Analityk ds. cyberbezpieczeństwa
Bezpieczeństwo oprogramowania i systemów
1. Jakiemu celowi służy system honeypotów umieszczony w sieci, jak pokazano na poniższym schemacie?
A. Zapobiega atakowaniu serwerów produkcyjnych przez atakujących.
B. Zawiera informacje o technikach używanych przez atakujących.
C. Spowalnia atakujących jak lepki miód.
D. Dostarcza dane wejściowe w czasie rzeczywistym do IDS i IPS.
2. Tarpit lub system, który wygląda na podatny na ataki, ale w rzeczywistości ma na celu spowolnienie atakujących, jest przykładem jakiego rodzaju techniki?
A. Obrona pasywna
B. Lepka obrona
C. Aktywna obrona
D. Obrona oparta na reakcji
3. W ramach rządowego programu przejęć dla Departamentu Obrony Stanów Zjednoczonych Sean jest zobowiązany do upewnienia się, że chipy i inne komponenty sprzętowe używane w zakupionych przez niego przełącznikach, routerach i serwerach nie zawierają złośliwego oprogramowania ani innych potencjalnych wektorów ataku . Jakiego dostawcy powinien szukać Sean?
A. Moduł TPM
B. Dostawca OEM
C. Zaufana odlewnia
D. Dostawca szarej strefy
4. Susan musi przetestować tysiące przesłanych plików binarnych. Musi upewnić się, że aplikacje nie zawierają złośliwego kodu. Jaka technika najlepiej odpowiada tej potrzebie?
A. Piaskownica
B. Wdrożenie honeypota
C. Dekompilacja i analiza kodu aplikacji
D. Testy Fagana
5. Manesh pobiera nowe narzędzie bezpieczeństwa i sprawdza jego MD5. Co wie o pobranym oprogramowaniu, jeśli otrzyma następujący komunikat:
root@demo:~# md5sum -c demo.md5
demo.txt: NIEPOWODZENIE
suma md5: OSTRZEŻENIE: 1 obliczona suma kontrolna NIE pasuje
A. Plik został uszkodzony.
B. Atakujący zmodyfikowali plik.
C. Pliki się nie zgadzają.
D. Test zakończył się niepowodzeniem i nie dał odpowiedzi.
6. Tracy projektuje infrastrukturę chmury dla swojej firmy i chce generować i przechowywać klucze szyfrowania w bezpieczny sposób. Jakiego rodzaju technologii powinna szukać w swojej infrastrukturze jako portfolio dostawcy usług?
A. TPM
B. HSM
C. UEFI
D. VPC
7. Aziz musi zapewnić dostęp SSH do systemów za firewallem swojego centrum danych. Jeśli organizacja Aziza korzysta z przedstawionej tutaj architektury systemu, jak nazywa się system w punkcie A?
A. Zapora-hopper
B. Izolowany system
C. Gospodarz chroniony fosą
D. Pole skoku
8. Charles chce zapewnić dodatkowe bezpieczeństwo swojej aplikacji internetowej, która obecnie przechowuje hasła w postaci zwykłego tekstu w bazie danych. Która z poniższych opcji najlepiej zapobiegnie kradzieży bazy danych skutkującej ujawnieniem haseł?
A. Zaszyfruj bazę haseł w postaci zwykłego tekstu
B. Użyj MD5 i soli
C. Użyj SHA-1 i soli
D. Użyj bcrypt
9. Jaki rodzaj chronionego procesu rozruchu przedstawiono na poniższym diagramie?
A. Zmierzony boot
B. TPM
C. Zdalne poświadczenie
D. Podpisany BIOS
10. Przykładem jakiego typu systemu kontroli dostępu jest system kontroli dostępu, który opiera się na systemie operacyjnym w celu ograniczenia zdolności podmiotu do wykonywania operacji?
A. Uznaniowy system kontroli dostępu
B. System kontroli dostępu oparty na rolach
C. Obowiązkowy system kontroli dostępu
D. System kontroli dostępu oparty na poziomach
11. Podczas analizy próbki złośliwego oprogramowania Sahib przegląda pliki złośliwego oprogramowania i pliki binarne bez ich uruchamiania. Jaki to rodzaj analizy?
A. Analiza automatyczna
B. Analiza dynamiczna
C. Analiza statyczna
D. Analiza heurystyczna
12. Carol chce przeanalizować wykrytą przez siebie próbkę złośliwego oprogramowania. Chce bezpiecznie uruchomić próbkę, jednocześnie przechwytując informacje o jej zachowaniu i wpływie na zainfekowany system. Jakiego narzędzia powinna użyć?
A. Narzędzie do statycznej analizy kodu
B. Narzędzie piaskownicy do analizy dynamicznej
C. Piaskownica Fagana
D. Dekompilator działający na izolowanej maszynie wirtualnej
Użyj poniższego scenariusza do pytań 13-15. Mike odpowiada za proces testowania oprogramowania w swojej firmie. Przeprowadzają pełny zestaw testów dla każdego produktu przez cały okres jego użytkowania. Wykorzystaj swoją wiedzę na temat metod oceny oprogramowania, aby odpowiedzieć na następujące pytania.
13. Nowa aplikacja internetowa została napisana przez zespół programistów w firmie Mike'a. Wykorzystali proces Agile i zbudowali narzędzie, które pasuje do wszystkich historyjek użytkownika, które przedstawili uczestnicy z działu, który poprosił o aplikację. Jeśli chcą mieć pewność, że funkcjonalność jest odpowiednia dla wszystkich użytkowników w oddziale, jakiego rodzaju testy powinien wykonać Mike?
A. Testy obciążeniowe
B. Testy regresji
C. Testy statyczne
D. Testy akceptacyjne użytkownika
14. Zespół programistów Mike'a chce rozszerzyć wykorzystanie oprogramowania na całą firmę, ale obawia się o jego wydajność. Jakie testy powinni przeprowadzić, aby zapewnić, że oprogramowanie nie ulegnie awarii pod obciążeniem?
A. Testy obciążeniowe
B. Testy regresji
C. Testy statyczne
D. Testy akceptacyjne użytkownika
15. Dwa lata po wdrożeniu zespół Mike′a jest gotowy do wdrożenia poważnego uaktualnienia swojej aplikacji internetowej. Pobrali kod z repozytorium, do którego został zaewidencjonowany, ale obawiają się, że stare błędy mogły zostać ponownie wprowadzone, ponieważ przywrócili dodatkową funkcjonalność opartą na starszym kodzie, który został usunięty w wydaniu rok temu. Jakiego rodzaju testy musi wykonać zespół Mike′a?
A. Testy obciążeniowe
B. Testy regresji
C. Testy statyczne
D. Testy akceptacyjne użytkownika
16. Susan przegląda pliki na stacji roboczej z systemem Windows i uważa, że plik cmd.exe został zastąpiony pakietem złośliwego oprogramowania. Które z poniższych jest najlepszym sposobem na potwierdzenie jej teorii?
A. Prześlij cmd.exe do VirusTotal.
B. Porównaj skrót cmd.exe ze znaną dobrą wersją.
C. Sprawdź plik za pomocą National Software Reference Library.
D. Uruchom cmd.exe, aby upewnić się, że jego zachowanie jest normalne.
17. W ramach procesu analizy złośliwego oprogramowania Caitlyn tworzy diagramy funkcji i procesów wysokiego poziomu, które złośliwe oprogramowanie wykorzystuje do realizacji swoich celów. Jak nazywa się ten proces?
A. Analiza statyczna
B. Skład
C. Analiza dynamiczna
D. Rozkład
18. Jako pracownik rządu USA, Michael jest zobowiązany do zapewnienia, że zakupione przez niego urządzenia sieciowe mają zweryfikowany łańcuch dowodowy dla każdego chipa i komponentu, który do nich wchodzi. Jak nazywa się ten program?
A. Zamówienia na szarej strefie
B. Zaufana odlewnia
C. Zamówienia na białym rynku
D. Łańcuch zamówień
19. Padma ocenia bezpieczeństwo aplikacji opracowanej w jej organizacji. Chciałaby ocenić bezpieczeństwo aplikacji, podając jej nieprawidłowe dane wejściowe. Jakiej techniki Padma planuje użyć?
A. Błąd wtrysku
B. Testy obciążeniowe
C. Testy mutacji
D. Testowanie Fuzz
20. Nishi wdraża nową aplikację, która będzie przetwarzać poufne informacje zdrowotne dotyczące klientów jej organizacji. Aby chronić te informacje, organizacja buduje nową sieć, która nie współdzieli żadnego sprzętu ani logicznych poświadczeń dostępu z istniejącą siecią organizacji. Jakie podejście przyjmuje Nishi?
A. Połączenie sieciowe
B. Segmentacja sieci
C. Izolacja wirtualnej sieci LAN (VLAN)
D. Wirtualna sieć prywatna (VPN)
21. Bobbi wdraża jeden system, który będzie używany do zarządzania bardzo wrażliwym procesem kontroli przemysłowej. Ten system będzie działał samodzielnie i nie będzie miał żadnego połączenia z innymi sieciami. Jaką strategię wdraża Bobbi, aby chronić ten system SCADA?
A. Segmentacja sieci
B. Izolacja VLAN
C. Przerwa powietrzna
D. Izolacja logiczna
22. Który model cyklu życia oprogramowania jest przedstawiony na obrazku?
A. Wodospad
B. Spirala
C. Agile
D. RAD
23. Geoff został poproszony o zidentyfikowanie rozwiązania technicznego, które zmniejszy ryzyko wykorzystania przechwyconych lub skradzionych haseł w celu umożliwienia dostępu do systemów jego organizacji. Którą z poniższych technologii powinien polecić?
A. Portale przechwytujące
B. Uwierzytelnianie wieloskładnikowe
C. VPN
D. Autoryzacja OAuth
24. Firma, w której pracuje Amanda, dokonuje znacznych inwestycji w infrastrukturę jako hosting usług, aby zastąpić tradycyjne centrum danych. Członkowie kierownictwa jej organizacji wyrazili obawy dotyczące remanencji danych, gdy zespół Amandy przenosi się z jednego wirtualnego hosta na drugi w środowisku dostawcy usług w chmurze. Co powinna poinstruować swój zespół, aby uniknąć tych obaw?
A. Zerowe czyszczenie dysków przed przeniesieniem systemów.
B. Użyj pełnego szyfrowania dysku.
C. Użyj maskowania danych.
D. Rozszerz wiele dysków wirtualnych w celu fragmentacji danych.
25. Huan zatrudnia zewnętrznego konsultanta, który będzie miał zdalny dostęp do centrum danych organizacji, ale chciałby za każdym razem zatwierdzać ten dostęp. Które z poniższych rozwiązań w praktyczny sposób spełniłoby potrzeby Huan?
A. Huan powinien samodzielnie przechowywać hasło konsultanta i w razie potrzeby przekazywać je konsultantowi, a następnie niezwłocznie zmieniać hasło po każdym użyciu.
B. Huan powinien podać hasło konsultantowi, ale skonfigurować własne urządzenie do zatwierdzania logowania poprzez uwierzytelnianie wieloskładnikowe.
C. Huan powinna podać konsultantowi hasło, ale poinformować konsultanta, że musi go poinformować przed użyciem konta, a następnie przeprowadzić audyt tych prób w logach dostępu.
D. Huan powinna utworzyć nowe konto dla konsultanta za każdym razem, gdy potrzebuje dostępu do centrum danych.
26. Ian dokonuje przeglądu przedstawionej tutaj architektury bezpieczeństwa. Ta architektura ma na celu połączenie jego lokalnego centrum danych z dostawcą usług IaaS, którego jego firma używa do świadczenia usług przepełnienia. Jakiego komponentu można użyć w punktach oznaczonych znakami zapytania (?s), aby zapewnić bezpieczne szyfrowane połączenie sieciowe?
A. Zapora sieciowa
B. VPN
C. IPS
D. DLP
27. Która z poniższych technologii nie jest zwykle używana do wdrażania segmentacji sieci?
A. Zapora hosta
B. Zapora sieciowa
C. Znakowanie VLAN
D. Routery i przełączniki
28. Które z poniższych podejść jest przykładem formalnego procesu przeglądu kodu?
A. Programowanie par
B. Przez ramię
C. Inspekcja Fagan
D. Przegląd kodu tranzytowego
29. Open Web Application Security Project (OWASP) utrzymuje aplikację o nazwie Orizon. Ta aplikacja przegląda klasy Java i identyfikuje potencjalne luki w zabezpieczeniach. Jakim narzędziem jest Orizon?
A. Fuzzer
B. Analizator kodu statycznego
C. Asesor aplikacji internetowych
D. Usterka wtryskiwacza
30. Organizacja Barneya nakazuje testowanie rozmyte dla wszystkich aplikacji przed wdrożeniem ich do produkcji. Który z poniższych problemów najprawdopodobniej wykryje ta metodologia testowania?
A. Nieprawidłowe reguły zapory
B. Niezatwierdzone dane wejściowe
C. Brakujące poprawki systemu operacyjnego
D. Nieszyfrowana transmisja danych
31. Kobe chce zapewnić dostęp do skrzynki przeskokowej w zabezpieczonej sieci. Jaką technologię powinien wdrożyć, aby umożliwić bezpieczne połączenie z systemem przez niezaufane sieci pośredniczące?
A. VPC
B. Szczelina powietrzna
C. VPN
D. Segmentacja fizyczna
32. Mia chciałaby się upewnić, że zespół ds. cyberbezpieczeństwa w jej organizacji sprawdzi architekturę nowej aplikacji ERP, która jest w trakcie opracowywania. W której fazie SDLC Mia powinna oczekiwać ukończenia architektury bezpieczeństwa?
A. Analiza i definicja wymagań
B. Projekt
C. Rozwój
D. Testowanie i integracja
33. Które z poniższych działań związanych z bezpieczeństwem nie jest zwykle składnikiem fazy Operacji i Utrzymania SDLC?
A. Skany podatności
B. Usposobienie
C. Łatanie
D. Testy regresji
34. Które urządzenie sprzętowe jest używane na urządzeniach końcowych do przechowywania kluczy szyfrowania RSA specyficznych dla tego urządzenia, aby umożliwić uwierzytelnianie sprzętowe?
A. Dysk SSD
B. Dysk twardy
C. Token MSZ
D. Moduł TPM
35. Która z poniższych technik testowania jest zazwyczaj ostatecznym testowaniem wykonywanym przed wprowadzeniem kodu do produkcji?
A. Testowanie jednostkowe
B. Testowanie integracji
C. Testy akceptacyjne użytkownika
D. Testowanie bezpieczeństwa
Skorzystaj z poniższego scenariusza dla pytań 36-38. Olivia została odpowiedzialna za przeprowadzanie przeglądów kodu dla swojej organizacji i musi określić, które modele analizy kodu są najbardziej sensowne w oparciu o konkretne potrzeby jej organizacji. Wykorzystaj swoją wiedzę na temat technik analizy kodu, aby odpowiedzieć na poniższe pytania.
36. Zespół ds. bezpieczeństwa Olivii zidentyfikował potencjalny złośliwy kod, który został przesłany na serwer WWW. Jeśli chce przejrzeć kod bez uruchamiania go, jakiej techniki powinna użyć?
A. Analiza dynamiczna
B. Analiza Fagana
C. Analiza regresji
D. Analiza statyczna
37. Kolejnym zadaniem Olivii jest przetestowanie kodu nowej aplikacji mobilnej. Musi ją przetestować wykonując kod i zamierza dostarczyć do aplikacji dane wejściowe na podstawie scenariuszy testowych stworzonych przez zespół programistów w ramach prac projektowych. Jakie testy przeprowadzi Olivia?
A. Analiza dynamiczna
B. Analiza Fagana
C. Analiza regresji
D. Analiza statyczna
38. Po zakończeniu pierwszej rundy testów aplikacji mobilnej swojej organizacji Olivia odkryła, że aplikacja może nie radzić sobie dobrze z nieoczekiwanymi danymi. Jakie testy powinna przeprowadzić, jeśli chce je przetestować za pomocą zautomatyzowanego narzędzia, które sprawdzi, czy występuje ten problem?
A. Błąd wtrysku
B. Testy Fagana
C. Fuzzing
D. Awaria wtrysku
39. Który z poniższych znaków nie sygnalizowałby potencjalnego problemu z bezpieczeństwem podczas sprawdzania poprawności danych wejściowych użytkownika w aplikacji internetowej?
A. <
B `
C. >
D. $
40. Projekt Open Web Application Security Project (OWASP) utrzymuje listę najważniejszych kontroli bezpieczeństwa aplikacji internetowych. Który z tych elementów ma najmniejsze prawdopodobieństwo pojawienia się na tej liście?
A. Wdrożenie kontroli tożsamości i uwierzytelniania
B. Wdrożyć odpowiednie kontrole dostępu
C. Niejasne lokalizacje interfejsu internetowego
D. Wykorzystaj struktury i biblioteki bezpieczeństwa
41. Kyle opracowuje aplikację internetową, która wykorzystuje zaplecze bazy danych. Jest zaniepokojony możliwością ataku SQL injection na jego aplikację i sprawdza listę proaktywnych kontroli bezpieczeństwa OWASP w celu zidentyfikowania odpowiednich kontroli. Która z poniższych formantów OWASP z najmniejszym prawdopodobieństwem zapobiegnie atakowi typu SQL injection?
A. Sparametryzuj zapytania
B. Sprawdź poprawność wszystkich danych wejściowych
C. Zakoduj dane
D. Zaimplementuj rejestrowanie i wykrywanie włamań
42. Organizacja Jill przyjęła narzędzie do zarządzania aktywami. Jeśli chce identyfikować systemy w sieci na podstawie unikalnego identyfikatora na maszynę, który zwykle nie zmienia się w czasie, której z poniższych opcji może użyć do wykrywania opartego na sieci?
A. Adres IP
B. Nazwa hosta
C. Adres MAC
D. Żadne z powyższych
43. W jakiej praktyce zarządzania aktywami często stosuje się zarówno kody kreskowe, jak i tagi RFID?
A. Dyspozycja aktywów
B. Znakowanie zasobów
C. Nabycie aktywów
D. Szacowanie żywotności aktywów
44. Jaki typ bezpiecznego procesu rozruchu pokazano na poniższym obrazku?
A. Zdalne poświadczenie
B. Zmierzony but
C. Zalogowany ładowacz
D. UEFI
45. Ian został poproszony o wdrożenie bezpiecznej sieci bezprzewodowej równolegle z publiczną siecią bezprzewodową w budynkach jego organizacji. Jaki rodzaj segmentacji powinien wdrożyć, aby to zrobić bez dodawania dodatkowych kosztów i złożoności?
A. Segmentacja SSID
B. Segmentacja logiczna
C. Segmentacja fizyczna
D. Segmentacja WPA
46. Barbara dokonała segmentacji swoich zwirtualizowanych serwerów za pomocą VMware, aby zapewnić bezpieczeństwo i izolację sieci. Jaki rodzaj ataku mógłby pokonać jej projekt zabezpieczeń?
A. Przeskakiwanie VLAN
B. Podatności na trunking 802.1q
C. Kompromis podstawowego hosta VMware
D. Podszywanie się pod trasę BGP
47. Z jakim głównym problemem musiałby się zmierzyć Charles, gdyby polegał na mieszaniu pakietów złośliwego oprogramowania w celu identyfikacji pakietów złośliwego oprogramowania?
A. Można sfałszować haszowanie.
B. Kolizje mogą skutkować fałszywymi alarmami.
C. Hashing nie pozwala zidentyfikować nieznanego złośliwego oprogramowania.
D. Haszowanie opiera się na niezaszyfrowanych próbkach złośliwego oprogramowania.
48. Noriko chce zapewnić, że osoby atakujące nie będą mogły uzyskać dostępu do sieci sterowania automatyką budynku jego organizacji. Która z poniższych opcji segmentacji daje największą pewność, że tak się nie stanie?
A. Szczelina powietrzna
B. Sieci VLAN
C. Zapory sieciowe
D. Zapory hosta
49. Jaki typ urządzenia sieciowego jest najczęściej używany do łączenia dwóch lub więcej sieci w celu przekazywania ruchu między nimi?
A. Przełącznik
B. Zapora sieciowa
C. Router
D. IPS
Skorzystaj z poniższego scenariusza dla pytań 50-53. Angela jest specjalistą ds. bezpieczeństwa w średniej wielkości firmie, która niedawno doświadczyła poważnego naruszenia bezpieczeństwa w wyniku udanego ataku phishingowego. Firma zobowiązała się do zmiany swoich praktyk w zakresie bezpieczeństwa w całej organizacji i wyznaczyła Angeli do określenia najlepszej strategii, która pozwoli na natychmiastowe wprowadzenie istotnych zmian.
50. Firma Angeli od lat polega na hasłach jako czynniku uwierzytelniającym. Obecnym standardem organizacyjnym jest wymaganie złożonego hasła złożonego z ośmiu znaków oraz zmiana hasła co 12 miesięcy. Jakie zalecenie powinna wydać Angela, aby znacząco zmniejszyć prawdopodobieństwo podobnego ataku phishingowego i naruszenia w przyszłości?
A. Zwiększ długość hasła.
B. Skróć żywotność hasła.
C. Wdróż uwierzytelnianie wieloskładnikowe.
D. Dodaj PIN do wszystkich loginów.
51. Angela zdecydowała się wdrożyć system uwierzytelniania wieloskładnikowego. Jakie są dwa najczęściej używane czynniki w systemach MFA?
A. Lokalizacja i wiedza
B. Wiedza i posiadanie
C. Wiedza i biometria
D. Wiedza i lokalizacja
52. W ramach dochodzenia po naruszeniu zespół Angeli zauważył, że niektórzy pracownicy korzystają z zasobów organizacyjnych po godzinach, w których nie powinni być zalogowani. Jaki model uwierzytelniania mogłaby zastosować, aby wykorzystać informacje o roli pracownika i godziny pracy do zarządzania, kiedy mogą być zalogowani?
A. Czynniki lokalizacji
B. Czynniki biometryczne
C. Uwierzytelnianie kontekstowe
D. Uwierzytelnianie wieloskładnikowe
53. Wieloskładnikowe wdrożenie Angeli obejmuje możliwość korzystania z wiadomości tekstowych (SMS) do wysyłania drugiego czynnika w celu uwierzytelnienia. Na jakie problemy powinna zwrócić uwagę?
A. Hacki VoIP i zamiana kart SIM
B. Wiadomości SMS są logowane na telefonach odbiorcy
C. Hacki PIN i zamiana kart SIM
D. hacki VoIP i hacki PIN
54. Keith musi zarządzać kluczami cyfrowymi i chce wdrożyć w swojej organizacji sprzętowy moduł bezpieczeństwa. Jakie standardy rządowe USA są często certyfikowane przez moduły zabezpieczeń sprzętowych?
A. PCI-DSS
B. HSM-2015
C. FIPS 140-2
D. Kontrola CA
55. Jakiemu celowi służy protokół OpenFlow w sieciach definiowanych programowo?
A. Przechwytuje logi przepływu z urządzeń.
B. Umożliwia kontrolerom sieciowym definiowanym programowo przekazywanie zmian do urządzeń w celu zarządzania siecią.
C. Wysyła logi przepływu do kontrolerów przepływu.
D. Umożliwia urządzeniom przesyłanie zmian do kontrolerów SDN w celu zarządzania siecią.
56. Jaki typ systemu kontroli dostępu opiera się na systemie operacyjnym w celu kontrolowania zdolności podmiotów do wykonywania działań na obiektach za pomocą zestawu polityk kontrolowanych przez administratora polityk?
A. RBAC
B. MAC
C. DAC
D. ABAC
57. Jakim terminem określa się wyizolowaną pulę zasobów chmury dla określonej organizacji lub użytkownika przydzielonego w środowisku chmury publicznej?
A. VPN
B. VPC
C. CDA
D. CCA
58. Firma badawcza Ricka chce zebrać dane o bieżących atakach i skonfigurować szereg celowo podatnych na ataki systemów, które pozwolą jego zespołowi rejestrować i analizować exploity oraz narzędzia ataku. Jakie środowisko stworzył Rick?
A. Tarpit
B. Honeypot
C. Honeynet
D. Czarna dziura
59. Kalea chce, aby ataki DoS na jej bezserwerową aplikację nie powodowały wzrostu jej kosztów podczas korzystania z usługi w chmurze. Jaka technika nie jest odpowiednim rozwiązaniem dla jej potrzeb?
A. Skalowanie poziome
B. Klucze API
C. Ustawienie limitu wywołań API na określony czas
D. Korzystanie z limitów czasu
60. Jaki jest cel zarządzania zmianą w organizacji?
A. Zapewnienie zaplanowania zmian
B. Zapewnienie udokumentowania zmian
C. Zapewnienie, że wprowadzane są tylko zatwierdzone zmiany
D. Wszystkie powyższe
61. Jaka jest kluczowa różnica między wirtualizacją a konteneryzacją?
A. Wirtualizacja zapewnia systemom operacyjnym bezpośredni dostęp do sprzętu, podczas gdy konteneryzacja nie pozwala aplikacjom na bezpośredni dostęp do sprzętu.
B. Wirtualizacja umożliwia uruchamianie wielu systemów operacyjnych w jednym systemie fizycznym, podczas gdy konteneryzacja umożliwia uruchamianie wielu aplikacji w tym samym systemie.
C. Wirtualizacja jest niezbędna do konteneryzacji, ale konteneryzacja nie jest konieczna do wirtualizacji.
D. Nie ma kluczowej różnicy; są to elementy tej samej technologii.
62. Którą metodologię tworzenia oprogramowania przedstawiono na diagramie?
A. Spirala
B. RAD
C. Agile
D. Wodospad
63. Jaką przewagę ma infrastruktura pulpitów wirtualnych w przypadku kradzieży danych?
A. Żadne dane nie są przechowywane lokalnie na urządzeniu końcowym
B. Wbudowane DLP
C. Wszystkie dane są szyfrowane w spoczynku
D. Wszystkie dane są przechowywane lokalnie na urządzeniu końcowym
64. Brandon projektuje środowisko hostingowe dla aplikacji kontenerowych. Grupa aplikacji A zawiera informacje umożliwiające identyfikację osoby, grupa aplikacji B zawiera informacje o kondycji z różnymi wymaganiami prawnymi dotyczącymi obsługi, a grupa aplikacji C ma wymagania dotyczące obsługi poufnych danych biznesowych. Jaki jest najbezpieczniejszy projekt jego środowiska orkiestracji kontenerów, biorąc pod uwagę posiadane przez niego informacje?
A. Uruchom jeden, wysoce zabezpieczony host kontenera z szyfrowaniem danych w spoczynku.
B. Uruchom hosta kontenera dla każdej grupy aplikacji i zabezpiecz je na podstawie zawartych w nich danych.
C. Uruchom hosta kontenera dla grup A i B oraz hosta kontenera o niższym poziomie bezpieczeństwa dla grupy C.
D. Uruchom hosta kontenera dla grup A i C oraz hosta kontenera specyficznego dla informacji o kondycji dla grupy B ze względu na zawarte w nim informacje o kondycji.
65. Konta administratora lokalnego i domeny, konta root i konta usług są przykładami jakiego typu konta?
A. Monitorowane rachunki
B. Konta uprzywilejowane
C. Konta root
D. Konta nieuprzywilejowane
66. Ned odkrył keylogger podłączony do jednej ze swoich stacji roboczych i uważa, że atakujący mógł zdobyć nazwy użytkownika i hasła dla wszystkich użytkowników współdzielonej stacji roboczej. Ponieważ nie wie, jak długo keylogger był używany lub czy był używany na wielu stacjach roboczych, jaka jest jego najlepsza opcja bezpieczeństwa, aby zapobiec występowaniu problemów w przyszłości przez te i podobne ataki?
A. Uwierzytelnianie wieloskładnikowe
B. Zasady złożoności hasła
C. Zasady trwałości hasła
D. Zapobiegaj korzystaniu z urządzeń USB
67. Facebook Connect, CAS, Shibboleth i ADFS to przykłady jakiego rodzaju technologii?
A. Implementacje Kerberos
B. Implementacje jednokrotnego logowania
C. Technologie federacyjne
D. Dostawcy OAuth
68. Który z poniższych nie jest powszechnym protokołem tożsamości dla federacji?
A. SAML
B. OpenID
C. Autoryzacja OAuth
D. Kerberos
69. Mei projektuje sieć centrów danych swojej organizacji i chce ustanowić bezpieczną strefę oraz DMZ. Jeśli Mei chce mieć pewność, że konta użytkowników i ruch, które zarządzają systemami w strefie DMZ, są łatwe do audytu i że cały dostęp może być rejestrowany, jednocześnie pomagając zapobiegać negatywnym skutkom zhakowanych lub zainfekowanych stacji roboczych, które z poniższych rozwiązań jest najlepszą opcją projektową Mei?
A. Administracyjne maszyny wirtualne działają na stacjach roboczych administratora
B. gospodarz skoku
C. Gospodarz bastionu
D. SSH lub RDP z administracyjnych stacji roboczych
70. System zarządzania tożsamością używany przez nowego pracodawcę Grega zapewnia uprawnienia na podstawie jego pracy jako administratora systemu. Co to za system kontroli dostępu?
A. RBAC
B. MAC
C. DAC
D. ABAC
71. Podczas okresowego audytu uprawnień kont, Rhonda przegląda prawa kont w domenie Active Directory dla każdego użytkownika administracyjnego i usuwa wszelkie prawa do katalogów lub systemów, które nie powinny już być dostępne dla użytkowników administracyjnych. Jaki to rodzaj recenzji?
A. Przegląd ręczny
B. Ocena uprawnień
C. Obowiązkowy przegląd audytu
D. Rewizja audytu uznaniowego
72. Naomi chce egzekwować polityki bezpieczeństwa swojej organizacji wobec użytkowników usług w chmurze. Jaka technologia najlepiej się do tego nadaje?
A. Autoryzacja OAuth
B. CASB
C. OpenID
D. DMARC
73. Lucca chce mieć pewność, że jego dzienniki Windows przechwytują zdarzenia przez jeden miesiąc. Jakie ustawienie powinien zmienić w ustawieniach, aby to zapewnić?
A. Zwiększ rozmiar pliku dziennika do 40480.
B. Pozostaw plik dziennika bez zmian.
C. Zmień ustawienie, aby archiwizować dziennik, gdy jest pełny.
D. Wyczyść dziennik, aby rozpocząć czyszczenie.
74. Elliott chce zaszyfrować dane przesyłane między jego serwerami. Jaki protokół jest najczęściej używany do bezpiecznej komunikacji internetowej w sieci?
A. TLS
B. SSL
C. IPSec
D. PPTP
75. Co się dzieje, gdy wygaśnie certyfikat witryny?
A. Przeglądarki internetowe zgłoszą użytkownikom wygasły certyfikat.
B. Witryna nie będzie już dostępna.
C. Certyfikat zostanie unieważniony.
D. Wszystkie powyższe.
76. Jakiego terminu używa się do opisania mechanizmów obronnych, które zaciemniają powierzchnię ataku organizacji poprzez rozmieszczanie wabików i atrakcyjnych celów, aby spowolnić lub odwrócić uwagę napastnika?
A. Aktywna obrona
B. Miodowy dzbanek
C. Pułapka na niedźwiedzie
D. Interaktywna obrona
77. Wymogi kryptograficzne listy kontrolnej bezpieczeństwa aplikacji mobilnej OWASP obejmują wymóg, aby aplikacja używała "sprawdzonych implementacji prymitywów kryptograficznych". Co oznacza ten wymóg i dlaczego znajduje się na liście kontrolnej?
A. Używaj tylko podstawowych technik kryptograficznych, aby upewnić się, że programiści mogą je zrozumieć
B. Używaj tylko sprawdzonych wersji algorytmów kryptograficznych, aby były bezpieczne
C. Używaj wyłącznie opracowanych i przetestowanych wewnętrznie algorytmów kryptograficznych, aby uniknąć znanych luk w zabezpieczeniach
D. Używaj wyłącznie technik kryptograficznych typu open source, aby zapewnić możliwość przeglądu ich kodu źródłowego
78. Claire wie, że aplikacja internetowa, którą jej organizacja musi mieć w produkcji, ma luki w wyniku ostatniego skanowania przy użyciu skanera bezpieczeństwa aplikacji internetowej. Jaka jest jej najlepsza opcja ochrony, jeśli wie, że luka jest znaną usterką wstrzyknięcia SQL?
A. Zapora sieciowa
B. IDS
C. WAF
D. DLP
Użyj poniższego scenariusza, aby odpowiedzieć na pytania 79-81. Donna została wyznaczona jako kierownik ds. bezpieczeństwa w zespole DevSecOps budującym nową aplikację internetową. W ramach wysiłków musi nadzorować praktyki bezpieczeństwa, które zespół będzie stosować do ochrony aplikacji. Wykorzystaj swoją wiedzę na temat bezpiecznych praktyk kodowania, aby pomóc Donnie przeprowadzić jej zespół przez ten proces.
79. Członek zespołu Donny zaleca zbudowanie czarnej listy, aby uniknąć niebezpiecznych znaków, takich jak tagi i < script >. Jak atakujący mogli ominąć czarną listę, która indywidualnie identyfikowała te postacie?
A. Mogą użyć ataku binarnego.
B. Mogą używać alternatywnych kodowań.
C. Mogą używać różnych znaków o tym samym znaczeniu.
D. Znaki mogą być używane razem, aby uniknąć czarnej listy.
80. Projekt aplikacji wymaga walidacji danych wejściowych po stronie klienta. Jakiego rodzaju narzędzia może użyć atakujący, aby to ominąć?
A. Wtryskiwacz XSS
B. Internetowy serwer proxy
C. Interpreter JSON
D. Wstrzykiwacz SQL
81. Członek zespołu ds. bezpieczeństwa Donny sugeruje, że należy również rozważyć kodowanie danych wyjściowych. Jakiemu rodzajowi ataku członek zespołu najprawdopodobniej próbuje zapobiec?
A. Skrypty między witrynami
B. Wstrzyknięcie SQL
C. Fałszerstwo żądań między witrynami
D. Wszystkie powyższe
82. Jaki rodzaj systemu kontroli dostępu wykorzystuje informacje takie jak wiek, tytuł, identyfikator organizacji lub poświadczenie bezpieczeństwa w celu przyznania uprawnień?
A. RBAC
B. MAC
C. DAC
D. ABAC
83. Alex wdrożył nowy model podłączonych do sieci urządzeń Internetu rzeczy (IoT) w obiektach swojej organizacji w celu śledzenia danych środowiskowych. Urządzenia wykorzystują system na chipie (SOC), a Alex jest zaniepokojony potencjalnymi atakami. Jaki jest najbardziej prawdopodobny kanał exploitów dla SOC w tym środowisku?
A. Ataki fizyczne
B. Ataki za pośrednictwem niezaufanej odlewni
C. Ataki na system operacyjny i oprogramowanie
D. Ataki bocznokanałowe
84. Nathan pobiera aktualizację systemu BIOS ze strony internetowej Dell, a gdy próbuje zainstalować ją na komputerze, otrzymuje błąd, że hash systemu BIOS nie zgadza się z hashem przechowywanym na serwerach Dell. Jaki to rodzaj ochrony?
A. Szyfrowanie całego dysku
B. Ochrona oprogramowania układowego
C. Ochrona systemu operacyjnego
D. Żadne z powyższych
85. Jaka praktyka jest typowa w organizacji DevSecOps jako część potoku CI/CD?
A. Automatyzacja niektórych bramek bezpieczeństwa
B. Programowa implementacja luk zero-day
C. Wykorzystanie praktyków ds. bezpieczeństwa do kontrolowania przepływu potoku CI/CD
D. Usuwanie funkcji bezpieczeństwa z IDE
86. Naomi chce zweryfikować pliki, które są przesyłane jako część jej aplikacji internetowej. Która z poniższych technik nie jest powszechną techniką zapobiegania przesyłaniu złośliwych plików lub atakom typu "odmowa usługi"?
A. Używanie walidacji danych wejściowych w celu zapewnienia tylko dozwolonych rozszerzeń plików
B. Przesyłanie wszystkich plików na platformę antywirusową innej firmy, taką jak VirusTotal
C. Porównywanie rozmiaru przesłanych plików z maksymalnym dozwolonym rozmiarem pliku
D. Sprawdzanie plików zip pod kątem ich struktury i ścieżki przed ich rozpakowaniem
87. Valerie chce zapobiec wykonywaniu potencjalnych ataków cross-site scripting, gdy wcześniej wprowadzone informacje są wyświetlane w przeglądarkach użytkownika. Jakiej techniki powinna użyć, aby temu zapobiec?
A. Zapora sieciowa
B. HIDS
C. Kodowanie wyjściowe
D. Randomizacja ciągów
88. Podczas tworzenia aplikacji internetowej Chris ustawia długość identyfikatora sesji na 128 bitów w oparciu o zalecane przez OWASP standardy zarządzania sesjami. Z jakiego powodu potrzebowałby tak długiego identyfikatora sesji?
A. Aby uniknąć powielania
B. Aby umożliwić dużej grupie użytkowników
C. Aby zapobiec brutalnemu wymuszaniu
D. Wszystkie powyższe
89. Robert przegląda aplikację internetową, a programiści zaoferowali cztery różne odpowiedzi na nieprawidłowe logowanie. Która z poniższych czterech odpowiedzi jest najbezpieczniejszą opcją?
A. Logowanie nie powiodło się dla użytkownika; nieprawidłowe hasło
B. Logowanie nie powiodło się; nieprawidłowe dane użytkownika lub hasło
C. Logowanie nie powiodło się; nieprawidłowy identyfikator użytkownika
D. Logowanie nie powiodło się; konto nie istnieje
90. Jaka technologia jest najczęściej używana do ochrony przesyłanych danych w nowoczesnych aplikacjach internetowych?
A. VPN
B. TLS
C. SSL
D. IPSec
91. Nathan przegląda kod PHP dla swojej organizacji i znajduje następujący kod w aplikacji, którą ocenia. Jakiej techniki używa programista?
$stmt = $dbh->prepare("WSTAW DO REJESTRU (var1, var2) WARTOŚCI
(:zm1, :zm2)");
$stmt->bindParam(':zmienna1', $zmienna1);
$stmt->bindParam(':zmienna2', $zmienna2);
A. Dynamiczne wiązanie
B. Zapytania parametryczne
C. Ograniczenie zmiennej
D. Żadne z powyższych
92. Który z poniższych komponentów nie jest zwykle częścią architektury zorientowanej na usługi?
A. Usługodawca
B. Opiekun serwisu
C. Pośrednik usług
D. Konsument usług
93. Która rola w przepływie uwierzytelniania SAML weryfikuje tożsamość użytkownika?
A. SP
B. IDP
C. Zleceniodawca
D. RP
94. Anja ocenia bezpieczeństwo wdrożenia usługi sieciowej opartej na SOAP. Które z poniższych wymagań dotyczących bezpieczeństwa usług internetowych powinna zalecić, aby zmniejszyć prawdopodobieństwo udanego ataku typu man-in-the-middle?
A. Użyj TLS.
B. Użyj sprawdzania poprawności danych wejściowych XML.
C. Użyj sprawdzania poprawności danych wyjściowych XML.
D. Pliki skanowania antywirusowego otrzymane przez serwis internetowy.
95. Które z poniższych składników nie są częścią typowego komunikatu SOAP?
A. Koperta
B. Nagłówek
C. Pieczęć
D. Ciało
96. Alicja chce zapewnić odpowiednią kontrolę dostępu do publicznej usługi REST. Która opcja najlepiej nadaje się do zapewnienia, że usługa nie będzie ucierpiała w wyniku nadmiernego użytkowania?
A. Ograniczanie metod HTTP
B. Korzystanie z tokenów internetowych JSON
C. Korzystanie z kluczy API
D. Korzystanie z HTTPS
97. Jaka jest typowa struktura żądań w usługach internetowych opartych na REST?
A. Jako XML
B. Jako adres URL
C. Jako zapytanie SQL
D. Jako oświadczenie SOAP
98. Przeglądając kod mikrousługi opartej na platformie Docker, Erik odkrywa następujący kod:
echo "pidfile = /run/example.pid" >> /etc/example.conf && \
echo "logfile = /data/logs/example.log" >> /etc/example.conf && \
echo "poziom logu = debug" >> /etc/example.conf && \
echo "port = : 5159" >> /etc/example.conf && \
echo "nazwa użytkownika = svc" >> /etc/example.conf && \
echo "hasło = bezpieczne" >> /etc/example.conf && \
Co znalazł?
A. Źle skonfigurowana mikrousługa
B. Zakodowane dane uwierzytelniające
C. Nieprawidłowo skonfigurowane pliki dziennika
D. Zabroniony port
99. Jaki rodzaj dostępu jest zwykle wymagany, aby naruszyć fizycznie odizolowany system z luką powietrzną?
A. Dostęp do sieci przewodowej
B. Dostęp fizyczny
C. Dostęp do sieci bezprzewodowej
D. Żadne z powyższych, ponieważ nie można uzyskać dostępu do izolowanego systemu z pustką powietrzną
100. Organizacja, dla której pracuje Allan, chce bezpiecznie przechowywać klucze cyfrowe dla swoich certyfikatów bezpieczeństwa przedsiębiorstwa. Jaki typ urządzenia powinni wybrać, aby pomóc w zarządzaniu kluczami i ich ochronie?
A. Token sprzętowy
B. HSM
C. PEBKAC
D. pudełko na cygara CA
101. Charlene chce zapewnić swoim użytkownikom szyfrowane połączenie sieciowe. Wie, że jej użytkownicy wymagają pełnego połączenia sieciowego, a nie konkretnych zastosowań. Jaką technologię VPN powinna wybrać?
A. SSL
B. TLS
C. IPSec
D. WPA2
102. W jaki sposób eFuses są wykorzystywane do zapobiegania degradacji oprogramowania sprzętowego?
A. Jeśli są spalone, nie można zmienić oprogramowania układowego.
B. Liczba przepalonych bezpieczników wskazuje aktualny poziom oprogramowania układowego, uniemożliwiając instalację starych wersji.
C. eFuses musi zostać zresetowany przed aktualizacją oprogramowania układowego, co wymaga dostępu administracyjnego.
D. eFuses nie może być używany do zapobiegania degradacji oprogramowania sprzętowego.
103. Dev chce używać bezpiecznego rozruchu na stacji roboczej. Jakiej technologii musi używać jego stacja robocza, aby obsługiwać funkcję bezpiecznego rozruchu?
A. BIOS
B. ROM
C. UEFI
D. TPM
104. Jakie wymagania muszą być spełnione, aby istniało zaufane środowisko wykonawcze?
A. Wszystkie zaufane zasoby środowiska wykonawczego muszą być bezpiecznie zainstalowane i uruchomione.
B. Zaufane środowisko wykonawcze musi być zweryfikowane i certyfikowane przez stronę trzecią.
C. Zaufane środowisko wykonawcze musi zostać zweryfikowane i zatwierdzone przez użytkownika końcowego.
D. Tylko zaufane komponenty wbudowane w system operacyjny mogą być uruchamiane w zaufanym środowisku wykonawczym.
105. Jakiej funkcji sprzętowej używają urządzenia Apple do bezpiecznego zarządzania kluczami poza procesorem?
A. Bastion kryptograficzny
B. Bezpieczna enklawa
C. HSM
D. Kryptolocker
106. Która z poniższych nie jest typową funkcją rozszerzeń zabezpieczeń procesora?
A. Kontrole integralności ścieżki danych i instrukcji
B. Wykrywanie błędów pamięci i rejestrów
C. Sprawdzanie granic stosu
D. Bezpieczne możliwości czyszczenia rejestru
107. Jakie pojęcie opisuje proces bezpieczeństwa, który zapewnia, że inny proces lub urządzenie nie może wykonywać operacji odczytu lub zapisu w pamięci podczas wykonywania operacji?
A. Pamięć nieblokująca
B. Spójność pamięci
C. Egzekucja atomowa
D. Zaufane wykonanie
Użyj poniższego scenariusza, aby odpowiedzieć na pytania 108-111. Tom łączy się ze stroną internetową za pomocą przeglądarki internetowej Chrome. Witryna korzysta z szyfrowania TLS i przedstawia pokazany tutaj certyfikat cyfrowy.
108. Kto utworzył podpis cyfrowy widoczny w ostatnim wierszu tego certyfikatu cyfrowego?
A. Usługi Starfield
B. Amazonka
C. nd.edu
D. RPA
109. Która z poniższych stron internetowych nie byłaby objęta tym certyfikatem?
A.nd.edu
B. www.nd.edu
C. www.biznes.nd.edu
D. Wszystkie te strony będą objęte certyfikatem.
110. Jaki klucz szyfrowania zawiera certyfikat?
A. Klucz publiczny strony internetowej
B. Klucz prywatny strony internetowej
C. Klucz publiczny Tomka
D. Klucz prywatny Toma
111. Jaki klucz jest używany do szyfrowania przyszłej komunikacji między serwerem WWW a Tomem po zainicjowaniu przez Toma połączenia z witryną?
A. Klucz publiczny strony internetowej
B. Klucz prywatny strony internetowej
C. Klucz publiczny Tomka
D. Klucz sesji
112. W jakich praktykach bezpieczeństwa powszechnie stosuje się naklejki holograficzne?
A. Zabezpieczenie antysabotażowe
B. Antykradzieżowe
C. Zarządzanie aktywami
D. Śledzenie zasobów
113. Olivia otrzymała zadanie zidentyfikowania rozwiązania, które zapobiegnie ujawnieniu danych na dysku w przypadku kradzieży samego dysku. Jaki rodzaj technologii powinna polecić?
A. MSZ
B. SED
C. P2PE
D. eSATA
114. Organizacja Amandy chce mieć pewność, że świadomość użytkowników, dokumentacja i inne zadania są realizowane i śledzone w miarę dodawania i modyfikowania nowej infrastruktury. Jakie narzędzie powinni nabyć?
A. Narzędzie do zarządzania projektami
B. IDE
C. Narzędzie do zarządzania zmianą
D. Narzędzie do sprzedaży biletów
115. Christina chce sprawdzić oprogramowanie, które otrzymała, aby upewnić się, że jest to to samo oprogramowanie, które dostarcza producent. Jaki proces powinna wykonać, aby sprawdzić, czy oprogramowanie układowe jest zaufanym oprogramowaniem układowym?
A. Pobierz ten sam plik od producenta i porównaj rozmiar pliku.
B. Porównaj hash pliku z hashem dostarczonym przez producenta.
C. Uruchom ciągi w stosunku do oprogramowania układowego, aby znaleźć jakiekolwiek oznaki temperowania.
D. Prześlij oprogramowanie układowe do witryny skanującej złośliwe oprogramowanie, aby sprawdzić, czy nie zawiera złośliwego oprogramowania.
116. Organizacja Amandy wykorzystuje konstrukcję szczeliny powietrznej do ochrony urządzenia HSM, które przechowuje ich główny certyfikat szyfrowania. W jaki sposób Amanda będzie musiała uzyskać dostęp do urządzenia, jeśli chce wygenerować nowy certyfikat?
A. Bezprzewodowo z jej laptopa
B. Przez sieć przewodową z jej komputera
C. Z systemu w sieci z luką powietrzną
D. Amanda nie może uzyskać dostępu do urządzenia bez fizycznego dostępu do niego
117. Jaka jest kluczowa różnica między zabezpieczonym łańcuchem rozruchowym a zmierzonym łańcuchem rozruchowym?
A. Bezpieczny łańcuch rozruchowy zależy od źródła zaufania.
B. Zmierzony łańcuch rozruchowy oblicza skrót następnego obiektu w łańcuchu i bezpiecznie go przechowuje.
C. Bezpieczny łańcuch rozruchowy oblicza skrót następnego obiektu w łańcuchu i bezpiecznie go przechowuje.
D. Zmierzony łańcuch rozruchowy zależy od źródła zaufania.
118. Szyfrowana transmisja danych z CPU do GPU to przykład jakiego rodzaju technologii?
A. Bezpieczna enklawa
B. Szyfrowanie magistrali
C. Sprzętowy moduł bezpieczeństwa
D. Moduł bezpieczeństwa oprogramowania
119. Która z poniższych stron komunikuje się bezpośrednio z użytkownikiem końcowym podczas transakcji SAML?
A. Strona ufająca
B. Dostawca tożsamości SAML
C. Zarówno strona ufająca, jak i dostawca tożsamości
D. Ani strona ufająca, ani dostawca tożsamości
120. Jakiego typu dedykowane urządzenie jest używane w organizacjach, które mogą generować klucze, tworzyć i weryfikować podpisy cyfrowe oraz zapewniać przetwarzanie kryptograficzne zarówno w celu szyfrowania, jak i deszyfrowania danych?
A. HSM
B. BGP
C. SSM
D. Żadne z powyższych
121. Saeed chce zapewnić, że urządzenia zamówione przez jego firmę są rejestrowane w inwentarzu i śledzone przez cały okres ich życia za pomocą metod śledzenia fizycznego inwentarza. Co może zrobić, aby upewnić się, że aktywa są łatwiejsze do szybkiej identyfikacji z inwentarzem aktywów?
A. Zapisz je w bazie danych
B. Zapisz je za pomocą formularzy papierowych
C. Użyj tagowania zasobów
D. Używaj sprzętowego tagowania opartego na adresie
122. Isaac opracowuje aplikację mobilną i postępuje zgodnie z listą kontrolną bezpieczeństwa aplikacji mobilnych OWASP. Której z poniższych praktyk nie powinien przestrzegać?
A. Aplikacja będzie używać kryptografii symetrycznej z kluczami zakodowanymi na stałe jako jedyną metodą szyfrowania.
B. Dane dla aplikacji będą szyfrowane w sieci przy użyciu TLS za każdym razem, gdy dane są wysyłane lub odbierane.
C. Aplikacja będzie używać Bezpiecznej Enklawy na urządzeniach z systemem iOS do przechowywania kluczy kryptograficznych.
D. Aplikacja unieważnia sesje po określonym czasie bezczynności, a tokeny sesji wygasają.
123. Mikrosondowanie, stosowanie nieoczekiwanych lub niezgodnych ze specyfikacją napięć lub sygnałów zegarowych oraz zamrażanie urządzenia to przykłady rodzajów ataków, którym zapobiega się za pomocą jakiego rodzaju techniki?
A. DRM
B. Antykradzieżowe
C. Antysabotaż
D. Tolerancja błędu
124. Patricia chce chronić zaktualizowane oprogramowanie sprzętowe zastrzeżonego sprzętu swojej organizacji podczas jego instalacji i obawia się, że osoby trzecie przechwycą informacje podczas przesyłania między systemem hosta a urządzeniem sprzętowym. Jakiego typu rozwiązania powinna użyć do ochrony przesyłanych danych, jeśli urządzenie jest wewnętrzną kartą PCIe?
A. Szyfrowanie magistrali
B. Szyfrowanie procesora
C. Szyfrowanie całego dysku
D. DRM
125. Piper chce usunąć zawartość dysku samoszyfrującego (SED). Jaki jest najszybszy sposób, aby to zrobić bezpiecznie?
A. Użyj czyszczenia całego dysku zgodnie ze standardami DoD.
B. Usuń klucz szyfrowania dla dysku.
C. Użyj demagnetyzera.
D. Sformatuj dysk.
126. Jaki typ modułu jest wymagany do włączenia bezpiecznego rozruchu i zdalnej atestacji?
A. Moduł TPM
B. HSM
C. GPM
D. Moduł MX
127. Chociaż zarówno procesy bezpiecznego rozruchu, jak i mierzonego rozruchu opierają się na łańcuchu zaufania, tylko jeden weryfikuje obiekty w łańcuchu. Jaka technologia to robi i po jakim procesie następuje?
A. Łańcuch bezpiecznego rozruchu sprawdza poprawność obiektów rozruchowych za pomocą kluczy prywatnych w celu sprawdzenia kluczy publicznych już w systemie BIOS.
B. Łańcuch Measured Boot oblicza skrót następnego obiektu w łańcuchu i porównuje go z hashem poprzedniego obiektu.
C. Łańcuch Secured Boot oblicza skrót następnego obiektu w łańcuchu i porównuje go z hashem poprzedniego obiektu.
D. Łańcuch Measured Boot weryfikuje obiekty rozruchowe za pomocą kluczy prywatnych w celu sprawdzenia kluczy publicznych znajdujących się już w systemie BIOS.
128. Jaki typ operacji występuje w sposób, który uniemożliwia innemu procesorowi lub urządzeniu we/wy odczytywanie lub zapisywanie w lokalizacji pamięci, która jest używana przez operację, dopóki operacja nie zostanie zakończona?
A. Kompletna operacja
B. Operacja ułamkowa
C. Egzekucja atomowa
D. Wykonanie prostopadłe
129. Adil próbuje uruchomić system, który korzysta z UEFI i ma włączoną funkcję Secure Boot. Podczas procesu rozruchu system nie uruchomi się z powodu rozpoznanego błędu klucza. Co się stało?
A. Użytkownik nie wprowadził swojego hasła.
B. Token dysku wymaga aktualizacji.
C. Token USB nie jest podłączony.
D. System operacyjny może nie być bezpieczny.
130. Wsparcie dla AES, 3DES, ECC i SHA-256 są przykładami czego?
A. Algorytmy szyfrowania
B. Algorytmy haszujące
C. Rozszerzenia bezpieczeństwa procesora
D. Moduły szyfrowania magistrali
131. Bernie tworzy VPC dla swojej organizacji i łączy się z nim przez VPN. Co stworzył i gdzie?
A. Prywatny segment chmury publicznej
B. Prywatny segment lokalnego środowiska wirtualizacji
C. Publiczny segment chmury prywatnej
D. Publiczny segment lokalnego środowiska wirtualizacji
132. Jakim typom ataków mogą zapobiegać klucze API, gdy są używane do ograniczania dostępu do usługi opartej na REST?
A. Ataki brute-force
B. Ataki typu time-of-access/time-of-use
C. Ataki typu man-in-the-middle
D. Ataki typu "odmowa usługi"
133. Które z poniższych nie jest korzyścią z fizycznej segmentacji?
A. Łatwiejszy wgląd w ruch uliczny
B. Poprawione bezpieczeństwo sieci
C. Obniżone koszty
D. Zwiększona wydajność
Skorzystaj z poniższego diagramu, aby odpowiedzieć na kolejne trzy pytania.
134. Scott zaprojektował nadmiarową infrastrukturę, ale jego projekt wciąż ma pojedyncze punkty awarii. Który z pojedynczych punktów awarii najprawdopodobniej spowoduje awarię Internetu w całej organizacji?
A. Punkt A
B. Punkt C
C. Punkt E
D. Punkt F
135. Po zidentyfikowaniu pojedynczego punktu awarii łączności Scott chce rozwiązać problem. Jakie byłoby najlepsze rozwiązanie problemu, który zidentyfikował?
A. Drugie połączenie od tego samego dostawcy usług internetowych na tej samej ścieżce światłowodowej
B. Drugie połączenie od innego dostawcy usług internetowych na tej samej ścieżce światłowodowej
C. Drugie połączenie od tego samego dostawcy usług internetowych na innej ścieżce światłowodowej
D. Drugie połączenie od innego dostawcy usług internetowych na innej ścieżce światłowodowej
136. Scott został poproszony o sprawdzenie swojej infrastruktury pod kątem innych krytycznych punktów awarii. Jeśli punkt E jest routerem brzegowym, a poszczególne stacje robocze nie są uważane za krytyczne dla misji, jaki problem powinien zidentyfikować?
A. Punkt D
B. Punkt E
C. Punkt F
D. Żadne z powyższych
137. Która z poniższych opcji jest najskuteczniejsza w zapobieganiu atakom znanym hasłem na aplikację internetową?
A. Blokada konta
B. Ustawienia złożoności hasła
C. CAPTCHA
D. Uwierzytelnianie wieloskładnikowe
138. Ben dodaje unikalny, losowo wygenerowany ciąg do każdego hasła, zanim zostanie ono zaszyfrowane w ramach procesu przechowywania haseł w jego aplikacji internetowej. Jak nazywa się ten proces?
A. Zacieranie
B. Haszowanie
C. Solenie
D. Pieczenie
139. Który z poniższych przypadków nie jest typowym przypadkiem użycia segmentacji sieci?
A. Tworzenie sieci VoIP
B. Tworzenie sieci współdzielonej
C. Tworzenie sieci bezprzewodowej dla gości
D. Tworzenie stref zaufania
140. Kwame odkrywa, że sekrety mikrousługi zostały ustawione jako zmienne środowiskowe na hoście Linux, który przegląda za pomocą następującego polecenia:
docker run -it -e "DBUSER= appsrv" -e DBPASSWD=secure11 dbappsrv
Które procesy mogą odczytywać zmienne środowiskowe?
A. dbuser
B. Użytkownik platformy Docker
C. Wszystkie procesy w systemie
D. Root i inni użytkownicy administracyjni
141. Jakie trzy warstwy tworzą sieć definiowaną programowo?
A. Warstwy aplikacyjne, datagramowe i fizyczne
B. Warstwy aplikacji, kontroli i infrastruktury
C. Warstwy kontroli, infrastruktury i sesji
D. Warstwy łącza danych, prezentacji i transportu
142. Która z poniższych nie jest zaletą VDI w zakresie bezpieczeństwa?
A. Żadne dane nie są przechowywane lokalnie na urządzeniu końcowym.
B. Zarządzanie poprawkami jest łatwiejsze dzięki wykorzystaniu jednego centralnego obrazu.
C. Systemy VDI nie mogą być zainfekowane złośliwym oprogramowaniem.
D. Istnieje izolacja narzędzi biznesowych i plików nawet w przypadku korzystania z urządzeń będących własnością prywatną.
143. Micah projektuje środowisko bezpieczeństwa aplikacji kontenerowych i chce mieć pewność, że obrazy kontenerów, które wdraża, nie powodują problemów związanych z bezpieczeństwem ze względu na podatne aplikacje. Co może zintegrować z potokiem CI/CD, aby temu zapobiec?
A. Automatyczne sprawdzanie hashów aplikacji pod kątem znanych dobrych wersji
B. Automatyczne skanowanie podatności
C. Zautomatyzowane testowanie fuzz
D. Aktualizacje automatyczne
144. Susan chce zoptymalizować przepływ pracy DevOps w ramach inicjatywy DevSecOps. Jaką metodę optymalizacji powinna polecić, aby stale integrować zabezpieczenia bez spowalniania pracy?
A. Zautomatyzuj niektóre bramki bezpieczeństwa.
B. Przeprowadź testy bezpieczeństwa przed rozwojem.
C. Przeprowadzaj testy bezpieczeństwa dopiero po pełnym uruchomieniu całego kodu.
D. Żadne z powyższych.
145. Camille chce zintegrować się z federacją. Czego będzie potrzebować, aby uwierzytelnić swoich użytkowników w federacji?
A. IDP
B. SP
C. Brama API
D. Serwer SSO
Odpowiedz na trzy kolejne pytania w oparciu o swoją wiedzę na temat bezpieczeństwa kontenerów i następujący scenariusz. Brandon był zaangażowany w zaprojektowanie modelu bezpieczeństwa do wykorzystania kontenerów w swojej organizacji. Pracuje na podstawie dokumentu NIST SP 800-190 i chce postępować zgodnie z zaleceniami NIST tam, gdzie to możliwe.
146. Co Brandon może zrobić, aby stworzyć podstawę sprzętową dla zaufanych komputerów?
A. Korzystaj wyłącznie z przetwarzania wewnętrznego, a nie z przetwarzania w chmurze.
B. Użyj sprzętowego źródła zaufania, takiego jak moduł TPM i metody bezpiecznego rozruchu.
C. Okresowo ręcznie sprawdzaj sprzęt, aby upewnić się, że nie ma żadnych keyloggerów ani innego niespodziewanego sprzętu.
D. Używaj tylko podpisanych sterowników.
147. Brandon musi wdrożyć kontenery o różnych celach, poziomach wrażliwości danych i zagrożeniach w swoim środowisku kontenerowym. Jak powinien je pogrupować?
A. Segmentuj pojemniki według przeznaczenia
B. Segmentuj kontenery według wrażliwości danych
C. Segmentuj kontenery według modelu zagrożeń
D. Wszystkie powyższe
148. Jakie kwestie powinien rozważyć Brandon, zanim zdecyduje się na użycie narzędzi do zarządzania podatnościami, które posiada w swoim niekontenerowym środowisku bezpieczeństwa?
A. Narzędzia do zarządzania podatnościami mogą przyjmować założenia dotyczące trwałości hosta.
B. Narzędzia do zarządzania podatnościami mogą przyjmować założenia dotyczące mechanizmów i częstotliwości aktualizacji.
C. Zarówno A, jak i B
D. Ani A ani B
149. Informacje o czasie, monitorowanie zużycia energii, monitorowanie emisji elektromagnetycznych i monitorowanie akustyczne to przykłady typów ataków na SOC, systemy wbudowane i inne platformy?
A. Ataki na zaufane odlewnie
B. Ataki boczne
C. Ataki na kanał podstawowy
D. Niezaufane ataki na odlewnię
150. Jakie kluczowe funkcje zapewniają narzędzia do zarządzania kontami uprzywilejowanymi w przedsiębiorstwie?
A. Tworzenie hasła
B. Kontrola dostępu do poszczególnych systemów
C. Zarządzanie uprawnieniami w wielu systemach
D. Narzędzia do wygaśnięcia konta
151. Amira chce wdrożyć narzędzie jednokrotnego logowania (SSO) oparte na otwartym standardzie, które obsługuje zarówno uwierzytelnianie, jak i autoryzację. Jakiego otwartego standardu powinna szukać, jeśli chce połączyć się z szeroką gamą dostawców tożsamości i usługodawców?
A. LDAP
B. SAML
C. Autoryzacja OAuth
D. OpenID Connect
152. Nathaniel chce korzystać z systemu kontroli dostępu, który uwzględnia informacje o zasobach, takie jak właściciel zasobu, nazwa pliku i wrażliwość danych. Jakiego systemu kontroli dostępu powinien używać?
A. ABAC
B. DAC
C. MAC
D. RBAC
153. Jaka technika bezpiecznego przetwarzania wymaga, aby operacja została zakończona, zanim lokalizacje pamięci, do których uzyskuje dostęp lub do których zapisuje, będą mogły zostać wykorzystane przez inny proces?
A. Zaufane wykonanie
B. Egzekucja atomowa
C. Antysabotaż
D. Szyfrowanie magistrali
154. Betty chce przejrzeć dzienniki bezpieczeństwa na swojej stacji roboczej Windows. Jakiego narzędzia powinna użyć do tego?
A. Secpol.msc
B. Podgląd zdarzeń
C. Przeglądarka dziennika
D. Logview.msc
155. Jakiemu rodzajowi ataków ma zapobiegać zastosowanie parametryzacji zapytań?
A. Przepełnienia bufora
B. Skrypty między witrynami
C. Wstrzyknięcie SQL
D. Ataki typu "odmowa usługi"
156. Isaac konfiguruje syslog w systemie Linux i chce wysłać logi w sposób, który zapewni ich odbiór. Jaki protokół powinien określić, aby to zrobić?
A. UDP
B. HTTP
C. HTTPS
D. TCP
157. Bob chce wdrożyć technologię VPN ze szczegółową kontrolą dostępu dla aplikacji, które są wymuszane na bramie. Która technologia VPN najlepiej spełnia to wymaganie?
A. IKE VPN
B. TLS VPN
C. X.509 VPN
D. Sieci VPN IPsec
158. Przeciw jakim typom ataków jest zwykle używane kodowanie danych wyjściowych?
A. DoS
B. XSS
C. XML
D. DDoS
159. Alaina chce zidentyfikować tylko poważne problemy z jądrem w systemie Linux i wie, że poziomy rejestrowania jądra wahają się od poziomu 0 do 7. Który z poniższych poziomów jest najpoważniejszy?
A. Poziom 1, KERN_ALERT
B. Poziom 2, KERN_CRIT
C. Poziom 4, KERN_WARNING
D. Poziom 7, KERN_DEBUG
Użyj poniższego scenariusza dla pytań 160-162. Scott został poproszony o wybranie modelu rozwoju oprogramowania dla swojej organizacji i wie, że istnieje wiele modeli, które mogą mieć sens dla tego, o co został poproszony. Wykorzystaj swoją wiedzę na temat modeli SDLC, aby zidentyfikować odpowiedni model dla każdego z poniższych wymagań.
160. Organizacja Scotta potrzebuje podstawowych funkcji, aby stać się dostępnymi tak szybko, jak to możliwe i chce zaangażować zespoły, które będą ją intensywnie wykorzystywać, aby zapewnić spełnienie ich potrzeb. Jaki model powinien polecić Scott?
A. Wodospad
B. Spirala
C. Agile
D. Szybkie tworzenie aplikacji
161. Potrzebny jest wysiłek związany z kodowaniem równoległym; jednak ten wysiłek obejmuje bardzo złożony system, a błędy mogą zagrażać ludzkiemu życiu. System obejmuje dokumentację medyczną i dawki leków, a organizacja przedkłada stabilność i dokładność nad szybkość. Scott wie, że organizacja często dodaje ograniczenia projektowe w trakcie całego procesu i że wybrany przez niego model musi również odpowiadać tej potrzebie. Jaki model powinien wybrać?
A. Wodospad
B. Spirala
C. Agile
D. Szybkie tworzenie aplikacji
162. Pod koniec swojego cyklu rozwoju, w jaką fazę SDLC wejdzie Scott, gdy nowa aplikacja zostanie zainstalowana i zastąpi stary kod?
A. Testy akceptacyjne użytkownika
B. Testowanie i integracja
C. Usposobienie
D. Przeprojektowanie
163. Sofía chce mieć pewność, że układy scalone w nowym urządzeniu, które wypuszcza jej firma zajmująca się komercyjnymi produktami konsumenckimi, nie mogą być łatwo poddane inżynierii wstecznej. Która technika nie jest odpowiednim sposobem na spełnienie jej wymagań?
A. Skorzystaj z zaufanej odlewni.
B. Ukryj układ scalony w żywicy epoksydowej.
C. Zaprojektuj chip tak, aby zerował poufne dane, jeśli jego enkapsulacja bezpieczeństwa nie powiedzie się.
D. Zaprojektuj układ tak, aby obsługiwał napięcia i sygnały zegarowe niezgodne ze specyfikacją.
164. Charles przegląda właściwości certyfikatu dla certyfikatu dla www.comptia.org i zauważa, że nazwa DNS odczytuje
Nazwa DNS = *.comptia.org
Nazwa DNS = comptia.org
Jaki rodzaj certyfikatu jest używany?
A. Certyfikat wielodomenowy
B. Certyfikat wieloznaczny
C. Niezgodny certyfikat
D. Nieważny certyfikat
165. Alaina chce wdrożyć nowoczesną architekturę zorientowaną na usługi (SOA), która opiera się na poleceniach opartych na protokole HTTP, działa dobrze w środowiskach o ograniczonej przepustowości i może obsługiwać wiele formatów danych poza XML. W co powinna zbudować SOA?
A. SOAP
B. Wodospad
C. RESTK
D. CAVE
166. OWASP Session Management Cheatsheet informuje, że identyfikatory sesji są bez znaczenia i zaleca, aby były używane tylko jako identyfikator po stronie klienta. Dlaczego identyfikator sesji nie powinien zawierać zakodowanych dodatkowych informacji, takich jak adres IP klienta, jego nazwa użytkownika lub inne informacje?
A. Przetwarzanie złożonych identyfikatorów sesji spowolni działanie usługi.
B. Identyfikatory sesji nie mogą zawierać tych informacji ze względów prawnych.
C. Identyfikatory sesji są wysyłane do wielu różnych użytkowników, co może spowodować naruszenie danych.
D. Identyfikatory sesji mogą zostać zdekodowane, powodując wyciek danych.
167. Pokazany tutaj honeynet Nii jest skonfigurowany do korzystania z segmentu nieużywanej przestrzeni sieciowej, w której nie ma żadnych legalnych serwerów. Jakiego rodzaju zagrożenia ten projekt jest szczególnie przydatny do wykrywania?
A. Ataki dnia zerowego
B. Wstrzyknięcie SQL
C. Skanowanie sieci
D. Ataki DDoS
168. Sprawdzanie granic, usuwanie znaków specjalnych i wymuszanie dopasowania ciągów znaków do ograniczonego zestawu opcji to przykłady jakich technik zabezpieczania aplikacji internetowych?
A. Zapobieganie wstrzykiwaniu SQL
B. Walidacja danych wejściowych
C. Zapobieganie XSS
D. Fuzzing
169. Abigail przeprowadza walidację danych wejściowych względem pola wejściowego i używa następującego wyrażenia regularnego:
^(AA|AE|AP|AL|AK|AS|AZ|AR|CA|CO|CT|DE|DC|FM|FL|GA|GU|
HI|ID|IL|IN|IA|KS|KY|LA|ME|MH|MD|MA|MI|MN|MS|MO|MT|NE|
NV|NH|NJ|NM|NY|NC|ND|MP|OH|OK|OR|PW|PA|PR|RI|SC|SD|TN|
TX|UT|VT|VI|VA|WA|WV|WI|WY)$
Co ona sprawdza za pomocą wyrażenia regularnego?
A. Usuwa wszystkie typowe znaki specjalne występujące we wstrzyknięciu SQL.
B. Sprawdza wszystkie nazwy stanów USA.
C. Usuwa wszystkie typowe znaki specjalne dla ataków cross-site scripting.
D. Sprawdza wszystkie skróty nazw stanów USA.
170. Adam testuje kod napisany dla aplikacji klient-serwer obsługującej informacje finansowe i zauważa, że ruch jest przesyłany między klientem a serwerem przez port TCP 80. Co powinien dalej sprawdzić?
A. Jeśli serwer przechowuje dane w postaci niezaszyfrowanej
B. Jeśli ruch jest niezaszyfrowany
C. Jeśli systemy są w tej samej sieci
D. Jeśli nazwy użytkowników i hasła są wysyłane w ramach ruchu
171. Nick chce zapobiec instalowaniu nieautoryzowanego oprogramowania układowego na urządzeniach, które produkuje jego organizacja. Jakiej techniki powinien użyć, aby zapewnić skuteczną warstwę bezpieczeństwa?
A. Zaszyfrowane oprogramowanie układowe
B. Podpisane oprogramowanie układowe
C. Oprogramowanie binarne
D. Żadne z powyższych
172. Serwer WWW i przeglądarka internetowa to przykłady jakiego rodzaju platformy?
A. Wbudowany
B. Oprogramowanie układowe
C. Klient-serwer
D. SOC
173. Lara została przydzielona do oceny prawdopodobnych problemów z wbudowanym systemem używanym do automatyzacji i sterowania budynkiem. Który z poniższych problemów związanych z zapewnieniem oprogramowania najmniej dotyczy jej organizacji?
A. Brak aktualizacji i trudności z ich wdrożeniem
B. Długi cykl życia urządzeń wbudowanych
C. Założenia bezpieczeństwa sieci, gdzie wdrożono
D. Korzystanie z zastrzeżonych protokołów
174. Lucca chce zapobiec udanym atakom brute-force na aplikację internetową. Które z poniższych nie jest powszechnie wdrażanym rozwiązaniem pomagającym zmniejszyć skuteczność ataków siłowych?
A. Uwierzytelnianie wieloskładnikowe
B. Blokada konta
C. Ponowne użycie hasła
D. CAPTCHA
175. Noam chce się upewnić, że będzie wiedział, czy system operacyjny, program ładujący i sterowniki rozruchowe jego komputera zostały zainfekowane złośliwym oprogramowaniem. Jakiego typu procesu rozruchowego powinien użyć, aby sprawdzić go za pomocą skrótu kryptograficznego?
A. Ręczne porównanie skrótów rozruchowych
B. Bezpieczny rozruch
C. TPM
D. bootsec
176. Jennifer używa aplikacji do wysyłania losowych danych do swojej aplikacji, aby określić, jak reaguje na nieoczekiwane dane wejściowe. Jakiego narzędzia używa?
A. Narzędzie UAT
B. Narzędzie do testowania warunków skrajnych
C. Fuzzer
D. Narzędzie do testowania regresji
177. Isaac chce bezpiecznie obsługiwać hasła do swojej aplikacji internetowej. Która z poniższych czynności nie jest powszechną najlepszą praktyką dotyczącą przechowywania haseł?
A. Użyj dedykowanego skrótu hasła, takiego jak bcrypt.
B. Użyj soli.
C. Przechowuj hasła w postaci zaszyfrowanej.
D. Ustaw rozsądny współczynnik pracy dla swojego systemu.
178. Kristen chce bezpiecznie przechowywać hasła i wie, że nowoczesny algorytm haszowania haseł jest jej najlepszą opcją. Którą z poniższych powinna wybrać?
A. SHA-256
B. bcrypt
C. MD5
D. SHA-512
179. Liam chce chronić dane w spoczynku w usłudze SaaS. Wie, że w środowisku chmurowym musi uwzględniać swoje wymagania inaczej niż w środowisku lokalnym. Z jakiej opcji może skorzystać, aby zapewnić szyfrowanie danych podczas ich przechowywania?
A. Zainstaluj narzędzie do szyfrowania całego dysku.
B. Zainstaluj szyfrowanie na poziomie kolumny.
C. Wybierz usługę SaaS, która obsługuje szyfrowanie w spoczynku.
D. Zatrudnij niezależnego audytora do weryfikacji szyfrowania.
180. Faraj chce wykorzystać statystyki uzyskane z analizy swojej sieci na żywo, aby programowo zmienić jej wydajność, routing i optymalizację. Która z poniższych technologii najlepiej odpowiada jego potrzebom?
A. Bezserwerowe
B. Sieć definiowana programowo
C. Sieć fizyczna
D. Wirtualne sieci prywatne (VPN)
181. Zespół Elaine wdrożył aplikację w środowisku bezserwerowym hostowanym w chmurze. Którego z poniższych narzędzi bezpieczeństwa może używać w tym środowisku?
A. Antywirus dla punktów końcowych
B. DLP punktu końcowego
C. IDS dla środowiska bezserwerowego
D. Żadne z powyższych
182. Valerie kieruje wysiłkiem, który będzie wykorzystywał formalną inspekcję kodu Fagana. Która faza procesu kontroli Fagan obejmuje znajdowanie rzeczywistych wad?
A. Przegląd
B. Przygotowanie
C. Inspekcja
D. Przeróbka
183. Greg chce zapobiec wstrzykiwaniu SQL w aplikacji internetowej, za którą jest odpowiedzialny. Która z poniższych opcji nie jest powszechną obroną przed wstrzykiwaniem SQL?
A. Przygotowane zestawienia z zapytaniami parametrycznymi
B. Walidacja wyjścia
C. Procedury składowane
D. Ucieczka od wszystkich danych wprowadzonych przez użytkownika
184. Podczas przeglądania kodu, który generuje zapytanie SQL, Aarav zauważa, że pole "adres" jest dołączane do zapytania bez walidacji danych wejściowych lub innych zastosowanych technik. Jaki typ ataku ma największe szanse powodzenia w przypadku takiego kodu?
A. DoS
B. XSS
C. Wstrzyknięcie SQL
D. Łza
185. Jaki typ asercji jest wykonywany wobec SP w procesie uwierzytelniania SAML?
A. Hasło użytkownika
B. Kim jest użytkownik
C. Kim jest SP
D. Jakie prawa posiada użytkownik
186. Megan chce obniżyć wersję oprogramowania sprzętowego urządzenia, z którym pracuje, ale gdy spróbuje to zrobić, urządzenie nie zaakceptuje starszego oprogramowania. Z jakim rodzajem technologii sprzętowej najprawdopodobniej się spotkała?
A. Moduł TPM
B. HSM
C. eFuse
D. Zaufana odlewnia
187. Śruby zabezpieczające są przykładem jakiego rodzaju kontroli?
A. Zabezpieczenie antysabotażowe
B. Detektyw
C. Antykradzieżowe
D. naprawcze
188. Jaki program rządu USA koncentruje się na zapewnieniu, że układy scalone mają zapewniony łańcuch dowodowy, łańcuch dostaw, który może uniknąć zakłóceń, oraz procesy mające na celu ochronę chipów przed modyfikacją lub manipulacją?
A. Bezpieczna kuźnia
B. DMEA
C. Zaufana odlewnia
D. Ochrona IC
189. Michelle chce uzyskać dane z dysku samoszyfrującego. Kiedy dane na dysku są niezaszyfrowane i dostępne?
A. Dane są niezaszyfrowane przed uruchomieniem systemu.
B. Dane są niezaszyfrowane po uruchomieniu systemu operacyjnego.
C. Dane są nieszyfrowane tylko wtedy, gdy są odczytywane z dysku.
D. Dane nigdy nie są nieszyfrowane.
190. Jaki termin opisuje zabezpieczenia sprzętowe wbudowane w procesor?
A. Egzekucja atomowa
B. Rozszerzenia bezpieczeństwa procesora
C. Architektura sterowania procesorem
D. Zaufane wykonanie
191. Angela chce zapewnić swoim użytkownikom usługę VPN i nie chce, aby musieli korzystać z oprogramowania klienckiego. Jaki rodzaj VPN powinna skonfigurować?
A. IPsec
B. Szczelina powietrzna
C. VPC
D. SSL/TLS
192. Lucca musi wyjaśnić kierownictwu swojej organizacji korzyści płynące z segmentacji sieci. Która z poniższych nie jest powszechną korzyścią segmentacji?
A. Zmniejszenie powierzchni ataku
B. Zwiększenie liczby systemów w segmencie sieci
C. Ograniczenie zakresu działań w zakresie zgodności z przepisami
D. Zwiększenie dostępności w przypadku problemu lub ataku
193. Kubernetes i Docker to przykłady jakiego rodzaju technologii?
A. Szyfrowanie
B. Sieć definiowana programowo
C. Konteneryzacja
D. Bezserwerowe
194. Nathan projektuje infrastrukturę logów dla swojej firmy i chce mieć pewność, że włamanie się do systemu nie spowoduje utraty logów tego systemu. Co powinien zrobić, aby chronić kłody?
A. Ogranicz dostęp do dziennika do administratorów.
B. Zaszyfruj dzienniki.
C. Zmień nazwy plików dziennika z ich wspólnej nazwy.
D. Wyślij logi na zdalny serwer.
195. Po utworzeniu nowego zestawu kluczy szyfrowania dla klucza SSH, Allan nieumyślnie przesyła je do GitHub w ramach procesu sprawdzania oprogramowania, które pisze. Jakie ma opcje, aby rozwiązać ten problem?
A. Może zmodyfikować klucz prywatny, aby naprawić problem, a następnie musi go ponownie przesłać do GitHub.
B. Musi wygenerować parę kluczy i wymienić ją tam, gdzie jest używana.
C. Musi zmienić hasło do pary kluczy.
D. Musi zmodyfikować klucz publiczny, aby naprawić problem, a następnie ponownie przesłać go do GitHub.
v
196. Jaki rodzaj testowania oprogramowania najczęściej ma miejsce w fazie rozwoju?
A. Testowanie jednostkowe
B. Testy akceptacyjne użytkownika
C. Fuzzing
D. Testy obciążeniowe
197. Jakie cztery fazy znajdują się w spiralnym modelu SDLC?
A. Projektowanie, identyfikacja, tworzenie i analiza historii użytkownika
B. Identyfikacja, projektowanie, budowa i ocena
C. Zbieranie, analiza, projektowanie i budowanie wymagań
D. Identyfikacja historyjek użytkownika, projektowanie historyjek użytkownika, współtworzenie użytkownika i testowanie akceptacji użytkownika
198. Jaka jest główna koncepcja stojąca za DevSecOps kontra DevOps?
A. Rozwój powinien nastąpić przed operacjami bezpieczeństwa.
B. Bezpieczeństwo urządzenia jest częścią operacji.
C. Bezpieczeństwo powinno być częścią zintegrowanego cyklu życia aplikacji.
D. Bezpieczeństwo operacyjne wymaga, aby programiści odgrywali główną rolę w zakresie bezpieczeństwa.
Skorzystaj z poniższego diagramu i scenariusza dla pytań 199-201. Amanda została przydzielona do kierowania rozwojem nowej aplikacji internetowej dla swojej organizacji. Podąża za standardowym modelem SDLC, jak pokazano tutaj. Skorzystaj z modelu i swojej wiedzy na temat cyklu życia oprogramowania, aby odpowiedzieć na następujące pytania.
199. Pierwszym zadaniem Amandy jest ustalenie, czy istnieją alternatywne rozwiązania, które są bardziej opłacalne niż rozwój wewnętrzny. W jakiej fazie jest ona?
A. Projekt
B. Operacje i konserwacja
C. Wykonalność
D. Analiza i definicja wymagań
200. Jaka faza SDLC zazwyczaj obejmuje pierwszą analizę kodu i testy jednostkowe w procesie?
A. Analiza i definicja wymagań
B. Projekt
C. Kodowanie
D. Testowanie i integracja
201. Po przejściu większości procesu SDLC, Amanda osiągnęła punkt E na diagramie. Co dzieje się w punkcie E?
A. Usposobienie
B. Szkolenie i przejście
C. Testowanie jednostkowe
D. Testowanie i integracja
202. Ansel wie, że chce używać tożsamości sfederowanych w projekcie, nad którym pracuje. Które z poniższych nie powinny być jednym z jego wyborów dla protokołu tożsamości federacyjnej?
A. OpenID
B. SAML
C. Autoryzacja OAuth
D. Authman
Odpowiedzi
1. B. Honeypot jest używany przez badaczy bezpieczeństwa i praktyków do zbierania informacji o technikach i narzędziach wykorzystywanych przez atakujących. Honeypot nie powstrzyma atakujących przed atakowaniem innych systemów i w przeciwieństwie do tarpita nie jest przeznaczony do spowalniania atakujących. Zazwyczaj dane honeypota muszą być przeanalizowane, aby dostarczyć użytecznych informacji, które można wykorzystać do zbudowania reguł IDS i IPS.
2. C. Tarpits są formą aktywnej obrony, która wabi lub zwabia napastników. Obrona pasywna obejmuje kryptografię, architekturę bezpieczeństwa i podobne opcje. W odpowiedzi na to pytanie wymyślono lepkie obrony i obrony oparte na reakcji.
3. C. Zaufane odlewnie są częścią programu Departamentu Obrony, który zapewnia, że komponenty sprzętowe są godne zaufania i nie zostały naruszone przez złośliwych cyberprzestępców. Zaufany moduł platformy (TPM) to sprzętowy moduł bezpieczeństwa, producenci OEM są producentami oryginalnego sprzętu, ale niekoniecznie muszą uzupełnić zaufane źródła sprzętu, a dostawcy szarej strefy sprzedają sprzęt poza ich normalnymi lub umownie dozwolonymi obszarami.
4. A. Najlepszą opcją Susan jest użycie zautomatyzowanej testowej piaskownicy, która analizuje aplikacje pod kątem złośliwego lub wątpliwego zachowania. Chociaż może to nie wykryć każdego wystąpienia złośliwego oprogramowania, jedyną realną opcją jest dekompilacja aplikacji i analiza kodu, co byłoby niezwykle czasochłonne. Ponieważ nie ma kodu źródłowego, inspekcja Fagana nie zadziała (i zajęłaby też dużo czasu), a uruchomienie honeypota służy do zrozumienia technik hakerskich, a nie do bezpośredniej analizy kodu aplikacji.
5. C. Manesh wie, że plik, który pobrał i obliczył sumę kontrolną, nie zgadza się z sumą kontrolną MD5 obliczoną przez dostawców oprogramowania. Nie wie, czy plik jest uszkodzony lub czy atakujący go zmodyfikowali, ale może chcieć skontaktować się z dostawcami oprogramowania, aby poinformować ich o problemie - i zdecydowanie nie powinna uruchamiać pliku ani mu ufać!
6. B. Dostawcy usług w chmurze coraz częściej udostępniają sprzętowe moduły bezpieczeństwa (HSM) w ramach swoich ofert. CloudHSM firmy Amazon, Dedicated HSM firmy Azure i Cloud HSM firmy Google zapewniają możliwość hostowania, zarządzania i odpowiedniego zabezpieczania kluczy szyfrowania w środowiskach chmurowych.
7. D. Aziz używa skoku, aby zapewnić dostęp. Skrzynka przesiadkowa, czasami nazywana serwerem przesiadkowym lub bezpiecznym hostem administracyjnym, to system używany do zarządzania urządzeniami w oddzielnej, zwykle wyższej strefie bezpieczeństwa. Uniemożliwia to administratorom korzystanie z mniej bezpiecznej administracyjnej stacji roboczej w strefie o wysokim poziomie bezpieczeństwa.
8. D. bcrypt to silny algorytm haszujący hasła, który zawiera sole dla przechowywanych wartości. Jeśli Charles użyje bcrypt , dokona najlepszego wyboru z listy, ponieważ zarówno MD5, jak i SHA-1 nie są tak silne, nawet z solą. Szyfrowanie bazy danych może wydawać się dobrym pomysłem, ale przechowywanie haseł w postaci zwykłego tekstu oznacza, że exploit, który może odczytać bazę danych podczas jej odszyfrowywania, otrzyma hasła w postaci zwykłego tekstu.
9. C. Diagram przedstawia podpisany dziennik rozruchu, który jest dostarczany do zdalnego serwera. Tak działa atestacja zdalna - system lokalny, który zawiera moduł TPM, tworzy i podpisuje dziennik rozruchu, który ma zostać zweryfikowany przez serwer zdalny.
10. C. Obowiązkowy system kontroli dostępu opiera się na systemie operacyjnym w celu ograniczenia czynności lub dostępu, jakie podmiot może wykonać na obiekcie. Kontrola dostępu oparta na rolach wykorzystuje role do określenia dostępu do zasobów, a uznaniowa kontrola dostępu pozwala podmiotom kontrolować dostęp do obiektów, których są właścicielami lub za które są odpowiedzialni. Kontrola dostępu oparta na poziomach to rodzaj kontroli dostępu opartej na rolach.
11. C. Sahib przeprowadza analizę statyczną, czyli analizę wykonywaną bez uruchamiania kodu. Potrafi używać narzędzi lub ręcznie przeglądać kod (i prawdopodobnie zrobi jedno i drugie).
12. B. Ponieważ Carol chce analizować program w trakcie jego działania, wiesz, że potrzebuje narzędzia do dynamicznej analizy kodu. Z dodatkowym wymogiem bezpieczeństwa potrzebna jest również piaskownica. Statyczna analiza kodu dotyczy kodu źródłowego, nie ma żadnej wzmianki o dekompilacji lub inżynierii wstecznej kodu, a inspekcja Fagana jest formalnym procesem analizy kodu.
13. D. Mike musi przeprowadzić testy akceptacyjne użytkownika (UAT) z szeroką grupą użytkowników, aby sprawdzić funkcjonalność i użyteczność oprogramowania.
14. Zespół Mike′a powinien przetestować aplikację, ładując ją powyżej maksymalnego oczekiwanego obciążenia. Powinni potwierdzić, że działa zgodnie z oczekiwaniami i że ich infrastruktura jest w stanie obsłużyć obciążenie szerokiego wykorzystania przez firmę. Testy obciążeniowe często testują wielokrotność maksymalnego oczekiwanego obciążenia, aby upewnić się, że aplikacja poradzi sobie z nieoczekiwanymi warunkami obciążenia.
15. B. Testy regresji sprawdzają, czy stare wady nie zostały ponownie wprowadzone. Zespół Mike′a musi przetestować regresywnie swoją aplikację, szczególnie dlatego, że przywrócił stary kod, który może mieć wady.
16. Najlepszą opcją A. Susan jest przesłanie pliku do narzędzia takiego jak VirusTotal, które przeskanuje go w poszukiwaniu zachowań podobnych do wirusów i znanych narzędzi złośliwego oprogramowania. Sprawdzenie skrótu za pomocą ręcznego sprawdzenia lub za pomocą National Software Reference Library może jej powiedzieć, czy plik jest zgodny ze znaną dobrą wersją, ale nie powie jej, czy zawiera złośliwe oprogramowanie. Uruchomienie podejrzanego pliku to najgorsza opcja na liście.
17. D. Caitlyn przygotowuje diagram dekompozycji, który odwzorowuje funkcje wysokiego poziomu na składniki niższego poziomu. To pozwoli jej lepiej zrozumieć, jak działa pakiet złośliwego oprogramowania i może pomóc w zidentyfikowaniu obszarów, na których powinna się skoncentrować.
18. B. Program Trusted Foundry Departamentu Obrony USA ma na celu zapewnienie integralności i poufności projektowania i produkcji układów scalonych (IC). Pomaga to zapewnić, że agenci obcych rządów nie będą w stanie wprowadzać do układów scalonych błędów lub kodu, który mógłby zostać wykorzystany do działań wywiadowczych lub cyberwojny.
19. D. Testowanie Fuzz polega na wysyłaniu do aplikacji nieważnych lub losowych danych w celu przetestowania jej zdolności do obsługi nieoczekiwanych danych. Wstrzykiwanie błędów bezpośrednio wstawia błędy do ścieżek obsługi błędów, w szczególności mechanizmów obsługi błędów, które są rzadko używane lub w inny sposób mogą zostać pominięte podczas normalnego testowania. Testowanie mutacji jest związane z fuzzingiem i wstrzykiwaniem błędów, ale zamiast zmieniać dane wejściowe do programu lub wprowadzać do niego błędy, testowanie mutacji wprowadza niewielkie modyfikacje w samym programie. Testy warunków skrajnych to test wydajności, który zapewnia, że aplikacje i obsługujące je systemy mogą wytrzymać pełne obciążenie produkcyjne.
20. B. Strategia nakreślona przez Nishi polega na segmentacji sieci - umieszczaniu oddzielnych funkcji w oddzielnych sieciach. Wyraźnie nie łączy obu sieci. Sieci VPN i VLAN to również technologie, które mogą pomóc w ochronie poufnych informacji, ale wykorzystują współdzielony sprzęt i niekoniecznie osiągną poziom izolacji wymagany przez Nishi.
21. C. Bobbi przyjmuje fizyczną, a nie logiczną strategię izolacji. W tym podejściu, znanym jako luka powietrzna, organizacja używa samodzielnego systemu dla wrażliwej funkcji, który nie jest połączony z żadnym innym systemem lub siecią, co znacznie zmniejsza ryzyko naruszenia. Izolacja sieci VLAN i segmentacja sieci obejmują pewien stopień wzajemnego połączenia, który nie występuje w tym scenariuszu.
22. C. Metodologia rozwoju oprogramowania Agile charakteryzuje się wieloma sprintami, z których każdy daje konkretny wynik. Model wodospadu obejmuje szereg kolejnych kroków, podczas gdy model spiralny wykorzystuje wielokrotne przejścia przez cztery fazy. Rapid Application Development (RAD) wykorzystuje podejście pięciofazowe w formacie iteracyjnym.
23. B. Uwierzytelnianie wieloskładnikowe pomaga zmniejszyć ryzyko przechwyconego lub skradzionego hasła, wymagając do uwierzytelnienia więcej niż jednego czynnika. Atakujący rzadziej również ukradli token, kod lub czynnik biometryczny. Portal przechwytujący służy do uwierzytelniania użytkowników w sieciach gościnnych lub podobnych celach. Sieci VPN (wirtualne sieci prywatne) służą do zapewniania prywatnego połączenia sieciowego, dzięki któremu sieć lokalna może działać tak, jakby była częścią sieci zdalnej. OAuth to otwarty protokół do bezpiecznej autoryzacji.
24. Zespół B. Amandy powinien stosować szyfrowanie całego dysku lub szyfrowanie woluminów i powinien odpowiednio zabezpieczyć klucze szyfrowania. Zapewni to, że wszelkie dane, które pozostaną, nie zostaną ujawnione przyszłym użytkownikom infrastruktury wirtualnej. Chociaż wielu dostawców usług w chmurze wdrożyło technologię, która ma zapewnić, że tak się nie stanie, Amanda może uniknąć wszelkich potencjalnych problemów, upewniając się, że podjęła aktywne działania, aby zapobiec ujawnieniu danych. Użycie zerowego czyszczenia jest często niemożliwe, ponieważ środowiska wirtualne mogą się przemieszczać bez interwencji jej zespołu, maskowanie danych nie zapobiegnie ujawnieniu niemaskowanych danych lub danych tymczasowych przechowywanych na dyskach wirtualnych, a łączenie wielu dysków wirtualnych nadal zapewnia dostęp do danych, aczkolwiek prawdopodobnie w formie fragmentarycznej.
25. B. Najbardziej praktycznym podejściem jest dla Huan wdrożenie uwierzytelniania dwuskładnikowego na koncie i samodzielne zachowanie urządzenia zatwierdzającego. Pozwala mu to zatwierdzić każde żądanie, ale nie wymaga modyfikowania ani ponownego tworzenia konta za każdym razem. Podejście, w którym konsultant musi doradzić firmie Huan przed użyciem konta, nie spełnia wymogu zatwierdzania każdego użycia przez firmę Huan.
26. B. Diagram pokazuje już zaporę po obu stronach połączenia sieciowego. Ian powinien umieścić VPN w punkcie oznaczonym ?s, aby zapewnić szyfrowanie komunikacji przez Internet. Systemy IPS i DLP zapewniają dodatkowe zabezpieczenia, ale nie zapewniają szyfrowanych połączeń sieciowych.
27. A. Zapory sieciowe hosta działają na poziomie indywidualnego systemu i dlatego nie mogą być używane do implementacji segmentacji sieci. W tym celu można wykorzystać routery i przełączniki, albo fizycznie oddzielając sieci, albo wdrażając tagowanie VLAN. Zapory sieciowe mogą być również używane do segmentowania sieci na różne strefy.
28. C. Inspekcja Fagana jest wysoce sformalizowanym, rygorystycznym procesem przeglądu kodu, który obejmuje sześć faz. Programowanie w parach, przeglądy przez ramię i przeglądy kodu przekazywane są przykładami lekkich, dość nieformalnych procesów przeglądu kodu.
29. B. Jak stwierdzono w pytaniu, Orizon dokonuje przeglądu klas Java, wskazując, że dokonuje przeglądu kodu źródłowego. Techniki wykonujące przegląd kodu źródłowego są zgrupowane w kategorii analizatorów kodu statycznego. Pozostałe techniki testowania wymienione w tym pytaniu są przykładami dynamicznej analizy kodu, w której aplikacja testująca faktycznie wykonuje kod.
30. B. Testowanie rozmyte polega na dynamicznej manipulacji danymi wejściowymi do aplikacji w celu wywołania błędu. Ta technika jest przydatna do wykrywania miejsc, w których aplikacja nie wykonuje prawidłowej walidacji danych wejściowych.
31. C. VPN (wirtualna sieć prywatna) jest idealnym rozwiązaniem do przesyłania ruchu przez niezaufane sieci pośredniczące. Kobe może korzystać z TLS lub IPsec VPN w zależności od typu zdalnego dostępu i protokołów, których potrzebuje. Jeśli potrzebuje pełnego dostępu za pośrednictwem różnych protokołów opartych na protokole IP, najlepiej postawić na VPN IPsec. Jeśli potrzebuje dostępu opartego na aplikacjach za pośrednictwem przeglądarek internetowych i podobnych narzędzi, TLS VPN może zaoferować tę zaletę, że nie potrzebuje klienta, oferując jednocześnie lepsze filtrowanie i kontrolę na poziomie sesji. VPC (wirtualna chmura prywatna) to wirtualna sieć dostarczana przez dostawcę usług przetwarzania w chmurze, luka powietrzna to sposób na powstrzymanie komunikacji dwóch systemów lub sieci poprzez fizyczne ich oddzielenie, a fizyczna segmentacja dzieli sieć na różne sekcje przy użyciu odrębnego sprzętu i okablowanie.
32. B. Artefakty bezpieczeństwa utworzone w fazie projektowania obejmują dokumentację architektury bezpieczeństwa i diagramy przepływu danych.
33. B. Dyspozycja to oddzielna faza SDLC, która ma na celu zapewnienie prawidłowego usunięcia danych na koniec cyklu życia aplikacji. Działania operacyjne i konserwacyjne obejmują ciągłe skanowanie podatności, łatanie i testy regresji po uaktualnieniach.
34. D. Trusted Platform Module (TPM) służy do przechowywania kluczy szyfrowania RSA. Klucze te są następnie wykorzystywane do uwierzytelniania systemu oraz do innych celów, które wymagają kryptograficznie bezpiecznego uwierzytelniania systemu.
35. C. Testy akceptacyjne użytkownika (UAT) weryfikują, czy kod spełnia wymagania użytkownika i są zazwyczaj ostatnią fazą testowania aplikacji przed wprowadzeniem kodu do produkcji.
36. D. Olivia musi przejrzeć kod bez uruchamiania go, co oznacza, że musi przeprowadzić analizę statyczną. Analiza statyczna jest często przeprowadzana za pomocą zautomatyzowanego narzędzia, ale analitycy bezpieczeństwa mogą również zdecydować się na ręczne przejrzenie kodu w celu zidentyfikowania potencjalnych szczegółów dotyczących cyberprzestępców lub tego, do czego kod mógł być konkretnie przeznaczony.
37. A. Olivia przeprowadzi dynamiczną analizę kodu, która przetestuje kod, uruchamiając go przy jednoczesnym zapewnieniu odpowiednich danych wejściowych testowych.
38. C. Testowanie Fuzz polega na wysyłaniu losowych lub nieprawidłowych danych do aplikacji w celu przetestowania jej zdolności do obsługi nieoczekiwanych danych. Olivia powinna zidentyfikować fuzzer (narzędzie do testowania fuzz) i uruchomić go w aplikacji.
39. D. Znak $ niekoniecznie oznacza problem bezpieczeństwa. Nawiasy większe niż/mniej niż (<> ) są używane do umieszczania znaczników HTML i wymagają dalszej kontroli w celu ustalenia, czy są one częścią ataku XSS (cross-site scripting). Znak pojedynczego cudzysłowu ( ′ ) może być użyty jako część ataku typu SQL injection.
40. C. Bezpieczeństwo poprzez ukrywanie nie jest dobrą praktyką. Nie należy polegać na tajności kontroli (np. lokalizacji interfejsu internetowego) jako środka bezpieczeństwa. Dlatego ukrywanie lokalizacji interfejsu sieciowego nie znajduje się na liście kontroli bezpieczeństwa OWASP.
41. D. Parametryzacja zapytań, walidacja danych wejściowych i kodowanie danych to wszystkie sposoby zapobiegania otrzymywaniu przez bazę danych danych wejściowych dostarczonych przez użytkownika, które wprowadzają niechciane polecenia do zapytania SQL. Rejestrowanie i wykrywanie włamań to ważne kontrole, ale raczej wykrywają one ataki typu SQL injection, a nie zapobiegają mu.
42. C. Adres MAC lub adres sprzętowy komputera zazwyczaj nie zmienia się w czasie. Adresy MAC mogą również dostarczać przydatnych informacji, takich jak nazwa producenta, pozwalając Jill zgadnąć, jaki typ urządzenia wykryła podczas skanowania wykrywania w celu śledzenia zasobów.
43. B. Znakowanie zasobów wiąże tag, często z kodem kreskowym i/lub tagiem RFID, umożliwiając łatwe skanowanie i śledzenie. Chociaż oznakowane aktywa mogą mieć powiązaną z nimi żywotność od momentu nabycia do zbycia i powinny mieć udokumentowany proces utylizacji, samo znakowanie jest najściślej związane z wykorzystaniem kodów kreskowych i tagów RFID.
44. B. Diagram przedstawia zmierzony proces rozruchu, w którym każdy obiekt rozruchowy wysyła skrót następnego elementu do układu TPM, a stamtąd do dziennika rozruchu.
45. B. Ian wie, że rozmieszczenie wielu punktów dostępu w tej samej przestrzeni w celu wdrożenia fizycznie podzielonej sieci bezprzewodowej znacznie zwiększyłoby zarówno koszty wdrożenia, jak i złożoność sieci z powodu punktów dostępu powodujących konflikty. Jego najlepszym wyborem jest logiczna segmentacja sieci przy użyciu jednego zestawu punktów dostępowych. Segmentacja SSID i WPA to wymyślone terminy dla tego pytania.
46. C. Barbara powinna być najbardziej zaniepokojona skompromitowaniem bazowego hosta VMware jako modelu zagrożenia dla jej wirtualnej segmentacji. Przeskakiwanie przez sieć VLAN (zwykle wykonywane za pomocą ataków trunkingowych 802.1q) wymaga włączenia trunkingu, co jest mało prawdopodobne w takim zwirtualizowanym środowisku. Podszywanie się pod trasę Border Gateway Protocol (BGP) odbywa się na poziomie routera i po raz kolejny prawdopodobnie nie stanowi zagrożenia w środowisku VMware. W tym miejscu możesz zauważyć, że poleganie na bazowym hoście do wirtualizacji oznacza, że włamanie do systemu pozwoliłoby atakującym przezwyciężyć segmentację, która działa w celu ich ochrony.
47. C. Poleganie na haszowaniu oznacza, że Charles będzie w stanie zidentyfikować tylko określone wersje pakietów złośliwego oprogramowania, które zostały już zidentyfikowane. Jest to stały problem z wykrywaniem opartym na sygnaturach, a pakiety złośliwego oprogramowania zwykle implementują funkcje polimorficzne, co oznacza, że dwie instancje tego samego pakietu nie będą miały identycznych wartości skrótu ze względu na zmiany mające na celu uniknięcie systemów wykrywania opartych na sygnaturach.
48. A. Szczelina powietrzna lub całkowita fizyczna izolacja zapewnia najsilniejszą kontrolę dostępną na przedstawionej liście. Aby pokonać lukę powietrzną, jeden z pracowników Noriko musiałby fizycznie skopiować pliki za pomocą dysku wymiennego lub musiałby podłączyć urządzenie do sieci z luką powietrzną.
49. C. Routery to urządzenia zaprojektowane specjalnie do przekazywania ruchu sieciowego między dwiema lub większą liczbą sieci. Zapory są używane do stosowania reguł do ruchu, który przez nie przechodzi, podczas gdy IPS skanują i monitorują ruch na głębszym poziomie, a następnie stosują reguły na podstawie obserwowanej zawartości i zachowań. Przełączniki są używane na obrzeżach sieci do łączenia urządzeń z siecią.
50. C. Korzystanie z rozwiązania wieloczynnikowego znacznie zmniejszy prawdopodobieństwo udanego ataku phishingowego, w wyniku którego atakujący będzie miał oba czynniki dla danego użytkownika. Chociaż wdrażanie wieloczynnikowe może być złożone, ma największy wpływ z wymienionych opcji. Zarówno długość życia, jak i modyfikacje długości hasła nie zmienią tego, co się dzieje, gdy użytkownicy przypadkowo ujawnią swoje aktualne hasło w ramach ataku phishingowego, a także może zostać ujawniony kod PIN.
51. B. Obecnie najczęstszymi czynnikami dla systemów wieloczynnikowych są czynniki wiedzy (takie jak hasło) i czynniki posiadania, które mogą obejmować token, aplikację uwierzytelniającą lub kartę inteligentną.
52. C. Angela mogłaby wdrożyć system uwierzytelniania oparty na kontekście, który ma ograniczenia logowania w oparciu o godziny pracy członków personelu. Pomoże to zapobiegać nadużyciom i ograniczyć możliwości, jakie może zrobić napastnik po godzinach.
53. A. NIST wskazał, że SMS jest stosunkowo niepewnym sposobem dostarczania kodów w ramach wieloskładnikowego systemu uwierzytelniania. Dwa najczęstsze ataki na dostarczanie wiadomości SMS to hacki VoIP, w których wiadomości SMS mogą być dostarczane do systemu VoIP, do którego może uzyskać dostęp osoba atakująca, oraz ataki typu SIM swapping, w których sklonowana jest karta SIM, a wiadomości SMS są również dostarczane do napastnik.
54. C. FIPS 140 to amerykański rządowy standard przetwarzania informacji, a FIPS 140-2 służy do zatwierdzania modułów kryptograficznych. PCI DSS to standard bezpieczeństwa kart kredytowych ustalony przez firmy obsługujące karty kredytowe, a zarówno HSM-2015, jak i CA-Check zostały stworzone z myślą o tym pytaniu.
55. B. OpenFlow umożliwia kontrolerom sieci definiowanej programowo (SDN) wprowadzanie zmian do przełączników i routerów, umożliwiając kontrolę przepływu, partycjonowanie ruchu sieciowego oraz testowanie aplikacji i konfiguracji.
56. B. Obowiązkowa kontrola dostępu (MAC) opiera się na systemie operacyjnym w celu wymuszenia ograniczeń dotyczących możliwości dostępu podmiotów do obiektów. W przeciwieństwie do modeli arbitralnej kontroli dostępu (DAC), w których użytkownicy mogą przyznać dostęp do obiektów, MAC wymaga administratora zasad bezpieczeństwa. RBAC (kontrola dostępu oparta na rolach) definiuje kontrolki według roli, a ABAC (kontrola dostępu oparta na atrybutach) używa atrybutów do określenia, kto otrzymuje określone uprawnienia.
57. B. Środowisko wirtualnej chmury prywatnej (VPC) opisuje pulę zasobów, które są izolowane przy użyciu różnych technologii, zazwyczaj obejmujących korzystanie z prywatnych adresów IP i VLAN lub innej technologii izolacji sieci. Sieci VPC zapewniają zasadniczo prywatny segment zasobów chmury publicznej.
58. Zespół C. Ricka utworzył honeynet - grupę systemów skonfigurowanych w celu przyciągania napastników, jednocześnie przechwytując wysyłany przez nich ruch oraz narzędzia i techniki, których używają. Honeypot to pojedynczy system skonfigurowany w podobny sposób, podczas gdy tarpit to system skonfigurowany w celu spowolnienia atakujących. Czarna dziura jest często używana w sieci jako miejsce docelowe dla ruchu, który zostanie po cichu odrzucony.
59. A. Skalowanie systemu bezserwerowego jest użytecznym sposobem obsługi dodatkowego ruchu, ale nie zapobiegnie zwiększaniu kosztów przez ataki typu "odmowa usługi" (DoS). W rzeczywistości skalowanie poziome spowoduje zwiększenie kosztów w miarę jego skalowania. Klucze API mogą służyć do zapobiegania nieautoryzowanemu korzystaniu z aplikacji bezserwerowej, a klucze mogą zostać wyrejestrowane, jeśli zostaną nadużyte. Ograniczanie wywołań interfejsu API i używanie limitów czasu może pomóc w ograniczeniu maksymalnej liczby użyć i stopnia ich wykorzystania, co może pomóc w zapobieganiu dodatkowym kosztom.
60. D. Zarządzanie zmianą pomaga zapewnić, że wprowadzane są tylko zatwierdzone zmiany, że są one odpowiednio udokumentowane i że następują wtedy, kiedy powinny.
61. B. Wirtualizacja umożliwia uruchamianie wielu systemów operacyjnych na tym samym sprzęcie, podczas gdy konteneryzacja umożliwia wdrażanie wielu aplikacji w tym samym systemie operacyjnym w jednym systemie. Konteneryzacja może umożliwić bezpośredni dostęp do sprzętu, podczas gdy wirtualizacja zazwyczaj nie. Wirtualizacja nie jest konieczna do konteneryzacji, chociaż jest często używana, ale konteneryzacja może uzyskać poprawę wydajności w przypadku instalacji gołego metalu. Wreszcie istnieje kluczowa różnica, jak wspomniano w opcji B.
62. D. Model Wodospadu składa się z szeregu kolejnych kroków, jak pokazano na diagramie. Metodologia rozwoju oprogramowania Agile charakteryzuje się wieloma sprintami, z których każdy daje konkretny wynik. Model spiralny wykorzystuje wielokrotne przejścia przez cztery fazy, w wyniku czego powstaje wykres przypominający spiralę. Rapid Application Development (RAD) wykorzystuje podejście pięciofazowe w formacie iteracyjnym.
63. A. Środowiska infrastruktury wirtualnych pulpitów (VDI) przechowują dane na serwerze, a nie na urządzeniu lokalnym, co czyni je atrakcyjną alternatywą, gdy problemem jest kradzież danych z systemów lokalnych.
64. B. Obciążenia w bezpiecznym środowisku konteneryzacji powinny być dystrybuowane w taki sposób, aby hosty mogły uruchamiać tylko kontenery o określonym poziomie bezpieczeństwa. Ponieważ Brandon ma w swoim środowisku trzy różne poziomy bezpieczeństwa, powinien używać oddzielnych hostów, które można skonfigurować tak, aby odpowiednio zabezpieczyć dane, jednocześnie ograniczając wpływ naruszenia kontenera.
65. B. Konta uprzywilejowane zazwyczaj obejmują konta administratorów lokalnych i domeny, SA i inne konta, które zarządzają bazami danych, kontami root i innymi kontami administracyjnymi w systemach Linux i Unix, kontami usług i podobnymi kontami w sieci i innych urządzeniach.
66. A. Jeśli Ned wdroży uwierzytelnianie wieloskładnikowe w swoim środowisku, może użyć tokenów zabezpieczających lub innych opcji haseł jednorazowych (OTP), aby zapewnić, że atakujący nie będą mogli skutecznie użyć skradzionych danych uwierzytelniających, nawet jeśli hasła zostaną ujawnione. Reguły złożoności haseł nie pomogą keyloggerowi, a wygaśnięcie haseł z regułami żywotności może ograniczyć czas, przez jaki atakujący może ich używać, ale nawet przy bardzo krótkim okresie życia atakujący może nadal mieć je dostępne przez pewien czas. Wreszcie, zapobieganie podłączaniu urządzeń USB może pomóc, ale to rozwiązanie nie złapie ani nie zapobiegnie programowym keyloggerom.
67. B. Wszystko to są przykłady implementacji jednokrotnego logowania (SSO). Umożliwiają one użytkownikowi korzystanie z jednego zestawu poświadczeń do logowania się do wielu różnych usług i aplikacji. Po sfederowaniu logowanie jednokrotne może również umożliwić korzystanie z jednego konta w różnych usługach z wielu organizacji.
68. D. SAML, OpenID i OAuth to popularne protokoły używane w federacji. Kerberos to protokół uwierzytelniania sieciowego, powszechnie używany w organizacjach.
69. B. Przeskok host lub przeskok umożliwia łatwiejsze rejestrowanie dostępu administracyjnego i może służyć jako dodatkowa warstwa ochrony między administracyjnymi stacjami roboczymi a chronioną siecią. W takim przypadku potrzeby Mei najlepiej zaspokaja host skoku. Hosty Bastion są w pełni narażone na ataki. Administracyjne maszyny wirtualne mogą być przydatne, ale nie ułatwiają centralnego audytu i mogą sprawić, że skompromitowany host maszyny wirtualnej stanie się problemem. Wreszcie, bezpośredni protokół SSH lub RDP wymaga audytu wszystkich administracyjnych stacji roboczych i może umożliwić skompromitowanej stacji roboczej powodowanie problemów poprzez umożliwienie jej bezpośredniego połączenia z bezpieczną siecią.
70. Zadaniem A. Grega jest administrator systemu, a zatem jest to kontrola dostępu oparta na rolach (RBAC). Gdyby w pytaniu sprecyzowano, że uprawnienia zostały przyznane na podstawie jego tytułu, a nie jego pracy, mógłby to być system kontroli dostępu oparty na atrybutach (ABAC). Obowiązkowe kontrole dostępu (MAC) są wymuszane przez system operacyjny, podczas gdy uznaniowe kontrole dostępu (DAC) są delegowane do użytkowników.
71. A. Techniki ręcznego przeglądu są przydatne, gdy automatyzacja jest trudna lub gdy wymagana jest wiedza ludzka. W miarę możliwości należy stosować zautomatyzowane techniki oceny i zarządzania, aby zapewnić częstsze przeglądy i wykrywane bardziej konsekwentnie.
72. B. Broker bezpieczeństwa dostępu do chmury (CASB) może wykonywać działania, takie jak monitorowanie aktywności, zarządzanie zasadami bezpieczeństwa chmury dla usług SaaS, egzekwowanie zasad bezpieczeństwa, rejestrowanie, ostrzeganie i egzekwowanie zasad w trybie online, gdy są wdrożone z agentami na urządzeniach końcowych lub jako pełnomocnik.
73. C. Jeśli Lucca zmieni ustawienia, aby archiwizować dziennik, gdy jest pełny, system utworzy nowy plik dziennika za każdym razem, gdy plik się zapełni. O ile nie zabraknie mu miejsca na dysku, Lucca będzie miał pliki tak długo, jak będzie chciał je przechwycić, ale będzie musiał co jakiś czas ręcznie czyścić pliki dziennika.
74. A. TLS (Transport Layer Security) służy do zabezpieczania ruchu internetowego i innych rodzajów ruchu. Wiele osób nadal nazywa TLS SSL z przyzwyczajenia, ale TLS jest w rzeczywistości innym protokołem i zastąpił SSL (Secure Sockets Layer). IPsec to protokół szyfrowania używany w sieciach VPN i innych połączeniach typu punkt-punkt między sieciami. Protokół PPTP (Point-to-Point Tunneling Protocol) wiąże się z szeregiem problemów związanych z bezpieczeństwem.
75. A. TLS może nadal działać z wygasłym certyfikatem; jednak przeglądarki internetowe zgłoszą, że certyfikat wygasł. Wygasłe certyfikaty nie są unieważniane - w rzeczywistości unieważnienie jest odrębnym procesem, a certyfikaty są sprawdzane pod kątem protokołu odwołania certyfikatu, aby upewnić się, że są ważne. Chociaż przeglądarki mogą zgłaszać wygasły certyfikat i mogą utrudnić dostęp do witryny, sama witryna pozostanie dostępna.
76. A. Aktywna obrona ma na celu spowolnienie atakujących podczas korzystania z ich zasobów. Pozostałe wymienione tutaj terminy zostały wymyślone w odpowiedzi na to pytanie. Aktywna obrona jest czasami określana jako "technologia oszustwa".
77. B. Korzystanie ze sprawdzonych wersji dobrze znanych i udokumentowanych algorytmów kryptograficznych, takich jak AES-256, oznacza, że programiści mogą postępować zgodnie z bezpiecznymi, dobrze udokumentowanymi praktykami rozwoju i wykorzystania podczas tworzenia aplikacji mobilnych. Korzystanie z podstawowych technik kryptograficznych ograniczyłoby możliwości programistów do wyboru odpowiedniego algorytmu. Opracowane wewnętrznie algorytmy kryptograficzne prawdopodobnie nie zostaną przetestowane i ocenione konieczne, aby być w pełni bezpiecznym. Wreszcie, ograniczenie technik kryptograficznych tylko do implementacji open source usunęłoby przydatne biblioteki i implementacje, które są częścią komercyjnych zestawów narzędzi.
78. C. WAF (zapora sieciowa aplikacji internetowych) może być często używana do rozwiązania konkretnego ataku typu SQL injection. Claire może albo napisać regułę opartą na ataku SQL injection, albo użyć szerszego zestawu reguł zapobiegania wstrzykiwaniu SQL. System IDS wykryłby tylko atak i nie powstrzymałby go, podczas gdy narzędzia DLP (zapobieganie utracie danych) mogłyby pomóc, gdyby dane zostały skradzione, ale nie zatrzymałyby wstrzykiwania SQL. Niektóre zapory mogą mieć wbudowaną funkcję WAF, ale tutaj najlepszą opcją jest dedykowana zapora sieciowa. Donna została wyznaczona jako kierownik ds. bezpieczeństwa w zespole DevSecOps budującym nową aplikację internetową. W ramach wysiłków musi nadzorować praktyki bezpieczeństwa, które zespół będzie stosować do ochrony aplikacji. Wykorzystaj swoją wiedzę na temat bezpiecznych praktyk kodowania, aby pomóc Donnie poprowadzić swój zespół przez ten proces w kolejnych trzech pytaniach.
79. B. Powszechną techniką jest używanie kodowania Unicode w celu uniknięcia czarnych list. OWASP zaleca unikanie prób wykrywania potencjalnie niebezpiecznych znaków i wzorców znaków za pomocą czarnej listy.
80. B. Internetowy serwer proxy jest powszechnie używanym narzędziem do ataków na aplikacje internetowe i umożliwia zmianę danych po walidacji po stronie klienta. Ogólnie rzecz biorąc, walidacja po stronie klienta nie jest bezpieczną techniką z tego powodu.
81. A. Cross-site scripting to główne zagrożenie, które powstaje w wyniku niekorzystania z bezpiecznego kodowania danych wyjściowych. Umożliwienie użytkownikom wprowadzania dowolnych danych wejściowych, a następnie wyświetlanie ich innym użytkownikom może skutkować atakiem cross-site scripting. Wstrzyknięcie SQL jest najczęstszym atakiem bezpośrednim, podczas gdy fałszowanie żądań między witrynami zwykle polega na tym, że użytkownicy klikają złośliwy link.
82. D. Kontrole dostępu oparte na atrybutach używają atrybutów, takich jak tytuł użytkownika, informatyka organizacji, informacje demograficzne lub inne szczegóły, takie jak atrybuty środowiskowe lub atrybuty zasobów, aby przyznać dostęp. ABAC może być znacznie bardziej szczegółowy niż kontrola dostępu oparta na rolach (RBAC), ale może być również znacznie bardziej złożony w konfiguracji i utrzymaniu. Obowiązkowe kontrole dostępu (MAC) są wymuszane przez system operacyjny, podczas gdy uznaniowe kontrole dostępu (DAC) są delegowane do użytkowników.
83. C. Chociaż wszystkie te ataki są potencjalnymi zagrożeniami dla SOC, najbardziej prawdopodobną formą ataku na urządzenia IoT podłączone do sieci są ich połączenia sieciowe wymierzone w system operacyjny i aplikacje lub inne oprogramowanie uruchamiane przez te urządzenia.
84. B. BIOS lub podstawowy system wejścia/wyjścia komputera PC jest rodzajem oprogramowania układowego. Podczas implementacji tej technologii przez firmę Dell, skrót SHA-256 nowego oprogramowania układowego jest porównywany ze znanym dobrym skrótem na serwerach firmy Dell. W przypadku wykrycia problemu administratorzy są powiadamiani, aby mogli podjąć odpowiednie działania.
85. A. DevSecOps sprawia, że bezpieczeństwo jest wspólną odpowiedzialnością w całym cyklu rozwoju i eksploatacji, a automatyzacja niektórych bramek bezpieczeństwa jest powszechną praktyką, aby to się stało bez powodowania spowolnień. Oznacza to, że praktycy muszą stale brać pod uwagę bezpieczeństwo aplikacji i infrastruktury od początku przepływu pracy do wdrożenia i wsparcia. Wdrażanie luk typu zero-day byłoby strasznym pomysłem, a praktycy ds. bezpieczeństwa sprawują większą kontrolę, a nie współpracują ze sobą, aby przepływy działały wydajniej, a usuwanie funkcji bezpieczeństwa ze zintegrowanego środowiska programistycznego również nie jest świetnym pomysłem.
86. B. OWASP zaleca wszystkie powyższe, z wyjątkiem przesyłania każdego pliku, który jest przesyłany do narzędzia antywirusowego innej firmy. Sprawdzanie ich za pomocą lokalnie hostowanego narzędzia jest powszechnym rozwiązaniem, ale prawdopodobnie nie chcesz ujawniać każdego otrzymanego pliku stronie trzeciej, bez względu na to, jak bardzo są zaufane.
87. C. Kodowanie wyjściowe tłumaczy znaki specjalne na ich odpowiedniki, które nie będą interpretowane jako część skryptu lub inny znaczący znak przez przeglądarkę użytkownika (lub inną aplikację w punkcie końcowym). HIDS raczej alarmowałby o potencjalnych atakach, niż je powstrzymywał; zapora nie będzie analizować danych; i randomizacja ciągów została wymyślona dla tego pytania, ale gdyby istniała, randomizowane dane nie byłyby przydatne w większości aplikacji, gdy wyświetlane są dane wejściowe użytkownikowi.
88. C. OWASP zaleca dużą wartość identyfikatora sesji, aby uniknąć ataków typu brute-force. 2^128 to 340,282,366,920,938,463,463,374,607,431,768,211456, czyli znacznie więcej, niż potrzeba, aby uniknąć powielania liczb, nawet w przypadku bardzo dużych grup użytkowników na całym świecie. Jeśli napotkasz takie pytanie i nie znasz odpowiedzi, możesz zastosować logikę. W tym przypadku liczba ta jest tak duża, że nie ma sensu używać jej do prostego unikania duplikacji, a każda rozsądna liczba użytkowników - w tym cała populacja świata - wymagałaby mniejszej liczby bitów.
89. B. Odpowiedź, która dostarcza najmniej konkretnych informacji potencjalnym atakującym, jest tutaj najlepszą odpowiedzią: logowanie nie powiodło się; Nieprawidłowy identyfikator użytkownika lub hasło nie informuje atakującego, która opcja jest błędna, ani nie dostarcza wskazówek na temat tego, które konta mogą, a które nie mogą istnieć.
90. B. TLS (Transport Layer Security) to protokół bezpieczeństwa używany do ochrony współczesnego ruchu internetowego podczas tranzytu. SSL był prekursorem TLS, podczas gdy technologia VPN jest używana w określonych scenariuszach punkt-punkt podczas łączenia się ze zdalnymi usługami lub sieciami. IPsec to pakiet bezpiecznych protokołów sieciowych, ale nie jest to najczęściej używana opcja w przypadku ruchu internetowego.
91. B. Ten kod jest przykładem jednego ze sposobów parametryzacji zapytań. Tutaj zmienne var1 i var2 są powiązane z określonymi obiektami danych. W niektórych przypadkach egzamin CySA+ może pokazać przykłady kodu lub konfiguracji, których możesz nie znać. W takim przypadku powinieneś uważnie przeczytać przykład, aby uzyskać przydatny kontekst, taki jak instrukcja bindParam tutaj. To powinno dać ci wskazówkę, że odpowiedź na sparametryzowane zapytania jest poprawną opcją.
92. B. W architekturze zorientowanej na usługi istnieją trzy podstawowe role: usługodawca tworzy i publikuje usługę sieciową w brokerze lub repozytorium. Broker usług, rejestr lub repozytorium udostępnia żądającym informacje o usługach WWW. Żądający usług lub konsumenci korzystają z usług internetowych po znalezieniu opisujących je wpisów w katalogu brokera usług. Na to pytanie wymyślono opiekunów służby.
93. B. Dostawca tożsamości (IDP) zapewnia uwierzytelnianie w przepływie uwierzytelniania opartym na SAML. Usługodawca lub SP świadczy usługi użytkownikowi, a użytkownik jest zazwyczaj zleceniodawcą. Strona uzależniona (RP) wykorzystuje IDP do świadczenia usług uwierzytelniania.
94. A. Korzystanie z TLS pomoże zapewnić, że strona trzecia nie będzie w stanie włączyć się do strumienia wiadomości. TLS może być używany do uwierzytelniania usługodawcy i konsumenta usług, zapewniając jednocześnie poufność wiadomości, ochronę integralności wiadomości i powtórz obronę.
95. C. Komunikaty SOAP to dokumenty XML zawierające kopertę identyfikującą dokument jako komunikat SOAP, nagłówek i treść zawierające informacje oraz element błędu, który zawiera komunikaty o błędach i informacje o stanie w razie potrzeby.
96. C. Klucze API umożliwiają indywidualnym konsumentom wydawanie własnych kluczy, zapobiegając przeciążeniu lub udostępnieniu usługi publicznej. Jeśli klucz jest niewłaściwie używany, można go wyłączyć, jednocześnie umożliwiając innym uprawnionym użytkownikom korzystanie z usługi.
97. B. Usługi sieciowe oparte na REST zazwyczaj wysyłają żądania w formie adresu URL, czasami z dodanymi dodatkowymi informacjami. SOAP używa XML, a zapytania SQL są używane dla baz danych.
98. B. Plik Docker zawiera zarówno nazwę użytkownika, jak i hasło, co jest bardzo niebezpiecznym sposobem używania poświadczeń dla mikroserwisu. Erik będzie musiał współpracować z zespołem odpowiedzialnym za zidentyfikowanie innej opcji projektowej, aby obsłużyć potrzeby uwierzytelniania mikrousługi.
99. B. Fizyczny dostęp jest najlepszym (i często jedynym) sposobem na skompromitowanie fizycznie izolowanego systemu z przegrodą powietrzną. Chociaż niektóre ezoteryczne metody ataku mogą gromadzić informacje za pośrednictwem RF, akustycznego lub innego wycieku, scenariusze w świecie rzeczywistym będą wymagały fizycznego dostępu w prawie wszystkich przypadkach.
100. B. Sprzętowe moduły bezpieczeństwa (HSM) to urządzenia zaprojektowane specjalnie do bezpiecznego przechowywania i zarządzania kluczami cyfrowymi systemów kryptograficznych. Zapewniają również możliwości przetwarzania kryptowalut.
101. C. Sieci VPN IPsec są preferowane, gdy użytkownicy wymagają pełnego połączenia z siecią, do której będą korzystać z VPN. Sieci VPN TLS zapewniają dostęp do określonych aplikacji, często korzystając z ruchu HTTP/HTTPS, podczas gdy użytkownicy IPsec są traktowani jako pełnoprawni członkowie sieci. SSL jest przestarzały, a WPA2 to protokół bezpieczeństwa sieci bezprzewodowej.
102. B. Jednym z zastosowań eFuses jest zapobieganie degradacji oprogramowania sprzętowego. Aby to zrobić, implementacje często spalają określoną liczbę bezpieczników przy każdej nowej wersji oprogramowania układowego. Jeśli liczba przepalonych bezpieczników jest wyższa niż liczba wymagana dla instalowanego oprogramowania, system wie, że oprogramowanie jest starsze i uniemożliwi jego instalację. Ponieważ bezpieczniki eFuse są spalane, gdy są aktywowane, nie można ich zresetować. Spalenie eFuses nie oznacza, że nie można zmienić oprogramowania układowego, a jedynie, że można sprawdzić, czy oprogramowanie układowe ma poprawną lub nowszą wersję. Jeśli jest nowszy, spali się więcej bezpieczników, aby pasowały do tego numeru wersji.
103. C. UEFI (Unified Extensible Firmware Interface) jest zamiennikiem systemu BIOS używanego wcześniej jako oprogramowanie niskiego poziomu, które uruchamia komputer. UEFI obsługuje Secure Boot, więc Dev potrzebuje nowoczesnego systemu z obsługą UEFI, aby z niego korzystać.
104. A. Zaufane środowiska wykonawcze polegają na bezpiecznym zainstalowaniu i uruchomieniu wszystkich zasobów, kodu i bazowego systemu operacyjnego. W tym celu zaufane środowiska wykonawcze opierają się na kombinacji sprawdzania podpisów, niezmiennych zasobów i/lub izolacji.
105. B. Apple odnosi się do oddzielnego sprzętowego menedżera kluczy w urządzeniach Apple jako Bezpiecznej Enklawy. Secure Enclave uruchamia się oddzielnie od reszty urządzenia i ma własną pamięć używaną do przechowywania kluczy prywatnych. Ten projekt ma na celu bardzo utrudnić dostęp do zaszyfrowanych danych bez dostępu do urządzenia fizycznego. Sprzętowy moduł zabezpieczeń (HSM) to urządzenie służące do tworzenia i zarządzania kluczami kryptograficznymi. Na to pytanie wymyślono zarówno bezpieczny bastion, jak i cryptolocker, chociaż sam cryptolocker jest rodzajem złośliwego oprogramowania.
106. D. Rozszerzenia zabezpieczeń procesora mają na celu ochronę operacji procesora, ale wymazywanie rejestru nie jest typową funkcją. Rejestry zazwyczaj zawierają dane efemeryczne i ich bezpieczne wymazanie nie jest wymagane w przypadku większości komercyjnych procesorów.
107. C. Wykonywanie atomowe zapewnia, że pamięć używana przez operację atomową nie może być odczytywana ani zapisywana, dopóki operacja nie zostanie wykonana. Zaufane środowiska wykonawcze to bezpieczne obszary procesora, spójność pamięci zapewnia, że odpowiednie lokalizacje pamięci dla procesora wielordzeniowego zawsze zawierają te same dane w pamięci podręcznej, a pamięć nieblokująca została wymyślona na to pytanie, chociaż istnieją algorytmy nieblokujące.
108. B. Za podpisanie certyfikatu cyfrowego odpowiada wystawca certyfikatu. W tym przypadku emitentem, jak pokazano w certyfikacie, jest Amazon. Starfield Services to główny urząd certyfikacji, co oznacza, że wystawił certyfikat Amazonowi i umożliwia wydawanie certyfikatów użytkownikom końcowym. nd.edu jest przedmiotem certyfikatu, a RSA jest algorytmem szyfrowania używanym w certyfikacie.
109. C. Jest to certyfikat wieloznaczny, co oznacza, że jest ważny dla domeny podmiotowej (nd.edu) oraz wszelkich subdomen tej domeny (np. www.nd.edu). Nie dotyczyłoby to jednak subdomen. Certyfikat wieloznaczny dla *.business.nd.edu obejmuje www .business.nd.edu
110. A. Certyfikaty są udostępniane publicznie i zawierają klucz publiczny do strony internetowej. Witryna przechowuje klucz prywatny, który wygenerował certyfikat. Tom może, ale nie musi mieć własnych kluczy do szyfrowania wiadomości e-mail, SSH lub innych celów, ale nie jest zaangażowany w ten proces.
111. A. Celem certyfikatu cyfrowego jest dostarczenie światu klucza publicznego podmiotu. W tym przypadku tematem jest witryna nd.edu (oraz subdomeny nd.edu ), a certyfikat przedstawia klucz publiczny tej witryny.
112. A. Naklejki holograficzne pokazują, kiedy urządzenie zostało otwarte i są często używane jako technika zapobiegająca manipulacjom. Nie zapobiegają kradzieży i chociaż znaczniki zasobów są często używane do zarządzania zasobami i ich śledzenia, naklejki holograficzne nie są powszechnie używane do tych celów, ponieważ nie oferują żadnych korzyści w porównaniu z tradycyjnymi kodami kreskowymi lub naklejkami RFID.
113. B. Dysk SED (dysk samoszyfrujący) jest zawsze zaszyfrowany, podobnie jak klucze do samego dysku. Zapewniają bezpieczeństwo danych na poziomie sprzętowym z ciągłym szyfrowaniem (i deszyfrowaniem) podczas przechowywania i uzyskiwania dostępu do danych. Oznacza to, że dane mogą zostać skradzione tylko wtedy, gdy dysk jest aktywny, a klucz do dysku został przedstawiony dyskowi za pomocą tokena sprzętowego lub kodu dostępu.
114. C. Organizacja Amandy musi zainwestować w narzędzia i techniki zarządzania zmianą, aby zapewnić śledzenie zmian oraz realizację zadań i procedur związanych z tymi zmianami. Niektóre z tych funkcji może zapewnić narzędzie do zarządzania projektami lub biletowania, ale specjalne narzędzia do zarządzania zmianami mogą naprawdę pomóc w skupieniu się na wysiłku. Do programowania wykorzystywane jest IDE (zintegrowane środowisko programistyczne zamiast tego typu zadań.
115. B. Najskuteczniejszym sposobem sprawdzenia większości oprogramowania układowego w celu sprawdzenia, czy jest to zaufana aktualizacja oprogramowania układowego, jest porównanie skrótu posiadanego pliku z wartościami skrótu podanymi na stronie producenta.
116. C. Amanda musi użyć systemu lub urządzenia w sieci z luką powietrzną, aby uzyskać dostęp do HSM. Zapewnia to izolację, zapobiegając nieprawidłowej konfiguracji lub innym problemom z bezpieczeństwem, które mogą spowodować złamanie zabezpieczeń urządzenia.
117. B. Podczas mierzonego procesu rozruchu każdy obiekt mierzy skrót następnego obiektu w łańcuchu i przechowuje go w bezpieczny sposób, aby można go było później przejrzeć. Nie sprawdza, czy obiekty są dobre, czy złe, ani nie przerywa rozruchu.
118. B. Zaszyfrowana transmisja danych między procesorem a GPU odbywa się przez magistralę, co czyni tę formę szyfrowania magistrali. Szyfrowanie magistrali chroni dane, które mogą być obserwowane przez niezaufanego użytkownika lub atakującego, i jest używane na komputerach PC między procesorem graficznym a procesorem w ramach zarządzania prawami cyfrowymi dla płatnych treści wideo w standardzie PVP-UAB (chroniona ścieżka wideo).
119. C. W transakcji SAML użytkownik inicjuje żądanie do strony ufającej, która następnie przekierowuje użytkownika do dostawcy SSO. Następnie użytkownik uwierzytelnia się u dostawcy tożsamości SAML i otrzymuje odpowiedź SAML, która jest wysyłana do strony ufającej jako dowód tożsamości.
120. A. Sprzętowe moduły bezpieczeństwa (HSM) to wzmocnione i odporne na manipulacje dedykowane urządzenia sprzętowe do przetwarzania i zarządzania kryptograficznego, w tym generowania kluczy, obsługi podpisów cyfrowych oraz szyfrowania i deszyfrowania danych. Border Gateway Protocol (BGP) to protokół routingu, a SSM został wymyślony na to pytanie.
121. C. Saeed chce śledzić towary za pomocą spisu z natury, co oznacza, że on lub inne osoby z personelu organizacji będą musiały z czasem ręcznie sprawdzać urządzenia. Znaczniki zasobów wykorzystujące kody kreskowe lub znaczniki RFID mogą znacznie przyspieszyć ten proces, umożliwiając członkom zespołu ich skanowanie w ramach praktyk zarządzania zapasami i śledzenia zasobów.
122. A. Szyfrowanie symetryczne z kluczami zakodowanymi na stałe jest podatne na szereg ataków, których celem są te klucze. Jeśli nie znasz różnic między szyfrowaniem symetrycznym a asymetrycznym, powinieneś je przejrzeć! Po przechwyceniu kluczy, poprzez dostęp do kodu, deasemblację, manipulowanie pamięcią lub inną techniką, cała komunikacja może zostać odszyfrowana. Pozostałe wpisy są pobierane z listy kontrolnej OWASP Mobile Application Security.
123. C. Techniki zapobiegające manipulacjom mają na celu zapobieganie mikrosondom i ataki fizyczne, a także techniki, takie jak zamrażanie urządzenia lub stosowanie nieoczekiwanych napięć lub zasilania zegara. Niektóre rozwiązania zabezpieczające przed manipulacją mogą nawet wymazać poufne dane chronionego urządzenia, jeśli wykryją manipulację przy użyciu tych technik, nawet jeśli nie są one obecnie zasilane.
124. Najlepszą opcją A. Patricii jest upewnienie się, że jej urządzenie obsługuje szyfrowanie magistrali. Zapewni to, że aktualizacji urządzenia nie będzie można podsłuchiwać ani przechwytywać w postaci niezaszyfrowanej, ponieważ są one przesyłane przez magistralę PCIe systemu, w którym znajdują się urządzenia.
125. B. Ponieważ dysk SED w pełni szyfruje zawarte w nim dane, proste usunięcie klucza szyfrowania dysku jest tak samo bezpieczne, jak pełne czyszczenie lub inny proces niszczenia danych. Oznacza to, że bezpieczna utylizacja dysków samoszyfrujących jest znacznie prostsza i szybsza niż inne technologie, w których może być wymagane wyczyszczenie dysku lub fizyczne zniszczenie.
126. A. Trusted Platform Module (TPM) jest wymagany do włączenia funkcji bezpiecznego rozruchu i zdalnego poświadczania. Moduły TPM to odporne na manipulacje układy zabezpieczające, które zapewniają różne usługi umożliwiające działanie tych trybów rozruchu i funkcji. Sprzętowy moduł zabezpieczeń (HSM) służy do tworzenia, zarządzania i przetwarzania kluczy szyfrowania. Na to pytanie wymyślono GPM i moduł MX.
127. A. Bezpieczny rozruch wykorzystuje podpisy kryptograficzne plików wykonywalnych do sprawdzania każdego obiektu ze znanymi kluczami publicznymi przechowywanymi w systemie BIOS systemu, na którym uruchomiony jest bezpieczny rozruch.
128. C. Wykonywanie atomowe zapewnia, że pełne operacje zapisu i zapisu są zakończone, zanim jakikolwiek inny procesor lub urządzenie I/O będzie mogło podjąć działanie w lokalizacji pamięci. Pozostałe opcje zostały wymyślone w odpowiedzi na to pytanie.
129. D. Podczas procesu bezpiecznego rozruchu oprogramowanie układowe UEFI w systemie sprawdza obiekty w procesie rozruchu. Jeśli się nie zgadzają, spowoduje to błąd. Ma to na celu zapobieganie infekowaniu systemów przez złośliwe oprogramowanie, ale może się to zdarzyć, jeśli producent systemu operacyjnego lub oprogramowania nie podpisze prawidłowo obiektów w procesie rozruchu.
130. C. To wszystko są przykłady rozszerzeń bezpieczeństwa procesora dostarczających dodatkowe instrukcje kryptograficzne. Ponieważ AES, 3DES i ECC to wszystkie algorytmy szyfrowania i SHA-256 to algorytm mieszający, wiemy, że nie może to być żadna z dwóch pierwszych opcji. Szyfrowanie magistrali może ich używać, ale nie są to tylko przykłady algorytmów szyfrowania magistrali.
131. A. VPC (wirtualna chmura prywatna) to wydzielony segment chmury publicznej. Zazwyczaj mają one własną prywatną przestrzeń IP i są połączone z siecią VLAN lub w inny sposób oddzielone od innych zasobów w chmurze publicznej.
132. D. Ponieważ klucze API ograniczają liczbę klientów, którzy mogą uzyskać dostęp do usługi opartej na REST, można ich użyć do zmniejszenia wpływu potencjalnych ataków typu "odmowa usługi" (DoS). Chociaż możliwe jest przytłoczenie serwera połączeniami, o ile atakujący nie mają legalnego klucza lub kluczy API, ataki DoS będą trudniejsze do przeprowadzenia.
133. C. Chociaż fizyczna segmentacja może ułatwić dostrzeżenie określonego ruchu, zapewniając jednocześnie lepsze bezpieczeństwo sieci i zwiększoną wydajność, prowadzenie oddzielnej infrastruktury rzadko jest tańszą opcją.
134. Sieć A. Scotta ma nadmiarowość w całym rdzeniu sieci, w tym zapory ogniowe, routery rdzeniowe i przełączniki rdzeniowe, ale ma jedno połączenie z Internetem. W tym przypadku Scott powinien być najbardziej zaniepokojony tym pojedynczym połączeniem.
135. D. Różnorodność dostawców usług internetowych i ścieżek światłowodowych jest ważna dla zapewnienia, że awaria dostawcy usług internetowych lub przecięcie światłowodu na jednej ścieżce nie spowoduje wyłączenia organizacji Scotta.
136. D. Chociaż router brzegowy przedstawiony w punkcie E ma tylko jedno połączenie, większość organizacji nie identyfikuje routerów brzegowych ani przełączników jako krytycznych punktów awarii. W tym przypadku, ponieważ wiemy, że jego organizacja nie traktuje urządzeń brzegowych jako krytycznych dla misji, Scott nie zidentyfikuje żadnych innych elementów jako pojedynczych punktów awarii, które powinien naprawić.
137. D. Uwierzytelnianie wieloskładnikowe jest najskuteczniejszą opcją, ponieważ atakujący będą musieli przedstawić oba czynniki. Nawet jeśli znają hasło, chyba że mają drugi czynnik, ich próba uzyskania dostępu do aplikacji nie powiedzie się. Blokady kont i kody CAPTCHA mogą być przydatne podczas próby zapobiegania atakom typu brute-force, a ustawienia złożoności mogą sprawić, że niektóre ataki typu brute-force będą wolniejsze i trudniejsze do przeprowadzenia.
138. C. Sól to unikalny, losowo generowany ciąg znaków dodawany do każdego hasła w procesie haszowania. Sole są następnie przechowywane w bazie danych oprócz skrótu hasła. Pieprz jest dzielony między wszystkie hasła i nie jest unikalny, ani nie jest przechowywany w bazie danych. Jak można się spodziewać, zacieranie zostało wymyślone, a haszowanie to proces wykonywany na solonym (i być może posypanym!) haśle.
139. B. Sieci segmentowane są prawie zawsze używane do izolowania grup, a nie do ich łączenia. Typowe zastosowania obejmują określone segmenty sieci dla VoIP, sieci bezprzewodowych lub określonych stref i poziomów zaufania.
140. C. Wszystkie procesy w systemie Linux mogą odczytywać te zmienne środowiskowe, co oznacza, że nazwa użytkownika bazy danych i hasła aplikacji Docker są widoczne dla każdego procesu uruchomionego w systemie. Kwame będzie musiał współpracować z zespołem odpowiedzialnym za usługę, aby określić lepsze sposoby bezpiecznego dzielenia się sekretami. Na szczęście istnieją interfejsy API zarządzania tajemnicami i inne dostępne dla Docker, Kubernetes i podobnych narzędzi.
141. B. Sieci definiowane programowo (SDN) składają się z trzech głównych warstw: warstwy aplikacji, w której informacje o sieci są wykorzystywane do poprawy przepływu, konfiguracji i innych elementów; warstwa kontroli, w której logika kontrolerów SDN kontroluje infrastrukturę sieciową; oraz warstwę infrastruktury, na którą składa się sprzęt sieciowy. Jeśli nie znasz się dogłębnie na SDN, możesz odpowiedzieć na takie pytania, przeglądając swoją wiedzę. Pozostałe trzy opcje zawierają elementy modelu OSI, ale nie mają sensu w kontekście SDN.
142. C. Wirtualne komputery stacjonarne nadal obsługują te same systemy operacyjne i aplikacje, które zapewniają wirtualnie, i nie są odporne na złośliwe oprogramowanie. W niektórych przypadkach złośliwe oprogramowanie może nie być w stanie utrzymać się, jeśli organizacja używa tymczasowych aplikacji i komputerów stacjonarnych, które po uruchomieniu są ponownie uruchamiane z czystego obrazu bazowego.
143. B. Jeśli Micah wdroży automatyczne skanowanie podatności, może sprawdzić, czy aplikacje, które mają zostać wdrożone, mają znane podatności. Zautomatyzowane łatanie również w tym pomoże, ale zastosuje tylko dostępne poprawki i nie oceni, czy istnieją luki w konfiguracji lub niezałatane luki. Testowanie rozmyte może pomóc w sprawdzeniu, czy aplikacje mają problemy z nieoczekiwanymi danymi wejściowymi, ale nie rozwiążą większości luk w zabezpieczeniach, a haszowanie poinformuje go tylko, czy korzysta z oczekiwanej wersji kodu, a nie, czy jest podatny na ataki.
144. A. Jeśli Susan może zautomatyzować niektóre testy bezpieczeństwa, aby były wykonywane automatycznie podczas procesu rozwoju, pracownicy DevOps mogą otrzymać natychmiastową informację zwrotną na temat ewentualnych ulepszeń bezpieczeństwa, które należy wprowadzić w ich implementacjach i kodzie.
145. A. Camille będzie musiała zintegrować swojego dostawcę tożsamości (IDP), aby zapewnić uwierzytelnianie i autoryzację. Po uwierzytelnieniu użytkownicy mogą korzystać z różnych dostawców usług w całej federacji. Prawdopodobnie zechce również użyć jakiejś formy usługi jednokrotnego logowania (SSO), ale nie jest to wymagane, aby być częścią federacji.
146. B. Wytyczne NIST 800-190 sugerują, że sprzętowe źródło zaufania z kryptograficzną weryfikacją mechanizmów rozruchowych, obrazów systemu i środowisk wykonawczych kontenerów przy użyciu modułu TPM jest najlepszą praktyką dla zaufanego przetwarzania opartego na sprzęcie.
147. D. Tam, gdzie to możliwe, NIST zaleca segmentację według celu, wrażliwości danych i modelu zagrożenia, aby oddzielić jądra systemu operacyjnego.
148. C. Wytyczne NIST 800-190 zauważają, że tradycyjne narzędzia do zarządzania podatnościami mogą przyjmować założenia, takie jak te w opcjach A i B, dotyczące systemów i aplikacji, które skanują. Ponieważ kontenery są efemeryczne i mogą być bardzo często aktualizowane i zmieniane, tradycyjne podejście do skanowania i zarządzania podatnościami prawdopodobnie nie sprawdzi się w środowisku kontenerowym.
149. B. Zbieranie danych, takich jak informacje o czasie lub dane akustyczne, może dostarczyć szczegółowych informacji o tym, co dzieje się w systemie. Każdy z nich jest przykładem ataków typu side-channel, które mogą umożliwić atakującym odtworzenie informacji o systemie, które w innym przypadku nie zostałyby ujawnione.
150. C. Najbardziej charakterystyczną cechą narzędzi do zarządzania kontami uprzywilejowanymi do użytku korporacyjnego jest możliwość zarządzania uprawnieniami w wielu systemach w całym korporacyjnym środowisku IT. Szersze systemy zarządzania tożsamością i dostępem dla przedsiębiorstw zapewniają zarządzanie kontami użytkowników i cyklem życia usługi, w tym narzędzia do wygasania kont i funkcje zarządzania cyklem życia haseł.
151. B. SAML zapewnia wszystkie możliwości, których szuka Amira. W przeciwieństwie do SAML, OAuth jest standardem autoryzacji, a nie standardem uwierzytelniania. LDAP zapewnia dyrektora i może być używany do uwierzytelniania, ale wymaga dodatkowych narzędzi do użycia zgodnie z opisem. Wreszcie, OpenID connect to warstwa uwierzytelniania oparta na OAuth, która jest strukturą autoryzacji. Razem również zaspokoiłyby opisane tu potrzeby, ale pojedynczo nie.
152. A. Nathaniel powinien używać schematu kontroli dostępu opartego na atrybutach (ABAC), który może brać pod uwagę takie rzeczy, jak opisane tutaj atrybuty zasobów. Kontrola dostępu oparta na rolach (RBAC) nie spełniłaby tej potrzeby, ponieważ uwzględnia tylko role w organizacji, a nie atrybuty. Obowiązkowe kontrole dostępu (MAC) są wymuszane przez system operacyjny, podczas gdy uznaniowe kontrole dostępu (DAC) są delegowane do użytkowników.
153. B. Wykonywanie atomowe wymaga, aby proces zakończył działanie, które podejmuje, zanim inny proces lub zadanie będzie mógł odczytywać lub zapisywać w lokalizacji pamięci, z której korzysta. Ogólnie termin niepodzielna oznacza, że transakcja jest niepodzielna i musi zostać zakończona. Zaufane środowiska wykonawcze są częścią procesora zaprojektowanego w celu ochrony poufności i integralności. Techniki antysabotażowe pomagają chronić chipy przed poddaniem się inżynierii wstecznej lub modyfikacją podczas użytkowania, a szyfrowanie magistrali chroni dane przesyłane w magistrali, takie jak te znajdujące się między procesorami a dyskami lub innymi urządzeniami w systemie.
154. B. Przeglądarka zdarzeń systemu Windows jest wbudowanym narzędziem dla systemów Windows, którego można używać do przeglądania aplikacji, zabezpieczeń, konfiguracji, systemu i innych zdarzeń oraz dzienników. Secpol.msc to przystawka Zasady zabezpieczeń lokalnych, a logview.msc nie jest wbudowanym narzędziem systemu Windows ani przystawką.
155. C. Wstrzyknięcie SQL jest regularnie oceniane jako jedna z najważniejszych luk w zabezpieczeniach aplikacji internetowych, a parametryzacja zapytań jest ważnym sposobem zapobiegania temu. Zapytania parametryczne lub przygotowane instrukcje wymagają od deweloperów zdefiniowania kodu SQL, którego będą używać, a następnie przekazania każdego parametru do zapytania. Uniemożliwia to atakującym zmianę intencji zapytania i pozwala na użycie zapytania tylko zgodnie z przeznaczeniem, jeśli jest prawidłowo zaimplementowane.
156. D. Logi systemowe Linuksa mogą być wysyłane jako UDP lub TCP, chociaż niektóre narzędzia syslogowe, takie jak rsyslog, implementują dodatkowe protokoły. Isaac wie, że TCP obsługuje błędy i retransmituje pakiety, jeśli coś pójdzie nie tak, podczas gdy UDP po prostu wyśle dane bez względu na to, co się wydarzy - jest szybszy i zużywa mniej zasobów, ale nie spełnia jego potrzeb. HTTP i HTTPS nie są protokołami syslog systemu Linux.
157. B. TLS VPN (czasami nazywany SSL/TLS VPN) jest zwykle wybieranym rozwiązaniem, gdy wymagane jest filtrowanie aplikacji. Ponieważ sieci TLS VPN działają w warstwie sesji, mogą podejmować decyzje na podstawie użytkowników i grup, a także określonych poleceń, zawartości aplikacji lub adresów URL. IKE i X.509 są podstawowymi technologiami szyfrowania i nie są typami sieci VPN, podczas gdy IPsSec jest rodzajem sieci VPN, ale nie jest najlepszym wyborem do tego celu. Sieci IPsec VPN mogą obsługiwać wszystkie aplikacje IP i po prostu wyglądają jak sieć IP.
158. B. Kodowanie wyjściowe jest często używane do zapobiegania atakom typu cross-site scripting (XSS) poprzez zastąpienie potencjalnie niebezpiecznych znaków we wcześniej wprowadzonych danych użytkownika nieszkodliwymi odpowiednikami.
159. A. Spośród udostępnionych opcji poziom 1, KERN_ALERT , jest najpoważniejszy. Poziom 0 lub KERN_EMERG to najpoważniejszy poziom dziennika jądra. Nie zawsze możesz znać szczegółowe szczegóły pytania technicznego. W takim przypadku powinieneś zapoznać się z opcjami i zawęzić wybór, którego powinieneś użyć. Jest mało prawdopodobne, że poziom średni będzie najcięższy, co pozwoli ci wykluczyć poziom 2 i 4. Pozostaje ci wtedy ALERT i DEBUG . Debugowanie jest zwykle hałaśliwe przy pełnych danych, co powinno prowadzić do wybrania opcji A, KERN_ALERT.
160. C. Metoda Agile jest silnie napędzana historyjkami użytkowników i zaangażowaniem klientów. Sprinty dostarczają kod funkcjonalny, co oznacza, że niektóre elementy produktu mogą być gotowe wcześnie.
161. B. Spiral kładzie duży nacisk na ocenę ryzyka i poprawia się od wodospadu poprzez powtarzanie procesu identyfikacji/projektowania/budowania/oceny. To poradzi sobie z obydwoma złożonościami, o której Scott zdaje sobie sprawę, a także późne dodanie wymagań projektowych.
162. C. Faza dyspozycji SDLC dotyczy tego, co dzieje się, gdy produkt lub system osiąga koniec swojego życia. Scott będzie musiał wycofać systemy i usługi, określić, co stanie się z danymi i innymi artefaktami, oraz podjąć inne decyzje, zanim system zostanie zamknięty.
163. A. Zaufane odlewnie są częścią programu rządu USA mającego na celu zapewnienie bezpiecznych, dostępnych układów scalonych dla przemysłu obronnego. Sofía będzie musiała zastosować inne środki ochronne, takie jak te wymienione, aby mieć pewność, że produkt jej firmy będzie odporny na techniki inżynierii odwrotnej.
164. B. Certyfikat wieloznaczny może być używany dla wielu poddomen domeny. Tak więc każda witryna z domeną .comptia.org może używać tego certyfikatu.
165. C. REST (Representational State Transfer) to styl architektoniczny, który koncentruje się na usługach internetowych, które są bezstanowe, buforowalne i zapewniają jednolity interfejs. Usługi RESTful wysyłają zazwyczaj wiadomości JSON do serwera WWW, wymagając mniejszej przepustowości, a jednocześnie obsługując wiele formatów danych i polegając na poleceniach opartych na protokole HTTP. Waterfall to styl programistyczny, a SOAP opiera się na XML i nie obsługuje wielu formatów, przez co w większości przypadków wymaga większej przepustowości.
166. D. Identyfikatory sesji powinny być powiązane z informacjami potrzebnymi aplikacji, takimi jak identyfikator użytkownika, adres IP klienta, limit czasu sesji i informacje o czasie rozpoczęcia sesji lub inne szczegóły po stronie serwera, zwykle w bazie danych lub repozytorium zarządzania sesjami. Jeśli identyfikator sesji miałby zakodowane w sobie te informacje, mogłyby one zostać poddane inżynierii wstecznej i zdekodowane, co może skutkować wyciekiem danych. Złożone identyfikatory sesji nie stanowią problemu związanego z przetwarzaniem, chyba że istnieją poufne informacje objęte prawem (które nie są wymienione w pytaniu), a wówczas ograniczenia prawne nie będą miały zastosowania. Identyfikatory sesji są wysyłane do aplikacji i użytkownika, do którego sesji należą, aby nie naruszać danych po prostu przez wysłanie.
167. C. Systemy wykrywania umieszczone w nieużywanej w inny sposób przestrzeni sieciowej wykryją skany, które na ślepo przemierzają zakresy IP. Ponieważ na liście nie ma żadnych usług publicznych, osoby atakujące, które skanują ten zakres, mogą być uważane za wrogie i często są natychmiast blokowane przez urządzenia zabezpieczające, które chronią systemy produkcyjne.
168. B. Walidacja danych wejściowych obejmuje różne techniki, w tym sprawdzanie minimalnego i maksymalnego zakresu danych liczbowych, sprawdzanie długości ciągów wejściowych, usuwanie znaków specjalnych oraz udostępnianie ograniczonych opcji dla menu rozwijanych i innych ciągów.
169. D. To wyrażenie regularne będzie pasować do wszystkich skrótów stanów USA. Nawet jeśli nie znasz wyrażeń regularnych, możesz zostać poproszony o przeczytanie nieznanego kodu i określenie, jaką funkcję pełni. Tutaj przeczytanie listy powinno dać ci dobrą wskazówkę na podstawie dwuliterowych par.
170. B. Adam wie, że TCP/80 jest normalnym portem dla niezaszyfrowanego ruchu HTTP. Jak tylko zobaczy ruch, powinien natychmiast sprawdzić, czy ruch jest niezaszyfrowany. Jeśli tak, jego pierwszym zaleceniem będzie prawdopodobnie przejście na ruch szyfrowany TLS. Po zakończeniu może się martwić, czy dane są szyfrowane w spoczynku oraz czy nazwy użytkowników i hasła są przekazywane w ramach ruchu, co może być akceptowalne, jeśli są one chronione za pomocą TLS!
171. B. Cyfrowe podpisywanie oprogramowania układowego i wymaganie od nowego oprogramowania układowego odpowiedniego podpisu cyfrowego może pomóc organizacji Nicka w zapobieganiu instalowaniu niezaufanego oprogramowania układowego. Szyfrowanie oprogramowania układowego może pomóc w zachowaniu poufności zawartości pakietu oprogramowania układowego, ale nie zapobiegnie instalacji nieautoryzowanego oprogramowania układowego. Oprogramowanie układowe binarne opisuje jedynie rodzaj kodowania.
172. C. Serwer WWW i przeglądarka internetowa są formą platformy klient-serwer. Systemy wbudowane to połączenie sprzętu i oprogramowania w większym systemie. Oprogramowanie układowe to rodzaj oprogramowania, które zapewnia funkcje niskiego poziomu dla komputera lub urządzenia. SOC (system na chipie) to kompletny system na jednym chipie.
173. D. Korzystanie z protokołów własnościowych jest zazwyczaj najmniej niepokojące z nich. Atakujący częściej są zaznajomieni z popularnymi protokołami i standardami, a narzędzia do ataków są bardziej prawdopodobne dla tych wspólnych standardów. Lara prawdopodobnie zauważy, że systemy wbudowane często cierpią z powodu braku aktualizacji po wdrożeniu i że aktualizacje mogą być trudne do wdrożenia. Jest to szczególnie niepokojące, ponieważ systemy wbudowane często mają bardzo długą żywotność, gdy są już na miejscu. Wiele systemów wbudowanych jest również projektowanych i wdrażanych z założeniem, że zostaną umieszczone w bezpiecznej, odizolowanej sieci, co nie zawsze ma miejsce.
174. C. Ponowne użycie haseł jest w większości przypadków złym pomysłem, a ponowne użycie haseł nie spowalnia ani nie zmniejsza skuteczności ataków brute-force. Uwierzytelnianie wieloskładnikowe, jeśli jest prawidłowo zaimplementowane, może powstrzymać prawie wszystkie ataki siłowe. Blokady kont są przydatne, ponieważ opóźniają ataki siłowe lub mogą je całkowicie zatrzymać, jeśli blokada wymaga interwencji użytkownika. CAPTCHA dodają warstwy złożoności dla atakujących i często wymagają interwencji człowieka, co może utrudnić przeprowadzenie ataku brute-force.
175. B. Bezpieczny rozruch to proces, który oblicza skrót kryptograficzny systemu operacyjnego, programu ładującego i sterowników rozruchowych. Ręczne porównanie skrótów rozruchowych i bootsec zostały wymyślone na to pytanie, podczas gdy układ Trusted Platform Module (TPM) jest układem zabezpieczającym który umożliwia usługi takie jak Bezpieczny rozruch i zdalna atestacja.
176. C. Fuzzery to narzędzia, które wysyłają nieoczekiwane dane wejściowe, testując, czy aplikacja może obsłużyć dane, które nie są zgodne z oczekiwaniami. Testy akceptacyjne użytkownika (UAT) to rodzaj testów, który pomaga zapewnić, że użytkownicy mogą prawidłowo korzystać z narzędzia i że spełnia ono oczekiwane funkcje. Narzędzie do testów warunków skrajnych zazwyczaj bardzo obciąża infrastrukturę lub aplikację, aby zobaczyć, jak zachowuje się w warunkach obciążenia. Testy regresji są przeprowadzane, aby upewnić się, że stare wady nie zostaną ponownie wprowadzone do aplikacji.
177. C. Przechowywanie haseł w postaci zaszyfrowanej może być konieczne w niektórych szczególnych przypadkach, ale najlepszą praktyką w większości przypadków użycia haseł jest przechowywanie solonego hasha z odpowiednim współczynnikiem pracy (ile razy algorytm haszujący jest używany ). To sprawia, że obliczanie skrótu jest bardziej kosztowne obliczeniowo, a przez to trudniejsze dla atakujących w celu stworzenia bazy danych możliwych zaszyfrowanych haseł. W połączeniu z soleniem sprawia to, że tworzenie tęczowych stołów jest niezwykle skomplikowane.
178. B. Spośród wymienionych opcji tylko bcrypt jest uważany za nowoczesny algorytm haszowania haseł. Gdyby Kristen nie miała opcji korzystania z bcrypt , jej najlepszym wyborem z podanej listy byłby SHA-512. Musiałaby wtedy użyć soli i pieprzu oraz użyć dużej liczby iteracji algorytmu, aby zapewnić najlepszą ochronę, jaką mogła. Więcej informacji na temat takich rekomendacji można znaleźć na stronie owasp.org/wwwproject-cheat-sheets/cheatsheets/Password_Storage_Cheat_Sheet.html .
179. C. Dostawcy oprogramowania jako usługi (SaaS) dostarczają usługę, a nie infrastrukturę, co oznacza, że Liam nie byłby w stanie zainstalować pełnego dysku lub narzędzia do szyfrowania na poziomie kolumny. W większości przypadków dostawcy SaaS nie zezwalają zatrudnionym przez klientów audytorom zewnętrznym na dostęp do swoich środowisk, ponieważ są to środowiska współdzielone. Najlepszym rozwiązaniem dla Liama jest wybranie usługi, która zapewnia szyfrowanie w stanie spoczynku w ramach ich usługi.
180. B. Sieć definiowana programowo (SDN) jest przeznaczona do obsługi zmieniających się wzorców ruchu i wykorzystywania danych do prowadzenia konfiguracji sieci, routingu i działań optymalizacyjnych. Najlepszą opcją Faraja jest użycie sieci zdefiniowanej programowo. Serverless to technologia, która uruchamia obliczeniowe środowiska wykonawcze, a nie sieć, a VPN służy do łączenia sieci lub systemów za pośrednictwem kanału prywatnego.
181. D. Środowiska bezserwerowe są usługą współdzieloną, a ponieważ nie ma systemu dostępnego dla konsumentów, nie ma gdzie instalować narzędzi dla punktów końcowych. Podobnie sieciowe IPS nie mogą być umieszczone przed udostępnionym zasobem. Elaine powinna również mieć świadomość, że każda usterka w bazowym środowisku bezserwerowym prawdopodobnie wpłynie na wszystkie systemy hostingu usług.
182. C. Pierwsze trzy etapy inspekcji Fagan to przygotowanie, w tym planowanie, przegląd i przydział ról oraz przygotowanie do spotkania, w tym przegląd przedmiotu i materiałów pomocniczych. Rzeczywista identyfikacja wady następuje podczas spotkania kontrolnego. Jeśli nie jesteś zaznajomiony z inspekcją Fagana, możesz wykluczyć przegląd i przygotowania, a także przeróbki, biorąc pod uwagę prawdopodobne działania związane z tytułem każdej fazy.
183. B. Sprawdzanie poprawności danych wyjściowych nie zapobiegnie występowaniu wstrzykiwania SQL. Korzystanie z przygotowanych instrukcji ze sparametryzowanymi zapytaniami, procedury składowane, unikanie wszystkich danych wejściowych wprowadzonych przez użytkownika, walidacja danych wejściowych na białej liście oraz stosowanie najmniejszych uprawnień do kont aplikacji i baz danych to przydatne techniki zapobiegające pomyślnemu wstrzyknięciu kodu SQL.
184. C. Niezweryfikowane parametry w zapytaniu SQL prawdopodobnie umożliwią ataki typu SQL injection. Atakujący mógłby wstrzyknąć do tego parametru dowolny kod SQL, uzyskując w ten sposób dodatkowy dostęp do bazy danych i przechowywanych w niej danych.
185. B. Dostawca tożsamości zapewnia dostawcy usług, że użytkownik jest ważnym użytkownikiem, a zatem, że jest tym, za kogo się podaje. Dostawca usług określa następnie, jakie prawa ma użytkownik na podstawie tej tożsamości. Proces nie musi potwierdzać, kto to jest, ani hasło użytkownika nie jest dostarczane do SP.
186. C. eFuses może być używany do śledzenia wersji oprogramowania układowego, przy rosnącej liczbie spalanych bezpieczników w miarę instalowania każdej nowej wersji. Sprzęt sprawdza liczbę powiązanych bezpieczników z danym pakietem oprogramowania, a jeśli spali się więcej niż pasuje do tego pakietu, nie zostanie on zaakceptowany.
187. A. Śruby zabezpieczające są formą kontroli antysabotażowej i mają na celu uniemożliwienie osobom nieupoważnionym dostępu do sprzętu.
188. C. Program Trusted Foundry Departamentu Obrony USA jest nadzorowany przez DMEA (Defense Microelectronics Activity). Zapewnia bezpieczny łańcuch dostaw dla układów scalonych, nadzoruje łańcuch dostaw, aby zapobiegać zakłóceniom, zapobiega modyfikowaniu lub manipulowaniu układami scalonymi oraz zapobiega inżynierii wstecznej lub ocenie układów scalonych.
189. C. Michelle wie, że dysk samoszyfrujący używa klucza szyfrowania danych (DEK) do szyfrowania i odszyfrowywania dysku, a dane są szyfrowane tak, jak są zapisywane i odszyfrowywane podczas odczytu. Oznacza to, że będzie musiała uzyskać dostęp do działającej maszyny za pomocą odpowiedniego klucza, aby przechwycić potrzebne dane.
190. B. Rozszerzenia zabezpieczeń procesora są implementacjami funkcji zabezpieczeń na chipie. Różni producenci chipów używają różnych terminów, takich jak rozszerzenia Software Guard Extensions (SGX) firmy Intel, rozszerzenia TrustZone Security Extensions firmy ARM i inne, które można znaleźć w branży.
191. D. Istotną zaletą sieci VPN opartych na TLS jest możliwość braku klienta. Sieci VPN IPsec chronią pakiety IP między lokalizacjami, podczas gdy sieci VPN TLS (czasami wciąż nazywane SSL) chronią strumienie ruchu aplikacji. Ta kluczowa różnica może być częścią decyzji o tym, jakiego typu technologii VPN użyć.
192. B. Segmentacja jest zwykle używana do zmniejszania liczby systemów w segmencie sieci, a nie do jej zwiększania. Segmentacja jest często używana do zmniejszenia powierzchni ataku organizacji poprzez przeniesienie systemów, które nie muszą być narażone na chroniony segment. Może być również używany do ograniczania wpływu na zgodność poprzez usunięcie systemów ze strefy zgodności, które nie muszą być jej częścią. Wreszcie, ograniczenie liczby systemów lub urządzeń w segmencie lub utrzymywanie potencjalnie problematycznych systemów w odizolowanym segmencie sieci może pomóc w zwiększeniu dostępności.
193. C. Kubernetes i Docker są przykładami narzędzi do konteneryzacji.
194. Najlepszą opcją D. Nathana jest wysłanie logów na zdalny serwer. Serwer powinien być chroniony, aby zapewnić, że te same exploity, które mogą zagrozić innym systemom, nie wpłyną na serwer lub usługę bezpiecznego przechowywania dzienników. W wielu organizacjach urządzenie SIEM lub narzędzie do rejestrowania zabezpieczeń, takie jak ELK lub Splunk, może być używane do przechowywania tych dzienników i pracy z nimi.
195. B. Po ujawnieniu klucza prywatnego jedyną opcją jest usunięcie pary kluczy z użycia i zastąpienie jej tam, gdzie jest używana. Jeśli klucze SSH są używane do kontrolowania infrastruktury lub usługi w chmurze i są przesyłane na stronę publiczną, istnieje duża szansa, że zostaną szybko znalezione i wykorzystane. Autorzy tej książki widzieli klucze, które zostały ujawnione i użyte w czasie krótszym niż 20 minut od momentu ich przesłania!
196. A. Chociaż większość testów odbywa się w fazie testowania i integracji cyklu życia oprogramowania, testy jednostkowe są często wykonywane jako część fazy rozwoju, aby zapewnić prawidłowe działanie komponentów kodu. Testy akceptacyjne użytkownika (UAT), fuzzing i testy warunków skrajnych zwykle występują w ramach bardziej formalnej fazy testowania.
197. B. Metodologia Spiral wykorzystuje liniowy proces rozwoju z procesem iteracyjnym, który wielokrotnie powtarza cztery fazy. Te cztery fazy to identyfikacja, projektowanie, budowa i ocena. Procesy zwinne wykorzystują historyjki użytkownika, więc możesz wykluczyć obie te opcje. Spiral nie opiera się na tej koncepcji. Opcja C jest również złą opcją; zwróć uwagę na brak fazy testowania.
198. C. Kluczowym powodem, dla którego termin DevSecOps wszedł do powszechnego użytku, jest potrzeba zintegrowania zabezpieczeń z cyklem życia aplikacji.
199. C. Faza wykonalności projektu takiego jak ten sprawdza, czy projekt powinien wystąpić, a także szuka alternatywnych rozwiązań, jak również kosztów dla każdego proponowanego rozwiązania.
200. C. Chociaż może się wydawać, że analiza kodu i testowanie jednostkowe powinny mieć miejsce w fazie testowania i integracji, pamiętaj, że testowanie jednostkowe odbywa się na poszczególnych komponentach programu, co oznacza, że będzie się odbywać w trakcie pisania kodu. To samo dotyczy analizy kodu, a zatem po raz pierwszy nastąpi to na etapie kodowania.
201. B. Zanim aplikacja będzie mogła wejść w bieżące operacje i konserwację, użytkownicy muszą zostać przeszkoleni, a aplikacja musi zostać przekazana zespołowi, który będzie ją konserwował przez cały cykl życia. Dyspozycja występuje, gdy produkt lub system dobiega końca swojego cyklu życia. Testowanie jednostkowe jest często częścią fazy kodowania. Testowanie i integracja mają miejsce tuż przed treningiem i przejściem (punkt D).
202. D. OpenID, SAML i OAuth są powszechnie używanymi protokołami dla tożsamości federacyjnej. Firma Ansel będzie musiała lepiej zrozumieć, jakie są przypadki użycia tożsamości federacyjnej w jego środowisku i z jakimi organizacjami będzie się sfederować, zanim wybierze protokół do zaimplementowania, a ostatecznie może wymagać obsługi więcej niż jednego.
