewnia, że ujawnienie hasła z powodu udanej wiadomości phishingowej nie spowoduje naruszenia poświadczeń. Wzrost złożoności haseł nie zwiększa bezpieczeństwa, ponieważ złożone hasła mogą nadal być zagrożone przez ataki typu phishing, biometryczne uwierzytelnianie wieloskładnikowe jest zazwyczaj drogie do wdrożenia i wymaga rejestracji, a jednokrotne logowanie oparte na protokole OAuth nie zapobiegnie atakom typu phishing; zamiast tego może ułatwić atakującym przechodzenie między wieloma usługami.

57. D. W ataku typu open redirect użytkownicy mogą zostać wysłani do prawdziwego serwera uwierzytelniającego, a następnie przekierowani do niezaufanego serwera za pośrednictwem przepływu OAuth. Dzieje się tak, gdy serwer uwierzytelniania nie sprawdza poprawności żądań serwera OAuth przed przekierowaniem.

58. B. Chociaż przechwytywanie pakietów może pomóc Maxowi udokumentować jego test penetracyjny i zebrać dodatkowe informacje o zdalnych systemach poprzez analizę pakietów, a także pomóc w rozwiązywaniu problemów z połączeniem i innymi problemami z siecią, sniffery nie są przydatne do samodzielnego skanowania w poszukiwaniu luk.

59. D. Rich nie powinien próbować samodzielnie rozwiązywać tego problemu ani dyktować konkretnego rozwiązania. Zamiast tego powinien współpracować z zespołem analizy biznesowej, aby znaleźć sposób zarówno na spełnienie wymagań biznesowych, jak i osiągnięcie celów bezpieczeństwa osiągniętych przez skanowanie.

60. D. Ustawa Gramm-Leach-Bliley (GLBA) dotyczy w szczególności bezpieczeństwa i prywatności informacji przechowywanych przez instytucje finansowe. HIPAA dotyczy świadczeniodawców opieki zdrowotnej. PCI DSS dotyczy wszystkich osób zaangażowanych w przetwarzanie transakcji kartami kredytowymi. Obejmuje to instytucje finansowe, ale nie ogranicza się do tych instytucji, ponieważ dotyczy również sprzedawców i dostawców usług. Sarbanes-Oxley dotyczy wszystkich spółek notowanych na giełdzie, w tym między innymi niektórych instytucji finansowych.

61. C. Zasady, które pozwalają pracownikom przynosić osobiste urządzenia do sieci firmowych, są znane jako zasady Bring Your Own Device (BYOD). Strategie COPE należące do firmy umożliwiają pracownikom korzystanie z urządzeń firmowych do użytku osobistego. SAFE nie jest strategią dotyczącą urządzeń mobilnych.

62. B. Jamal wie, że montowanie obrazów kryminalistycznych w trybie tylko do odczytu jest ważne. Aby zapobiec problemom z plikami wykonywalnymi, ustawił również zamontowany obraz na noexec . Skorzystał również z wbudowanego w polecenie mount automatycznego rozpoznawania typu systemu plików i ustawił urządzenie jako urządzenie pętlowe, umożliwiające bezpośrednią interakcję z plikami po zamontowaniu.

63. D. Luki w zabezpieczeniach Blind SQL injection są trudne do wykrycia i są znanym źródłem fałszywych pozytywnych raportów. Javier powinien zweryfikować wyniki testów przeprowadzonych przez deweloperów, ale powinien być otwarty na możliwość, że jest to fałszywie pozytywny raport, ponieważ jest to najbardziej prawdopodobny scenariusz.

64. B. netcat jest często używany jako skaner portów, gdy nie jest dostępne lepsze narzędzie do skanowania portów. Flaga -z jest trybem zerowego wejścia/wyjścia i jest używana do skanowania. Chociaż -v jest przydatne, nie jest wymagane do skanowania i samo nie zapewnia skanowania. Flaga -sS jest używana przez nmap, a nie przez netcat.

65. C. Technologia eFuse oferowana przez IBM umożliwia programistom wysyłanie poleceń do chipów komputerowych, które umożliwiają ich trwałe przeprogramowanie poprzez "przepalenie" eFuse.

66. A. Podczas testów penetracyjnych czerwoni członkowie drużyny są atakującymi, niebieska drużyna obrońcami, a biała drużyna ustala zasady zaangażowania i wskaźniki wydajności dla testu.

67. C. Lauren wie, że plik, który pobrała i obliczyła sumę kontrolną, nie pasuje do sumy kontrolnej MD5, która została obliczona przez dostawców oprogramowania. Nie wie, że plik jest uszkodzony lub że atakujący go zmodyfikowali, ale może chcieć skontaktować się z dostawcą oprogramowania, aby poinformować ich o problemie i zdecydowanie nie powinna go uruchamiać ani mu ufać!

68. C. Microsoft ogłosił koniec życia Internet Explorera i nie będzie go już wspierać w przyszłości. Jednak nadal zapewniają obsługę programu Internet Explorer 11, który jest powszechnie używany. Jest to jedyna wersja Internet Explorera obecnie uważana za bezpieczną.

69. D. Chociaż przypisanie winy na podstawie adresu IP może być kuszące, osoby atakujące często wykorzystują do ataków zhakowane systemy. Niektórzy mogą również korzystać z usług w chmurze i firm hostingowych, w których mogą kupować maszyny wirtualne lub inne zasoby za pomocą skradzionych kart kredytowych. W związku z tym znajomość adresu IP, z którego pochodził atak, zazwyczaj nie zapewnia informacji o atakującym. W niektórych przypadkach dokładniejsze badanie może określić, skąd pochodzi atak, ale nawet wtedy znajomość tożsamości atakującego rzadko jest pewna.

70. B. Auth.log będzie zawierał nowe kreacje użytkowników i dodane grupy, a także inne przydatne informacje z dołączonymi znacznikami czasu. /etc/passwd nie zawiera dat ani godzin utworzenia użytkownika. Sprawdzanie czasów tworzenia i modyfikacji plików dla katalogów domowych użytkowników i sesji Bash może być przydatne, jeśli użytkownik ma katalog użytkownika, a plik auth.log został wyczyszczony lub z jakiegoś powodu jest niedostępny.

71. B. Całkowite usunięcie systemów objętych kompromisem zapewni, że nie będą one miały wpływu na inne systemy produkcyjne organizacji. Chociaż osoby atakujące mogą być w stanie wykryć tę zmianę, zapewnia ona najlepszą możliwą ochronę systemów organizacji.

72. C. Piper powinien wdrożyć poprawkę w środowisku piaskownicy, a następnie dokładnie ją przetestować przed wydaniem w środowisku produkcyjnym. Zmniejsza to ryzyko, że łatka nie będzie działać dobrze w jej środowisku. Po prostu zwrócenie się do sprzedawcy lub odczekanie 60 dni może zidentyfikować pewne problemy, ale nie zmniejsza to w wystarczającym stopniu ryzyka, ponieważ poprawka nie zostanie przetestowana w środowisku jej firmy.

73. C. Najbardziej prawdopodobnym scenariuszem jest to, że Kent uruchomił skanowanie z sieci, która nie ma dostępu do serwera CRM. Nawet jeśli serwer wymaga silnego uwierzytelniania i/lub szyfrowania, nie zapobiegnie to wyświetlaniu portów jako otwartych podczas skanowania luk w zabezpieczeniach. Serwer CRM działa przez Internet, jak wskazano w scenariuszu. Dlatego najprawdopodobniej używa portów 80 i/lub 443, które są częścią domyślnych ustawień dowolnego skanera luk w zabezpieczeniach.

74. D. nmap zapewnia wiele trybów skanowania, w tym skanowanie TCP SYN, oznaczone flagą -sS. Jest to o wiele bardziej ukryte niż pełne skanowanie połączeń TCP, które używa flagi -sT. Wyłączenie pingów za pomocą flagi -P0 pomaga w ukrywaniu się, a ustawienie prędkości skanowania za pomocą flagi -T na 0 dla paranoi lub 1 dla podstępnego, pomoże ominąć wiele IDS poprzez spadek poniżej progu wykrywania.

75. C. Wyłączenie zbędnych usług ogranicza usługę ataku poprzez zmniejszenie liczby możliwych wektorów ataku w celu uzyskania dostępu do serwera.

76. C. Spośród wymienionych kryteriów system operacyjny zainstalowany w systemach ma najmniejsze prawdopodobieństwo, że będzie miał znaczący wpływ na prawdopodobieństwo i krytyczność wykrytych luk. Wszystkie systemy operacyjne są podatne na problemy z bezpieczeństwem.

77. A. W tym przypadku tożsamość lub lokalizacja sieciowa serwera nie ma znaczenia. Donna jest po prostu zainteresowana najbardziej krytyczną podatnością, więc powinna wybrać tę o najwyższym poziomie ważności. W systemach oceny ważności luk najbardziej krytyczne są luki o poziomie 5, a najmniej o poziomie ważności 1. Dlatego Donna powinna usunąć lukę poziomu 5 w serwerze plików.

78. A. Polityki są najwyższym elementem dokumentacji zarządzania organizacją. Są one ustalane na poziomie wykonawczym i zapewniają strategię i kierunek dla programu cyberbezpieczeństwa. Normy i procedury czerpią swój autorytet z polityk. Struktury nie są dokumentami zarządzania, ale raczej zapewniają strukturę koncepcyjną do organizowania programu. Struktury są zwykle opracowywane przez organizacje zewnętrzne, takie jak ISACA lub ITIL.

79. A. Informacje dotyczące skanowania podatności są najskuteczniejsze w rękach osób, które mogą naprawić problemy. Celem skanów nie jest "złapanie" osób, które popełniły błędy. Mateo powinien zapewnić dostęp administratorom. Zespół ds. bezpieczeństwa może zawsze monitorować system pod kątem nienaprawionych luk w zabezpieczeniach, ale nie powinien działać jako strażnik krytycznych informacji.

80. C. SNMP v3 jest aktualną wersją protokołu SNMP i zapewnia integralność wiadomości, uwierzytelnianie i możliwości szyfrowania. Mateo może nadal potrzebować informacji o tym, jak jego organizacja konfiguruje SNMP, w tym o używane przez nią łańcuchy społecznościowe. Wersje SNMP 1 i 2 nie zawierają tej możliwości, a wersja 4 nie istnieje.

81. A. Wszystkie te technologie obiecują wnieść korzyści z automatyzacji do prac związanych z bezpieczeństwem. Jednak tylko uczenie maszynowe jest w stanie zapewnić zautomatyzowany wgląd.

82. B. Ta luka powoduje problem z ujawnieniem informacji. Paul może to łatwo poprawić, wyłączając uprawnienia do wyświetlania katalogów w katalogu cgi-bin. Jest mało prawdopodobne, aby wpłynęło to na jakiekolwiek inne użycie serwera, ponieważ nie zmienia on uprawnień w samych skryptach CGI. Zablokowanie dostępu do serwera WWW i usunięcie CGI z serwera również rozwiązałoby tę lukę, ale prawdopodobnie miałoby niepożądany wpływ na biznes.

83. C. Obserwowalne zdarzenia są klasyfikowane jako zdarzenia w schemacie NIST′u. Zdarzenia o negatywnych skutkach uważane są za zdarzenia niepożądane, natomiast naruszenia (lub zdarzenia mające bezpośrednie zagrożenie naruszeniami) są klasyfikowane jako incydenty bezpieczeństwa.

84. A. To jest prawidłowy wynik wyszukiwania DNS z dig . W tym żądaniu kopania serwer DNS znajdujący się pod adresem 172.30.0.2 odpowiedział na żądanie Mei i odpowiedział, że serwer comptia.org znajduje się pod adresem 198.134.5.6.

85. C. Najbardziej prawdopodobnym problemem jest to, że system zapobiegania włamaniom wykrywa skanowanie jako atak i blokuje skaner. Gdyby to był problem hosta lub zapory sieciowej, Fran najprawdopodobniej nie byłby w stanie uzyskać dostępu do serwera za pomocą przeglądarki internetowej. Jest mniej prawdopodobne, że skanowanie jest błędnie skonfigurowane, biorąc pod uwagę, że Fran dwukrotnie sprawdził konfigurację.




[ 1251 ]