Spis Treści
• Test Penetracyjny NESSUS
• Test Penetracyjny BACKBOX
• Test Penetracyjny BASH SHELL
• Test Penetracyjny METASPLOIT
"Certyfikat CISSP jest niezależnym i obiektywnym świadectwem eksperckim w dziedzinie bezpieczeństwa teleinformatycznego. W czerwcu 2004 roku CISSP został pierwszym certyfikatem spełniającym standard ISO 17024:2003 oraz akredytowanym przez ANSI." - Wikipedia
Zend
Test penetracyjny - proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń. Wikipedia
Test praktyczny 2
1. James opracowuje plan odzyskiwania danych po awarii dla swojej organizacji i chciałby określić dopuszczalny poziom utraty danych po awarii. Jaką zmienną James określa?
A. SLA
B. RTO
C. MTD
D. RPO
2. Fred musi wdrożyć urządzenie sieciowe, które połączy jego sieć z innymi sieciami, jednocześnie kontrolując ruch w swojej sieci. Jaki typ urządzenia jest najlepszym wyborem Freda?
A. Przełącznik
B. Most
C. Bramę
D. Router
3. Alex przygotowuje się do składania ofert na test penetracyjny sieci i systemów swojej firmy. Chce zmaksymalizować efektywność testów, a nie ich realizm. Jakiego rodzaju testu penetracyjnego powinien wymagać w procesie przetargowym?
A. Czarna skrzynka
B. Kryształowa skrzynka
C. Szara skrzynka
D. Zerowa skrzynka
4. Informacje o banerze aplikacji są zazwyczaj rejestrowane podczas której fazy testów penetracyjnych?
A. Planowanie
B. Atak
C. Raportowanie
D. Odkrywanie
5. Jaka jest domyślna maska podsieci dla sieci klasy B?
A. 255.0.0.0
B. 255.255.0.0
C. 255.254.0.0
D. 255.255.255.0
6. Jim został poproszony o indywidualną identyfikację urządzeń, które użytkownicy przynoszą do pracy w ramach nowej polityki BYOD. Urządzenia nie będą podłączone do centralnego systemu zarządzania, takiego jak Active Directory, ale nadal musi jednoznacznie identyfikować systemy. Która z poniższych opcji zapewni Jimowi najlepszy sposób niezawodnej identyfikacji każdego unikalnego urządzenia?
A. Rejestrowanie adresu MAC każdego systemu.
B. Wymaganie od użytkowników wypełnienia formularza w celu rejestracji każdego systemu.
C. Przeskanowanie każdego systemu za pomocą skanera portów.
D. Wykorzystanie odcisku palca urządzenia za pośrednictwem internetowego systemu rejestracji.
7. David pracuje w organizacji, która korzysta z formalnego programu zarządzania danymi. Konsultuje się z pracownikiem pracującym nad projektem, który stworzył zupełnie nową klasę danych i chce współpracować z odpowiednią osobą w celu przypisania poziomu klasyfikacji do tych informacji. Kto jest odpowiedzialny za przypisanie informacji do poziomu klasyfikacji?
A. Twórca danych
B. Właściciel danych
C. CISO
D. Opiekun danych
8. Jaki typ pakietu przychodzącego jest charakterystyczny dla ataku typu ping flood?
A. Żądanie echa ICMP
B. Odpowiedź echa ICMP
C. Adresat ICMP niedostępny
D. Zmieniona trasa ICMP
9. Gabe jest zaniepokojony bezpieczeństwem haseł, które stanowią podstawę programu bezpieczeństwa informacji w jego organizacji. Która z poniższych kontroli zapewniłaby Gabe′owi największą poprawę w zakresie uwierzytelniania użytkowników?
A. Bardziej złożone hasła
B. Edukacja użytkowników w zakresie inżynierii społecznej
C. Uwierzytelnianie wieloskładnikowe
D. Dodanie pytań bezpieczeństwa opartych na wiedzy użytkownika
10. Oddzielenie infrastruktury sieciowej od warstwy sterowania, w połączeniu z możliwością centralnego programowania projektu sieci w niezależnej od dostawcy, opartej na standardach implementacji, jest przykładem jakiej ważnej koncepcji?
A. MPLS, sposób na zastąpienie długich adresów sieciowych krótszymi etykietami i obsługę szerokiej gamy protokołów
B. FCoE, protokół konwergentny, który umożliwia działanie popularnych aplikacji przez Ethernet
C. SDN, protokół konwergentny, który umożliwia wirtualizację sieci
D. CDN, protokół konwergentny, który udostępnia popularne projekty sieci
11. Susan przygotowuje się do wycofania z użytku archiwalnych nośników DVD-ROM swojej organizacji, które zawierają ściśle tajne dane. Jak powinna zapewnić, że dane nie zostaną ujawnione?
A. Rozmagnesowanie
B. Zerowanie
C. Rozdrobnienie
D. Bezpieczne kasowanie
12. Jaki jest końcowy etap Modelu Dojrzałości Oprogramowania (SW-CMM)?
A. Powtarzalny
B. Zdefiniowany
C. Zarządzany
D. Optymalizacja
13. Angie konfiguruje monitorowanie ruchu wychodzącego w swojej sieci, aby zapewnić dodatkowe bezpieczeństwo. Któremu z poniższych typów pakietów Angie powinna pozwolić opuścić sieć i skierować się do Internetu?
A. Pakiety z adresem źródłowym z publicznego bloku adresów IP Angie
B. Pakiety z adresem docelowym z publicznego bloku adresów IP Angie
C. Pakiety z adresem źródłowym spoza bloku adresów Angie
D. Pakiety z adresem źródłowym z prywatnego bloku adresów Angie
14. Matt przeprowadza test penetracyjny na serwerze Linux i uzyskał dostęp do konta administracyjnego. Chciałby teraz uzyskać skróty haseł do wykorzystania w ataku siłowym. Gdzie najprawdopodobniej znajdzie skróty, zakładając, że system jest skonfigurowany zgodnie z nowoczesnymi standardami bezpieczeństwa?
A. /etc/passwd
B. /etc/hash
C. /etc/secure
D. /etc/shadow
15. Theresa wdraża nowy system kontroli dostępu i chce się upewnić, że programiści nie będą mogli przenosić kodu z systemów programistycznych do środowiska produkcyjnego. Jaką zasadę bezpieczeństwa informacji egzekwuje ona najbardziej bezpośrednio?
A. Podział obowiązków
B. Kontrola dwuosobowa
C. Najmniejsze uprawnienia
D. Rotacja zadań
16. Które z poniższych narzędzi można wykorzystać do osiągnięcia celu niezaprzeczalności?
A. Podpis cyfrowy
B. Szyfrowanie symetryczne
C. Zapora sieciowa
D. IDS
17. Co na schemacie trójetapowego uzgadniania TCP powinien wysłać system A do systemu B w kroku 3?
A. ACK
B. SYN
C. FIN
D. RST
18. Jaka alternatywa dla protokołu RADIUS jest powszechnie używana w urządzeniach sieciowych Cisco i obsługuje uwierzytelnianie dwuskładnikowe?
A. RADIUS+
B. TACACS+
C. XTACACS
D. Kerberos
19. Na jakie dwa rodzaje ataków menedżery połączeń VoIP i telefony VoIP są najbardziej podatne?
A. DoS i złośliwe oprogramowanie
B. Robaki i trojany
C. DoS i ataki na system operacyjny hosta
D. Ataki na system operacyjny hosta i przepełnienia bufora
20. Vivian pracuje w sieci sklepów detalicznych i chciałaby korzystać z oprogramowania, które ograniczałoby oprogramowanie używane w terminalach POS do pakietów znajdujących się na wstępnie zatwierdzonej liście. Jakie podejście powinna zastosować Vivian?
A. Antywirus
B. Heurystyczny
C. Biała lista
D. Czarna lista
Pytania 21-23 odnoszą się do następującego scenariusza. Hunter jest kierownikiem obiektu w DataTech, dużej firmie zarządzającej centrami danych. Ocenia instalację systemu zapobiegającego powodziom w jednym z obiektów DataTech. Wartość obiektu i jego wyposażenia wynosi 100 milionów dolarów. Instalacja nowego systemu zapobiegającego powodziom kosztowałaby 10 milionów dolarów. Hunter skonsultował się z ekspertami ds. powodzi i ustalił, że obiekt znajduje się na obszarze zalewowym o 200-letnim okresie zalewowym i że w przypadku wystąpienia powodzi straty w obiekcie mogą wynieść 20 milionów dolarów.
21. Na podstawie informacji zawartych w tym scenariuszu, jaki jest współczynnik narażenia na skutki powodzi w centrum danych DataTech?
A. 2%
B. 20%
C. 100%
D. 200%
22. Na podstawie informacji zawartych w tym scenariuszu, jaki jest roczny wskaźnik występowania powodzi w centrum danych DataTech?
A. 0,002
B. 0,005
C. 0,02
D. 0,05
23. Na podstawie informacji zawartych w tym scenariuszu, jaka jest roczna przewidywana strata w przypadku powodzi w centrum danych DataTech?
A. 40 000 USD
B. 100 000 USD
C. 400 000 USD
D. 1 000 000 USD
24. Które konta są zazwyczaj oceniane podczas oceny zarządzania kontami?
A. Próba losowa
B. Konta o wysokich uprawnieniach
C. Konta utworzone niedawno
D. Konta istniejące od dłuższego czasu
25. W modelu współodpowiedzialności, w którym poziomie chmury obliczeniowej klient bierze odpowiedzialność za bezpieczeństwo systemów operacyjnych serwerów?
A. IaaS
B. PaaS
C. SaaS
D. TaaS
26. Jakiego rodzaju błąd występuje, gdy ważny podmiot korzystający z uwierzytelniacza biometrycznego nie zostanie uwierzytelniony?
A. Błąd typu 1
B. Błąd typu 2
C. Błąd typu 3
D. Błąd typu 4
27. Jackie tworzy bazę danych zawierającą tabelę "Klienci", widoczną tutaj. Projektuje nową tabelę zawierającą zamówienia i planuje użyć identyfikatora firmy w tej tabeli do jednoznacznej identyfikacji klienta powiązanego z każdym zamówieniem. Jaką rolę odgrywa pole "Identyfikator firmy" w tabeli "Zamówienia"?
A. Klucz podstawowy
B. Klucz obcy
C. Klucz kandydujący
D. Klucz referencyjny
28. Jakie trzy typy interfejsów są zazwyczaj testowane podczas testowania oprogramowania?
A. Interfejsy sieciowe, fizyczne i aplikacyjne
B. Interfejsy API, interfejsy użytkownika (UI) i interfejsy fizyczne
C. Interfejsy sieciowe, interfejsy API i interfejsy użytkownika (UI)
D. Interfejsy aplikacji, programowe i użytkownika
29. George pomaga prokuratorowi w sprawie przeciwko hakerowi, który próbował włamać się do systemów komputerowych firmy George′a. George dostarcza prokuratorowi logi systemowe jako dowód, ale prokurator nalega, aby George zeznawał w sądzie na temat sposobu, w jaki zebrał logi. Jaka zasada dowodowa wymaga zeznań George′a?
A. Zasada dowodu z zeznań świadków
B. Zasada dowodu warunkowego
C. Zasada najlepszego dowodu
D. Zasada pogłosek
30. Która z poniższych zasad nie jest prawidłowa dla kluczowych wskaźników ryzyka?
A. Ostrzegaj przed wystąpieniem problemów.
B. Dostarczaj informacji o reagowaniu na incydenty w czasie rzeczywistym.
C. Przedstaw historyczne spojrzenie na przeszłe ryzyka.
D. Przedstaw wgląd w tolerancję ryzyka w organizacji.
31. Który z poniższych typów złośliwego oprogramowania wykorzystuje wbudowane mechanizmy propagacji, wykorzystujące luki w zabezpieczeniach systemu, aby się rozprzestrzeniać?
A. Koń trojański
B. Robak
C. Bomba logiczna
D. Wirus
32. Firma Dona rozważa wykorzystanie obiektowego systemu pamięci masowej, w którym dane są umieszczane w zarządzanym przez dostawcę środowisku pamięci masowej za pomocą wywołań API. Jaki rodzaj usługi przetwarzania w chmurze jest wykorzystywany?
A. IaaS
B. PaaS
C. CaaS
D. SaaS
33. W jakim modelu przetwarzania w chmurze dwie lub więcej organizacji współpracuje, aby zbudować współdzielone środowisko przetwarzania w chmurze do własnego użytku?
A. Chmura publiczna
B. Chmura prywatna
C. Chmura społecznościowa
D. Chmura współdzielona
34. Która z poniższych zasad nie jest zasadą podejścia Agile do tworzenia oprogramowania?
A. Najskuteczniejszą metodą przekazywania informacji jest droga elektroniczna.
B. Działające oprogramowanie jest głównym miernikiem postępu.
C. Prostota jest kluczowa.
D. Przedsiębiorcy i programiści muszą codziennie ze sobą współpracować.
35. Harry obawia się, że księgowi w jego organizacji będą wykorzystywać ataki polegające na wyłudzaniu danych, aby ukryć oszukańcze działania na kontach, do których normalnie mają dostęp. Która z poniższych kontroli zapewni najlepszą ochronę przed tego typu atakami?
A. Szyfrowanie
B. Kontrola dostępu
C. Weryfikacja integralności
D. Zapory sieciowe
36. Jaka klasa gaśnicy jest w stanie ugasić pożary elektryczne?
A. Klasa A
B. Klasa B
C. Klasa C
D. Klasa D
37. Jaki ważny czynnik odróżnia Frame Relay od X.25?
A. Frame Relay obsługuje wiele obwodów PVC w jednym połączeniu WAN.
B. Frame Relay to technologia przełączania komórek, a nie technologia przełączania pakietów, taka jak X.25.
C. Frame Relay nie zapewnia gwarantowanej szybkości transmisji informacji (CIR).
D. Frame Relay wymaga jedynie urządzenia DTE po stronie dostawcy. Korzystając z poniższej tabeli i swojej wiedzy na temat procesu audytu, odpowiedz na pytania 38-40.
38. Przygotowując się do migracji swojego centrum danych do dostawcy infrastruktury jako usługi (IaaS), firma Susan chce zrozumieć skuteczność kontroli bezpieczeństwa, integralności i dostępności nowego dostawcy. Jaki raport SOC zapewniłby im najwięcej szczegółów?
A. SOC 1
B. SOC 2
C. SOC 3
D. Żaden z raportów SOC nie jest do tego odpowiedni i powinni poprosić o inną formę raportu.
39. Susan chce mieć pewność, że raport z audytu, o który poprosiła jej organizacja, zawiera dane od audytora zewnętrznego. Jakiego rodzaju raportu powinna zażądać?
A. SOC 2, Typ 1
B. SOC 3, Typ 1
C. SOC 2, Typ 2
D. SOC 3, Typ 2
40. Kiedy Susan zażąda raportu SOC2, otrzymają raport SAS70. Jaką kwestię powinna poruszyć Susan?
A. Standard SAS 70 nie obejmuje raportów typu 2, więc ocena kontroli jest dokonywana jedynie w określonym momencie.
B. Standard SAS 70 został zastąpiony.
C. Standard SAS 70 to standard sprawozdawczości finansowej i nie obejmuje centrów danych.
D. Standard SAS 70 wykorzystuje jedynie 3-miesięczny okres testowania.
41. Jakie dwie logiczne topologie sieciowe można fizycznie zaimplementować jako topologię gwiazdy?
A. Magistrala i siatka
B. Pierścień i siatka
C. Magistrala i pierścień
D. Nie można zaimplementować innych topologii jako gwiazdy.
42. Przykładem jakiego typu modelu kontroli dostępu jest Bell-LaPadula?
A. DAC
B. RBAC
C. MAC
D. ABAC
43. Martha jest inspektorem bezpieczeństwa informacji w małej uczelni i odpowiada za ochronę prywatności danych studentów. Które prawo ma bezpośrednie zastosowanie w jej sytuacji?
A. HIPAA
B. HITECH
C. COPPA
D. FERPA
44. Które prawo USA nakazuje ochronę chronionych informacji medycznych?
A. FERPA
B. Ustawa SAFE
C. GLBA
D. HIPAA
45. Jaki typ rekordu audytu systemu Windows opisuje zdarzenia takie jak wyłączenie systemu operacyjnego lub zatrzymanie usługi?
A. Dziennik aplikacji
B. Dziennik bezpieczeństwa
C. Dziennik systemowy
D. Dziennik konfiguracji
46. Zuzanna konfiguruje swoje urządzenia sieciowe do korzystania z dziennika systemowego. Co powinna ustawić, aby otrzymywać powiadomienia o problemach, ale nie otrzymywać normalnych komunikatów o problemach operacyjnych?
A. Kod obiektu
B. Priorytet dziennika
C. Poziom bezpieczeństwa
D. Poziom ważności
47. Jaki poziom RAID jest również znany jako dublowanie dysku?
A. RAID 0
B. RAID 1
C. RAID 3
D. RAID 5
48. Jaki typ zapory sieciowej wykorzystuje wiele serwerów proxy, które filtrują ruch na podstawie analizy protokołów używanych dla każdej usługi?
A. Zapora sieciowa z filtrowaniem pakietów statycznych
B. Zapora sieciowa na poziomie aplikacji
C. Zapora sieciowa na poziomie obwodów
D. Zapora sieciowa z inspekcją stanu
49. Ankiety, wywiady i audyty to przykłady sposobów pomiaru tego, co jest ważne w kontekście bezpieczeństwa organizacji?
A. Jakość kodu
B. Luki w zabezpieczeniach usługi
C. Świadomość
D. Powierzchnia ataku
50. Tom jest głównym radcą prawnym dostawcy usług internetowych i niedawno otrzymał zawiadomienie o pozwie przeciwko firmie z powodu treści chronionych prawem autorskim, nielegalnie przesyłanych przez sieć dostawcy przez klienta. Jakie prawo chroni firmę Toma w tym przypadku?
A. Ustawa o oszustwach komputerowych i nadużyciach
B. Ustawa o prawach autorskich w erze cyfrowej
C. Ustawa o podsłuchu
D. Kodeks praw autorskich
51. Jakim typem uwierzytelniacza jest czynnik uwierzytelniania typu 2, który generuje dynamiczne hasła w oparciu o system oparty na gorytmie czasowym?
A. PIV
B. Karta inteligentna
C. Token
D. CAC
52. Nowy pracodawca Freda zatrudnił go na stanowisku z dostępem do tajemnic handlowych i poufnych danych wewnętrznych. Z jakiego narzędzia prawnego powinni skorzystać, aby chronić swoje dane, jeśli Fred zdecyduje się odejść do konkurencji?
A. Zlecenie stop-loss
B. NDA
C. AUP
D. Szyfrowanie
53. Który z poniższych modeli obliczeniowych umożliwia wykonywanie wielu procesów na jednym procesorze, umożliwiając systemowi operacyjnemu przełączanie się między nimi bez konieczności modyfikacji aplikacji?
A. Wielozadaniowość
B. Wieloprzetwarzanie
C. Wieloprogramowanie
D. Wielowątkowość
54. Ile możliwych kluczy istnieje przy użyciu algorytmu kryptograficznego z 8-bitowym kluczem szyfrowania binarnego?
A. 16
B. 128
C. 256
D. 512
55. Jakie działania są wykonywane podczas stosowania kontroli bezpieczeństwa w oparciu o specyficzne potrzeby systemu informatycznego, do którego będą one stosowane?
A. Standaryzacja
B. Ustalanie poziomu odniesienia
C. Zakres
D. Dostosowywanie
56. Na jakim etapie procesu elektronicznego ujawniania informacji organizacja dokonuje wstępnego podziału zebranych informacji, aby odrzucić informacje nieistotne?
A. Konserwacja
B. Identyfikacja
C. Gromadzenie
D. Przetwarzanie
57. Zadaniem Bena jest zapewnienie, że dane są oznaczone odpowiednią etykietą poufności. Ponieważ Ben pracuje dla rządu USA, musi stosować etykiety Nieklasyfikowane, Poufne, Tajne i Ściśle Tajne do systemów i nośników. Jeśli Ben zostanie poproszony o oznaczenie systemu, który przetwarza informacje Tajne, Poufne i Nieklasyfikowane, jak powinien to zrobić?
A. Klasyfikacja mieszana
B. Poufne
C. Ściśle tajne
D. Tajne
58. Susan odkryła, że zamki na karty inteligentne, używane do ochrony obiektu, w którym pracuje, są nieskuteczne, ponieważ pracownicy podtrzymują drzwi otwarte. Umieszcza na drzwiach znaki przypominające personelowi, że pozostawienie otwartych drzwi stwarza zagrożenie bezpieczeństwa, i dodaje alarmy, które włączają się, jeśli drzwi pozostaną otwarte dłużej niż pięć minut. Jakie środki kontroli wdrożyła?
A. Fizyczne
B. Administracyjne
C. Wynagrodzenie
D. Odzyskiwanie
59. Ben obawia się ataków polegających na łamaniu haseł na jego system. Chciałby wdrożyć środki kontroli, które uniemożliwią atakującemu, który uzyskał te hasze, ich łatwe złamanie. Jakie dwa środki kontroli najlepiej spełniłyby ten cel?
A. Dłuższe hasła i solenie
B. Szyfrowanie bezprzewodowe i użycie algorytmu SHA1 zamiast MD5
C. Solenie i użycie algorytmu MD5
D. Korzystanie z haseł ukrytych i solenie
60. Która grupa jest najlepiej przygotowana do oceny i raportowania skuteczności kontroli administracyjnych wdrożonych przez organizację osobom trzecim?
A. Audytorzy wewnętrzni
B. Testerzy penetracyjni
C. Audytorzy zewnętrzni
D. Pracownicy, którzy projektują, wdrażają i monitorują kontrole
61. Renee używa szyfrowania do ochrony poufnych tajemnic firmowych podczas przesyłania ich przez Internet. Jaki wskaźnik ryzyka próbuje obniżyć?
A. Prawdopodobieństwo
B. RTO (Return to Process)
C. MTO (MTO)
D. Wpływ
62. W ramach zatrudniania nowego pracownika zespół zarządzania tożsamościami Kathleen tworzy nowy obiekt użytkownika i upewnia się, że obiekt użytkownika jest dostępny w katalogach i systemach, w których jest potrzebny. Jak nazywa się ten proces?
A. Rejestracja
B. Udostępnianie
C. Populacja
D. Ładowanie uwierzytelniacza
63. Ricky chciałby uzyskać dostęp do zdalnego serwera plików za pośrednictwem połączenia VPN. Rozpoczyna ten proces od połączenia się z VPN i próby zalogowania. Stosując model podmiot/obiekt do tego żądania, co jest przedmiotem próby logowania Ricky′ego?
A. Ricky
B. VPN
C. Zdalny serwer plików
D. Pliki zawarte na zdalnym serwerze
64. Alice projektuje system kryptograficzny dla sześciu użytkowników i chciałaby użyć algorytmu szyfrowania asymetrycznego. Chce, aby dwaj użytkownicy mogli komunikować się ze sobą bez obawy o podsłuchiwanie przez trzeciego użytkownika. Ile symetrycznych kluczy szyfrujących będzie musiała wygenerować?
A. 6
B. 12
C. 15
D. 30
65. Który z poniższych mechanizmów ochrony własności intelektualnej ma najkrótszy czas obowiązywania?
A. Prawa autorskie
B. Patent
C. Znak towarowy
D. Tajemnica handlowa
66. Gordon opracowuje plan ciągłości działania dla działu IT firmy produkcyjnej. Firma znajduje się w Dakocie Północnej i obecnie ocenia ryzyko wystąpienia trzęsienia ziemi. Zdecydowała się na strategię akceptacji ryzyka. Które z poniższych działań jest zgodne z tą strategią?
A. Wykupienie ubezpieczenia od trzęsienia ziemi
B. Przeniesienie centrum danych w bezpieczniejsze miejsce
C. Udokumentowanie procesu decyzyjnego
D. Przebudowa obiektu w celu zapewnienia odporności na wstrząsy wywołane trzęsieniem ziemi
67. Carol chciałaby wdrożyć mechanizm kontroli, który chroniłby jej organizację przed chwilową utratą zasilania w centrum danych. Która kontrola jest najodpowiedniejsza dla jej potrzeb?
A. Serwery redundantne
B. RAID
C. UPS
D. Generator
68. Ben napotkał problemy z użytkownikami w swojej organizacji, którzy wielokrotnie używali haseł, pomimo wymogu zmiany haseł co 30 dni. Jakiego typu ustawienia haseł powinien zastosować Ben, aby zapobiec temu problemowi?
A. Dłuższy minimalny wiek
B. Większa złożoność haseł
C. Wdrożenie historii haseł
D. Wdrożenie wymagań dotyczących długości haseł
69. Chris przeprowadza ocenę ryzyka dla swojej organizacji i określił skalę szkód, jakie pojedyncza powódź może spowodować w jego obiektach. Jaki wskaźnik zidentyfikował Gordon?
A. ALE
B. SLE
C. ARO
D. AV
70. Przykładem jakiego rodzaju działania jest wyjęcie dysku twardego z komputera przed wycofaniem go z eksploatacji i sprzedażą jako nadwyżki?
A. Czyszczenie
B. Sanityzacja
C. Rozmagnesowanie
D. Zniszczenie
71. Na jakim etapie procesu reagowania na incydent organizacja ustala, czy jest zobowiązana powiadomić organy ścigania lub inne organy regulacyjne o incydencie?
A. Wykrywanie
B. Odzyskiwanie
C. Naprawa
D. Raportowanie
72. Jaki standardowy język znaczników OASIS jest używany do generowania żądań provisioningu zarówno w obrębie organizacji, jak i dla podmiotów zewnętrznych?
A. SAML
B. SPML
C. XACML
D. SOA
73. Który z poniższych mechanizmów pamięci masowej nie jest uważany za pamięć dodatkową?
A. Magnetyczny dysk twardy
B. Dysk SSD
C. DVD
D. Pamięć RAM
74. Serwer SMTP Susan nie uwierzytelnia nadawców przed akceptacją i przekazywaniem wiadomości e-mail. Jak nazywa się ten problem z konfiguracją zabezpieczeń?
A. Brama poczty e-mail
B. Przekaźnik SMTP
C. Brama zgodna ze standardem X.400
D. Przekaźnik otwarty
Duża firma, dla której pracuje Jack, od lat korzysta z niescentralizowanego rejestrowania. Niedawno rozpoczęli wdrażanie scentralizowanego rejestrowania i podczas przeglądania logów odkryli naruszenie, które prawdopodobnie było spowodowane przez złośliwego użytkownika wewnętrznego. Użyj tego scenariusza, aby odpowiedzieć na pytania od 75 do 77 dotyczące środowisk rejestrowania.
75. Po wykryciu naruszenia i przejrzeniu logów okazało się, że atakujący usunął logi z systemu, który naruszył. Jak można temu zapobiec w przyszłości?
A. Szyfrować logi lokalne
B. Wymagać dostępu administracyjnego do zmiany logów
C. Włączyć rotację logów
D. Wysyłać logi do hosta bastionowego
76. W jaki sposób Jacek może wykrywać takie problemy, korzystając z nowego scentralizowanego rejestrowania w swojej organizacji?
A. Wdrożyć i używać systemu IDS
B. Wysyłać logi do centralnego serwera rejestrowania
C. Wdrożyć i używać systemu SIEM
D. Używać syslog
77. W jaki sposób Jacek może najlepiej zapewnić rozliczalność za działania podejmowane w systemach w swoim środowisku?
A. Przejrzeć log i wymagać podpisów cyfrowych dla każdego logu.
B. Wymagaj uwierzytelniania dla wszystkich podejmowanych działań i centralnie przechwytuj logi.
C. Rejestruj użycie danych administracyjnych i szyfruj przesyłane dane.
D. Wymagaj autoryzacji i centralnie przechwytuj logi.
78. Organizacja Eda ma 5 adresów IP przydzielonych przez dostawcę usług internetowych (ISP), ale musi podłączyć do internetu ponad 100 komputerów i urządzeń sieciowych. Jakiej technologii może użyć, aby połączyć całą swoją sieć za pomocą ograniczonego zestawu adresów IP, z którego może korzystać?
A. IPSec
B. PAT
C. SDN
D. IPX
79. Jakiemu rodzajowi ataku pomogą zapobiec poniższe środki ostrożności? Żądanie dowodu tożsamości Wymaganie autoryzacji oddzwaniania w przypadku żądań głosowych Brak zmiany haseł za pośrednictwem komunikacji głosowej
A. Ataki DoS
B. Robaki
C. Inżynieria społeczna
D. Podglądanie przez ramię
80. Organizacja Freda musi używać protokołu non-IP w swojej sieci VPN. Który z popularnych protokołów VPN powinien wybrać, aby natywnie obsługiwać protokoły non-IP?
A. PPTP
B. L2F
C. L2TP
D. IPSec
81. Dane resztkowe to inne określenie na rodzaj danych pozostających po próbach ich usunięcia?
A. Dane resztkowe
B. MBR
C. Bitrot
D. Dane resztkowe
82. Który z poniższych typów testów odzyskiwania po awarii obejmuje faktyczną aktywację mechanizmu odzyskiwania po awarii?
A. Test symulacyjny
B. Ćwiczenie symulacyjne
C. Test równoległy
D. Przegląd listy kontrolnej
83. Jaki system kontroli dostępu pozwala właścicielom decydować, kto ma dostęp do należących do nich obiektów?
A. Kontrola dostępu oparta na rolach
B. Kontrola dostępu oparta na zadaniach
C. Dyskrecjonalna kontrola dostępu
D. Kontrola dostępu oparta na regułach
84. Wykorzystanie zaufanego kanału i szyfrowania łącza to sposoby zapobiegania jakiemu typowi ataku kontroli dostępu?
A. Atak siłowy (brute force)
B. Sfałszowane ekrany logowania
C. Ataki typu Man-in-the-middle
D. Ataki słownikowe
85. Który z poniższych nie należy do kanonów Kodeksu Etyki (ISC)2?
A. Chroń społeczeństwo, dobro wspólne, niezbędne zaufanie publiczne i infrastrukturę.
B. Postępuj honorowo, uczciwie, sprawiedliwie, odpowiedzialnie i zgodnie z prawem.
C. Zapewnij sumienną i kompetentną obsługę przełożonych.
D. Prowadź rzetelną dokumentację wszystkich dochodzeń i ocen.
86. Który z poniższych elementów powinien zostać uwzględniony w wytycznych organizacji dotyczących reagowania kryzysowego?
A. Procedury natychmiastowego reagowania
B. Długoterminowe protokoły ciągłości działania
C. Procedury aktywacji dla lokalizacji zimnych w organizacji
D. Dane kontaktowe do zamawiania sprzętu
87. Ben pracuje nad integracją federacyjnego systemu zarządzania tożsamością i musi wymieniać informacje uwierzytelniające i autoryzacyjne dla jednokrotnego logowania w przeglądarce. Jaka technologia jest dla niego najlepszym rozwiązaniem?
A. HTML
B. XACML
C. SAML
D. SPML
88. Jaki jest minimalny odstęp czasu, w którym organizacja powinna przeprowadzać szkolenia odświeżające z planu ciągłości działania dla osób pełniących określone role w zakresie ciągłości działania?
A. Tygodniowo
B. Miesięcznie
C. Półrocznie
D. Rocznie
89. Jaka jest minimalna liczba kluczy kryptograficznych niezbędnych do osiągnięcia silnego bezpieczeństwa przy użyciu algorytmu 3DES?
A. 1
B. 2
C. 3
D. 4
90. Jakim typem adresu jest 10.11.45.170?
A. Publiczny adres IP
B. Adres RFC 1918
C. Adres APIPA
D. Adres pętli zwrotnej
91. Lauren chce monitorować swoje serwery LDAP, aby zidentyfikować typy zapytań powodujących problemy. Jakiego rodzaju monitorowania powinna użyć, jeśli chce móc korzystać z serwerów produkcyjnych i rzeczywistego ruchu do testów?
A. Aktywny
B. W czasie rzeczywistym
C. Pasywny
D. Odtwarzanie
92. Steve opracowuje procedurę walidacji danych wejściowych, która ochroni bazę danych obsługującą aplikację internetową przed atakiem typu SQL injection. Gdzie Steve powinien umieścić kod walidacji danych wejściowych?
A. JavaScript osadzony na stronach internetowych
B. Kod zaplecza na serwerze internetowym
C. Procedura składowana w bazie danych
D. Kod w przeglądarce internetowej użytkownika
93. Ben wybiera algorytm szyfrowania do zastosowania w organizacji zatrudniającej 10 000 pracowników. Musi ułatwić komunikację między dowolnymi dwoma pracownikami w organizacji. Który z poniższych algorytmów pozwoliłby mu osiągnąć ten cel, poświęcając jak najmniej czasu na zarządzanie kluczami?
A. RSA
B. IDEA
C. 3DES
D. Skipjack
94. Grace rozważa wprowadzenie w swojej organizacji nowych kart identyfikacyjnych, które będą wykorzystywane do kontroli dostępu fizycznego. Natrafia na przykładową kartę pokazaną tutaj i nie jest pewna, jakiej technologii używa. Jakiego rodzaju jest to karta?
A. Karta inteligentna
B. Karta fazy drugiej
C. Karta zbliżeniowa
D. Karta z paskiem magnetycznym
95. Jaki typ pliku dziennika przedstawiono na tym rysunku?
A. Aplikacja
B. Serwer WWW
C. System
D. Zapora sieciowa
96. Która z poniższych czynności przekształca lukę zero-day w mniej niebezpieczny wektor ataku?
A. Wykrycie luki
B. Wdrożenie szyfrowania warstwy transportowej
C. Rekonfiguracja zapory sieciowej
D. Wydanie poprawki bezpieczeństwa
97. Która z poniższych czynności jest przykładem zabezpieczenia, które mogłoby wzmocnić istniejące zasoby fizyczne organizacji i uniknąć wdrożenia planu ciągłości działania?
A. Załatanie przeciekającego dachu
B. Przegląd i aktualizacja list kontroli dostępu zapory sieciowej
C. Aktualizacja systemów operacyjnych
D. Wdrożenie systemu wykrywania włamań do sieci
98. Zuzanna chce monitorować ruch między systemami w środowisku VMWare. Jakie rozwiązanie byłoby dla niej najlepszą opcją monitorowania tego ruchu?
A. Użyć tradycyjnego sprzętowego systemu IPS.
B. Zainstaluj Wiresharka na każdym systemie wirtualnym.
C. Skonfiguruj wirtualny port rozpiętości i przechwyć dane za pomocą systemu IDS maszyny wirtualnej.
D. Użyj netcata do przechwytywania całego ruchu przesyłanego między maszynami wirtualnymi.
Pytania 99-102 odnoszą się do następującego scenariusza. Matthew i Richard to przyjaciele, którzy znajdują się w różnych lokalizacjach i chcieliby rozpocząć komunikację za pomocą kryptografii, aby chronić poufność swojej komunikacji. Wymieniają się certyfikatami cyfrowymi, aby rozpocząć ten proces i planują użyć algorytmu szyfrowania asymetrycznego do bezpiecznej wymiany wiadomości e-mail.
99. Kiedy Matthew wysyła Richardowi wiadomość, jakiego klucza powinien użyć do jej zaszyfrowania?
A. Klucz publiczny Matthew
B. Klucz prywatny Matthew
C. Klucz publiczny Richarda
D. Klucz prywatny Richarda
100. Kiedy Richard otrzyma wiadomość od Matthew, jakiego klucza powinien użyć do jej odszyfrowania?
A. Klucz publiczny Matthew
B. Klucz prywatny Matthew
C. Klucz publiczny Richarda
D. Klucz prywatny Richarda
101. Mateusz chciałby zwiększyć bezpieczeństwo swojej komunikacji, dodając podpis cyfrowy do wiadomości. Jaki cel kryptografii mają egzekwować podpisy cyfrowe?
A. Tajność
B. Dostępność
C. Poufność
D. Niezaprzeczalność
102. Jakiego klucza szyfrującego używa Mateusz, aby utworzyć podpis cyfrowy?
A. Klucz publiczny Mateusza
B. Klucz prywatny Mateusza
C. Klucz publiczny Richarda
D. Klucz prywatny Richarda
103. Gdy Mateusz loguje się do systemu, jego hasło jest porównywane z wartością haszowaną przechowywaną w bazie danych. Na czym polega ten proces?
A. Identyfikacja
B. Haszowanie
C. Tokenizacja
D. Uwierzytelnianie
104. Jaka jest główna zaleta zdecentralizowanej kontroli dostępu?
A. Zapewnia lepszą redundancję.
B. Zapewnia kontrolę dostępu osobom znajdującym się bliżej zasobów.
C. Jest tańsza.
D. Zapewnia bardziej szczegółową kontrolę dostępu.
105. Który z poniższych typów kontroli nie opisuje pułapki na mantrap?
A. Odstraszający
B. Zapobiegawczy
C. Kompensacyjny
D. Fizyczny
106. Organizacja Sally musi być w stanie udowodnić, że niektórzy pracownicy wysyłali e-maile, i chce wdrożyć technologię, która zapewni taką możliwość bez konieczności zmiany istniejącego systemu poczty e-mail. Jaki jest termin techniczny określający funkcję, którą Sally musi wdrożyć jako właściciel systemu poczty e-mail, i jakiego narzędzia mogłaby użyć, aby to zrobić?
A. Integralność; IMAP
B. Wyparcie; szyfrowanie
C. Niezaprzeczalność; podpisy cyfrowe
D. Uwierzytelnianie; DKIM
107. Która z poniższych kontroli przeszłości nie jest zazwyczaj przeprowadzana podczas standardowych czynności przed zatrudnieniem?
A. Sprawdzenie zdolności kredytowej
B. Weryfikacja referencji
C. Sprawdzenie karalności
D. Sprawdzenie dokumentacji medycznej
108. Margot bada podejrzaną aktywność w swojej sieci i używa analizatora protokołów do przechwytywania ruchu przychodzącego i wychodzącego. Zauważa nietypowy pakiet, który ma identyczne adresy IP źródłowe i docelowe. Jaki typ ataku wykorzystuje ten typ pakietu?
A. Fraggle
B. Smurf
C. Land
D. Teardrop
109. Jim chce przeprowadzić audyt, który wygeneruje uznany w branży raport na temat projektu i przydatności mechanizmów kontroli w jego organizacji w momencie sporządzania raportu. Jeśli to jego jedyny cel, jaki rodzaj raportu powinien dostarczyć?
A. SSAE-16 Typ I
B. SAS70 Typ I
C. SSAE-16 Typ II
D. SAS-70 Typ II
110. W modelu OSI, kiedy pakiet zmienia się ze strumienia danych na segment lub datagram, przez jaką warstwę przechodzi?
A. Warstwa transportowa
B. Warstwa aplikacji
C. Warstwa łącza danych
D. Warstwa fizyczna
111. Tommy obsługuje wnioski o kontrolę dostępu w swojej organizacji. Użytkownik podchodzi do niego i wyjaśnia, że potrzebuje dostępu do bazy danych kadrowych, aby przeprowadzić analizę liczebności personelu zleconą przez dyrektora finansowego. Co użytkownik skutecznie zademonstrował Tommy′emu?
A. Upoważnienie
B. Podział obowiązków
C. Potrzeba wiedzy
D. Izolacja
112. Kathleen chce skonfigurować usługę udostępniającą informacje o użytkownikach i usługach swojej organizacji za pomocą centralnego, otwartego, niezależnego od dostawców, opartego na standardach systemu, który można łatwo przeszukiwać. Która z poniższych technologii jest dla niej najlepszym wyborem?
A. RADIUS
B. LDAP
C. Kerberos
D. Active Directory
113. Jaki typ zapory sieciowej jest w stanie kontrolować ruch w warstwie 7 i przeprowadzać analizę specyficzną dla protokołu w poszukiwaniu złośliwego ruchu?
A. Zapora aplikacji
B. Zapora z inspekcją stanu
C. Zapora z filtrowaniem pakietów
D. Host bastionu
114. Alicja chciałaby dodać kolejny obiekt do modelu bezpieczeństwa i przyznać sobie do niego uprawnienia. Która z reguł modelu ochrony Take-Grant pozwoliłaby jej na wykonanie tej operacji?
A. Reguła Take
B. Reguła Grant
C. Utwórz regułę
D. Usuń regułę
115. Które z poniższych problemów nie powinno znaleźć się na liście potencjalnych problemów Lauren, gdy testerzy penetracyjni sugerują użycie Metasploit podczas testów?
A. Metasploit może testować tylko luki w zabezpieczeniach, dla których ma wtyczki.
B. Testy penetracyjne obejmują jedynie punktowy obraz bezpieczeństwa organizacji.
C. Narzędzia takie jak Metasploit mogą powodować problemy typu "odmowa usługi".
D. Testy penetracyjne nie mogą testować procesów i polityk.
116. Colin dokonuje przeglądu systemu, któremu przypisano poziom zapewnienia bezpieczeństwa EAL7 zgodnie z Common Criteria. Jaki jest najwyższy poziom pewności, jaki może mieć co do systemu?
A. Został on przetestowany funkcjonalnie.
B. Został metodycznie przetestowany i sprawdzony.
C. Został metodycznie zaprojektowany, przetestowany i sprawdzony.
D. Został formalnie zweryfikowany, zaprojektowany i przetestowany.
117. Jakiego standardu ITU-T Alex powinien się spodziewać, gdy używa swojej karty inteligentnej do dostarczenia certyfikatu do usługi uwierzytelniania nadrzędnego?
A. X.500
B. SPML
C. X.509
D. SAML
118. Jakiego rodzaju strony internetowe podlegają przepisom ustawy COPPA?
A. Strony internetowe instytucji finansowych, które nie są prowadzone przez instytucje finansowe
B. Strony internetowe placówek opieki zdrowotnej, które gromadzą dane osobowe
C. Strony internetowe, które gromadzą informacje od dzieci
D. Strony internetowe instytucji finansowych
119. Tracy niedawno przyjął stanowisko ds. zgodności z przepisami IT w federalnej agencji rządowej, która ściśle współpracuje z Departamentem Obrony w zakresie tajnych spraw rządowych. Które z poniższych przepisów najprawdopodobniej nie będzie dotyczyć agencji Tracy?
A. HIPAA
B. FISMA
C. HSA
D. CFAA
120. Odnosząc się do przedstawionego rysunku, jaka jest nazwa kontroli bezpieczeństwa oznaczonej strzałką?
A. Pułapka
B. System zapobiegania włamaniom
C. Bramka obrotowa
D. Portal
121. Na jakich dwóch ważnych czynnikach opiera się odpowiedzialność za kontrolę dostępu?
A. Identyfikacja i autoryzacja
B. Uwierzytelnianie i autoryzacja
C. Identyfikacja i uwierzytelnianie
D. Odpowiedzialność i uwierzytelnianie
122. Jakie kluczowe założenie protokołu EAP można rozwiać, stosując PEAP?
A. Protokół EAP zakłada, że LEAP zastąpi TKIP, zapewniając uwierzytelnianie.
B. Protokół EAP pierwotnie zakładał korzystanie z fizycznie odizolowanych kanałów i zazwyczaj nie jest szyfrowany.
C. Nie ma implementacji protokołu TLS z wykorzystaniem protokołu EAP.
D. EAP nie dopuszcza dodatkowych metod uwierzytelniania, a PEAP dodaje dodatkowe metody.
123. Organizacja Scotta skonfigurowała swój zewnętrzny adres IP na 192.168.1.25. Ruch wysyłany do dostawcy usług internetowych nigdy nie dociera do celu. Z jakim problemem boryka się organizacja Scotta?
A. Protokół BGP nie jest poprawnie skonfigurowany.
B. Nie zarejestrowali swojego adresu IP u swojego dostawcy usług internetowych.
C. Adres IP jest prywatnym, nieroutowalnym adresem.
D. 192.168.1.25 to adres zarezerwowany dla routerów domowych.
124. Jennifer musi zmierzyć skuteczność swojego programu bezpieczeństwa informacji, dążąc do osiągnięcia długoterminowych celów swojej organizacji. Jakie środki powinna wybrać?
A. Metryki
B. Kluczowe wskaźniki efektywności (KPI)
C. SLA
D. OKR-y
125. Organizacja Sue niedawno nie przeszła oceny bezpieczeństwa, ponieważ jej sieć była pojedynczą, płaską domeną rozgłoszeniową, co umożliwiało podsłuchiwanie ruchu między różnymi grupami funkcjonalnymi. Jakie rozwiązanie powinna zalecić, aby zapobiec zidentyfikowanym problemom?
A. Użyj sieci VLAN.
B. Zmień maskę podsieci dla wszystkich systemów.
C. Wdróż bramy.
D. Włącz zabezpieczenia portów.
126. Susan konfiguruje sieć dla lokalnej kawiarni i chce się upewnić, że użytkownicy będą musieli uwierzytelnić się za pomocą adresu e-mail i zaakceptować zasady korzystania z sieci kawiarni, zanim zostaną do niej dopuszczeni. Jakiej technologii powinna użyć, aby to zrobić?
A. 802.11
B. NAC
C. Portal autoryzacyjny
D. Bramka bezprzewodowa
127. Jak inaczej nazywa się monitorowanie aktywne?
A. Syntetyczne
B. Pasywne
C. Reaktywne
D. Oparte na zakresie
128. Nagłówek TCP składa się z elementów takich jak port źródłowy, port docelowy, numer sekwencyjny i inne. Ile bajtów ma nagłówek TCP?
A. 8 bajtów
B. 20-60 bajtów
C. 64 bajty
D. 64-128 bajtów
Firma, dla której pracuje Fred, dokonuje przeglądu bezpieczeństwa telefonów komórkowych wydanych przez firmę. Firma oferuje smartfony z obsługą 4G i systemami Android oraz iOS, a także korzysta z rozwiązania do zarządzania urządzeniami mobilnymi w celu wdrażania oprogramowania firmowego na telefonach. Oprogramowanie do zarządzania urządzeniami mobilnymi umożliwia również firmie zdalne czyszczenie telefonów w przypadku ich zgubienia. Wykorzystaj te informacje, a także swoją wiedzę na temat technologii komórkowej, aby odpowiedzieć na pytania 129-131.
129. Jakie wymogi bezpieczeństwa powinna spełniać firma Freda, aby przesyłać poufne dane przez sieć komórkową?
A. Powinni stosować te same wymogi, co w przypadku danych przesyłanych przez dowolną sieć publiczną.
B. Sieci operatorów komórkowych są sieciami prywatnymi i nie powinny wymagać specjalnych środków ostrożności.
C. Szyfrować cały ruch, aby zapewnić poufność.
D. Wymagać korzystania z protokołu WAP dla wszystkich danych przesyłanych z telefonu.
130. Fred zamierza w tym roku wziąć udział w dużej konferencji hakerskiej. Co powinien zrobić, łącząc się z siecią 4G swojego operatora komórkowego podczas konferencji?
A. Kontynuować normalne korzystanie z sieci.
B. Zaprzestać wszelkiego korzystania; wieże mogą zostać podszyte.
C. Korzystaj tylko z zaufanych sieci Wi-Fi.
D. Połącz się z szyfrowaną usługą VPN jego firmy.
131. Jakie są najbardziej prawdopodobne okoliczności, które mogą spowodować niepowodzenie zdalnego czyszczenia danych z telefonu komórkowego?
A. Telefon ma hasło.
B. Telefon nie może nawiązać połączenia z siecią.
C. Dostawca nie odblokował telefonu.
D. Telefon jest w użyciu.
132. Elaine opracowuje plan ciągłości działania dla swojej organizacji. Jaką wartość powinna zminimalizować?
A. AV
B. SSL
C. RTO
D. MTO
133. Publikacja specjalna NIST 800-53, rewizja 4, opisuje dwie miary zapewnienia. Która miara zapewnienia rozwoju najlepiej opisuje pomiar "rygoru, poziomu szczegółowości i formalności artefaktów wytworzonych podczas projektowania i rozwoju komponentów sprzętowych, programowych i oprogramowania układowego systemów informatycznych (np. specyfikacji funkcjonalnych, projektu wysokiego poziomu, projektu niskiego poziomu, kodu źródłowego)"?
A. Pokrycie
B. Odpowiedniość
C. Potwierdzenie
D. Głębokość
134. Który z poniższych typów testów odzyskiwania po awarii nie obejmuje faktycznego użycia żadnych technicznych mechanizmów kontroli odzyskiwania po awarii?
A. Test symulacyjny
B. Test równoległy
C. Przejście strukturalne
D. Test pełnego przerwania
135. Chris doświadcza problemów z jakością usług sieciowych w sieci swojej organizacji. Głównym objawem jest to, że pakiety ulegają uszkodzeniu podczas przesyłania ze źródła do miejsca przeznaczenia. Jakie określenie opisuje problem, z którym boryka się Chris?
A. Opóźnienie
B. Jitter
C. Zakłócenia
D. Utrata pakietów
136. Kathleen została poproszona o wybranie wysoce sformalizowanego procesu przeglądu kodu dla swojego zespołu ds. zapewnienia jakości oprogramowania. Który z poniższych procesów testowania oprogramowania jest najbardziej rygorystyczny i formalny?
A. Fagan
B. Fuzzing
C. Przez ramię
D. Programowanie w parach
137. Frank próbuje chronić swoją aplikację internetową przed atakami typu cross-site scripting. Użytkownicy nie muszą wprowadzać danych zawierających skrypty, więc zdecydował, że najskuteczniejszym sposobem filtrowania będzie napisanie filtra na serwerze, który będzie monitorował znacznik < SCRIPT > i usuwał go. Jaki jest problem z podejściem Franka?
A. Walidacja powinna być zawsze przeprowadzana po stronie klienta.
B. Atakujący mogą stosować techniki omijania filtrów XSS przeciwko temu podejściu.
C. Walidacja po stronie serwera wymaga usunięcia wszystkich znaczników HTML, a nie tylko znacznika < SCRIPT >.
D. Podejście Franka nie stanowi problemu.
138. Który z poniższych języków nie jest obiektowym językiem programowania?
A. C++
B. Java
C. Fortran
D. C#
139. Firma Uptown Records Management niedawno zawarła umowę ze szpitalem na bezpieczne przechowywanie dokumentacji medycznej. Szpital podlega przepisom HIPAA. Jakiego rodzaju umowę muszą podpisać obie organizacje, aby zachować zgodność z przepisami HIPAA?
A. NDA
B. NCA
C. BAA
D. SLA
140. Norm chciałby przeprowadzić test odzyskiwania po awarii dla swojej organizacji i chce wybrać najbardziej kompleksowy rodzaj testu, zdając sobie sprawę, że może on być dość uciążliwy. Jaki rodzaj testu powinien wybrać Norm?
A. Test z pełną przerwą
B. Test równoległy
C. Ćwiczenie na stole
D. Przegląd listy kontrolnej
141. Ed buduje sieć obsługującą IPv6, ale musi połączyć ją z siecią IPv4. Jakiego typu urządzenie Ed powinien umieścić między sieciami?
A. Przełącznik
B. Router
C. Most
D. Bramę
142. Jaki standard szyfrowania wygrał konkurs na certyfikację jako Advanced Encryption Standard?
A. Blowfish
B. Twofish
C. Rijndael
D. Skipjack
143. Które prawo można podsumować za pomocą tych siedmiu kluczowych zasad: powiadomienie, wybór, dalsze przekazywanie, bezpieczeństwo, integralność danych, dostęp, egzekwowanie?
A. COPA
B. Ustawa NY SAFE
C. Dyrektywa UE o ochronie danych
D. FISMA
144. Które z poniższych działań nie jest wymagane na mocy dyrektywy UE o ochronie danych?
A. Organizacje muszą umożliwić osobom fizycznym rezygnację z udostępniania informacji.
B. Organizacje muszą zapewnić osobom fizycznym listy pracowników z dostępem do informacji.
C. Organizacje muszą stosować odpowiednie mechanizmy ochrony danych przed nieautoryzowanym ujawnieniem.
D. Organizacje muszą mieć procedurę rozstrzygania sporów dotyczących prywatności.
145. Tammy wybiera dla swojej organizacji ośrodek odzyskiwania danych po awarii. Chciałaby wybrać ośrodek, który równoważy czas potrzebny na odzyskanie danych z kosztami. Jaki typ ośrodka powinna wybrać?
A. Ośrodek gorący
B. Ośrodek ciepły
C. Ośrodek zimny
D. Ośrodek czerwony
146. Która warstwa modelu OSI jest powiązana z datagramami?
A. Sesja
B. Transport
C. Sieć
D. Łącze danych
147. Która z poniższych długości klucza nie jest prawidłowa dla standardu Advanced Encryption Standard?
A. 128 bitów
B. 192 bity
C. 256 bitów
D. 384 bity
148. Która z poniższych technologii zapewnia interfejs funkcji, który umożliwia programistom bezpośrednią interakcję z systemami bez znajomości szczegółów implementacji tego systemu?
A. Słownik danych
B. Model obiektowy
C. Kod źródłowy
D. API
149. Jaką technikę szyfrowania wiadomości e-mail zilustrowano na tym rysunku?
A. MD5
B. Thunderbird
C. S/MIME
D. PGP
150. Kiedy Ben wyświetla listę plików w systemie Linux, widzi zestaw atrybutów, jak pokazano na poniższym obrazku.
Litery rwx oznaczają różne poziomy czego?
A. Identyfikacja
B. Autoryzacja
C. Uwierzytelnianie
D. Odpowiedzialność
151. Jaki rodzaj kontroli dostępu ma na celu wykrywanie niechcianej lub nieautoryzowanej aktywności poprzez dostarczanie informacji po wystąpieniu zdarzenia?
A. Zapobiegawcza
B. Korygująca
C. Detektywna
D. Dyrektywna
152. Które z poniższych przedstawia najbardziej złożone środowisko pułapki dla atakującego podczas próby włamania?
A. Honeypot
B. Darknet
C. Honeynet
D. Pseudowada
Organizacja Bena wdraża uwierzytelnianie biometryczne w systemie kontroli dostępu do swojego budynku o wysokim poziomie bezpieczeństwa. Korzystając z tej tabeli, odpowiedz na pytania 153-155 dotyczące wdrożenia tej technologii.
53. Firma Bena rozważa skonfigurowanie swoich systemów do pracy na poziomie pokazanym w punkcie A na diagramie. Na jakim poziomie ustawiają czułość?
A. Punkt zwrotny FRR
B. Punkt FAR
C. Punkt CER
D. Punkt CFR
154. Jaki problem prawdopodobnie wystąpi w punkcie B?
A. Wskaźnik fałszywych akceptacji będzie bardzo wysoki.
B. Wskaźnik fałszywych odrzuceń będzie bardzo wysoki.
C. Wskaźnik fałszywych odrzuceń będzie bardzo niski.
D. Wskaźnik fałszywych akceptacji będzie bardzo niski.
155. Co powinien zrobić Ben, jeśli FAR i FRR pokazane na tym diagramie nie zapewniają akceptowalnego poziomu wydajności dla potrzeb jego organizacji?
A. Dostosować czułość urządzeń biometrycznych.
B. Ocenić inne systemy biometryczne, aby je porównać.
C. Przenieść punkt CER.
D. Dostosować ustawienia FRR w oprogramowaniu.
156. Ed ma za zadanie chronić informacje o klientach swojej organizacji, w tym ich imię i nazwisko, numer ubezpieczenia społecznego, datę i miejsce urodzenia, a także szereg innych informacji. Jak nazywają się te informacje?
A. PHI (dane osobowe)
B. PII (dane osobowe)
C. Dane chronione (dane osobowe)
D. PID (dane identyfikacyjne osób)
157. Jaki model cyklu życia oprogramowania przedstawiono na poniższej ilustracji?
A. Spirala
B. Agile
C. Boehm
D. Wodospad
158. Jaki typ protokołu opiera się na enkapsulacji?
A. Mostkowanie
B. Wielowarstwowość
C. Hashowanie
D. Pamięć masowa
159. Która z poniższych zasad nie jest kluczową zasadą modelu COBIT dla celów kontroli bezpieczeństwa IT?
A. Spełnianie potrzeb interesariuszy
B. Przeprowadzanie wyczerpującej analizy
C. Kompleksowe objęcie przedsiębiorstwa
D. Oddzielenie zarządzania od zarządzania
160. Roscommon Enterprises to irlandzka firma, która przetwarza dane osobowe. Wymienia informacje z wieloma innymi krajami. Który z poniższych krajów uruchomiłby przepisy dotyczące dalszego przekazywania danych w ramach Międzynarodowych Zasad Bezpiecznej Przystani Prywatności?
A. Stany Zjednoczone
B. Wielka Brytania
C. Włochy
D. Niemcy
161. Jaki ważny protokół odpowiada za dostarczanie adresów czytelnych dla człowieka zamiast numerycznych adresów IP?
A. TCP
B. IP
C. DNS
D. ARP
162. Specjalna publikacja NIST 800-53A opisuje cztery typy obiektów, które można oceniać. Jeśli Ben dokonuje przeglądu standardu haseł, który z tych czterech typów obiektów ocenia?
A. Mechanizm
B. Specyfikację
C. Aktywność
D. Osobę
163. Jaki proces jest zazwyczaj stosowany w celu zapewnienia bezpieczeństwa danych na stacjach roboczych, które są wycofywane z eksploatacji, ale zostaną odsprzedane lub ponownie wykorzystane?
A. Niszczenie
B. Kasowanie
C. Sanityzacja
D. Czyszczenie
164. Colleen przeprowadza test oprogramowania, który ocenia kod pod kątem luk w zabezpieczeniach i problemów z użytecznością. Pracuje z aplikacją z perspektywy użytkownika końcowego i odwołuje się do kodu źródłowego podczas pracy nad produktem. Jakiego rodzaju testy przeprowadza Colleen? A. Białe pole
B. Niebieskie pole
C. Szare pole
D. Czarne pole
165. Harold poszukuje metodologii tworzenia oprogramowania, która pomoże mu rozwiązać poważny problem, z którym boryka się w swojej organizacji. Obecnie programiści i pracownicy operacyjni nie współpracują ze sobą i często postrzegani są jako osoby, które "przerzucają problemy przez płot" na inny zespół. Jakie podejście do zarządzania technologią ma na celu
złagodzenie tego problemu?
A. ITIL
B. Lean
C. ITSM
D. DevOps
166. Specjalna publikacja NIST 800-92, Przewodnik po zarządzaniu logami bezpieczeństwa komputerowego, opisuje cztery rodzaje typowych wyzwań związanych z zarządzaniem logami:
Wiele źródeł logów
Niespójna zawartość logów
Niespójne znaczniki czasu
Niespójne formaty logów
Które z poniższych rozwiązań najlepiej sprawdzi się w rozwiązaniu tych problemów?
A. Wdrożenie protokołu SNMP dla wszystkich urządzeń rejestrujących.
B. Wdrożenie systemu SIEM.
C. Ustandaryzowany format dziennika zdarzeń systemu Windows dla wszystkich urządzeń i korzystanie z protokołu NTP.
D. Upewnij się, że rejestrowanie jest włączone na wszystkich punktach końcowych, używając ich natywnych formatów rejestrowania i poprawnie ustaw ich czas lokalny.
167. Mike ma kartę pamięci flash, którą chciałby ponownie wykorzystać. Karta zawiera poufne informacje. Jakiej techniki może użyć, aby bezpiecznie usunąć dane z karty i umożliwić jej ponowne wykorzystanie?
A. Rozmagnesowanie
B. Fizyczne zniszczenie
C. Nadpisanie
D. Ponowne formatowanie
168. Carlos bada kwestię naruszenia poufnych informacji w swojej organizacji. Uważa, że atakujący zdołali uzyskać dane osobowe wszystkich pracowników z bazy danych i znajduje następujące dane wprowadzone przez użytkownika we wpisie dziennika internetowego systemu zarządzania personelem:
Collins′&1=1;--
Jakiego rodzaju atak miał miejsce?
A. Wstrzyknięcie SQL
B. Przepełnienie bufora
C. Atak typu cross-site scripting
D. Fałszowanie żądania typu cross-site request forgery
169. Który z poniższych dokumentów jest szczegółowym, krok po kroku opisem czynności, które muszą wykonać poszczególne osoby?
A. Polityka
B. Standard
C. Wytyczna
D. Procedura
170. Jaka zasada relacyjnych baz danych zapewnia trwałość pomyślnie zakończonych transakcji?
A. Atomowość
B. Spójność
C. Izolacja
D. Trwałość
171. Bryan posiada zestaw poufnych dokumentów, które chciałby chronić przed publicznym ujawnieniem. Chciałby skorzystać z mechanizmu kontroli, który w przypadku upublicznienia dokumentów umożliwiłby wyśledzenie wycieku do osoby, której pierwotnie przekazano kopię dokumentu. Jakie zabezpieczenie najlepiej spełniłoby ten cel?
A. Podpis cyfrowy
B. Barwienie dokumentów
C. Hashowanie
D. Znak wodny
172. Carlos planuje projekt centrum danych, które powstanie w nowej, czteropiętrowej siedzibie firmy. Budynek składa się z piwnicy i trzech kondygnacji nadziemnych. Jaka jest najlepsza lokalizacja centrum danych?
A. Piwnica
B. Parter
C. Drugie piętro
D. Trzecie piętro
173. Chris jest specjalistą ds. bezpieczeństwa informacji w dużej korporacji i wchodząc do budynku, zauważa, że drzwi do strefy bezpieczeństwa zostały uchylone. Bezpieczeństwo fizyczne nie leży w jego gestii, ale podejmuje natychmiastowe działania, zamykając drzwi i informując zespół ochrony fizycznej o swoich działaniach. Jaką zasadę demonstruje Chris?
A. Należyta staranność
B. Należyta staranność
C. Podział obowiązków
D. Świadoma zgoda
174. Który z poniższych rodzajów dochodzeń zawsze stosuje standard dowodowy ponad wszelką wątpliwość?
A. Dochodzenie cywilne
B. Dochodzenie karne
C. Dochodzenie operacyjne
D. Dochodzenie regulacyjne
175. Który z poniższych typów kopii zapasowych nie zmienia statusu bitu archiwalnego w pliku?
A. Pełna kopia zapasowa
B. Przyrostowa kopia zapasowa
C. Częściowa kopia zapasowa
D. Różnicowa kopia zapasowa
176. Jaki typ alternatywnego ośrodka przetwarzania zawiera sprzęt niezbędny do przywrócenia operacji, ale nie posiada aktualnej kopii danych?
A. Miejsce gorące
B. Miejsce ciepłe
C. Miejsce zimne
D. Miejsce mobilne
177. Który z poniższych terminów opisuje okres chwilowego wysokiego napięcia?
A. Zapad
B. Spadek napięcia
C. Skok napięcia
D. Przepięcie
178. Aplikacja internetowa uzyskuje dostęp do informacji w bazie danych w celu pobrania informacji o użytkowniku. Jaką rolę pełni aplikacja internetowa?
A. Podmiot
B. Obiekt
C. Użytkownik
D. Token
179. Protokół OSPF (Open Shortest Path First) to protokół routingu, który przechowuje mapę wszystkich podłączonych sieci zdalnych i wykorzystuje tę mapę do wyboru najkrótszej ścieżki do zdalnego miejsca docelowego. Jakim typem protokołu routingu jest OSPF?
A. Stan łącza
B. Najpierw najkrótsza ścieżka
C. Mapowanie łącza
D. Wektor odległości
180. Która z poniższych kategorii obejmuje języki programowania pierwszej generacji?
A. Języki maszynowe
B. Języki asemblera
C. Języki kompilowane
D. Język naturalny
Pytania 181-185 odnoszą się do następującego scenariusza. Concho Controls to średniej wielkości firma specjalizująca się w systemach automatyki budynkowej. Firma hostuje zestaw lokalnych serwerów plików w swoim lokalnym centrum danych, na których przechowywane są oferty klientów, plany budynków, informacje o produktach i inne dane kluczowe dla działalności firmy. Tara pracuje w dziale IT Concho Controls i odpowiada między innymi za projektowanie i wdrażanie strategii tworzenia kopii zapasowych w organizacji. Obecnie wykonuje pełne kopie zapasowe w każdą niedzielę wieczorem o godzinie 20:00 oraz kopie różnicowe od poniedziałku do piątku w południe. W środę o godzinie 15:00 w Concho wystąpiła awaria serwera. Tara odbudowuje serwer i chce odzyskać dane z kopii zapasowych.
181. Jaką kopię zapasową Tara powinna wykonać na serwerze jako pierwszą?
A. Pełna kopia zapasowa z niedzieli
B. Poniedziałkowa kopia zapasowa różnicowa
C. Wtorkowa kopia zapasowa różnicowa
D. Środowa kopia zapasowa różnicowa
182. Ile kopii zapasowych Tara musi wykonać w systemie, aby zawarte w nim dane były jak najbardziej aktualne?
A. 1
B. 2
C. 3
D. 4
183. W tym podejściu do tworzenia kopii zapasowych niektóre dane mogą zostać bezpowrotnie utracone. Jak długi jest okres, w którym wszelkie wprowadzone zmiany zostaną utracone?
A. 3 godziny
B. 5 godzin
C. 8 godzin
D. Żadne dane nie zostaną utracone.
184. Gdyby Tara postępowała zgodnie z tym samym harmonogramem, ale zamieniła kopie różnicowe na przyrostowe, ile kopii zapasowych musiałaby wykonać w systemie, aby zawarte w nim dane były jak najbardziej aktualne?
A. 1
B. 2
C. 3
D. 4
185. Jeśli Tara zmieniłaby kopie zapasowe z różnicowych na przyrostowe i założylibyśmy, że ta sama ilość informacji zmienia się każdego dnia, który z poniższych plików byłby największy?
A. Poniedziałkowa kopia przyrostowa
B. Wtorkowa kopia przyrostowa
C. Środowa kopia przyrostowa
D. Wszystkie trzy będą miały ten sam rozmiar.
186. Susan przeprowadza ocenę zagrożeń STRIDE, klasyfikując zagrożenia do jednej lub kilku z następujących kategorii: podszywanie się, manipulacja, wyparcie się, ujawnienie informacji, odmowa usługi i podniesienie uprawnień. W ramach oceny odkryła problem, który umożliwia modyfikację transakcji między przeglądarką internetową a serwerem aplikacji, do którego uzyskuje ona dostęp. Jaka(e) kategoria(e) STRIDE najlepiej pasują do tego problemu?
A. Manipulacja i ujawnianie informacji
B. Podszywanie się i manipulacja
C. Manipulacja i zaprzeczanie
D. Ujawnianie informacji i podnoszenie uprawnień
187. Bob otrzymał zadanie napisania polityki opisującej, jak długo dane powinny być przechowywane i kiedy powinny być usuwane. Jakiego pojęcia dotyczy ta polityka?
A. Remanencja danych
B. Przechowywanie rekordów
C. Redagowanie danych
D. Rejestrowanie audytu
188. Który komponent protokołu IPSec zapewnia uwierzytelnianie, integralność i niezaprzeczalność?
A. L2TP
B. Hermetyzacja ładunku bezpieczeństwa
C. Nagłówek bezpieczeństwa szyfrowania
D. Nagłówek uwierzytelniania
189. Renee zauważa, że system w jej sieci niedawno odebrał próby połączenia na wszystkich 65 536 portach TCP z jednego systemu w krótkim czasie. Jakiego rodzaju ataku najprawdopodobniej doświadczyła Renee?
A. Odmowa usługi
B. Rekonesans
C. Złośliwy insider
D. Atak na system
190. Której z poniższych technik może użyć atakujący, aby wykorzystać lukę w zabezpieczeniach TOC/TOU?
A. Blokada plików
B. Obsługa wyjątków
C. Złożoność algorytmiczna
D. Kontrola współbieżności
191. Który pierścień nie działa w trybie uprzywilejowanym w przedstawionym tutaj modelu ochrony pierścienia?
A. Pierścień 0
B. Pierścień 1
C. Pierścień 2
D. Pierścień 3
192. Jaki poziom RAID jest również znany jako striping dysków?
A. RAID 0
B. RAID 1
C. RAID 5
D. RAID 10
193. Jakub przeprowadza atak na system, używając ważnego, ale niskouprawnionego konta użytkownika, uzyskując dostęp do wskaźnika pliku, do którego konto ma dostęp. Po sprawdzeniu dostępu, ale przed otwarciem pliku, szybko zmienia wskaźnik pliku, aby wskazywał na plik, do którego konto użytkownika nie ma dostępu. Jakiego rodzaju jest to atak?
A. Spis treści
B. Pełzanie uprawnień
C. Podszywanie się
D. Wymiana linków
194. Jaka jest minimalna liczba dysków wymagana do wdrożenia poziomu RAID 0?
A. 1
B. 2
C. 3
D. 5
195. Firma Freda chce zapewnić integralność wiadomości e-mail wysyłanych za pośrednictwem centralnych serwerów pocztowych. Jeśli poufność wiadomości nie jest krytyczna, jakie rozwiązanie powinien zaproponować Fred?
A. Podpisywać cyfrowo i szyfrować wszystkie wiadomości, aby zapewnić ich integralność.
B. Podpisywać cyfrowo, ale nie szyfrować wszystkich wiadomości.
C. Używać protokołu TLS do ochrony wiadomości, zapewniając ich integralność.
D. Używać algorytmu haszującego, aby zapewnić hash w każdej wiadomości, potwierdzając, że nie uległa ona zmianie.
196. Kierownictwo firmy Susan poprosiło ją o wdrożenie systemu kontroli dostępu, który obsługuje deklaracje reguł, takie jak "Zezwalaj na dostęp tylko sprzedawcom z zarządzanych urządzeń w sieci bezprzewodowej między 8:00 a 18:00". Jaki typ systemu kontroli dostępu byłby najlepszym wyborem Susan?
A. ABAC
B. RBAC
C. DAC
D. MAC
197. Jaki typ komunikacji opiera się na mechanizmie pomiaru czasu wykorzystującym niezależny zegar lub znacznik czasu wbudowany w komunikację?
A. Analogowy
B. Cyfrowy
C. Synchroniczny
D. Asynchroniczny
198. Chris wdraża sieć gigabitowego Ethernetu, wykorzystując kabel kategorii 6, między dwoma budynkami. Jaka jest maksymalna odległość, na jaką może poprowadzić kabel zgodnie ze standardem kategorii 6?
A. 50 metrów
B. 100 metrów
C. 200 metrów
D. 300 metrów
199. Howard jest analitykiem bezpieczeństwa, który współpracuje z doświadczonym śledczym informatyki śledczej. Śledczy prosi go o odzyskanie kontrolera dysku do analizy śledczej, ale Howard nie może znaleźć urządzenia o tej nazwie w magazynie. Jak inaczej nazywa się kontroler dysku do analizy śledczej?
A. Kontroler RAID
B. Blokada zapisu
C. Terminator SCSI
D. Analizator urządzeń do analizy śledczej
200. Aplikacja internetowa, nad którą pracuje zespół programistów Sarii, musi zapewniać bezpieczne zarządzanie sesjami, które może zapobiec przejęciu sesji za pomocą plików cookie, od których zależy działanie aplikacji. Która z poniższych technik byłaby dla niej najlepsza, aby temu zapobiec?
A. Ustaw atrybut Secure dla plików cookie, wymuszając w ten sposób protokół TLS.
B. Ustaw atrybut Domain cookie na example.com, aby ograniczyć dostęp do plików cookie do serwerów w tej samej domenie.
C. Ustaw atrybut Expires cookie na okres krótszy niż tydzień.
D. Ustaw atrybut HTTPOnly, aby wymagać tylko sesji niezaszyfrowanych.
201. Firma Bena niedawno wycofała z użytku swoją flotę drukarek wielofunkcyjnych. Zespół ds. bezpieczeństwa informacji wyraził obawy, że drukarki zawierają dyski twarde i mogą nadal zawierać dane ze skanowania i drukowania. Jak technicznie określa się ten problem?
A. Pula danych
B. Nieudane czyszczenie
C. Trwałość danych
D. Remanencja danych
202. Jaki schemat kontroli dostępu oznacza podmioty i obiekty oraz umożliwia podmiotom dostęp do obiektów, gdy etykiety są zgodne?
A. DAC
B. MAC
C. Reguła BAC
D. Rola BAC
203. Jakim typem usługi nazywa się usługę w chmurze, która zapewnia funkcje konfigurowania kont, zarządzania nimi, uwierzytelniania, autoryzacji, raportowania i monitorowania?
A. PaaS
B. IDaaS
C. IaaS
D. SaaS
204. Sally chce zabezpieczyć systemy VoIP swojej organizacji. Który z poniższych ataków jest tym, którego nie powinna się obawiać?
A. Podsłuchiwanie
B. Odmowa usługi
C. Blackboxing
D. Podszywanie się pod Caller ID
205. Marty odkrywa, że ograniczenia dostępu w jego organizacji pozwalają każdemu użytkownikowi zalogować się do stacji roboczej przypisanej do dowolnego innego użytkownika, nawet jeśli pochodzi on z zupełnie innych działów. Ten rodzaj dostępu najbardziej bezpośrednio narusza którą zasadę bezpieczeństwa informacji?
A. Podział obowiązków
B. Kontrola dwuosobowa
C. Potrzeba wiedzy
D. Najmniejsze uprawnienia
206. Fred musi przesłać pliki między dwoma serwerami w niezaufanej sieci. Ponieważ wie, że sieć nie jest zaufana, musi wybrać szyfrowany protokół, który zapewni bezpieczeństwo jego danych. Jaki protokół powinien wybrać?
A. SSH
B. TCP
C. SFTP
D. IPSec
207. Chris używa sniffera pakietów do przechwytywania ruchu z serwera TACACS+. Jaki protokół powinien monitorować i jakich danych powinien oczekiwać, że będą czytelne?
A. UDP; brak - TACACS+ szyfruje całą sesję
B. TCP; brak - TACACS+ szyfruje całą sesję
C. UDP; wszystkie oprócz nazwy użytkownika i hasła, które są szyfrowane
D. TCP; wszystkie oprócz nazwy użytkownika i hasła, które są szyfrowane
Wykorzystaj swoją wiedzę na temat uwierzytelniania i autoryzacji Kerberos, a także poniższy diagram, aby odpowiedzieć na pytania 208-210.
208. Jeśli klient uwierzytelnił się już w KDC, co stacja robocza klienta wysyła do KDC w punkcie A, gdy chce uzyskać dostęp do zasobu?
A. Ponownie wysyła hasło.
B. TGR
C. Swój TGT
D. Bilet serwisowy
209. Co dzieje się pomiędzy krokami A i B?
A. KDC weryfikuje ważność TGT i czy użytkownik ma odpowiednie uprawnienia do żądanego zasobu.
B. KDC aktualizuje swoją listę kontroli dostępu na podstawie danych w TGT.
C. KDC sprawdza listę usług i przygotowuje zaktualizowany TGT na podstawie żądania usługi.
D. KDC generuje bilet serwisowy do wystawienia klientowi.
210. Z jakiego systemu lub systemów korzysta usługa, do której uzyskiwany jest dostęp, w celu weryfikacji biletu?
A. KDC
B. Stacja robocza klienta i KDC
C. Stacja robocza klienta dostarcza je w formie biletu klient-serwer i uwierzytelniacza.
D. KVS
211. Co zapewnia bilet serwisowy (ST) w uwierzytelnianiu Kerberos?
A. Służy jako host uwierzytelniający.
B. Stanowi dowód, że podmiot jest upoważniony do dostępu do obiektu.
C. Stanowi dowód, że podmiot uwierzytelnił się za pośrednictwem KDC i może żądać biletów dostępu do innych obiektów.
D. Zapewnia usługi przyznawania biletów.
212. Hasło, które wymaga od użytkowników odpowiedzi na serię pytań, takich jak "Jakie jest nazwisko panieńskie twojej matki?" lub "Jaki jest twój ulubiony kolor?", jest znane jako rodzaj hasła?
A. Hasło frazowe
B. Hasła wieloskładnikowe
C. Hasła poznawcze
D. Pytania resetujące hasło
213. CDMA, GSM i IDEN to przykłady której generacji technologii komórkowej?
A. 1G
B. 2G
C. 3G
D. 4G
214. Który z poniższych systemów przeciwpożarowych stwarza największe ryzyko przypadkowego wyładowania, które uszkodzi sprzęt w centrum danych?
A. Zamknięta głowica
B. Sucha rura
C. Potop
D. Przedakcja
215. Dostawca usług medycznych Lauren przechowuje takie dane, jak szczegóły dotyczące jej zdrowia, zabiegów i rozliczeń medycznych. Jakiego rodzaju dane to są?
A. Chronione Informacje Zdrowotne
B. Dane Osobowe Identyfikujące Osobę
C. Chronione Ubezpieczenie Zdrowotne
D. Indywidualne Dane Chronione
216. Jaki rodzaj przeglądu kodu najlepiej nadaje się do identyfikacji błędów logiki biznesowej?
A. Mutacyjne rozmycie
B. Ręczne
C. Rozmycie generacyjne
D. Testowanie interfejsu
217. Coś, co znasz, jest przykładem jakiego typu czynnika uwierzytelniania?
A. Typ 1
B. Typ 2
C. Typ 3
D. Typ 4
218. Saria jest właścicielką systemu w placówce służby zdrowia. Jakie ma obowiązki związane z danymi, które znajdują się w systemach, których jest właścicielem, lub są przez nie przetwarzane?
A. Musi klasyfikować dane.
B. Musi upewnić się, że wdrożono odpowiednie zabezpieczenia w celu ochrony danych.
C. Musi przyznać personelowi odpowiedni dostęp.
D. Ponosi wyłączną odpowiedzialność za zapewnienie ochrony danych w spoczynku, podczas przesyłania i użytkowania.
219. Podczas testowania oprogramowania Jack przedstawia schemat potencjalnego podejścia hakera do sprawdzanej aplikacji i określa, jakie wymagania może on mieć. Następnie testuje, jak system zareaguje na prawdopodobne zachowanie atakującego. Jakiego rodzaju testy przeprowadza Jack?
A. Testowanie przypadków niewłaściwego użycia
B. Testowanie przypadków użycia
C. Testowanie przypadków użycia hakerów
D. Statyczna analiza kodu
220. Kiedy dostawca opracowuje produkt, który chce poddać ocenie Common Criteria, co wypełnia, aby opisać zapewnienia dotyczące bezpieczeństwa swojego produktu?
A. PP
B. ITSEC
C. TCSEC
D. ST
221. Chrisowi powierzono przeskanowanie systemu na wszystkich możliwych portach TCP i UDP. Ile portów każdego typu musi przeskanować, aby wykonać zadanie?
A. 65 536 portów TCP i 32 768 portów UDP
B. 1024 wspólne porty TCP i 32 768 tymczasowych portów UDP
C. 65 536 portów TCP i 65 536 portów UDP
D. 16 384 porty TCP i 16 384 porty UDP
222. O czym informują CVE i NVD?
A. Luki w zabezpieczeniach
B. Języki znaczników
C. Narzędzia do oceny podatności
D. Metodologie testów penetracyjnych
223. Jaki jest najwyższy poziom klasyfikacji wojskowej?
A. Tajne
B. Poufne
C. SBU
D. Ściśle tajne
224. W jakim zaufanym procesie odzyskiwania system odzyskuje dane po jednym lub kilku typach awarii bez interwencji administratora, chroniąc się jednocześnie przed utratą danych?
A. Odzyskiwanie automatyczne
B. Odzyskiwanie ręczne
C. Odzyskiwanie funkcji
D. Odzyskiwanie automatyczne bez zbędnej utraty danych
225. Jakie trzy ważne elementy należy wziąć pod uwagę, próbując kontrolować siłę sygnału sieci bezprzewodowej, a także jego dostępność?
A. Umiejscowienie anteny, typ anteny i poziomy mocy anteny
B. Konstrukcja anteny, poziomy mocy, użycie portalu uwierzytelniającego
C. Umiejscowienie anteny, konstrukcja anteny, użycie portalu uwierzytelniającego
D. Poziomy mocy, umiejscowienie anteny, minimalne wymagania FCC dotyczące siły sygnału
226. Jaki jest najlepszy sposób, aby zapewnić, że danych z dysku SSD nie da się odzyskać?
A. Użyj wbudowanych poleceń kasowania
B. Użyj losowego wzoru kasowania 1 i 0
C. Fizycznie zniszcz dysk
D. Rozmagnesuj dysk
227. Alicja wysyła wiadomość do Boba i chce się upewnić, że Mal, osoba trzecia, nie odczyta jej zawartości podczas przesyłania. Jaki cel kryptografii próbuje osiągnąć Alicja?
A. Poufność
B. Integralność
C. Uwierzytelnianie
D. Niezaprzeczalność
228. Która z poniższych metryk określa czas, jaki planiści ciągłości działania uważają za potrzebny na przywrócenie usługi po jej awarii?
A. MTD
B. RTO
C. RPO
D. MTO
229. Gary chciałby przeanalizować tekst ustawy karnej dotyczącej oszustw komputerowych, aby ustalić, czy ma ona zastosowanie do niedawnego ataku hakerskiego na jego firmę. Gdzie powinien przeczytać tekst ustawy?
A. Kodeks Przepisów Federalnych
B. Orzeczenia Sądu Najwyższego
C. Kompendium Prawa
D. Kodeks Stanów Zjednoczonych
230. James zdecydował się wdrożyć rozwiązanie NAC, które wykorzystuje filozofię kontroli łączności sieciowej po uzyskaniu dostępu. Z jakimi problemami nie poradzi sobie polityka ściśle po uzyskaniu dostępu?
A. Monitorowanie poza pasmem
B. Zapobieganie wykorzystaniu luk w zabezpieczeniach laptopa bez aktualizacji zabezpieczeń natychmiast po połączeniu z siecią
C. Odmowa dostępu, gdy zachowanie użytkownika nie jest zgodne z macierzą autoryzacji
D. Zezwolenie użytkownikowi na dostęp, gdy zachowanie użytkownika jest dozwolone na podstawie macierzy autoryzacji
231. Ben stworzył listę kontroli dostępu, która zawiera listę obiektów, do których jego użytkownicy mają prawo dostępu. Gdy użytkownicy próbują uzyskać dostęp do obiektu, do którego nie mają uprawnień, zostaje im on odmówiony, mimo że nie ma konkretnej reguły, która by na to pozwalała. Jaka zasada kontroli dostępu jest kluczowa dla tego zachowania?
A. Najmniejsze uprawnienia
B. Niejawna odmowa
C. Jawna odmowa
D. Niezgodność z ostateczną regułą
232. Mary jest analitykiem ds. ryzyka bezpieczeństwa w firmie ubezpieczeniowej. Obecnie analizuje scenariusz, w którym haker mógłby użyć ataku typu SQL injection, aby uszkodzić serwer WWW z powodu brakującej poprawki w aplikacji WWW firmy. Jakie jest ryzyko w tym scenariuszu?
A. Niezałatana aplikacja WWW
B. Uszkodzenie WWW
C. Haker
D. System operacyjny
233. Na przedstawionym diagramie granic bezpieczeństwa w systemie komputerowym, nazwa którego komponentu została zastąpiona przez XXX?
A. Jądro
B. Uprzywilejowany rdzeń
C. Monitor użytkownika
D. Obwód bezpieczeństwa
234. Val próbuje przejrzeć logi bezpieczeństwa, ale jest przytłoczona ogromną ilością rekordów przechowywanych w centralnym repozytorium logów swojej organizacji. Jakiej techniki może użyć, aby wybrać reprezentatywny zestaw rekordów do dalszego przeglądu?
A. Próbkowanie statystyczne
B. Wycinanie
C. Wybierz pierwsze 5% rekordów z każdego dnia.
D. Wybierz 5% rekordów z południa.
235. Jen, jako administrator sieci w zakładzie produkcyjnym, ma za zadanie zapewnić, że sieć nie będzie podatna na zakłócenia elektromagnetyczne spowodowane przez duże silniki i inne urządzenia pracujące na hali produkcyjnej. Jaki rodzaj okablowania sieciowego powinna wybrać, jeśli ta kwestia jest ważniejsza niż koszt i trudność instalacji?
A. 10Base2
B. 100BaseT
C. 1000BaseT
D. Światłowód
Pytania 236-239 odnoszą się do następującego scenariusza. Jasper Diamonds to producent biżuterii, który sprzedaje biżuterię na zamówienie za pośrednictwem swojej strony internetowej. Bethany jest menedżerką działu rozwoju oprogramowania w Jasper i pracuje nad dostosowaniem firmy do standardowych praktyk branżowych. Opracowuje nowy proces zarządzania zmianą dla organizacji i chce stosować powszechnie akceptowane podejścia.
236. Bethany chciałaby wdrożyć mechanizmy kontroli, które zapewnią pracownikom firmy zorganizowane ramy do proponowania nowych funkcji strony internetowej, które opracuje jej zespół. Jaki proces zarządzania zmianą to ułatwia?
A. Kontrola konfiguracji
B. Kontrola zmian
C. Kontrola wydań
D. Kontrola żądań
237. Bethany chciałaby również stworzyć proces, który umożliwiłby wielu programistom jednoczesną pracę nad kodem. Jaki proces zarządzania zmianą to ułatwia?
A. Kontrola konfiguracji
B. Kontrola zmian
C. Kontrola wydań
D. Kontrola żądań
238. Bethany współpracuje z kolegami nad przeprowadzeniem testów akceptacji użytkownika. Jaki proces zarządzania zmianami obejmuje to zadanie?
A. Kontrola konfiguracji
B. Kontrola zmian
C. Kontrola wydań
D. Kontrola żądań
239. Bethany zauważyła, że pewne problemy pojawiają się, gdy administratorzy systemu aktualizują biblioteki bez informowania o tym programistów. Jaki proces zarządzania zmianami może pomóc w rozwiązaniu tego problemu?
A. Kontrola konfiguracji
B. Kontrola zmian
C. Kontrola wydań
D. Kontrola żądań
240. Ben napisał system haszowania haseł dla aplikacji internetowej, którą buduje. Jego funkcja haszująca dla haseł powoduje następujący proces dla serii haseł:
hash (hasło1 + 07C98BFE4CF67B0BFE2643B5B22E2D7D) = 10B222970537B97919DB36EC757370D2
hash (hasło2 + 07C98BFE4CF67B0BFE2643B5B22E2D7D) = F1F16683F3E0208131B46D37A79C8921
Jaką wadę wprowadził Ben w swojej implementacji haszującej?
A. Zasolenie tekstu jawnego
B. Ponowne użycie soli
C. Użycie krótkiej soli
D. Niewłaściwy dobór algorytmu soli
241. Który z poniższych przykładów jest przykładem przeniesienia ryzyka?
A. Budowa budki strażniczej
B. Zakup ubezpieczenia
C. Wznoszenie ogrodzeń
D. Przenoszenie obiektów
242. Jaki protokół zastępuje listy unieważnionych certyfikatów i dodaje weryfikację statusu w czasie rzeczywistym?
A. RTCP
B. RTVP
C. OCSP
D. CSRTP
243. Jim przeprowadza analizę leksykalną programu i tworzy grafy przepływu sterowania. Jakiego rodzaju testy oprogramowania wykonuje?
A. Dynamiczne
B. Fuzzing
C. Ręczne
D. Statyczne
244. Jaki proces sprawia, że TCP jest protokołem zorientowanym na połączenie?
A. Działa poprzez połączenia sieciowe.
B. Używa uzgadniania (handshake).
C. Monitoruje zerwane połączenia.
D. Używa złożonego nagłówka.
245. Jaka operacja LDAP obejmuje uwierzytelnianie na serwerze LDAP?
A. Bind
B. Auth
C. StartLDAP
D. AuthDN
246. Przeprowadzasz jakościową ocenę ryzyka dla swojej organizacji. Dwa ważne elementy ryzyka, które powinny mieć największe znaczenie w analizie ryzyka, to prawdopodobieństwo i ________________.
A. Prawdopodobieństwo
B. Historia
C. Wpływ
D. Koszt
247. Używając modelu OSI, jakiego formatu używa warstwa łącza danych do formatowania komunikatów otrzymywanych z wyższych poziomów stosu?
A. Strumień danych
B. Ramka
C. Segment
D. Datagram
248. Jaka jest maksymalna kara, jaką może nałożyć komisja ds. recenzji koleżeńskiej (ISC)2 przy rozpatrywaniu potencjalnego naruszenia etyki?
A. Cofnięcie certyfikatu
B. Zakończenie zatrudnienia
C. Kara finansowa
D. Zawieszenie certyfikatu
249. Które z poniższych stwierdzeń dotyczących cyklu życia oprogramowania (SDLC) jest poprawne?
A. Cykl życia oprogramowania (SDLC) wymaga stosowania iteracyjnego podejścia do rozwoju oprogramowania.
B. Cykl życia oprogramowania (SDLC) wymaga zastosowania sekwencyjnego podejścia do tworzenia oprogramowania.
C. Cykl życia oprogramowania (SDLC) nie obejmuje szkoleń dla użytkowników końcowych i personelu pomocniczego.
D. Metodologia kaskadowa jest zgodna z cyklem życia oprogramowania (SDLC).
250. W przedstawionym scenariuszu Harry nie może odczytać pliku o wyższym poziomie tajności niż jego poświadczenie bezpieczeństwa. Jaki model bezpieczeństwa zapobiega takiemu zachowaniu?
A. Bell-LaPadula
B. Biba
C. Clark-Wilson
D. Brewer-Nash
ODPOWIEDZI
1. D. Cel punktu odzyskiwania (RPO) określa maksymalną ilość danych, mierzoną w czasie, które mogą zostać utracone podczas działań naprawczych. Cel czasu odzyskiwania (RTO) to oczekiwany czas przywrócenia usługi lub komponentu IT do działania po awarii. Maksymalny dopuszczalny czas przestoju (MTD) to najdłuższy czas, w którym usługa lub komponent IT może być niedostępny bez powodowania poważnych szkód dla organizacji. Umowy o poziomie usług (SLA) to pisemne kontrakty dokumentujące oczekiwania dotyczące usług.
2. D. Fred powinien wybrać router. Routery są zaprojektowane do kontrolowania ruchu w sieci podczas łączenia się z innymi podobnymi sieciami. Jeśli sieci te znacznie się różnią, most może pomóc w ich połączeniu. Bramy służą do łączenia się z sieciami korzystającymi z innych protokołów poprzez transformację ruchu do odpowiedniego protokołu lub formatu podczas jego przepływu. Przełączniki są często używane do tworzenia domen rozgłoszeniowych i łączenia systemów końcowych lub innych urządzeń.
3. B. Testy penetracyjne typu Crystal Box, zwane również czasami testami penetracyjnymi typu White Box, dostarczają testerowi informacji o sieciach, systemach i konfiguracjach, umożliwiając wysoce efektywne testowanie. Nie symulują one rzeczywistego ataku, tak jak testy typu Black Box i Grey Box, przez co nie zapewniają takiego samego realizmu i mogą prowadzić do powodzenia ataków, które w przypadku ataku zerowej lub ograniczonej wiedzy zakończyłyby się niepowodzeniem.
4. D. Faza wykrywania obejmuje takie działania, jak gromadzenie adresów IP, zakresów sieci i nazw hostów, a także gromadzenie informacji o pracownikach, lokalizacjach, systemach i oczywiście usługach świadczonych przez te systemy. Informacje banerowe są zazwyczaj gromadzone w ramach wykrywania, aby dostarczyć informacji o wersji i rodzaju świadczonej usługi.
5. B. Sieć klasy B obejmuje 2^16 systemów, a jej domyślna maska sieciowa to 255.255.0.0.
6. D. Odcisk palca urządzenia za pośrednictwem portalu internetowego może wymagać uwierzytelnienia użytkownika i może gromadzić dane, takie jak systemy operacyjne, wersje, informacje o oprogramowaniu i wiele innych czynników, które pozwalają jednoznacznie identyfikować systemy. Korzystanie z automatycznego systemu odcisków palców jest lepsze niż ręczna rejestracja, a połączenie uwierzytelniania użytkownika z gromadzeniem danych zapewnia więcej szczegółów niż skanowanie portów. Adresy MAC mogą być podrabiane, a systemy mogą mieć więcej niż jeden, w zależności od liczby interfejsów sieciowych, co może utrudniać jednoznaczną identyfikację.
7. B. Właściciel danych jest zazwyczaj odpowiedzialny za klasyfikację informacji na odpowiednim poziomie. Rolę tę zazwyczaj pełni starszy menedżer lub dyrektor, który następnie deleguje odpowiedzialność operacyjną do administratora danych.
8. A. Atak typu ping flood wysyła żądania echa do systemu docelowego. Te pingi wykorzystują przychodzące pakiety żądania echa ICMP, powodując, że system odpowiada wychodzącą odpowiedzią echa ICMP.
9. C. Chociaż wszystkie wymienione mechanizmy kontroli poprawiłyby bezpieczeństwo uwierzytelniania, większość z nich po prostu wzmacnia wykorzystanie uwierzytelniania opartego na wiedzy. Najlepszym sposobem na usprawnienie procesu uwierzytelniania byłoby dodanie czynnika nieopartego na wiedzy poprzez zastosowanie uwierzytelniania wieloskładnikowego. Może to obejmować użycie kontroli biometrycznych lub uwierzytelniania opartego na tokenach.
10. C. Sieci definiowane programowo (SDN) to protokół konwergentny, który umożliwia zastosowanie koncepcji i praktyk wirtualizacji w sieciach. MPLS obsługuje szeroki zakres protokołów, takich jak ATM, DSL i inne, ale nie ma na celu zapewnienia takich możliwości centralizacji, jak SDN. Sieć dystrybucji treści (CDN) nie jest protokołem konwergentnym, a FCoE to protokół Fibre Channel over Ethernet, konwergentny protokół dla pamięci masowej.
11. C. Najlepszym sposobem na całkowite usunięcie danych z płyt DVD jest ich zniszczenie, a rozdrobnienie płyt DVD jest odpowiednią metodą. Płyty DVD są nośnikami tylko do zapisu, co oznacza, że bezpieczne kasowanie i kasowanie danych bez usuwania danych nie zadziałają. Rozmagnesowanie działa tylko na nośnikach magnetycznych i nie gwarantuje braku pozostałości danych.
12. D. Pięć etapów SW-CMM to, w kolejności, Początkowy, Powtarzalny, Zdefiniowany, Zarządzany i Optymalizacja. Na etapie Optymalizacji następuje proces ciągłego doskonalenia.
13. A. Wszystkie pakiety opuszczające sieć Angie powinny mieć adres źródłowy z jej publicznego bloku adresów IP. Pakiety z adresem docelowym z sieci Angie nie powinny opuszczać sieci. Pakiety z adresami źródłowymi z innych sieci są prawdopodobnie podrabiane i powinny być blokowane przez filtry wyjściowe. Pakiety z prywatnymi adresami IP jako źródłami lub miejscami docelowymi nigdy nie powinny być kierowane do Internetu.
14. D. Najlepsze praktyki bezpieczeństwa nakazują stosowanie plików haseł typu shadowed, które przenoszą skróty haseł z powszechnie dostępnego pliku /etc/passwd do bardziej ograniczonego pliku /etc/shadow.
15. A. Chociaż programiści mogą odczuwać potrzebę biznesową, aby móc przenieść kod do środowiska produkcyjnego, zasada rozdziału obowiązków nakazuje, aby nie mieli możliwości zarówno pisania kodu, jak i umieszczania go na serwerze produkcyjnym. Wdrażanie kodu jest często wykonywane przez personel zarządzający zmianami.
16. A. Zastosowanie podpisu cyfrowego do wiadomości pozwala nadawcy osiągnąć cel niezaprzeczalności. Pozwala to odbiorcy wiadomości udowodnić osobie trzeciej, że wiadomość pochodzi od domniemanego nadawcy. Szyfrowanie symetryczne nie obsługuje niezaprzeczalności. Zapory sieciowe i systemy IDS to narzędzia bezpieczeństwa sieci, które nie są wykorzystywane do zapewnienia niezaprzeczalności.
17. A. System A powinien wysłać potwierdzenie ACK, aby zakończyć potrójne uzgadnianie. Trójetapowe uzgadnianie TCP to SYN, SYN/ACK, ACK.
18. B. TACACS+ to najnowocześniejsza wersja TACACS, czyli systemu kontroli dostępu do terminala (Terminal Access Controller Access-Control System). Jest to zastrzeżony protokół Cisco z dodatkowymi funkcjami wykraczającymi poza te, które oferuje RADIUS, co oznacza, że jest powszechnie używany w sieciach Cisco. XTACACS to starsza wersja, Kerberos to protokół uwierzytelniania sieciowego, a nie protokół uwierzytelniania użytkowników zdalnych, a RADIUS+ to wymyślony termin.
19. C. Menedżery połączeń i telefony VoIP można traktować jako serwery lub urządzenia oraz urządzenia wbudowane lub sieciowe. Oznacza to, że najbardziej prawdopodobnymi zagrożeniami, z jakimi się zetkną, są ataki typu "odmowa usługi" (DoS) i ataki na system operacyjny hosta. Złośliwe oprogramowanie i trojany mają mniejsze szanse na skuteczność w przypadku serwera lub systemu wbudowanego, który nie przegląda Internetu ani nie wymienia plików danych; przepełnienia bufora są zazwyczaj wymierzone w określone aplikacje lub usługi.
20. C. Podejście oparte na czarnej liście do kontroli aplikacji blokuje określone zabronione pakiety, ale zezwala na instalację innego oprogramowania w systemach. Podejście oparte na białej liście opiera się na odwrotnej filozofii i zezwala tylko na zatwierdzone oprogramowanie. Oprogramowanie antywirusowe wykrywa instalację złośliwego oprogramowania dopiero po fakcie. Detekcja heurystyczna jest odmianą oprogramowania antywirusowego.
21. B. Współczynnik narażenia to procent obiektu, który według menedżerów ryzyka ulegnie uszkodzeniu w przypadku materializacji ryzyka. Oblicza się go, dzieląc wielkość szkód przez wartość aktywów. W tym przypadku jest to 20 milionów dolarów szkód podzielone przez 100 milionów dolarów wartości obiektu, czyli 20%.
22. B. Roczny współczynnik występowania to liczba przypadków, w których analitycy ryzyka spodziewają się wystąpienia ryzyka w danym roku. W tym przypadku analitycy spodziewają się powodzi raz na 200 lat, czyli 0,005 razy rocznie.
23. B. Roczny oczekiwany współczynnik strat oblicza się, mnożąc pojedynczą oczekiwaną wartość strat (SLE) przez roczny współczynnik występowania (ARO). W tym przypadku SLE wynosi 20 milionów dolarów, a ARO 0,005. Mnożąc te liczby razem, otrzymujemy ALE wynoszący 100 000 dolarów.
24. B. Najczęstszym celem przeglądów zarządzania kontami są konta o wysokich uprawnieniach, ponieważ stwarzają one największe ryzyko. Drugą najczęstszą opcją są próby losowe. Konta istniejące od dłuższego czasu są bardziej narażone na problem z powodu rozrostu uprawnień niż konta utworzone niedawno, ale żadna z tych opcji nie jest prawdopodobna, chyba że istnieje konkretny powód organizacyjny przemawiający za ich wyborem.
25. A. W modelu przetwarzania w chmurze Infrastruktura jako usługa (IaaS) klient zachowuje odpowiedzialność za zarządzanie bezpieczeństwem systemu operacyjnego, podczas gdy dostawca zarządza bezpieczeństwem na poziomie hypervisora i niższym.
26. A. Błędy typu 1 występują, gdy prawidłowy podmiot nie jest uwierzytelniony. Błędy typu 2 występują, gdy nieprawidłowy podmiot jest nieprawidłowo uwierzytelniony. Błędy typu 3 i typu 4 nie są związane z uwierzytelnianiem biometrycznym.
27. B. Identyfikator firmy to pole służące do identyfikacji odpowiedniego rekordu w innej tabeli. To czyni go kluczem obcym. Każdy klient może złożyć więcej niż jedno zamówienie, co sprawia, że identyfikator firmy nie nadaje się do użycia jako klucz podstawowy lub kandydujący w tej tabeli. Klucze referencyjne nie są rodzajem klucza bazy danych.
28. B. Interfejsy programowania aplikacji (API), interfejsy użytkownika (UI) i interfejsy fizyczne są testowane w procesie testowania oprogramowania. Interfejsy sieciowe zazwyczaj nie są testowane, a interfejsy programowe to inna nazwa dla interfejsów API.
29. D. Zasada nieujawniania informacji poufnych stanowi, że świadek nie może zeznawać na temat tego, co ktoś inny mu powiedział, z wyjątkiem bardzo konkretnych wyjątków. Sądy zastosowały zasadę nieujawniania informacji poufnych, aby uwzględnić koncepcję, że adwokaci nie mogą wprowadzać logów do materiału dowodowego, chyba że zostaną uwierzytelnione przez administratora systemu. Zasada najlepszego dowodu stanowi, że kopie dokumentów nie mogą być dołączane do materiału dowodowego, jeśli dostępne są oryginały. Zasada dowodu ustnego stanowi, że jeśli dwie strony zawrą pisemną umowę, przyjmuje się, że ten dokument pisemny zawiera wszystkie warunki umowy. Dowód z zeznań jest rodzajem dowodu, a nie regułą dowodową.
30. B. Chociaż kluczowe wskaźniki ryzyka (KRI) mogą dostarczać użytecznych informacji do planowania organizacyjnego i głębszego zrozumienia, jak organizacje postrzegają ryzyko, KRI nie są doskonałym sposobem na reagowanie na zagrożenia bezpieczeństwa w czasie rzeczywistym. Systemy monitorowania i wykrywania, takie jak IPS, SIEM i inne narzędzia, lepiej nadają się do radzenia sobie z rzeczywistymi atakami.
31. B. Robaki posiadają wbudowane mechanizmy propagacji, które nie wymagają interakcji użytkownika, takie jak skanowanie systemów w poszukiwaniu znanych luk w zabezpieczeniach, a następnie wykorzystywanie ich w celu uzyskania dostępu. Wirusy i konie trojańskie zazwyczaj wymagają interakcji użytkownika do rozprzestrzeniania się. Bomby logiczne nie rozprzestrzeniają się między systemami, lecz czekają na spełnienie określonych warunków, uruchamiając dostarczenie ładunku.
32. A. W tym scenariuszu dostawca zapewnia obiektową pamięć masową, podstawową usługę infrastrukturalną. Jest to zatem przykład infrastruktury jako usługi (IaaS).
33. C. W modelu społecznościowej chmury obliczeniowej dwie lub więcej organizacji łączy swoje zasoby, aby stworzyć środowisko chmurowe, z którego następnie korzystają.
34. A. Podejście Agile do tworzenia oprogramowania zakłada, że działające oprogramowanie jest głównym miernikiem postępu, że prostota jest kluczowa, a ludzie biznesu i programiści muszą codziennie ze sobą współpracować. Stwierdza również, że najskuteczniejszą metodą przekazywania informacji jest kontakt bezpośredni, a nie elektroniczny.
35. C. Szyfrowanie, kontrola dostępu i zapory sieciowe nie byłyby skuteczne w tym przykładzie, ponieważ księgowi mają legalny dostęp do danych. Oprogramowanie do weryfikacji integralności chroniłoby przed tym atakiem, identyfikując nieoczekiwane zmiany w chronionych danych.
36. C. Gaśnice klasy C wykorzystują środki gaśnicze na bazie dwutlenku węgla lub halonu i są skuteczne w gaszeniu pożarów urządzeń elektrycznych. Gaśnice wodne nigdy nie powinny być używane do gaszenia pożarów urządzeń elektrycznych ze względu na ryzyko porażenia prądem.
37. A. Frame Relay obsługuje wiele prywatnych obwodów wirtualnych (PVC), w przeciwieństwie do X.25. Jest to technologia przełączania pakietów, która zapewnia gwarantowaną szybkość transmisji informacji (Committed Information Rate), czyli minimalną gwarantowaną przepustowość przez dostawcę usług dla klientów. Frame Relay wymaga urządzenia DTE/DCE w każdym punkcie połączenia, przy czym urządzenie DTE zapewnia dostęp do sieci Frame Relay, a urządzenie DCE dostarczane przez dostawcę usług przesyła dane przez sieć.
38. B. Raporty SOC 2 są udostępniane na podstawie umowy o zachowaniu poufności (NDA) wybranym partnerom lub klientom i mogą zawierać szczegółowe informacje na temat kontroli i wszelkich ewentualnych problemów. Raport SOC 1 zawierałby jedynie informacje dotyczące kontroli finansowej, a raport SOC 3 - mniej informacji, ponieważ jest publicznie dostępny.
39. C. Raport SOC 2, Typ 2 zawiera informacje o bezpieczeństwie, dostępności, integralności przetwarzania, poufności i prywatności centrum danych, a także opinię audytora na temat skuteczności operacyjnej kontroli. SOC 3 nie ma typów, a SOC 2 Typ 1 wymaga jedynie własnego poświadczenia organizacji.
40. B. Standard SAS 70 został zastąpiony w 2010 r. przez standard SSAE 16 z trzema poziomami SOC do raportowania. SAS 70 obejmował raporty Typu 2, obejmował centra danych i stosował 6-miesięczne okresy testowania dla raportów Typu 2.
41. C. Zarówno magistrala logiczna, jak i pierścień logiczny mogą być zaimplementowane jako gwiazda fizyczna. Ethernet jest powszechnie wdrażany jako gwiazda fizyczna, ale umieszczając przełącznik w centrum gwiazdy, Ethernet nadal działa jako magistrala. Podobnie, wdrożenia Token Ring wykorzystujące wielostanowiskową jednostkę dostępu (MAU) były wdrażane jako gwiazdy fizyczne, ale działały jako pierścienie.
42. C. Bell-LaPadula używa etykiet bezpieczeństwa na obiektach i zezwoleniach dla podmiotów, a zatem jest modelem MAC. Nie stosuje on dyskrecjonalnej, opartej na regułach, rolach ani atrybutach kontroli dostępu.
43. D. Ustawa o prawach edukacyjnych i prywatności rodziny (FERPA) chroni prywatność uczniów w każdej instytucji edukacyjnej, która akceptuje jakąkolwiek formę finansowania federalnego.
44. D. Ustawa o przenoszalności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) nakazuje ochronę chronionych informacji zdrowotnych (PHI). Ustawa SAFE dotyczy kredytów hipotecznych, ustawa Grahama Leacha Blileya (GLBA) dotyczy instytucji finansowych, a FERPA dotyczy danych uczniów.
45. C. Dzienniki systemu Windows obejmują ponowne uruchomienia, zamknięcia i zmiany stanu usług. Dzienniki aplikacji rejestrują zdarzenia generowane przez programy, dzienniki zabezpieczeń śledzą zdarzenia takie jak logowanie i korzystanie z uprawnień, a dzienniki konfiguracji śledzą konfigurację aplikacji.
46. D. Implementacje syslog są różne, ale większość z nich zapewnia ustawienie poziomu ważności, umożliwiając konfigurację wartości określającej, jakie komunikaty są wysyłane. Typowe poziomy ważności to debugowanie, informacyjne, powiadomienie, ostrzeżenie, błąd, krytyczny, alert i nagły wypadek. Kod funkcji jest również obsługiwany przez syslog, ale jest powiązany z tym, które usługi są rejestrowane. Poziom zabezpieczeń i priorytet rejestrowania nie są typowymi ustawieniami syslog.
47. B. W RAID 1, znanym również jako dublowanie dysków, systemy zawierają dwa dyski fizyczne. Każdy dysk zawiera kopie tych samych danych i dowolny z nich może być użyty w przypadku awarii drugiego dysku.
48. B. Zapora sieciowa na poziomie aplikacji używa serwerów proxy dla każdej filtrowanej usługi. Każdy serwer proxy został zaprojektowany do analizy ruchu pod kątem jego konkretnego typu, co pozwala mu lepiej zrozumieć prawidłowy ruch i zapobiegać atakom. Statyczne filtry pakietów i bramy na poziomie obwodów po prostu analizują źródło, miejsce docelowe i używane porty, podczas gdy zapora sieciowa z inspekcją pakietów (Stateful Packet Inspection) może śledzić stan komunikacji i zezwalać lub blokować ruch na podstawie tych danych.
49. C. Wywiady, ankiety i audyty są przydatne do oceny świadomości. Jakość kodu najlepiej ocenia się poprzez przegląd kodu, luki w zabezpieczeniach usług są testowane za pomocą skanerów luk w zabezpieczeniach i powiązanych narzędzi, a powierzchnia ataku organizacji wymaga zarówno przeglądu technicznego, jak i administracyjnego.
50. B. Ustawa Digital Millennium Copyright Act rozszerza ochronę operatora publicznego na dostawców usług internetowych, którzy nie ponoszą odpowiedzialności za "przejściowe działania" swoich klientów.
51. C. Tokeny to urządzenia sprzętowe (coś, co posiadasz), które generują jednorazowe hasło na podstawie czasu lub algorytmu. Zazwyczaj są one połączone z innym czynnikiem, takim jak hasło, w celu uwierzytelnienia użytkowników. Karty CAC i PIV to karty inteligentne wydawane przez rząd USA.
52. B. Umowa o zachowaniu poufności (NDA) to umowa prawna między dwiema stronami, która określa, jakich danych nie będą one ujawniać. Umowy NDA są powszechne w branżach, w których istnieją poufne lub tajemnice handlowe, których pracownicy nie powinni udostępniać nowym pracownikom. Szyfrowanie pomogłoby tylko w trakcie przesyłania lub w stanie spoczynku, a Fred prawdopodobnie będzie miał dostęp do danych w postaci niezaszyfrowanej w ramach swojej pracy. AUP to polityka dozwolonego użytku, a na giełdzie stosuje się zlecenie stop-loss.
53. A. Wielozadaniowość obsługuje wiele procesów na jednym procesorze, przełączając się między nimi za pomocą systemu operacyjnego. Wieloprocesorowość wykorzystuje wiele procesorów do jednoczesnego wykonywania wielu procesów. Wieloprogramowanie wymaga modyfikacji w aplikacjach bazowych. Wielowątkowość uruchamia wiele wątków w ramach jednego procesu.
54. C. Przestrzenie kluczy binarnych zawierają liczbę kluczy równą 2 podniesionej do potęgi równej liczbie bitów. Dwa do potęgi ósmej to 256, więc 8-bitowa przestrzeń kluczy zawiera 256 możliwych kluczy.
55. C. Zakresowanie to proces przeglądania i wyboru zabezpieczeń w oparciu o system, w którym zostaną zastosowane. Dostosowywanie to proces dopasowywania listy zabezpieczeń do misji organizacji. Poziomy bazowe są używane jako podstawowy zestaw zabezpieczeń, często od organizacji zewnętrznej, która je tworzy. Standaryzacja nie jest tu terminem istotnym.
56. D. W fazie przechowywania organizacja zapewnia ochronę informacji związanych z daną sprawą przed celową lub niezamierzoną zmianą lub usunięciem. Faza identyfikacji lokalizuje istotne informacje, ale ich nie przechowuje. Faza gromadzenia następuje po przechowywaniu i gromadzi informacje reaktywne. Faza przetwarzania wykonuje wstępną obróbkę zebranych informacji pod kątem ich istotności.
57. D. Systemy i nośniki powinny być oznaczone najwyższym poziomem poufności, który przechowują lub przetwarzają. W tym przypadku, zgodnie ze schematem klasyfikacji rządu USA, najwyższy poziom klasyfikacji używany w systemie to "Tajne". Klasyfikacja mieszana nie dostarcza żadnych użytecznych informacji na temat poziomu, natomiast "Ściśle Tajne" i "Poufne" są odpowiednio zbyt wysokie i zbyt niskie.
58. C. Wdrożyła mechanizmy kontroli rekompensaty. Mechanizmy kontroli rekompensaty są stosowane, gdy mechanizmy takie jak blokady w tym przykładzie są niewystarczające. Chociaż alarm jest mechanizmem kontroli fizycznej, umieszczone przez nią znaki nie są. Analogicznie, alarmy nie są mechanizmami kontroli administracyjnej. Żaden z tych mechanizmów kontroli nie pomaga w odzyskaniu danych po wystąpieniu problemu, a zatem nie stanowią mechanizmów odzyskiwania.
59. A. Tabele tęczowe opierają się na możliwości wykorzystania baz danych wstępnie obliczonych skrótów do szybkiego wyszukiwania dopasowań do znanych skrótów uzyskanych przez atakującego. Wydłużanie haseł może znacznie zwiększyć rozmiar tablicy tęczowej wymaganej do znalezienia pasującego skrótu, a dodanie do hasła wartości soli praktycznie uniemożliwi atakującemu wygenerowanie tablicy, która będzie pasować, chyba że zdobędzie wartość soli. Algorytmy MD5 i SHA1 to słabe rozwiązania do hashowania haseł w porównaniu z nowoczesnymi algorytmami hashowania, które zostały zaprojektowane tak, aby ułatwić hashowanie i utrudnić odzyskiwanie. Tablice tęczowe są często używane do list hashów uzyskanych w atakach, a nie w atakach sieciowych, więc szyfrowanie sieciowe nie jest w tym przypadku szczególnie przydatne. Hasła typu shadow po prostu udostępniają tradycyjnie czytelną dla wszystkich listę hashów haseł w systemach Unix i Linux w lokalizacji, do której dostęp ma tylko użytkownik root. Nie zapobiega to jednak atakowi na tablicę tęczową po uzyskaniu hashów.
60. C. Audytorzy zewnętrzni mogą zapewnić stronom trzecim obiektywny i bezstronny obraz mechanizmów kontrolnych organizacji. Audytorzy wewnętrzni są przydatni, gdy raportują kierownictwu wyższego szczebla, ale zazwyczaj nie są proszeni o raportowanie stronom trzecim. Testy penetracyjne służą do testowania mechanizmów kontroli technicznej, ale nie są tak dobrze przystosowane do testowania wielu mechanizmów kontroli administracyjnej. Pracownicy, którzy opracowują i utrzymują mechanizmy kontroli, są bardziej skłonni do stronniczego testowania tych mechanizmów i nie powinni być proszeni o raportowanie ich stronom trzecim.
61. A. Szyfrowanie zmniejsza ryzyko poprzez zmniejszenie prawdopodobieństwa, że podsłuchujący będzie mógł uzyskać dostęp do poufnych informacji.
62. B. Dostarczanie obejmuje tworzenie, konserwację i usuwanie obiektów użytkowników z aplikacji, systemów i katalogów. Rejestracja następuje, gdy użytkownicy są rejestrowani w systemie biometrycznym; populacja i ładowanie uwierzytelniacza nie są powszechnie używane w branży.
63. A. W modelu podmiot/obiekt kontroli dostępu, użytkownik lub proces składający żądanie dostępu do zasobu jest podmiotem tego żądania. W tym przykładzie Ricky żąda dostępu do sieci VPN (obiektu żądania) i dlatego jest podmiotem.
64. C. Wzór na określenie liczby kluczy szyfrujących wymaganych przez algorytm symetryczny to ((n*(n-1))/2). Przy sześciu użytkownikach potrzebne będzie ((6*5)/2), czyli 15 kluczy.
65. B. Patenty mają najkrótszy okres obowiązywania spośród wymienionych technik: 20 lat. Prawa autorskie obowiązują przez 70 lat po śmierci autora. Znaki towarowe są odnawialne bezterminowo, a tajemnice handlowe są chronione tak długo, jak długo pozostają tajne.
66. C. W strategii akceptacji ryzyka organizacja decyduje się na podjęcie jedynie udokumentowania ryzyka. Zakup ubezpieczenia stanowi przykład przeniesienia ryzyka. Przeniesienie centrum danych stanowiłoby unikanie ryzyka. Przebudowa obiektu stanowi przykład strategii ograniczania ryzyka.
67. C. Zasilacze awaryjne (UPS) zapewniają natychmiastowe zasilanie bateryjne przez krótki okres czasu, aby pokryć chwilowe zaniki zasilania. Generatory są w stanie zapewnić zasilanie awaryjne przez dłuższy czas w przypadku zaniku zasilania, ale ich aktywacja wymaga czasu. Macierze RAID i serwery redundantne zapewniają wysoką dostępność, ale nie obejmują scenariuszy zaniku zasilania.
68. C. Historie haseł przechowują listę poprzednich haseł (lub, najlepiej, listę zasolonych haseł), aby uniemożliwić użytkownikom ponowne użycie poprzednich haseł. Dłuższy minimalny wiek może zapobiec zmianie haseł przez użytkowników, a następnie ich ponownej zmianie, ale nie uniemożliwi zdeterminowanemu użytkownikowi odzyskania starego hasła. Wymagania dotyczące długości i złożoności skłaniają użytkowników do ponownego używania haseł, jeśli nie są one połączone z narzędziami takimi jak logowanie jednokrotne, systemy przechowywania haseł lub innymi narzędziami, które zmniejszają trudność zarządzania hasłami.
69. B. Oczekiwana strata pojedyncza (SLE) to skala szkód, jakie ryzyko może spowodować za każdym razem, gdy wystąpi.
70. B. Sanityzacja obejmuje takie czynności, jak wyjmowanie dysku twardego i innych lokalnych pamięci masowych z komputerów PC przed ich sprzedażą jako nadwyżki. Rozmagnesowanie wykorzystuje pola magnetyczne do czyszczenia nośników; oczyszczanie to intensywna forma czyszczenia stosowana w celu zapewnienia, że dane zostaną usunięte i nie będzie można ich odzyskać z nośnika; a wyjęcie niekoniecznie oznacza zniszczenie dysku.
71. D. W fazie raportowania osoby reagujące na incydenty oceniają swoje obowiązki wynikające z przepisów prawa i regulacji, aby zgłosić incydent agencjom rządowym i innym organom regulacyjnym.
72. B. Service Provisioning Markup Language (SPML) to język znaczników opracowany przez OASIS, przeznaczony do świadczenia usług, udostępniania użytkowników i zasobów między organizacjami. Security Assertion Markup Language (SAML) służy do wymiany danych uwierzytelniania i autoryzacji użytkowników. Extensible Access Control Markup Language (XACML) służy do opisu kontroli dostępu. Architektura zorientowana na usługi (SOA) nie jest językiem znaczników.
73. D. Pamięć RAM to rodzaj pamięci masowej podstawowej. Pamięć masowa dodatkowa obejmuje dyski twarde, dyski SSD i napędy optyczne.
74. D. Serwery SMTP, które nie uwierzytelniają użytkowników przed przekazaniem wiadomości, są znane jako otwarte przekaźniki. Otwarte przekaźniki, które są narażone na działanie Internetu, są zazwyczaj szybko wykorzystywane do wysyłania wiadomości e-mail spamerom.
75. D. Wysyłanie logów na bezpieczny serwer logów, czasami nazywany hostem bastionowym, to najskuteczniejszy sposób zapewnienia, że logi przetrwają naruszenie bezpieczeństwa. Szyfrowanie lokalnych logów nie powstrzyma atakującego przed ich usunięciem, a wymóg dostępu administracyjnego nie powstrzyma atakujących, którzy włamali się do maszyny i uzyskali podwyższone uprawnienia. Rotacja logów archiwizuje logi na podstawie czasu lub rozmiaru pliku, a także może czyścić logi po przekroczeniu określonego progu. Rotacja nie uniemożliwi atakującemu czyszczenia logów.
76. C. Narzędzie do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) zostało zaprojektowane w celu zapewnienia automatycznej analizy i monitorowania logów oraz zdarzeń bezpieczeństwa. SIEM, który otrzymuje dostęp do logów, może pomóc w wykrywaniu i ostrzeganiu o zdarzeniach, takich jak czyszczenie logów lub inne wskaźniki naruszenia bezpieczeństwa. System IDS może pomóc w wykrywaniu włamań, ale systemy IDS zazwyczaj nie są zaprojektowane do obsługi centralnych logów. Centralny serwer logów może odbierać i przechowywać logi, ale nie pomoże w analizie bez podjęcia dodatkowych działań. Syslog to po prostu format logu.
77. B. Wymaganie uwierzytelniania może pomóc w zapewnieniu rozliczalności, gwarantując, że każdą podjętą czynność można powiązać z konkretnym użytkownikiem. Centralne przechowywanie logów zapobiega usuwaniu przez użytkowników śladów podjętych przez nich działań. Przegląd logów może być przydatny podczas identyfikowania problemów, ale podpisy cyfrowe nie są typowym elementem środowiska rejestrowania. Rejestrowanie użycia poświadczeń administracyjnych jest pomocne dla tych użytkowników, ale nie obejmuje wszystkich, a szyfrowanie logów nie ułatwia rozliczalności. Autoryzacja jest pomocna, ale możliwość precyzyjnej identyfikacji użytkowników poprzez uwierzytelnianie jest ważniejsza.
78. B. Translacja adresów portów (PAT) służy do umożliwienia sieci korzystania z dowolnego adresu IP ustawionego w sieci bez powodowania konfliktu z publicznym Internetem. PAT jest często mylony z translacją adresów sieciowych (NAT), która mapuje jeden adres wewnętrzny na jeden adres zewnętrzny. IPSec to zestaw protokołów bezpieczeństwa, Software Defined Networking (SDN) to metoda programowego definiowania sieci, a IPX to protokół sieciowy inny niż IP.
79. C. Każdy z wymienionych środków ostrożności pomaga zapobiegać socjotechnice poprzez zapobieganie nadużyciom zaufania. Unikanie komunikacji wyłącznie głosowej jest szczególnie ważne, ponieważ ustalenie tożsamości przez telefon jest trudne. Pozostałym wymienionym atakom nie zapobiegną te techniki.
80. C. L2TP to jedyny z czterech popularnych protokołów VPN, który może natywnie obsługiwać protokoły inne niż IP. PPTP, L2F i IPSec to protokoły wyłącznie IP.
81. D. Dane resztkowe to dane, które pozostają po próbach ich usunięcia lub skasowania. Bitrot to termin używany do opisania starzejących się nośników, które ulegają zniszczeniu z upływem czasu. MBR to główny rekord rozruchowy (MBR), sektor rozruchowy znajdujący się na dyskach twardych i innych nośnikach. Termin "dane resztkowe" nie jest terminem branżowym.
82. C. Podczas testu równoległego zespół aktywuje witrynę odzyskiwania po awarii do celów testowych, ale witryna główna pozostaje sprawna. Test symulacyjny obejmuje odgrywanie przygotowanego scenariusza pod nadzorem moderatora. Odpowiedzi są oceniane, aby pomóc w usprawnieniu procesu reagowania w organizacji. Przegląd listy kontrolnej to najmniej uciążliwy rodzaj testu odzyskiwania po awarii. Podczas przeglądu listy kontrolnej członkowie zespołu samodzielnie przeglądają zawartość swoich list kontrolnych odzyskiwania po awarii i sugerują wszelkie niezbędne zmiany. Podczas ćwiczenia symulacyjnego członkowie zespołu spotykają się i omawiają scenariusz bez wprowadzania żadnych zmian w systemach informatycznych.
83. C. Dyskrecjonalna kontrola dostępu daje właścicielom prawo do decydowania, kto ma dostęp do obiektów, których są właścicielami. Kontrola dostępu oparta na rolach wykorzystuje administratorów do podejmowania decyzji dotyczących ról lub grup osób z daną rolą, kontrola dostępu oparta na zadaniach wykorzystuje listy zadań dla każdego użytkownika, a kontrola dostępu oparta na regułach stosuje zestaw reguł do wszystkich podmiotów.
84. C. Zaufane ścieżki, które zabezpieczają ruch sieciowy przed przechwyceniem i szyfrowaniem łączy, pomagają zapobiegać atakom typu man-in-the-middle. Atakom siłowym i słownikowym można zapobiegać za pomocą algorytmów back-off, które spowalniają powtarzające się ataki. Narzędzia do analizy logów mogą również tworzyć dynamiczne reguły zapory sieciowej, a system IPS może blokować takie ataki w czasie rzeczywistym. Zapobieganie fałszywym ekranom logowania może być trudne, choć szkolenia z zakresu świadomości użytkownika mogą być pomocne.
85. D. Cztery kanony kodeksu etycznego (ISC)2 to ochrona społeczeństwa, dobra wspólnego, niezbędnego zaufania publicznego i infrastruktury; działanie honorowe, uczciwe, sprawiedliwe, odpowiedzialne i zgodne z prawem; świadczenie sumiennej i kompetentnej obsługi przełożonych; oraz rozwój i ochrona zawodu.
86. A. Wytyczne dotyczące reagowania w sytuacjach awaryjnych powinny zawierać natychmiastowe kroki, które organizacja powinna podjąć w reakcji na sytuację awaryjną. Obejmują one procedury natychmiastowego reagowania, listę osób, które należy powiadomić o sytuacji awaryjnej, oraz procedury reagowania dla służb ratunkowych. Nie obejmują one działań długoterminowych, takich jak aktywacja protokołów ciągłości działania, zamawianie sprzętu czy aktywacja lokalizacji odzyskiwania po awarii.
87. C. Język SAML (Security Assertion Markup Language) jest najlepszym wyborem do dostarczania informacji uwierzytelniających i autoryzacyjnych, szczególnie w przypadku logowania jednokrotnego (SSO) w przeglądarce. Język HTML jest używany głównie w przypadku stron internetowych, SPML służy do wymiany informacji o użytkownikach w celu logowania jednokrotnego (SSO), a XACML jest używany do oznaczania zasad kontroli dostępu.
88. D. Osoby pełniące określone role w zakresie ciągłości działania powinny uczestniczyć w szkoleniu co najmniej raz w roku.
89. B. Triple DES działa, wykorzystując dwa lub trzy klucze szyfrujące. Używany z tylko jednym kluczem, 3DES generuje słabo zaszyfrowany tekst zaszyfrowany, który jest mniej bezpiecznym odpowiednikiem DES.
90. B. Adresy RFC 1918 mieszczą się w zakresie 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255 i 192.168.0.0-192.168.255.255. Adresy APIPA mieszczą się w zakresie od 169.254.0.01 do 169.254.255.254, a adres 127.0.0.1 to adres pętli zwrotnej (chociaż technicznie cała sieć 127.x.x.x jest zarezerwowana dla pętli zwrotnej). Publiczne adresy IP to pozostałe adresy w tej przestrzeni.
91. C. Ponieważ Lauren chce monitorować swój serwer produkcyjny, powinna skorzystać z monitorowania pasywnego, wykorzystując odczep sieciowy, port rozpiętości lub inne sposoby kopiowania rzeczywistego ruchu do systemu monitorowania, który może identyfikować problemy z wydajnością i inne. Pozwoli to uniknąć celowego wprowadzania potencjalnie problematycznego ruchu podczas rejestrowania rzeczywistych problemów z ruchem. Monitorowanie aktywne opiera się na ruchu syntetycznym lub wcześniej zarejestrowanym, a zarówno odtwarzanie, jak i czas rzeczywisty nie są powszechnie używanymi terminami branżowymi do opisu rodzajów monitorowania.
92. B. W przypadku aplikacji internetowych walidacja danych wejściowych powinna być zawsze przeprowadzana na serwerze aplikacji internetowych. Zanim dane wejściowe dotrą do bazy danych, są już częścią poprawnie sformatowanego polecenia SQL, a walidacja danych wejściowych byłaby znacznie trudniejsza, o ile w ogóle możliwa. Kontrolki walidacji danych wejściowych nigdy nie powinny znajdować się w przeglądarce klienta, jak ma to miejsce w przypadku JavaScript, ponieważ użytkownik może usunąć lub zmodyfikować kod walidacyjny.
93. A. RSA to asymetryczny algorytm szyfrowania, który wymaga tylko dwóch kluczy dla każdego użytkownika. IDEA, 3DES i Skipjack to symetryczne algorytmy szyfrowania, które wymagają klucza dla każdej unikalnej pary użytkowników w systemie.
94. D. Na obrazie wyraźnie widać czarny pasek magnetyczny biegnący przez kartę, co czyni go przykładem karty z paskiem magnetycznym.
95. D. Wpisy w dzienniku zawarte w tym przykładzie pokazują status zezwolenia/odmowy dla przychodzących i wychodzących sesji TCP i UDP. Jest to zatem przykład dziennika zapory sieciowej.
96. D. Luki typu zero-day pozostają w niebezpiecznej kategorii zero-day do momentu wydania poprawki, która je koryguje. W tym momencie obowiązkiem specjalistów IT staje się ochrona swoich systemów poprzez zastosowanie poprawki. Wdrożenie innych zabezpieczeń, takich jak szyfrowanie lub zapory sieciowe, nie zmienia charakteru luki typu zero-day.
97. A. Wszystkie wymienione techniki to metody wzmacniania zabezpieczeń, ale tylko łatanie dziurawego dachu jest przykładem wzmacniania infrastruktury fizycznej.
98. C. Użycie maszyny wirtualnej do monitorowania wirtualnego portu rozpiętości zapewnia taki sam poziom widoczności, jaki zapewniłaby sieć fizyczna, gdyby została prawidłowo wdrożona. Instalacja Wiresharka umożliwiłaby monitorowanie w każdym systemie, ale nie jest dobrze skalowalna. Urządzenie fizyczne wymagałoby, aby cały ruch był wysyłany poza środowisko maszyny wirtualnej, co pozbawiłoby je wielu korzyści wynikających z tej konstrukcji. Wreszcie, netcat jest narzędziem sieciowym służącym do wysyłania i odbierania danych, ale nie jest narzędziem umożliwiającym przechwytywanie pakietów ruchu między systemami.
99. C. Nadawca wiadomości szyfruje ją za pomocą klucza publicznego odbiorcy wiadomości.
100. D. Odbiorca wiadomości używa własnego klucza prywatnego do odszyfrowania wiadomości zaszyfrowanych za pomocą klucza publicznego odbiorcy. Gwarantuje to, że nikt inny poza docelowym odbiorcą nie będzie mógł odszyfrować wiadomości.
101. D. Podpisy cyfrowe wymuszają niezaprzeczalność. Zapobiegają one zaprzeczeniu przez osobę, że była faktycznym nadawcą wiadomości.
102. B. Osoba tworzy podpis cyfrowy, szyfrując skrót wiadomości swoim własnym kluczem prywatnym.
103. D. Porównanie czynnika w celu weryfikacji tożsamości nazywa się autoryzacją. Identyfikacja następuje po podaniu przez Jima swojego identyfikatora użytkownika. Tokenizacja to proces, który konwertuje poufny element danych na niewrażliwą reprezentację tego elementu. Haszowanie przekształca ciąg znaków na wartość o stałej długości lub klucz reprezentujący oryginalny ciąg.
104. B. Zdecentralizowana kontrola dostępu umożliwia osobom znajdującym się bliżej zasobów kontrolowanie dostępu, ale nie zapewnia spójnej kontroli. Nie zapewnia redundancji, ponieważ jedynie przenosi punkty kontrolne. Koszt kontroli dostępu zależy od jej implementacji i metod, a granularność można osiągnąć zarówno w modelach scentralizowanych, jak i zdecentralizowanych.
105. C. Pułapka, składająca się z pary drzwi z mechanizmem dostępu, który pozwala na otwarcie tylko jednych drzwi na raz, jest przykładem prewencyjnej kontroli dostępu, ponieważ może powstrzymać niepożądany dostęp, uniemożliwiając intruzom wejście do obiektu z powodu otwartych drzwi lub podążania za uprawnionym personelem. Może służyć jako środek odstraszający, zniechęcając intruzów, którzy zostaliby w niej uwięzieni bez odpowiedniego dostępu, a drzwi z zamkami są oczywiście przykładem kontroli fizycznej. Kontrola kompensacyjna ma na celu zrekompensowanie problemów z istniejącą kontrolą lub dodanie dodatkowych kontroli w celu ulepszenia kontroli głównej.
106. C. Sally musi zapewnić niezaprzeczalność, czyli możliwość udowodnionego powiązania danej wiadomości e-mail z nadawcą. Podpisy cyfrowe mogą zapewnić niezaprzeczalność i są dla niej najlepszym rozwiązaniem. IMAP to protokół pocztowy, szyfrowanie może zapewnić poufność, a DKIM to narzędzie do identyfikacji domen wysyłających wiadomości e-mail.
107. D. W większości sytuacji pracodawcy mogą nie mieć dostępu do informacji medycznych ze względu na przepisy dotyczące prywatności w opiece zdrowotnej. Weryfikacja referencji, karalności i historii kredytowej to zazwyczaj elementy sprawdzane przed zatrudnieniem.
108. C. W ataku lądowym atakujący wysyła pakiet z identycznymi adresami IP źródłowymi i docelowymi, próbując spowodować awarię systemów, które nie są w stanie obsłużyć tego ruchu niezgodnego ze specyfikacją.
109. A. Raport SSAE-16 typu I obejmuje mechanizmy kontroli i ich projekt w momencie sporządzania raportu. Raport typu II dodaje element historyczny, obejmujący mechanizmy kontroli w czasie. Standard SAS-70 jest nieaktualny i nie należy go stosować.
110. A. Po konwersji strumienia danych na segment (TCP) lub datagram (UDP) przechodzi on z warstwy sesji do warstwy transportu. Ta zmiana z wiadomości wysłanej na zakodowany segment umożliwia jej przejście przez warstwę sieciową.
111. C. Użytkownik prawidłowo wyjaśnił, że potrzebuje dostępu do danych - sporządzenie raportu żądanego przez dyrektora finansowego wymaga tego dostępu. Użytkownik nie wykazał jednak jeszcze, że posiada odpowiednie uprawnienia dostępu do tych informacji. Notatka od dyrektora finansowego spełniłaby ten wymóg.
112. B. Potrzeby Kathleen wskazują na usługę katalogową, a protokół LDAP (Lightweight Directory Access Protocol) spełniłby jej potrzeby. LDAP to otwarty, standardowy w branży i niezależny od dostawcy protokół dla usług katalogowych. Kerberos i RADIUS to protokoły uwierzytelniania, a Active Directory to produkt firmy Microsoft i nie jest niezależny od dostawcy, chociaż obsługuje szereg otwartych standardów.
113. A. Zapory aplikacji dodają funkcjonalność warstwy 7 do innych rozwiązań zapór. Obejmuje to możliwość inspekcji szczegółów warstwy aplikacji, takich jak analiza protokołów HTTP, DNS, FTP i innych protokołów aplikacji. 114. C. Reguła tworzenia pozwala podmiotowi na tworzenie nowych obiektów, a także tworzy granicę między podmiotem a tym obiektem, przyznając uprawnienia do nowego obiektu.
115. A. Metasploit zapewnia rozszerzalną platformę, umożliwiając testerom penetracyjnym tworzenie własnych exploitów, oprócz tych wbudowanych w narzędzie. Niestety, testy penetracyjne mogą obejmować tylko moment ich przeprowadzania. Podczas przeprowadzania testu penetracyjnego zawsze istnieje ryzyko odmowy usługi z powodu niestabilnej usługi, ale można testować procesy i polityki za pomocą socjotechniki i testów operacyjnych, które weryfikują działanie tych procesów i polityk.
116. D. EAL7 to najwyższy poziom zapewnienia bezpieczeństwa w ramach Common Criteria. Ma on zastosowanie, gdy system został formalnie zweryfikowany, zaprojektowany i przetestowany.
117. C. X.509 definiuje standardy dla certyfikatów klucza publicznego, takich jak te używane w wielu kartach inteligentnych. X.500 to seria standardów definiujących usługi katalogowe. Języki Service Provisioning Markup Language (SPML) i Security Assertion Markup Language (SAML) nie są standardami, których Alex powinien oczekiwać podczas uwierzytelniania za pomocą karty inteligentnej.
118. C. Ustawa o ochronie prywatności dzieci w Internecie (COPPA) reguluje strony internetowe przeznaczone dla dzieci lub świadomie gromadzące informacje od dzieci poniżej 13. roku życia.
119. A. Ustawa o przenoszalności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) ma zastosowanie do informacji medycznych i jest mało prawdopodobne, aby miała zastosowanie w tej sytuacji. Federal Information Security Management Act (FISMA) i Government InformationSecurity Reform Act regulują działalność wszystkich agencji rządowych. Ustawa o bezpieczeństwie wewnętrznym (HSA) powołała do życia Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, a co ważniejsze, w tym kontekście uwzględniono również ustawę o wzmocnieniu cyberbezpieczeństwa z 2002 r. i ustawę o krytycznej infrastrukturze informacyjnej z 2002 r. Ustawa o oszustwach komputerowych i nadużyciach (CFAA) zapewnia określone zabezpieczenia dla systemów obsługiwanych przez agencje rządowe.
120. C. Bramki obrotowe to bramki jednokierunkowe, które uniemożliwiają wejście do obiektu więcej niż jednej osobie na raz.
121. C. Systemy kontroli dostępu opierają się na identyfikacji i uwierzytelnianiu, aby zapewnić rozliczalność. Skuteczne systemy autoryzacji są pożądane, ale nie są wymagane, ponieważ logi mogą dostarczać informacji o tym, kto uzyskał dostęp do jakich zasobów, nawet jeśli dostęp do tych zasobów nie jest dobrze zarządzany. Oczywiście, słabe zarządzanie autoryzacją może powodować wiele innych problemów.
122. B. Protokół EAP był pierwotnie przeznaczony do użytku w fizycznie odizolowanych kanałach sieciowych i nie obejmował szyfrowania. Na szczęście został zaprojektowany z myślą o rozszerzalności, a protokół PEAP może zapewnić szyfrowanie TLS. Protokół EAP nie ogranicza się do PEAP jako opcji, ponieważ istnieje również protokół EAP-TLS, który zapewnia implementację protokołu EAP TLS, a ta sama rozszerzalność umożliwia wiele innych metod uwierzytelniania.
123. C. Zakres adresów 192.168.0.0-192.168.255.255 jest jednym z zakresów zdefiniowanych w dokumencie RFC 1918 jako prywatne, nieroutowalne zakresy adresów IP. Dostawca usług internetowych Scotta (i każda inna organizacja z prawidłowo skonfigurowanym routerem) nie będzie kierować ruchu z tych adresów przez publiczny Internet.
124. B. Powinna użyć wskaźnika KPI (Key Performance Indicator). Wskaźniki KPI służą do pomiaru sukcesu, zazwyczaj w odniesieniu do długoterminowych celów organizacji. Metryki to miary i chociaż KPI może być metryką, nie wszystkie metryki są KPI. Umowy SLA to umowy o poziomie usług (SLA), a metryki mogą pomóc określić, czy są one realizowane. Cele i kluczowe wyniki (OKR) służą do powiązania wydajności pracowników z wynikami za pomocą subiektywnych miar celów i ilościowych miar kluczowych wyników.
125. A. Dobrze zaprojektowany zestaw sieci VLAN oparty na grupach funkcjonalnych logicznie oddzieli segmenty sieci, utrudniając problemy z ujawnieniem danych między sieciami VLAN. Zmiana maski podsieci zmieni jedynie domenę rozgłoszeniową i nie rozwiąże problemów z podsłuchiwaniem pakietów. Bramy byłyby odpowiednie, gdyby protokoły sieciowebyły różne w różnych segmentach. Bezpieczeństwo portów ma na celu ograniczenie liczby systemów, które mogą łączyć się z danym portem.
126. C. Portale captive służą do wyświetlania strony, która może wymagać podjęcia działań, takich jak zaakceptowanie umowy lub zarejestrowanie adresu e-mail przed połączeniem klientów z Internetem. NAC ma na celu weryfikację, czy klienci spełniają profil bezpieczeństwa, który nie odpowiada potrzebom większości kawiarni. Brama bezprzewodowa to narzędzie umożliwiające dostęp do sieci komórkowej lub innej, a nie sposób interakcji z użytkownikami przed nawiązaniem połączenia, a 802.11 to rodzina standardów bezprzewodowych IEEE.
127. A. Monitorowanie aktywne, znane również jako monitorowanie syntetyczne, opiera się na wstępnie nagranym lub generowanym ruchu w celu testowania wydajności systemów i rozwiązywania innych problemów. Monitorowanie pasywne wykorzystuje porty rozpięte, odczepy sieciowe lub podobne technologie do rejestrowania rzeczywistego ruchu w celu analizy. Monitorowanie reaktywne nie jest powszechnie używanym terminem branżowym.
128. B. Nagłówki TCP mogą mieć długość od 20 do 60 bajtów, w zależności od ustawionych opcji.
129. A. Sieci komórkowe borykają się z tymi samymi problemami, co każda sieć publiczna. Wymagania dotyczące szyfrowania powinny być zgodne z tymi, które organizacja wybiera dla innych sieci publicznych, takich jak hotele, konferencyjne Wi-Fi i podobne scenariusze. Szyfrowanie wszystkich danych jest trudne i generuje dodatkowe koszty, dlatego nie powinno być domyślnym rozwiązaniem, chyba że firma wyraźnie tego wymaga. WAP to przestarzały protokół aplikacji bezprzewodowych i nie jest szeroko stosowany; jego wymaganie byłoby trudne. WAP zapewnia TLS, co byłoby pomocne w trakcie użytkowania.
130. D. Najlepszym rozwiązaniem dla Freda jest użycie szyfrowanej, zaufanej usługi VPN do tunelowania całego zużycia danych. Zaufane sieci Wi-Fi prawdopodobnie nie będą dostępne na konferencji hakerskiej, normalne korzystanie z nich jest niebezpieczne ze względu na rozpowszechnienie technologii umożliwiającej tworzenie fałszywych wież, a całkowite zaprzestanie korzystania z nich nie zaspokoi potrzeb biznesowych Freda.
131. B. Narzędzia do zdalnego czyszczenia danych są przydatnym rozwiązaniem, ale działają tylko wtedy, gdy telefon ma dostęp do sieci komórkowej lub Wi-Fi. Rozwiązania do zdalnego czyszczenia danych służą do usuwania danych z telefonu niezależnie od tego, czy jest on używany, czy ma hasło. Dostawcy odblokowują telefony do użytku w innych sieciach komórkowych, a nie do czyszczenia lub obsługi innych funkcji.
132. C. Celem ćwiczeń z zakresu planowania ciągłości działania jest skrócenie czasu potrzebnego na przywrócenie działania. Osiąga się to poprzez minimalizację docelowego czasu odzyskiwania (RTO).
133. D. Publikacja specjalna NIST 800-53 opisuje głębokość i zakres. Terminy te opisują głębokość, określając poziom szczegółowości. Zakres mierzy szerokość poprzez zastosowanie wielu typów oceny i zapewnienie, że uwzględniona jest każda linia kodu. Jeśli napotkasz takie pytanie i nie znasz szczegółów standardu takiego jak NIST 800-53 lub możesz ich nie pamiętać, skoncentruj się na znaczeniu każdego słowa i szczegółach pytania. Możemy łatwo wykluczyć potwierdzenie, które nie jest miarą. Odpowiedniość jest możliwa, ale dopasowanie do głębokości jest lepsze niż odpowiedniość lub pokrycie.
134. C. Ustrukturyzowane przejście wykorzystuje wyłącznie odgrywanie ról do testowania planu odzyskiwania po awarii. Nie obejmuje ono użycia żadnych kontroli technicznych. Testy symulacyjne, testy równoległe i testy z pełnym przerwaniem w rzeczywistości wykorzystują niektóre lub wszystkie kontrole odzyskiwania po awarii.
135. C. Zakłócenia to szum elektryczny lub inne zakłócenia, które uszkadzają zawartość pakietów. Opóźnienie to opóźnienie w dostarczaniu pakietów ze źródła do miejsca przeznaczenia. Jitter to zmienność opóźnienia dla różnych pakietów. Utrata pakietów to zniknięcie pakietów w trakcie transmisji, które wymaga retransmisji.
136. A. Inspekcje Fagana odbywają się zgodnie z rygorystycznym, wysoce ustrukturyzowanym procesem przeglądu kodu, obejmującym cykl planowania, przeglądu, przygotowania, inspekcji, przeróbek i działań następczych. Fuzzing wprowadza do programów nieoczekiwane dane wejściowe, podczas gdy przegląd kodu "przez ramię" to po prostu przegląd, podczas którego inny programista spotyka się z nim w celu przejrzenia kodu w ramach "spaceru". Programowanie w parach polega na tym, że jeden z programistów pisze kod, a obaj omawiają proces kodowania i rozwoju.
137. B. Usunięcie znacznika < SCRIPT > z danych wejściowych użytkownika nie jest wystarczające, ponieważ użytkownik może łatwo ominąć ten filtr, kodując go za pomocą techniki omijania filtra XSS. Frank miał rację, przeprowadzając walidację na serwerze, a nie po stronie klienta, ale powinien użyć walidacji, która ogranicza dane wejściowe użytkownika do dozwolonych wartości, zamiast filtrować jeden potencjalnie szkodliwy znacznik.
138. C. Fortran to język programowania funkcyjnego. Java, C++ i C# to języki obiektowe, co oznacza, że wykorzystują model obiektowy i podejście programistyczne do opisu interakcji między obiektami.
139. C. Ustawa HIPAA wymaga, aby każda osoba pracująca z danymi osobowymi dotyczącymi zdrowia w imieniu podmiotu objętego ustawą HIPAA podlegała warunkom umowy z podmiotem współpracującym (BAA).
140. A. Podczas testu pełnego przerwania zespół wyłącza witrynę główną i potwierdza, że witryna odzyskiwania po awarii jest zdolna do obsługi normalnych operacji. Test pełnego przerwania jest testem najbardziej dokładnym, ale również najbardziej uciążliwym. Podczas testu równoległego zespół faktycznie uruchamia witrynę odzyskiwania po awarii w celu przeprowadzenia testów, ale witryna główna pozostaje sprawna. Przegląd listy kontrolnej jest najmniej uciążliwym rodzajem testu odzyskiwania po awarii. Podczas przeglądu listy kontrolnej członkowie zespołu samodzielnie przeglądają zawartość swoich list kontrolnych odzyskiwania po awarii i sugerują wszelkie niezbędne zmiany. Podczas ćwiczenia symulacyjnego członkowie zespołu spotykają się i omawiają scenariusz bez wprowadzania żadnych zmian w systemach informatycznych.
141. D. Ed proponuje zainstalowanie bramy IPv6 na IPv4, która będzie mogła tłumaczyć ruch między sieciami. Most byłby odpowiedni dla różnych typów sieci, natomiast router byłby sensowny, gdyby sieci były podobne. Nowoczesny przełącznik mógłby obsługiwać oba typy ruchu, ale nie byłby zbyt pomocny w tłumaczeniu między tymi dwoma protokołami.
142. C. Szyfr blokowy Rijndaela został wybrany jako zwycięzca i jest algorytmem kryptograficznym leżącym u podstaw Advanced Encryption Standard (AES).
143. C. Międzynarodowe Zasady Ochrony Prywatności Safe Harbor wymienione tutaj są częścią przepisów Safe Harbor, które mają na celu uwzględnienie Dyrektywy Unii Europejskiej w sprawie ochrony danych osobowych. Dyrektywa DPD zawiera siedem nieco odmiennych kluczowych zasad zapewniających bezpieczeństwo danych i prywatność. Ustawa o ochronie prywatności dzieci w Internecie (Children′s Online Privacy Act, COPA) i nowojorska ustawa SAFE Act nie są przepisami dotyczącymi bezpieczeństwa informacji ani prywatności, a federalna ustawa o modernizacji bezpieczeństwa informacji (Federal Information Security Modernization Act, FISMA) jest kluczowym elementem polityki bezpieczeństwa rządu federalnego USA.
144. B. Dyrektywa UE o ochronie danych nie wymaga, aby organizacje dostarczały osobom fizycznym listy pracowników.
145. B. Tammy powinna wybrać serwerownię ciepłą. Ten typ infrastruktury spełnia jej wymagania dotyczące dobrej równowagi między kosztami a czasem odzyskiwania. Jest ona tańsza niż serwerownia gorąca, ale umożliwia szybsze odzyskiwanie danych niż serwerownia zimna. Serwerownia czerwona nie jest rodzajem infrastruktury odzyskiwania danych po awarii.
146. B. Gdy dane docierają do warstwy transportowej, są wysyłane jako segmenty (TCP) lub datagramy (UDP). Powyżej warstwy transportowej dane stają się strumieniem danych, natomiast poniżej warstwy transportowej są konwertowane na pakiety w warstwie sieciowej, ramki w warstwie łącza danych i bity w warstwie fizycznej.
147. D. Standard Advanced Encryption Standard obsługuje szyfrowanie kluczami 128-bitowymi, 192-bitowymi i 256-bitowymi.
148. D. Interfejs programowania aplikacji (API) umożliwia programistom tworzenie bezpośredniej metody interakcji innych użytkowników z ich systemami poprzez abstrakcję, która nie wymaga znajomości szczegółów implementacji. Dostęp do modeli obiektów, kodu źródłowego i słowników danych również pośrednio ułatwia interakcję, ale w sposób, który zapewnia innym programistom dostęp do szczegółów implementacji.
149. D. System poczty elektronicznej PGP, wynaleziony przez Phila Zimmermana, wykorzystuje podejście "sieci zaufania" do zabezpieczania poczty elektronicznej. Wersja komercyjna używa algorytmu RSA do wymiany kluczy, algorytmu IDEA do szyfrowania/deszyfrowania oraz algorytmu MD5 do generowania skrótów wiadomości. Wersja darmowa wykorzystuje wymianę kluczy Diffiego-Hellmana, algorytm szyfrowania/deszyfrowania Carlisle Adams/Stafford Tavares (CAST) oraz funkcję skrótu SHA.
150. B. Uprawnienia przyznawane plikom w systemie Linux określają, co upoważnieni użytkownicy mogą z nimi robić - odczytywać, zapisywać lub wykonywać. Na pokazanym obrazku wszyscy użytkownicy mogą czytać, zapisywać i wykonywać plik index.html, natomiast właściciel może czytać, zapisywać i wykonywać plik example.txt, grupa nie ma takiej możliwości, a każdy może go pisać i wykonywać.
151. C. Detektywistyczne kontrole dostępu działają po fakcie i mają na celu wykrywanie lub wykrywanie niepożądanego dostępu lub aktywności. Prewencyjne kontrole dostępu mają na celu zapobieganie wystąpieniu takiej aktywności, natomiast kontrole korygujące przywracają środowisko do stanu pierwotnego po wystąpieniu problemu. Dyrektywne kontrole dostępu ograniczają lub kierują działaniami podmiotów w celu zapewnienia zgodności z politykami.
152. C. Honeypot to system komputerowy-wabik służący do wabienia intruzów do ataku. Honeynet to sieć wielu honeypotów, która tworzy bardziej zaawansowane środowisko do eksploracji przez intruzów. Pseudo-wada to fałszywa luka w zabezpieczeniach systemu, która może przyciągnąć atakującego. Darknet to segment niewykorzystanej przestrzeni adresowej sieci, w której nie powinna być prowadzona żadna aktywność sieciowa, a zatem może być łatwo wykorzystany do monitorowania nielegalnej aktywności.
153. C. CER to punkt, w którym przecinają się FAR i FRR, i jest to standardowa ocena stosowana do porównywania dokładności urządzeń biometrycznych.
154. A. W punkcie B współczynnik fałszywej akceptacji (FAR) jest dość wysoki, natomiast współczynnik fałszywego odrzucenia (FRR) jest stosunkowo niski. Może to być akceptowalne w pewnych okolicznościach, ale w organizacjach, w których fałszywa akceptacja może stanowić poważny problem, prawdopodobnie należy wybrać punkt na prawo od punktu A.
155. B. CER to standard stosowany do oceny urządzeń biometrycznych. Jeśli współczynnik CER dla tego urządzenia nie spełnia potrzeb organizacji, Ben powinien ocenić inne systemy biometryczne, aby znaleźć taki z niższym współczynnikiem CER. Czułość jest już uwzględniona w wykresach CER, a Ben nie może jej zmienić. FRR nie jest ustawieniem w oprogramowaniu, więc Ben również nie może z tego skorzystać.
156. B. Dane osobowe (PII) mogą służyć do identyfikacji osoby. Dane osobowe dotyczące zdrowia (PHI) obejmują dane takie jak historia choroby, wyniki badań laboratoryjnych, informacje o ubezpieczeniu i inne szczegóły dotyczące pacjenta. Dane Osobowe Chronione to termin wymyślony, a PID to akronim od identyfikatora procesu (process ID), numeru przypisanegodo uruchomionego programu lub procesu.
157. D. Rysunek przedstawia model kaskadowy opracowany przez Winstona Royce′a. Kluczową cechą tego modelu jest seria kolejnych kroków, które obejmują pętlę sprzężenia zwrotnego, umożliwiającą procesowi powrót o krok przed bieżącym krokiem, gdy jest to konieczne.
158. B. Enkapsulacja stwarza zarówno korzyści, jak i potencjalne problemy związane z protokołami wielowarstwowymi. Mostkowanie może wykorzystywać różne protokoły, ale nie opiera się na enkapsulacji. Protokoły haszujące i przechowywania danych zazwyczaj nie opierają się na enkapsulacji jako podstawowym elemencie swojej funkcjonalności.
159. B. Pięć zasad COBIT to: zaspokajanie potrzeb interesariuszy, kompleksowe objęcie przedsiębiorstwa, stosowanie jednej zintegrowanej struktury, umożliwienie holistycznego podejścia oraz oddzielenie zarządzania od zarządzania.
160. A. Zasada dalszego przekazywania wymaga, aby organizacje wymieniały dane osobowe wyłącznie z innymi organizacjami związanymi zasadami prywatności określonymi w dyrektywie UE o ochronie danych. Wielka Brytania, Włochy i Niemcy, jako państwa członkowskie UE, są zobowiązane do przestrzegania tych zasad. Stany Zjednoczone nie posiadają kompleksowego prawa o ochronie prywatności, które kodyfikowałoby te zasady, dlatego obowiązuje wymóg dalszego przekazywania danych.
161. C. System nazw domen (DNS) zapewnia przyjazne dla użytkownika nazwy domen, które odpowiadają adresom IP, umożliwiając łatwe zapamiętywanie stron internetowych i nazw hostów. Protokół ARP służy do przekształcania adresów IP na adresy MAC, natomiast protokół TCP służy do kontrolowania ruchu sieciowego między systemami.
162. B. Ben ocenia specyfikację. Specyfikacje to artefakty oparte na dokumentach, takie jak zasady lub projekty. Aktywności to działania wspierające system informatyczny, w który zaangażowani są ludzie. Mechanizmy to elementy sterujące lub systemy oparte na sprzęcie, oprogramowaniu lub oprogramowaniu sprzętowym w systemie informatycznym, a osoba fizyczna to jedna lub więcej osób stosujących specyfikacje, mechanizmy lub działania.
163. C. Prawidłowo przeprowadzony proces oczyszczania w pełni gwarantuje, że dane nie pozostaną w systemie przed ich ponownym użyciem. Czyszczenie i kasowanie danych mogą być podatne na awarie, a zniszczenie nie pozostawi maszyny ani urządzenia do ponownego użycia.
164. C. W teście szarej skrzynki tester ocenia oprogramowanie z perspektywy użytkownika, ale ma dostęp do kodu źródłowego w trakcie przeprowadzania testu. Testy białej skrzynki również mają dostęp do kodu źródłowego, ale przeprowadzają testowanie z perspektywy programisty. Testy czarnej skrzynki działają z perspektywy użytkownika, ale nie mają dostępu do kodu źródłowego. Niebieskie skrzynki to narzędzie do hakowania telefonów, a nie technika testowania oprogramowania.
165. D. Podejście DevOps do zarządzania technologią dąży do integracji rozwoju oprogramowania, operacji i zapewnienia jakości w spójny sposób. W szczególności dąży do wyeliminowania problemu "przerzucania problemów przez płot" poprzez budowanie relacji współpracy między członkami zespołu IT.
166. B. Narzędzie do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) zostało zaprojektowane w celu centralizacji logów z wielu lokalizacji w wielu formatach oraz zapewnienia odczytu i analizy logów pomimo różnic między różnymi systemami i urządzeniami. Protokół SNMP (Simple Network Management Protocol) jest używany do przesyłania niektórych komunikatów dotyczących logów, ale nie jest rozwiązaniem, które rozwiązuje wszystkie te problemy. Większość urządzeń innych niż Windows, w tym między innymi urządzenia sieciowe, nie jest zaprojektowana do korzystania z formatu dziennika zdarzeń systemu Windows, chociaż używanie protokołu NTP do synchronizacji czasu jest dobrym pomysłem. Wreszcie, lokalne rejestrowanie jest przydatne, ale indywidualne ustawianie zegarów spowoduje przesunięcie w czasie i nie rozwiąże problemu z wieloma źródłami rejestrowania.
167. C. Mike powinien użyć nadpisywania, aby zabezpieczyć to urządzenie. Chociaż rozmagnesowanie jest sprawdzoną, bezpieczną techniką usuwania danych, nie byłoby skuteczne w tym przypadku, ponieważ rozmagnesowanie działa tylko na nośnikach magnetycznych. Fizyczne zniszczenie uniemożliwiłoby ponowne użycie urządzenia. Ponowne formatowanie nie jest sprawdzoną, bezpieczną techniką usuwania danych.
168. A. Pojedynczy cudzysłów w polu wprowadzania danych jest oznaką ataku typu SQL injection. Cudzysłów służy do wyprowadzenia poza pole wprowadzania danych kodu SQL, a następujący po nim tekst służy do bezpośredniego manipulowania poleceniem SQL wysyłanym z aplikacji internetowej do bazy danych.
169. D. Procedury to formalne, obowiązkowe dokumenty, które zawierają szczegółowe, krok po kroku instrukcje dotyczące działań wymaganych od osób wykonujących zadanie.
170. D. Trwałość wymaga, aby po zatwierdzeniu transakcji w bazie danych została ona zachowana. Atomowość gwarantuje, że w przypadku awarii dowolnej części transakcji w bazie danych, cała transakcja musi zostać wycofana, tak jakby nigdy nie miała miejsca. Spójność zapewnia, że wszystkie transakcje są zgodne z logicznymi regułami bazy danych, takimi jak posiadanie klucza podstawowego. Izolacja wymaga, aby transakcje działały niezależnie od siebie.
171. D. Znak wodny modyfikuje obiekt cyfrowy, osadzając w nim informacje o źródle, zarówno w formie widocznej, jak i ukrytej. Podpisy cyfrowe mogą identyfikować źródło dokumentu, ale można je łatwo usunąć. Haszowanie nie dostarczy żadnych informacji o źródle dokumentu, ponieważ każdy mógłby obliczyć wartość hasha. Barwienie dokumentów nie jest środkiem kontroli bezpieczeństwa.
172. C. Centra danych powinny znajdować się w centrum budynku. Umiejscowienie ich na niższych piętrach naraża je na zalanie i włamania. Umiejscowienie ich na najwyższym piętrze naraża je na wiatr i uszkodzenia dachu.
173. A. Zasada należytej staranności stanowi, że osoba powinna reagować w danej sytuacji z takim samym poziomem ostrożności, jakiego oczekuje się od każdej rozsądnej osoby. Jest to bardzo szeroki standard. Zasada należytej staranności jest bardziej szczegółowym elementem należytej staranności, który stanowi, że osoba, której powierzono odpowiedzialność, powinna dołożyć należytej staranności, aby wykonać zadanie dokładnie i terminowo.
174. B. Dochodzenia karne wiążą się z wysokim ryzykiem i surową karą dla sprawcy, która może obejmować pozbawienie wolności. Dlatego też stosuje się w nich najsurowszy standard dowodowy ze wszystkich dochodzeń: ponad wszelką wątpliwość. Dochodzenia cywilne stosują standard przewagi dowodów. Dochodzenia regulacyjne mogą stosować dowolny standard odpowiedni dla miejsca, w którym dowody będą rozpatrywane. Może to obejmować standard ponad wszelką wątpliwość, ale nie zawsze jest on stosowany w dochodzeniach regulacyjnych. Dochodzenia operacyjne nie stosują standardu dowodowego.
175. D. Kopie różnicowe nie zmieniają bitu archiwum w pliku, podczas gdy kopie przyrostowe i pełne resetują bit archiwum do 0 po zakończeniu tworzenia kopii zapasowej. Częściowe kopie zapasowe nie są rodzajem kopii zapasowych.
176. B. Lokalizacje "ciepłe" zawierają sprzęt niezbędny do przywrócenia operacji, ale nie mają aktualnej kopii danych.
177. C. Skok napięcia to chwilowy okres wysokiego napięcia. Przepięcie to długotrwały okres wysokiego napięcia. Spadki i spadki napięcia to okresy niskiego napięcia.
178. A. Podmioty to aktywne jednostki, które mogą uzyskać dostęp do pasywnego obiektu w celu pobrania informacji z obiektu lub o nim. Podmioty mogą również wprowadzać zmiany w obiektach, jeśli są odpowiednio autoryzowane. Użytkownicy często są podmiotami, ale nie wszyscy podmioty są użytkownikami.
179. A. OSPF to protokół stanu łącza. Protokoły stanu łącza przechowują mapę topograficzną wszystkich połączonych sieci i preferencyjnie wybierają najkrótszą ścieżkę do sieci zdalnych. Protokół wektora odległości mapowałby kierunek i odległość w przeskokach do sieci zdalnej, podczas gdy najkrótsza ścieżka i mapowanie łączy nie są typami protokołów routingu.
180. A. Języki maszynowe są przykładami języków programowania pierwszej generacji. Języki drugiej generacji obejmują języki asemblera. Języki trzeciej generacji obejmują języki kompilowane. Języki czwartej i piątej generacji wykraczają poza standardowe języki kompilowane, obejmując języki naturalne i deklaratywne podejścia do programowania.
181. A. Tara musi najpierw osiągnąć punkt odniesienia systemu. Robi to, stosując najnowszą pełną kopię zapasową do nowego systemu. Jest to pełna kopia zapasowa z niedzieli. Po ustaleniu tej linii bazowej Tara może przystąpić do wykonywania kopii różnicowych, aby przywrócić system do nowszego stanu.
182. B. Aby przywrócić system do stanu jak najbardziej aktualnego, Tara musi najpierw zastosować pełną kopię zapasową z niedzieli. Następnie może zastosować najnowszą kopię różnicową z wtorkowego wieczoru. Kopie różnicowe obejmują wszystkie pliki, które uległy zmianie od czasu utworzenia ostatniej pełnej kopii zapasowej, więc zawartość wtorkowej kopii zapasowej zawiera wszystkie dane, które znajdowałyby się w poniedziałkowej kopii zapasowej, co sprawia, że poniedziałkowa kopia zapasowa jest nieistotna w tym scenariuszu.
183. A. W tym scenariuszu kopia różnicowa została utworzona w południe, a serwer uległ awarii o godzinie 15:00. W związku z tym wszelkie dane zmodyfikowane lub utworzone między godziną 12:00 a 15:00 nie będą zawarte w żadnej kopii zapasowej i zostaną bezpowrotnie utracone.
184. D. Po przejściu z kopii różnicowych na przyrostowe, kopie zapasowe Tary z dni powszednich będą zawierały tylko informacje zmienione od poprzedniego dnia. Dlatego musi ona zastosować wszystkie dostępne kopie przyrostowe. Rozpocznie od przywrócenia pełnej kopii zapasowej z niedzieli, a następnie zastosuje kopie przyrostowe z poniedziałku, wtorku i środy.
185. D. Każda kopia przyrostowa zawiera tylko informacje zmienione od ostatniej pełnej lub przyrostowej kopii zapasowej. Zakładając, że ta sama ilość informacji zmienia się każdego dnia, każda z kopii przyrostowych będzie miała mniej więcej taki sam rozmiar.
186. A. Informacje, które można modyfikować między klientem a serwerem, oznaczają również, że są one dostępne, co wskazuje zarówno na manipulację, jak i ujawnienie informacji. Spoofing w STRIDE ma na celu wyłudzenie danych uwierzytelniających i uwierzytelniania, o czym pytanie nie wspomina. Wyparcie wymagałoby udowodnienia, kto wykonał czynność, a podniesienie uprawnień wchodziłoby w grę, gdyby w grę wchodziły poziomy uprawnień.
187. B. Retencja rekordów zapewnia, że dane są przechowywane i utrzymywane tak długo, jak są potrzebne, oraz że są usuwane, gdy nie są już potrzebne. Remanencja danych ma miejsce, gdy dane pozostają po próbie ich usunięcia, natomiast redakcja danych nie jest terminem technicznym używanym do opisania tego działania. Wreszcie, rejestrowanie audytu może być częścią przechowywanych rekordów, ale nie opisuje cyklu życia danych.
188. D. Nagłówek uwierzytelniania (Authentication Header) zapewnia uwierzytelnianie, integralność i niezaprzeczalność połączeń IPSec. Nagłówek enkapsulacji (Encapsulating Security Payload) zapewnia szyfrowanie, a tym samym zapewnia poufność. Może również zapewniać ograniczone uwierzytelnianie. L2TP to niezależny protokół VPN, a nagłówek szyfrowania (Encryption Security Header) to wymyślony termin.
189. B. Atak opisany w scenariuszu jest klasycznym przykładem skanowania TCP, techniki rozpoznania sieci, która może poprzedzać inne ataki. Nie ma dowodów na to, że atak zakłócił dostępność systemu, co charakteryzowałoby atak typu "odmowa usługi", że został przeprowadzony przez złośliwego użytkownika wewnętrznego lub że doprowadził do naruszenia bezpieczeństwa systemu.
190. C. Atakujący mogą wykorzystać złożoność algorytmiczną jako narzędzie do eksploracji wyścigu TOC/TOU. Zmieniając obciążenie procesora, atakujący mogą wykorzystać czas potrzebny na przetworzenie żądań i wykorzystać tę zmienność do efektywnego zaplanowania wykonania exploita. Blokowanie plików, obsługa wyjątków i kontrola współbieżności to metody wykorzystywane do obrony przed atakami TOC/TOU.
191. D. Jądro znajduje się w centralnym pierścieniu, Pierścieniu 0. Pierścień 1 zawiera inne komponenty systemu operacyjnego. Pierścień 2 jest używany do sterowników i protokołów. Programy i aplikacje na poziomie użytkownika działają w Pierścieniu 3. Pierścienie 0-2 działają w trybie uprzywilejowanym, natomiast Pierścień 3 działa w trybie użytkownika.
192. A. Poziom RAID 0 jest również znany jako striping dysków. RAID 1 to mirroring dysków. RAID 5 to striping dysków z parzystością. RAID 10 to striping dysków z parzystością.
193. A. Jest to przykład ataku typu time of check/time of use, czyli TOC/TOU. Wykorzystuje on różnicę między czasem, w którym system sprawdza uprawnienia do wykonania czynności, a czasem, w którym czynność ta jest faktycznie wykonywana. Nagły wzrost uprawnień wystąpiłby, gdyby konto uzyskało dodatkowe uprawnienia w miarę upływu czasu, gdy rola lub zadanie drugiego użytkownika uległy zmianie. Importowanie występuje, gdy atakujący podszywa się pod uprawnionego użytkownika, a wymiana linków nie jest rodzajem ataku.
194. B. RAID 0, czyli striping dysków, wymaga co najmniej dwóch dysków do wdrożenia. Poprawia to wydajność systemu pamięci masowej, ale nie zapewnia odporności na błędy.
195. B. Firma Freda musi chronić integralność, co można osiągnąć poprzez cyfrowe podpisywanie wiadomości. Każda zmiana spowoduje unieważnienie podpisu. Szyfrowanie nie jest konieczne, ponieważ firma nie chce chronić poufności. Protokół TLS może zapewnić ochronę podczas przesyłania, ale nie chroni integralności wiadomości, a skrót używany bez możliwości weryfikacji, czy nie został zmieniony, również nie gwarantuje integralności.
196. A. System kontroli dostępu oparty na atrybutach (ABAC) pozwoli Susan określić szczegóły dotyczące podmiotów, obiektów i dostępu, umożliwiając szczegółową kontrolę. Chociaż system kontroli dostępu oparty na regułach (RBAC) mógłby to umożliwiać, system kontroli dostępu oparty na atrybutach może być bardziej szczegółowy, a tym samym bardziej elastyczny. Dyskrecjonalna kontrola dostępu (DAC) pozwoliłaby właścicielom obiektów podejmować decyzje, a obowiązkowe kontrole dostępu (MAC) wykorzystywałyby klasyfikacje; Żadna z tych możliwości nie została opisana w wymaganiach.
197. C. Komunikacja synchroniczna wykorzystuje mechanizm synchronizacji lub zegara do sterowania strumieniem danych. Może to umożliwić bardzo szybką komunikację.
198. B. Maksymalna dozwolona długość kabla Cat 6 wynosi 100 metrów, czyli 328 stóp. Duże odległości są zazwyczaj obsługiwane za pomocą światłowodów lub urządzeń sieciowych, takich jak przełączniki lub repeatery.
199. B. Jedną z głównych funkcji kontrolera dysku do analizy śledczej jest zapobieganie modyfikowaniu danych przechowywanych na urządzeniu przez polecenia wysyłane do urządzenia. Z tego powodu kontrolery dysków do analizy śledczej są często nazywane blokadami zapisu.
200. A. Ustawienie bezpiecznego pliku cookie zezwala na wysyłanie plików cookie tylko za pośrednictwem sesji HTTPS, TLS lub SSL, zapobiegając atakom typu man-in-the-middle, których celem są pliki cookie. Pozostałe ustawienia są problematyczne: pliki cookie są podatne na podszywanie się pod DNS. Pliki cookie domeny powinny zazwyczaj mieć najwęższy możliwy zakres, co jest faktycznie osiągane poprzez nieustawianie pliku cookie domeny. Umożliwia to dostęp do pliku cookie tylko serwerowi źródłowemu. Pliki cookie bez atrybutów "Expires" lub "Max-age" są ulotne i przechowywane tylko przez sesję, co czyni je mniej podatnymi na ataki niż pliki cookie przechowywane. Zazwyczaj atrybut "HTTPOnly" jest dobrym pomysłem, ale zapobiega on uruchamianiu skryptów, zamiast wymagać niezaszyfrowanych sesji HTTP.
201. D. Remanencja danych opisuje dane, które nadal znajdują się na nośniku po próbie ich usunięcia. Nieudane czyszczenie i łączenie danych nie są terminami technicznymi, a trwałość danych opisuje czas ich przechowywania.
202. B. Obowiązkowa kontrola dostępu (MAC) stosuje etykiety do podmiotów i obiektów oraz umożliwia podmiotom dostęp do obiektów, gdy ich etykiety są zgodne. Dyskrecjonalna kontrola dostępu (DAC) jest kontrolowana przez właściciela obiektów, kontrola dostępu oparta na regułach stosuje reguły w całym systemie, a kontrola dostępu oparta na rolach opiera uprawnienia na rolach, które często są obsługiwane jako grupy użytkowników.
203. B. Tożsamość jako usługa (IDaaS) zapewnia takie możliwości, jak dostarczanie kont, zarządzanie nimi, uwierzytelnianie, autoryzacja, raportowanie i monitorowanie. PaaS to platforma jako usługa, IaaS to infrastruktura jako usługa, a SaaS to oprogramowanie jako usługa.
204. C. Podsłuchiwanie, ataki typu "odmowa usługi" i podszywanie się pod numer dzwoniącego to powszechne ataki VoIP. Blackboxing to zmyślona odpowiedź, chociaż różne rodzaje kolorowych pól były kojarzone z phreakingiem telefonicznym.
205. D. Ten szeroki dostęp może pośrednio naruszać wszystkie wymienione zasady bezpieczeństwa, ale najbardziej bezpośrednio stanowi naruszenie zasady najmniejszych uprawnień, ponieważ przyznaje użytkownikom uprawnienia, których nie potrzebują do wykonywania swoich obowiązków.
206. C. Protokół SFTP (Secure File Transfer Protocol) został zaprojektowany specjalnie do szyfrowanego przesyłania plików. SSH służy do bezpiecznego dostępu z poziomu wiersza poleceń, natomiast TCP jest jednym z pakietów protokołów internetowych powszechnie używanych do przesyłania danych przez sieć. IPSec może służyć do tworzenia tunelu do przesyłania danych, ale nie jest przeznaczony specjalnie do przesyłania plików.
207. B. TACACS+ używa protokołu TCP i szyfruje całą sesję, w przeciwieństwie do protokołu RADIUS, który szyfruje tylko hasło i działa za pośrednictwem protokołu UDP.
208. C. Klient wysyła swój istniejący, ważny bilet TGT do KDC i żąda dostępu do zasobu.
209. A. KDC musi zweryfikować ważność biletu TGT i sprawdzić, czy użytkownik posiada odpowiednie uprawnienia dostępu do usługi, do której żąda dostępu. Jeśli tak, generuje bilet serwisowy i wysyła go do klienta (krok B).
210. C. Serwer lub usługa, do której uzyskiwany jest dostęp, otrzymuje wszystkie potrzebne dane w bilecie serwisowym. W tym celu klient korzysta z biletu klient-serwer otrzymanego z usługi udzielania biletów.
211. B. Bilet usługi w uwierzytelnianiu Kerberos stanowi dowód, że podmiot jest upoważniony do dostępu do obiektu. Usługi przyznawania biletów są świadczone przez TGS. Dowód, że podmiot uwierzytelnił się i może żądać biletów do innych obiektów, korzysta z biletów przyznawania biletów, a host uwierzytelniania to termin wymyślony.
212. C. Seria pytań, na które użytkownik wcześniej udzielił odpowiedzi lub na które zna odpowiedzi, podobnie jak wymienione pytania, nazywana jest hasłem poznawczym. Hasło składa się z frazy lub ciągu słów, podczas gdy uwierzytelnianie wieloskładnikowe składa się z dwóch lub więcej uwierzytelniaczy, takich jak hasło i czynnik biometryczny lub jednorazowy kod oparty na tokenie.
213. B. CDMA, GSM i IDEN to technologie 2G. EDGE, DECT i UTMS to przykłady technologii 3G, natomiast technologie 4G obejmują WiMax, LTE i mobilny internet szerokopasmowy IEEE 802.20.
214. A. Systemy suche, zalewowe i systemy pre-action wykorzystują rury, które pozostają puste, dopóki system nie wykryje oznak pożaru. Systemy zamknięte wykorzystują rury wypełnione wodą, która może uszkodzić sprzęt w przypadku uszkodzenia rury.
215. A. Chronione Informacje Zdrowotne (PHI) są zdefiniowane w ustawie HIPAA jako informacje medyczne wykorzystywane przez pracowników służby zdrowia, takie jak informacje o leczeniu, historia choroby i rozliczenia. Dane Osobowe to informacje, które można wykorzystać do identyfikacji osoby, które mogą być zawarte w PHI, ale nie są konkretnie tego typu danymi. Chronione Ubezpieczenie Zdrowotne i Indywidualne Dane Chronione to dwa terminy zmyślone.
216. B. Testowanie ręczne wykorzystuje ludzką wiedzę o logice biznesowej do oceny przepływu i odpowiedzi programu. Mutacja lub rozmycie generacyjne pomoże określić, jak program reaguje na oczekiwane dane wejściowe, ale nie testuje logiki biznesowej. Testowanie interfejsu zapewnia poprawną wymianę danych między modułami, ale nie koncentruje się na logice programu lub aplikacji.
217. A. Czynnik uwierzytelniania typu 1 to coś, co znasz. Typ 2 to coś, co posiadasz, na przykład karta inteligentna lub token sprzętowy. Czynnik uwierzytelniania typu 3 to coś, czym jesteś, na przykład identyfikator biometryczny. Nie ma czegoś takiego jak czynnik uwierzytelniania typu 4.
218. B. Właściciele systemów muszą zapewnić, że systemy, za które odpowiadają, są odpowiednio oznaczone w oparciu o najwyższy poziom danych przetwarzanych przez ich system, a także muszą zapewnić wdrożenie odpowiednich mechanizmów bezpieczeństwa w tych systemach. Właściciele systemów dzielą również odpowiedzialność za ochronę danych z właścicielami danych. Administratorzy udzielają odpowiednich uprawnień, natomiast właściciele danych są właścicielami procesu klasyfikacji.
219. A. Jack przeprowadza analizę przypadków niewłaściwego użycia, proces testowania kodu pod kątem tego, jak działałby, gdyby został użyty niewłaściwie, a nie prawidłowo. Testowanie przypadków użycia testuje prawidłowe przypadki użycia, podczas gdy statyczna analiza kodu polega na przeglądaniu samego kodu pod kątem błędów, a nie na testowaniu działającego oprogramowania. Testowanie przypadków użycia hakerów nie jest branżowym terminem określającym rodzaj testowania.
220. D. Dostawcy wypełniają cele bezpieczeństwa (ST), aby opisać mechanizmy bezpieczeństwa istniejące w ich produkcie. Podczas procesu przeglądu recenzenci porównują te ST z profilem ochrony (PP) podmiotu, aby ustalić, czy produkt spełnia wymagane kontrole bezpieczeństwa.
221. C. Zarówno numery portów TCP, jak i UDP są 16-cyfrowymi liczbami binarnymi, co oznacza, że może być 216 portów, czyli 65 536 portów, ponumerowanych od 0 do 65 535.
222. A. Informacje o lukach w zabezpieczeniach znajdują się w słowniku Powszechnych Luk i Eksploitów (CVE) MITRE oraz w Narodowej Bazie Danych Podatności (NVD) NIST.
223. D. System klasyfikacji wojskowej składa się z trzech głównych poziomów. Są to, w kolejności malejącej wrażliwości: Ściśle Tajne, Tajne i Poufne. Poziom Niesklasyfikowany jest domyślny i nie jest klasyfikacją, natomiast Poziom Poufny, Ale Niesklasyfikowany (SBU) został zastąpiony Poziomem Kontrolowanych Informacji Niesklasyfikowanych (CUI).
224. D. W przypadku automatycznego odzyskiwania system może samodzielnie odzyskać dane po awarii jednego lub kilku typów. W przypadku automatycznego odzyskiwania bez nadmiernych strat system może samodzielnie odzyskać sprawność po awarii jednego lub kilku typów, a także chronić dane przed utratą. W przypadku odzyskiwania funkcji system może automatycznie przywrócić procesy funkcjonalne. W przypadku odzyskiwania ręcznego system nie przechodzi w stan bezpieczny, ale wymaga od administratora ręcznego przywrócenia operacji.
225. A. Umiejscowienie anteny, jej konstrukcja i kontrola poziomu mocy to trzy ważne czynniki decydujące o tym, gdzie można uzyskać dostęp do sygnału i jak bardzo jest on użyteczny. Portal dostępowy może służyć do kontrolowania logowań użytkowników, a konstrukcja anteny jest częścią typów anten. FCC podaje wytyczne dotyczące maksymalnej mocy nadawania, ale nie wymaga minimalnego poziomu mocy.
226. C. Fizyczne zniszczenie dysku to najlepszy sposób na upewnienie się, że na dysku nie ma żadnych resztek danych. Dyski SSD to nośniki flash, co oznacza, że nie można ich rozmagnesować, podczas gdy zarówno losowy zapis wzorcowy, jak i wbudowane polecenia kasowania okazały się problematyczne ze względu na wbudowane w dyski SSD wyrównywanie zużycia, a także różnice w sposobie obsługi poleceń kasowania.
227. A. Poufność zapewnia, że dane nie mogą zostać odczytane przez osoby nieupoważnione podczas przechowywania lub przesyłania.
228. B. Cel czasu odzyskiwania (RTO) to czas, jaki firma uważa za potrzebny na przywrócenie funkcji w przypadku awarii.
229. D. Kodeks Stanów Zjednoczonych (USC) zawiera tekst wszystkich federalnych przepisów karnych i cywilnych uchwalonych przez władzę ustawodawczą i podpisanych przez Prezydenta (lub w przypadku, gdy weto Prezydenta zostało odrzucone przez Kongres).
230. B. Filozofia "post-admission" zezwala lub odmawia dostępu na podstawie aktywności użytkownika po nawiązaniu połączenia. Ponieważ nie sprawdza ona statusu komputera przed nawiązaniem połączenia, nie może zapobiec wykorzystaniu systemu bezpośrednio po nawiązaniu połączenia. Nie wyklucza to monitorowania poza pasmem ani w paśmie, ale oznacza, że polityka ściśle "post-admission" nie będzie obejmować kontroli systemu przed jego dopuszczeniem do sieci.
231. B. Zasada niejawnego odrzucenia stanowi, że każda akcja, która nie jest jawnie dozwolona, jest odrzucana. Jest to ważna koncepcja dla reguł zapory sieciowej i innych systemów kontroli dostępu. Wdrożenie zasady najmniejszych uprawnień gwarantuje, że podmioty mają tylko uprawnienia niezbędne do wykonania swojego zadania. Chociaż jawne odrzucenie i ostateczna reguła mogą wydawać się ważnymi koncepcjami kontroli dostępu, żadna z nich nimi nie jest.
232. B. Ryzyko to połączenie zagrożenia i luki w zabezpieczeniach. Zagrożenia to siły zewnętrzne dążące do podważenia bezpieczeństwa, takie jak w tym przypadku haker. Luki w zabezpieczeniach to wewnętrzne słabości, które mogą umożliwić zagrożeniu powodzenie. W tym przypadku ryzykiem jest defacement sieci. W tym scenariuszu, jeśli haker podejmie próbę ataku typu SQL injection (zagrożenie) na niezałatany serwer (luka w zabezpieczeniach), rezultatem jest defacement witryny (ryzyko).
233. A. Jądro systemu operacyjnego to zbiór komponentów, które współpracują ze sobą, aby wdrożyć bezpieczny i niezawodny system operacyjny. Jądro zawiera zarówno Zaufaną Bazę Obliczeniową (TCB), jak i monitor referencyjny.
234. A. Val może użyć statystycznych technik próbkowania, aby wybrać do przeglądu zestaw rekordów, które są reprezentatywne dla danych z całego dnia. Funkcja "Catping" wybiera tylko rekordy przekraczające ustalony próg, więc nie stanowi ona reprezentatywnej próbki. Wybór rekordów na podstawie czasu ich zarejestrowania może nie dać reprezentatywnej próbki, ponieważ może rejestrować zdarzenia występujące o tej samej porze każdego dnia i pomijać wiele zdarzeń, które po prostu nie występują w wybranym okresie.
235. D. Światłowód jest droższy i może być znacznie trudniejszy w instalacji niż linka miedziana lub kabel koncentryczny, ale nie jest podatny na zakłócenia elektromagnetyczne (EMI). To sprawia, że jest to doskonałe rozwiązanie problemu Jen, zwłaszcza jeśli wdraża ona systemy odporne na zakłócenia elektromagnetyczne, aby dopasować je do swoich kabli sieciowych odpornych na zakłócenia elektromagnetyczne.
236. D. Proces kontroli żądań zapewnia uporządkowaną strukturę, w ramach której użytkownicy mogą wnioskować o modyfikacje, menedżerowie mogą przeprowadzać analizy kosztów i korzyści, a programiści mogą priorytetyzować zadania.
237. B. Kontrola zmian zapewnia uporządkowaną strukturę, w ramach której wielu programistów może tworzyć i testować rozwiązania przed wdrożeniem ich w środowisku produkcyjnym.
238. C. Kontrola wydań zapewnia, że wszelki kod wprowadzony jako pomoc programistyczna podczas procesu zmian zostanie usunięty przed udostępnieniem nowego oprogramowania do produkcji. Obejmuje ona również testy akceptacyjne, aby upewnić się, że wszelkie zmiany w zadaniach użytkownika końcowego są zrozumiałe i funkcjonalne.
239. A. Kontrola konfiguracji zapewnia, że zmiany w wersjach oprogramowania są wprowadzane zgodnie z procesem kontroli zmian i zarządzania konfiguracją. Aktualizacje mogą być wprowadzane wyłącznie z autoryzowanych dystrybucji, zgodnie z tymi zasadami.
240. B. Ben ponownie wykorzystuje swoją sól. Gdy ta sama sól jest używana dla każdego skrótu, wszyscy użytkownicy z tym samym hasłem będą mieli ten sam skrót, a atak może próbować ukraść sól lub odgadnąć sól, celując w najczęstsze wystąpienia skrótu na podstawie powszechnie używanych haseł. Krótkie sole są problemem, ale użyte tutaj sole mają długość 32 bajtów (256 bitów). Tutaj nie użyto ani nie wspomniano o żadnym algorytmie solenia; sól
241. B. Przeniesienie ryzyka obejmuje działania, które przenoszą ryzyko z jednej strony na drugą. Zakup ubezpieczenia jest przykładem przeniesienia ryzyka, ponieważ przenosi ryzyko z ubezpieczonego na firmę ubezpieczeniową.
242. C. Protokół OCSP (Online Certificate Status Protocol) eliminuje opóźnienia związane z korzystaniem z list unieważnionych certyfikatów, zapewniając możliwość weryfikacji certyfikatów w czasie rzeczywistym.
243. D. Statyczna analiza kodu wykorzystuje techniki takie jak grafy przepływu sterowania, analiza leksykalna i analiza przepływu danych do oceny kodu bez jego uruchamiania. Dynamiczna analiza kodu uruchamia kod na procesorze rzeczywistym lub wirtualnym i wykorzystuje rzeczywiste dane wejściowe do testowania. Fuzzing dostarcza nieoczekiwane lub nieprawidłowe dane wejściowe, aby sprawdzić, jak programy obsługują dane wejściowe wykraczające poza normę. Analiza ręczna jest przeprowadzana poprzez czytanie kodu linia po linii w celu identyfikacji błędów lub innych problemów.
244. B. Wykorzystanie przez TCP procesu uzgadniania do nawiązywania komunikacji czyni go protokołem zorientowanym na połączenie. TCP nie monitoruje zerwanych połączeń. Podobnie fakt, że działa poprzez połączenia sieciowe, nie czyni go protokołem zorientowanym na połączenie.
245. A. Operacja wiązania LDAP uwierzytelnia i określa wersję protokołu LDAP. Operacje Auth, StartLDAP i AuthDN nie występują w protokole LDAP.
246. C. Dwa najważniejsze elementy jakościowej oceny ryzyka to określenie prawdopodobieństwa i wpływu każdego ryzyka na organizację. Prawdopodobieństwo to inne określenie prawdopodobieństwa. Należy wziąć pod uwagę koszt, ale jest to tylko jeden z elementów wpływu, który obejmuje również utratę reputacji, zakłócenia operacyjne i inne negatywne skutki.
247. B. Gdy wiadomość dociera do warstwy łącza danych, nazywa się ją ramką. Strumienie danych istnieją w warstwach aplikacji, prezentacji i sesji, natomiast segmenty i datagramy istnieją w warstwie transportowej (odpowiednio dla TCP i UDP).
248. A. Jeśli komisja ds. recenzji eksperckiej (ISC)2 stwierdzi, że certyfikowana osoba naruszyła kodeks etyki (ISC)2, może cofnąć jej certyfikat. Zarząd nie może rozwiązać stosunku pracy z daną osobą ani nałożyć na nią kar finansowych.
249. D. Podejścia SDLC obejmują działania mające na celu zapewnienie szkoleń operacyjnych dla personelu pomocniczego, a także szkoleń dla użytkowników końcowych. SDLC może wykorzystywać jeden z wielu modeli rozwoju, w tym model kaskadowy i spiralny. SDLC nie nakazuje stosowania podejścia iteracyjnego ani sekwencyjnego; dopuszcza oba podejścia.
250. A. Model Bella-LaPadula obejmuje Prostą Własność Bezpieczeństwa, która uniemożliwia danej osobie odczytanie informacji o poziomie tajności wyższym niż jej poświadczenie bezpieczeństwa.
