---

Analityk ds. cyberbezpieczeństwa

Egzamin Praktyczny cz. II

1. Ty przegląda raport skanowania systemu Windows dołączonego do domeny jego organizacji i znajduje pokazaną tutaj lukę. Jaka powinna być najważniejsza obawa Ty w związku z tą podatnością?



A. Obecność tej luki w zabezpieczeniach wskazuje, że osoba atakująca mogła włamać się do jego sieci.
B. Obecność tej luki wskazuje na błędną konfigurację na serwerze docelowym.
C. Obecność tej luki w zabezpieczeniach wskazuje, że zasadom zabezpieczeń domeny może brakować odpowiednich mechanizmów kontrolnych.
D. Obecność tej luki wskazuje na krytyczną lukę na serwerze docelowym, którą należy natychmiast usunąć.

2. Podczas dochodzenia w sprawie incydentu Chris odkrywa, że osoby atakujące były w stanie przeszukiwać informacje o jego routerach i przełącznikach za pomocą protokołu SNMP. Chris odkrywa, że jego routery używały "publicznych" i "prywatnych" jako ciągów społeczności. Które z poniższych nie jest właściwym działaniem, które należy podjąć, aby zabezpieczyć SNMP w organizacji Chrisa?

A. Dodaj wymagania dotyczące złożoności do łańcucha społeczności SNMP.
B. Włącz i skonfiguruj SNMP v2c.
C. Włącz i wymagaj ustawienia TLS dla SNMP.
D. Zastosuj różne łańcuchy społeczności SNMP do urządzeń o różnych poziomach bezpieczeństwa.

3. Heidi przeprowadza skanowanie pod kątem luk w interfejsie zarządzania platformy wirtualizacji swojej organizacji i znajduje pokazaną tutaj lukę o poziomie 1. Jakie okoliczności, jeśli występują, powinny zwiększyć poziom ważności tej luki w zabezpieczeniach dla Heidi?



A. Brak szyfrowania
B. Brakująca łatka bezpieczeństwa
C. Ekspozycja na sieci zewnętrzne
D. Nieaktualne sygnatury antywirusowe

4. Rowan przeprowadziła skanowanie portów względem przełącznika sieciowego znajdującego się w sieci wewnętrznej jej organizacji i odkryła przedstawione tutaj wyniki. Uruchomiła skanowanie ze swojej stacji roboczej w sieci VLAN pracownika. Który z poniższych wyników powinien ją najbardziej interesować?



A. Port 22
B. Port 23
C. Port 80
D. Porty 8192 do 8194

5. Evan rozwiązuje problem ze skanowaniem luk w swojej sieci. Przeprowadza zewnętrzny skan strony internetowej znajdującej się na serwerze WWW pokazanym na schemacie. Po sprawdzeniu dzienników serwera httpd Apache na serwerze sieciowym nie zauważył żadnych śladów żądań skanowania. Która z poniższych przyczyn jest dla niego najmniej prawdopodobnym problemem do rozwiązania?



A. Skanowania są blokowane przez system zapobiegania włamaniom.
B. Skanowania są blokowane przez plik Apache .htaccess.
C. Skanowania są blokowane przez zaporę sieciową.
D. Skanowania są blokowane przez zaporę hosta.

6. Sam szuka dowodów na oprogramowanie, które zostało zainstalowane w systemie Windows 10. Uważa, że programy zostały usunięte, a podejrzany użył zarówno narzędzia do czyszczenia rejestru, jak i dziennika, aby ukryć dowody. Jakiej funkcji systemu Windows nie może użyć, aby znaleźć dowody używania tych programów?

A. MFT
B. Kopie woluminów w tle
C. Pamięć podręczna podkładki (zgodność aplikacji)
D. Wstępne pobieranie plików

7. Mila ocenia bezpieczeństwo aplikacji opracowanej w jej organizacji. Chciałaby ocenić bezpieczeństwo aplikacji, podając jej nieprawidłowe dane wejściowe. Jakiej techniki planuje użyć Mila?

A. Błąd wtrysku
B. Testy obciążeniowe
C. Testy mutacji
D. Testowanie Fuzz

8. Skanowanie portu przeprowadzone podczas oceny bezpieczeństwa pokazuje następujące wyniki. Jakie urządzenie najprawdopodobniej zostało zeskanowane?

Nmap scan report for EXAMPLE (192.168.1.79)
Host is up (1.00s latency).
Not shown: 992 closed ports
PORT STATE
21/tcp open
23/tcp open
80/tcp open
280/tcp open
443/tcp open
515/tcp open
631/tcp open
9100/tcp open
Nmap done: 1 IP address (1 host up) scanned in 124.20 seconds

A. Bezprzewodowy punkt dostępowy
B. Serwer
C. Drukarka
D. Przełącznik

9. Kim przegląda dane zebrane przez pierwszą osobę odpowiedzialną na incydent związany z bezpieczeństwem i natrafia na plik tekstowy zawierający pokazane tutaj dane wyjściowe. Jakie polecenie wygenerowało ten wynik?



A. traceroute
B. netstat
C. ifconfig
D. gniazda

10. Które z poniższych nie jest jedną z głównych kategorii wskaźników zdarzeń bezpieczeństwa opisanych przez NIST 800-61?

A. Alerty z IDS, IPS, SIEM, AV i innych systemów bezpieczeństwa
B. Logi generowane przez systemy, usługi i aplikacje
C. Twórcy exploitów
D. Źródła wewnętrzne i zewnętrzne

11. Podczas skanowania sieci nmap Charles otrzymuje następującą odpowiedź od nmap:

Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-21 20:03 EDT
Nmap done: 256 IP addresses (0 hosts up) scanned in 29.74 seconds

Co Charles może wywnioskować na temat segmentu sieci z tych wyników?

A. W segmencie sieci nie ma aktywnych hostów.
B. Wszystkie hosty w segmencie sieci są objęte zaporą ogniową.
C. Skanowanie było źle skonfigurowane.
D. Charles nie może określić na podstawie tego skanowania, czy w segmencie sieci znajdują się hosty.

12. Oskar projektuje program zarządzania podatnościami dla swojej firmy, dostawcy usług hostingowych. Chciałby sprawdzić wszystkie istotne dokumenty pod kątem wymagań klienta, które mogą mieć wpływ na jego skanowanie. Który z poniższych dokumentów najprawdopodobniej zawiera te informacje?

A. BPA
B. SLA
C. MOU
D. BIA

13. Podczas skanowania portów serwera, Gwen odkryła, że następujące porty są otwarte w sieci wewnętrznej:

Port TCP 25
Port TCP 80
Port TCP 110
Port TCP 443
Port TCP 1521
Port TCP 3389

Dla której spośród wymienionych usług skanowanie nie dostarcza dowodu, że prawdopodobnie działa na serwerze?

A. Sieć
B. Baza danych
C. SSH
D. E-mail

14. W ramach analizy kryminalistycznej wyczyszczonego pendrive&pime;a Selah uruchamia Skalpel, aby wyciąć dane z utworzonego przez siebie obrazu. Po uruchomieniu Skalpela widzi w utworzonym przez program pliku audit.log: Co dalej powinna zrobić Selah?



A. Uruchom na dysku program do odzyskiwania danych, aby odzyskać pliki.
B. Uruchom Scalpel w trybie odzyskiwania nazw plików, aby pobrać rzeczywiste nazwy plików i struktury katalogów plików.
C. Przejrzyj zawartość folderu scalpelout.
D. Użyj zidentyfikowanych nazw plików, aby przetworzyć plik przy użyciu pełnego pakietu śledczego.

15. W ramach rządowego programu przejęć dla Departamentu Obrony Stanów Zjednoczonych (DoD) Sean ma obowiązek upewnić się, że chipy i inne elementy sprzętowe używane w zakupionych przez niego przełącznikach, routerach i serwerach nie zawierają złośliwego oprogramowania ani inne potencjalne wektory ataku. Jakiego dostawcy powinien szukać Sean?

A. Moduł TPM
B. Dostawca OEM
C. Zaufana odlewnia
D. Dostawca szarej strefy

16. Na jednym z serwerów, za który odpowiada Adam, zabrakło miejsca na dysku. Pomimo alarmów na poziomie systemu problem nie został wykryty, co spowodowało awarię w przypadku awarii serwera. W jaki sposób ten problem zostałby sklasyfikowany, gdyby metoda kategoryzacji zagrożeń NIST była używana jako część przeglądu po akcji?

A. Środowiskowy
B. Przeciwnik
C. Przypadkowy
D. Strukturalne

17. Pranab chciałby otrzymać wskazówki dotyczące grupowania informacji według różnych poziomów wrażliwości. Planuje wykorzystać te grupy do pomocy przy podejmowaniu decyzji dotyczących kontroli bezpieczeństwa, które organizacja zastosuje do urządzeń pamięci masowej zawierających te informacje. Która z poniższych zasad najprawdopodobniej zawiera informacje istotne dla procesu decyzyjnego Pranaba?

A. Polityka przechowywania danych
B. Polityka klasyfikacji danych
C. Polityka szyfrowania danych
D. Polityka usuwania danych

18. Erin próbuje zebrać informacje o konfiguracji sieci z systemu Windows w swojej sieci. Jest zaznajomiona z systemem operacyjnym Linux i używałaby polecenia ifconfig, aby uzyskać żądane informacje o systemie Linux. Jakiego równoważnego polecenia powinna użyć w systemie Windows?

A. ipconfig
B. netstat
C. ifconfig
D. netcfg

19. Lonnie przeprowadził skanowanie podatności serwera, który niedawno wykrył w swojej organizacji, a który nie jest wymieniony w bazie danych zarządzania konfiguracją organizacji. Tutaj pokazano jedną z wykrytych luk. Jaki rodzaj usługi najprawdopodobniej działa na tym serwerze?



A. Baza danych
B. Sieć
C. Czas
D. Zarządzanie siecią

20. Jorge chciałby użyć znormalizowanego systemu do oceny powagi luk w zabezpieczeniach. Jaki składnik SCAP oferuje taką możliwość?
A. CPE
B. CVE
C. CVSS
D. CCE

21. Czego najbardziej bezpośrednio poszukują analitycy cyberbezpieczeństwa przeprowadzając działania polegające na polowaniu na zagrożenia?

A. Podatności
B. Wskaźniki kompromisu
C. Błędne konfiguracje
D. Systemy niezałatane

22. Taylor przygotowuje się do uruchomienia skanowania podatności serwera aplikacji internetowych, który jego organizacja niedawno wdrożyła do publicznego dostępu. Chciałby zrozumieć, jakie informacje na temat systemu ma potencjalny atakujący z zewnątrz, a także jakie szkody może spowodować w systemie osoba atakująca. Który z poniższych typów skanowania z najmniejszym prawdopodobieństwem dostarczy tego typu informacji?

A. Skanowanie podatności sieci wewnętrznej
B. Skanowanie portów
C. Skanowanie podatności aplikacji internetowych
D. Skanowanie podatności sieci zewnętrznej

23. Podczas analizy przechwytywania pakietów w Wireshark, Chris znajduje pokazany tutaj pakiet. Którego z poniższych elementów nie jest w stanie określić na podstawie tego pakietu?



A. Użyta nazwa użytkownika to gnome
B. Użyty protokół to FTP
C. Hasło brzmiało gnome123
D. System zdalny to 137.30.120.40

24. Cynthia przegląd jej ruchu sieciowego koncentruje się na przedstawionym tutaj wykresie. Co wydarzyło się pod koniec czerwca?



A. Światło ostrzegawcze
B. Wysokie zużycie przepustowości sieci
C. Atak typu "odmowa usługi"
D. Awaria łącza

25. Carlos przybył dziś rano do biura, aby znaleźć na swoim biurku wezwanie do sądu z prośbą o elektroniczne zapisy pod jego kontrolą. Z jakim rodzajem procedury powinien się skonsultować, aby określić odpowiednie dalsze kroki, w tym osoby, z którymi powinien się skonsultować i proces techniczny, z którym powinien podążać?

A. Procedura sporządzania dowodów
B. Procedura monitorowania
C. Procedura klasyfikacji danych
D. Procedura patchowania

26. Pranab próbuje określić, jakie usługi są uruchomione w systemie Windows i postanawia użyć polecenia netstat -at, aby wyświetlić listę portów TCP. Otrzymuje pokazane tutaj wyjście. Które usługi najprawdopodobniej działają w systemie?



A. Serwer WWW ze zwykłym tekstem, udostępnianie plików Microsoft i bezpieczny serwer WWW
B. SSH, e-mail i serwer WWW ze zwykłym tekstem
C. Serwer poczty e-mail, serwer WWW ze zwykłym tekstem i Microsoft-DS
D. Serwer WWW ze zwykłym tekstem, Microsoft RPC i Microsoft-DS

27. Paul bada modele wdrażania pomocy technicznej IT i chciałby skorzystać z najlepszych praktyk w branży. Która z poniższych standardowych ram dostarczyłaby Paulowi najlepszych wskazówek?

A. ISO
B. ITIL
C. COBIT
D. PCI DSS

28. Który etap procesu reagowania na incydent obejmuje czynności takie jak dodawanie sygnatur IPS w celu wykrywania nowych ataków?

A. Wykrywanie i analiza
B. Ograniczanie, eliminacja i odzyskiwanie
C. Aktywność po zdarzeniu
D. Przygotowanie

29. Gloria konfiguruje skanowanie podatności na nowy serwer WWW w swojej organizacji. Serwer znajduje się w sieci DMZ, jak pokazano tutaj. Jakie typy skanowania powinna skonfigurować Gloria, aby uzyskać najlepsze wyniki?



A. Gloria nie powinna skanować serwerów znajdujących się w strefie DMZ.
B. Gloria powinna wykonywać tylko wewnętrzne skanowanie serwera.
C. Gloria powinna wykonywać tylko zewnętrzne skanowanie serwera.
D. Gloria powinna wykonać zarówno wewnętrzne, jak i zewnętrzne skanowanie serwera.

30. Pranab przygotowuje się do ponownego wykorzystania mediów zawierających dane, które jego organizacja klasyfikuje jako mające "umiarkowaną" wartość. Jeśli chce postępować zgodnie z wytycznymi NIST SP 800-88, co powinien zrobić z mediami, jeśli media nie wymkną się spod kontroli jego organizacji?

A. Sformatuj to
B. Wyczyść to
C. Oczyść to
D. Zniszcz to

31. Susan buduje program reagowania na incydenty i zamierza wdrożyć zalecane przez NIST działania w celu poprawy skuteczności analizy incydentów. Który z poniższych elementów nie jest zalecanym przez NIST ulepszeniem analizy incydentów?

A. Wykonaj behawioralną linię bazową.
B. Utwórz i zaimplementuj zasady rejestrowania.
C. Regularnie ustawiaj zegary systemu BIOS.
D. Utrzymywanie bazy danych konfiguracji systemu dla całej organizacji.

32. Skanowanie portów Jima nmap w systemie pokazało następującą listę portów:

PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
902/tcp open iss-realsecure
912/tcp open apex-mesh
3389/tcp open ms-wbt-server

Jaki system operacyjny jest najprawdopodobniej uruchomiony w systemie zdalnym?

A. Windows
B. Linux
C. Wbudowany system operacyjny
D. macOS

33. Snort IPS skonfigurowany przez Adama zawiera regułę, która brzmi następująco:

alert tcp $EXTERNAL_NET any -> 10.0.10.0/24 80
(msg:"Alert!";
content:"http|3a|//www.example.com/download.php"; nocase;
offset:12; classtype: web-application-activity;sid:5555555; rev:1;)

Jakiej metody wykrywania używa Adam?

A. Na podstawie anomalii
B. Oparte na trendach
C. Na podstawie dostępności
D. Behawioralne

34. Peter pracuje dla organizacji, która dołącza do konsorcjum podobnych organizacji, które używają sfederowanego systemu zarządzania tożsamością. Konfiguruje swój system zarządzania tożsamością do udziału w federacji. W szczególności chce się upewnić, że użytkownicy w jego organizacji będą mogli używać swoich poświadczeń w celu uzyskania dostępu do usług federacyjnych. Jaką rolę konfiguruje Peter?

A. Strona ufająca
B. Usługodawca
C. Dostawca tożsamości
D. Konsument

35. Helen stara się chronić swoją organizację przed atakami, które obejmują kradzież danych uwierzytelniających użytkownika. Które z poniższych zagrożeń stanowi największe ryzyko kradzieży poświadczeń w większości organizacji?

A. Zatrucie DNS
B. Phishing
C. Telefoniczna inżynieria społeczna
D. Surfowanie po ramieniu

36. W ramach swoich obowiązków jako analityk SOC Emily ma za zadanie monitorowanie czujników wykrywania włamań, które obejmują sieć centrali korporacyjnej jej pracodawcy. Podczas jej zmiany Emily's IDS informuje, że przeprowadzono skanowanie sieci z systemu o adresie IP 10.0.11.19 w nieuwierzytelnionej sieci bezprzewodowej dla gości organizacji, skierowanej do systemów w sieci zewnętrznej. Jaki powinien być pierwszy krok Emily?

A. Zgłoś zdarzenie osobom trzecim, których to dotyczy.
B. Zgłoś zdarzenie organom ścigania.
C. Sprawdź adres MAC systemu ze znanymi zasobami.
D. Sprawdź dzienniki uwierzytelniania, aby zidentyfikować zalogowanego użytkownika.

37. Które z poniższych poleceń nie jest przydatne do sprawdzania uprawnień użytkownika w systemie Linux?

A. więcej /etc/sudoers
B. grupy
C. stat
D. struny

38. Firma Tommy'ego niedawno wdrożyła nową politykę, która ogranicza dostęp administratora do konta głównego dostawcy usług przetwarzania w chmurze. Ta zasada wymaga, aby członek zespołu z grupy operacji pobierał hasło z magazynu haseł w celu zalogowania się na konto. Konto korzysta następnie z uwierzytelniania dwuskładnikowego, które wymaga zatwierdzenia logowania przez członka zespołu z grupy zabezpieczeń. Z jakiego rodzaju kontroli korzysta firma?

A. Rozdzielenie obowiązków
B. Monitorowanie konta uprzywilejowanego
C. Podwójna kontrola
D. Najmniejszy przywilej

39. Sai pracuje w środowisku, które podlega Standardowi Bezpieczeństwa Danych Branży Kart Płatniczych (PCI DSS). Zdaje sobie sprawę, że ograniczenia techniczne uniemożliwiają organizacji spełnienie określonego wymagania PCI DSS i chce wdrożyć kontrolę kompensacyjną. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do właściwych kontroli kompensacyjnych?

A. Kontrola musi obejmować jasny mechanizm audytu.
B. Kontrola musi spełniać cel i rygor pierwotnego wymagania.
C. Kontrola musi zapewniać podobny poziom obrony, jaki zapewnia pierwotny wymóg.
D. Kontrola musi wykraczać poza inne wymagania.

40. Lou niedawno przeskanował serwer sieciowy w swoim środowisku i otrzymał raport o luce pokazany tutaj. Jakie działania może podjąć Lou, aby usunąć tę lukę?



A. Skonfiguruj TLS
B. Zastąpić certyfikat
C. Odblokować port 443
D. Zablokuj port 80

41. Firma Mike′a niedawno doświadczyła incydentu związanego z bezpieczeństwem, kiedy straciła kontrolę nad tysiącami osobistych danych klientów. Wiele z tych zapisów pochodziło z projektów, które zakończyły się dawno temu i nie służyły celom biznesowym. Jaki rodzaj polityki, jeśli byłby przestrzegany, najlepiej ograniczyłby wpływ tego incydentu?

A. Polityka własności danych
B. Polityka zarządzania kontem
C. Zasady dopuszczalnego użytkowania
D. Polityka przechowywania danych

42. Który z poniższych czynników nie jest zazwyczaj brany pod uwagę przy ustalaniu, czy dowody powinny zostać zachowane?

A. Żywotność mediów
B. Prawdopodobieństwo sporu cywilnego
C. Organizacyjne zasady przechowywania
D. Prawdopodobieństwo wszczęcia postępowania karnego

43. Dopasuj każdy z poniższych elementów do odpowiedniego elementu triady CIA:

1. Awaria dysku twardego powodująca awarię usługi
2. List kończący, który jest pozostawiany na drukarce i czytany przez inne osoby w dziale
3. Modyfikacja treści e-maila przez osobę trzecią

A. 1. Uczciwość, 2. Poufność, 3. Poufność
B. 1. Uczciwość, 2. Poufność, 3. Dostępność
C. 1. Dostępność, 2. Dostępność, 3. Poufność
D. 1. Dostępność, 2. Poufność, 3. Uczciwość

44. Niesha odkryła pokazaną tutaj lukę na serwerze działającym w jej organizacji. Jaki byłby najlepszy sposób rozwiązania tego problemu przez firmę Niesha?



A. Wyłącz korzystanie z AES-GCM.
B. Aktualizacja OpenSSH.
C. Zaktualizuj system operacyjny.
D. Zaktualizuj sygnatury antywirusowe.

45. W ramach procesu odzyskiwania po incydencie Alicia tworzy oddzielną sieć wirtualną, jak pokazano tutaj, zawierającą zhakowane systemy, które musi zbadać. Jakiej techniki powstrzymywania używa?



A. Segmentacja
B. Izolacja
C. Usunięcie
D. Inżynieria odwrotna

46. Jennifer przegląda swoje konfiguracje monitorowania sieci i widzi poniższy wykres dotyczący systemu, który uruchamia zdalnie w środowisku Amazon Web Services (AWS) oddalonym o ponad 400 mil. Do czego może wykorzystać te dane?



A. Reakcja na incydent; musi określić problem powodujący skoki w czasie reakcji.
B. Należy zbadać dużą utratę pakietów, ponieważ może to wskazywać na atak typu "odmowa usługi".
C. Potrafi wykorzystać te dane do określenia rozsądnego czasu reakcji.
D. Należy zbadać długi czas odpowiedzi, ponieważ może to wskazywać na atak typu "odmowa usługi".

47. System Windows, na którym Abdul prowadzi śledztwo na żywo, pokazuje mapę partycji, jak pokazano tutaj. Jeśli Abdul uważa, że ukryta partycja została usunięta, co spowodowało nieprzydzielone miejsce, które z poniższych narzędzi najlepiej nadaje się do identyfikacji danych znalezionych w nieprzydzielonym miejscu?



A. Scalpel
B. DBAN
C. parted
D. dd

48. Podczas pośmiertnej analizy kryminalistycznej systemu Windows, który został zamknięty po tym, jak jego użytkownik zauważył dziwne zachowanie, Pranab dochodzi do wniosku, że system, który przegląda, był prawdopodobnie zainfekowany pakietem złośliwego oprogramowania rezydującego w pamięci. Jaki jest jego najlepszy sposób na znalezienie złośliwego oprogramowania?

A. Wyszukaj zrzut podstawowy lub plik hiberfil.sys do analizy.
B. Przejrzyj pliki INDX i rejestr systemu Windows pod kątem oznak infekcji.
C. Uruchom system, a następnie użyj narzędzia takiego jak Volatility Framework, aby przechwycić pamięć na żywo.
D. Przed ponownym uruchomieniem sprawdź kopie woluminów w tle pod kątem informacji historycznych.

49. Organizacja Juliette niedawno ucierpiała z powodu ataku cross-site scripting i planuje wdrożyć walidację danych wejściowych w celu ochrony przed ponownymi atakami w przyszłości. Który z poniższych tagów HTML należy najdokładniej przeanalizować, gdy pojawia się w danych wejściowych użytkownika?
A. < SCRIPT >
B. < XSS >
C. < B >
D. < EM >

50. Jessie musi uniemożliwić skanowanie portów, takie jak skanowanie pokazane tutaj. Która z poniższych opcji jest prawidłową metodą zapobiegania skanowaniu portów?



A. Nierejestrowanie systemów w DNS
B. Korzystanie z zapory sieciowej w celu ograniczenia ruchu tylko do portów wymaganych do celów biznesowych
C. Korzystanie z heurystycznej reguły wykrywania na IPS
D. Wdrożenie bezpieczeństwa portu

51. Firma świadcząca usługi IT, dla której pracuje Pranab, wykorzystuje funkcjonalne kategorie wpływu NIST do opisania wpływu incydentów. Podczas niedawnego projektu budowlanego wykonawca dwukrotnie podłączał urządzenie sieciowe do tego samego przełącznika, co spowodowało powstanie pętli sieciowej i wyłączenie sieci organizacji dla jednej trzeciej użytkowników. Jak Pranab powinien sklasyfikować to wydarzenie?

A. Pilne
B. Średni
C. Ważne
D. Wysoki

52. Jakie informacje można zebrać, obserwując różne domyślne wartości następujących pól TCP/IP podczas działań rozpoznawczych: początkowy rozmiar pakietu, początkowy TTL, rozmiar okna, maksymalny rozmiar segmentu i flagi?

A. Wersja TCP systemu docelowego
B. System operacyjny systemu docelowego
C. Adres MAC systemu docelowego
D. Te pola są przydatne tylko do analizy pakietów

53. Brooke chciałaby znaleźć platformę technologiczną, która automatyzuje przepływy pracy w różnych narzędziach bezpieczeństwa, w tym zautomatyzowaną reakcję na incydenty bezpieczeństwa. Jaka kategoria narzędzi najlepiej spełnia tę potrzebę?

A. SIEM
B. NIPS
C. SOAR
D. DLP

54. Miray musi zidentyfikować urządzenie lub typ pamięci, który ma najniższy stopień zmienności. Które z poniższych jest najmniej niestabilne?

A. Ruch sieciowy
B. Dysk SSD
C. Wirujący dysk twardy
D. I DVD-ROM

55. Henry niedawno zakończył skanowanie podatności centrum danych swojej organizacji i otrzymał pokazany tutaj raport podatności z serwera działającego w centrum danych. Ten serwer działa na platformie wirtualizacyjnej działającej na hipernadzorcy typu bare metal. Gdzie Henry musi rozwiązać ten problem?



A. System operacyjny gościa
B. Hypervisor
C. Aplikacja
D. System operacyjny hosta

56. Luis jest konsultantem IT powołanym w celu oceny dojrzałości praktyk zarządzania ryzykiem w firmie stosującej ramy cyberbezpieczeństwa NIST. Podczas swojej oceny stwierdza, że organizacja stosuje podejście ogólnoorganizacyjne do zarządzania ryzykiem cyberbezpieczeństwa, ale nie stosuje zasad, procesów i procedur opartych na ryzyku w celu reagowania na potencjalne zdarzenia związane z cyberbezpieczeństwem. Na jakim poziomie ram cyberbezpieczeństwa znajduje się program zarządzania ryzykiem tej organizacji?

A. Poziom 1: Częściowy
B. Poziom 2: Informowanie o ryzyku
C. Poziom 3: Powtarzalny
D. Poziom 4: Adaptacyjny

57. Po otrzymaniu skarg dotyczących nieprawidłowego działania systemu w jej sieci, Anastasia postanawia zbadać problem, przechwytując ruch za pomocą Wireshark. Tutaj pokazany jest przechwycony ruch. Jakiego rodzaju problem najczęściej widzi Anastasia?



A. Awaria łącza
B. Nieudane uzgadnianie trójstronne
C. DDoS
D. SYN flood

58. Podczas przeglądu dziennika Lisa widzi powtarzające się wpisy zapory, jak pokazano poniżej:

Sep 16 2019 23:01:37: %ASA-4-106023: Deny tcp src
outside:10.10.0.100/53534 dst
inside:192.168.1.128/1521 by
access-group "OUTSIDE" [0x5063b82f, 0x0]
Sep 16 2019 23:01:38: %ASA-4-106023: Deny tcp src
outside:10.10.0.100/53534 dst
inside:192.168.1.128/1521 by
access-group "OUTSIDE" [0x5063b82f, 0x0]
Sep 16 2019 23:01:39: %ASA-4-106023: Deny tcp src
outside:10.10.0.100/53534 dst
inside:192.168.1.128/1521 by
access-group "OUTSIDE" [0x5063b82f, 0x0]
Sep 16 2019 23:01:40: %ASA-4-106023: Deny tcp src
outside:10.10.0.100/53534 dst
inside:192.168.1.128/1521 by
access-group "OUTSIDE" [0x5063b82f, 0x0]

Do jakiej usługi zdalny system najprawdopodobniej próbuje uzyskać dostęp?

A. H323
B. SNMP
C. MS-SQL
D. Wyrocznia

59. Po zakończeniu sprawy sądowej Lucas musi wytrzeć media, których używa, aby przygotować je do następnej sprawy. Która z poniższych metod najlepiej nadaje się do przygotowania dysku SSD, którego będzie używał?

A. Rozmagnesuj napęd.
B. Zapisz na dysku zero.
C. Użyj PRNG.
D. Użyj polecenia ATA Secure Erase.

60. Luis tworzy program zarządzania podatnościami dla swojej firmy. Ma tylko zasoby, aby przeprowadzać codzienne skanowanie około 10 procent swoich systemów, a reszta zostanie zaplanowana na cotygodniowe skanowanie. Chciałby, aby systemy zawierające najbardziej wrażliwe informacje były częściej skanowane. Jakiego kryterium używa Luis?

A. Prywatność danych
B. Dane dotyczące remanencji
C. Przechowywanie danych
D. Klasyfikacja danych

61. Podczas badania incydentu związanego z cyberbezpieczeństwem Bob odkrywa pokazany tutaj plik przechowywany w systemie w jego sieci. Które z poniższych narzędzi najprawdopodobniej wygenerowało ten plik?



A. Kain i Abel
B. Metasplot
C. ftk
D. John the Ripper

62. Podczas ćwiczenia bezpieczeństwa, który zespół angażuje się w ofensywne operacje mające na celu kompromis kontroli bezpieczeństwa?

A. Czarna drużyna
B. Drużyna czerwona
C. Niebieska drużyna
D. Drużyna białych

63. Peter projektuje program do skanowania podatności dla dużej sieci sklepów detalicznych, w których pracuje. Sklep obsługuje terminale POS w swoich sklepach detalicznych oraz witrynę e-commerce. Które z poniższych stwierdzeń dotyczących zgodności z PCI DSS czy to nie prawda?

A. Firma Petera musi wynająć zatwierdzonego dostawcę usług skanowania, aby wyeliminować luki w zabezpieczeniach skanów.
B. Program skanujący musi obejmować co najmniej cotygodniowe skanowanie sieci wewnętrznej.
C. Zarówno terminale w punktach sprzedaży, jak i strona internetowa wymagają skanowania podatności.
D. Peter może samodzielnie wykonać wymagane skanowanie podatności.

64. Rachel odkryła pokazaną tutaj lukę podczas skanowania serwera internetowego w swojej organizacji. Które z poniższych podejść najlepiej rozwiąże ten problem?



A. Łatanie serwera
B. Przeprowadzanie walidacji danych wejściowych
C. Dostosowywanie reguł zapory
D. Przepisanie kodu aplikacji

65. Zespół reagowania na incydenty Charlene walczy z szybko rozprzestrzeniającym się pakietem złośliwego oprogramowania typu zero-day, który po cichu instaluje za pośrednictwem Adobe Flash lukę w zabezpieczeniach, gdy załącznik wiadomości e-mail jest przeglądany przez pocztę internetową. Po zidentyfikowaniu skompromitowanego systemu stwierdza, że system jest sygnalizowany do grupy wpisów DNS typu fast flux. Która z poniższych technik najlepiej nadaje się do identyfikacji innych zainfekowanych hostów?

A. Zaktualizuj oprogramowanie antywirusowe i skanuj przy użyciu najnowszych definicji.
B. Monitoruj adresy IP związane z systemami dowodzenia i kontroli.
C. Rejestruj zapytania DNS, aby zidentyfikować zaatakowane systemy.
D. Sprawdź dzienniki poczty e-mail pod kątem potencjalnych odbiorców wiadomości.

66. Jaka funkcja nmapa jest włączona z flagą -O?

A. Wykrywanie systemu operacyjnego
B. Wykrywanie online/offline
C. Wykrywanie ataku Origami
D. Walidacja portu pochodzenia

67. Mika używa tokena zabezpieczającego, takiego jak pokazane tutaj urządzenie, oraz hasła, aby uwierzytelnić się na swoim koncie PayPal. Jakich dwóch rodzajów czynników używa?



A. Coś, co wie i coś, co ma
B. Coś, co wie i coś, czym jest
C. Coś, czym jest i coś, co ma
D. Mika używa tylko jednego rodzaju czynnika, ponieważ zna kod tokena i swoje hasło

68. Jose współpracuje ze swoim menedżerem nad wdrożeniem programu zarządzania podatnościami w swojej firmie. Jego przełożony mówi mu, że powinien skupić się na usuwaniu krytycznych i poważnych zagrożeń w systemach dostępnych z zewnątrz. Mówi również Jose, że organizacja nie chce zajmować się ryzykiem w systemach bez żadnego zewnętrznego narażenia lub ryzyka ocenionego na poziomie średnim lub niższym. Jose nie zgadza się z tym podejściem i uważa, że powinien również zająć się krytycznymi i poważnymi zagrożeniami w systemach wewnętrznych. Jak powinien poradzić sobie z sytuacją?

A. Jose powinien zdawać sobie sprawę z tego, że jego menedżer podjął decyzję opartą na apetycie na ryzyko organizacji, powinien ją zaakceptować i wykonać żądanie menedżera.
B. Jose powinien omówić swoją opinię ze swoim przełożonym i poprosić o zmianę kryteriów naprawczych.
C. Jose powinien poprosić przełożonego swojego menedżera o spotkanie w celu omówienia swoich obaw dotyczących podejścia menedżera.
D. Jose powinien przeprowadzić program naprawczy w sposób, który uważa za odpowiedni, ponieważ będzie uwzględniał wszystkie ryzyka zidentyfikowane przez kierownika, a także dodatkowe ryzyka.

69. Susan musi przetestować tysiące przesłanych plików binarnych. Musi upewnić się, że aplikacje nie zawierają złośliwego kodu. Jaka technika najlepiej odpowiada tej potrzebie?

A. Piaskownica
B. Implementacja honeypota
C. Dekompilacja i analiza kodu aplikacji
D. Testy Fagana

70. Kiedy przeprowadzamy ilościową ocenę ryzyka, jaki termin opisuje łączną kwotę szkód, które mogą wystąpić w wyniku jednego incydentu?

A. EF
B. SLE
C. AV
D. ALE

71. Chris wdraża mechanizmy kontroli kryptograficznej, aby chronić swoją organizację i chciałby użyć dogłębnych mechanizmów ochrony w celu ochrony poufnych informacji przechowywanych i przesyłanych przez serwer sieciowy. Która z poniższych kontroli byłaby najmniej odpowiednia do bezpośredniego zapewnienia tej ochrony?

A. TLS
B. VPN
C. DLP
D. FDE

72. Alex musi wdrożyć rozwiązanie, które ograniczy dostęp do jego sieci tylko do upoważnionych osób, zapewniając jednocześnie, że systemy łączące się z siecią spełniają wymagania jego organizacji dotyczące instalowania poprawek, ochrony antywirusowej i konfiguracji. Która z poniższych technologii najlepiej spełni te wymagania?

A. Biała lista
B. Bezpieczeństwo portu
C. NAC
D. EAP

73. Chris otrzymał zadanie usunięcia danych z systemów i urządzeń, które opuszczają jego organizację. Jedno z urządzeń to duże urządzenie wielofunkcyjne, które łączy w sobie funkcje kopiowania, faksowania i drukowania. Ma wbudowany dysk twardy do przechowywania zadań drukowania i był używany w biurze, które obsługuje bardzo poufne informacje biznesowe. Jeśli urządzenie wielofunkcyjne jest dzierżawione, jaka jest jego najlepsza opcja do obsługi napędu?

A. Zniszcz dysk.
B. Sformatuj dysk za pomocą wbudowanego programu formatującego urządzenia MFD.
C. Wyjmij dysk i sformatuj go za pomocą oddzielnego komputera.
D. Wyjmij napęd i oczyść go.

74. Rhonda ostatnio skonfigurowała nowe skanowanie podatności dla centrum danych swojej organizacji. Wykonanie skanów zgodnie z aktualnymi specyfikacjami wymaga, aby były one uruchamiane przez cały dzień, każdego dnia. Po pierwszym dniu skanowania Rhonda otrzymała skargi od administratorów przeciążenia sieci w godzinach szczytu. Jak Rhonda powinna poradzić sobie z tą sytuacją?

A. Dostosuj częstotliwość skanowania, aby uniknąć skanowania w godzinach szczytu.
B. Poproś administratorów sieci o zwiększenie dostępnej przepustowości w celu dostosowania do skanowania.
C. Poinformuj administratorów o znaczeniu skanowania i poproś ich o dostosowanie wymagań biznesowych.
D. Zignoruj żądanie, ponieważ nie spełnia ono celów bezpieczeństwa.

75. Po przywróceniu systemu z 30-dniowych kopii zapasowych po kompromitacji administratorzy w firmie Piper przywracają system do działania. Wkrótce potem Piper ponownie wykrywa podobne oznaki kompromisu. Dlaczego w wielu przypadkach przywracanie systemu z kopii zapasowej jest problematyczne?

A. Kopie zapasowe nie mogą być testowane pod kątem problemów z bezpieczeństwem.
B. Przywrócenie z kopii zapasowej może przywrócić pierwotną lukę.
C. Kopie zapasowe są wykonywane przy wyłączonej zaporze i po przywróceniu są niezabezpieczone.
D. Kopie zapasowe nie mogą być odpowiednio zabezpieczone.

76. Przechwycony ruch sieciowy z zaatakowanego systemu pokazuje, że dociera on do serii pięciu zdalnych adresów IP, które zmieniają się regularnie. Ponieważ uważa się, że system został naruszony, dostęp systemu do Internetu jest blokowany, a system jest odizolowany od sieci VLAN kwarantanny. Gdy śledczy sprawdzają system, nie znajdują żadnych dowodów na obecność złośliwego oprogramowania. Który z poniższych scenariuszy jest najbardziej prawdopodobny?

A. System nie został zainfekowany, a wykrycie było fałszywie pozytywne.
B. Zachowanie beaconingu było częścią błędu sieciowego.
C. Zachowanie sygnalizatora było spowodowane błędnie skonfigurowaną aplikacją.
D. Złośliwe oprogramowanie samo usunęło się po utracie połączenia sieciowego.

77. Która z poniższych norm ISO zawiera wytyczne dotyczące rozwoju i wdrażania systemów zarządzania bezpieczeństwem informacji?

A. ISO 27001
B. ISO 9000
C. ISO 11120
D. ISO 23270

78. Badanie kryminalistyczne Miki dotyczące zaatakowanego systemu Linux koncentruje się na ustaleniu, jaki poziom dostępu mogli osiągnąć napastnicy, korzystając z zaatakowanego konta www. Która z poniższych opcji nie jest przydatna, jeśli chce sprawdzić podniesione uprawnienia związane z użytkownikiem www?

A. /etc/passwd
B. /etc/shadow
C. /etc/sudoers
D. /etc/grupa

79. Tracy sprawdza poprawność zabezpieczeń aplikacji internetowych stosowanych przez jej organizację. Chce upewnić się, że organizacja jest przygotowana do prowadzenia dochodzeń kryminalistycznych dotyczących przyszłych incydentów bezpieczeństwa. Która z poniższych kategorii kontroli OWASP najprawdopodobniej przyczyni się do tego wysiłku?

A. Rejestrowanie implementacji
B. Sprawdź poprawność wszystkich danych wejściowych
C. Sparametryzuj zapytania
D. Obsługa błędów i wyjątków

80. Jamal używa skanowania agentowego do oceny bezpieczeństwa swojego środowiska. Za każdym razem, gdy Jamal uruchamia skanowanie w poszukiwaniu luk w określonym systemie, powoduje to zawieszenie systemu. Porozmawiał z administratorem systemu, który dostarczył mu raport pokazujący, że system jest na bieżąco z poprawkami i ma poprawnie skonfigurowany firewall, który umożliwia dostęp tylko z małego zestawu zaufanych serwerów wewnętrznych. Jamal i administrator serwera skonsultowali się z dostawcą i nie są w stanie określić przyczyny awarii i podejrzewać, że może to być efekt uboczny działania agenta. Jaki byłby najwłaściwszy sposób działania Jamala?

A. Zatwierdź wyjątek dla tego serwera.
B. Kontynuuj skanowanie serwera każdego dnia.
C. Wymagaj rozwiązania problemu w ciągu 14 dni, a następnie wznów skanowanie.
D. Wycofanie serwera.

81. Organizacja Brenta prowadzi aplikację internetową, która niedawno padła ofiarą ataku typu man-in-the-middle. Która z poniższych kontroli stanowi najlepszą ochronę przed tego typu atakiem?

A. HTTPS
B. Walidacja danych wejściowych
C. Łatanie
D. Zapora sieciowa

82. Podczas skanowania portu nmap przy użyciu flagi -sV w celu określenia wersji usług, Ling odkrywa, że wersja SSH w skanowanym przez nią systemie Linux jest nieaktualna. Kiedy pyta administratorów systemu, informują ją, że system jest w pełni załatany i że wersja SSH jest aktualna. Jaki problem najprawdopodobniej ma Ling?

A. Administratorzy systemu są niepoprawni.
B. Identyfikacja wersji nmap używa banera do określenia wersji usługi.
C. nmap nie dostarcza informacji o wersji usługi, więc Ling nie może w ten sposób określić poziomów wersji.
D. Systemy nie zostały ponownie uruchomione od czasu, gdy zostały załatane.

83. Tyler skanuje serwer pocztowy swojej organizacji w poszukiwaniu luk w zabezpieczeniach i znajduje pokazany tutaj wynik. Jaki powinien być jego następny krok?



A. Natychmiast wyłącz serwer.
B. Rozpocznij proces zarządzania zmianą.
C. Nałożyć plaster.
D. Ponownie uruchom skanowanie.

84. Carla przeprowadza test penetracyjny aplikacji sieciowej i chciałaby skorzystać z pakietu oprogramowania, który pozwala jej modyfikować żądania wysyłane z jej systemu na zdalny serwer sieciowy. Które z poniższych narzędzi nie zaspokoiłoby potrzeb Carli?

A. Nessusa
B. Odbicie
C. ZAP
D. Dane sabotażowe

85. Alex dowiaduje się, że ostatnia łatka Microsoftu obejmuje exploita dnia zerowego w Microsoft Office, który występuje z powodu nieprawidłowej obsługi pamięci. Błąd jest opisywany jako potencjalnie powodujący uszkodzenie pamięci i wykonanie dowolnego kodu w kontekście bieżącego poziomu uprawnień. Wykorzystywanie luk może nastąpić, jeśli ofiary otworzą specjalnie spreparowany dokument pakietu Office w podatnej na ataki wersji pakietu Microsoft Office. Jeśli Alex dowie się, że około 15 stacji roboczych w jego organizacji zostało zaatakowanych przez to złośliwe oprogramowanie, w tym jedna stacja robocza należąca do administratora domeny, w jaką fazę procesu reagowania na incydent powinien przejść dalej?

A. Przygotowanie
B. Wykrywanie i analiza
C. Ograniczanie, eliminacja i odzyskiwanie
D. Aktywność po zdarzeniu

Odpowiedzi

1. C. Obecność tej luki wskazuje na błędną konfigurację na docelowym serwerze, ale nie jest to najważniejszy problem, jaki powinien mieć Ty. Raczej powinien być zaniepokojony, że polityka bezpieczeństwa domeny nie zapobiega takiej konfiguracji i powinien wiedzieć, że może to dotyczyć wielu innych systemów w sieci. Ta podatność nie jest wskaźnikiem aktywnego kompromisu i nie wzrasta do poziomu błędu krytycznego.

2. B. SNMP v1 do v2c wszystkie przesyłają dane w sposób jawny. Zamiast tego Chris powinien przenieść swoją infrastrukturę monitorowania SNMP tak, aby korzystała z SNMP v3. Dodanie wymagań dotyczących złożoności pomaga zapobiegać atakom siłowym na ciągi społeczności, podczas gdy TLS chroni przed przechwytywaniem danych. Korzystanie z różnych ciągów społecznościowych w oparciu o poziomy bezpieczeństwa pomaga zapewnić, że pojedynczy złamany ciąg nie będzie miał wpływu na wszystkie urządzenia w sieci.

3. C. Ta luka ma niski poziom ważności, ale może się znacznie zwiększyć, jeśli interfejs zarządzania jest narażony na sieci zewnętrzne. Gdyby tak było, możliwe, że osoba atakująca w sieci zdalnej byłaby w stanie podsłuchiwać połączenia administracyjne i ukraść dane uwierzytelniające użytkownika. Nieaktualne definicje antywirusowe i brakujące poprawki zabezpieczeń również mogą być poważnymi lukami, ale nie zwiększają ważności tej konkretnej luki. Brak szyfrowania jest już znany ze względu na charakter tej luki, więc potwierdzenie tego faktu nie zmieni oceny dotkliwości.

4. B. Oba porty 22 i 23 powinny być przedmiotem zainteresowania Rowan, ponieważ wskazują, że przełącznik sieciowy akceptuje połączenia administracyjne z sieci ogólnego użytku. Zamiast tego przełącznik powinien akceptować tylko połączenia administracyjne z sieci VLAN do zarządzania siecią. Z tych dwóch wyników największy problem powinien budzić port 23, ponieważ wskazuje on, że przełącznik zezwala na nieszyfrowane połączenia telnet, które mogą być podsłuchiwane. Wyniki z portów 80 i 8192 do 8194 są mniej niepokojące, ponieważ są filtrowane przez zaporę ogniową.

5. B. Wszystkie opisane tutaj scenariusze mogą skutkować niepowodzeniem skanowania luk w zabezpieczeniach i są wiarygodne w tej sieci. Jednak fakt, że dzienniki Apache nie pokazują żadnych odrzuconych żądań, wskazuje, że problem nie dotyczy pliku .htaccess na serwerze. Gdyby tak było, Evan zobaczyłby tego dowody w dziennikach Apache.

6. C. Pamięć podręczna podkładek jest używana przez system Windows do śledzenia skryptów i programów, które wymagają specjalistycznych ustawień zgodności. Jest on przechowywany w rejestrze podczas zamykania systemu, co oznacza, że dokładne czyszczenie rejestru usunie z niego odniesienia do programów. Główna tabela plików (MFT), kopie woluminów w tle i pliki pobierania wstępnego mogą zawierać dowody usuniętych aplikacji.

7. D. Testowanie Fuzz polega na wysyłaniu do aplikacji nieważnych lub losowych danych w celu przetestowania jej zdolności do obsługi nieoczekiwanych danych. Wstrzykiwanie błędów bezpośrednio wstawia błędy do ścieżek obsługi błędów, w szczególności mechanizmów obsługi błędów, które są rzadko używane lub w inny sposób mogą zostać pominięte podczas normalnego testowania. Testowanie mutacji jest związane z fuzzingiem i wstrzykiwaniem błędów, ale zamiast zmieniać dane wejściowe do programu lub wprowadzać do niego błędy, testowanie mutacji wprowadza niewielkie modyfikacje w samym programie. Testy warunków skrajnych to test wydajności, który zapewnia, że aplikacje i obsługujące je systemy mogą wytrzymać pełne obciążenie produkcyjne.

8. C. Chociaż porty TCP 21, 23, 80 i 443 są wszystkimi typowymi portami, 515 i 9100 są powszechnie skojarzone z drukarkami.

9. B. Polecenie netstat służy do generowania listy otwartych połączeń sieciowych w systemie, takiej jak pokazana tutaj. traceroute służy do śledzenia ścieżki sieciowej między dwoma hostami. ifconfig służy do wyświetlania informacji o konfiguracji sieci w systemach Linux i Mac. Polecenie sockets nie istnieje.

10. C. NIST identyfikuje cztery główne kategorie wskaźników zdarzeń związanych z bezpieczeństwem: alerty, dzienniki, publicznie dostępne informacje oraz osoby zarówno wewnątrz, jak i na zewnątrz organizacji. Twórcy exploitów mogą dostarczać pewne informacje, ale nie są głównym źródłem informacji o zdarzeniach związanych z bezpieczeństwem.

11. D. Host, na którym nie są uruchomione żadne usługi lub który ma włączoną zaporę sieciową uniemożliwiającą odpowiedzi, może być niewidoczny dla nmapa. Charles nie może określić, czy w tym segmencie sieci znajdują się hosty i może chcieć użyć innych środków, takich jak zapytania ARP, logi DHCP, i inne kontrole warstwy sieci w celu ustalenia, czy w sieci są systemy.

12. D. Ocena wpływu na działalność (BIA) jest wewnętrznym dokumentem używanym do identyfikacji i oceny ryzyka. Jest mało prawdopodobne, aby zawierał wymagania klienta. Umowy dotyczące poziomu usług (SLA), umowy z partnerami biznesowymi (BPA) i protokoły ustaleń (MOU) z większym prawdopodobieństwem zawierają te informacje.

13. C. Serwery WWW zwykle działają na portach 80 (dla HTTP) i 443 (dla HTTPS). Serwery baz danych zwykle działają na portach 1433 (dla Microsoft SQL Server), 1521 (dla Oracle) lub 3306 (dla MySQL). Usługi protokołu Remote Desktop Protocol zwykle działają na porcie 3389. Simple Mail Transfer Protocol (SMTP) działa na porcie 25. Nie ma dowodów na to, że na tym serwerze działa protokół SSH, który korzysta z portu 22.

14. C. Możesz nie znać Skalpela lub innych programów, które napotkasz na egzaminie. W wielu przypadkach sam problem dostarczy wskazówek, które pomogą ci zawęzić odpowiedź. Tutaj zwróć szczególną uwagę na flagi wiersza poleceń i zwróć uwagę na flagę -o, powszechny sposób oznaczania pliku wyjściowego. W praktyce Scalpel automatycznie tworzy katalogi dla każdego z znalezionych typów plików. Selah po prostu musi odwiedzić te katalogi, aby przejrzeć odzyskane pliki. Nie musi używać innego programu. Nazwy plików i struktury katalogów mogą nie być możliwe do odzyskania podczas rzeźbienia plików.

15. C. Zaufane odlewnie są częścią programu Departamentu Obrony (DoD), który zapewnia, że komponenty sprzętowe są godne zaufania i nie zostały naruszone przez złośliwych cyberprzestępców. Trusted Platform Module (TPM) to sprzętowy moduł bezpieczeństwa, producenci OEM są producentami oryginalnego sprzętu, ale niekoniecznie muszą uzupełnić zaufane źródła sprzętu, a dostawcy szarej strefy sprzedają sprzęt poza ich normalnymi lub umownie dozwolonymi obszarami.

16. D. Wyczerpanie zasobów jest rodzajem awarii strukturalnej określonej przez kategorie zagrożeń NIST. Kuszące może być zaklasyfikowanie tego jako przypadkowego, ponieważ Adam nie zauważył alarmów; jednak przypadkowe zagrożenia są spowodowane w szczególności przez osoby wykonujące rutynową pracę, które poprzez swoje działania podważają bezpieczeństwo. W tym przypadku ważniejszą kategorią jest strukturalny charakter problemu.

17. B. Chociaż wszystkie te zasady mogą zawierać informacje o bezpieczeństwie danych, Pranab jest szczególnie zainteresowany grupowaniem informacji w kategorie o podobnej wrażliwości. To jest proces klasyfikacji danych. Polityka przechowywania danych zawierałaby informacje o cyklu życia danych. Zasady szyfrowania opisałyby, jakie dane muszą być zaszyfrowane i odpowiednie techniki szyfrowania. Polityka usuwania danych zawierałaby informacje o prawidłowe niszczenie danych pod koniec ich cyklu życia.

18. A. Odpowiednikiem polecenia ifconfig w systemie Windows jest ipconfig . netstat wyświetla informacje o otwartych połączeniach sieciowych, a nie o konfiguracji interfejsu sieciowego. Polecenia ifconfig i netcfg nie istnieją w systemie Windows.

19. B. Język PHP jest używany do tworzenia dynamicznych aplikacji internetowych. Obecność PHP na tym serwerze wskazuje, że jest to serwer WWW. Może to być również uruchomione usługi zarządzania bazą danych, czasem lub siecią, ale wyniki skanowania nie dostarczają na to żadnych dowodów.

20. C. Common Vulnerability Scoring System (CVSS) zapewnia ustandaryzowaną metodę oceny ważności luk w zabezpieczeniach.

21. B. Cechą charakterystyczną polowania na zagrożenia jest to, że wyszukuje się kompromisów, które już miały miejsce. Dlatego też poszukuje się wskaźników kompromitacji. Podatności, niezałatane systemy i błędne konfiguracje to rzeczy, które powinny być identyfikowane w ramach działań zarządzania podatnościami, a nie polowania na zagrożenia.

22. A. Skanowanie podatności sieci wewnętrznej zapewni spojrzenie z perspektywy osoby postronnej na podatności serwera. Może dostarczyć użytecznych informacji, ale nie spełni celu Taylora, jakim jest określenie tego, co zobaczyłby zewnętrzny napastnik.

23. A. FTP wysyła nazwę użytkownika w osobnym pakiecie. Chris może ustalić, że było to połączenie FTP, że hasło to gnome123 , a serwer FTP to 137.30.120.40.

24. B. Spike pokazany tuż przed lipcem wydaje się odbiegać od normy dla tej sieci, ponieważ jest prawie czterokrotnie wyższy niż normalnie. Cynthia może chcieć sprawdzić, co wystąpiło w tym przedziale czasowym, aby zweryfikować, czy był to normalny ruch dla jej organizacji.

25. A. Procedury tworzenia dowodów opisują, w jaki sposób organizacja będzie reagować na wezwania do sądu, nakazy sądowe i inne uzasadnione żądania tworzenia dowodów cyfrowych. Procedury monitorowania opisują, w jaki sposób organizacja będzie wykonywała czynności związane z monitorowaniem bezpieczeństwa, w tym ewentualne wykorzystanie technologii ciągłego monitorowania. Procedury klasyfikacji danych opisują procesy, które należy stosować podczas wdrażania polityki klasyfikacji danych organizacji. Procedury łatania opisują częstotliwość i proces stosowania łatek do aplikacji i systemów pod opieką organizacji.

26. D. W tym systemie Windows prawdopodobnie działa niezaszyfrowany (plain-text) serwer WWW, a także obie usługi Microsoft RPC i Microsoft DS na TCP 135 i 335, odpowiednio. SSH jest zwykle kojarzone z portem 22, natomiast poczta elektroniczna przez SMTP jest na porcie TCP 25.

27. B. Biblioteka infrastruktury informatycznej (ITIL) zawiera wytyczne dotyczące najlepszych praktyk w zakresie wdrażania zarządzania usługami informatycznymi, w tym wsparciem help desk. ISO zapewnia wysokopoziomowe normy dla szerokiego zakresu procesów biznesowych i produkcyjnych. COBIT zapewnia cele kontrolne dla zarządzania IT. PCI DSS zapewnia standardy bezpieczeństwa w zakresie obsługi informacji o kartach kredytowych.

28. D. Dodawanie nowych sygnatur (przed incydentem) jest częścią fazy przygotowania, ponieważ przygotowuje organizację do wykrywania ataków.

29. D. Aby uzyskać najlepsze wyniki, Gloria powinna połączyć zarówno wewnętrzne, jak i zewnętrzne skanowanie podatności ecause ten serwer ma zarówno publiczne, jak i prywatne adresy IP. Skanowanie zewnętrzne zapewnia "widok z oczu atakującego" serwera, podczas gdy skanowanie wewnętrzne może ujawnić luki które mogłyby być wykorzystane tylko przez osobę wtajemniczoną lub atakującego, który uzyskał dostęp do innego systemu w sieci.

30. B. NIST SP-800-88 zaleca czyszczenie nośników, a następnie walidację i udokumentowanie, że zostały one wyczyszczone. Czyszczenie wykorzystuje techniki logiczne do sanityzacji danych w adresowalnych dla użytkownika miejscach składowania i chroni przed nieinwazyjnymi technikami odzyskiwania danych. Ten poziom bezpieczeństwa jest odpowiedni dla umiarkowanie wrażliwych danych zawartych na nośnikach, które pozostaną w organizacji.

31. C. NIST zaleca stosowanie NTP do synchronizacji zegarów w całej infrastrukturze organizacyjnej. infrastruktury, co pozwala na łatwiejszą analizę logów, alarmów i innych danych podczas reagowania na incydenty. Ręczne ustawianie zegarów powoduje przekłamania czasowe, nieprawidłowe zegary i inne problemy związane z czasem.

32. A. TCP 135, 139 i 445 to powszechnie stosowane porty systemu Windows. Dodanie 3389, portu port zdalnego pulpitu dla systemu Windows, sprawia, że najprawdopodobniej jest to serwer Windows.

33. D. Reguła Snort Adama szuka określonego zachowania, w tym przypadku ruchu sieciowego do skryptu pobierania plików z witryny example.com. Reguły szukające anomalii zazwyczaj wymagają zrozumienia pojęcia "normalny", podczas gdy reguły oparte na trendach muszą śledzić działania w czasie, a analiza oparta na dostępności monitoruje czas pracy a analiza oparta na dostępności monitoruje czas pracy.

34. C. Dostawcy tożsamości (IDP) dostarczają tożsamości, składają oświadczenia o tych tożsamościach stronom ufającym i udostępniają stronom ufającym informacje o posiadaczach tożsamości. Strony ufające (RP), znane również jako dostawcy usług (SP), świadczą usługi członkom federacji i powinny bezpiecznie obsługiwać dane zarówno od użytkowników, jak i dostawców tożsamości. Strona konsument jest końcowym użytkownikiem usług sfederowanych.

35. B. Chociaż wszystkie wymienione techniki mogą być wykorzystane do kradzieży danych uwierzytelniających, phishing jest zdecydowanie najczęstszym sposobem, w jaki konta użytkowników są zagrożone w większości organizacji.

36. C. W większości organizacji, pierwszym działaniem Emily powinno być sprawdzenie, czy system nie należy do organizacji poprzez sprawdzenie go w spisie zasobów organizacji. Jeśli system jest skompromitowanym systemem w niewłaściwej sieci, ona lub jej zespół będą musieli zająć się nim. W większości jurysdykcji nie ma wymogu powiadamiania stron trzecich lub organów ścigania o skanach wychodzących. o skanowaniu wychodzącym, a ponieważ gościnna sieć bezprzewodowa jest wyraźnie zaznaczona jako nieuwierzytelniona, nie będzie logów uwierzytelniania do sprawdzenia.

37. D. Polecenie strings drukuje ciągi znaków w pliku i nie pokazuje nie pokazuje informacji o uprawnieniach systemu Linux. Zawartość pliku sudoers, wyjście polecenia grup i polecenie stat mogą dostarczyć użytecznych informacji o uprawnieniach użytkowników lub uprawnieniach do plików.

38. C. Scenariusz opisuje układ podwójnej kontroli (lub kontroli dwuosobowej), w którym dwie osoby muszą współpracować, aby wykonać jakieś działanie. Różni się to od rozdziału obowiązków, gdzie kontrola dostępu jest skonfigurowana tak, aby uniemożliwić pojedynczej osobie wykonanie dwóch różnych działań, które w połączeniu stanowią problem bezpieczeństwa. Nic nie wskazuje na to, że firma prowadzi monitoring kont uprzywilejowanych lub egzekwuje najmniejszy przywilej, o którym mowa w tym scenariuszu.

39. A. Procedury kontroli kompensacyjnej PCI DSS nie wymagają, aby kontrole kompensacyjne miały jasno zdefiniowany mechanizm audytu, chociaż jest to dobra praktyka bezpieczeństwa. Na stronie wymagają, aby kontrola spełniała intencje i rygor oryginalnego wymogu, zapewniała zapewnić podobny poziom obrony jak pierwotne wymaganie oraz być ponad innymi wymaganiami. wymagania.

40. B. Ten błąd wskazuje, że certyfikat cyfrowy przedstawiony przez serwer nie jest ważny. Lou powinien wymienić certyfikat na certyfikat z zaufanego CA, aby naprawić problem.

41. D. Zasady przechowywania danych określają odpowiedni cykl życia dla różnych rodzajów informacji. W tym przykładzie zasady przechowywania danych prawdopodobnie poinstruowałyby organizację, aby pozbyła się niepotrzebnych rekordów, ograniczając liczbę, które zostały naruszone. Polityka własności danych opisuje, kto ponosi odpowiedzialność za dane i jest mniej prawdopodobne, że będzie miał bezpośredni wpływ na ten incydent. Akceptowalna polityka użytkowania może ograniczyć niewłaściwe wykorzystanie danych przez osoby z wewnątrz firmy, ale nic nie wskazuje na to, że był to atak osoby z wewnątrz. Zasady zarządzania kontem mogą być przydatne w usuwaniu nieużywanych kont i zarządzaniu uprawnieniami, ale nic nie wskazuje na to, że te problemy przyczyniły się do wpływu tego incydentu.

42. A. Dane dotyczące incydentów powinny być przechowywane w razie potrzeby niezależnie od okresu eksploatacji nośnika. Przetrzymywanie jest często napędzane prawdopodobieństwem postępowania cywilnego lub karnego, a także standardami organizacyjnymi.

43. D. Awaria to problem z dostępnością, ujawnienie danych to kwestia poufności, a integralność wiadomości e-mail została naruszona, gdy została zmieniona.

44. B. Najlepszym sposobem rozwiązania tego problemu byłoby uaktualnienie do OpenSSH 6.4, jak podano w sekcji rozwiązania raportu. Wyłączenie używania AES-GCM jest akceptowalnym obejściem, ale uaktualnienie do nowszej wersji OpenSSH prawdopodobnie rozwiąże dodatkowe problemy z zabezpieczeniami, które nie zostały opisane w tym konkretnym raporcie o luce w zabezpieczeniach. Nic nie wskazuje na to, że uaktualnienie systemu operacyjnego naprawi problem. Raport o luce informuje, że z tą luką nie jest związane żadne złośliwe oprogramowanie, więc aktualizacje sygnatur antywirusowych go nie naprawią.

45. A. Reguły zapory nadal umożliwiają dostęp do zaatakowanych systemów, jednocześnie uniemożliwiając im atakowanie innych systemów. To jest przykład segmentacji. Segmentacja za pomocą sieci VLAN, reguł zapory lub innych metod logicznych może pomóc w ochronie innych systemów, umożliwiając jednocześnie ciągłą analizę na żywo.

46. C. Jennifer może wykorzystać te informacje do zbudowania swojego punktu odniesienia dla czasów odpowiedzi serwera AWS. Czas odpowiedzi 200 ms dla zdalnie hostowanego serwera mieści się w rozsądnym zakresie. Na tym wykresie nie ma nic, co wskazuje na problem.

47. A. Skalpel to narzędzie do rzeźbienia przeznaczone do identyfikowania plików na partycji lub woluminie, w których brakuje indeksu lub tabeli alokacji plików. DBAN to narzędzie do wymazywania, parted to edytor partycji, a dd służy do powielania dysków. Podczas egzaminu możesz napotkać pytania dotyczące programów, których nie znasz. Tutaj możesz wyeliminować narzędzia, które znasz, takie jak DBAN, parted lub dd i podjąć rozsądne zgadywanie na podstawie tej wiedzy.

48. Najlepszą opcją A. Pranaba jest poszukanie pliku hibernacji lub zrzutu pamięci, który może zawierać dowody obecności złośliwego oprogramowania rezydującego w pamięci. Po zamknięciu systemu rezydujący w pamięci pakiet złośliwego oprogramowania zniknie, dopóki system nie zostanie ponownie zainfekowany, przez co przeglądanie rejestru, plików INDX i kopii woluminów w tle jest mało prawdopodobne. Ponieważ system został zamknięty, nie uzyska użytecznych informacji śledczych dotyczących pamięci z narzędzia takiego jak Ramy Zmienności, chyba że maszyna zostanie ponownie zainfekowana.

49. A. Znacznik < SCRIPT > służy do oznaczenia początku elementu kodu, a jego użycie wskazuje na atak typu cross-site scripting. < XSS > nie jest prawidłowym znacznikiem HTML. Znaczniki < B > (pogrubiony tekst) i < EM > (kursywa) są często spotykane w normalnych danych wejściowych HTML.

50. C. Najskuteczniejszą wymienioną metodą jest system zapobiegania włamaniom (lub inne urządzenie lub oprogramowanie o podobnych możliwościach) blokujący skanowanie portów na podstawie zachowania. Brak rejestracji systemów w DNS nie zatrzyma skanowania opartego na adresach IP, a skanowanie portów będzie nadal skuteczne na portach, przez które przepuszczają zapory. Bezpieczeństwo portów to technologia oparta na przełącznikach sieciowych, zaprojektowana w celu ograniczenia, które systemy mogą korzystać z fizycznego portu sieciowego.

51. Kategorie wpływu funkcjonalnego B. NIST wahają się od braku do wysokiego, ale to zdarzenie pasuje do opisu zdarzenia średniego; organizacja utraciła możliwość świadczenia krytycznej usługi podzbiorowi użytkowników systemu. Gdyby cała sieć uległa awarii, Pranab oceniłby to zdarzenie jako zdarzenie o dużym wpływie, podczas gdy gdyby pojedynczy przełącznik lub sieć uległy spowolnieniu, zaklasyfikowałby je jako niskie.

52. B. Odcisk palca systemu operacyjnego opiera się na różnicach między tym, jak każdy system operacyjny (a czasami wersje systemu operacyjnego) obsługuje i ustawia różne pola TCP/IP, w tym początkowy rozmiar pakietu, początkowy czas TTL, rozmiar okna, maksymalny rozmiar segmentu i zakaz t fragment, sackOK i flagi nop.

53. C. Chociaż każde z tych narzędzi może zapewnić pewne możliwości automatyzacji zabezpieczeń, celem platformy orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR) jest wykonanie tego typu automatyzacji w innych rozwiązaniach.

54. D. Kolejność zmienności wspólnych miejsc przechowywania jest następująca:

1. Pamięć podręczna procesora, rejestry, uruchomione procesy i pamięć RAM.
2. Ruch sieciowy.
3. Napędy dyskowe (zarówno wirujące, jak i magnetyczne) .
4. Kopie zapasowe, wydruki i nośniki optyczne (w tym DVD-ROM i CD) .

W związku z tym najmniej ulotnym miejscem na liście jest płyta DVD-ROM

55. A. Ta luka oznacza brak poprawki do systemu operacyjnego Windows. W hipernadzorcy typu bare metal jedynym miejscem, w którym system Windows może działać, jest system operacyjny gościa. Dlatego jest to miejsce, w którym Henryk musi nałożyć łatkę. Wyniki pokazują również użycie nieobsługiwanych systemów operacyjnych gościa, co również stanowi problem z systemem operacyjnym gościa.

56. C. Cechą charakterystyczną programu zarządzania ryzykiem poziomu 3 jest to, że istnieje podejście do zarządzania ryzykiem cyberbezpieczeństwa obejmujące całą organizację. W programie poziomu 4 istnieje podejście do zarządzania ryzykiem cyberbezpieczeństwa obejmujące całą organizację, które wykorzystuje zasady, procesy i procedury oparte na ryzyku w celu reagowania na potencjalne zdarzenia związane z cyberbezpieczeństwem.

57. D. Powtarzające się pakiety SYN są prawdopodobnie powodzią SYN, która próbuje wykorzystać zasoby w systemie docelowym. Nieudane uzgadnianie trójetapowe może początkowo wyglądać podobnie, ale zazwyczaj nie pokazuje takiej liczby prób. Awaria łącza nie pokazałaby ruchu z systemu zdalnego, a atak DDoS obejmowałby więcej niż jeden system wysyłający ruch.

58. D. Bazy danych Oracle domyślnie korzystają z portu TCP 1521. Ruch z systemu "zewnętrznego" jest odrzucany, gdy próbuje uzyskać dostęp do systemu wewnętrznego przez ten port.

59. D. Polecenie ATA Secure Erase czyści cały dysk SSD, w tym partycje obszaru chronionego przez hosta i ponownie mapowane bloki zapasowe. Rozmagnesowanie jest używane w przypadku nośników magnetycznych, takich jak taśmy, i nie jest skuteczne w przypadku dysków SSD, natomiast zapis zerowy lub użycie generatora liczb pseudolosowych do wypełnienia dysku nie spowoduje nadpisania danych w obszarze chronionym przez hosta lub zapasowych blokach, które są używane do określania poziomu zużycia mostu SSD.

60. D. Klasyfikacja danych to zestaw etykiet stosowanych do informacji na podstawie ich stopnia wrażliwości i/lub krytyczności. Byłby to najwłaściwszy wybór w tym scenariuszu. Wymagania dotyczące przechowywania danych dyktują czas, przez jaki organizacja powinna przechowywać kopie zapisów. Remanencja danych to problem, w którym informacje, które uważa się za usunięte, mogą nadal znajdować się w systemach. Prywatność danych może przyczyniać się do klasyfikacji danych, ale nie obejmuje całego obszaru wrażliwości i krytyczności danych w taki sam sposób, jak klasyfikacja danych. Na przykład system może przetwarzać zastrzeżone informacje biznesowe, które byłyby bardzo tajne i wymagałyby częstego skanowania podatności. O ile ten system nie przetwarza również informacji umożliwiających identyfikację osoby, nie uruchomiłby skanowania w systemie opartym wyłącznie na prywatności danych.

61. D. Wynik, który widzi Bob, pochodzi z narzędzia do łamania haseł. Może to stwierdzić, czytając nagłówek i zdając sobie sprawę, że plik zawiera niezaszyfrowane hasła. Spośród wymienionych narzędzi tylko Cain & Abel i John the Ripper to narzędzia do łamania haseł. Metasploit to platforma eksploatacyjna, podczas gdy ftk to zestaw narzędzi kryminalistycznych. Cain & Abel to narzędzie oparte na systemie Windows i wydaje się, że jest to dane wyjściowe z wiersza poleceń. Dlatego dane wyjściowe pochodzą z John the Ripper, narzędzia do łamania haseł wiersza poleceń dostępnego dla wszystkich głównych platform.

62. B. Podczas ćwiczenia bezpieczeństwa drużyna czerwona jest odpowiedzialna za operacje ofensywne, podczas gdy drużyna niebieska zajmuje się operacjami defensywnymi. Drużyna białych służy jako sędziowie. Nie ma czarnej drużyny.

63. B. PCI DSS wymaga skanowania co najmniej raz na kwartał i po wszelkich istotnych zmianach. Cotygodniowe skanowanie jest najlepszą praktyką, ale nie jest wymagane przez normę. Peter musi zatrudnić zatwierdzonego dostawcę usług skanujących, aby wykonał wymagane kwartalne skany zewnętrzne, ale może sam przeprowadzić skany wewnętrzne. Wszystkie systemy w środowisku danych posiadacza karty, w tym zarówno strona internetowa, jak i terminale w punktach sprzedaży, muszą zostać zeskanowane.

64. A. W opisie luki wspomniano, że jest to luka w zabezpieczeniach XSS (cross-site scripting). Zwykle luki XSS są rozwiązywane poprzez wykonanie odpowiedniej walidacji danych wejściowych w kodzie aplikacji internetowej. Jednak w tym konkretnym przypadku luka XSS występuje w samym serwerze Microsoft IIS, a nie w aplikacji internetowej. Dlatego wymaga poprawki od Microsoftu, aby to poprawić.

65. C. Sieci Fast-flux DNS używają wielu adresów IP za jedną (lub kilkoma) w pełni kwalifikowanymi nazwami domen. Rejestrowanie zapytań serwera DNS i przeglądanie ich pod kątem hostów, które wyszukują wpisy DNS powiązane z siecią typu Command and Control, może szybko zidentyfikować zaatakowane systemy. Niestety, oprogramowanie antywirusowe zazwyczaj nie jest aktualizowane wystarczająco szybko, aby natychmiast wykryć nowe złośliwe oprogramowanie. Ponieważ system poleceń i kontroli Fast-flux DNS opiera się na częstych zmianach hostów C&C, adresy IP zmieniają się szybko, co czyni je niewiarygodną metodą wykrywania. Wreszcie sprawdzanie wiadomości e-mail w celu sprawdzenia, kto otrzymał wiadomość zawierającą złośliwe oprogramowanie, jest przydatne, ale nie wskaże, czy złośliwe oprogramowanie skutecznie zainfekowało system bez dodatkowych danych.

66. A. Flaga -O włącza wykrywanie systemu operacyjnego dla nmapa.

67. A. Mika wykorzystuje zarówno czynnik wiedzy w postaci swojego hasła, jak i coś, co ma w postaci tokena. Posiadanie tokena to "coś, co ma".

68. B. Najwłaściwszym krokiem, jaki Jose powinien podjąć, jest przedyskutowanie swojej opinii ze swoim przełożonym i sprawdzenie, czy przełożony jest skłonny zmienić wytyczne. Jako specjalista ds. bezpieczeństwa etycznym obowiązkiem Jose jest dzielenie się swoją opinią ze swoim przełożonym. Nie byłoby właściwe, gdyby Jose działał wbrew życzeniom swojego menedżera. Jose nie powinien również prosić o rozmowę z przełożonym swojego menedżera, dopóki nie będzie miał możliwości dokładnego omówienia sprawy ze swoim menedżerem.

69. Najlepszą opcją A. Susan jest użycie zautomatyzowanej testowej piaskownicy, która analizuje aplikacje pod kątem złośliwego lub wątpliwego zachowania. Chociaż może to nie wykryć każdego wystąpienia złośliwego oprogramowania, jedyną realną opcją jest dekompilacja aplikacji i analiza kodu, co byłoby niezwykle czasochłonne. Ponieważ nie ma kodu źródłowego, inspekcja Fagana nie zadziała (i zajęłaby też dużo czasu), a uruchomienie honeypota służy do zrozumienia technik hakerskich, a nie do bezpośredniej analizy kodu aplikacji.

70. B. Pojedyncza oczekiwana strata (SLE) to ilość szkód oczekiwanych od pojedynczego wystąpienia incydentu. Oczekiwana roczna strata (ALE) to kwota straty oczekiwanej z tytułu ryzyka w danym roku. Współczynnik narażenia (EF) to procent zasobu, który ma ulec uszkodzeniu podczas wypadku, a wartość zasobu (AV) to całkowita wartość danego zasobu.

71. C. System zapobiegania utracie danych (DLP) może przechwytywać i blokować niezaszyfrowane poufne informacje opuszczające serwer sieciowy, ale nie stosuje kryptografii do komunikacji sieciowej. Transport Layer Security (TLS) to najbardziej bezpośrednie podejście do spełnienia wymagań Chrisa, ponieważ szyfruje całą komunikację do iz serwera WWW. Wirtualne sieci prywatne (VPN) mogą być również używane do szyfrowania ruchu sieciowego, dodając warstwę bezpieczeństwa. Szyfrowanie całego dysku (FDE) może również służyć do ochrony informacji przechowywanych na serwerze w przypadku kradzieży dysku.

72. C. Kontrola dostępu do sieci (NAC) może łączyć uwierzytelnianie użytkownika lub systemu z konfiguracją opartą na kliencie lub bez klienta i możliwościami profilowania, aby zapewnić, że systemy są odpowiednio załatane i skonfigurowane oraz znajdują się w pożądanym stanie bezpieczeństwa. Biała lista służy do umożliwienia pracy określonych systemów lub aplikacji, bezpieczeństwo portów to możliwość filtrowania adresów MAC, a EAP to protokół uwierzytelniania.

73. D. Najlepszą prezentowaną opcją jest wyjęcie przez Chrisa dysku i wyczyszczenie z niego danych. Zniszczenie dysku, o ile nie zostało określone jako dopuszczalne w leasingu, może spowodować problemy z umową. Ponowne sformatowanie dysku zawierającego bardzo wrażliwe dane nie spowoduje usunięcia danych, więc żadna opcja ponownego formatowania nie jest tutaj przydatna. W najlepszym przypadku Chris będzie pracował nad tym, aby przyszłe urządzenia miały wbudowane szyfrowanie, które umożliwia łatwy tryb bezpiecznego czyszczenia lub dedykowany tryb bezpiecznego czyszczenia, lub będzie pracował nad tym, aby następna dzierżawa zawierała klauzulę niszczenia dysku.

. 74. A. Najbardziej rozsądną reakcją firmy Rhonda jest dostosowanie parametrów skanowania w celu uniknięcia konfliktów ze szczytowymi okresami działalności. Mogłaby poprosić o dodatkową przepustowość sieci, ale prawdopodobnie jest to niepotrzebny wydatek. Dostosowywanie wymagań biznesowych nie jest rozsądną reakcją, ponieważ cele bezpieczeństwa powinny być zaprojektowane tak, aby zwiększać bezpieczeństwo w sposób, który pozwala firmie działać wydajnie, a nie odwrotnie. Zignorowanie prośby byłoby bardzo szkodliwe dla relacji biznesowych.

75. B. Podczas przywracania z kopii zapasowej po złamaniu zabezpieczeń ważne jest, aby upewnić się, że luka, która wpuściła atakującego, została załatana lub naprawiona w inny sposób. W wielu środowiskach kopie zapasowe można przywrócić do chronionej lokalizacji, gdzie można je instalować, sprawdzać i testować przed przywróceniem ich do działania.

76. D. Powtarzające się zachowanie beaconingu przy zmieniającym się zestawie systemów jest powszechną cechą bardziej zaawansowanych pakietów szkodliwego oprogramowania. Najprawdopodobniej system ten został skompromitowany przez złośliwe oprogramowanie, które samo usunęło się, gdy usunięto mu możliwość meldowania się za pomocą systemu dowodzenia i kontroli, zapobiegając w ten sposób przechwyceniu i przeanalizowaniu złośliwego oprogramowania przez osoby reagujące na incydenty.

77. A. ISO 27001 zawiera wytyczne dotyczące systemów zarządzania bezpieczeństwem informacji. ISO 9000 dotyczy zarządzania jakością. ISO 11120 dotyczy butli gazowych. ISO 23270 dotyczy języków programowania.

78. B. /etc/shadow zawiera skróty haseł, ale nie dostarcza informacji o uprawnieniach. W przeciwieństwie do /etc/passwd, nie zawiera on identyfikatora użytkownika ani informacji o identyfikatorze grupy, a zamiast tego zawiera tylko nazwę użytkownika i zaszyfrowane hasło. /etc/passwd , /etc/sudoers i /etc/group mogą zawierać dowody na to, że użytkownik www otrzymał dodatkowe uprawnienia.

79. A. Rejestrowanie aktywności aplikacji i serwera może dostarczyć cennych dowodów podczas dochodzenia kryminalistycznego. Pozostałe trzy wymienione kontrole to proaktywne kontrole zaprojektowane w celu zmniejszenia ryzyka wystąpienia incydentu i są mniej prawdopodobne, że bezpośrednio dostarczają informacji podczas dochodzenia kryminalistycznego.

80. A. Jest to odpowiedni przypadek wyjątku w polityce skanowania. Serwer wydaje się być bezpieczny, a samo skanowanie powoduje problem produkcyjny. Jamal powinien nadal monitorować sytuację i rozważać alternatywne formy skanowania, ale nie byłoby właściwe kontynuowanie skanowania lub wyznaczanie sztucznego terminu, którego dotrzymanie jest bardzo mało prawdopodobne. Likwidacja serwera to nadmierne działanie, ponieważ nic nie wskazuje na to, że jest on niepewny, a problem może w rzeczywistości dotyczyć samego skanera.

81. A. Najlepszą obroną przed atakiem typu man-in-the-middle jest użycie protokołu HTTPS z certyfikatem cyfrowym. Użytkownicy powinni być przeszkoleni, aby zwracać uwagę na błędy certyfikatów, aby uniknąć zaakceptowania fałszywego certyfikatu. Walidacja danych wejściowych i wprowadzanie poprawek nie byłyby skuteczną obroną przed atakami typu man-in-the-middle, ponieważ ataki typu man-in-the-middle są atakami sieciowymi. Zapora byłaby w stanie zablokować dostęp do aplikacji internetowej, ale nie może zatrzymać man-in-the-middle atak.

82. B. Chociaż nmap zapewnia identyfikację wersji usługi, w dużym stopniu opiera się na informacjach dostarczanych przez usługi. W niektórych przypadkach w pełni zaktualizowane usługi mogą dostarczać informacji o banerach, które nie pokazują wersji pomocniczej lub mogą nie zmieniać banerów po wprowadzeniu poprawki, co prowadzi do nieprawidłowej identyfikacji wersji.

83. B. Tyler powinien zainicjować proces zarządzania zmianami w swojej organizacji, aby rozpocząć proces wprowadzania poprawek. Jest to podatność o średnim stopniu ważności, więc nie ma potrzeby stosowania poprawki w trybie awaryjnym, który pomijałby zarządzanie zmianami. Podobnie wyłączenie serwera spowodowałoby poważne zakłócenia, a poziom dotkliwości tego nie uzasadnia. Wreszcie, nie ma potrzeby ponownego uruchamiania skanowania, ponieważ nic nie wskazuje na to, że jest to wynik fałszywie dodatni.

84. A. Carla poszukuje narzędzia z kategorii zwanej proxy przechwytywania. Działają w systemie testera i przechwytują żądania wysyłane z przeglądarki internetowej na serwer sieciowy, zanim zostaną udostępnione w sieci. Pozwala to testerowi na ręczne manipulowanie żądaniem wstrzyknięcia ataku. Burp, ZAP i Tamper Data to przykłady serwerów proxy przechwytywania. Nessus to skaner luk w zabezpieczeniach i chociaż jest przydatny w testach penetracyjnych, nie służy jako proxy przechwytywania.

85. C. Alex musi szybko przejść do trybu powstrzymywania, ograniczając wpływ kompromisu. Następnie może zebrać dowody i dane potrzebne do wsparcia działań związanych z reagowaniem na incydenty, umożliwiając mu współpracę z zespołami wsparcia pulpitu i IT swojej organizacji, aby przywrócić organizację do normalnego funkcjonowania.

---

[ 1213 ]

---