Prawo, regulacje, dochodzenia i zgodność
1. Oszustwa komputerowe są odradzane przez:
a. Gotowość do wniesienia oskarżenia
b. Ostracizing whistleblowers
c. Pomijanie nieefektywności systemu sądownictwa
d. Akceptacja braku integralności w systemie
1. a. Chęć do wniesienia oskarżenia wysyła silny sygnał do potencjalnych sprawców, co może zniechęcić do oszustw komputerowych. Naciski sytuacyjne (np. hazard i narkotyki), możliwości popełnienia oszustwa (np. słaby system kontroli) oraz cechy osobiste (np. brak uczciwości i uczciwości) są głównymi przyczynami oszustw, niezależnie od tego, czy są one związane z komputerami. Nie ma nic nowego w akcie popełnienia oszustwa. Być może nie ma nowego sposobu na popełnienie oszustwa, ponieważ ktoś gdzieś już tego próbował. Pozostałe trzy opcje zachęcają do oszustw komputerowych.
2. Jaki jest przykład zajęcia komputerów i urządzeń peryferyjnych w związku z przestępstwem komputerowym?
a. Zduplikowane dowody
b. Dowód rzeczowy
c. Najlepszy dowód
d. Dodatkowe dowody
2.d. Dowody uzupełniające są dowodami odnoszącymi się tylko do jakiegoś faktu dowodowego, który sam w sobie nie ma związku z faktem wynikającym z tego faktu. W tym przypadku komputery i urządzenia peryferyjne są przykładami dodatkowych dowodów, ponieważ są częścią miejsca zbrodni, a nie przestępstwem samym w sobie. Powielony dowód to dokument, który powstaje w wyniku pewnego procesu mechanicznego, który czyni go bardziej wiarygodnym dowodem zawartości oryginału niż inne formy dowodu wtórnego (na przykład fotokopia oryginału). Współczesne statuty sprawiają, że duplikaty można łatwo zastąpić oryginałem. Powielony dowód jest częścią zasady najlepszych dowodów. Bezpośrednia inspekcja lub obserwacja osób, mienia lub wydarzeń pozwala uzyskać dowody fizyczne. Najlepszym dowodem jest podstawowy dowód, który jest najbardziej naturalny, wiarygodny i pisemny (na przykład dokument pisemny, taki jak list, oświadczenie, umowa lub akt). Jest to najbardziej zadowalający dowód tego faktu oparty na dowodach z dokumentów, ponieważ zasada najlepszego dowodu uniemożliwia stronie udowodnienie lub zaprzeczenie treści pisma poprzez zeznania ustne. Jednak zeznania ustne mogą być wykorzystane do wyjaśnienia znaczenia instrumentu pisanego, gdy instrument ten podlega więcej niż jednej interpretacji.
3. Ogólnie, który z poniższych dowodów jest niedopuszczalny w sądzie?
a. Zasłyszane dowody
b. Podstawowe dowody
c. Materialne dowody
d. Dowody merytoryczne
3. a. Dowody ze słyszenia, ustne lub pisemne, same w sobie nie są dopuszczalne w sądzie, ponieważ są dowodami z drugiej ręki. Odnosi się do wszelkich dowodów ustnych lub pisemnych wniesionych do sądu i oferowanych jako dowód rzeczy wypowiedzianych poza sądem. Jednakże dowody ze zasłyszenia są dopuszczalne, gdy świadek zostaje złożony pod przysięgą na stanowisku sądowym i przesłuchany w celu stwierdzenia, co widział lub słyszał. Jest to przykład kontroli i równowagi proceduralnej sądu. Pozostałe trzy wybory są dopuszczalne w sądzie. Dowód pierwotny jest dowodem oryginalnym i najlepszym. Ogranicza się do dowodów z dokumentów i dotyczy dowodu treści pisma. Dowody materialne to dowody, które były istotne dla udowodnienia kwestionowanego faktu będącego następstwem i są również używane do stwierdzenia, że dowody mają pewną wagę. Dowody rzeczowe to dowody, które dopuszcza się, aby udowodnić znaczenie sprawy strony, a nie podważać wiarygodność świadka strony przeciwnej. Podobnie dokumenty biznesowe (na przykład zamówienia sprzedaży i zamówienia zakupu) utworzone podczas zwykłych transakcji biznesowych są uznawane za dopuszczalne przez sąd. Innym przykładem jest to, że fotografie stanowią dowody ze słyszenia, ale są uważane za dopuszczalne, jeśli są odpowiednio uwierzytelnione przez świadków zaznajomionych z tematem.
4. Wszystkie poniższe elementy są podstawowymi elementami triady incydentów bezpieczeństwa, z wyjątkiem:
a. Wykryć
b. Reagować
c. Raport
d. Wyzdrowieć
4.c. Podstawowe elementy triady incydentów bezpieczeństwa obejmują wykrywanie, reagowanie i odzyskiwanie. Organizacja powinna mieć możliwość wykrycia ataku, reagowania na atak i odbudowy po ataku poprzez ograniczenie konsekwencji lub skutków ataku. "Raport" jest elementem drugorzędnym i jest produktem ubocznym elementów podstawowych. Zgłoszenia można dokonywać wewnętrznie kierownictwu, co jest wymagane, oraz zewnętrznie publicznie (np. mediom/prasie, organom ścigania i organizacjom zgłaszającym incydenty), co jest opcjonalne. Ilość sprawozdawczości zewnętrznej zależy od otwartości kierownictwa organizacji na raportowanie z powodu niekorzystnego rozgłosu i ryzyka utraty reputacji związanego z poważnymi naruszeniami bezpieczeństwa.
5. Które z poniższych sprawia, że korelacja zdarzeń dotyczących bezpieczeństwa działa znacznie łatwiej i szybciej?
a. Rejestrowanie rozproszone
b. Lokalne logowanie
c. Scentralizowane rejestrowanie
d. Scentralizowane monitorowanie
5.c. Korzystanie ze scentralizowanego rejestrowania znacznie ułatwia i przyspiesza korelację zdarzeń związanych z bezpieczeństwem, ponieważ gromadzi dane z różnych źródeł, takich jak sieci, hosty, usługi, aplikacje i urządzenia zabezpieczające.
6. Profilowanie sieci i systemów jest środkiem technicznym pomagającym w analizie incydentów i jest osiągane poprzez który z poniższych oznacza?
1. Uruchamianie oprogramowania do sprawdzania integralności plików na hostach
2. Monitorowanie wykorzystania przepustowości sieci
3. Monitorowanie wykorzystania zasobów hosta
4. Ustalenie średniego i szczytowego poziomu użytkowania
a. Tylko 2
b. Tylko 3
c. Tylko 4
d. 1, 2, 3 i 4
6.d. Profilowanie sieci i systemów mierzy cechy oczekiwanej aktywności, dzięki czemu można łatwiej zidentyfikować zmiany w niej. Przykłady profilowania obejmują uruchamianie oprogramowania do sprawdzania integralności na hostach w celu uzyskania sum kontrolnych dla krytycznych plików, monitorowanie wykorzystania przepustowości sieci oraz monitorowanie wykorzystania zasobów hosta w celu określenia średniego i szczytowego poziomu wykorzystania w różnych dniach i godzinach.
7. Zespół reagowania na incydenty powinien przedyskutować z działem prawnym, którą z poniższych strategii powstrzymywania, aby ustalić, czy jest to wykonalne?
a. Pełne zabezpieczenie
b. Faza powstrzymywania
c. Częściowe zabezpieczenie
d. Opóźnione powstrzymywanie
7.d. Gdy incydent zostanie wykryty i przeanalizowany, ważne jest, aby go powstrzymać, zanim rozprzestrzenienie się incydentu przytłoczy zasoby lub zwiększy się szkody. W niektórych przypadkach niektóre organizacje opóźniają powstrzymanie incydentu, aby móc monitorować aktywność napastnika, zwykle w celu zebrania dodatkowych dowodów. Zespół reagowania na incydenty powinien omówić strategię opóźnionego zabezpieczenia ze swoim działem prawnym, aby ustalić, czy jest to wykonalne. Strategia opóźnionego powstrzymywania jest niebezpieczna, ponieważ atakujący może w ułamku sekundy eskalować nieautoryzowany dostęp lub skompromitować inne systemy. Wartość opóźnionego powstrzymywania zwykle nie jest warta wysokiego ryzyka, jakie stanowi.
8. Podczas obsługi incydentów osoby zajmujące się obsługą incydentów nie powinny skupiać się na którym z poniższych?
a. Powstrzymywanie incydentów
b. Zwalczanie incydentów
c. Identyfikacja atakującego
d. Odzyskiwanie po incydencie
8.c. Podczas obsługi incydentów właściciele systemów i pracownicy bezpieczeństwa IT często chcą zidentyfikować atakującego. Chociaż te informacje mogą być ważne, szczególnie jeśli organizacja chce ścigać napastnika, osoby zajmujące się obsługą incydentów powinny skupić się na powstrzymywaniu,
zwalczanie i odzyskiwanie. Zidentyfikowanie napastnika może być czasochłonnym i daremnym ćwiczeniem, które może uniemożliwić zespołowi osiągnięcie podstawowego celu, jakim jest zminimalizowanie wpływu biznesowego.
9. Które z poniższych działań identyfikujących napastnika mogą naruszać zasady organizacji lub łamać prawo?
a. Weryfikacja adresu IP atakującego
b. Skanowanie systemów atakującego
c. Korzystanie z bazy danych incydentów
d. Monitorowanie kanałów komunikacji napastnika
9.b. Niektóre programy do obsługi incydentów mogą wykonywać polecenia ping, trace-route oraz skanować porty i luki w zabezpieczeniach, aby zebrać więcej informacji o atakującym. Osoby zajmujące się obsługą incydentów powinny omówić te działania z działem prawnym przed wykonaniem takich skanowań, ponieważ skany mogą naruszać politykę prywatności organizacji, a nawet łamać prawo. Pozostałe wybory mają charakter techniczny.
10. Które z poniższych działań i korzyści po incydencie mogą stać się podstawą do późniejszego ścigania przez organy sądowe?
a. Nauka i doskonalenie
b. Materiały szkoleniowe dla nowych członków zespołu
c. Raport uzupełniający dla każdego incydentu
d. Wyciągnięte wnioski ze spotkań
10.c. Raport uzupełniający zawiera odnośnik, który może być wykorzystany do pomocy w radzeniu sobie z podobnymi, przyszłymi incydentami. Stworzenie formalnej chronologii zdarzeń (w tym informacji ze znacznikiem czasu, takich jak dane dziennika z systemów) jest ważne ze względów prawnych, podobnie jak oszacowanie pieniężnej ilości szkód spowodowanych przez incydent pod względem utraty oprogramowania i plików, sprzętu szkody i koszty personelu (w tym usługi naprawcze). Szacunek ten może stać się podstawą do późniejszej czynności ścigania przez organy sądowe. Pozostałe opcje dotyczą problemów wewnętrznych organizacji.
11. Które z poniższych metryk bezpieczeństwa dla danych związanych z incydentami generalnie nie mają wartości przy porównywaniu wielu organizacji?
a. Liczba nieautoryzowanych incydentów dostępu
b. Liczba ataków typu "odmowa usługi"
c. Liczba rozprzestrzeniania się szkodliwego kodu
d. Całkowita liczba obsłużonych incydentów
11.d. Mierniki bezpieczeństwa, takie jak całkowita liczba obsłużonych incydentów, generalnie nie mają wartości przy porównywaniu wielu organizacji, ponieważ każda organizacja prawdopodobnie inaczej zdefiniowała terminy dotyczące kluczowych incydentów. "Całkowita liczba obsłużonych incydentów" nie jest konkretna i najlepiej jest traktować ją jako miarę względnej ilości pracy, jaką musiał wykonać zespół reagowania na incydenty, a nie jako miarę jakości zespołu. Bardziej efektywne jest tworzenie oddzielnych i konkretnych liczb incydentów dla każdej kategorii lub podkategorii incydentu, jak pokazano w pozostałych trzech opcjach. Silniejsze kontrole bezpieczeństwa można następnie ukierunkować na te konkretne incydenty, aby zminimalizować szkody lub straty.
12. Które z poniższych wskazań nie jest związane z niewłaściwym działaniem użytkowym, takim jak wewnętrzny dostęp do niewłaściwego materiału?
a. Raporty użytkowników
b. Alerty wykrywania włamań do sieci
c. Nieodpowiednie pliki na stacjach roboczych lub serwerach
d. Wpisy dziennika sieci, hosta i aplikacji
12.d. Wpisy dziennika sieci, hosta i aplikacji wskazują na ataki na strony zewnętrzne. Pozostałe trzy opcje to przykłady możliwych wskazań wewnętrznego dostępu do nieodpowiednich materiałów.
13. Które z poniższych nie jest zazwyczaj częścią audytu programu reagowania na incydenty?
a. Przepisy prawne
b. Zasady bezpieczeństwa
c. Wskaźniki incydentów
d. Najlepsze praktyki w zakresie bezpieczeństwa
13.c. Audyt reakcji na incydent powinien co najmniej ocenić zgodność z obowiązującymi przepisami, politykami bezpieczeństwa i najlepszymi praktykami w zakresie bezpieczeństwa. Metryki incydentów są zwykle używane do mierzenia sukcesu zespołu reagowania na incydenty. Audyty identyfikują problemy i braki, które można następnie skorygować.
14. Które z poniższych nie obejmują skutecznych środków zapobiegania incydentom?
a. Świadomość
b. Dzienniki i alerty
c. Zgodność
d. Zdrowy rozsądek
14.b. Skuteczne środki zapobiegania incydentom obejmują świadomość, zgodność i zdrowy rozsądek. Dzienniki i alerty mają charakter detektywistyczny.
15. Które z poniższych jest wykorzystywane do rozpowszechniania nielegalnych treści, takich jak kopie utworów i filmów chronionych prawem autorskim?
a. Serwer kwarantanny
b. Serwer dostępu zdalnego
c. Serwer Warez
d. Serwer e-mail
15.c. Serwer Warez to serwer plików, który służy do dystrybucji nielegalnych treści, takich jak kopie utworów i filmów chronionych prawem autorskim oraz pirackiego oprogramowania.
16. Monitorowanie dziennika nie może pomóc w wysiłkach, w których z poniższych?
a. Obsługa incydentów
b. Naruszenia zasad
c. Audyt
d. Źródła danych
16.d. W monitorowaniu dzienników mogą pomóc różne narzędzia i techniki śledcze, takie jak analizowanie wpisów dziennika i korelowanie wpisów dziennika w wielu systemach. Może to pomóc w obsłudze incydentów, identyfikowaniu naruszeń zasad, przeprowadzaniu audytów i innych działaniach. Źródła danych obejmują komputery stacjonarne, laptopy, serwery, wymienne dyski twarde i nośniki kopii zapasowych. Źródła danych nie mogą pomóc w monitorowaniu logów.
17. Które z poniższych wymaga rozliczalności administratora danych?
a. Organizacja Współpracy Gospodarczej i Rozwoju (OECD)
b. Międzynarodowa Organizacja Normalizacyjna (ISO)
c. Wspólne kryteria (CC)
d. Grupa Robocza ds. Inżynierii Internetu (IETF)
17. a. Wytyczne Organizacji Współpracy Gospodarczej i Rozwoju (OECD) obejmują ograniczenia w gromadzeniu danych, jakość danych, ograniczenia w wykorzystaniu danych, gwarancje bezpieczeństwa systemu informatycznego oraz odpowiedzialność administratora danych. ISO, CC i IETF nie wymagają administratora danych.
18. Jeśli chodzi o amerykańskie przepisy importowe i eksportowe dotyczące używania szyfrowania w produktach eksportowanych do partnerów handlowych na całym świecie, które z poniższych elementów są wymagane do monitorowania komunikacji wewnętrznej lub systemów komputerowych oraz przygotowania się do odzyskiwania po awarii?
a. Odnowienie klucza
b. Depozyt klucza
c. Odzyskiwanie kluczy
d. Transport kluczy
18.b. System depozytu kluczy powierza dwa komponenty (szyfrowanie i deszyfrowanie) składające się z klucza kryptograficznego dwóm posiadaczom komponentów klucza, takim jak agenci depozytowi. Kluczowy składnik to dwie wartości, z których można wyprowadzić klucz. Klucz depozytowy to kontrola odzyskiwania mająca na celu ochronę prywatności i handlu w sposób, który zachowuje zdolność organów ścigania USA do monitorowania komunikacji wewnętrznej za pomocą systemów komputerowych w celu ochrony bezpieczeństwa publicznego i bezpieczeństwa narodowego oraz przygotowania się do odzyskiwania po awarii. Danych nie można odzyskać, jeśli klucz szyfrowania lub klucz odszyfrowywania zostanie utracony, uszkodzony lub zniszczony. Pozostałe trzy opcje są nieprawidłowe, ponieważ nie mogą pomóc w odzyskaniu klucza. Odnawianie klucza to proces używany do przedłużenia okresu ważności klucza kryptograficznego, aby można go było używać przez dodatkowy okres czasu. Odzyskiwanie klucza pomaga uzyskać klucz kryptograficzny z aktywnego lub zarchiwizowanego magazynu elektronicznego lub z ośrodka zapasowego. Transport klucza to bezpieczne przenoszenie kluczy kryptograficznych z jednego modułu kryptograficznego do drugiego.
19. Która z poniższych opcji minimalizuje możliwość wkroczenia na incydenty?
1. Zapory sieciowe
2. Prawa
3. Rozdzielenie obowiązków
4. Regulamin
a. 1 i 2
b. 2 i 4
c. 1 i 3
d. 3 i 4
19.c. Zapory ogniowe i rozdzielenie obowiązków minimalizują możliwość włamania się do incydentu. Zapora jest technicznym zabezpieczeniem, które zapewnia oddzielenie działań, systemów lub składników systemu, dzięki czemu awaria lub słabość jednego z nich jest zawarta i nie ma wpływu na inne działania lub systemy (np. wymuszanie oddzielenia Internetu od obszaru lokalnego sieć). Celem rozdzielenia obowiązków jest zapewnienie, że żadna pojedyncza osoba (działająca w pojedynkę) nie może naruszyć wniosku. W obu przypadkach zabezpieczenia proceduralne i techniczne są wykorzystywane do egzekwowania podstawowej polityki bezpieczeństwa, zgodnie z którą działania wysokiego ryzyka powinny być oddzielone od działań niskiego ryzyka, a jedna osoba nie powinna mieć możliwości narażenia systemu. Te dwie kontrole w połączeniu stanowią silną barierę dla incydentów, co minimalizuje możliwość ich wkroczenia. Przepisy i regulacje wyznaczają cele bezpieczeństwa i stanowią podstawę do opracowania podstawowych zasad i kontroli bezpieczeństwa.
20. Które z poniższych zasad Organizacji Współpracy Gospodarczej i Rozwoju (OECD) dotyczą poszanowania praw i uzasadnionych interesów innych osób?
a. Odpowiedzialność
b. Etyka
c. Świadomość
d. Wielodyscyplinarny
20.b. Zasada etyki OECD stanowi, że systemy informacyjne i bezpieczeństwo systemów informatycznych powinny być udostępniane i wykorzystywane w sposób zapewniający poszanowanie praw i uzasadnionych interesów innych osób.
21. Które z poniższych określa warstwy bezpieczeństwa w celu zminimalizowania wpływu incydentu?
1. Zagospodarowanie przestrzenne
2. Trzeba wiedzieć
3. Kompartmentalizacja
4. Unikalne identyfikatory
a. 1 i 2
b. 2 i 4
c. 1 i 3
d. 3 i 4
21.c. Podział na strefy i podział na strefy ustanawiają warstwy bezpieczeństwa, aby zminimalizować wpływ incydentów. Zasada potrzeby wiedzy ogranicza dostęp do danych i programów. Unikalne identyfikatory zapewniają indywidualną odpowiedzialność i ułatwiają kontrolę dostępu.
22. Które z poniższych ogólnie przyjętych zasad bezpieczeństwa systemów odnoszą się do głównego celu bezpieczeństwa komputerowego?
a. Bezpieczeństwo komputerowe jest integralnym elementem zarządzania dźwiękiem.
b. Bezpieczeństwo komputerowe wymaga kompleksowego i zintegrowanego podejścia.
c. Bezpieczeństwo komputerowe wspiera misję organizacji.
d. Bezpieczeństwo komputerowe powinno być opłacalne.
22.c. Celem zabezpieczeń komputerowych jest ochrona cennych zasobów organizacji, takich jak dane, informacje, sprzęt, ludzie i oprogramowanie. Gdy cenne zasoby są chronione, misja organizacji również zostaje spełniona.
23. Które z poniższych są głównymi źródłami danych dziennika bezpieczeństwa komputera dla większości organizacji?
1. Dzienniki oprogramowania zabezpieczającego opartego na sieci
2. Dzienniki oprogramowania zabezpieczającego opartego na hoście
3. Dzienniki systemu operacyjnego
4. Dzienniki systemowe aplikacji
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
23. a. Większość organizacji korzysta z kilku rodzajów oprogramowania zabezpieczającego opartego na sieci i hoście, aby wykrywać złośliwe działania i chronić systemy oraz dane przed uszkodzeniem. W związku z tym oprogramowanie zabezpieczające jest głównym źródłem danych dziennika bezpieczeństwa komputera dla większości organizacji.
24. Który z poniższych dzienników rejestruje istotne działania operacyjne?
a. Dzienniki oprogramowania zabezpieczającego opartego na sieci
b. Dzienniki oprogramowania zabezpieczającego opartego na hoście
c. Dzienniki systemu operacyjnego
d. Dzienniki systemowe aplikacji
24.d. Wiele aplikacji rejestruje istotne działania operacyjne, takie jak uruchamianie i zamykanie aplikacji, awarie aplikacji i poważne zmiany konfiguracji. Pozostałe trzy dzienniki nie zapewniają znaczących działań operacyjnych.
25. Które z poniższych nie jest przykładem dzienników oprogramowania zabezpieczającego?
a. Dzienniki filtrów pakietów
b. Dzienniki serwera WWW
c. Dzienniki zapory
d. Dzienniki oprogramowania antymalware
25.b. Przykładem dzienników aplikacji są logi serwera WWW. Pozostałe trzy dzienniki to przykłady dzienników oprogramowania zabezpieczającego.
26. Który z poniższych dzienników jest przydatny przede wszystkim do analizy ataków na komputery stacjonarne lub stacje robocze?
a. Dzienniki oprogramowania antymalware
b. Dzienniki filtrów pakietów
c. Dzienniki zapory
d. Dzienniki serwera uwierzytelniania
26.a. Dzienniki oprogramowania chroniącego przed złośliwym oprogramowaniem mają wyższą dokładność danych niż dzienniki systemu operacyjnego z komputerów stacjonarnych lub stacji roboczych. W związku z tym te dzienniki są przydatne przede wszystkim do analizy ataków. Pozostałe trzy dzienniki mają drugorzędne zastosowanie.
27. Które z poniższych stanowi dodatkowe źródło w analizie niewłaściwego użycia?
a. Dzienniki serwera uwierzytelniania
b. Dzienniki serwera poczty e-mail
c. Dzienniki serwera WWW
d. Dzienniki udostępniania plików
27.a. Logi serwera uwierzytelniania są częścią logów oprogramowania zabezpieczającego, podczas gdy wszystkie pozostałe logi są przykładami logów aplikacji. Te dzienniki aplikacji generują bardzo szczegółowe dzienniki, które odzwierciedlają każde żądanie i odpowiedź użytkownika, które stanowią główne źródło analizy niewłaściwego użycia. Serwery uwierzytelniające zazwyczaj rejestrują każdą próbę uwierzytelnienia, w tym jej pochodzenie, sukces lub niepowodzenie oraz datę i godzinę. Dzienniki aplikacji przechwytują dane przed dziennikami serwera uwierzytelniania, gdzie pierwszy jest źródłem podstawowym, a drugi jest źródłem pomocniczym.
28. Wszystkie poniższe elementy mogą utrudnić generowanie i przechowywanie dzienników, z wyjątkiem:
a. Rozproszony charakter kłód
b. Oprogramowanie narzędziowe do zarządzania dziennikami
c. Niespójne formaty dziennika
d. Ilość kłód
28.b. Rozproszony charakter dzienników, niespójne formaty dzienników i ich ilość sprawiają, że zarządzanie generowaniem i przechowywaniem dzienników jest trudne. Na przykład niespójne formaty dzienników stanowią wyzwanie dla osób przeglądających dzienniki. Preferowany jest jeden format standardowy. Oprogramowanie narzędzia do zarządzania dziennikami może zawieść lub niewłaściwie obsłużyć dane dziennika, gdy osoba atakująca poda dane binarne jako dane wejściowe do programu, który oczekuje danych tekstowych. Problem z oprogramowaniem narzędziowym do zarządzania logami nie jest tak trudny, jak w przypadku pozostałych trzech opcji.
29. Które z poniższych rozwiązań w celu pokonania wyzwań związanych z zarządzaniem dziennikami dotyczy zarówno szczytowych, jak i oczekiwanych ilości danych dziennika?
a. Priorytet funkcji zarządzania dziennikiem.
b. Ustal zasady i procedury zarządzania dziennikami.
c. Utrzymuj bezpieczną infrastrukturę zarządzania logami.
d. Zapewnij szkolenie wszystkim pracownikom odpowiedzialnym za zarządzanie dziennikami.
29.c. Niezwykle ważne jest stworzenie i utrzymanie bezpiecznej infrastruktury zarządzania logami, wystarczająco solidnej, aby obsłużyć nie tylko oczekiwane ilości danych z logów, ale także szczytowe ilości w sytuacjach ekstremalnych, takich jak szeroko rozpowszechnione incydenty złośliwego oprogramowania, testy penetracyjne i skanowanie podatności. Pozostałe trzy opcje nie obsługują szczytowych i oczekiwanych ilości danych dziennika.
30. Które z poniższych są głównymi przyczynami zmniejszenia objętości kłód?
1. Analiza logów to zadanie o niskim priorytecie.
2. Dzienniki są analizowane w trybie wsadowym.
3. Analiza logów jest traktowana jako reaktywna.
4. Analiza logów nie jest opłacalna.
a. 1 i 2
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4
30.d. Analiza logów była często traktowana jako zadanie o niskim priorytecie przez administratorów systemu lub bezpieczeństwa oraz kierownictwo. Administratorzy często nie przechodzą szkolenia, jak robić to skutecznie i skutecznie. Administratorzy uważają, że analiza logów jest nudna i zapewnia niewielkie korzyści w wymaganym czasie. Analiza logów jest często traktowana jako reaktywna, a nie proaktywna. Większość logów została przeanalizowana w trybie wsadowym, a nie w czasie rzeczywistym lub prawie w czasie rzeczywistym.
31. Która z poniższych zasad Organizacji Współpracy Gospodarczej i Rozwoju (OECD) stwierdza, że systemy informacyjne i wymagania dotyczące ich bezpieczeństwa zmieniają się w czasie?
a. Proporcjonalność
b. Integracja
c. Ponowna ocena
d. Aktualność
31.c. Zasada ponownej oceny OECD stanowi, że bezpieczeństwo systemu informacyjnego należy poddawać okresowej ocenie, ponieważ systemy informacyjne i wymagania dotyczące ich bezpieczeństwa zmieniają się w czasie.
32. Z których z poniższych powodów rutynowa analiza logów jest korzystna?
1. Identyfikacja incydentów bezpieczeństwa
2. Identyfikacja naruszeń zasad
3. Identyfikacja nieuczciwych działań
4. Identyfikacja problemów operacyjnych
a. Tylko 1
b. Tylko 3
c. Tylko 4
d. 1, 2, 3 i 4
32. d. Rutynowa analiza dzienników jest korzystna przy identyfikowaniu incydentów bezpieczeństwa, naruszeń zasad, nieuczciwych działań i działań operacyjnych
33. Która z poniższych nie jest jedną z warstw infrastruktury zarządzania dziennikami?
a. Generowanie dziennika
b. Zdecentralizowane przechowywanie dziennika
c. Scentralizowana konsolidacja i przechowywanie logów
d. Scentralizowane monitorowanie dzienników
33.b. Infrastruktura zarządzania dziennikami zazwyczaj korzysta z następujących trzech warstw, takich jak generowanie dzienników, scentralizowana konsolidacja i przechowywanie dzienników oraz scentralizowane monitorowanie dzienników. Zdecentralizowane przechowywanie dzienników nie jest jedną z trzech warstw, ale ostatecznie zostało przeniesione do scentralizowanej konsolidacji dzienników i przechowywania.
34. Jeśli chodzi o funkcje infrastruktury zarządzania logami, przeglądarki logów zapewniają, które z poniższych możliwości?
1. Filtrowanie dziennika
2. Agregacja logów
3. Normalizacja dziennika
4. Korelacja logarytmiczna
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
34. a. Przeglądanie dziennika wyświetla wpisy dziennika w formacie czytelnym dla człowieka. Niektóre przeglądarki dzienników zapewniają funkcje filtrowania i agregacji, ale nie zapewniają normalizacji i korelacji dzienników.
35. Która z poniższych funkcji zarządzania dziennikami obejmuje inne funkcje?
a. Filtrowanie dziennika
b. Agregacja logów
c. Korelacja dziennika
d. Analiza dziennika
35.d. Analiza dziennika polega na konwertowaniu wpisów dziennika na inny format. Na przykład analizowanie dziennika może przekonwertować dziennik w formacie XML (Extensible Markup Language) na zwykły plik tekstowy. Analiza dzienników czasami obejmuje czynności, takie jak filtrowanie dzienników, agregacja dzienników, normalizacja dzienników i korelacja dzienników.
36. Na których z poniższych bazują główne kategorie infrastruktur zarządzania logami?
1. Oprogramowanie do scentralizowanego rejestrowania oparte na Syslog
2. Oprogramowanie do zarządzania zdarzeniami bezpieczeństwa
3. Sieciowe narzędzia do analizy śledczej
4. Systemy wykrywania włamań oparte na hoście
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
36. a. Infrastruktury zarządzania dziennikami są zazwyczaj oparte na jednej z dwóch głównych kategorii oprogramowania do zarządzania dziennikami: oprogramowaniu do scentralizowanego rejestrowania opartego na syslog i oprogramowaniu do zarządzania zdarzeniami bezpieczeństwa (SEM). Sieciowe narzędzia do analizy śledczej i oparte na hoście systemy wykrywania włamań to przykłady dodatkowych typów (źródła wtórne) oprogramowania do zarządzania dziennikami.
37. W odniesieniu do funkcji infrastruktury zarządzania dziennikami, które z poniższych określeń definiuje zamykanie dziennika i otwieranie nowego dziennika, gdy pierwszy dziennik zostanie uznany za kompletny?
a. Archiwizacja dziennika
b. Obrót dziennika
c. Redukcja kłód
d. Czyszczenie dziennika
37. b. Obrót kłody polega na zamknięciu kłody i otwarciu nowej kłody, gdy pierwsza kłoda zostanie uznana za kompletną. Główne zalety rotacji dzienników to zachowywanie wpisów dziennika i zarządzanie rozmiarem dzienników poprzez kompresowanie dziennika w celu zaoszczędzenia miejsca. Dzienniki można również obracać za pomocą prostych skryptów i oprogramowania narzędziowego. Pozostałe trzy dzienniki nie zapewniają funkcji obracania.
38. Jeśli chodzi o funkcje infrastruktury zarządzania logami, która z poniższych czynności jest często wykonywana razem z drugą?
1. Archiwizacja dziennika
2. Redukcja kłód
3. Analiza dziennika
4. Przeglądanie dziennika
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
38.a. Redukcja dzienników polega na usuwaniu z dziennika niepotrzebnych wpisów lub pól danych w celu utworzenia nowego dziennika o mniejszym rozmiarze. Redukcja dziennika jest często wykonywana za pomocą archiwizacji dziennika, dzięki czemu tylko interesujące wpisy dziennika są umieszczane w pamięci długoterminowej. Analiza dziennika i przeglądanie dziennika to dwie odrębne czynności.
39. Który z poniższych sposobów zapewnia wykrywanie zmian w dziennikach archiwalnych?
a. Oprogramowanie do sprawdzania integralności plików dziennika
b. Sieciowe narzędzia do analizy śledczej
c. Narzędzia do wizualizacji
d. Oprogramowanie narzędziowe do zarządzania dziennikami
39. a. Aby upewnić się, że zmiany w zarchiwizowanych dziennikach są wykrywane, sprawdzanie integralności plików dziennika można przeprowadzić za pomocą oprogramowania. Wiąże obliczanie skrótu wiadomości dla każdego pliku i bezpieczne przechowywanie tego skrótu skrótu wiadomości. Pozostałe trzy opcje nie obliczają skrótu wiadomości.
40. Jeśli chodzi o infrastrukturę zarządzania logami, która z poniższych cech charakteryzuje oprogramowanie do scentralizowanego rejestrowania opartego na syslog?
1. Pojedynczy standardowy format danych
2. Zastrzeżone formaty danych
3. Wysoko zasobożerne dla gospodarzy
4. Nisko zasobochłonne dla gospodarzy
a. 1 i 3
b. 1 i 4
c. 2 i 3
d. 2 i 4
40. b. Oprogramowanie do scentralizowanego rejestrowania oparte na Syslog zapewnia pojedynczy standardowy format danych do generowania, przechowywania i przesyłania wpisów dziennika. Ponieważ jest prosty w obsłudze, wymaga mniej zasobów dla hostów.
41. Jeśli chodzi o infrastrukturę zarządzania logami, które z poniższych nie mogą zastąpić innych?
1. Sieciowe narzędzia do analizy śledczej
2. Oprogramowanie do scentralizowanego rejestrowania oparte na Syslog
3. Oprogramowanie do wykrywania włamań oparte na hoście
4. Oprogramowanie do zarządzania zdarzeniami bezpieczeństwa
a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 2 i 4
41. b. Sieciowe narzędzia do analizy śledczej i oprogramowanie do wykrywania włamań oparte na hoście są często częścią infrastruktury zarządzania dziennikami, ale nie mogą zastąpić oprogramowania do scentralizowanego rejestrowania opartego na dzienniku syslog i oprogramowania do zarządzania zdarzeniami związanymi z bezpieczeństwem. Oparte na Syslog oprogramowanie do scentralizowanego rejestrowania i oprogramowanie do zarządzania zdarzeniami związanymi z bezpieczeństwem są używane jako podstawowe narzędzia, podczas gdy narzędzia do analizy śledczej sieci i oprogramowanie do wykrywania włamań oparte na hoście są używane jako narzędzia dodatkowe.
42. Które z poniższych są głównymi czynnikami, które należy wziąć pod uwagę podczas projektowania procesów zarządzania dziennikami na poziomie organizacji?
1. Przepustowość sieci
2. Ilość danych dziennika do przetworzenia
3. Źródła dziennika konfiguracji
4. Wykonywanie analizy logów
a. 1 i 2
b. 2 i 3
c. 1 i 3
d. 3 i 4
42. a. Główne czynniki, które należy wziąć pod uwagę przy projektowaniu procesów zarządzania dziennikami na poziomie organizacji, obejmują przepustowość sieci, objętość danych dziennika do przetworzenia, przechowywanie danych online i offline, potrzeby w zakresie bezpieczeństwa danych oraz czas i zasoby potrzebne personelowi do analizy dzienniki. Źródła dzienników konfiguracji i przeprowadzanie analizy dzienników zajmują się procesami zarządzania dziennikami na poziomie systemu.
43. Jeśli chodzi o zarządzanie dziennikami, zastosowanie których z poniższych nie zostanie prawdopodobnie uchwycone w dziennikach?
a. Narzędzia do ukrywania danych
b. Oprogramowanie antywirusowe
c. Oprogramowanie do wykrywania i usuwania oprogramowania szpiegującego
d. Oprogramowanie do wykrywania włamań oparte na hoście
43. a. Korzystanie z większości narzędzi do ukrywania danych prawdopodobnie nie zostanie ujęte w dziennikach, ponieważ ich intencją jest ukrycie. Pozostałe trzy wybory są nieprawidłowe, ponieważ są przykładami aplikacji zabezpieczających. Wraz z oprogramowaniem do filtrowania treści są one zwykle rejestrowane.
44. Jaki jest główny powód, dla którego pojawiają się incydenty związane z bezpieczeństwem komputerowym niezgłoszonym?
a. Aby uniknąć negatywnego rozgłosu
b. Aby naprawić problemy z systemem
c. Aby uczyć się na atakach systemowych
d. Aby podjąć kroki prawne przeciwko napastnikowi
44. a. Unikanie negatywnego rozgłosu jest głównym powodem; chociaż istnieją inne drobne powody. Dzieje się tak, ponieważ złe wiadomości mogą powodować, że obecni lub potencjalni klienci będą się martwić o własną wrażliwość informacji zawartą w systemach komputerowych. Podejmowanie działań prawnych nie odbywa się regularnie, ponieważ kosztuje znaczną ilość czasu i pieniędzy. Naprawianie problemów systemowych i wyciąganie wniosków z ataków systemowych może być produktem ubocznym incydentu związanego z bezpieczeństwem. Pozostałe trzy wybory są pomniejszymi powodami, ale nadrzędnym powodem jest unikanie negatywnego rozgłosu.
45. Standardowa charakterystyka popełnienia przestępstwa komputerowego nie obejmuje, które z poniższych?
a. Motyw
b. Akcja
c. Możliwość
d. Oznacza
45. b. Człowiek musi mieć motyw, okazję i środki do popełnienia przestępstwa. Wynikająca z tego decyzja jest działaniem.
46. Wiele narzędzi kryminalistycznych (takich jak kryminalistyczne, niekryminalistyczne i hybrydowe) jest używanych do odzyskiwania dowodów cyfrowych z telefonu komórkowego/komórkowego. Które z poniższych czynności mogą rozwiązać konflikty wynikające z używania tak wielu narzędzi kryminalistycznych?
a. Oprogramowanie maszyny wirtualnej (VMware)
b. Uniwersalny moduł identyfikacji subskrybenta (USIM)
c. Monitorowanie portów
d. Monitorowanie w podczerwieni i Bluetooth
46. a. Konflikty mogą powstać podczas korzystania z wielu narzędzi kryminalistycznych z powodu ich niezgodności w funkcjonalnych specyfikacjach projektowych. Jedną z metod rozwiązywania takich konfliktów jest użycie produktu, takiego jak oprogramowanie maszyny wirtualnej (VMware), do utworzenia środowiska maszyny wirtualnej (VM) na każdej stacji roboczej dochodzeniowej, aby narzędzie mogło zostać uruchomione. Ponieważ wiele niezależnych maszyn wirtualnych może działać jednocześnie na jednej stacji roboczej, kilka narzędzi lub kolekcji narzędzi, które w innym przypadku byłyby niezgodne, jest łatwo obsługiwanych. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają możliwości radzenia sobie z konfliktami wynikającymi z używania wielu narzędzi, ponieważ są przykładami pojedynczych narzędzi. Przykłady narzędzi kryminalistycznych obejmują narzędzia uniwersalnego modułu tożsamości abonenta (USIM), narzędzia do telefonów komórkowych i zintegrowane zestawy narzędzi. Skrót kryminalistyczny służy do zachowania integralności danych poprzez obliczenie kryptograficznie silnej, nieodwracalnej wartości na pozyskanych danych. Przykłady narzędzi innych niż kryminalistyczne obejmują monitorowanie portów w celu przechwytywania wymiany protokołów, podczerwień i monitorowanie Bluetooth i menedżer telefonu do odzyskiwania danych. W przypadku narzędzi innych niż kryminalistyczne wartości skrótu należy tworzyć ręcznie za pomocą narzędzia, takiego jak suma SHA-1 lub suma MD5, i zachować w celu weryfikacji integralności. Przykłady hybrydowych narzędzi kryminalistycznych obejmują monitorowanie portów z monitorowaniem wymiany narzędzi USIM.
47. Które z poniższych nie jest częścią aktywnej identyfikacji zainfekowanych hostów z incydentem dotyczącym złośliwego oprogramowania?
a. Router wpuszczany
b. Sniffery pakietów
c. Niestandardowe sieciowe sygnatury IPS lub IDS
d. Oprogramowanie do oceny podatności
47. a. Router typu sinkhole jest częścią identyfikacji śledczej, która łagodzi obcy ruch z trwającego ataku. Źródła aktywnej identyfikacji obejmują skrypt logowania, niestandardowe sygnatury sieciowego systemu zapobiegania włamaniom (IPS) lub systemu wykrywania włamań (IDS), sniffery pakietów, oprogramowanie do oceny luk w zabezpieczeniach, skanowanie hostów i skanowanie plików.
48. Które z poniższych nie jest problemem związanym z nieuprawnionym (pirackim) oprogramowaniem?
a. Pozwala użytkownikom uzyskać oprogramowanie z nieautoryzowanych źródeł.
b. Wprowadza wirusy, które mogą istnieć w oprogramowaniu.
c. Można go pobrać z Internetu.
d. Było to oprogramowanie freeware, ale właściciel zachowuje prawa autorskie.
48. d. Freeware to oprogramowanie udostępniane publicznie bez żadnych kosztów. Autor zachowuje prawa autorskie i może nakładać ograniczenia na sposób korzystania z programu. Pozostałe trzy opcje to przykłady zagrożeń i działań związanych z pirackim oprogramowaniem, które mogą prowadzić do problemów prawnych. Środki kontroli obejmują (i) zakaz przynoszenia przez pracowników oprogramowania z domu lub z zewnątrz, (ii) zakaz pobierania programu z Internetu oraz (iii) testowanie pobranego programu w systemie autonomicznym, zanim zostanie on dopuszczony do sieci .
49. Która z poniższych czynności jest czynnością legalną?
a. Inteligencja konkurencyjna
b. Szpiegostwo przemysłowe
c. Szpiegostwo gospodarcze
d. Szpiegostwo korporacyjne
49. a. Wywiad konkurencyjny jest powszechny i legalny. Wiąże się to z gromadzeniem informacji publicznych, przechodzeniem przez marnotrawstwo, a nawet dyskretnymi działaniami. Szpiegostwo gospodarcze jest niezgodne z prawem, ponieważ obejmuje nieuprawnione pozyskiwanie zastrzeżonych lub innych informacji przez obcy rząd w celu poprawy pozycji gospodarczej kraju. Szpiegostwo przemysłowe i korporacyjne jest nielegalne, ponieważ zajmuje się kradzieżą informacji o formułach produktów i innych ważnych informacji. Przemysł wysokotechnologiczny i obronny są potencjalnymi celami szpiegostwa przemysłowego.
50. Które z poniższych jest prawnie właściwe?
a. Ekrany powitalne komputera
b. Kwestionariusze przed logowaniem
c. Niepożądane ekrany komputera
d. Kwestionariusze po zalogowaniu
50. b. Kwestionariusze przed logowaniem obejmują sprawdzenie, czy użytkownicy są upoważnieni do korzystania z komputera i upewnienie się, że mają dostęp tylko do tych danych i systemów, do których są uprawnieni. Kwestionariusze post-logowania są używane po fakcie i nie są zbyt przydatne. Zarówno ekrany powitalny, jak i niepożądany sprawiają, że instalacja komputera i nazwa organizacji są znane opinii publicznej. Z tych ekranów mogą wynikać problemy prawne.
51. Która z poniższych metod licencjonowania oprogramowania postawi użytkownika w kolejce w oczekiwaniu na dostęp?
a. Jedna metoda licencjonowania
b. Równoczesna metoda licencjonowania
c. Metoda licencjonowania witryny
d. Pływająca metoda licencjonowania
51. d. Metoda licencjonowania zmiennego umieszcza użytkowników w kolejce do czasu, aż nadejdzie ich kolej. Na przykład, jeśli licencja na oprogramowanie obejmuje 10 użytkowników i wszyscy z niego korzystają, jedenasty użytkownik zostanie poproszony o poczekanie, aż jeden użytkownik zostanie wylogowany. W ramach jednej metody licencjonowania tylko jeden użytkownik może korzystać z systemu. W przypadku niewielkich grup użytkowników przydatna może być metoda licencjonowania współbieżnego, ponieważ umożliwia ona równoczesną pracę wielu użytkownikom. Metoda licencjonowania witryny jest stosowana, gdy istnieje duża grupa użytkowników ze względu na rabat ilościowy za intensywne użytkowanie. Inna metoda licencjonowania nie umieściłaby użytkownika w kolejce, tak jak robi to metoda pływająca.
52. Jaki jest skuteczny sposób zapobiegania piractwu komputerowemu?
a. Urządzenie dongle
b. Świadomość
c. Edukacja
d. Przypomnienia
52. a, Klucz sprzętowy to małe urządzenie sprzętowe dostarczane z niektórymi pakietami oprogramowania. Klucz sprzętowy jest na stałe zakodowany unikalnym numerem seryjnym odpowiadającym oprogramowaniu. Po uruchomieniu program sprawdza obecność urządzenia. Jeśli urządzenie nie jest podłączone, program nie uruchomi się. Mimo niedogodności jest to najskuteczniejszy sposób zapobiegania piractwu komputerowemu. Pozostałe trzy opcje są przydatne do zapobiegania piractwu komputerowemu, ale nie są tak skuteczne.
53. Przestępczość komputerowa jest możliwa, gdy kontrole są:
a. Przewidywalne, nieuniknione
b. Nieprzewidywalne, nieuniknione
c. Przewidywalne, możliwe do uniknięcia
d. Nieprzewidywalne, możliwe do uniknięcia
53. c. Gdy kontrole są przewidywalne i można je ominąć, znacznie wzrasta przestępczość komputerowa. Przewidywalny oznacza, że atakujący wie, jak działa system, kiedy i jak go pokonać. Gdy kontrole są nieprzewidywalne, ataki przestępcze są utrudnione.
54. Główną przyczyną niemożności obliczenia ryzyka wynikającego z przestępczości komputerowej jest:
a. Znane niewłaściwe zachowanie nieznanych sprawców
b. Nieznane niewłaściwe zachowanie nieznanych sprawców
c. Nieznane niewłaściwe zachowanie znanych sprawców
d. Znane niewłaściwe zachowanie znanych sprawców
54. b. Trudno ocenić lub przewidzieć przyszłość nieznanego złego zachowania nieznanych sprawców.
55. Przestępca umysłowy bywa:
a. Zmotywowani systemem
b. Motywowany chciwością
c. Zmotywowani technologią
d. Motywacja sytuacyjna
55. d. Przestępca białych kołnierzyków jest zazwyczaj motywowany sytuacją, co oznacza, że zmiana jego osobistego stylu życia i statusu pracy może skłonić go do popełnienia przestępstwa. Działania motywowane systemem i technologią są odpowiednie dla przestępcy zawodowego, a nie dla przestępcy umysłowego. Motywacja chciwością jest podstawową i niższą potrzebą wszystkich przestępców, niezależnie od tego, czy są to przestępcy umysłowi, robotnicy czy przestępcy zawodowi, ale motywacja sytuacyjna jest potrzebą wyższego poziomu odpowiednią dla przestępców umysłowych.
56. Które z poniższych jest kluczem do udanego przestępstwa komputerowego?
a. Złożoność systemu
b. Użytkownicy systemu
c. Umiejętności ludzkie
d. Przewidywalność systemu
56.d. Przewidywalność jest kluczem do udanej przestępczości, ponieważ hakerzy wiedzą, jak działa system. Złożoność systemu w pewnym stopniu odstrasza przestępczość; użytkownicy systemu i ludzie w ogóle są nieprzewidywalni. Umiejętności ludzkie różnią się w zależności od osoby. Komputery wykonują funkcje w ten sam sposób przez cały czas przy tych samych danych wejściowych. Ta konsekwencja otwiera drzwi do przestępczości komputerowej.
57. W której z poniższych sytuacji można zminimalizować przestępstwa komputerowe?
a. Sterowanie statyczne i funkcje zmienne
b. Dynamiczne sterowanie i zmienne funkcje
c. Sterowanie statyczne i funkcje statyczne
d. Dynamiczne sterowanie i funkcje statyczne
57. b. Zarówno elementy sterujące, jak i funkcje systemu mogą być ręczne i/lub zautomatyzowane. Kluczem jest zróżnicowanie obu, aby zapobiec przewidywalności charakteru ich działania. Stopień zmienności zależy od krytyczności systemu, ponieważ im większa krytyczność, tym wyższa zmienność.
58. Które z poniższych powinno podlegać kontroli poufności?
a. Prawa autorskie
b. Patenty
c. Tajemnice handlowe
d. Znaki towarowe
58.c. Ponieważ tajemnice handlowe są celem zarówno pracowników, jak i szpiegostwa przemysłowego, powinny one podlegać kontroli poufności, podczas gdy prawa autorskie, patenty i znaki towarowe wymagają kontroli integralności, autentyczności i dostępności.
59. Z którym z poniższych typów incydentów bezpieczeństwa komputerowego związana jest osoba grożąca innej osobie za pośrednictwem poczty elektronicznej?
a. Odmowa usługi
b. Złośliwy kod
c. Nieautoryzowany dostęp
d. Niewłaściwe użycie
59. d. Incydent niewłaściwego użycia ma miejsce, gdy użytkownik wykonuje działania, które naruszają dopuszczalne zasady korzystania z komputerów. Wiadomości e-mail nękające współpracowników i inne osoby są przykładem niewłaściwych działań związanych z użytkowaniem. Atak typu "odmowa usługi" (DoS) uniemożliwia lub utrudnia autoryzowane korzystanie z sieci, systemów lub aplikacji poprzez wyczerpanie zasobów. Złośliwy kod obejmuje wirusa, robaka, konia trojańskiego lub inną złośliwą jednostkę opartą na kodzie, która infekuje hosta. Nieautoryzowany dostęp to sytuacja, w której osoba uzyskuje logiczny lub fizyczny dostęp bez pozwolenia do sieci, systemu operacyjnego, systemu aplikacji, danych lub urządzenia.
60. Dokumentacja robocza audytora zgodności powinna:
a. Zapewnienie głównego wsparcia dla raportu biegłego rewidenta
b. Nie zawierają krytycznych komentarzy dotyczących zarządzania bezpieczeństwem informacji
c. Nie zawierać komentarzy i obaw kierownictwa IT
d. Być uważanym za substytut dzienników i raportów systemu komputerowego
60. a. dokumentacji roboczej z audytu jest udokumentowanie wykonanych prac audytowych i ich wyników. Pozostałe trzy opcje są nieprawidłowe, ponieważ dokumenty robocze audytora mogą zawierać komentarze dotyczące zarządzania bezpieczeństwem informacji, a także odpowiedzi kierownictwa IT na zalecenia. Dokumentacja robocza z audytu nie zastępuje dzienników i raportów systemu komputerowego, ponieważ jest to własny produkt pracy audytora, wspierający sprawozdanie audytora.
61. Które z poniższych daje najlepsze wyniki, gdy dane są aktualne; chociaż jest mniej wszechstronny w identyfikacji zainfekowanych hostów?
a. Identyfikacja kryminalistyczna
b. Aktywna identyfikacja
c. Ręczna identyfikacja
d. Wielokrotna identyfikacja
61. a. Jeżeli kryminalistyczne dane identyfikacyjne są aktualne, mogą być dobrym źródłem łatwo dostępnych informacji; chociaż informacje mogą nie być wyczerpujące w identyfikowaniu zainfekowanych hostów w celu uzyskania dowodów prawnych. Pozostałe trzy opcje nie dają dowodów prawnych.
62. Która z poniższych opcji jest preferowana, gdy inne metody są niewystarczające do identyfikacji zainfekowanych hostów?
a. Identyfikacja kryminalistyczna
b. Aktywna identyfikacja
c. Ręczna identyfikacja
d. Wielokrotna identyfikacja
62. c. Ręczne metody identyfikacji są generalnie niewykonalne dla kompleksowej identyfikacji w całym przedsiębiorstwie, ale są niezbędną częścią identyfikacji, gdy inne metody nie są dostępne i mogą wypełnić luki, gdy inne metody są niewystarczające. 63. Z perspektywy zarządzania dziennikami próby logowania do aplikacji są rejestrowane w którym z poniższych dzienników?
1. Dziennik audytu
2. Dziennik uwierzytelniania
3. Dziennik zdarzeń
4. Dziennik błędów
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
63. c. Wpisy dziennika inspekcji, zwane również wpisami dziennika zabezpieczeń, zawierają informacje dotyczące działań kontrolowanych, takich jak udane i nieudane próby logowania, zmiany zasad zabezpieczeń, dostęp do plików i wykonywanie procesów. Niektóre aplikacje rejestrują próby logowania w osobnym dzienniku uwierzytelniania. Aplikacje mogą korzystać z funkcji audytu wbudowanych w system operacyjny lub udostępniać własne możliwości audytu. Wpisy dziennika zdarzeń zazwyczaj zawierają listę wszystkich wykonanych akcji, datę i godzinę wykonania każdej akcji oraz wynik każdej akcji. Dzienniki błędów rejestrują informacje dotyczące błędów aplikacji, zazwyczaj z sygnaturami czasowymi. Dzienniki błędów są pomocne w rozwiązywaniu problemów operacyjnych i ataków. Komunikaty o błędach mogą być pomocne w ustaleniu, kiedy wystąpiło interesujące wydarzenie i określeniu ważnych cech zdarzenia.
64. Z perspektywy zarządzania dziennikami, które z poniższych działań dostarcza więcej informacji na temat wyników każdego zarejestrowanego działania do dziennika zdarzeń aplikacji?
a. Data wykonania każdej czynności
b. Jaki kod statusu został zwrócony?
c. Czas wykonania każdej akcji
d. Jaka nazwa użytkownika została użyta do wykonania każdej akcji?
64. b. Dzienniki zdarzeń zawierają listę wszystkich wykonanych akcji, datę i godzinę wykonania każdej akcji oraz wynik każdej akcji. Wpisy dziennika zdarzeń mogą również zawierać informacje pomocnicze, takie jak nazwa użytkownika użyta do wykonania każdej akcji i zwrócony kod stanu. Zwrócony kod statusu dostarcza więcej informacji o wyniku niż prosty status pomyślny/niepowodzenie.
65. Oprogramowanie szpiegujące jest często dołączone do którego z poniższych?
a. Programy klienckie do udostępniania plików P2P
b. Robaki usług sieciowych
c. Robaki wysyłające masowo
d. Wirusy przenoszone przez e-mail
65. a. Oprogramowanie szpiegujące jest często dołączane do oprogramowania, takiego jak niektóre programy klienckie do udostępniania plików peer-to-peer (P2P); gdy użytkownik zainstaluje podobno łagodne oprogramowanie P2P, następnie potajemnie instaluje oprogramowanie szpiegujące programy. Robaki usług sieciowych są nieprawidłowe, ponieważ rozprzestrzeniają się, wykorzystując luki w usługach sieciowych związanych z systemem operacyjnym lub aplikacją. Robaki masowego rozsyłania wiadomości e-mail i wirusy rozsyłane pocztą elektroniczną są niepoprawne, ponieważ robaki masowego rozsyłania wiadomości e-mail są podobne do wirusów rozsyłanych za pośrednictwem poczty e-mail, przy czym podstawową różnicą jest to, że robaki masowo rozsyłane są samodzielnie, zamiast infekować istniejący plik jako wiadomość e-mail. przenoszone wirusy. Po zainfekowaniu systemu przez robaka rozsyłanego masowo, zwykle przeszukuje on system w poszukiwaniu adresów e-mail, a następnie wysyła swoje kopie na te adresy, korzystając albo z systemowego klienta poczty e-mail, albo z samodzielnego programu pocztowego wbudowanego w robaka.
66. Które z poniższych nie jest przykładem dzienników oprogramowania zabezpieczającego?
a. Dzienniki systemu zapobiegania włamaniom
b. Dzienniki oprogramowania do zarządzania podatnościami
c. Dzienniki serwera kwarantanny sieci
d. Dzienniki udostępniania plików
66.d. Dzienniki udostępniania plików są przykładem dzienników aplikacji. Pozostałe trzy opcje to przykłady dzienników oprogramowania zabezpieczającego.
67. Które z poniższych dzienników są najbardziej przydatne do identyfikacji podejrzanej aktywności z udziałem konkretnego hosta?
a. Dzienniki oprogramowania zabezpieczającego opartego na sieci
b. Dzienniki oprogramowania zabezpieczającego opartego na hoście
c. Dzienniki systemu operacyjnego
d. Dzienniki systemowe aplikacji
67.c. Dzienniki systemów operacyjnych są najbardziej przydatne do identyfikowania podejrzanej aktywności z udziałem konkretnego hosta lub dostarczania większej ilości informacji o podejrzanej aktywności zidentyfikowanej przez innego hosta. Dzienniki systemu operacyjnego zbierają informacje o serwerach, stacjach roboczych i urządzeniach łączności sieciowej (np. routerach i przełącznikach), które mogą być przydatne w identyfikowaniu podejrzanej aktywności z udziałem konkretnego hosta. Pozostałe trzy dzienniki nie są tak korzystne w porównaniu z dziennikami systemu operacyjnego. Dzienniki oprogramowania zabezpieczającego zarówno sieciowego, jak i hosta zawierają podstawowe informacje związane z bezpieczeństwem, takie jak profile dostępu użytkowników oraz prawa dostępu i uprawnienia. Dzienniki systemowe aplikacji obejmują dzienniki poczty e-mail, dzienniki serwera sieci Web i dzienniki udostępniania plików.
68. Łańcuch dowodowy nie zadaje pytania, które z poniższych pytań?
a. Kto zniszczył dowody?
b. Kto zebrał dowody?
c. Kto przechowywał dowody?
d. Kto kontrolował dowody?
68. a. Łańcuch dowodowy dotyczy tego, kto zbierał, przechowywał i kontrolował dowody, i nie pyta, kto je zniszczył. Patrzy na pozytywną stronę dowodów. Jeśli dowód jest uszkodzony, w sądzie nie ma nic do pokazania.
69. Licencje na witrynę oprogramowania najlepiej nadają się do:
a. Unikalne zakupy
b. Licencja o stałej cenie
c. Jednostki pojedynczego zakupu
d. Małe partie oprogramowania
69. b. Licencje na oprogramowanie w witrynie najlepiej nadają się do średnich i dużych wymagań dotyczących oprogramowania, w przypadku których można spodziewać się rabatów na licencje o stałej cenie lub rabatów ilościowych. Zniżki dają oczywistą przewagę. Uzyskując rabaty, organizacja nie tylko nabywa więcej oprogramowania do swojej inwestycji, ale także usprawnia zarządzanie oprogramowaniem. Czynniki, które rozszerzają wymagania poza normalne praktyki dystrybucji/pakietów, są również głównymi kandydatami na licencje dla lokalizacji. Przykładami takich czynników są kopiowanie i dystrybucja oprogramowania i dokumentacji, konwersja i szkolenie. Licencje lokalne nie są odpowiednie dla oprogramowania wdrożonego w wyjątkowej sytuacji, pojedynczych jednostek zakupu lub niewielkich partii oprogramowania.
70. Które z poniższych stwierdzeń na temat Cyberprawa nie jest prawdziwe?
a. Osoba kopiująca linki hipertekstowe z jednej strony na drugą odpowiada za naruszenie praw autorskich.
b. Czynność kopiowania elementów graficznych z witryn w sieci i kopiowanie ich do nowej strony jest nielegalne.
c. Ikony są chronione prawem autorskim.
d. Korzystanie z Internetu jako kanału dystrybucji oprogramowania komputerowego nie ma żadnych konsekwencji.
70. d. Cyberprawo wyklucza komercyjne wypożyczanie lub wypożyczanie oprogramowania komputerowego bez upoważnienia właściciela praw autorskich. Prawdą jest, że osoba tworząca witrynę internetową musi uzyskać zgodę na umieszczenie linku do strony głównej lub witryny innej osoby. W strukturze, kolejności i organizacji tych linków mogą znajdować się wyrażenia objęte prawami autorskimi. Osoba kopiująca te linki na inną stronę internetową może być odpowiedzialna za naruszenie praw autorskich. Chociaż dość łatwo jest skopiować grafikę z witryn internetowych i skopiować je na nową stronę, jasne jest również, że w większości przypadków takie kopiowanie stanowi naruszenie praw autorskich. Ikony są częścią grafiki i są chronione prawami autorskimi.
71. a. Które z poniższych jest głównym źródłem identyfikacji kryminalistycznych zainfekowanych gospodarzy?
a. Oprogramowanie do wykrywania i usuwania oprogramowania szpiegującego
b. Dzienniki urządzeń sieciowych
c. Routery wpuszczane
d. Sieciowe narzędzia śledcze
71. Oprogramowanie narzędziowe do wykrywania i usuwania programów szpiegujących jest głównym źródłem oprogramowania wraz z oprogramowaniem antywirusowym, filtrowaniem treści i oprogramowaniem IPS opartym na hoście. Dzienniki urządzeń sieciowych, routery typu sinkhole i sieciowe narzędzia śledcze są nieprawidłowe, ponieważ stanowią przykłady źródeł wtórnych. Dzienniki urządzeń sieciowych pokazują określone kombinacje numerów portów i nietypowe protokoły. Router typu sinkhole to router w organizacji, który odbiera cały ruch o nieznanej trasie (np. docelowe adresy IP w nieużywanej podsieci). Router typu sinkhole jest zwykle skonfigurowany do wysyłania informacji o odebranym ruchu do serwera dziennika i IDS; Czasami używany jest również sniffer pakietów do rejestrowania podejrzanej aktywności. Sieciowe narzędzia śledcze obejmują sniffery pakietów i analizatory protokołów.
72. Które z poniższych nie jest przykładem dzienników oprogramowania zabezpieczającego?
a. Dzienniki systemu wykrywania włamań
b. Dzienniki serwera uwierzytelniania
c. Dzienniki serwera poczty e-mail
d. Dzienniki Honeypot
72. c. Przykładem dzienników aplikacji są dzienniki poczty e-mail. Pozostałe trzy dzienniki to przykłady dzienników oprogramowania zabezpieczającego.
73. Z jakich powodów dzienniki mogą być przydatne?
1. Ustalenie linii bazowych
2. Aby przeprowadzić analizę kryminalistyczną
3. Wspieranie dochodzeń wewnętrznych
4. Identyfikacja trendów operacyjnych
a. Tylko 1
b. Tylko 3
c. Tylko 4
d. 1, 2, 3 i 4
73. d. Dzienniki mogą być przydatne do ustanawiania punktów odniesienia, przeprowadzania audytów i analiz kryminalistycznych, wspierania dochodzeń oraz identyfikowania trendów operacyjnych i problemów długoterminowych.
74. Serwery protokołu czasu sieciowego (NTP) są używane do utrzymywania spójności zegarów źródeł dzienników, w których z poniższych funkcji infrastruktury zarządzania dziennikami?
a. Filtrowanie dziennika
b. Agregacja logów
c. Normalizacja dziennika
d. Korelacja dziennika
74.c. W normalizacji wartości danych dziennika są konwertowane do standardowego formatu i konsekwentnie oznaczane. Jednym z najczęstszych zastosowań normalizacji jest przechowywanie dat i godzin w jednym formacie. Organizacje powinny używać technologii synchronizacji czasu, takich jak serwery protokołu czasu sieciowego (NTP), aby zapewnić spójność zegarów źródeł dzienników. Pozostałe trzy opcje nie dotyczą serwerów NTP.
75. W odniesieniu do funkcji infrastruktury zarządzania logami, które z następującymi czynnościami są wykonywane w celu wsparcia obsługi incydentów lub dochodzeń?
a. Czyszczenie dziennika
b. Przechowywanie dzienników
c. Zachowanie dziennika
d. Redukcja kłód
75. c. Przechowywanie dzienników jest wykonywane w celu wsparcia obsługi incydentów lub dochodzeń, ponieważ dzienniki zawierają zapisy aktywności o szczególnym znaczeniu. Pozostałe trzy opcje nie obsługują obsługi incydentów. Przechowywanie dzienników i zachowywanie dzienników są częścią archiwizacji dzienników. Czyszczenie dziennika polega na usunięciu z dziennika wszystkich wpisów poprzedzających określoną datę i godzinę. Redukcja dziennika polega na usunięciu niepotrzebnych wpisów lub pól danych z dziennika w celu utworzenia nowego dziennika, który jest podobny.
76. Która z poniższych opcji jest najbardziej zalecana w celu zapewnienia integralności pliku dziennika?
a. Skrót wiadomości 5 (MD5)
b. Bezpieczny algorytm mieszający 1 (SHA-1)
c. Protokół datagramów użytkownika (UDP)
d. Protokół kontroli transmisji (TCP)
76. b. Chociaż zarówno MD5, jak i SHA-1 są powszechnie używanymi algorytmami skrótu wiadomości, SHA-1 jest silniejszy i lepszy niż MD5. Dlatego SHA-1 jest najczęściej zalecany w celu zapewnienia integralności pliku dziennika. UDP to bezpołączeniowy i zawodny protokół używany do przesyłania dzienników między hostami. TCP to protokół zorientowany na połączenie, który stara się zapewnić niezawodne dostarczanie informacji w sieciach.
77. Jeśli chodzi o infrastrukturę zarządzania dziennikami, które z poniższych cech charakteryzuje oprogramowanie do zarządzania zdarzeniami związanymi z bezpieczeństwem?
1. Pojedynczy standardowy format danych
2. Zastrzeżone formaty danych
3. Wysoko zasobożerne dla gospodarzy
4. Nisko zasobochłonne dla gospodarzy
a. 1 i 3
b. 1 i 4
c. 2 i 3
d. 2 i 4
77.c. W przeciwieństwie do oprogramowania do scentralizowanego rejestrowania opartego na syslog, które opiera się na jednym standardzie, oprogramowanie do zarządzania zdarzeniami bezpieczeństwa (SEM) wykorzystuje głównie zastrzeżone formaty danych. Chociaż oprogramowanie SEM zazwyczaj oferuje bardziej niezawodne i szersze możliwości zarządzania logami niż syslog, oprogramowanie SEM jest zwykle znacznie bardziej skomplikowane i kosztowne we wdrożeniu niż scentralizowana implementacja syslog. Ponadto oprogramowanie SEM jest często bardziej zasobochłonne dla poszczególnych hostów niż syslog ze względu na przetwarzanie wykonywane przez agentów.
78. Które z poniższych sieciowych środowisk operacyjnych jest najłatwiejsze do wykonania funkcji zarządzania logami?
a. Samodzielny
b. Przedsiębiorstwo
c. Zwyczaj
d. Dziedzictwo
78.b. Ze wszystkich sieciowych środowisk operacyjnych środowisko korporacyjne (zarządzane) jest zazwyczaj najłatwiejsze do wykonywania funkcji zarządzania dziennikami i zwykle nie wymaga specjalnego uwzględnienia w opracowywaniu polityki dziennika. Dzieje się tak, ponieważ administratorzy systemu mają scentralizowaną kontrolę nad różnymi ustawieniami na stacjach roboczych i serwerach oraz mają formalną strukturę. Pozostałe trzy opcje wymagają specjalnych rozważań, a zatem trudne do wykonania funkcji zarządzania dziennikami. Na przykład środowisko samodzielne (małe biuro/biuro domowe) ma strukturę nieformalną, środowisko niestandardowe zajmuje się wyspecjalizowanymi zabezpieczeniami funkcjonalności, a starsze środowisko obsługuje starsze systemy, które mogą być mniej bezpieczne.
79. Które z poniższych są głównymi czynnikami, które należy wziąć pod uwagę podczas projektowania procesów zarządzania logami na poziomie systemu?
1. Przechowywanie danych online i offline
2. Potrzeby bezpieczeństwa danych
3. Inicjowanie reakcji na zidentyfikowane zdarzenia
4. Zarządzanie długotrwałym przechowywaniem danych
a. 1 i 2
b. 1 i 4
c. 2 i 3
d. 3 i 4
79. d. Główne procesy zarządzania dziennikami na poziomie systemu to konfigurowanie źródeł dzienników, zapewnianie stałego wsparcia operacyjnego, przeprowadzanie analizy dzienników, inicjowanie reakcji na zidentyfikowane zdarzenia oraz zarządzanie długotrwałym przechowywaniem danych. Przechowywanie danych online i offline oraz potrzeby w zakresie bezpieczeństwa danych dotyczą procesów zarządzania dziennikami na poziomie organizacji.
80. Które z poniższych jest przykładem wdrożenia ochrony przed złośliwym kodem na poziomie serwera aplikacji?
a. Systemy operacyjne dla stacji roboczych
b. Serwery proxy
c. Klienci poczty e-mail
d. Klienci komunikatorów
80. b. Ochrona przed złośliwym kodem powinna być wdrażana na poziomie hosta (np. systemy operacyjne serwerów i stacji roboczych), na poziomie serwera aplikacji (np. serwer poczty e-mail i serwery proxy sieci Web) oraz na poziomie klienta aplikacji (np. klienci poczty e-mail i komunikatorów internetowych).
81. Jeśli chodzi o oznaki zdarzenia, które z poniższych cech charakteryzują wskaźnik?
1. Przyszły incydent
2. Miniony incydent
3. Obecny incydent
4. Wszystkie incydenty
a. Tylko 2
b. 1 i 2
c. 2 i 3
d. 1, 2, 3 i 4
81. c. Oznaki incydentu należą do jednej z dwóch kategorii: prekursorów i wskazań. Wskaźnik jest znakiem, że incydent mógł mieć miejsce (incydent przeszły) lub może mieć miejsce teraz (incydent obecny). Prekursor jest znakiem, że w przyszłości może wystąpić incydent (przyszły incydent). Wskaźnik nie jest oparty na przyszłych incydentach ani na wszystkich incydentach.
82. Jeśli chodzi o oznaki zdarzenia, które z poniższych nie jest przykładem wskaźników?
a. Oprogramowanie antywirusowe ostrzega, gdy wykryje, że host jest zainfekowany robakiem.
b. Użytkownik dzwoni do działu pomocy, aby zgłosić wiadomość e-mail z groźbą.
c. Wpisy dziennika serwera sieci Web, które pokazują użycie internetowego skanera luk w zabezpieczeniach.
d. Host rejestruje w swoim dzienniku zmianę konfiguracji kontroli.
82. c. "Wpisy dziennika serwera sieci Web, które pokazują użycie skanera podatności sieci Web" są przykładem prekursora, ponieważ dotyczą przyszłego incydentu. Pozostałe trzy wybory to przykłady wskazań dotyczących przeszłych i obecnych incydentów.
83. Które z poniższych stwierdzeń dotyczących oznak incydentu?
1. Nie każdy atak można wykryć za pomocą prekursorów.
2. Niektóre ataki nie mają prekursorów.
3. Niektóre ataki generujące prekursory nie zawsze mogą zostać wykryte.
4. Przy niektórych atakach zawsze są wskaźniki.
a. 1 i 2
b. 1i 3
c. 2 i 3
d. 1, 2, 3 i 4
83. d. Prekursor to znak, że w przyszłości może dojść do incydentu (przyszły incydent). Wskaźnik jest znakiem, że incydent mógł mieć miejsce (incydent przeszły) lub może mieć miejsce teraz (incydent obecny). Prawdą jest, że nie każdy atak można wykryć za pomocą prekursorów. Niektóre ataki nie mają prekursorów, podczas gdy inne ataki generują prekursory, których organizacja nie jest w stanie wykryć. W przypadku wykrycia prekursorów organizacja może mieć możliwość zapobieżenia incydentowi poprzez zmianę stanu bezpieczeństwa za pomocą automatycznych lub ręcznych środków, aby uchronić cel przed atakiem. Prawdą jest, że zawsze zdarzają się ataki ze wskaźnikami.
84. Które z poniższych nie jest wykorzystywane jako pierwotne źródło prekursorów lub wskazań?
a. Dzienniki systemu operacyjnego
b. Dzienniki usług
c. Dzienniki urządzeń sieciowych
d. Dzienniki aplikacji
84. c. Dzienniki z urządzeń sieciowych, takich jak zapory i routery, nie są zwykle używane jako główne źródło prekursorów lub wskazań. Dzienniki urządzeń sieciowych dostarczają niewiele informacji o charakterze aktywności. Często dzienniki systemu operacyjnego, dzienniki usług i dzienniki aplikacji zapewniają dużą wartość w przypadku wystąpienia incydentu. Dzienniki te mogą dostarczać wielu informacji, takich jak dostęp do kont i wykonane czynności.
85. Który z poniższych zapisów zawiera nazwę użytkownika użytą do ataku?
a. Dzienniki zapory
b. Dzienniki oprogramowania do wykrywania włamań do sieci
c. Dzienniki oprogramowania do wykrywania włamań hosta
d. Dzienniki aplikacji
85. d. Dowody incydentu mogą być zapisane w kilku dziennikach. Każdy dziennik może zawierać różne rodzaje danych dotyczących incydentu. jakiś dziennik aplikacji może zawierać nazwę użytkownika używaną do atakowania i tworzenia incydentu bezpieczeństwa. Logi w pozostałych trzech opcjach nie zawierają Nazwę Użytkownika.
86. Który z poniższych zapisów zawiera informacje dotyczące tego, czy atak przeprowadzony na konkretnego hosta zakończył się sukcesem?
a. Dzienniki zapory
b. Dzienniki oprogramowania do wykrywania włamań do sieci
c. Dzienniki oprogramowania do wykrywania włamań hosta
d. Dzienniki aplikacji
86. c. Dowody incydentu mogą być zapisane w kilku dziennikach. Każdy dziennik może zawierać różne rodzaje danych dotyczących incydentu. Czujnik wykrywania włamań do hosta może rejestrować informacje o tym, czy atak przeprowadzony na konkretnego hosta zakończył się sukcesem. Dzienniki w pozostałych trzech opcjach mogą również rejestrować informacje dotyczące hosta, ale mogą nie wskazywać, czy host się powiódł.
87. W przypadku stosowania informatyki śledczej do obrazowania dysków nadmiarowych dysków niezależnych (RAID), uzyskanie pełnego obrazu dysku jest ważnym dowodem w sądzie. Za pomocą którego najczęściej osiąga się to?
a. Zapewnienie dokładności
b. Zapewnienie kompletności
c. Zapewnienie przejrzystości
d. Korzystanie z algorytmu mieszającego
87. d. W dziedzinie informatyki śledczej i podczas procesu obrazowania dysków w nadmiarowej macierzy niezależnych dysków (RAID), dwie najbardziej krytyczne właściwości to uzyskanie pełnego obrazu dysku i uzyskanie dokładnego obrazu dysku. Jedną z głównych metod zapewnienia jednej lub obu tych właściwości jest użycie algorytmu mieszającego. Skrót to kod liczbowy wygenerowany ze strumienia danych, znacznie mniejszy niż same dane i nazywany skrótem wiadomości. Jest tworzony przez przetwarzanie wszystkich danych za pomocą algorytmu mieszającego, który generuje dane wyjściowe o stałej długości. W tym przypadku przejrzystość oznacza, że dane są szeroko dostępne dla niezastrzeżonych narzędzi.
88. Incydentom związanym z bezpieczeństwem komputerowym nie należy traktować priorytetowo zgodnie z:
a. Aktualny skutek incydentu
b. Krytyczność dotkniętych zasobów
c. Na zasadzie "kto pierwszy, ten lepszy"
d. Przyszły skutek incydentu
88. c. Incydenty związane z bezpieczeństwem komputerowym nie powinny być traktowane ani priorytetyzowane na zasadzie "kto pierwszy, ten lepszy" ze względu na ograniczenia zasobów. Osoby zajmujące się obsługą incydentów powinny wziąć pod uwagę nie tylko obecne negatywne skutki techniczne incydentu, ale także prawdopodobny przyszły skutek techniczny incydentu, jeśli nie zostanie on natychmiast opanowany. Krytyczność zasobu (np. zapory i serwery WWW) opiera się na zawartych w nim danych lub usługach dostarczanych użytkownikom. Pozostałe trzy opcje to czynniki, które należy wziąć pod uwagę podczas ustalania priorytetów incydentów.
89. Które z poniższych wskazań nie jest związane ze złośliwym działaniem, takim jak robak rozprzestrzeniający się za pośrednictwem podatnej na ataki usługi infekującej hosta?
a. Brak linków do zewnętrznych źródeł
b. Zwiększone użycie sieci
c. Programy zaczynają się powoli i działają powoli
d. Niestabilność i awarie systemu
89. a. Nie powinno być żadnych linków do zewnętrznych źródeł i jest to przykład możliwych wskazań złośliwego działania, takiego jak użytkownik, który otrzymuje wiadomość o fałszywym wirusie. Pozostałe trzy opcje to przykłady możliwych wskazań robaka, który rozprzestrzenia się za pośrednictwem podatnej na ataki usługi infekującej hosta.
90. W której z poniższych faz procesu informatyki śledczej zajmującej się incydentami komputerowymi najczęściej wykorzystuje się połączenie zautomatyzowanych narzędzi i metod ręcznych?
a. Kolekcja
b. Badanie
c. Analiza
d. Raportowanie
90. b. Proces informatyki śledczej dotyczący incydentów komputerowych składa się z czterech faz: zbierania, badania, analizy i raportowania. Faza badania najczęściej obejmuje kryminalistyczne przetwarzanie dużych ilości zebranych danych przy użyciu kombinacji zautomatyzowanych i ręcznych metod oceny i wyodrębnienia danych o szczególnym znaczeniu, przy jednoczesnym zachowaniu integralności danych. Faza gromadzenia jest w większości zautomatyzowana w identyfikowaniu, oznaczaniu, rejestrowaniu i pozyskiwaniu danych z możliwych źródeł odpowiednich danych, przy jednoczesnym przestrzeganiu wytycznych, zasad i procedur. Faza analizy polega na ręcznej analizie wyników fazy badania, przy użyciu prawnie uzasadnionych metod i technik. Faza raportowania polega na ręcznym raportowaniu wyników fazy analizy, która może obejmować opisanie wykonanych działań i wyjaśnienie, w jaki sposób wybrano narzędzia i procedury.
91. W którym z poniższych krajów lub regionów świata oprogramowanie komputerowe jest odpowiednio chronione tajemnicami handlowymi oraz prawami autorskimi?
a. Brazylia
b. Meksyk
c. Zachodnia Europa
d. Argentyna
91. c. Oprogramowanie komputerowe jest odpowiednio chronione tajemnicami handlowymi oraz prawami autorskimi w krajach członkowskich Wspólnoty Europejskiej. Brazylia nie ma konkretnych przepisów, a Argentyna może mieć określone przepisy dotyczące ochrony tajemnic handlowych. Meksyk posiada przepisy chroniące tajemnice przemysłowe, ale nie tajemnice handlowe dotyczące oprogramowania komputerowego.
92. Które z poniższych dzienników mają drugorzędne zastosowanie w analizie dzienników pod kątem oszustw?
a. Dzienniki oprogramowania antymalware
b. Dzienniki systemu wykrywania włamań
c. Dzienniki systemu zapobiegania włamaniom
d. Dzienniki udostępniania plików
92.d. Protokół przesyłania plików (FTP) jest używany do udostępniania plików, gdzie FTP jest narażony na ataki i dlatego nie jest głównym źródłem analizy oszustw. Dzienniki udostępniania plików mają drugorzędne zastosowania. Pozostałe trzy dzienniki są przydatne przede wszystkim do analizy oszustw.
93. Doddling danych można uniemożliwić za pomocą wszystkich poniższych sposobów, z wyjątkiem:
a. Kontrola dostępu
b. Sterowanie zmianą programu
c. Szybka korekta danych
d. Sprawdzanie integralności
93. c. Doddling danych można zapobiec, ograniczając dostęp do danych i programów oraz ograniczając metody stosowane do wykonywania modyfikacji takich danych i programów. Potrzebna jest szybka detekcja (nie szybka korekta) - im szybciej tym lepiej - ponieważ korygowanie danych jest kosztowne.
94. Z punktu widzenia mechanizmu ochrony przed złośliwym kodem, który z poniższych elementów jest najbardziej ryzykowny?
a. Poczta elektroniczna
b. Nośniki wymienne
c. Załączniki do poczty elektronicznej
d. Dostęp do sieci
94. b. Złośliwy kod obejmuje wirusy, konie trojańskie, robaki i oprogramowanie szpiegujące. Mechanizmy ochrony przed złośliwym kodem są potrzebne w punktach wejścia i wyjścia systemu, stacjach roboczych, serwerach i mobilnych urządzeniach komputerowych w sieci. Złośliwy kod może być przenoszony za pośrednictwem poczty elektronicznej, załączników do wiadomości e-mail, dostępu do sieci WWW oraz nośników wymiennych (np. urządzeń USB, dysków flash i dysków kompaktowych). Ze względu na swoją elastyczność i mobilność nośniki wymienne mogą przenosić złośliwy kod z jednego systemu do drugiego; dlatego jest to najbardziej ryzykowne. Pamiętaj, że nośniki wymienne mogą być ryzykowne lub nie ryzykowne w zależności od tego, jak są używane i przez kogo są używane. Pozostałe trzy opcje są mniej ryzykowne.
95. Jeśli chodzi o oznaki zdarzenia, które z poniższych nie jest przykładem wskazań?
a. Serwer sieci Web ulega awarii.
b. Groźba ze strony grupy haktywistycznej twierdząca, że grupa zaatakuje organizację.
c. Użytkownicy narzekają na powolny dostęp do hostów w Internecie.
d. Administrator systemu widzi nazwę pliku z nietypowymi znakami.
95. b. "Zagrożenie ze strony grupy haktywistycznej twierdzącej, że grupa zaatakuje organizację" jest przykładem prekursora, ponieważ dotyczy przyszłego incydentu. Pozostałe trzy opcje są przykładami wskazań dotyczących przeszłych i obecnych wskazań.
96. Jeśli chodzi o analizę danych zarządzania dziennikami, oprogramowanie do zarządzania zdarzeniami bezpieczeństwa (SEM) nie wykonuje następujących czynności?
a. Wygeneruj oryginalne dane wydarzenia.
b. Zidentyfikuj złośliwą aktywność.
c. Wykrywaj niewłaściwe użycie systemów i sieci.
d. Wykryj niewłaściwe użycie systemów i sieci.
96. a. Oprogramowanie do zarządzania zdarzeniami bezpieczeństwa (SEM) jest w stanie importować informacje o zdarzeniach bezpieczeństwa z różnych źródeł danych zdarzeń bezpieczeństwa związanych z ruchem w sieci (np. dzienniki IDS i dzienniki zapory) i korelować zdarzenia między źródłami. Zasadniczo działa poprzez odbieranie kopii dzienników z różnych źródeł danych przez bezpieczne kanały, normalizowanie dzienników do standardowego formatu, a następnie identyfikowanie powiązanych zdarzeń poprzez dopasowanie adresów IP, sygnatur czasowych i innych cech. Produkty SEM zwykle nie generują oryginalnych danych o zdarzeniach; zamiast tego generują metazdarzenia na podstawie zaimportowanych danych o zdarzeniach. Wiele produktów SEM nie tylko może identyfikować złośliwą aktywność, taką jak ataki i infekcje wirusowe; potrafią również wykrywać nadużycia i niewłaściwe użytkowanie systemów i sieci. Oprogramowanie SEM może być pomocne w udostępnianiu wielu źródeł informacji o ruchu sieciowym za pośrednictwem jednego interfejsu.
97. W miarę jak osoby zajmujące się obsługą incydentów lepiej zapoznają się z wpisami w dzienniku i alertami bezpieczeństwa, które z poniższych elementów są ważniejsze do zbadania?
1. Zwykłe wpisy z niewielkim ryzykiem
2. Nietypowe wpisy
3. Niewyjaśnione wpisy
4. Nieprawidłowe wpisy
a. 1 i 2
b. 2 i 3
c. 2, 3 i 4
d. 1, 2, 3 i 4
97. c. Osoby zajmujące się obsługą incydentów powinny przeglądać wpisy w dzienniku i alerty bezpieczeństwa, aby uzyskać solidne zrozumienie normalnego zachowania lub charakterystyk sieci, systemów i aplikacji, tak aby można było łatwiej rozpoznać nieprawidłowe zachowanie. Osoby zajmujące się obsługą incydentów powinny bardziej koncentrować się na głównych zagrożeniach, takich jak nietypowe wpisy, niewyjaśnione wpisy i nienormalne wpisy, które są generalnie ważniejsze do analizy i zbadania niż zwykłe wpisy o niewielkim ryzyku. Jest to zgodne z zasadą zarządzania przez wyjątek, która koncentruje się na głównych ryzykach, ponieważ czas zarządzania jest ograniczony.
98. W którym z poniższych miejsc można zarejestrować informacje o zdarzeniu?
1. Dziennik zapory
2. Dzienniki IDS sieci
3. Dzienniki IDS hosta
4. Dzienniki aplikacji
a. Tylko 1
b. 2 i 3
c. Tylko 4
d. 1, 2, 3 i 4
98. d. Informacje dotyczące incydentu mogą być rejestrowane w kilku miejscach, takich jak firewall, router, system wykrywania włamań do sieci (IDS), IDS hosta i dzienniki aplikacji. Jednak wszystkie one rejestrują różne informacje w różnym czasie.
99. Które z poniższych nie jest skutecznym sposobem zarządzania mechanizmami ochrony przed złośliwym kodem?
a. Automatyczna aktualizacja definicji podpisów
b. Uniemożliwienie nieuprzywilejowanym użytkownikom obchodzenia kontroli
c. Zarządzanie mechanizmami ochrony przed złośliwym kodem lokalnie lub w środowisku zdecentralizowanym
d. Testowanie ze znanym, łagodnym, nierozprzestrzeniającym się przypadkiem testowym
99.c. Organizacja musi centralnie zarządzać mechanizmami ochrony przed złośliwym kodem, podobnie jak zarządzanie procesem usuwania błędów. Obejmuje to centralne zarządzanie treścią generowanych rekordów audytu, stosowanie narzędzi do weryfikacji integralności, zarządzanie mechanizmami ochrony przed spamem i automatyczne instalowanie aktualizacji oprogramowania. Dzieje się tak, ponieważ mechanizmy ochrony przed złośliwym kodem są instalowane w wielu punktach wejścia i wyjścia systemu, stacjach roboczych, serwerach i mobilnych urządzeniach komputerowych w sieci. Zdecentralizowane podejście do zarządzania nie może działać wydajnie i skutecznie, biorąc pod uwagę różne punkty wejścia i wyjścia z systemu. Pozostałe trzy opcje są skuteczne.
100. Która z poniższych opcji skutecznie powstrzymuje infekcje złośliwym oprogramowaniem, które wykorzystują luki w zabezpieczeniach lub niezabezpieczone ustawienia?
a. Utwardzanie hosta i środki łatania
b. Ustawienia serwera e-mail
c. Ustawienia serwera sieciowego
d. Ustawienia klienta aplikacji
100. a. Podatności można złagodzić na kilka sposobów, w tym ćwicząc zarządzanie poprawkami, kierując się zasadą najmniejszych uprawnień i wdrażając środki wzmacniające hosta. Ta ostatnia obejmuje wyłączanie niepotrzebnych usług, rekonfigurację oprogramowania, eliminację niezabezpieczonych udziałów plików, zmianę domyślnych nazw użytkowników i haseł, wymaganie uwierzytelnienia przed zezwoleniem na dostęp do usługi sieciowej oraz wyłączenie automatycznego wykonywania plików binarnych i skryptów. Ustawienia serwera poczty e-mail są nieprawidłowe, ponieważ skutecznie zatrzymują złośliwe oprogramowanie wykorzystujące pocztę e-mail, które korzysta z usług poczty e-mail organizacji poprzez blokowanie załączników do wiadomości e-mail. Ustawienia serwera sieciowego są nieprawidłowe, ponieważ skutecznie zatrzymują robaki usług sieciowych. Ustawienia klienta aplikacji są nieprawidłowe, ponieważ skutecznie zatrzymują niektóre określone wystąpienia złośliwego oprogramowania.
101. Z wieloma incydentami komputerowymi można sobie poradzić bardziej skutecznie i wydajnie, jeśli względy analizy danych zostaną uwzględnione w:
a. Polityka organizacyjna
b. Procedury wydziałowe
c. Fazy cyklu życia systemu informacyjnego
d. Modele personelu reagowania na incydenty
101. c. Wiele incydentów komputerowych można obsłużyć skuteczniej i wydajniej, jeśli względy analizy danych zostaną uwzględnione w cyklu życia systemu informatycznego. Przykłady obejmują (i) konfigurowanie aplikacji o znaczeniu krytycznym do przeprowadzania audytu, w tym rejestrowanie wszystkich prób uwierzytelnienia, (ii) umożliwianie audytu na stacjach roboczych, serwerach i urządzeniach sieciowych oraz (iii) przekazywanie rekordów audytu do bezpiecznych scentralizowanych serwerów dzienników. Zasady organizacyjne i procedury wydziałowe są nieprawidłowe, ponieważ większość z tych rozważań to rozszerzenia istniejących przepisów w zasadach i procedurach. Modele kadrowe reagowania na incydenty są nieprawidłowe, ponieważ modele kadrowe są zwykle funkcją działu zasobów ludzkich.
102. Pozyskiwanie danych o ruchu w sieci może stwarzać pewne problemy prawne. Która z poniższych czynności powinna być wdrożona jako pierwsza, aby rozwiązać problemy prawne?
1. Zasady dostępu
2. Banery ostrzegawcze
3. Dzienniki systemowe
4. Alerty systemowe
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
102. c. Pozyskiwanie danych o ruchu w sieci może stwarzać pewne problemy prawne, w tym przechwytywanie (celowe lub przypadkowe) informacji mających wpływ na prywatność lub bezpieczeństwo, takich jak hasła lub zawartość wiadomości e-mail. Termin ruch sieciowy odnosi się do komunikacji w sieci komputerowej, która odbywa się między hostami w sieciach przewodowych lub bezprzewodowych. Zasady dostępu i banery ostrzegawcze to pierwszy krok do wykonania. Ważne jest, aby mieć zasady dotyczące monitorowania sieci, a także banery ostrzegawcze w systemie, które wskazują, że aktywność może być monitorowana. Dzienniki systemowe i alerty są częścią działań monitorujących.
103. Jeśli chodzi o analizę danych sieciowych, które z poniższych narzędzi nie jest narzędziem do ukrywania danych?
a. Oprogramowanie narzędziowe do szyfrowania plików
b. Oprogramowanie do filtrowania treści
c. Narzędzie steganograficzne
d. Narzędzie do czyszczenia systemu
103. b. Niektórzy używają narzędzi, które ukrywają dane przed innymi. Może się to odbywać w łagodnych celach, takich jak ochrona poufności i integralności danych przed dostępem osób nieupoważnionych, lub w złych celach, takich jak ukrywanie dowodów niewłaściwych działań. Oprogramowanie do filtrowania treści, zarówno oparte na sieci, jak i na hoście, nie jest narzędziem do ukrywania danych. To oprogramowanie skutecznie powstrzymuje znane złośliwe oprogramowanie internetowe. Przykłady narzędzi do ukrywania danych obejmują oprogramowanie narzędziowe do szyfrowania plików, narzędzia steganograficzne i narzędzia do czyszczenia systemu. Narzędzia do czyszczenia systemu to oprogramowanie specjalnego przeznaczenia, które usuwa dane dotyczące określonych aplikacji, takich jak przeglądarki internetowe, a także dane z lokalizacji ogólnych, takich jak katalogi tymczasowe.
104. Które z poniższych jest ściśle oparte na precedensach?
a. Prawo karne
b. Prawo cywilne
c. Prawo zwyczajowe
d. Prawo administracyjne
104. c. Prawo zwyczajowe jest również nazywane orzecznictwem i opiera się na przeszłych i obecnych sprawach sądowych, które stają się precedensem dla przyszłych spraw. Prawo karne zajmuje się przestępstwami, a rząd w imieniu narodu wnosi sprawy karne. Nie można użyć precedensu. Prawa cywilne opierają się przede wszystkim na ustawach prawnych bez użycia precedensu. Prawo administracyjne opiera się na przepisach rządowych dotyczących nadzoru nad działalnością gospodarczą. Nie można użyć precedensu.
105. Co to jest technika manipulowania danymi?
a. Zmiana danych przed wprowadzeniem do systemu komputerowego
b. Zmiana danych podczas wprowadzania do systemu komputerowego
c. Zmiana danych podczas wyjścia z systemu komputerowego
d. Zmiana danych przed wejściem, podczas wejścia i podczas wyjścia
105. d. Doddling danych polega na zmianie danych przed lub podczas wprowadzania danych do komputerów lub podczas przesyłania danych z systemu komputerowego.
106. Czym jest technika salami?
a. Zabieranie niewielkich ilości aktywów
b. Korzystanie z zaokrąglania w dół ułamka pieniędzy
c. Kradzież niewielkich ilości pieniędzy z kont bankowych
d. Zabieranie aktywów, zaokrąglanie w dół i kradzież pieniędzy
106. d. Technika salami to kradzież niewielkich ilości aktywów i pieniędzy z wielu źródeł (np. rachunków bankowych, rachunków inwentarzowych oraz rachunków płatniczych i należności). Wykorzystuje również zaokrąglanie w dół ułamka pieniędzy z kont bankowych.
107. Które z poniższych elementów tajemnicy handlowej nie obejmują?
a. Tajność
b. Wartość
c. Reklama
d. Posługiwać się
107. c. Reklama nie jest elementem tajemnicy handlowej. Podstawowe elementy tajemnicy handlowej to tajność, wartość i użytkowanie. Musi być ciągły wysiłek, aby zachować tajemnicę.
108. Jeśli chodzi o monitorowanie systemów informatycznych, która z poniższych jest najważniejszą korzyścią z ostrzegania personelu ochrony o niewłaściwych lub nietypowych działaniach mających wpływ na bezpieczeństwo?
a. Analizuje wzorce ruchu komunikacyjnego
b. Analizuje wzorce zdarzeń komunikacyjnych
c. Opracowuje profile reprezentujące wzorce ruchu/zdarzeń
d. Wykorzystuje profile ruchu/zdarzeń, aby zmniejszyć liczbę fałszywych pozytywnych i fałszywie negatywnych
108. d. Po powiadomieniu personelu ochrony o niewłaściwych lub nietypowych działaniach system uruchamia serię alertów. Najważniejszą zaletą tych alertów jest precyzyjne dostrojenie urządzeń monitorujących system w celu zmniejszenia liczby fałszywych alarmów i fałszywych negatywnych wyników do akceptowalnej liczby.
109. Którego z poniższych typów incydentu związanego z bezpieczeństwem komputerowym można wymienić na przykład atakującego wysyłającego specjalnie spreparowane pakiety do serwera sieci Web?
a. Odmowa usługi
b. Złośliwy kod
c. Nieautoryzowany dostęp
d. Niewłaściwe użycie
109. a. Atak typu "odmowa usługi" (DoS) uniemożliwia lub utrudnia autoryzowane korzystanie z sieci, systemów lub aplikacji poprzez wyczerpanie zasobów. Atakujący może wysłać specjalnie spreparowane pakiety do serwera sieci. Złośliwy kod obejmuje wirusa, robaka, konia trojańskiego lub inną złośliwą jednostkę opartą na kodzie, która infekuje hosta. Nieautoryzowany dostęp to sytuacja, w której osoba uzyskuje logiczny lub fizyczny dostęp bez pozwolenia do sieci, systemu operacyjnego, systemu aplikacji, danych lub urządzenia. Niewłaściwe użycie ma miejsce, gdy dana osoba narusza dopuszczalne zasady korzystania z komputerów.
110. Wstępna analiza wykazała, że pracownik jest widocznym celem lub jest podejrzewany o spowodowanie incydentu związanego z bezpieczeństwem komputerowym w firmie. Które z poniższych należy zgłosić jako pierwsze?
a. Dział prawny
b. Dział Personalny
c. Departament Spraw Publicznych
d. Dział bezpieczeństwa informacji
110. b. Gdy pracownik jest oczywistym celem incydentu bezpieczeństwa komputerowego w firmie lub jest podejrzewany o spowodowanie takiego incydentu, najpierw należy powiadomić dział kadr, ponieważ może on pomóc w postępowaniu dyscyplinarnym lub doradztwie dla pracowników w zależności od charakteru i zakresu incydentu. Należy pamiętać, że incydenty mogą być przypadkowe/zamierzone, małe/duże lub mniejsze/poważne, a każdy ma swój własny zestaw działań dyscyplinarnych i postępowań opartych na należytym procesie. Pozostałe trzy wybory są nieprawidłowe, ponieważ te działy nie są tymi, które należy powiadomić w pierwszej kolejności, mimo że są zaangażowane później. Rolą działu prawnego jest przegląd planów, zasad i procedur reagowania na incydenty w celu zapewnienia ich zgodności z przepisami i regulacjami. Dział prawny wchodzi w grę, gdy incydent ma konsekwencje prawne, w tym gromadzenie dowodów, ściganie podejrzanego lub możliwość wszczęcia procesu sądowego. Rolą departamentu spraw publicznych jest informowanie mediów i organów ścigania w zależności od charakteru i skutków incydentu. Rolą działu bezpieczeństwa informacji jest przeprowadzenie wstępnej analizy incydentów, a następnie powstrzymanie incydentu ze zmianami kontroli bezpieczeństwa sieci (takich jak zestawy reguł zapory).
111. Które z poniższych rozwiązań w celu pokonania wyzwań związanych z zarządzaniem logami dotyczy okresowych audytów, testów i walidacji?
a. Priorytet funkcji zarządzania dziennikiem.
b. Ustal zasady i procedury zarządzania dziennikami.
c. Utrzymuj bezpieczną infrastrukturę zarządzania logami.
d. Zapewnij szkolenie wszystkim pracownikom odpowiedzialnym za zarządzanie dziennikami.
111. b. Okresowe audyty są jednym ze sposobów potwierdzenia, że standardy i wytyczne dotyczące rejestrowania są przestrzegane w całej organizacji. Testowanie i walidacja może dodatkowo zapewnić, że zasady i procedury w procesie zarządzania dziennikami są wykonywane prawidłowo. Pozostałe trzy opcje nie dotyczą okresowych audytów, testów i walidacji.
112. Dobrze zdefiniowana zdolność reagowania na incydenty pomaga organizacji w jaki z poniższych sposobów?
1. Szybko wykrywaj incydenty.
2. Minimalizuj straty i zniszczenia.
3. Zidentyfikuj słabości.
4. Szybkie przywracanie operacji IT.
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
112. d. Dobrze zdefiniowana zdolność reagowania na incydenty pomaga organizacji szybko wykrywać incydenty, minimalizować straty i zniszczenia, identyfikować słabości i szybko przywracać operacje IT. Ważne jest prawidłowe wykonanie planu reagowania na incydenty.
113. Jeśli chodzi o zabezpieczenie incydentu, który z poniższych elementów znacznie ułatwia wykonanie innych elementów?
a. Strategie i procedury
b. Wyłączanie systemu
c. Odłączanie systemu od sieci
d. Wyłączanie niektórych funkcji systemu
113. a. Istotną częścią powstrzymywania incydentów jest podejmowanie decyzji, takich jak zamknięcie systemu, odłączenie go od sieci lub wyłączenie niektórych funkcji systemu. Takie decyzje są znacznie łatwiejsze do podjęcia, jeśli strategie i procedury powstrzymania incydentu zostały z góry określone.
114. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do incydentów związanych z bezpieczeństwem komputerowym?
a. Po pomyślnym zaatakowaniu zasobu nie jest on ponownie atakowany.
b. Po pomyślnym zaatakowaniu zasobu inne zasoby w obrębie
organizacja jest atakowana w podobny sposób.
c. Po opanowaniu incydentu konieczne jest usunięcie złośliwego kodu.
d. Po opanowaniu incydentu konieczne jest wyłączenie naruszonych kont użytkowników.
114. a. Po pomyślnym zaatakowaniu zasobu często jest on atakowany ponownie lub inne zasoby w organizacji są atakowane w podobny sposób. Po opanowaniu incydentu może być konieczne jego wyeliminowanie w celu wyeliminowania składników incydentu, takich jak usunięcie złośliwego kodu i wyłączenie naruszonych kont użytkowników.
115. Wiarygodnym sposobem wykrywania superzappingu pracy jest:
a. Porównanie bieżących plików danych z poprzednimi plikami danych
b. Badanie dzienników użytkowania komputera
c. Odnotowywanie rozbieżności przez otrzymujących zgłoszenia
d. Przeglądanie nieudokumentowanych transakcji
115. a. Superzapping, który jest programem narzędziowym IBM, nie pozostawia śladów zmian w plikach, a jedynym niezawodnym sposobem wykrycia tej aktywności jest porównanie bieżących plików danych z poprzednimi generacjami tego samego pliku. Dzienniki użycia komputera mogą nie rejestrować aktywności superzappingu. Użytkownicy mogą nie wykrywać zmian w swoich raportach. Trudno znaleźć, nie mówiąc już o przeglądzie nieudokumentowanych transakcji. Nawet jeśli te transakcje zostaną znalezione, nie ma pewności, że zadanie zostało wykonane.
116. W odniesieniu do bezpieczeństwa komputerowego istnieje odpowiedzialność prawna wobec organizacji, pod którą z poniższych warunków?
a. Gdy szacowane koszty ochrony są większe niż szacowane straty.
b. Gdy szacunkowe koszty ochrony są równe szacowanym stratom.
c. Gdy szacowane koszty ochrony są mniejsze niż szacowane straty.
d. Gdy rzeczywiste koszty ochrony są równe rzeczywistym stratom.
116. c. Sądy nie oczekują, że organizacje wydadzą więcej pieniędzy niż straty wynikające z luki w zabezpieczeniach, zagrożenia, ryzyka lub podatności. Wdrażanie środków zaradczych i zabezpieczeń w celu ochrony zasobów systemu informatycznego kosztuje. Straty mogą wynikać z zagrożeń, czyli wykorzystania podatności. Gdy szacunkowe koszty są mniejsze niż szacowane straty, istnieje odpowiedzialność prawna. Sądy mogą argumentować, że kierownictwo organizacji powinno było zainstalować zabezpieczenia, ale tego nie zrobiło, oraz że kierownictwo nie zachowało należytej staranności i należytej staranności. Gdy szacowane koszty bezpieczeństwa są większe niż szacowane straty, nie stanowią one odpowiedzialności prawnej, ponieważ koszty są większe niż straty. Gdy szacunkowe koszty ochrony są równe szacowanym stratom, sytuacja wymaga osądu i rozważenia jakościowego, ponieważ koszty są równe stratom. Sytuacja, w której rzeczywiste koszty ochrony są równe rzeczywistym stratom, nie ma zastosowania, ponieważ rzeczywiste koszty i rzeczywiste straty nie są znane w momencie wdrażania zabezpieczeń.
117. Które z poniższych jest wykorzystywane przez głównych dostawców oprogramowania do aktualizacji oprogramowania dla swoich klientów?
a. Technologia ciągnięcia
b. Technologia push
c. Technologia pull-push
d. Technologia push-pull
117. b. Dla wygody główni dostawcy oferują aktualizacje oprogramowania za pośrednictwem bezpiecznych kanałów przy użyciu technologii "push". Ta technologia automatycznie instaluje pliki aktualizacji w zaplanowanym czasie lub na żądanie użytkownika. Istnieje kompromis między wygodą a bezpieczeństwem. Atakujący może "sfałszować" klienta, aby zaakceptował konia trojańskiego podszywającego się pod aktualizację. Pracownicy techniczni ds. bezpieczeństwa powinni zawsze przejrzeć pliki aktualizacji i poprawki przed ich zainstalowaniem. Bezpiecznie jest pobierać pliki aktualizacji i poprawki bezpośrednio ze strony internetowej dostawcy za pośrednictwem bezpiecznego połączenia. Technologia pull jest wykorzystywana przez klientów do otrzymywania informacji ze stron internetowych.
118. Zmiana zestawów reguł zapory jest częścią której z następujących akcji odzyskiwania po incydencie związanym z bezpieczeństwem komputera?
a. Przywracanie systemów z czystych kopii zapasowych
b. Zastępowanie zhakowanych plików czystymi wersjami
c. Stosowanie wyższych poziomów monitorowania sieci
d. Zaostrzenie bezpieczeństwa obwodu sieci
118.d. Podczas odzyskiwania po incydentach administratorzy przywracają systemy do normalnego działania i wzmacniają systemy, aby zapobiec podobnym incydentom. Zmiana zestawów reguł zapory ma na celu zaostrzenie zabezpieczeń granic sieci. Pozostałe trzy opcje są częścią procesu odzyskiwania. 119. Które z poniższych technik bezpieczeństwa pozwalają organom śledczym na reakcję?
a. Powstrzymać
b. Wykryć
c. Opóźnienie
d. Zaprzeczyć
119. c. Jeśli sprawca systemu może być dłużej opóźniany, gdy atakuje system komputerowy, organy śledcze mogą prześledzić jego pochodzenie i lokalizację. Pozostałe trzy opcje nie pozwoliłyby na taką pułapkę.
120. Jaka jest większość dowodów przedstawionych w sprawie o przestępstwo komputerowe?
a. Dowody potwierdzające
b. Dokumenty dowodowe
c. Dowód wtórny
d. Dopuszczalny dowód
120. b. Dokumenty dowodowe to tworzone informacje, takie jak pisma, umowy, zapisy księgowe, faktury i raporty informacyjne zarządcze dotyczące wyników i produkcji. Pozostałe trzy wybory są nieprawidłowe. Dowód potwierdzający jest dodatkowym dowodem o innym charakterze, dotyczącym tego samego punktu (np. wywiady mogą być potwierdzone zebraniem obiektywnych danych). Dowód wtórny to każdy dowód oferowany w celu udowodnienia pisma, inny niż samo pismo (tj. kopia pisma lub dowód ustny na piśmie) i jest gorszy od dowodów pierwotnych (najlepszy dowód) i nie można na nim polegać. Dopuszczalne dowody to dowody, które zostają ujawnione sędziom faktów (sędziom i/lub ławnikom) z wyraźnym lub dorozumianym pozwoleniem na ich wykorzystanie przy rozstrzyganiu spornych kwestii faktycznych.
121. Które z poniższych nie jest działalnością przestępczą w większości jurysdykcji?
a. Pisanie programu wirusów komputerowych
b. Korzystanie z programu antywirusowego
c. Wydanie programu wirusów komputerowych
d. Rozprzestrzenianie się wirusa komputerowego
121. a. To intencje twórcy wirusa komputerowego mają największe znaczenie przy podejmowaniu decyzji, co stanowi działalność przestępczą. Samo napisanie programu antywirusowego nie jest działalnością przestępczą. Jednak używanie, publikowanie i rozpowszechnianie wirusa ze złymi zamiarami niszczenia zasobów komputerowych jest podstawą działalności przestępczej.
122. Po zajęciu dowodów funkcjonariusz organów ścigania powinien postępować zgodnie z którym z poniższych?
a. Łańcuch dowodzenia
b. Łańcuch kontroli
c. Łańcuch dostaw
d. Łańcuch komunikacji
122. c. Łańcuch areszcie lub łańcuch dowodowy to metoda uwierzytelnienia przedmiotu na podstawie zeznań świadków, którzy mogą prześledzić posiadanie przedmiotu od ręki do ręki i od początku do końca. Łańcuch dowodowy jest wymagany, gdy dowody są zbierane i przetwarzane w taki sposób, aby nie było co do tego sporu. Łańcuch dowodzenia odnosi się do relacji między przełożonym a podwładnym w środowisku pracy. Zarówno łańcuch kontroli, jak i łańcuch komunikacji odnosi się do wszystkich uczestników zaangażowanych w hierarchię kontroli i komunikacji.
123. Pojęcie dopuszczalności dowodu nie obejmuje którego z poniższych?
a. Znaczenie
b. Kompetencja
c. Materialność
d. Dostateczność
123. d. Stworzenie właściwej podstawy dowodowej to praktyka lub wymóg dowodu rzeczy niezbędnych do tego, aby dalsze dowody były istotne, rzeczowe lub kompetentne. Pojęcie dopuszczalności dowodu nie obejmuje wystarczającego poparcia ustalenia. Odpowiednie dowody to dowody, które miały pewną logiczną tendencję do udowodnienia lub obalenia kwestionowanego faktu. Kompetentny (wiarygodny) dowód to dowód, który spełnia wszystkie zasady dowodowe z wyjątkiem tych, które dotyczą istotności. Istotność (istotne i merytoryczne) dowodu to założenie, że dowód musi mieć związek z faktem będącym przedmiotem sporu między stronami.
124. Kiedy w sądzie przedstawiane są duże tomy pism, jakiego rodzaju dowody nie mają zastosowania?
a. Najlepszy dowód
b. Dowód schematu blokowego
c. Dowód na taśmach magnetycznych
d. Dowody dowodowe
124. a. Najlepszym dowodem jest dowód pierwotny, który jest najbardziej naturalnym dowodem. Najlepszy dowód jest najbardziej zadowalającym dowodem badanego faktu. Ogranicza się do normalnych, małych rozmiarów (o małej objętości) dokumentów, akt i dokumentów. Dlatego najlepsze dowody nie mają zastosowania do dużych tomów pisma. Pozostałe trzy opcje mają zastosowanie do dużych tomów pisma. Rekomendacją dla spraw sądowych z dużą ilością materiału dowodowego jest zebranie jednej księgi eksponatów zawierającej wszystkie dokumenty, przesłanie kopii obronie i sędziemu oraz wprowadzenie jako jednego eksponatu w sądzie. Oszczędza to czas w sądzie. Również sporządzenie ewidencji eksponatów, z którą każdy jest powiązany z rachunkami, a także nazwiska świadków, którzy mają zeznawać co do każdej pozycji, są częścią dowodu. Na przykład sądem jest właściwe przedstawienie schematu blokowego systemu i dowodów z taśm magnetycznych. Dowody dowodowe lub pomoce wizualne mogą być rzeczywistymi przedmiotami (takimi jak wykresy i tabele) lub reprezentacją rzeczywistych rzeczy (takich jak fotografia lub plan).
125. Do której z poniższych czynności potrzebne są dowody?
a. Naładuj etui
b. Klasyfikuj sprawę
c. Zrób sprawę
d. Udowodnij sprawę
125. d. Do udowodnienia sprawy potrzebne są odpowiednie elementy dowodu i prawidłowe rodzaje dowodów. Pozostałe trzy opcje pojawiają się przed udowodnieniem sprawy.
126. Co decyduje o popełnieniu przestępstwa komputerowego?
a. Kiedy przestępstwo zostanie zgłoszone.
b. Kiedy ekspert komputerowy zakończy swoją pracę.
c. Kiedy zarzut został uzasadniony.
d. Po zakończeniu dochodzenia.
126. c. Przestępstwo komputerowe jest popełniane, gdy zarzut jest poparty odpowiednimi dowodami, które są odpowiednie, kompetentne i rzeczowe.
127. Jaka jest prawidłowa kolejność wstępnego badania bezpieczeństwa?
1. Skonsultuj się z ekspertem komputerowym.
2. Przygotuj plan dochodzenia.
3. Skonsultuj się z prokuratorem.
4. Uzasadnij zarzut.
a. 4, 1, 2 i 3
b. 3, 1, 2 i 4
c. 4, 2, 3 i 1
d. 1, 4, 2 i 3
127. a. Uzasadnienie zarzutu to pierwszy krok. Drugim krokiem jest odpowiednio konsultacja z ekspertem komputerowym. Przygotowanie planu dochodzenia to trzeci krok, który określa zakres dochodzenia i służy jako wskazówka przy określaniu, jaka pomoc techniczna będzie potrzebna. Konsultacja z prokuratorem jest czwartym krokiem, zależnym od charakteru zarzutu i zakresu śledztwa. Sprawy do omówienia z prokuratorem mogą obejmować elementy dowodowe, wymagane dowody i parametry przeszukania prospektywnego.
128. Który z poniższych celów członka zespołu ds. przestępczości jest podobny do celu zaangażowanego funkcjonariusza ds. bezpieczeństwa systemów informatycznych w dochodzeniu w sprawie przestępstw komputerowych?
a. Badacz
b. Prokurator okręgowy
c. Ekspert komputerowy
d. Audytor systemów
128. d. Podejście zespołowe jest pożądane, gdy sprawa przestępstwa komputerowego jest skomplikowana. Każda osoba ma określoną i inną rolę oraz wnosi do podejścia zespołowego różne możliwości. Cele audytora systemu i szefa bezpieczeństwa są takie same, ponieważ pracują dla tej samej organizacji. Celem jest zrozumienie słabych punktów systemu, wzmocnienie kontroli bezpieczeństwa i wsparcie dochodzenia. Rolą prokuratora okręgowego jest udowodnienie sprawy, natomiast celem śledczego jest zebranie faktów. Rolą eksperta komputerowego jest zapewnienie wsparcia technicznego członkom zespołu.
129. Czym są dowody komputerowe w śledztwie dotyczącym przestępstw komputerowych?
a. Lotny i niewidzialny
b. Pozorny i magnetyczny
c. Elektroniczny i niedopuszczalny
d. Trudne i kasowalne
129. a. Odkrywanie i uznawanie jest jednym z siedmiu czynników związanych z postępowaniem z dowodami i postępowaniem z nimi. Jest to zdolność badacza do odkrycia i rozpoznania potencjalnego źródła dowodów. Gdy w grę wchodzi komputer, dowody prawdopodobnie nie są widoczne lub niewidoczne dla oczu. Niemniej jednak śledczy musi uznać, że komputerowe urządzenia magazynujące są niczym innym jak elektronicznymi lub magnetycznymi szafkami na akta i powinny zostać przeszukane, jeśli przeszukanie zwykłej szafki na akta byłoby zwykle rozsądne. Dowody są bardzo niestabilne, to znaczy mogą ulec zmianie.
130. Kiedy można używać kamery wideo do pielęgnacji i obsługi dowodu przestępstwa komputerowego?
a. Odkrycie
b. Ochrona
c. Nagranie
d. Kolekcja
130. c. Nagrywanie jest jednym z siedmiu uznanych rozważań zaangażowanych w opiekę i postępowanie z dowodami. Domniemane miejsce zbrodni powinno być odpowiednio udokumentowane. Zdecydowanie zachęca się do używania kamery wideo do nagrywania sprzętu komputerowego, stacji roboczych itp. oraz związanej z tym pisemnej dokumentacji na miejscu przestępstwa. Pamiętaj o sfotografowaniu tylnej części komputera (szczególnie połączeń kablowych).
131. Co powinien zrobić śledczy, jeżeli komputer lub sprzęt peryferyjny zamieszany w przestępstwo komputerowe nie jest objęty nakazem przeszukania?
a. Chwyć go, zanim ktoś go zabierze.
b. Zostaw to w spokoju, dopóki nie uzyskasz nakazu.
c. Przeanalizuj sprzęt lub jego zawartość i zapisz to.
d. Przechowuj go w zamkniętej szafce w bezpiecznym magazynie.
131. b. Jeśli komputer lub urządzenie peryferyjne zaangażowane w przestępstwo komputerowe nie jest objęte nakazem przeszukania, pozostaw to w spokoju do czasu uzyskania nakazu. Ogólnie rzecz biorąc, nakaz jest wymagany do odebrania wszystkiego przez śledczego. Jednakże, jeśli śledczy jest funkcjonariuszem organów ścigania, podlega Zasadom Nieuzasadnionego Przeszukania i Przeszukania i potrzebuje nakazu przeszukania. Tak nie jest z prywatnym detektywem.
132. Właściwe sposoby obchodzenia się ze sprzętem komputerowym i magnetycznymi nośnikami informacji, które są przedmiotem dochodzenia w sprawie przestępstwa komputerowego, są następujące, z wyjątkiem:
a. Zapieczętuj, przechowuj i oznacz przedmioty.
b. Uszczelnij i przechowuj przedmioty w kartonowym pudełku.
c. Uszczelnij i przechowuj przedmioty w papierowej torbie.
d. Uszczelnij i przechowuj przedmioty w plastikowej torbie.
132. d Po oznakowaniu i zinwentaryzowaniu całego sprzętu i nośników magnetycznych należy zamknąć i przechowywać każdy przedmiot w papierowej torbie lub kartonowym pudełku, aby nie dopuścić do kurzu. Do worka należy dołączyć dodatkową etykietę, identyfikującą jego zawartość i odnotowującą wszelkie numery identyfikacyjne, takie jak numer przywieszki dowodowej. Nie używaj plastikowych toreb ani torebek kanapkowych do przechowywania jakichkolwiek elementów sprzętu komputerowego i/lub magnetycznych nośników pamięci, ponieważ materiał z tworzywa sztucznego może powodować zarówno elektryczność statyczną, jak i kondensację, co może uszkodzić przechowywane elektronicznie dane i wrażliwe elementy elektroniczne.
133. Wskaż najbardziej obiektywne i odpowiednie dowody w środowisku komputerowym obejmującym oszustwo.
a. Badanie lekarskie
b. Obserwacja fizyczna
c. Zapytania osób
d. Dzienniki komputera
133. d. Odpowiednie dowody są niezbędne do pomyślnego zbadania oszustw komputerowych. Na przykład dzienniki bezpieczeństwa wykorzystania danych i kontroli dostępu identyfikują (i) kto uzyskał dostęp do komputera, (ii) do jakich informacji uzyskano dostęp, (iii) gdzie uzyskano dostęp do komputera oraz (iv) jak długo trwał dostęp. Te dzienniki mogą być obsługiwane ręcznie lub komputerowo; ta druga metoda jest bardziej aktualna i niezawodna niż pierwsza metoda. Integralność dzienników musi być udowodniona, że są one oryginalne i nie zostały zmodyfikowane. Badanie fizykalne i obserwacja fizyczna mogą nie być możliwe w środowisku komputerowym ze względu na automatyczne zapisy. Zapytania ludzi mogą nie dać wyczerpujących odpowiedzi ze względu na brak konkretnej wiedzy na temat działania systemu komputerowego.
134. Która z poniższych praktyk nie podlega zaniedbaniu obciążenia?
a. Przestój sprzętu pomimo konserwacji zapobiegawczej
b. Awaria systemu dostawcy usług komputerowych online
c. Fałszywe oświadczenia dostawców internetowych serwisów informacyjnych
d. Rozpowszechnianie wprowadzających w błąd informacji przez dostawcę internetowych usług informacyjnych
134. a. Systemy i usługi online stwarzają ryzyko, że abonenci otrzymają fałszywe lub wprowadzające w błąd informacje. Orzecznictwo orzekło, że sytuacje opisane w pozostałych trzech opcjach podlegają odpowiedzialności za zaniedbanie. Jednak organizacja może nie ponosić odpowiedzialności, jeśli przestrzegała programu konserwacji zapobiegawczej pomimo przestoju sprzętu. Wynika to z działań proaktywnych i prewencyjnych podejmowanych przez organizację.
135. Który z poniższych elementów jest potrzebny do przedstawienia dowodów technicznych w przestępstwach komputerowych?
a. Metodologia audytu
b. Metodologia systemu
c. Metodologia kryminalistyczna
d. Metodologia kryminalna
135. c. Metodologia kryminalistyczna to proces analizy danych przechowywanych elektronicznie. Proces musi być w pełni udokumentowany, aby zapewnić, że integralność dowodów nie zostanie zakwestionowana w sądzie. Metodologia kryminalistyczna zajmuje się dowodami technicznymi. Metodologia audytu polega na przeglądzie transakcji gospodarczych i systemów oraz wyrobieniu opinii przez audytora. Metodologia systemu fraz i metodologia kryminalna mają wiele znaczeń.
136. Które z poniższych nie jest kluczowym czynnikiem w poszukiwaniu nakazu przestępstwa?
a. Własność
b. Okupacja
c. Posiadanie
d. Zakup
136. d. Kluczowym faktem w każdym przeszukaniu jest własność lub prawowite zajmowanie lokalu, który ma być przeszukany, oraz prawo własności lub prawowite posiadanie przedmiotów, które mają być zajęte. Inne zasady przeszukania i zajęcia mają zastosowanie, gdy nieruchomości i lokale są własnością rządową lub są własnością prywatną lub są wynajmowane. Zakup nie ma nic wspólnego z wyszukiwaniem. Jeden może kupować, a inni mogą go zajmować lub posiadać.
137. Które z poniższych nie jest przykładem błędów dowodowych?
a. Nieszkodliwe błędy
b. Błędy odwracalne
c. Zwykłe błędy
d. Nieodwracalne błędy
137.d. Nieszkodliwy błąd to błąd, który nie wpływa na "istotne prawo strony". Błąd odwracalny to taki, który wpływa na istotne prawo strony. Zwykły błąd to błąd odwracalny, który jest tak oczywiście błędny, że sąd odwróci go, nawet jeśli poszkodowana strona nie podjęła kroków niezbędnych do zachowania błędu. Nieodwracalny błąd nie jest zdefiniowany w prawie.
138. Który z poniższych członków zespołu ds. przestępczości odgrywa wyraźną rolę w rozwiązaniu przestępstwa komputerowego?
a. Menedżer
b. Rewident księgowy
c. Badacz
d. Ochroniarz
138. a. Przestępczość komputerowa obejmuje wiele osób z różnych dyscyplin o różnych doświadczeniach. Role każdej z tych osób, zwłaszcza audytora, śledczego i pracownika ochrony, muszą być szczegółowo określone ze względu na nakładające się na siebie obowiązki. Jest to ważne, aby zminimalizować powielanie, zamieszanie i pominięcie. Z drugiej strony obowiązki kierownika zespołu kryminalnego są jasne, to znaczy przeprowadzenie gruntownych badań, analiz i dochodzenia w sprawie przestępstwa oraz rozwiązanie kryzysu.
139. Ściganie przestępstwa komputerowego jest złożone i wymagające. Które z poniższych stanowią poważne wyzwanie dla prokuratorów?
a. Robienie specjalnego przygotowania technicznego
b. Radzenie sobie ze specjalnymi problemami z dowodami
c. Zeznania w sprawach technicznych przed sędzią lub ławą przysięgłych
d. Radzenie sobie z problemami z dowodami elektronicznymi
139. c. Przestępczość komputerowa ma charakter techniczny, a jej dowody są w większości elektroniczne i opierają się na "pogłoskach". Próba przekazania informacji technicznych osobom nietechnicznym, takim jak sędziowie i przysięgły - siedmiu próbuje przekonać ich, że przestępstwo rzeczywiście miało miejsce, gdy nie skradziono żadnego fizycznego sprzętu - może być poważnym wyzwaniem. Przygotowanie dowodów technicznych i zebranie odpowiednich dowodów (papierowych lub elektronicznych) nie stanowią większych wyzwań.
140. Które z poniższych nie jest właściwym kryterium pomiaru skuteczności zdolności reagowania na incydenty związane z bezpieczeństwem komputerowym?
a. Zaoszczędzone dolary
b. Zgłoszone incydenty
c. Naprawiono luki
d. Wdrożone narzędzia
140. a. Korzyści z możliwości reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRC) nie można określić ilościowo w postaci zaoszczędzonych dolarów i obsłużonych incydentów. Zadowalające ilościowe określenie korzyści, jakie CSIRC zapewnia w ciągu pierwszego roku funkcjonowania, może nie być możliwe. Jednym ze sposobów, w jaki CSIRC może ocenić swój sukces, jest zbieranie i analizowanie statystyk dotyczących jego działalności. Na przykład CSIRC może prowadzić statystyki dotyczące zgłoszonych incydentów, zgłoszonych i naprawionych luk w zabezpieczeniach oraz wdrożonych narzędzi.
141. Struktura zdolności reagowania na incydenty związane z bezpieczeństwem komputerowym może przybierać różne formy, w zależności od wielkości organizacji, jej różnorodności technologii i lokalizacji geograficznej. Które z następujących struktury organizacyjne najlepiej nadają się do zgłaszania problemów związanych z bezpieczeństwem komputera?
a. Scentralizowane raportowanie
b. Raportowanie zdecentralizowane
c. Raportowanie rozproszone
d. Raportowanie scentralizowane, zdecentralizowane i rozproszone
141. a. Określając strukturę zdolności reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRC), powinniśmy mieć na uwadze cele scentralizowanego reagowania i unikania powielania wysiłków. Na przykład funkcja help desk może być zintegrowana z CSIRC. CSIRC zapewnia wysiłkom związanym z bezpieczeństwem komputerowym możliwość skutecznego i terminowego reagowania na incydenty związane z bezpieczeństwem komputerowym, takie jak wirusy komputerowe, nieautoryzowane działania użytkowników i poważne luki w oprogramowaniu. Możliwe zagrożenia obejmują utratę poufności danych, utratę danych lub integralności systemu, a także zakłócenie lub odmowę dostępności systemu lub danych. Scentralizowane raportowanie CSIRC jest bardziej opłacalne, ponieważ unika się powielania wysiłków. Jest też mniej skomplikowany. Będąc fizycznie oddzieloną grupą w organizacji i funkcjonalnie oddzieloną od funkcji bezpieczeństwa komputerowego, użytkownicy końcowi mogą kontaktować się bezpośrednio z CSIRC. Pozostałe trzy wybory są nieprawidłowe, ponieważ możliwe powielanie wysiłków i trudności w koordynowaniu i komunikacji wielu jednostek biznesowych.
142. Zdolność reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRC) musi przechowywać różnorodne informacje do własnego użytku operacyjnego oraz za przeprowadzanie przeglądów skuteczności i odpowiedzialności. Który z poniższych dzienników najlepiej odzwierciedla przebieg każdego dnia?
a. Dzienniki kontaktów
b. Dzienniki aktywności
c. Dzienniki incydentów
d. Dzienniki audytu
142. b. Dzienniki aktywności odzwierciedlają przebieg każdego dnia. Nie jest konieczne szczegółowe opisywanie każdego działania, ale warto prowadzić taki dziennik, aby CSIRC mógł rozliczyć się ze swoich działań. Zapisywanie wszystkich kontaktów, rozmów telefonicznych itd. ostatecznie oszczędza czas, umożliwiając zachowanie informacji, które mogą okazać się przydatne później. Dzienniki kontaktów są nieprawidłowe, ponieważ zawierają kontakty z dostawcami, kontakty prawne i dochodzeniowe oraz inne kontakty. Dzienniki incydentów są nieprawidłowe, ponieważ zawierają informacje wygenerowane w trakcie obsługi incydentu, w tym wszystkie podjęte działania, wszystkie rozmowy i wszystkie zdarzenia. Dzienniki kontroli są nieprawidłowe, ponieważ zawierają informacje o tożsamości i działaniach oraz informacje o przetwarzaniu transakcji, dzięki czemu można śledzić działania tam iz powrotem.
143. Które z poniższych podejść zapewnia skuteczny sposób zgłaszania problemów związanych z bezpieczeństwem komputera?
a. Biura pomocy
b. Informacje samopomocy
c. Biura ochrony terenu
d. Infolinia telefoniczna
143. d. Jednym z podstawowych celów funkcji reagowania na incydenty związane z bezpieczeństwem komputera (CSIRC) jest złagodzenie potencjalnie poważnych skutków poważnego problemu związanego z bezpieczeństwem komputera. Wymaga nie tylko umiejętności reagowania na incydenty, ale także zasobów do alarmowania i informowania użytkowników. Wymaga współpracy wszystkich użytkowników, aby zapewnić zgłaszanie i rozwiązywanie incydentów oraz zapobieganie przyszłym incydentom. Organizacja może rozszerzyć istniejące możliwości bezpieczeństwa komputerowego, takie jak punkty pomocy, informacje samopomocy lub biura bezpieczeństwa lokalizacji, za pomocą funkcji CSIRC. Infolinia telefoniczna lub adres e-mail stanowią pojedynczy punkt kontaktu dla użytkowników ze scentralizowanym raportowaniem. Możliwe jest wówczas zareagowanie na wszystkie incydenty i ustalenie, czy incydenty są ze sobą powiązane. Dzięki scentralizowanemu raportowaniu CSIRC może również opracować dokładne statystyki dotyczące rozmiaru, charakteru i zakresu problemów związanych z bezpieczeństwem w organizacji.
144. Incydent związany z bezpieczeństwem komputerowym to każde niepożądane zdarzenie, w wyniku którego zagrożony jest pewien aspekt bezpieczeństwa komputerowego. Która z poniższych cech jest najlepszą cechą zdolności reagowania na incydenty bezpieczeństwa?
a. Proaktywny
b. Reaktywny
c. Proaktywna i reaktywna
d. Detektyw
144. c. Funkcja reagowania na incydenty związane z zabezpieczeniami komputerowymi (CSIRC) może pomóc organizacjom w rozwiązywaniu problemów związanych z zabezpieczeniami komputerowymi w sposób zarówno wydajny, jak i oszczędny. W połączeniu z politykami scentralizowanego raportowania, CSIRC może ograniczyć marnotrawstwo i duplikację, zapewniając jednocześnie lepszą postawę wobec potencjalnie niszczycielskich zagrożeń. CSIRC to proaktywne podejście do bezpieczeństwa komputerowego, które łączy reaktywne możliwości z aktywnymi krokami, aby zapobiec występowaniu przyszłych incydentów. Nie reagując na incydenty, CSIRC może podjąć proaktywne kroki w celu edukowania swoich użytkowników w zakresie istotnych zagrożeń i zagrożeń dla bezpieczeństwa komputerów. Działania te mogą zapobiegać występowaniu incydentów. Obejmują one informowanie użytkowników o lukach w zabezpieczeniach oraz podnoszenie świadomości o innych zagrożeniach bezpieczeństwa, procedurach i właściwej konserwacji ich systemów. CSIRC to nie tylko zdolność reaktywna; jest to również proaktywne podejście do zmniejszania ryzyka bezpieczeństwa komputerowego organizacji. Detektyw nie ma racji, ponieważ zapobieganie jest lepsze niż wykrywanie, a wykrywanie działa tylko w niektórych okolicznościach.
145. Istnieją automatyczne narzędzia do testowania podatności systemów komputerowych i wykrywania incydentów związanych z bezpieczeństwem komputerowym. Narzędzia do testowania luk w zabezpieczeniach analizują, które z poniższych zdarzeń?
a. Wydarzenia cykliczne
b. Aktualny stan systemu
c. Wydarzenia historyczne
d. Zdarzenia jednorazowe
145. b. Na bezpieczeństwo mają wpływ działania zarówno użytkowników, jak i administratorów systemu. Użytkownicy mogą pozostawić swoje pliki otwarte na atak; administrator systemu może pozostawić system otwarty na ataki ze strony osób z wewnątrz lub z zewnątrz. System może być podatny na ataki z powodu niewłaściwego wykorzystania funkcji systemu. Zautomatyzowane narzędzia mogą wyszukiwać luki, które wynikają z typowych błędów administratora i użytkownika. Narzędzia do testowania podatności analizują aktualny stan systemu (migawka), co stanowi ograniczenie. Te narzędzia testowe przeglądają obiekty w systemie, szukając anomalii, które mogą wskazywać na luki, które mogą pozwolić osobie atakującej na (i) zainstalowanie koni trojańskich, (ii) udawanie innego użytkownika lub (iii) obejście zasad bezpieczeństwa organizacji. Pozostałe trzy wybory są nieprawidłowe, ponieważ reprezentują stan, do którego nie mają dostępu narzędzia do testowania podatności. Uogólnione oprogramowanie do audytu lub specjalne programy narzędziowe mogą lepiej radzić sobie z takimi zdarzeniami.
146. Co to jest zeznanie ustne?
a. Dowody zbiorcze
b. Przedstawione dowody
c. Bezpośredni dowód
d. Negatywne dowody
146. c. Dowody oznaczają świadectwa, pisma, przedmioty materialne lub inne rzeczy przedstawiane zmysłom w celu udowodnienia istnienia lub nieistnienia faktu. Dowód bezpośredni udowadnia fakt bez konieczności stosowania domniemań lub wniosków w celu ustalenia tego dowodu (np. ustne zeznanie świadka o fakcie). To dowodzi konsekwentnego faktu. Pozostałe trzy wybory są błędne, ponieważ nie wykorzystują zeznań ustnych. Dowody skumulowane to dowody wprowadzone w celu udowodnienia faktu, dla którego wprowadzono już inne dowody. Przedstawiony dowód to dowód, który strona stara się przedstawić jako dowód w celu udowodnienia lub pokonania przestępstwa, roszczenia lub obrony. To mogą być plusy lub minusy. Negatywne dowody to dowód na to, że coś się nie wydarzyło lub nie istnieje.
147. Która z poniższych faz procesu badania incydentu bezpieczeństwa określa, czy doszło do przestępstwa komputerowego?
a. Wszczęcie dochodzenia
b. Testowanie i walidacja hipotezy incydentu
c. Analiza incydentu
d. Przedstawienie dowodów
147. c. Proces dochodzenia składa się z czterech etapów. Wszczęcie śledztwa (faza 1) obejmuje zabezpieczenie miejsca przestępstwa, zebranie dowodów, opracowanie hipotezy incydentu i zbadanie alternatywnych wyjaśnień. Testowanie i walidacja hipotezy incydentu (faza 2) dotyczy udowodnienia lub obalenia wcześniejszych założeń, opinii, warunków i sytuacji; oraz weryfikację dokładności wcześniejszych parametrów bezpieczeństwa systemu komputerowego, takich jak ustawienia konfiguracyjne, zestawy reguł zapory oraz uprawnienia i autoryzacje dostępu do konta. Analiza incydentu (faza 3) obejmuje analizę dowodów zebranych w poprzednich fazach w celu ustalenia, czy doszło do przestępstwa komputerowego. Przedstawienie dowodów (faza 4) obejmuje przygotowanie raportu z ustaleniami i zaleceniami dla kierownictwa lub organów ścigania. Prawidłowa kolejność procesu dochodzenia to zebranie faktów (faza 1), przesłuchanie świadków (faza 1), opracowanie hipotezy incydentu (faza 1), testowanie i walidacja hipotezy (faza 2), analiza (faza 3) i raportowanie wyników kierownictwu i innym (faza 4).
148. Które z poniższych narzędzi dochodzeniowych jest najskuteczniejsze, gdy trzeba przeanalizować duże ilości dowodów?
a. Wywiady
b. Kwestionariusze
c. Analiza kryminalistyczna
d. Analiza komputerowa
148. d. Komputery mogą być używane do zbierania, kompilowania i analizowania dużych ilości danych oraz dostarczania statystyk, raportów i wykresów, aby pomóc badaczowi w analizie i podejmowaniu decyzji. Analiza kryminalistyczna to sztuka wyszukiwania danych komputerowych w taki sposób, aby były one dopuszczalne w sądzie. Wywiady i kwestionariusze to przykłady ustrukturyzowanego podejścia stosowanego w przesłuchaniach.
149. Która z poniższych metod jest dopuszczalna w przypadku obsługi sprzętu komputerowego skonfiskowanego w dochodzeniu w sprawie przestępstwa komputerowego?
a. Narażenie nośników magnetycznych na działanie fal radiowych
b. Układanie nośników magnetycznych na sprzęcie elektronicznym
c. Poddawanie nośników magnetycznych badaniom kryminalistycznym
d. Pozostawienie nośników magnetycznych w bagażniku pojazdu zawierającego jednostkę radiową
149. c. Analiza kryminalistyczna to sztuka wyszukiwania danych komputerowych w taki sposób, aby była ona dopuszczalna w sądzie. Wystawienie nośników magnetycznych na działanie pól magnetycznych, takich jak fale radiowe, może zmienić lub zniszczyć dane. Nie noś nośników magnetycznych w bagażniku pojazdu zawierającego radioodbiornik i nie kładź nośników magnetycznych na żadnym sprzęcie elektronicznym.
150. Aby zachować integralność zebranych dowodów w postępowaniu karnym zajmującym się przestępczością komputerową, kogo nie należy zapraszać do wyszukiwania danych i analizy informacji przechowywanych elektronicznie na komputerze?
a. Pracownicy organów ścigania przeszkoleni w zakresie komputerów
b. Konsultant komputerowy z wymaganym doświadczeniem technicznym
c. Świadek cywilny z doświadczeniem komputerowym
d. Nastoletni haker, który jest ekspertem komputerowym
150. d. Pozyskiwanie i analiza przechowywanych elektronicznie danych, które mogą być potencjalnymi dowodami w postępowaniu karnym, muszą być zgodne z jednolitą i konkretną metodologią, aby udowodnić, że dowody nie mogły zostać zmienione, gdy znajdowały się w posiadaniu organów ścigania. Pracownicy organów ścigania, którzy przeszli niezbędne szkolenie w celu przeprowadzenia tej analizy, lub ktoś inny z wymaganą wiedzą specjalistyczną, która może wytrzymać sprzeciw w sądzie, mają zasadnicze znaczenie dla zapewnienia integralności wszelkich uzyskanych dowodów, ponieważ spójność metodologii i procedury może stać się krytyczną kwestią w postępowaniu karnym oskarżenie. Właściwy dobór i wykorzystanie cywilnego biegłego do pomocy w odzyskaniu i analizie dowodów komputerowych ma kluczowe znaczenie. Jednak wykorzystanie nastoletniego hakera jako biegłego byłoby w najlepszym razie niewskazane.
151. Które z poniższych elementów musi otrzymać społeczność organów ścigania, aby prawidłowo prowadzić dochodzenia w sprawie przestępstw komputerowych?
a. Trening
b. Zasady
c. Procedury
d. Wytyczne
151. a. Funkcjonariusze organów ścigania muszą przejść specjalistyczne szkolenie w zakresie dochodzeń w dziedzinie dochodzenia w sprawie przestępstw technologicznych. Krzywa uczenia się dla tego typu instrukcji może być długa ze względu na złożoność i wyrafinowanie technologii. Ponadto potrzebne są zasady i procedury zapewniające spójność dochodzeń w sprawie przestępstw komputerowych. Zajęcie, transport i przechowywanie komputerów i związanego z nimi sprzętu należy przeprowadzić zgodnie z jednolitymi wytycznymi.
152. Z punktu widzenia natury ludzkiej dobra zdolność obsługi incydentów jest ściśle powiązana z którym z poniższych?
a. Planowanie awaryjne
b. Szkolenie i świadomość
c. Wsparcie i operacje
d. Zarządzanie ryzykiem
152. b. Dobra zdolność obsługi incydentów jest ściśle powiązana z programem szkoleniowym i uświadamiającym organizacji oraz edukuje użytkowników na temat takich incydentów i tego, co robić, gdy się pojawią. Może to zwiększyć prawdopodobieństwo wczesnego zgłaszania incydentów, pomagając w ten sposób zminimalizować szkody. Możliwość obsługi incydentów może być postrzegana jako element planowania awaryjnego, który zajmuje się reagowaniem na zagrożenia techniczne, takie jak wirusy lub hakerzy. Konieczna jest ścisła koordynacja z innymi działaniami związanymi z planowaniem awaryjnym, szczególnie podczas planowania lub przetwarzania awaryjnego w przypadku poważnej niedostępności zasobów systemowych.
153. Które z poniższych umiejętności są niezbędne dla kierownika zespołu reagowania na incydenty?
1. Umiejętności łącznikowe
2. Umiejętności techniczne
3. Umiejętności komunikacyjne
4. Umiejętności rozwiązywania problemów
a. 1 i 3
b. 3 i 4
c. 1, 3 i 4
d. 1, 2, 3 i 4
153. d. Kierownik zespołu reagowania na incydenty musi posiadać kilka umiejętności: bycie łącznikiem z wyższym kierownictwem i innymi osobami, łagodzenie sytuacji kryzysowych (tj. posiadanie umiejętności rozwiązywania problemów), biegłość techniczną, doskonałe umiejętności komunikacyjne i utrzymywanie pozytywnych relacji w pracy, nawet w czasie wysokiego ciśnienia.
154. Które z poniższych nie jest głównym skutkiem incydentu bezpieczeństwa?
a. Oszustwo
b. Marnotrawstwo
c. Nadużywać
d. Zauważyć
154. d. Powiadomienie nie jest głównym skutkiem incydentu związanego z bezpieczeństwem. Oszustwa, marnotrawstwo i nadużycia to potencjalne niekorzystne działania, które mogą wynikać z załamania kontroli i praktyk bezpieczeństwa IT. W związku z tym te trzy są głównymi skutkami incydentu bezpieczeństwa. "Powiadomienie" pojawia się, gdy znany jest incydent.
155. Które z poniższych podejść do licencjonowania oprogramowania wymaga od użytkownika zapłaty za oprogramowanie używane w celach komercyjnych po pobraniu go z Internetu?
a. Demoware
b. Czasomierz
c. Sprzęt do kaleki
d. Shareware
155. d. Internet pozwolił wielu firmom zajmującym się oprogramowaniem na korzystanie z nowych sposobów dystrybucji oprogramowania. Wiele firm zezwala na pobieranie wersji próbnych swoich produktów (demoware), czasami ograniczonych (crippleware) lub wersji działających tylko przez ograniczony czas (timeware). Jednak wiele firm stosuje podejście typu shareware, które umożliwia pobieranie w pełni funkcjonalnych kopii oprogramowania do użytku próbnego i wymaga od użytkownika zarejestrowania się i zapłacenia za oprogramowanie w przypadku korzystania z niego w celach komercyjnych.
156. Z punktu widzenia właściciela praw autorskich, kiedy informacja elektroniczna jest deklarowana jako wykorzystywana?
a. Kiedy czytelnik dokonał zakupu
b. Gdy czytelnik pobierze informacje do natychmiastowego posługiwania się
c. Gdy czytelnik wykupi dostęp do informacji
d. Po pobraniu przez czytelnika informacji do wykorzystania w przyszłości
156. c. Korzystając z internetowego serwisu informacyjnego, czytelnicy nie kupują żadnej nieruchomości; kupują raczej dostęp do informacji elektronicznej. Po zezwoleniu na dostęp informacje są poza kontrolą właściciela praw autorskich i wydawcy. W większości wydawcy nie mają możliwości poznania ostatecznej dyspozycji materiału (tj. pobranego teraz lub później lub używanego teraz). Z tego powodu wydawcy uważają informacje za wykorzystane, gdy tylko dotrą do czytelnika.
157. Jaka jest główna wada publikowania informacji za pośrednictwem mediów cyfrowych?
a. Szereg kontraktów w łańcuchu dystrybucji.
b. Wiele warstw użytkowników końcowych.
c. Seria nośników do przechowywania danych wykorzystywanych przez użytkowników końcowych.
d. Każdy czytelnik jest potencjalnym wydawcą.
157. d. Tradycyjnie prawo autorskie nie daje właścicielom praw autorskich prawa do kontrolowania dostępu czytelników do informacji. Właściciele praw autorskich w świecie elektronicznym stosują umowy do nakładania ograniczeń, aby mieć pewność, że otrzymują wynagrodzenie za każdy przypadek dostępu lub użytkowania. Jednak ze względów praktycznych ograniczenia te nie zapobiegają nieautoryzowanemu kopiowaniu. Po tym, jak użytkownicy zapłacili za jedną legalną kopię czegoś, często niewiele jest poza moralną perswazją, aby uniemożliwić im tworzenie innych kopii. Informacje cyfrowe można łatwo kopiować i łatwo przesyłać do wielu lokalizacji. Te cechy sprawiają, że dystrybucja elektroniczna jest atrakcyjnym medium wydawniczym; ale mają drugą stronę (wadą); prawie każdy czytelnik jest potencjalnym wydawcą nieautoryzowanych kopii.
158. W przypadku bibliotek prawo autorskie ma zastosowanie do których z poniższych?
a. Dane komputerowe
b. Różne środki przekazu
c. Programy komputerowe
d. Informacje cyfrowe
158. c. Informacje cyfrowe umożliwiają bibliotekom nowe sposoby oferowania usługi i zupełnie nowe usługi do zaoferowania. Biblioteki mają pewne wątpliwości dotyczące praw autorskich. Na przykład biblioteki mogą nie być właścicielami programów komputerowych. Sprzedawcy często mówią, że programy są licencjonowane, a nie sprzedawane. Biblioteka jako licencjobiorca, a nie właściciel, nie posiada praw opisanych w prawie autorskim; są one uchylone przez warunki licencji. Na przykład prawo autorskie daje właścicielowi programu komputerowego prawo do wykonania kopii archiwalnej (zapasowej) pod pewnymi warunkami. Niektóre przepisy prawa autorskiego dotyczą również kopiowania i innych zastosowań programów komputerowych, ale nie obejmują konkretnie informacji cyfrowych. Informacje cyfrowe obejmują bazy danych multimedialnych lub mieszanych multimediów, które mogą zawierać obrazy, muzykę, tekst lub inne rodzaje prac. Informacja cyfrowa to nie tylko słowa i liczby. Wszystko, co można zobaczyć lub usłyszeć, może zostać zdigitalizowane, dzięki czemu bazy danych mogą zawierać muzykę, filmy lub zdjęcia dzieł sztuki. Prawa autorskie odnoszą się obecnie tylko do programów komputerowych, a nie do danych lub informacji cyfrowych. Dane komputerowe są przechowywane na tym samym nośniku, co programy komputerowe i wydaje się logiczne traktowanie ich w ten sam sposób, ale pozostaje argument, że dane cyfrowe nie pasują do definicji zawartych obecnie w prawach autorskich, więc właściciele nie mają żadnych praw wykonywanie kopii archiwalnych. Dwa poruszone tutaj kwestie stają się jeszcze bardziej skomplikowane dla bibliotek w przypadku utworów mieszanych, w których materiały drukowane, dane cyfrowe, programy komputerowe, mikrofisze i inne formy mogą być pakowane i używane razem.
159. Które z poniższych nie jest chronione prawami autorskimi?
a. Struktura programu
b. Sekwencja programu
c. Organizacja programu
d. Interfejs użytkownika
159. d. Sąd (orzecznictwo) stwierdził, że programy komputerowe są chronione prawem autorskim przed "wszechstronnym niedosłownym podobieństwem" i stwierdził, że "ochrona praw autorskich programów komputerowych może wykraczać poza dosłowny kod programu do jego struktury, sekwencji i organizacji". Sąd stwierdził również, że interfejs użytkownika w postaci raportów wejściowych i wyjściowych nie jest chroniony prawem autorskim.
160. Które z poniższych nie jest objęte prawami autorskimi?
a. Formaty
b. Bazy danych
c. Funkcje programu
d. Kod programu
160. a. Sąd (orzecznictwo) uznał, że formaty nie podlegają prawu autorskiemu. Bazy danych są chronione prawem autorskim jako kompilacje. Jednak ochrona praw autorskich w kompilacji nie zapewnia ochrony dla każdego elementu kompilacji. Obejmuje jedynie materiał wniesiony przez autora takiej pracy, a nie materiał wcześniej użyty w pracy. Zarówno funkcje programu, jak i kod programu są objęte prawami autorskimi.
161. Który z poniższych krajów regionu Pacyfiku zapewnia ochronę tajemnicy handlowej programów komputerowych?
a. Japonia
b. Korea
c. Tajwan
d. Tajlandia
161. a. Japonia jest jedynym krajem regionu Pacyfiku, którego prawo zapewnia ochronę tajemnicy handlowej. Programy komputerowe mogą być częścią tajemnicy handlowej. Właściciel tajemnicy handlowej może zażądać zniszczenia nośnika, na którym przechowywany jest program komputerowy. Inne kraje, takie jak Korea, Tajwan i Tajlandia, nie mają takich przepisów lub są w trakcie ich opracowywania.
162. Które z poniższych dzienników są przydatne do monitorowania bezpieczeństwa?
a. Dzienniki oprogramowania zabezpieczającego opartego na sieci
b. Dzienniki oprogramowania zabezpieczającego opartego na hoście
c. Dzienniki systemu operacyjnego
d. Dzienniki systemowe aplikacji
162. d. Niektóre aplikacje, takie jak usługi sieci Web i poczty e-mail, mogą rejestrować informacje o użytkowaniu, które mogą być również przydatne do monitorowania bezpieczeństwa. (Oznacza to, że dziesięciokrotny wzrost aktywności e-mailowej może wskazywać na nowe zagrożenie ze strony złośliwego oprogramowania przenoszonego przez pocztę e-mail). Dzienniki oprogramowania zabezpieczającego zarówno sieciowego, jak i hosta zawierają podstawowe informacje związane z bezpieczeństwem, takie jak profile dostępu użytkowników i prawa dostępu. i uprawnienia, co nie jest przydatne do monitorowania bezpieczeństwa. Dzienniki systemu operacyjnego gromadzą informacje o serwerach, stacjach roboczych i urządzeniach łączności sieciowej (np. routerach i przełącznikach), które mogą być przydatne w identyfikowaniu podejrzanej aktywności na określonym hoście, ale nie są przydatne do monitorowania bezpieczeństwa.
163. Z punktu widzenia bezpieczeństwa komputerowego odpowiedzialność osoby korzystającej z systemu komputerowego jest najściślej związana z którym z poniższych?
a. Odpowiedzialność
b. Użyteczność
c. Identyfikowalność
d. Dostępność
163. c. Tutaj chodzi o ustalenie, kto co zrobił i kiedy. Aby odpowiedzialność działała, informacje o tym, kto próbował wykonać działanie, jakie działanie, kiedy i jakie były wyniki, muszą być rejestrowane. Ten dziennik może służyć do śledzenia działań danej osoby. Logi nie mogą podlegać manipulacji ani utracie. Dzienniki zapewniają możliwość śledzenia działań użytkownika. Odpowiedzialność to szersze pojęcie określające obowiązki i oczekiwane zachowanie. Termin odpowiedzialność oznacza proaktywną postawę strony odpowiedzialnej i swobodny związek między stroną odpowiedzialną a danym wynikiem. Termin odpowiedzialność odnosi się do zdolności pociągania ludzi do odpowiedzialności za ich działania. Ludzie mogą być odpowiedzialni za swoje czyny, ale nie mogą być pociągani do odpowiedzialności. Na przykład anonimowy użytkownik systemu jest odpowiedzialny za nienaruszanie zabezpieczeń, ale nie może zostać pociągnięty do odpowiedzialności w przypadku naruszenia, ponieważ nie można przypisać akcji do osoby. Użyteczność jest niepoprawna, ponieważ dotyczy zestawu atrybutów, które mają wpływ na wysiłek potrzebny do użycia oraz na indywidualną ocenę takiego użycia przez określony lub dorozumiany zbiór użytkowników. Dostępność jest nieprawidłowa, ponieważ jest to zdolność do korzystania z systemu komputerowego lub zasobu lub zdolność i środki niezbędne do przechowywania danych, pobierania danych lub komunikowania się z systemem. Odpowiedzialność, użyteczność i dostępność nie są powiązane z działaniami jednostki.
164. Środki wykrywania są potrzebne do identyfikacji działań przestępczych związanych z komputerami. Który z poniższych środków jest reaktywny w naturze?
a. Rejestrowanie wszystkich prób logowania
b. Sprawdzanie logów systemowych
c. Powiadamianie kogoś o anomaliach systemowych
d. Ograniczenie liczby prób logowania
164. b. Środki reaktywne mają na celu wykrywanie trwających przestępstw i przestępstw, które już zostały popełnione. Takie środki obejmują wykonywanie regularnych audytów systemu oraz sprawdzanie logów systemowych generowanych automatycznie przez system. Środki proaktywne wykrywają przestępstwa przed ich popełnieniem lub w ich trakcie. Przykłady obejmują rejestrowanie wszystkich prób logowania, powiadamianie użytkownika lub pracownika ochrony o anomaliach systemowych poprzez dźwięk alarmu lub wyświetlanie komunikatu oraz ograniczanie liczby prób logowania przed automatycznym przerwaniem procesu logowania.
165. Które z poniższych nie jest samo w sobie przestępstwem komputerowym ani nawet występkiem?
a. Podsłuch
b. Podsłuchiwanie
c. Superzapping
d. Maskarada
165. c. Superzapping, program narzędziowy w środowisku mainframe IBM, może być uważany za klucz główny do systemu komputerowego. Odblokowuje większość zabezpieczeń i kontroli integralności. W niewłaściwych rękach jego użycie może być szkodliwe. Aby rozwiązać niektóre problemy z systemem operacyjnym, konieczne jest korzystanie z uprawnień administratora, uprawnień administratora lub uruchamianie programów, które omijają zabezpieczenia. Innymi słowy, superzapping może być używany zarówno do dobrych, jak i złych celów. Problem polega na tym, że nie istnieje ścieżka audytu. Podsłuch jest nieprawidłowy, ponieważ jest przestępstwem komputerowym. Jakiś nieautoryzowane urządzenie jest dołączone do obwodu telekomunikacyjnego w celu uzyskania aktywnego i/lub pasywnego dostępu. Podsłuchiwanie jest nieprawidłowe, ponieważ jest przestępstwem komputerowym polegającym na nieuprawnionym przechwyceniu informacji. Maskarada jest niepoprawna, ponieważ jest przestępstwem komputerowym i jest próbą uzyskania dostępu do systemu komputerowego poprzez udawanie autoryzowanego użytkownika.
166. Licencje typu site na zakup gotowego oprogramowania komputerowego zapewniają wiele korzyści zarówno sprzedawcom, jak i użytkownikom. Która z poniższych sytuacji nie określa potrzeby posiadania licencji na witrynę?
a. Korzystanie z podobnego oprogramowania na wielu komputerach
b. Dostępność umowy
c. Dostępność obowiązujących norm de iure
d. Dostępność obowiązujących norm de facto
166. b. Należy rozważyć licencje lokalne, jeśli organizacja potrzebuje podobnego oprogramowania dla wielu komputerów, może sobie pozwolić na zakup lub może uzyskać odpowiednią licencję lokalną i posiada lub potrzebuje standardów (formalnych lub nieformalnych). Konkretne wymagania, a nie dostępność umowy, określają licencje na witrynę. Przyznanie licencji lokalowej wymaga pewnego wysiłku, ale przy prawidłowym użytkowaniu licencja lokalna może zapewnić oszczędności w zasobach personelu i niższe ceny. Standardy de iure mają charakter formalny, natomiast standardy de facto mają charakter nieformalny.
167. Umowy licencyjne dotyczące witryny oprogramowania nie:
a. Zwiększ wydatki na wsparcie
b. Usprawnij zarządzanie inwentarzem oprogramowania
c. Ułatwienie scentralizowanego zamawiania
d. Usprawnij funkcję dystrybucji oprogramowania
167. a. Licencje na oprogramowanie witrynowe zmniejszają koszty pomocy technicznej dzięki ekonomii skali. W przypadku organizacji użytkowników licencja lokalna umożliwia korzystanie z wielu kopii pakietu oprogramowania po obniżonych kosztach i umożliwia lepsze zarządzanie inwentarzem oprogramowania organizacji. W przypadku dostawców oprogramowania licencja na witrynę może obniżyć koszty marketingu i dystrybucji oraz zapewnić przewidywalne płatności. Umowy licencyjne dla lokalizacji usprawniają zarządzanie inwentarzem oprogramowania, centralizują zamawianie i usprawniają funkcje dystrybucji oprogramowania. Dokładne inwentaryzacje są ważne podczas zamawiania aktualizacji oprogramowania, projektowania sieci lokalnej i ochrony przed wirusami komputerowymi. Scentralizowane funkcje zamawiania i dystrybucji oprogramowania zyskują akceptację, gdy okazuje się, że są korzystne dla organizacji. Zaletą licencjonowania witryn jest ustandaryzowane wsparcie, które zmniejsza koszty szkoleń i innych usług wsparcia oraz jest najłatwiejszym sposobem na płynne i przejrzyste udostępnianie informacji. Korzyści ze standaryzacji obejmują łatwość wymiany informacji, wspólne przetwarzanie aplikacji, wspólne tworzenie aplikacji oraz skrócenie czasu i kosztów szkolenia.
168. Które z poniższych odnosi się do zachowania równowagi między prawami jednostki a kontrolą nad informacjami o sobie?
a. Poufność
b. Prywatność
c. Bezpieczeństwo
d. Uczciwość
168. b. Prywatność to prawo osoby do ograniczenia dostępu do informacji dotyczących tej osoby. Prywatność odnosi się do społeczności
równowagi między prawem jednostki do zachowania poufności informacji a korzyściami społecznymi płynącymi z udostępniania informacji oraz w jaki sposób ta równowaga jest skodyfikowana, aby zapewnić jednostkom środki kontroli danych osobowych. Zabezpieczenia, które pomagają zapewnić poufność informacji, mogą być wykorzystywane do ochrony prywatności. Poufność jest nieprawidłowa, ponieważ dotyczy ujawniania informacji tylko upoważnionym osobom, podmiotom i tak dalej. Bezpieczeństwo jest nieprawidłowe, ponieważ odnosi się do chęci ochrony osoby przed nieuprawnionym ujawnieniem, modyfikacją lub zniszczeniem informacji, które uważają za prywatne lub wartościowe. Bezpieczeństwo i zabezpieczenia są często używane zamiennie. Integralność jest nieprawidłowa, ponieważ odnosi się do idealnego stanu, który zapewnia, że tylko upoważnione osoby zmieniły informacje.
169. Która z poniższych metod wykrywania incydentów nie działa dobrze we wszystkich sytuacjach?
a. Oprogramowanie do wykrywania włamań
b. Oprogramowanie antywirusowe
c. Analizatory logów
d. Raporty użytkowników
169. d. Zautomatyzowane metody wykrywania incydentów obejmują oprogramowanie do wykrywania włamań, oparte na sieci lub na hoście, oprogramowanie antywirusowe i analizatory dzienników. Incydenty można również wykryć poprzez środki ręczne, takie jak raporty użytkowników, ale nie działają dobrze we wszystkich sytuacjach ze względu na ich statyczny charakter. Niektóre incydenty mają wyraźne oznaki, które można łatwo wykryć, podczas gdy inne są praktycznie niewykrywalne bez automatyzacji.
170. Osobą, która najczęściej zgłasza nielegalne kopiowanie i używanie oprogramowania komputerowego opracowanego przez dostawcę w organizacji urzędnikom państwowym lub przedstawicielowi dostawcy oprogramowania, są:
a. Konsultanci systemowi
b. Dystrybutorzy oprogramowania
c. Ładowarki dysków twardych
d. Niezadowoleni pracownicy
170. d. W większości przypadków (90-95 proc.) nielegalne kopiowanie i korzystanie z oprogramowania zgłaszają niezadowoleni pracownicy. Pozostałe wskazówki pochodzą zwykle od konsultantów ds. systemów, którzy pracują w zakładach klientów. Sprzedawcy oprogramowania i ładowacze dysków twardych nie zgłaszaliby tego, ponieważ zazwyczaj są zaangażowani w nielegalne kopiowanie oprogramowania dla swoich klientów.
171. Który z poniższych dzienników może być pomocny w identyfikowaniu sekwencji złośliwych zdarzeń?
a. Dzienniki oprogramowania zabezpieczającego opartego na sieci
b. Dzienniki oprogramowania zabezpieczającego opartego na hoście
c. Dzienniki systemu operacyjnego
d. Dzienniki systemowe aplikacji
171. d. Dzienniki systemowe aplikacji generują bardzo szczegółowe dzienniki, które odzwierciedlają każde żądanie i odpowiedź użytkownika, co może być pomocne w identyfikowaniu sekwencji złośliwych zdarzeń i określaniu ich widocznego wyniku. Na przykład wiele serwerów WWW, protokołu przesyłania plików (FTP) i poczty e-mail może wykonywać takie rejestrowanie aplikacji. Dzienniki oprogramowania zabezpieczającego zarówno sieciowego, jak i hosta zawierają podstawowe informacje związane z bezpieczeństwem, takie jak profile dostępu użytkowników oraz prawa dostępu i uprawnienia, które nie są pomocne w identyfikowaniu sekwencji złośliwych zdarzeń. Dzienniki systemu operacyjnego gromadzą informacje o serwerach, stacjach roboczych i urządzeniach łączności sieciowej (na przykład routerach i przełącznikach), które mogą być przydatne w identyfikowaniu podejrzanej aktywności z udziałem konkretnego hosta, ale nie są pomocne w identyfikowaniu sekwencji złośliwych zdarzeń.
172. Pojedyncza i skuteczna procedura kontrolna mająca na celu wykrycie nielegalnego wykorzystania oprogramowania chronionego prawami autorskimi w organizacji to:
a. Wyślij ankietę e-mail do wszystkich użytkowników.
b. Przypominaj okresowo wszystkim użytkownikom, aby nie korzystali z nielegalnie uzyskanego oprogramowania.
c. Opracuj narzędzie do zarządzania inwentarzem oprogramowania i okresowo porównuj listę oprogramowania inwentaryzacyjnego z zamówieniami zakupu firmy.
d. Natychmiast opracuj politykę antypiracką oprogramowania i rozpowszechniaj wszystkim użytkownikom bezbłędnie.
172. c. Za pomocą publicznie dostępnego narzędzia do zarządzania inwentarzem oprogramowania lub programu narzędziowego, oprogramowanie przeszukuje dyski twarde pod kątem obecności popularnych aplikacji, a po znalezieniu dopasowania przygotowywana jest lista. Lista jest następnie porównywana z zamówieniami zakupu wystawionymi przez firmę. Po znalezieniu nielegalnego oprogramowania jest ono niszczone i kupowane jest nowe. Narzędzie do zarządzania inwentarzem oprogramowania jest najlepszym sposobem przeprowadzania audytów oprogramowania i może być zarządzane zdalnie przez administratorów systemu, którzy są niezależni od użytkowników. Działania sugerowane w pozostałych trzech opcjach są powierzchowne i nie osiągają tego samego celu, co system zarządzania inwentarzem oprogramowania.
173. Które z poniższych stwierdzeń jest prawdziwe w odniesieniu do depozytu kodu źródłowego oprogramowania aplikacji?
a. Wykorzystuje system depozytów kluczy.
b. To umieszczanie programów komputerowych w skarbcu bankowym.
c. Bez depozytu kodu wynikowego jest bez znaczenia.
d. Umieszcza programy komputerowe pod opieką osób trzecich.
173. d. Wielu dostawców oprogramowania aplikacyjnego nie udostępnia nabywcy kodu źródłowego. Ma to na celu ochronę integralności systemu i praw autorskich. System aplikacji jest instalowany w kodzie obiektowym. Alternatywą dla otrzymywania programów źródłowych jest zawarcie umowy depozytu przez powiernika będącego stroną trzecią. W tej umowie nabywca może uzyskać dostęp do programów źródłowych pod pewnymi warunkami (np. upadłość dostawcy i zaprzestanie obsługi produktu). Osoba trzecia przechowuje te programy i dokumenty w depozycie. System depozytu kluczy jest nieprawidłowy, ponieważ nie ma nic wspólnego z depozytem oprogramowania aplikacji. System depozytu klucza to system, który powierza dwa komponenty (klucz prywatny i publiczny) składające się z klucza kryptograficznego używanego do szyfrowania dwóm posiadaczom komponentów klucza lub agentom depozytowym. Programy komputerowe w skarbcu bankowym są nieprawidłowe, ponieważ nie trzeba ich umieszczać w skarbcu bankowym. Można je umieścić u zewnętrznego agenta niezależnie od lokalizacji. Kod obiektu jest niepoprawny, ponieważ nie jest zdeponowany; tylko kod źródłowy jest.
174. Które z poniższych stwierdzeń dotyczących cyberprawa (tj. prawa dotyczącego Internetu) jest prawdziwe?
a. Wszystkie materiały publikowane w Internecie i na biuletynach komputerowych podlegają ochronie praw autorskich tylko wtedy, gdy towarzyszy im formalna informacja o prawach autorskich.
b. Dostawca tablicy ogłoszeń ponosi odpowiedzialność za naruszenie praw autorskich na swojej tablicy tylko wtedy, gdy jest tego świadomy.
c. Organizacje posiadają prawa autorskie do tworzenia stron internetowych przez niezależnych pisarzy.
d. Pracodawcą będzie zawsze właściciel utworu internetowego stworzonego przez pracownika w zakresie zatrudnienia.
174. d. Pracodawca będzie właścicielem utworu stworzonego przez pracownika w zakresie zatrudnienia. Wszystkie materiały publikowane w Internecie i na biuletynach komputerowych podlegają ochronie praw autorskich, niezależnie od tego, czy towarzyszy im formalna informacja o prawach autorskich. Prawdą jest, że niezależny wykonawca, freelancer, może posiadać prawa autorskie do utworu wykonanego na rzecz kogoś innego, jeśli nie ma wyraźnej zgody przeciwnej.
175. Pod którym z poniższych warunków nie doszło do naruszenia praw autorskich?
a. Kiedy oglądana jest praca.
b. Kiedy drukowana praca jest "skanowana" do pliku cyfrowego.
c. Gdy praca jest "przesyłana" z komputera użytkownika do systemu tablicy ogłoszeń.
d. Gdy zawartość pobranego pliku jest modyfikowana.
175. a. Oglądanie pracy jest nieszkodliwe, o ile nie jest wykorzystywane w sposób komercyjny. Zazwyczaj prawa autorskie przyznają właścicielom pewne prawa, w tym prawo do powielania dzieła. Reprodukcja jest naruszona za każdym razem, gdy utwór jest przesyłany z komputera użytkownika do systemu tablicy ogłoszeń lub innego serwera, pobrane z takiego systemu lub serwera lub przeniesione z jednego użytkownika sieci komputerowej do drugiego. Kopia naruszająca prawo jest tworzona, gdy drukowana praca jest skanowana do pliku cyfrowego i gdy zawartość pobranego pliku jest zmieniana w celu przygotowania pracy pochodnej.
176. Pod którym z poniższych warunków korzystanie z nazwy domeny internetowej (adresu) nie jest nielegalne?
a. Gdy używana jest ta sama nazwa, która była używana od lat przez konkurenta lub osobę niebędącą konkurentem.
b. Kiedy używana jest nowa nazwa.
c. Gdy firma, która przydziela adres internetowy, przypisuje taką samą nazwę.
d. Gdy firma przydzielająca adres internetowy nie posiada systemu kontroli zmian.
176. b. Nazwa domeny internetowej zawiera elementy znajdujące się w adresie elektronicznym bezpośrednio po symbolu "@", który służy jako kluczowy identyfikator komputera podłączonego do Internetu. Nowa nazwa nie jest nielegalna. Orzecznictwo orzekło, że pozostałe trzy możliwości to nielegalne wykorzystanie nazwy domeny. Firma, która przypisuje adres internetowy, nazywana jest strażnikiem.
177. Źródła praw i obowiązków dotyczących prywatności w poczcie elektronicznej nie obejmują:
a. Prawo kraju
b. Praktyki pracodawcy
c. Praktyki pracownicze
d. Zasady pracodawcy
177. c. Ponieważ poczta elektroniczna może przekraczać granice wielu stanów i państw, a nawet kontynentów, zaleca się zapoznanie się z głównymi źródłami praw i obowiązków prawnych. Źródła te obejmują prawo danego kraju oraz zasady i praktyki pracodawców. Praktyki pracowników nie mają wpływu na prawa i obowiązki prawne.
178. Które z poniższych przedstawia środki ograniczające ryzyko w celu wykrywania, ograniczania lub eliminowania ataków złośliwego kodu w oprogramowaniu?
1. Bezpieczne praktyki kodowania
2. Zaufane procesy zakupowe
3. Proces zarządzania konfiguracją
4. Praktyki monitorowania systemu
a. 1 i 3
b. Tylko 3
c. 3 i 4
d. 1, 2, 3 i 4
178. d. Celem jest upewnienie się, że oprogramowanie nie wykonuje funkcji innych niż zamierzone. Środki ograniczające ryzyko mające na celu zapewnienie, że oprogramowanie nie wykonuje niezamierzonych funkcji (np. ataków za pomocą złośliwego kodu), obejmują silne kontrole integralności, praktyki bezpiecznego kodowania, zaufane procesy zaopatrzenia w celu nabycia sprzętu i oprogramowania związanego z siecią, zarządzanie konfiguracją i kontrolę oraz praktyki monitorowania systemu.
179. Osoba zakłada elektroniczną tablicę ogłoszeń, na której zachęca innych do bezpłatnego przesyłania oprogramowania i gier komputerowych. Oprogramowanie i gry są chronione prawami autorskimi. Następnie przesyła wgrane programy na drugą tablicę ogłoszeń bez żadnych opłat dla potencjalnych użytkowników. Programy mogą pobierać użytkownicy posiadający hasło dostępu do drugiej tablicy ogłoszeń. W tym scenariuszu, kto byłby odpowiedzialny zgodnie z ustawami o oszustwach związanych z telewizją kablową?
a. Pomysłodawca tablic ogłoszeniowych
b. Użytkownicy, którzy wgrali programy na pierwszą tablicę ogłoszeń
c. Użytkownicy, którzy pobrali programy z drugiego biuletynu
d. Użytkownicy, którzy pobrali programy z pierwszej tablicy ogłoszeń
179. a. Twórca tablicy ogłoszeń ponosi pełną odpowiedzialność, ponieważ udostępnił nielegalne kopiowanie i dystrybucję oprogramowania chronionego prawami autorskimi bez uiszczania opłat licencyjnych i tantiem producentom i sprzedawcom oprogramowania.
180. Które z poniższych może spowodować najmniejsze szkody w postaci poważnych strat finansowych?
a. Stalkerzy online
b. Projektanci robaków komputerowych
c. Projektanci wirusów komputerowych
d. Pracownik korzystający z komputera byłego pracodawcy
180. a. Stalking online to nękanie przez komputer poprzez wysyłanie groźnych lub nieprzyzwoitych wiadomości e-mail. Przepisy antystalkingowe są zależne od rządu stanowego i dlatego nie są egzekwowane w sposób jednolity. Ofiara może mieć możliwość domagania się zakazu zbliżania się, aby powstrzymać takie zachowanie w sieci. Pozostałe trzy wybory są błędne, ponieważ powodują poważne szkody w postaci strat finansowych. Projektant robaków i wirusów może niszczyć cenne programy komputerowe i blokować sieć na wiele godzin i dni. Pracownik korzystający z komputera byłego pracodawcy może ukraść cenne informacje i sprzedać je konkurencji w celu uzyskania korzyści finansowych lub zemsty.
181. Która z poniższych odpowiedzi budzi poważne problemy prawne w zakresie dozwolonego użytku materiałów chronionych prawem autorskim?
a. Opublikowana praca na papierze
b. Niepublikowana praca na papierze
c. Cyfrowa praca na komputerze
d. Wyczerpane prace na papierze
181. c. Informacje, które są w formie cyfrowej, a zatem są łatwe do ponownego wykorzystania i manipulowania, rodzą szereg problemów prawnych dotyczących tego, co stanowi dozwolony użytek. Na przykład, jeśli oprogramowanie komputerowe jest poddane inżynierii wstecznej, analityk systemowy może skopiować całe dzieło, a nie tylko jego części. Powoduje to znaczną utratę udziału w rynku na rzecz dostawcy oprogramowania. Inne opcje dotyczą mediów papierowych, gdzie "dozwolony użytek" jest jasno określony w postaci procentu skopiowanej lub wykorzystanej pracy.
182. Które z poniższych jest głównym ryzykiem braku śledzenia zasobów sprzętu i oprogramowania komputerów osobistych?
a. Nieprawidłowe odpisy amortyzacyjne
b. Nieprawidłowe odpisy amortyzacyjne
c. Zarzuty piractwa komputerowego
d. Utracone rabaty dostawcy
182. c. Zarządzanie sprzętem komputerowym i zasobami oprogramowania ostrzega kierownictwo o każdym nowym, nieautoryzowanym oprogramowaniu wprowadzonym do organizacji w celu jego wykorzystania. Alerty te nie tylko wykrywają obecność wirusów komputerowych, ale także chronią przed zarzutami piractwa komputerowego. Należy odradzać wszelkie nieautoryzowane korzystanie z oprogramowania. Pozostałe trzy wybory są nieprawidłowe, ponieważ nieprawidłowe opłaty amortyzacyjne i utracone rabaty dostawców również stanowią ryzyko, ale nie tak duże jak wirusy komputerowe i opłaty za piractwo komputerowe. Amortyzacja dotyczy oprogramowania, natomiast amortyzacja dotyczy sprzętu. Nieprawidłowa amortyzacja i odpis amortyzacyjny będą skutkować, gdy sprzęt i oprogramowanie nie zostaną odpowiednio zaksięgowane i wycenione. Rabaty zakupu dostawcy zostaną utracone, gdy scentralizowane zarządzanie zakupami nie będzie świadome potencjalnych aktywów.
183. Organizacja ze Stanów Zjednoczonych przekazuje swoje dane poza granice kraju. O którym z poniższych należy powiadomić kierownictwo?
a. Prawa transgraniczne kraju przyjmującego
b. Prawa transgraniczne państwa przekazującego
c. Zasady organizacji przyjmującej dotyczące centrum danych
d. Zasady organizacji przesyłającej dotyczące centrum danych
183. a. Wiele krajów europejskich (np. Niemcy) nakłada silne ograniczenia na międzynarodowy przepływ danych osobowych i finansowych. Obejmuje to dane osobowe, wyciągi bankowe, a nawet listy mailingowe. W związku z tym kraj przekazujący powinien być świadomy przepisów dotyczących transgranicznego przepływu danych w kraju odbierającym. Zasady konkretnego centrum danych nie mają nic wspólnego z krajowymi przepisami dotyczącymi transgranicznego przepływu danych.
184. Który z poniższych dzienników pomaga w ocenie ostatecznych szkód spowodowanych incydentami związanymi z bezpieczeństwem komputerowym?
a. Dzienniki kontaktów
b. Dzienniki aktywności
c. Dzienniki incydentów
d. Dzienniki audytu
184. c. Organizacja musi przechowywać różnorodne informacje do własnego użytku operacyjnego oraz do przeprowadzania przeglądów skuteczności i odpowiedzialności. Dzienniki incydentów są generowane w trakcie obsługi incydentu. Dzienniki incydentów są ważne dla dokładnego rejestrowania zdarzeń, które mogą wymagać przekazania innym. Informacje w dziennikach incydentów są pomocne przy nawiązywaniu nowych kontaktów; zebranie przyczyny, przebiegu i zakresu incydentu; oraz do analizy po incydencie i ostatecznej oceny uszkodzeń. Incydent powinien zawierać co najmniej (i) wszystkie podjęte działania, z zaznaczonymi czasami, (ii) wszystkie rozmowy, w tym zaangażowane osoby, datę i godzinę oraz podsumowanie, oraz (iii) wszystkie zdarzenia systemowe i inne istotne informacje takie jak identyfikatory użytkowników. Dziennik incydentów powinien być szczegółowy, dokładny, a odpowiednie procedury powinny być przestrzegane, aby dziennik incydentów mógł zostać wykorzystany jako dowód w sądzie. Dzienniki kontaktów są nieprawidłowe, ponieważ zawierają takie elementy, jak kontakty z dostawcami, kontakty prawne i dochodzeniowe oraz inne osoby posiadające wiedzę techniczną. Rekord bazy danych kontaktów może zawierać imię i nazwisko, tytuł, adres, numery telefonu/faksu, adres e-mail i komentarze. Dzienniki aktywności są nieprawidłowe, ponieważ odzwierciedlają przebieg każdego dnia. Zapisywanie wszystkich kontaktów, rozmów telefonicznych itd. ostatecznie oszczędza czas, umożliwiając zachowanie informacji, które mogą okazać się przydatne później. Dzienniki inspekcji są nieprawidłowe, ponieważ zawierają informacje przydatne do śledzenia zdarzeń od miejsca pochodzenia do miejsca docelowego i odwrotnie. Informacje te mogą być wykorzystywane do rozliczania użytkowników w systemie.
185. Oprogramowanie jest własnością intelektualną. Które z poniższych stwierdzeń dotyczących używania oprogramowania i piractwa jest prawdziwe?
a. Pracownik naruszył przepisy dotyczące piractwa, kopiując w pracy oprogramowanie komercyjne do użytku domowego ze stuprocentowych powodów biznesowych.
b. Pracownik naruszył przepisy dotyczące piractwa, kopiując oprogramowanie komercyjne w celu tworzenia kopii zapasowych.
c. Pracownik naruszył przepisy dotyczące piractwa, kopiując w pracy oprogramowanie komercyjne, aby używać go w podróży w 100 procentach biznesowych.
d. Warunki umowy licencyjnej na oprogramowanie określają, czy miało miejsce przestępstwo lub naruszenie.
185. d. Przepisy dotyczące piractwa komputerowego są złożone i zróżnicowane. Dostawca oprogramowania umożliwia użytkownikom posiadanie dwóch kopii (jednej w pracy, a drugiej w domu lub w podróży, o ile używają tylko jednej kopii na raz) oraz jednej kopii do celów tworzenia kopii zapasowych. Ponieważ umowa każdego dostawcy jest inna, najlepiej jest zapoznać się z warunkami umowy tego dostawcy.
186. Jeśli chodzi o przedstawianie dowodów w sądzie, który z poniższych elementów nie jest bezpośrednio związany z pozostałymi trzema elementami?
a. Dowody odciążające
b. Dowody obciążające
c. Wewnętrzny materiał dowodowy
d. Dowody elektroniczne
186. c. Dowody mogą być wewnętrzne lub zewnętrzne w zależności od tego, kiedy i gdzie są przedstawiane. Wewnętrzny materiał dowodowy nie jest powiązany z pozostałymi trzema pozycjami, ponieważ jest to zbiór danych dokumentujących przestrzeganie przez system informatyczny stosowanych kontroli bezpieczeństwa. Jest to bardziej dowód dokumentów kontroli wewnętrznej w ramach organizacji i może być wykorzystany w sądzie jako dowód zewnętrzny w razie potrzeby. Pozostałe trzy wybory są nieprawidłowe, ponieważ stanowią przykłady dowodów zewnętrznych wymaganych w sądzie i są ze sobą bezpośrednio powiązane. Dowody odciążające to dowody, które mają tendencję do zmniejszania prawdopodobieństwa winy lub winy. Dowody obciążające to dowody, które zwykle zwiększają prawdopodobieństwo winy lub winy. Dowody elektroniczne to dane i informacje o wartości dochodzeniowej, które są przechowywane na urządzeniu elektronicznym lub przez nie przesyłane.
187. Twoja organizacja korzysta z sieci lokalnych (LAN) opartych na komputerach PC, a ich wykorzystanie rośnie. Kierownictwo jest zaniepokojone liczbą użytkowników korzystających w danym momencie z oprogramowania aplikacyjnego. Obecnie kierownictwo nie ma dokładnego obrazu tego, ilu użytkowników korzysta z systemu aplikacji w celu utrzymania licencji na umowę witryny. Co byś polecił?
a. Uzyskaj narzędzia do pomiaru i monitorowania oprogramowania, aby kontrolować wykorzystanie oprogramowania aplikacji.
b. Przypomnij wszystkim użytkownikom, że tylko upoważnione osoby powinny korzystać z oprogramowania.
c. Przeprowadzaj okresowe audyty przez audytorów.
d. Przeprowadzaj losowe audyty przez administratora sieci LAN.
187. a. Można wyznaczyć maksymalną dozwoloną liczbę użytkowników na aplikację, aby pomóc w utrzymaniu umów licencyjnych dla lokalizacji. Pokazuje, w jaki sposób ludzie korzystają z aplikacji i można uniknąć kupowania niepotrzebnych kopii oprogramowania. Jeśli potrzebne są dodatkowe kopie, oprogramowanie ostrzega menedżerów sieci LAN komunikatem ekranowym. Przypominanie wszystkim użytkownikom, że tylko upoważnione osoby powinny korzystać z oprogramowania, nie osiąga celu, ponieważ niektóre osoby mogą nie postępować zgodnie ze wskazówkami. Przeprowadzanie okresowych audytów przez audytorów lub administratorów sieci LAN może nie być terminowe i może nie obejmować wszystkich obszarów organizacji ze względu na czynniki czasu i zasobów.
188. Podczas wykrywania incydentów związanych ze złośliwym oprogramowaniem, które z poniższych mogą działać jako prekursory?
1. Powiadomienia o złośliwym oprogramowaniu
2. Alerty narzędzi bezpieczeństwa
3. Administratorzy systemu
4. Narzędzia bezpieczeństwa
a. Tylko 3
b. Tylko 4
c. 1 lub 2
d. 3 i 4
188. c. Oznaki incydentu należą do jednej z dwóch kategorii: prekursorów i wskazań. Prekursor jest znakiem, że w przyszłości może nastąpić incydent (np. atak złośliwego oprogramowania) (np. przyszły incydent). Większość prekursorów złośliwego oprogramowania to porady dotyczące złośliwego oprogramowania lub alerty dotyczące narzędzi bezpieczeństwa. Wykrywanie prekursorów daje organizacjom możliwość zapobiegania incydentom poprzez zmianę ich postawy bezpieczeństwa i zachowania czujności w celu obsługi incydentów, które mają miejsce wkrótce po prekursorze. Administratorzy systemu i narzędzia bezpieczeństwa to przykłady wskazań na incydenty złośliwego oprogramowania. Wskazanie to znak, że mogło dojść do incydentu (atak złośliwego oprogramowania) lub że może mieć miejsce. Główne wskaźniki obejmują użytkowników, personel IT, takich jak administratorzy systemów, sieci i zabezpieczeń oraz narzędzia zabezpieczające, takie jak oprogramowanie antywirusowe, systemy zapobiegania włamaniom i oprogramowanie do monitorowania sieci.
189. Z prawnego punktu widzenia, który z poniższych banerów wyświetlanych przed logowaniem jest wystarczający, aby ostrzec potencjalnych intruzów?
a. Zakaz manipulacji
b. Wstęp wzbroniony
c. Bez hakowania
d. Zakaz spamowania
189. b. Zawiadomienie o zakazie wstępu to kompleksowe ostrzeżenie, aby skonfrontować się z potencjalnymi intruzami. Wszystkie pozostałe trzy opcje są objęte klauzulą "zakaz wstępu".
190. Które z poniższych praktyk nie zapobiegną incydentom związanym z bezpieczeństwem komputerowym?
a. Zbieranie danych o incydentach
b. Posiadanie programu do zarządzania poprawkami
c. Hartowanie wszystkich hostów
d. Konfigurowanie obwodu sieci
190. a. Samo zbieranie danych o incydentach nie zapobiega incydentom związanym z bezpieczeństwem komputerowym. Dobrym wykorzystaniem danych jest mierzenie sukcesu zespołu reagowania na incydenty. Pozostałe trzy opcje zapobiegają incydentom związanym z bezpieczeństwem komputerowym.
191. Która z poniższych cech nie jest preferowaną cechą danych dotyczących incydentów związanych z bezpieczeństwem?
a. Dane obiektywne
b. Dane subiektywne
c. Dane umożliwiające podjęcie działań
d. Dostępne dane
191. d. Organizacje powinny być przygotowane na zebranie zestawu obiektywnych i subiektywnych danych dla każdego incydentu. Powinni skoncentrować się na zbieraniu danych, które są wykonalne, a nie na zbieraniu danych tylko dlatego, że są dostępne.
192. Które z poniższych nie może mieć wielkiej wartości w automatyzacji procesu analizy incydentów?
a. Oprogramowanie do korelacji zdarzeń
b. Oprogramowanie do scentralizowanego zarządzania dziennikami
c. Oprogramowanie zabezpieczające
d. Oprogramowanie do zarządzania poprawkami
192. d. Zwykle oddzielny zespół, inny niż zespół reagowania na incydenty, świadczy usługi zarządzania poprawkami, a praca nad zarządzaniem poprawkami może być kombinacją procesów ręcznych i komputerowych. Automatyzacja jest potrzebna do przeprowadzenia analizy danych o incydentach i wybrania interesujących zdarzeń do weryfikacji przez człowieka. Oprogramowanie do korelacji zdarzeń, oprogramowanie do scentralizowanego zarządzania dziennikami i oprogramowanie zabezpieczające mogą być bardzo przydatne w automatyzacji procesu analizy. Pozostałe trzy opcje są używane w fazie wykrywania i analizy, która poprzedza fazę odzyskiwania, w której instalowane są poprawki.
193. W przypadku zastosowania informatyki śledczej do technologii obrazowania dysków nadmiarowej macierzy niezależnych dysków (RAID), które z poniższych elementów nie są wykorzystywane jako funkcja mieszająca w weryfikacji integralności danych cyfrowych w macierzach RAID jako dowód w sądzie?
1. Cykliczna kontrola nadmiarowa-32 (CRC-32)
2. Sumy kontrolne
3. Skrót wiadomości 5 (MD5)
4. Bezpieczny algorytm mieszający1 (SHA1)
a. Tylko 1
b. Tylko 3
c. 1 i 2
d. 3 i 4
193. c. Zarówno CRC-32, jak i sumy kontrolne nie są wykorzystywane jako funkcja mieszająca w weryfikowaniu integralności danych cyfrowych na macierzach RAID jako dowód w sądzie. Aby były kompletne i dokładne w oczach sądu, dane muszą być zweryfikowane jako bit-bit match. Brak zapewnienia sądowego zapewnienia integralności danych może spowodować, że dowód zostanie całkowicie odrzucony lub wykorzystany w mniejszym stopniu jako artefakt, znalezisko lub uwaga. System sądowy potrzebuje absolutnej pewności, że przedstawione mu dane są dokładną, niezmienioną repliką danych pierwotnych, o których mowa. CRC-32 nie jest funkcją mieszającą, jest 32-bitową sumą kontrolną i jest zbyt słaba, aby można było na niej w dużym stopniu polegać. Główną słabością jest to, że prawdopodobieństwo, że dwa oddzielne i różne strumienie danych generują tę samą wartość przy użyciu CRC-32, jest zbyt wysokie. Sumy kontrolne to cyfry lub bity zsumowane zgodnie z pewnymi arbitralnymi regułami i służą do weryfikacji integralności normalnych danych, ale nie są funkcjami skrótu, jak jest to wymagane w obrazowaniu dysku. Zarówno MD5, jak i SHA1 są używane jako funkcja mieszająca w weryfikowaniu integralności danych cyfrowych na macierzach RAID jako dowód w sądzie. MD5 jest 128-bitowym algorytmem mieszającym i nie jest podatny na tę samą słabość CRC-32. Szanse na to, że dowolne dwa różne strumienie danych generują tę samą wartość skrótu przy użyciu MD5, są bardzo niskie. SHA-1 to 160-bitowy algorytm mieszający, który jest mocniejszy obliczeniowo niż MD5. W odniesieniu do obrazowania dysku korzyścią z używania algorytmu skrótu jest to, że jeśli jakikolwiek bit zostanie zmieniony lub brakujący między kopią źródłową a docelową, skrót strumienia danych pokaże tę różnicę.
194. Przykładem którego z poniższych typów incydentów bezpieczeństwa komputerowego jest użytkownik dostarczający innym nielegalnych kopii oprogramowania?
a. Odmowa usługi
b. Złośliwy kod
c. Nieautoryzowany dostęp
d. Niewłaściwe użycie
194. d. Korzystanie z usług udostępniania plików (np. peer-to-peer, P2P) do nabywania lub rozpowszechniania pirackiego oprogramowania jest przykładem niewłaściwych działań związanych z użytkowaniem. Niewłaściwe użycie ma miejsce, gdy dana osoba narusza dopuszczalne zasady korzystania z komputerów. Atak typu "odmowa usługi" (DoS) uniemożliwia lub utrudnia autoryzowane korzystanie z sieci, systemów lub aplikacji poprzez wyczerpanie zasobów. Złośliwy kod obejmuje wirusa, robaka, konia trojańskiego lub inną złośliwą jednostkę opartą na kodzie, która infekuje hosta. Nieautoryzowany dostęp to sytuacja, w której osoba uzyskuje logiczny lub fizyczny dostęp bez pozwolenia do sieci, systemu operacyjnego, systemu aplikacji, danych lub urządzenia.
195. Kiedy zespół reagowania na incydent powinien zapoznać się z różnymi przedstawicielami organów ścigania?
a. Po wystąpieniu incydentu
b. Zanim dojdzie do incydentu
c. Podczas incydentu ma miejsce
d. Po tym, jak incydent trafia do sądu
195. b. Zespół reagowania na incydenty powinien zapoznać się z różnymi przedstawicielami organów ścigania przed wystąpieniem incydentu, aby omówić warunki, na jakich incydenty powinny być im zgłaszane, jak należy je zgłaszać, jakie dowody należy zebrać i w jaki sposób należy je zebrać.
196. Które z poniższych jest głównym powodem wielu incydentów związanych z bezpieczeństwem, które nie skutkują wyrokami skazującymi?
a. Organizacje nie kontaktują się właściwie z organami ścigania.
b. Organizacje są zdezorientowane rolą różnych organów ścigania.
c. Organizacje nie znają fizycznej lokalizacji atakującego.
d. Organizacje nie znają logicznej lokalizacji atakującego.
196. a. Głównym powodem, dla którego wiele incydentów związanych z bezpieczeństwem nie kończy się wyrokami skazującymi, jest to, że organizacje nie kontaktują się we właściwy sposób z organami ścigania. Organizacja nie powinna kontaktować się z wieloma organami ścigania z powodu konfliktów jurysdykcyjnych. Organizacje powinny wyznaczyć jednego członka zespołu reagowania na incydenty jako główny punkt kontaktu z organami ścigania. Zespół powinien zrozumieć, jakie są potencjalne problemy jurysdykcyjne (tj. lokalizacja fizyczna w porównaniu z lokalizacją logiczną napastnika).
197. Które z poniższych są wykorzystywane do przechwytywania i analizowania ruchu sieciowego, który może zawierać dowody na incydenty z bezpieczeństwem komputera?
1. Sniffery pakietów
2. Oprogramowanie kryminalistyczne
3. Analizatory protokołów
4. Stanowiska kryminalistyczne
a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 2 i 4
197. b. Sniffery pakietów i analizatory protokołów przechwytują i analizują ruch sieciowy, który może zawierać aktywność złośliwego oprogramowania i dowody incydentu bezpieczeństwa. Sniffery pakietów są przeznaczone do monitorowania ruchu sieciowego w sieciach przewodowych lub bezprzewodowych i przechwytywania pakietów. Większość snifferów pakietów to również analizatory protokołów, co oznacza, że mogą ponownie składać strumienie z pojedynczych pakietów i dekodować komunikację korzystającą z setek lub tysięcy różnych protokołów. Ponieważ sniffery pakietów i analizatory protokołów wykonują te same funkcje, można je połączyć w jedno narzędzie. Oprogramowanie komputerowej kryminalistyki służy do analizowania obrazów dysków pod kątem dowodów incydentu, podczas gdy stacje robocze kryminalistyki służą do tworzenia obrazów dysków, zachowywania plików dzienników i zapisywania danych o incydentach.
198. Które z poniższych ułatwia szybszą reakcję na incydenty związane z bezpieczeństwem?
a. Rootkit
b. Zestaw narzędzi
c. Zestaw komputerowy
d. Zestaw do skoku
198. d. Wiele zespołów reagowania na incydenty tworzy zestaw pomocniczy, czyli przenośną torbę zawierającą materiały, takie jak laptop z wymaganym oprogramowaniem, puste nośniki, urządzenia do tworzenia kopii zapasowych, sprzęt i kable sieciowe oraz poprawki do systemu operacyjnego i aplikacji. Ten zestaw ratunkowy jest zabierany wraz z osobą zajmującą się obsługą incydentów podczas badania incydentu poza siedzibą firmy w celu szybszej reakcji. Zestaw do skoku jest gotowy do użycia przez cały czas, więc w przypadku poważnego incydentu, opiekunowie incydentu mogą chwycić zestaw i odejść, dając im możliwość szybkiego startu. Rootkit to zestaw narzędzi używanych przez atakującego po uzyskaniu dostępu do hosta na poziomie roota. Rootkit ukrywa działania atakującego na hoście, umożliwiając atakującemu utrzymanie dostępu do hosta na poziomie roota za pomocą tajnych środków. Rootkity są publicznie dostępne, a wiele z nich ma na celu zmianę dzienników w celu usunięcia wszelkich dowodów instalacji lub wykonania rootkita. Zestaw narzędzi i zestaw komputerowy to terminy ogólne, które nie mają tu żadnej szczególnej wartości.
199. Które z poniższych stwierdzeń dotyczących kontroli bezpieczeństwa, luk w zabezpieczeniach, oceny ryzyka i świadomości reagowania na incydenty jest niepoprawne?
a. Niewystarczająca kontrola bezpieczeństwa prowadzi do spowolnienia odpowiedzi i większych negatywnych skutków biznesowych.
b. Duży odsetek incydentów wiąże się z wykorzystaniem niewielkiej liczby luk w zabezpieczeniach.
c. Wyniki oceny ryzyka można interpretować tak, aby ignorować zabezpieczenia zasobów, które są mniej niż krytyczne.
d. Poprawa świadomości użytkowników na temat incydentów zmniejsza częstotliwość incydentów.
199.c. Oceny ryzyka zwykle skupiają się na krytycznych zasobach. Nie należy tego interpretować jako usprawiedliwienie dla organizacji ignorowania bezpieczeństwa zasobów, które są uważane za mniej niż krytyczne, ponieważ organizacja jest tak bezpieczna, jak jej najsłabsze ogniwo. Jeśli kontrole bezpieczeństwa są niewystarczające, może wystąpić duża liczba incydentów, co może prowadzić do powolnych i niepełnych odpowiedzi, co z kolei przekłada się na większe negatywne skutki biznesowe (np. większe szkody, dłuższe opóźnienia w świadczeniu usług i dłuższy system niedostępność). Wielu ekspertów ds. bezpieczeństwa zgadza się, że duży odsetek incydentów dotyczy wykorzystania stosunkowo niewielkiej liczby podatności w systemach operacyjnych i systemach aplikacyjnych (np. przykład zasady 80/20 Pareto). Zwiększenie świadomości użytkowników na temat incydentów powinno zmniejszyć częstotliwość incydentów, w szczególności dotyczących złośliwego kodu i naruszeń zasad dopuszczalnego użytkowania.
200. Niektóre incydenty bezpieczeństwa pasują do więcej niż jednej kategorii do celów identyfikacji i raportowania. Zespół reagowania na incydenty powinien kategoryzować incydenty za pomocą:
a. Mechanizm dostępu
b. Mechanizm celu
c. Mechanizm transmisji
d. Mechanizm incydentów
200.c. Gdy incydenty mieszczą się w więcej niż jednej kategorii, zespół reagowania na incydenty powinien kategoryzować incydenty według zastosowanego mechanizmu transmisji. Na przykład wirus tworzący backdoora, który został wykorzystany do uzyskania nieautoryzowanego dostępu, powinien być traktowany jako incydent wieloskładnikowy, ponieważ wykorzystywane są dwa mechanizmy transmisji: jeden jako incydent ze złośliwym kodem, a drugi jako incydent nieautoryzowanego dostępu.
201. Co błędnie klasyfikuje szkodliwą aktywność jako niegroźną aktywność?
a. Fałszywie negatywy
b. Fałszywie pozytywny
c. Fałszywe ostrzeżenia
d. Fałszywe alerty
201. a. Narzędzia kryminalistyczne tworzą fałszywe negatywy i fałszywe alarmy. Fałszywe negatywy błędnie klasyfikują złośliwą aktywność jako aktywność niegroźną. Fałszywe alarmy błędnie klasyfikują niegroźną aktywność jako złośliwą. Fałszywe ostrzeżenia i fałszywe alarmy są generowane przez czujniki systemu wykrywania włamań lub skanery luk w zabezpieczeniach.
202. Która z poniższych metod analizy danych komputerowych i sieciowych dotyczących celów incydentów komputerowych pomaga zidentyfikować naruszenia zasad?
a. Rozwiązywanie problemów operacyjnych
b. Monitorowanie dziennika
c. Odzyskiwanie danych
d. Pozyskiwanie danych
202. b. W monitorowaniu dzienników mogą być pomocne różne narzędzia i techniki, takie jak analizowanie wpisów dziennika i korelowanie wpisów dziennika w wielu systemach. Może to pomóc w obsłudze incydentów, identyfikowaniu naruszeń zasad, przeprowadzaniu audytów i innych działaniach. Rozwiązywanie problemów operacyjnych jest nieprawidłowe, ponieważ dotyczy znalezienia wirtualnej i fizycznej lokalizacji hosta z nieprawidłową konfiguracją sieci, rozwiązania problemu funkcjonalnego z aplikacją oraz rejestrowanie i przeglądanie bieżących ustawień systemu operacyjnego i konfiguracji aplikacji dla hosta. Odzyskiwanie danych jest nieprawidłowe, ponieważ narzędzia do odzyskiwania danych mogą odzyskać utracone dane z systemów. Obejmuje to dane, które zostały przypadkowo lub celowo usunięte, nadpisane lub w inny sposób zmodyfikowane. Pozyskiwanie danych jest nieprawidłowe, ponieważ dotyczy narzędzi do pozyskiwania danych z hostów, które są ponownie wdrażane lub wycofywane. Na przykład, gdy użytkownik opuszcza organizację, dane ze stacji roboczej użytkownika mogą być pozyskiwane i przechowywane na wypadek, gdyby dane były potrzebne w przyszłości. Nośniki stacji roboczej można następnie zdezynfekować, aby usunąć wszystkie oryginały danych użytkownika.
203. Które z poniższych jest najlepsze do przeglądania danych sniffera pakietów?
a. Oprogramowanie do zarządzania zdarzeniami bezpieczeństwa
b. Analizator protokołów
c. Narzędzie do filtrowania dzienników
d. Narzędzie do wizualizacji
203. b. Dane sniffera pakietów najlepiej sprawdzać za pomocą analizatora protokołów, który interpretuje dane dla analityka w oparciu o znajomość standardów protokołów i typowych implementacji. Oprogramowanie do zarządzania zdarzeniami bezpieczeństwa jest nieprawidłowe, ponieważ może importować informacje o zdarzeniach bezpieczeństwa z różnych źródeł danych zdarzeń bezpieczeństwa związanych z ruchem w sieci (np. dzienniki IDS i dzienniki zapory) i korelować zdarzenia między źródłami. Narzędzie do filtrowania dzienników jest nieprawidłowe, ponieważ pomaga analitykowi badać tylko te zdarzenia, które najprawdopodobniej mogą być interesujące. Narzędzie do wizualizacji jest nieprawidłowe, ponieważ przedstawia dane zdarzeń bezpieczeństwa w formacie graficznym.
204. Jaka jest technika ukrywania lub niszczenia danych, aby inni nie mieli do nich dostępu?
a. Antykryminalistyczne
b. Steganografia
c. Cyfrowa kryminalistyka
d. kryminalistyka
204. a. Antiforensic to technika ukrywania lub niszczenia danych, aby inni nie mieli do nich dostępu. Steganografia jest niepoprawna, ponieważ osadza dane w innych danych, aby je ukryć. Cyfrowa kryminalistyka jest nieprawidłowa, ponieważ polega na zastosowaniu nauki do identyfikacji, gromadzenia, analizy i badania dowodów cyfrowych przy jednoczesnym zachowaniu integralności informacji i utrzymywaniu ścisłego łańcucha dowodowego dla dowodów. Kryminalistyka jest błędna, ponieważ jest stosowaniem nauki do prawa.
205. Nakaz przeszukania jest wymagany:
a. Zanim zarzut został uzasadniony
b. Po ustaleniu prawdopodobnej przyczyny (przyczyn)
c. Przed określeniem liczby potrzebnych śledczych
d. Po zajęciu komputera i związanego z nim sprzętu
205. b. Po uzasadnieniu zarzutu należy skontaktować się z prokuratorem w celu ustalenia, czy istnieje prawdopodobny powód przeszukania. Ze względu na techniczne ukierunkowanie śledztwa w sprawach przestępstw komputerowych przedstawienie właściwej perspektywy technicznej w ustaleniu prawdopodobnej przyczyny staje się kluczowe dla uzyskania nakazu przeszukania.
206. Organy ścigania opracowały profile osobowości przestępców komputerowych. Przykładem której z poniższych cech jest staranne planowanie przed faktycznym przestępstwem?
a. Charakterystyka organizacyjna
b. Charakterystyka operacyjna
c. Charakterystyka behawioralna
d. Charakterystyka zasobów
206. b. W wielu przypadkach przestępstwa komputerowe są starannie zaplanowane. Przestępcy komputerowi spędzają dużo czasu na badaniu i przygotowywaniu się do popełnienia przestępstwa. Są one pogrupowane według cech operacyjnych. Cechy organizacyjne opisują sposoby, w jakie przestępcy komputerowi grupują się z powiązaniami krajowymi i międzynarodowymi. Cechy behawioralne dotyczą motywacji i profili osobowości. Charakterystyka zasobów odnosi się do potrzeb szkoleniowych i sprzętowych oraz ogólnej struktury wsparcia.
207. Kiedy organizacja zgłasza "n" incydenty, może to prowadzić do błędnego wniosku, że:
a. Jest "n" plus jeden incydent.
b. Jest "n" minus jeden incydent.
c. Jest "n" incydentów.
d. Istnieje "n" plus lub minus jeden incydent.
207. c. Ważne jest, aby nie zakładać, że ponieważ składa się tylko "n" zgłoszeń, to "n" jest całkowitą liczbą incydentów; nie jest prawdopodobne, że wszystkie incydenty zostaną zgłoszone.
208. Które z poniższych należy ustalić, aby zminimalizować wpływ incydentu bezpieczeństwa?
a. Nauka i szkolenie
b. Wyrównywanie i zabezpieczanie
c. Warstwy i podział na strefy
d. Testowanie i pobieranie próbek
208.c. Podział na warstwy i podział na strefy wymaga ustanowienia warstw bezpieczeństwa, aby zminimalizować obsługę incydentów. Podział na strefy lub podział to koncepcja, w której aplikacja jest podzielona na niezależne środowiska bezpieczeństwa. Naruszenie zabezpieczeń wymaga awarii zabezpieczeń w co najmniej dwóch strefach/przedziałach, zanim aplikacja zostanie naruszona. Minimalizuje to wpływ incydentu związanego z bezpieczeństwem. To warstwowe podejście do bezpieczeństwa można zastosować w środowiskach fizycznych lub technicznych związanych z systemem informatycznym. Uczenie się to wiedza zdobyta poprzez naukę w klasie lub poprzez indywidualne badania i badania. Szkolenie uczy ludzi wiedzy i umiejętności, które umożliwią im bardziej efektywne wykonywanie pracy. Podstawowe zabezpieczenia są nieprawidłowe, ponieważ stanowią minimalną kontrolę zabezpieczeń wymaganą do zabezpieczenia systemu informatycznego w oparciu o zidentyfikowane potrzeby w zakresie ochrony poufności, integralności i dostępności. Pobieranie próbek jest stosowane w badaniach, w których pobiera się reprezentatywną próbkę z określonej populacji.
209. Które z poniższych nie będzie ponosić odpowiedzialności, gdy zniesławienie zostanie opublikowane w krajowej elektronicznej usłudze online, takiej jak Internet?
a. Osoba, która wysłała zniesławiącą uwagę
b. Osoba, która powtórzyła oszczerczą uwagę
c. Osoba, która przeczytała oszczerczą uwagę
d. Osoba, która ponownie opublikowała zniesławiącą uwagę
209. c. Zniesławienie to niszczenie reputacji i dobrego imienia danej osoby w formie fałszywego oświadczenia wypowiedzianego (oszczerstwo) lub pisemnego (oszczerstwo) i krzywdzącego tę osobę. Roszczenia online dotyczące zniesławienia są rozpatrywane zgodnie z prawem o zniesławieniu. Istotą zniesławienia jest opublikowanie fałszywego, zniesławiającego i nieuprzywilejowanego oświadczenia osobie trzeciej. Odpowiedzialność ponosi sprawca i każda osoba, która powtarza lub ponownie publikuje zniesławienie. Osoba, która przeczytała zniesławiający utwór, nie ponosi odpowiedzialności za nic, o ile nie wykorzystuje go w sposób komercyjny.
210. Analiza logów jest częścią której z poniższych?
a. Kontrole dyrektywy
b. Kontrole prewencyjne
c. Kontrola detektywistyczna
d. Kontrole korygujące
210. c. Analiza logów jest częścią kontroli detektywistycznych, ponieważ wykrywa błędy i anomalie. Kontrole detektywistyczne zwiększają bezpieczeństwo poprzez monitorowanie skuteczności kontroli prewencyjnych oraz wykrywanie incydentów bezpieczeństwa, w których kontrole prewencyjne zostały ominięte. Kontrole dyrektyw są szeroko zakrojonymi mechanizmami kontroli incydentów bezpieczeństwa i obejmują polityki, procedury i dyrektywy kierownictwa. Kontrole prewencyjne przede wszystkim zapobiegają incydentom związanym z bezpieczeństwem. Kontrole naprawcze to procedury reagowania na incydenty związane z bezpieczeństwem i podejmowania na czas działań naprawczych. Kontrole korygujące wymagają odpowiedniego planowania i przygotowania, ponieważ w większym stopniu opierają się na osądzie człowieka.
211. Które z poniższych ułatwia korelację zdarzeń związanych z bezpieczeństwem komputerowym?
a. Protokół przesyłania plików (FTP)
b. Protokół czasu sieciowego (NTP)
c. Protokół internetowy (IP)
d. Protokół kontroli transmisji (TCP)
211. b. Protokoły, takie jak protokół czasu sieciowego (NTP), synchronizują zegary między hostami. Jest to ważne dla reagowania na incydenty, ponieważ korelacja zdarzeń będzie trudniejsza, jeśli urządzenia zgłaszające zdarzenia mają niespójne ustawienia zegara.
212. Które z poniższych jest wymagane, gdy dowody dotyczące bezpieczeństwa komputerowego są przekazywane od osoby do osoby?
a. Lokalizacja i numer seryjny komputera
b. Godzina i data dowodów
c. Formularze kontroli pochodzenia produktu
d. Lokalizacje, w których przechowywano dowody
212. c. Do postępowania sądowego potrzebny jest dowód incydentu związanego z bezpieczeństwem komputerowym. Dowody powinny być brane pod uwagę przez cały czas; ilekroć dowód jest przekazywany z osoby na osobę; formularze kontroli pochodzenia produktu powinny szczegółowo przedstawiać transfer i zawierać podpis każdej ze stron. Inne opcje są częścią dziennika dowodów.
213. Przypadki niewłaściwego użytkowania nie są wykrywane za pomocą którego z poniższych sposobów?
a. Prekursory
b. Raporty użytkowników
c. Ekran użytkownika
d. E-mail z pogróżkami
213. a. Zwykle nie ma prekursorów (przyszłych incydentów) niewłaściwego użytkowania. Zgłoszenia użytkowników, takie jak zobaczenie nieodpowiednich materiałów na ekranie użytkownika lub otrzymanie wiadomości e-mail z pogróżkami, to zwykłe metody wykrywania niewłaściwego użycia.
214. Wyniki których z poniższych etapów procesu informatyki śledczej dotyczącej incydentów komputerowych są wykorzystywane do włączenia do przyszłych wysiłków związanych z analizą danych?
a. Kolekcja
b. Badanie
c. Analiza
d. Raportowanie
214. d. Proces informatyki śledczej dotyczący incydentów komputerowych składa się z czterech faz: zbierania, badania, analizy i raportowania. Wnioski wyciągnięte w fazie raportowania powinny zostać uwzględnione w przyszłych pracach związanych z analizą danych. Faza zbierania jest nieprawidłowa, ponieważ zajmuje się pozyskiwaniem danych z możliwych źródeł odpowiednich danych i przestrzeganiem wytycznych i procedur zapewniających integralność danych. Faza badania jest nieprawidłowa, ponieważ stosuje narzędzia i techniki do zebranych danych w celu identyfikacji i wyodrębnienia istotnych informacji przy jednoczesnej ochronie ich integralności. Faza analizy jest nieprawidłowa, ponieważ analizuje wyniki badania, które mogą obejmować działania zastosowane w badaniu oraz zalecenia dotyczące poprawy.
215. Pod względem funkcjonalności, które z poniższych nie jest częścią narzędzi do analizy śledczej sieci?
a. Ewidencja dostawcy usług internetowych
b. Sniffery pakietów
c. Analizatory protokołów
d. Oprogramowanie do zarządzania zdarzeniami bezpieczeństwa
215. a. Dostawcy usług internetowych (ISP) mogą gromadzić dane dotyczące ruchu sieciowego w ramach swoich normalnych operacji oraz podczas badania nietypowych działań, takich jak bardzo duże natężenie ruchu lub pozorny atak. Normalne rekordy usługodawcy internetowego mogą obejmować tylko dni lub godziny. Dane kryminalistyczne muszą być dostępne do czasu zakończenia dochodzenia. Rekordy usługodawcy internetowego są źródłem drugorzędnym. Sieciowe narzędzia do analizy śledczej zazwyczaj zapewniają taką samą funkcjonalność jak sniffery pakietów, analizatory protokołów i oprogramowanie do zarządzania zdarzeniami bezpieczeństwa. To są podstawowe narzędzia.
216. Przeszukanie bazy danych szkodliwego oprogramowania nie doprowadziło do zidentyfikowania robaka. Analizując aktualny stan hosta, osoba zajmująca się obsługą incydentów uważa, że robak stworzył tylne drzwi. Który z poniższych aspektów aktualnego stanu hosta zidentyfikuje tego backdoora?
a. Niezwykłe połączenia
b. Nieoczekiwane porty nasłuchiwania
c. Nieznane procesy
d. Nietypowe wpisy
216. b. Analityk może przyjrzeć się kilku różnym aspektom aktualnego stanu gospodarza. Dobrze jest zacząć od zidentyfikowania nietypowych połączeń (np. duża liczba, nieoczekiwane użycie numeru portu i nieoczekiwane hosty) oraz nieoczekiwanych portów nasłuchujących (np. backdoory utworzone przez robaka). Inne kroki, które mogą być przydatne, obejmują identyfikację nieznanych procesów na liście uruchomionych procesów i zbadanie dzienników hosta w celu wykrycia wszelkich nietypowych wpisów, które mogą być związane z infekcją.
217. W śledztwie dotyczącym przestępstw komputerowych utrzymanie dowodów jest ważne, z którego z następujących powodów:
a. Aby zarejestrować przestępstwo
b. Aby zebrać dowody
c. Aby chronić dowody
d. Aby uniknąć problemów z dowodem
217. d. Właściwe jest przechowywanie dowodów komputerowych. Potrzebne są specjalne procedury, aby uniknąć problemów z dowodami spowodowanych niewłaściwą dbałością i obchodzeniem się z takimi dowodami.
218. Za pomocą którego z poniższych działań osiąga się skuteczną strategię analizy wskazań w celu zbadania najbardziej podejrzanej aktywności?
a. Korzystanie z wyszukiwarki internetowej
b. Tworzenie matrycy diagnozy
c. Synchronizacja zegarów
d. Filtrowanie danych o incydentach
218. d. Analityk wskazujący na incydenty widzi codziennie duże ilości danych do analizy, co zajmuje dużo czasu. Skuteczną strategią jest filtrowanie wskazań tak, aby nieistotne wskazania nie były pokazywane lub tylko istotne były pokazywane analitykowi.
219. Które z poniższych odnosi się bezpośrednio do priorytetyzacji incydentów bezpieczeństwa komputerowego?
a. Analiza dopasowania luk
b. Analiza wrażliwości
c. Analiza opcji
d. Analiza wpływu na biznes
219. d. Podstawową koncepcją planowania ciągłości działania jest analiza wpływu biznesowego (BIA), która odnosi się do określenia wpływu poszczególnych zdarzeń. Informacje BIA dla organizacji mogą mieć bezpośrednie zastosowanie do priorytetyzacji incydentów bezpieczeństwa. Pozostałe trzy opcje nie są związane z priorytetyzacją incydentów bezpieczeństwa. Analiza luki zajmuje się porównywaniem rzeczywistych wyników z wynikami oczekiwanymi. Analiza wrażliwa skupia się na warunkach "co, jeśli". Analiza opcji dotyczy dostępnych lub niedostępnych wyborów.
220. Z punktu widzenia kryminalistyki komputerowej, które z poniższych jest najbardziej przydatne w postępowaniu karnym?
a. Obraz dysku
b. Standardowa kopia zapasowa systemu plików
c. Usunięte pliki
d. Fragmenty plików
220. a. Obraz dysku zachowuje wszystkie dane na dysku, w tym usunięte pliki i fragmenty plików. Standardowa kopia zapasowa systemu plików może przechwytywać informacje o istniejących plikach, co może wystarczyć do obsługi wielu incydentów, zwłaszcza tych, które nie powinny prowadzić do ścigania. Zarówno obrazy dysków, jak i kopie zapasowe systemu plików są cenne niezależnie od tego, czy atakujący zostanie oskarżony, ponieważ zezwól na przywrócenie celu, podczas gdy dochodzenie będzie kontynuowane przy użyciu obrazu lub kopii zapasowej.
221. Które z poniższych wskazań nie jest związane z atakiem typu "odmowa usługi" w sieci na konkretny host?
a. Niewyjaśnione straty połączeń
b. Pakiety z nieistniejącymi adresami docelowymi
c. Zwiększone wykorzystanie przepustowości sieci
d. Wpisy dziennika zapory i routera
221. b. Pakiety z nieistniejącymi adresami docelowymi są przykładem możliwych wskazań do ataku typu "odmowa usługi" (DoS) opartego na sieci przeciwko sieci, a nie hostowi. Inne opcje są przykładami wskazań do ataków DoS opartych na sieci przeciwko konkretnemu hostowi.
222. Które z poniższych wskazań nie jest związane ze złośliwym działaniem, takim jak włamanie do roota hosta?
a. Zgłoszenia użytkowników o niedostępności systemu
b. Bardzo nietypowe komunikaty dziennika
c. Niewyjaśnione użycie konta
d. Zwiększone wykorzystanie zasobów
222. d. "Zwiększone wykorzystanie zasobów" to przykład możliwych oznak złośliwego działania, takiego jak nieautoryzowana modyfikacja danych. Inne opcje są przykładami możliwych wskazań kompromitacji root hosta.
223. Z punktu widzenia incydentu związanego z bezpieczeństwem, środki zaradcze i kontrole nie mogą wykonywać których z poniższych?
a. Zapobiegać
b. Wykryć
c. Reagować
d. Wyleczyć
223. c. Środki zaradcze i kontrole zapobiegają, wykrywają i usuwają incydenty związane z bezpieczeństwem, a nie reagują na nie. Reagowanie na incydenty kładzie nacisk na interakcje ze stronami zewnętrznymi, takimi jak media/prasa, organy ścigania i organizacje zgłaszające incydenty. Sprawowanie kontroli nad tymi zewnętrznymi stronami nie jest łatwe.
224. Które z poniższych narzędzi i technik kryminalistycznych są przydatne do przestrzegania wymogów prawnych?
a. Rozwiązywanie problemów operacyjnych
b. Odzyskiwanie danych
c. należyta staranność
d. Pozyskiwanie danych
224. c. Przepisy wymagają od wielu organizacji ochrony poufnych informacji i utrzymywania określonych zapisów na potrzeby audytu. Organizacje mogą dochować należytej staranności i przestrzegać wymogów regulacyjnych. Należyta staranność wymaga opracowania i wdrożenia skutecznego programu bezpieczeństwa w celu zapobiegania i wykrywania naruszeń zasad i przepisów. Pozostałe trzy opcje dotyczą codziennej pracy operacyjnej, a nie wymogów regulacyjnych.
225. Proces reagowania na incydenty komputerowe jest częścią tego ?
a. Kontrole dyrektywy
b. Kontrole prewencyjne
c. Kontrola detektywistyczna
d. Kontrole korygujące
225. d. Proces reagowania na incydenty komputerowe jest częścią kontroli naprawczych, ponieważ zarządza nieoczekiwanymi incydentami bezpieczeństwa w sposób systematyczny. Kontrole naprawcze to procedury reagowania na incydenty związane z bezpieczeństwem i podejmowania na czas działań naprawczych. Kontrole korygujące wymagają odpowiedniego planowania i przygotowania, ponieważ w większym stopniu opierają się na osądzie człowieka. Kontrole dyrektyw są szeroko zakrojonymi mechanizmami kontroli incydentów bezpieczeństwa i obejmują polityki, procedury i dyrektywy kierownictwa. Kontrole prewencyjne przede wszystkim zapobiegają incydentom związanym z bezpieczeństwem. Kontrole detektywistyczne zwiększają bezpieczeństwo poprzez monitorowanie skuteczności kontroli prewencyjnych oraz wykrywanie incydentów bezpieczeństwa, w których kontrole prewencyjne zostały ominięte.
