Security+




Implementacja

1. Adam konfiguruje infrastrukturę klucza publicznego (PKI) i wie, że przechowywanie haseł i kluczy szyfrowania używanych do generowania nowych kluczy ma kluczowe znaczenie dla zapewnienia bezpieczeństwa głównego urzędu certyfikacji. Która z poniższych technik nie jest powszechnym rozwiązaniem zapobiegającym zagrożeniom wewnętrznym?

A. Wymagaj nowego hasła przy każdym użyciu certyfikatu.
B. Użyj podzielonego procesu wiedzy dla hasła lub klucza.
C. Wymagaj podwójnej kontroli.
D. Wdrożyć rozdział obowiązków.

2. Naomi projektuje sieć bezprzewodową swojej organizacji i chce mieć pewność, że projekt rozmieszcza punkty dostępu w obszarach, w których zapewnią one optymalny zasięg. W ramach swojego projektu chce również zaplanować wszelkie źródła zakłóceń RF. Co powinna najpierw zrobić Naomi?

A. Skontaktuj się z FCC, aby uzyskać mapę sieci bezprzewodowej.
B. Przeprowadź ankietę na miejscu.
C. Wyłącz wszystkie istniejące punkty dostępu.
D. Przeprowadź skanowanie portów, aby znaleźć wszystkie istniejące punkty dostępu.

3. Chris przygotowuje się do wdrożenia infrastruktury bezprzewodowej obsługującej standard 802.1X. Wie, że chce korzystać z protokołu opartego na protokole Extensible Authentication Protocol (EAP), który nie wymaga certyfikatów po stronie klienta. Którą z poniższych opcji powinien wybrać?

A. EAP-MD5
B. PEAP
C. SKOK
D. EAP-TLS

4. Jaki termin jest powszechnie używany do opisania ruchu bocznego w sieci?

A. Boczny krok
B. Ruch suwaka
C. Ruch wschód-zachód
D. Interkonekt równorzędny

5. Charlene chce korzystać z funkcji bezpieczeństwa wbudowanych w nagłówki HTTP. Która z poniższych opcji nie jest opcją zabezpieczeń nagłówka HTTP?

A. Wymaganie zabezpieczenia transportu
B. Zapobieganie cross-site scripting
C. Wyłączanie wstrzykiwania SQL
D. Pomoc w zapobieganiu wąchaniu MIME

6. Charlene chce udostępnić standardowy zestaw informacji marketingowych swojej organizacji na urządzeniach mobilnych w całej organizacji. Jaka funkcja MDM najlepiej nadaje się do tego zadania?

A. Zarządzanie aplikacjami
B. Zdalne czyszczenie
C. Zarządzanie treścią
D. Powiadomienia push

7. Denny chce wdrożyć program antywirusowy w swojej organizacji i chce mieć pewność, że powstrzyma on większość złośliwego oprogramowania. Jaki model wdrażania powinien wybrać Denny?

A. Zainstaluj program antywirusowy tego samego dostawcy na poszczególnych komputerach PC oraz serwery, aby jak najlepiej zrównoważyć widoczność, wsparcie i bezpieczeństwo.
B. Zainstaluj program antywirusowy od więcej niż jednego dostawcy na wszystkich komputerach i serwerach, aby zmaksymalizować zasięg.
C. Zainstaluj oprogramowanie antywirusowe od jednego dostawcy na komputerach PC i od innego dostawcy na serwerze, aby zapewnić większą szansę na przechwycenie złośliwego oprogramowania.
D. Zainstaluj program antywirusowy tylko na stacjach roboczych, aby uniknąć potencjalnych problemów z wydajnością serwera.

8. Kiedy Amanda odwiedza lokalną kawiarnię, może połączyć się z otwartą siecią bezprzewodową bez podawania hasła lub logowania, ale natychmiast zostaje przekierowana na stronę internetową, która prosi o jej adres e-mail. Gdy już je udostępni, będzie mogła normalnie przeglądać Internet. Z jakim rodzajem technologii spotkała się Amanda?

A. Klucz wstępny
B. Portal przechwytujący
C. Bezpieczeństwo portu
D. Dostęp chroniony przez Wi-Fi

9. Charles został poproszony o wdrożenie DNSSEC w swojej organizacji. Które z poniższych zapewnia?

A. Poufność
B. Uczciwość
C. Dostępność
D. Wszystkie powyższe

10. Sarah wdrożyła system uwierzytelniania oparty na OpenID, który opiera się na istniejących kontach Google. Jaką rolę odgrywa Google w takim sfederowanym środowisku?

A. RP
B. IdP
C. SP
D. RA

11. Ian musi połączyć się z systemem przez zaszyfrowany kanał, aby mógł korzystać z powłoki wiersza poleceń. Jakiego protokołu powinien użyć?

A. Telnet
B. HTTPS
C. SSH
D. TLS

12. Casey rozważa wdrożenie urządzeń z kluczem haseł w swojej organizacji. Chce korzystać z szeroko przyjętego otwartego standardu do uwierzytelniania i potrzebuje jej kluczy do obsługi tego. Które z poniższych standardów powinna zaimplementować w swoich kluczach, oprócz możliwości łączenia się przez USB, Bluetooth i NFC?

A. SAML
B. FIDO
C. ARF
D. OpenID

13. Nadia jest zaniepokojona, że treść jej e-maili do swojej przyjaciółki Danielle jest czytana podczas przechodzenia między serwerami. Jakiej technologii może użyć do zaszyfrowania swoich e-maili i którego klucza powinna użyć do zaszyfrowania wiadomości?

A. S/MIME, jej klucz prywatny
B. Bezpieczny POP3, jej klucz publiczny
C. S/MIME, klucz publiczny Danielle
D. Bezpieczny POP3, klucz prywatny Danielle

14. Do jakiego rodzaju komunikacji najprawdopodobniej będzie używany SRTP?

A. E-mail
B. VoIP
C. Sieć
D. Transfer plików

15. Olivia wdraża klaster aplikacji internetowych o zrównoważonym obciążeniu. Jej organizacja ma już nadmiarową parę systemów równoważenia obciążenia, ale każda jednostka nie jest przystosowana do samodzielnej obsługi maksymalnej zaprojektowanej przepustowości klastra. Olivia zaleciła, aby równoważniki obciążenia zostały zaimplementowane w projekcie aktywny/aktywny. Jakie obawy powinna zgłosić w ramach tego zalecenia?

A. Klaster modułu równoważenia obciążenia nie może zostać załatany bez przerwy w działaniu usługi.
B. Klaster modułu równoważenia obciążenia jest podatny na atak typu "odmowa usługi".
C. Jeśli jeden z systemów równoważenia obciążenia ulegnie awarii, może to prowadzić do pogorszenia jakości usług.
D. Żadne z powyższych
16. Jakie dwa porty są najczęściej używane do ruchu FTPS?

A.21, 990
B. 21, 22
C. 433, 1433
D. 20, 21

17. Co się dzieje, gdy certyfikat jest zszywany?

A. Zarówno certyfikat, jak i respondent OCSP są wysyłane razem, aby zapobiec dodatkowym pobraniom podczas sprawdzania poprawności ścieżki certyfikatu.
B. Certyfikat jest przechowywany w zabezpieczonej lokalizacji, która uniemożliwia łatwe usunięcie lub modyfikację certyfikatu.
C. Zarówno certyfikat hosta, jak i klucz prywatny głównego urzędu certyfikacji są dołączone w celu sprawdzenia autentyczności łańcucha.
D. Certyfikat jest dołączany do innych certyfikatów w celu wykazania całego łańcucha certyfikatów.

18. Greg tworzy infrastrukturę klucza publicznego (PKI). Tworzy główny urząd certyfikacji offline (CA), a następnie musi wystawiać certyfikaty użytkownikom i urządzeniom. Który system lub urządzenie w PKI odbiera żądania podpisania certyfikatu (CSR) od aplikacji, systemów i użytkowników?

A. Pośredni Urząd CA
B. RA
C. Lista CRL
D. Żadne z powyższych

19. Marek jest odpowiedzialny za zarządzanie load balancerem swojej firmy i chce zastosować technikę planowania równoważenia obciążenia, która uwzględni bieżące obciążenie serwera i aktywne sesje. Którą z poniższych technik powinien wybrać?

A. Haszowanie źródłowego adresu IP
B. Ważony czas odpowiedzi
C. Najmniejsze połączenie
D. Okrężny

20. Podczas przeglądu bezpieczeństwa Matt zauważa, że dostawca, z którym współpracuje, wymienia ich wirtualną sieć prywatną (VPN) IPSec jako protokół AH dla bezpieczeństwa wysyłanych pakietów. Jaką troskę powinien w tej sprawie zwrócić Matt do swojego zespołu?

A. AH nie zapewnia poufności.
B. AH nie zapewnia integralności danych.
C. AH nie zapewnia ochrony powtórek.
D. Żadne z powyższych; AH zapewnia poufność, uwierzytelnianie i ochronę powtórek.

21. Michelle chce zabezpieczyć pocztę pobieraną przez Post Office Protocol Version 3 (POP3), ponieważ wie, że jest ona domyślnie niezaszyfrowana. Jaka jest jej najlepsza opcja, aby to zrobić, pozostawiając POP3 działający na domyślnym porcie?

A. Użyj TLS przez port 25.
B. Użyj IKE przez port 25.
C. Użyj TLS przez port 110.
D. Użyj IKE przez port 110.

22. Daniel pracuje w średniej wielkości instytucji finansowej. Firma niedawno przeniosła część swoich danych do rozwiązania w chmurze. Daniel obawia się, że dostawca chmury może nie obsługiwać tych samych zasad bezpieczeństwa, co sieć wewnętrzna firmy. Jaki jest najlepszy sposób na złagodzenie tego problemu?

A. Zaimplementuj brokera zabezpieczeń dostępu do chmury.
B. Wykonaj testy integracyjne.
C. Ustal zasady bezpieczeństwa w chmurze.
D. Implementuj bezpieczeństwo jako usługę.

23. Firma, dla której pracuje Angela, wdrożyła środowisko Voice over IP (VoIP), które wykorzystuje SIP. Jakie zagrożenie jest najbardziej prawdopodobnym problemem dla ich połączeń telefonicznych?

A. Przechwytywanie połączeń
B. Vishing
C. Wybieranie wojenne
D. Ataki typu "odmowa usługi"
24. Alaina jest zaniepokojona bezpieczeństwem swojej usługi synchronizacji czasu NTP, ponieważ wie, że protokoły takie jak TLS i BGP są podatne na problemy, jeśli fałszywe wiadomości NTP mogą powodować niedopasowanie czasu między systemami. Jakiego narzędzia mogłaby użyć do szybkiej ochrony ruchu NTP między systemami Linux?

A. VPN IPSec
B. Tunelowanie SSH
C. PROW
D. VPN TLS

25. Ramon buduje nową usługę sieciową i zastanawia się, które części usługi powinny wykorzystywać Transport Layer Security (TLS). W skład aplikacji wchodzą:

1. Uwierzytelnianie
2. Forma płatności
3. Dane użytkownika, w tym adres i koszyk
4. Sekcja komentarzy i recenzji użytkowników

Gdzie powinien wdrożyć TLS?

A. W punktach 1 i 2 oraz 4
B. W punktach 2 i 3 oraz 4
C. W punktach 1, 2 i 3
D. We wszystkich punktach infrastruktury

26. Organizacja Katie korzysta z protokołu FTP (File Transfer Protocol) dla wykonawców, aby przesyłali swoje produkty pracy do jej organizacji. Wykonawcy pracują na poufnych informacjach o klientach, a następnie używają danych uwierzytelniających organizacji dostarczonych przez firmę Katie do logowania się i przesyłania informacji. Jakie poufne informacje mogą zebrać osoby atakujące, gdyby były w stanie przechwycić ruch sieciowy związany z tym transferem?

O. Nic, ponieważ FTP jest bezpiecznym protokołem
B. Adresy IP zarówno klienta, jak i serwera
C. Zawartość przesłanych plików
D. Nazwy użytkowników, hasła i zawartość plików

27. Jakie korzyści w zakresie bezpieczeństwa zapewnia włączenie DHCP snooping lub DHCP sniffing na przełącznikach w sieci?

A. Zapobieganie złośliwemu lub zniekształconemu ruchowi DHCP
B. Zapobieganie nieuczciwym serwerom DHCP
C. Zbieranie informacji o powiązaniach DHCP
D. Wszystkie powyższe

28. Aaron chce użyć certyfikatu do następującej produkcji zastępy niebieskie:

www.example.com
blog.example.com
news.example.com

Jaki jest dla niego najskuteczniejszy sposób zapewnienia Transport Layer Security (TLS) dla wszystkich tych systemów?

A. Użyj certyfikatów z podpisem własnym.
B. Użyj certyfikatu wieloznacznego.
C. Użyj certyfikatu EV.
D. Użyj certyfikatu SSL.

29. Cassandra jest zaniepokojona atakami na protokół Spanning Tree (STP) jej sieci. Chce się upewnić, że nowy przełącznik wprowadzony przez atakującego nie może zmienić topologii poprzez zapewnienie niższego identyfikatora mostu niż bieżąca konfiguracja. Co powinna wdrożyć, aby temu zapobiec?

A. Włącz BridgeProtect.
B. Ustaw identyfikator mostu na liczbę ujemną.
C. Wyłącz protokół Spanning Tree.
D. Włącz Root Guard.

30. Charles znajduje plik w formacie PFX w systemie, który przegląda. Co może zawierać plik PFX?

A. Tylko certyfikaty i certyfikaty łańcuchowe, nie klucze prywatne
B. Tylko klucz prywatny
C. Certyfikat serwera, certyfikaty pośrednie i klucz prywatny
D. Żadne z powyższych, ponieważ pliki PFX są używane tylko do żądań certyfikatów

31. Które urządzenie najprawdopodobniej przetworzy następujące reguły?
PERMIT IP ANY EQ 443
DENY IP ANY ANY

A. NIPS
B. BIODRA
C. Filtr treści
D. Zapora sieciowa

32. Ted chce wykorzystać informacje o reputacji IP do ochrony swojej sieci i wie, że informacje te dostarczają strony trzecie. Jak może uzyskać te dane i jakiego bezpiecznego protokołu najprawdopodobniej użyje do ich odzyskania?

A. Usługa subskrypcji, SAML
B. VDI, XML
C. Usługa subskrypcji, HTTPS
D. FDE, XML

33. Co oznacza ustawienie bezpiecznego atrybutu dla wyniku cookie HTTP?

A. Pliki cookie będą przechowywane w postaci zaszyfrowanej.
B. Pliki cookie będą wysyłane tylko przez HTTPS.
C. Pliki cookie będą przechowywane w postaci zaszyfrowanej.
D. Dostęp do plików cookie należy uzyskać za pomocą klucza cookie.

34. Charles chce używać IPSec i musi być w stanie określić zasady IPSec dla ruchu w oparciu o port, do którego jest wysyłany w systemie zdalnym. Którego trybu IPSec powinien użyć?

A. Tryb tunelowy IPSec
B. Tryb IPSec IKE
C. Tryb IPSec PSK
D. Tryb transportu IPSec

35. Wi-Fi Protected Setup (WPS) obejmuje cztery tryby dodawania urządzeń do sieci. Który tryb wiąże się z poważnymi problemami z bezpieczeństwem ze względu na exploit typu brute-force?

A. PIN
B. USB
C. Przycisk
D. Komunikacja bliskiego pola

36. Claire chce sprawdzić, czy certyfikat został unieważniony. Jaki protokół jest używany do walidacji certyfikatów?

A. RTCP
B. CRBL
C. OCSP
D. PKCRL

37. Nick odpowiada za klucze kryptograficzne w swojej firmie. Jaki jest najlepszy sposób cofnięcia autoryzacji klucza publicznego?

A. Wyślij alert sieciowy.
B. Usuń certyfikat cyfrowy.
C. Opublikuj ten certyfikat na liście CRL.
D. Powiadom RA.
38. Jakie dwie metody połączenia są używane w większości aplikacji geofencing?

A. Sieć komórkowa i GPS
B. USB i Bluetooth
C. GPS i Wi-Fi
D. Sieć komórkowa i Bluetooth

39. Gabriel konfiguruje nowy serwer e-commerce. Martwi się o kwestie bezpieczeństwa. Która z poniższych lokalizacji byłaby najlepszą lokalizacją do umieszczenia serwera handlu elektronicznego?

A. DMZ
B. Intranet
C. Sieć gości
D. Ekstranet

40. Janelle jest administratorem bezpieczeństwa w małej firmie. Stara się poprawić bezpieczeństwo w całej sieci. Który z poniższych kroków powinna wykonać jako pierwsza?

A. Zaimplementuj oprogramowanie antymalware na wszystkich komputerach.
B. Wdrażaj zasady dopuszczalnego użytkowania.
C. Wyłącz niepotrzebne usługi na wszystkich komputerach.
D. Ustaw zasady ponownego użycia haseł.

41. Ben jest odpowiedzialny za nową aplikację z ogólnoświatową bazą użytkowników, która pozwoli użytkownikom zarejestrować się w celu uzyskania dostępu do istniejących danych na ich temat. Chciałby użyć metody uwierzytelniania, która pozwoliłaby mu zweryfikować, czy użytkownicy są właściwymi osobami, które pasują do ich kont. Jak może zweryfikować tych użytkowników?

A. Wymagaj przedstawienia swojego numeru ubezpieczenia społecznego.
B. Wymagaj od nich używania tożsamości federacyjnej za pośrednictwem Google.
C. Wymagaj od nich korzystania z uwierzytelniania opartego na wiedzy.
D. Wymagaj od nich potwierdzenia wiadomości e-mail wysłanej na konto, na które się zarejestrowali.

42. Jason chce wdrożyć wirtualną sieć prywatną (VPN) dostępu zdalnego dla użytkowników w swojej organizacji, którzy głównie polegają na hostowanych aplikacjach internetowych. Jaki typ VPN jest najlepszy i nadaje się do tego, jeśli chce uniknąć wdrażania oprogramowania klienckiego na swoim systemie użytkownika końcowego?

A. TLS VPN
B. VPN RDP (protokół zdalnego pulpitu)
C. Internet Control Message Protocol (ICMP) VPN
D. VPN IPSec

43. Juan jest administratorem sieci w firmie ubezpieczeniowej. Jego firma ma wielu podróżujących sprzedawców. Martwi się o poufne dane na ich laptopach. Jaki jest dla niego najlepszy sposób na rozwiązanie tego problemu?

A. FDE
B. TPM
C. SDN
D. DMZ

44. Która koncepcja projektowa ogranicza dostęp do systemów od użytkowników zewnętrznych, jednocześnie chroniąc użytkowników i systemy wewnątrz sieci LAN?

A. DMZ
B. VLAN
C. Router
D. Sieć gości

45. Nina chce wykorzystywać informacje o swoich użytkownikach, takie jak daty urodzenia, adresy i stanowiska w ramach swojego systemu zarządzania tożsamością. Jakiego terminu używa się do opisania tego typu informacji?

A. Role
B. Czynniki
C. Identyfikatory
D. Atrybuty

46. Megan przygotowuje żądanie podpisania certyfikatu (CSR) i wie, że musi dostarczyć CN dla swojego serwera WWW. Jakie informacje umieści w polu CN dla CSR?

A. Jej imię
B. Nazwa hosta
C. Nazwa firmy
D. W pełni kwalifikowana nazwa domeny systemu

47. Które z poniższych jest odpowiednikiem sieci VLAN z punktu widzenia bezpieczeństwa fizycznego?

A. Bezpieczeństwo obwodowe
B. Partycjonowanie
C. Strefy bezpieczeństwa
D. Zapora sieciowa

48. Nelson używa narzędzia, które wyświetla listę konkretnych aplikacji, które można zainstalować i uruchomić w systemie. Narzędzie wykorzystuje skrót pliku binarnego aplikacji, aby zidentyfikować każdą aplikację, aby upewnić się, że aplikacja jest zgodna z podaną dla niej nazwą pliku. Jakiego narzędzia używa Nelson?

A. Antywirus
B. Czarna lista
C. Antymalware
D. Biała lista

49. Jaki rodzaj zapory sprawdza zawartość i kontekst każdego napotkanego pakietu?

A. Zapora filtrująca pakiety
B. Zapora stanowa filtrująca pakiety
C. Zapora warstwy aplikacji
D. zapora bramy

50. W ramach działań związanych z wdrażaniem sieci bezprzewodowej Scott generuje pokazany tutaj obraz. Jakim terminem określa się ten rodzaj wizualizacji sieci bezprzewodowych?



A. Mapa termiczna
B. Schemat sieci
C. Mapa stref
D. Strefa DMZ

51. Projektujesz nową infrastrukturę sieciową, aby Twoja firma mogła umożliwić nieuwierzytelnionym użytkownikom łączącym się z Internetem dostęp do pewnych obszarów. Twoim celem jest ochrona sieci wewnętrznej przy jednoczesnym zapewnieniu dostępu do tych obszarów. Decydujesz się umieścić serwer sieciowy w oddzielnej podsieci otwartej dla kontaktów publicznych. Jak nazywa się ta podsieć?

A. Sieć gości
B. DMZ
C. Intranet
D. VLAN

52. Aplikacja internetowa Madhuri konwertuje liczby, które są wprowadzane do pól, poprzez ich specyficzne wpisanie, a następnie stosuje ścisły wyjątek andling. Określa również minimalną i maksymalną długość dozwolonych danych wejściowych i używa predefiniowanych tablic dozwolonych wartości dla danych wejściowych, takich jak miesiące lub daty. Jaki termin opisuje czynności, które wykonuje aplikacja Madhuri?

A. Zapobieganie przepełnieniu bufora
B. Wstrzykiwanie struny
C. Walidacja danych wejściowych
D. Walidacja schematu

53. Nakreślasz swoje plany wdrożenia sieci bezprzewodowej do wyższej kadry zarządzającej. Jaki standard zabezpieczeń bezprzewodowych należy zastosować, jeśli nie chcesz korzystać z uwierzytelniania korporacyjnego, ale chcesz zapewnić bezpieczne uwierzytelnianie użytkownikom, które nie wymagają wspólnego hasła ani hasła?

A. WPA3
B. WPA
C. WPA2
D. WEP

54. Brandon chce mieć pewność, że jego system zapobiegania włamaniom (IPS) jest w stanie zatrzymać ruch ataków. Która metoda wdrażania jest najbardziej odpowiednia dla tego wymagania?

A. Inline, wdrożony jako IPS
B. Pasywny przez kran, wdrożony jako IDS
C. Inline, wdrożony jako IDS
D. Pasywny przez kran, wdrożony jako IPS

55. Jesteś szefem ochrony (CSO) w dużej firmie. Na jednej ze stacji roboczych wykryłeś złośliwe oprogramowanie. Obawiasz się, że złośliwe oprogramowanie może mieć wiele funkcji i powodować więcej problemów z bezpieczeństwem komputera, niż jest to obecnie możliwe do wykrycia. Jaki jest najlepszy sposób na przetestowanie tego złośliwego oprogramowania?

A. Pozostaw złośliwe oprogramowanie na tej stacji roboczej, dopóki nie zostanie przetestowane.
B. Umieść złośliwe oprogramowanie w środowisku piaskownicy w celu przetestowania.
C. Nie jest ważne, aby go analizować lub testować; po prostu wyjmij go z maszyny.
D. Umieść złośliwe oprogramowanie w honeypot w celu przetestowania.

56. Próbujesz zwiększyć bezpieczeństwo w swojej firmie. Obecnie tworzysz zarys wszystkich aspektów bezpieczeństwa, które należy zbadać i podjąć działania. Który z poniższych terminów opisuje proces poprawy bezpieczeństwa w zaufanym systemie operacyjnym?

A. FDE
B. Hartowanie
C. SED
D. Linia bazowa

57. Witryna Melissa zapewnia użytkownikom, którzy uzyskują do niej dostęp za pośrednictwem protokołu HTTPS, połączenie Transport Layer Security (TLS). Niestety Melissa zapomniała odnowić swój certyfikat i wyświetla użytkownikom błąd. Co dzieje się z połączeniem HTTPS po wygaśnięciu certyfikatu?

A. Cały ruch będzie nieszyfrowany.
B. Ruch dla użytkowników, którzy nie klikną OK przy błędzie certyfikatu, będzie nieszyfrowany.
C. Zaufanie zostanie zmniejszone, ale ruch będzie nadal szyfrowany.
D. Użytkownicy będą przekierowywani do witryny urzędu certyfikacji z ostrzeżeniem do czasu odnowienia certyfikatu.

58. Isaac przegląda dokument dotyczący praktyk bezpiecznego kodowania swojej organizacji dla aplikacji internetowych skierowanych do klientów i chce upewnić się, że zalecenia dotyczące walidacji danych wejściowych są odpowiednie. Która z poniższych czynności nie jest typowym najlepszym sposobem sprawdzania poprawności danych wejściowych?

A. Upewnij się, że sprawdzanie poprawności odbywa się na zaufanym serwerze.
B. Sprawdź poprawność wszystkich danych dostarczonych przez klienta przed ich przetworzeniem.
C. Sprawdź poprawność oczekiwanych typów i zakresów danych.
D. Upewnij się, że sprawdzanie poprawności odbywa się na zaufanym kliencie.

59. Frank wie, że systemy, które wdraża, mają wbudowany moduł TPM. Która z poniższych funkcji nie jest funkcją udostępnianą przez moduł TPM?

A. Generator liczb losowych
B. Możliwość zdalnej atestacji
C. Procesor kryptograficzny używany do przyspieszenia SSL/TLS
D. Możliwość wiązania i pieczętowania danych

60. Jakie jest główne zastosowanie hashowania w bazach danych?

A. Aby zaszyfrować przechowywane dane, zapobiegając w ten sposób ujawnieniu
B. Do indeksowania i wyszukiwania
C. Zaciemnianie danych
D. Aby zastąpić dane wrażliwe, pozwalając na ich wykorzystanie bez narażenia

61. Hans jest administratorem bezpieczeństwa w dużej firmie. Użytkownicy w jego sieci odwiedzają wiele stron internetowych. Obawia się, że mogą pobrać złośliwe oprogramowanie z jednej z tych wielu witryn. Które z poniższych byłoby jego najlepszym podejściem do złagodzenia tego zagrożenia?

A. Zaimplementuj program antywirusowy oparty na hoście.
B. Umieszczaj na czarnej liście znane zainfekowane witryny.
C. Ustaw przeglądarki tak, aby zezwalały tylko na podpisane komponenty.
D. Ustaw przeglądarki tak, aby blokowały całą aktywną zawartość (ActiveX, JavaScript itp.).

62. Zarmaena wdrożyła uwierzytelnianie bezprzewodowe w swojej sieci za pomocą hasła, które rozsyła do każdego członka swojej organizacji. Jaki rodzaj metody uwierzytelniania wdrożyła?

A. Przedsiębiorstwo
B. PSK
C. Otwórz
D. Portal przechwytujący

63. Olivia buduje sieć bezprzewodową i chce wdrożyć protokół uwierzytelniania oparty na protokole Extensible Authentication Protocol (EAP). Jakiej wersji EAP powinna użyć, jeśli chce priorytetyzować szybkość ponownego łączenia i nie chce wdrażać certyfikatów klienta do uwierzytelniania?

A. EAP-FAST
B. EAP-TLS
C. PEAP
D. EAP-TTLS

64. Pracujesz w dużej firmie. Martwisz się o zapewnienie, że wszystkie stacje robocze mają wspólną konfigurację, że nie jest instalowane żadne nieuczciwe oprogramowanie i że wszystkie poprawki są aktualizowane. Która z poniższych czynności byłaby najskuteczniejsza w osiągnięciu tego celu?

A. Użyj VDI.
B. Wdrażaj restrykcyjne zasady.
C. Użyj obrazu dla wszystkich stacji roboczych.
D. Zaimplementuj silne zarządzanie poprawkami.

65. Naomi wdrożyła wirtualne centra danych swojej organizacji w chmurze w wielu lokalizacjach centrów danych Google na całym świecie. Co ten projekt zapewnia jej systemom?

A. Odporność na ataki z wewnątrz
B. Wysoka dostępność w wielu strefach
C. Zmniejszone koszty
D. Różnorodność dostawców

66. Patrick chce wdrożyć technologię wirtualnej sieci prywatnej (VPN), która będzie jak najłatwiejsza dla użytkowników końcowych. Jaki typ VPN powinien wdrożyć?

A. VPN IPSec
B. VPN SSL/TLS
C. VPN L2TP HTML5
D. VPN SAML

67. Olivia jest odpowiedzialna za bezpieczeństwo aplikacji internetowych na serwerze e-commerce swojej firmy. Jest szczególnie zaniepokojona wstrzykiwaniem XSS i SQL. Która technika byłaby najskuteczniejsza w łagodzeniu tych ataków?

A. Właściwa obsługa błędów
B. Stosowanie procedur składowanych
C. Prawidłowa walidacja danych wejściowych
D. Podpisywanie kodu

68. Isaac chce uniemożliwić korzystanie z firmowych urządzeń mobilnych poza budynkami jego firmy i kampusem firmowym. Jakich funkcji zarządzania urządzeniami mobilnymi (MDM) powinien użyć, aby pozwolić na to?

A. Zarządzanie poprawkami
B. Filtrowanie IP
C. Geofencing
D. Ograniczenia sieciowe

69. Sophia chce przetestować aplikację internetową swojej firmy, aby sprawdzić, czy prawidłowo obsługuje ona walidację danych wejściowych i danych. Która metoda testowania byłaby do tego najskuteczniejsza?

A. Statyczna analiza kodu
B. Fuzzing
C. Linia bazowa
D. Kontrola wersji

70. Alaina wdrożyła HSM. Która z poniższych możliwości nie jest typową funkcją HSM?

A. Szyfrowanie i deszyfrowanie podpisów cyfrowych
B. Atest rozruchowy
C. Bezpieczne zarządzanie kluczami cyfrowymi
D. Silne wsparcie uwierzytelniania

71. Cynthia chce wydać karty zbliżeniowe, aby zapewnić dostęp do budynków, które ma zabezpieczać. Którą z poniższych technologii powinna wdrożyć?

A. RFID
B. Wi-Fi
C. Magnes
D. HOTP

72. Alaina chce zapobiec masowemu gromadzeniu adresów e-mail i innych informacji katalogowych ze swojego katalogu LDAP, który został ujawniony w Internecie. Które z poniższych rozwiązań by w tym nie pomogło?

A. Korzystanie z algorytmu wycofywania
B. Wdrażanie LDAPS
C. Wymaganie uwierzytelniania
D. Zapytania ograniczające szybkość

73. Alaina została poinformowana, że jej organizacja używa certyfikatu SAN w ich środowisku. Co to mówi Alainie o certyfikacie używanym w jej organizacji?

A. Jest używany do sieci pamięci masowej.
B. Jest dostarczany przez SANS, organizację zajmującą się bezpieczeństwem sieci.
C. Certyfikat jest częścią samopodpisanej, samoprzypisywanej przestrzeni nazw.
D. Certyfikat umożliwia ochronę wielu nazw hostów za pomocą tego samego certyfikatu.

74. Edward odpowiada za bezpieczeństwo aplikacji internetowych w dużej firmie ubezpieczeniowej. Jedną z aplikacji, o którą szczególnie się troszczy, jest wykorzystywana przez rzeczoznawców ubezpieczeniowych w terenie. Chce mieć silne metody uwierzytelniania, aby złagodzić niewłaściwe korzystanie z aplikacji. Jaki byłby jego najlepszy wybór?

A. Uwierzytelnij klienta za pomocą certyfikatu cyfrowego.
B. Zaimplementuj bardzo silną politykę haseł.
C. Bezpieczna komunikacja aplikacji z Transport Layer Security (TLS).
D. Zaimplementuj zaporę sieciową (WAF).

75. Sarah jest CIO w małej firmie. Firma korzysta z kilku niestandardowych aplikacji, które mają skomplikowane interakcje z systemem operacyjnym hosta. Martwi ją, czy wszystkie systemy w jej sieci są odpowiednio załatane. Jakie jest najlepsze podejście w jej środowisku?

A. Zaimplementuj automatyczne poprawki.
B. Zaimplementuj politykę, która polega na tym, że poszczególni użytkownicy poprawiają swoje systemy.
C. Deleguj zarządzanie poprawkami do kierowników działów, aby mogli znaleźć najlepsze zarządzanie poprawkami dla swoich działów.
D. Natychmiastowe wdrożenie poprawek w środowisku testowym; następnie, jak tylko testowanie zostanie zakończone, przeprowadź etapowe wdrożenie do sieci produkcyjnej.

76. Gary używa bezprzewodowego analizatora, aby przeprowadzić badanie terenu swojej organizacji. Która z poniższych cech nie jest typową cechą zdolności analizatora bezprzewodowego do dostarczania informacji o otaczających go sieciach bezprzewodowych?

A. Możliwość pokazania siły sygnału punktów dostępowych na mapie obiektu
B. Możliwość pokazania wersji serwera RADIUS użytej do uwierzytelniania
C. Możliwość pokazania listy identyfikatorów SSID dostępnych w danej lokalizacji
D. Możliwość pokazania wersji protokołu 802.11 (n, ac, ax)

77. Emiliano jest administratorem sieci i jest zaniepokojony bezpieczeństwem urządzeń peryferyjnych. Która z poniższych czynności byłaby podstawowym krokiem, który mógłby podjąć w celu poprawy bezpieczeństwa tych urządzeń?

A. Implementuj FDE.
B. Wyłącz zdalny dostęp (SSH, Telnet itp.), jeśli nie jest potrzebny.
C. Wykorzystaj testy rozmycia dla wszystkich urządzeń peryferyjnych.
D. Zaimplementuj certyfikaty cyfrowe dla wszystkich urządzeń peryferyjnych.

78. Jakim rodzajem analizy kodu jest ręczny przegląd kodu?

A. Dynamiczny przegląd kodu
B. Przegląd kodu Fagan
C. Statyczny przegląd kodu
D. Fuzzing

79. Samantha użyła ssh-keygen do wygenerowania nowych kluczy SSH. Jaki klucz SSH powinna umieścić na serwerze, do którego chce uzyskać dostęp, i gdzie jest zwykle przechowywany w systemie Linux?

A. Jej publiczny klucz SSH, /etc/
B. Jej prywatny klucz SSH, /etc/
C. Jej publiczny klucz SSH, ~/.ssh
D. Jej prywatny klucz SSH, ~/.ssh

80. Ixxia jest kierownikiem zespołu programistycznego. Martwi się o wycieki pamięci w kodzie. Jaki typ testów najprawdopodobniej wykryje wycieki pamięci?

A. Fuzzing
B. Testy obciążeniowe
C. Statyczna analiza kodu
D. Normalizacja

81. Jaki adres IP zapewnia load balancer dla połączeń zewnętrznych w celu połączenia z serwerami sieciowymi w grupie o zrównoważonym obciążeniu?

A. Adres IP każdego serwera w kolejności priorytetowej
B. Adres IP load balancera
C. Adres IP każdego serwera w kolejności round-robin
D. Wirtualny adres IP

82. Jaki termin opisuje losowe bity, które są dodawane do hasła przed jego haszowaniem i przechowywaniem w bazie danych?
A. Aromat
B. Tęczowa zbroja
C. Zgnilizna bitów
D. Sól

83. Victor jest administratorem sieci w firmie średniej wielkości. Chce mieć zdalny dostęp do serwerów, aby móc wykonywać drobne zadania administracyjne ze zdalnych lokalizacji. Który z poniższych protokołów byłby dla niego najlepszym protokołem?
A. SSH
B. Telnet
C. RSH
D. SNMP

84. Dan konfiguruje politykę opartą na zasobach na swoim koncie Amazon. Jaką kontrolę zastosował?

A. Kontrola określająca, kto ma dostęp do zasobu i jakie działania mogą na nim podjąć
B. Kontrolka, która określa kwotę, jaką może kosztować usługa, zanim zostanie wysłany alarm
C. Element sterujący, który określa ilość skończonego zasobu, który można zużyć przed ustawieniem alarmu
D. Kontrola, która określa, co może zrobić tożsamość

85. Firma Charlene używa w swoim centrum danych urządzeń z czujnikami montowanymi w stelażu. Jakie czujniki zazwyczaj monitorują?

A. Temperatura i wilgotność
B. Dym i ogień
C. Jakość i niezawodność zasilania
D. Żadne z powyższych

86. Laurel sprawdza konfigurację serwera poczty e-mail w swojej organizacji i odkrywa, że na porcie TCP 993 działa usługa. Jaką bezpieczną usługę poczty e-mail najprawdopodobniej odkryła?

A. Bezpieczny POP3
B. Bezpieczny SMTP
C. Bezpieczny IMAP (IMAPS)
D. Bezpieczny MIME (SMIME)

87. Jakiego typu topologii używa sieć bezprzewodowa ad hoc?

A. Punkt-wielopunkt
B. Gwiazda
C. Punkt do punktu
D.Magistrala

88. Jaka jest główna zaleta zezwalania na instalowanie na komputerach tylko podpisanego kodu?
A. Gwarantuje, że złośliwe oprogramowanie nie zostanie zainstalowane.
B. Poprawia zarządzanie poprawkami.
C. Sprawdza, kto stworzył oprogramowanie.
D. Działa szybciej na komputerach z modułem Trusted Platform Module (TPM).

89. Samantha została poproszona o przedstawienie rekomendacji dla swojej organizacji na temat praktyk bezpieczeństwa haseł. Użytkownicy skarżyli się, że w ramach swojej pracy muszą pamiętać zbyt wiele haseł i potrzebują sposobu na ich śledzenie. Co powinna polecić Samanta?

A. Zalecamy, aby użytkownicy zapisywali hasła w pobliżu ich stacji roboczych.
B. Zalecamy, aby użytkownicy używali tego samego hasła do witryn o podobnych danych lub profilach ryzyka.
C. Zalecamy, aby użytkownicy nieznacznie zmieniali swoje standardowe hasła w zależności od witryny, z której korzystają.
D. Poleć aplikację do przechowywania haseł lub menedżera.

90. Matt włączył zabezpieczenie portów na przełącznikach sieciowych w swoim budynek. Co robi ochrona portów?

A. Filtry według adresu MAC
B. Zapobiega wysyłaniu aktualizacji protokołu routingu z chronionych portów
C. Ustanawia prywatne sieci VLAN
D. Zapobiega zduplikowanym adresom MAC przed łączeniem się z siecią

91. Tom odpowiada za połączenia VPN w swojej firmie. Jego firma używa IPSec do VPN. Jaki jest główny cel AH w IPSec?

A. Zaszyfruj cały pakiet.
B. Zaszyfruj tylko nagłówek.
C. Uwierzytelnij cały pakiet.
D. Uwierzytelnij tylko nagłówek.

92. Miles chce mieć pewność, że jego wewnętrzny DNS nie będzie odpytywany przez użytkowników zewnętrznych. Jaki wzorzec projektowy DNS wykorzystuje różne wewnętrzne i zewnętrzne serwery DNS, aby zapewnić potencjalnie różne odpowiedzi DNS użytkownikom tych sieci?

A. DNSSEC
B. Podział horyzontu DNS
C. DMZ DNS
D. Proxy DNS

93. Abigail jest odpowiedzialna za skonfigurowanie sieciowego systemu zapobiegania włamaniom (NIPS) w swojej sieci. NIPS znajduje się w jednym określonym segmencie sieci. Poszukuje pasywnej metody pobierania kopii całego ruchu do segmentu sieci NIPS, aby mógł on analizować ruch. Który z poniższych byłby jej najlepszym wyborem?
A. Korzystanie z kranu sieciowego
B. Korzystanie z dublowania portów
C. Ustawienie NIPS w sieci VLAN, która jest podłączona do wszystkich innych segmentów
D. Konfiguracja NIPS na każdym segmencie

94. Amanda chce zezwolić użytkownikom z innych organizacji na logowanie się do jej sieci bezprzewodowej. Jaka technologia pozwoliłaby jej to zrobić przy użyciu danych uwierzytelniających ich własnej organizacji domowej?

A. Wstępnie współdzielone klucze
B. 802.11q
C. Federacja RADIUS
D. OpenID Connect

95. Nathan chce mieć pewność, że urządzenia mobilne wdrożone przez jego organizację mogą być używane tylko w obiektach firmy. Jaki typ uwierzytelniania powinien wdrożyć, aby to zapewnić?

A. Kody PIN
B. Biometria
C. Uwierzytelnianie zależne od kontekstu
D. Uwierzytelnianie zależne od treści

96. Które z poniższych najlepiej opisuje moduł TPM?
A. Tryb ochrony transportu
B. Bezpieczny kryptoprocesor
C. Rozszerzenie DNSSEC
D. Całkowite zarządzanie poprawkami

97. Janice wyjaśnia nowemu administratorowi sieci, jak działa IPSec. Próbuje wyjaśnić rolę IKE. Które z poniższych najbardziej odpowiada roli IKE w IPSec?

A. Szyfruje pakiet.
B. Ustanawia SA.
C. Uwierzytelnia pakiet.
D. Tworzy tunel.

98. Jaki certyfikat najprawdopodobniej będzie używany przez offline organu uwieryztelniającego (CA)?

A. Root
B. Maszyna/komputer
C. Użytkownik
D. E-mail

99. Emily zarządza systemem IDS/IPS w swojej sieci. Ma zainstalowany i odpowiednio skonfigurowany sieciowy system zapobiegania włamaniom (NIPS). Nie wykrywa oczywistych ataków na jeden konkretny segment sieci. Upewniła się, że NIPS jest prawidłowy skonfigurowany i działający prawidłowo. Jaki byłby dla niej najskuteczniejszy sposób rozwiązania tego problemu?

A. Zaimplementuj dublowanie portów dla tego segmentu.
B. Zainstaluj NIPS na tym segmencie.
C. Uaktualnij do bardziej efektywnego NIPS.
D. Wyizoluj ten segment we własnej sieci VLAN.

100. Dana chce chronić dane w bazie danych bez zmiany cech, takich jak długość i typ danych. Jakiej techniki może użyć, aby zrobić to najskuteczniej?

A. Haszowanie
B. Tokenizacja
C. Szyfrowanie
D. Obrót


101. Elenora jest odpowiedzialna za zbieranie i analizę logów dla firmy mającej lokalizacje w całym kraju. Odkryła , że witryny zdalne generują duże ilości danych dziennika, co może powodować problemy z wykorzystaniem przepustowości dla tych witryn. Jaki rodzaj technologii mogłaby wdrożyć w każdej witrynie, aby w tym pomóc?

A. Wdróż agregator dzienników.
B. Wdróż pułapkę miodu.
C. Wdróż host bastionu.
D. Żadne z powyższych

102. Dani wykonuje dynamiczną technikę analizy kodu, która wysyła szeroki zakres danych jako dane wejściowe do testowanej aplikacji. Dane wejściowe obejmują dane, które mieszczą się zarówno w oczekiwanych zakresach i typach dla programu, jak i dane, które są różne, a zatem nieoczekiwane przez program. Jakiej techniki testowania kodu używa Dani?

A. Timeboxing
B. Przepełnienie bufora
C. Walidacja danych wejściowych
D. Fuzzing

103. Tina chce się upewnić, że nieuczciwe serwery DHCP nie są dozwolone w sieci, którą utrzymuje. Co może zrobić, aby się przed tym uchronić?

A. Wdróż IDS, aby zatrzymać nieuczciwe pakiety DHCP.
B. Włącz podsłuchiwanie DHCP.
C. Wyłącz podsłuchiwanie DHCP.
D. Zablokuj ruch na portach DHCP do wszystkich systemów.

104. Wykrywanie i reagowanie na punkty końcowe składa się z trzech głównych elementów, które składają się na jego zdolność do zapewniania wglądu w punkty końcowe. Która z poniższych części nie jest jedną z tych trzech części?

A. Wyszukiwanie danych
B. Analiza złośliwego oprogramowania
C. Eksploracja danych
D. Wykrywanie podejrzanej aktywności

105. Isabelle odpowiada za bezpieczeństwo w średniej wielkości firmie. Chce uniemożliwić użytkownikom w jej sieci odwiedzanie witryn z ofertami pracy podczas pracy. Które z poniższych urządzeń byłoby najlepszym urządzeniem do osiągnięcia tego celu?

A. Serwer proxy
B. NAT
C. Zapora z filtrem pakietów
D. NIPS

106. Jaki termin opisuje system w chmurze, który przechowuje, zarządza i umożliwia audyt kluczy API, haseł i certyfikatów?

A. Chmura PKI
B. Moduł TPM w chmurze
C. Menedżer tajemnic
D. Cicha służba

107. Fred buduje aplikację internetową, która będzie otrzymywać informacje od usługodawcy. Jaki otwarty standard powinien zaprojektować swoją aplikację, aby mogła współpracować z wieloma nowoczesnymi zewnętrznymi dostawcami tożsamości?

A. SAML
B. Kerberos
C. LDAP
D. NTLM

108. Jesteś odpowiedzialny za witrynę e-commerce. Witryna jest hostowana w klastrze. Która z poniższych technik byłaby najlepsza w zapewnieniu dostępności?

A. Koncentrator VPN
B. Przełączanie agregatów
C. Akcelerator SSL
D. Równoważenie obciążenia

109. Które kanały nie powodują problemów z nakładaniem się lub nakładaniem kanałów w amerykańskich instalacjach sieci Wi-Fi 2,4 GHz?

A. 1, 3, 5, 7, 9 i 11
B. 2, 6 i 10
C. 1, 6 i 11
D. Kanały Wi-Fi nie są narażone na nakładanie się kanałów.

110. Ryan jest zaniepokojony bezpieczeństwem aplikacji internetowej swojej firmy. Ponieważ aplikacja przetwarza dane poufne, najbardziej obawia się ujawnienia danych. Które z poniższych byłoby dla niego najważniejsze do wdrożenia?

A. WAF
B. TLS
C. NIPS
D. NIDS

111. Która z poniższych metod połączenia działa tylko przez połączenie w zasięgu wzroku?
A. Bluetooth
B. Podczerwień
C. NFC
D. Wi-Fi

112. Carole jest odpowiedzialna za różne protokoły sieciowe w swojej firmie. Network Time Protocol sporadycznie zawodzi. Które z poniższych będą najbardziej dotknięte?

A. Kerberos
B. RADIUS
C. CHAP
D. LDAP

113. Wybierasz metodę uwierzytelniania dla serwerów Twojej firmy. Szukasz metody, która okresowo przeprowadza ponowne uwierzytelnianie klientów, aby zapobiec przechwyceniu sesji. Która z poniższych opcji byłaby Twoim najlepszym wyborem?

A. PAP
B. SPAP
C. CHAP
D. Autoryzacja OAuth

114. Naomi chce wdrożyć zaporę ogniową, która będzie chronić jej systemy końcowe przed innymi systemami w tej samej strefie bezpieczeństwa jej sieci w ramach projektu zerowego zaufania. Jaki rodzaj zapory najlepiej nadaje się do tego typu wdrożenia?

A. Zapory sprzętowe
B. Zapory programowe
C. Wirtualne zapory ogniowe
D. Zapory sieciowe w chmurze

115. Lisa zakłada konta dla swojej firmy. Chce założyć konta dla serwera bazy danych Oracle. Które z poniższych będzie najlepszym typem konta do przypisania do usługi bazy danych?

A. Użytkownik
B. Gość
C. Administrator
D. Usługa

116. Gary chce zaimplementować protokoły oparte na EAP do uwierzytelniania bezprzewodowego i chce się upewnić, że używa tylko wersji obsługujących Transport Layer Security (TLS). Który z poniższych protokołów opartych na protokole EAP nie obsługuje protokołu TLS?


A. LEAP
B. EAP-TTLS
C. PEAP
D. EAP-TLS

117. Manny chce pobrać aplikacje, których nie ma w iOS App Store, a także zmieniać ustawienia na poziomie systemu operacyjnego, których Apple zwykle nie pozwala na zmianę. Co musiałby zrobić ze swoim iPhonem, aby na to zezwolić?

A. Kup aplikację w sklepie z aplikacjami innej firmy.
B. Zainstaluj aplikację przez ładowanie boczne.
C. Złam telefon.
D. Zainstaluj Androida na telefonie.

118. Wiele kart inteligentnych wdraża technologię bezprzewodową, aby umożliwić korzystanie z nich bez czytnika kart. Jaka technologia bezprzewodowa jest często używana, aby umożliwić korzystanie z kart inteligentnych w czytnikach dostępu i podobnych kontrolach dostępu?

A. Podczerwień
B. Wi-Fi
C. RFID
D. Bluetooth

119. Carl został poproszony o skonfigurowanie kontroli dostępu do serwera. Wymagania stanowią, że użytkownicy o niższym poziomie uprawnień nie powinni mieć możliwości wyświetlania ani uzyskiwania dostępu do plików lub danych na wyższym poziomie uprawnień. Jaki model kontroli dostępu najlepiej spełniłby te wymagania?

A. MAC
B. DAC
C. RBAC
D. SAML

120. Jack chce wdrożyć system kontroli dostępu do sieci (NAC), który uniemożliwi systemom, które nie są w pełni załatane, łączenie się z jego siecią. Jeśli chce mieć pełne informacje o konfiguracji systemu, wersji programu antywirusowego i poziomie poprawek, jaki typ wdrożenia NAC najprawdopodobniej spełni jego potrzeby?

A. Bez agenta, przed przyjęciem
B. Oparte na agentach, wstępne przyjęcie
C. Bez agenta, po przyjęciu
D. Oparte na agentach, po przyjęciu

121. Claire została powiadomiona o błędzie zero-day w aplikacji internetowej. Ma kod exploita, w tym atak typu SQL injection, który jest aktywnie wykorzystywany. Jak może szybko zareagować, aby ten problem nie wpłynął na jej środowisko, jeśli potrzebuje aplikacji do dalszego działania?

A. Wdróż regułę wykrywania na jej IDS.
B. Ręczna aktualizacja kodu aplikacji po jego odtworzeniu.
C. Wdróż poprawkę przez jej WAF.
D. Zainstaluj poprawkę dostarczoną przez sprzedawcę.

122. Eric chce dostarczać urządzenia zakupione przez firmę, ale jego organizacja woli zapewniać użytkownikom końcowym wybór urządzeń, które można centralnie zarządzać i konserwować. Jaki model wdrażania urządzeń mobilnych najlepiej odpowiada tej potrzebie?

A. BYOD
B. COPE
C. CYOD
D. VDI

123. Derek odpowiada za urzędy certyfikacji swojej organizacji i chce dodać nowy urząd certyfikacji. Jego organizacja ma już trzy urzędy certyfikacji działające w siatce: A. South American CA, B. United States CA oraz C, European Union CA. W miarę jak rozszerzają się na Australię, chce dodać D. australijskie CA. Którym urzędom certyfikacji Derek będzie musiał wystawiać certyfikaty od firmy D., aby zapewnić systemom w domenie australijskiej dostęp do serwerów w domenach A, B i C?

A. Potrzebuje, aby wszystkie inne systemy wystawiały certyfikaty D, aby jego systemy były tam zaufane.
B. Musi wystawić certyfikaty z D każdemu z pozostałych systemów CA, a następnie poprosić inne CA o wydanie certyfikatu D.
C. Musi dostarczyć klucz prywatny od D do każdego z pozostałych urzędów certyfikacji.
D. Musi otrzymać klucz prywatny od każdego z pozostałych CA i użyć go do podpisania certyfikatu głównego dla D.

124. Claire jest zaniepokojona, że atakujący uzyska informacje dotyczące urządzeń sieciowych i ich konfiguracji w jej firmie. Który protokół powinna wdrożyć, który byłby najbardziej pomocny w ograniczaniu tego ryzyka przy jednoczesnym zapewnieniu zarządzania i raportowania o urządzeniach sieciowych?

A. RADIUS
B. TLS
C. SNMPv3
D. SFTP

125. Ben używa narzędzia zaprojektowanego specjalnie do wysyłania nieoczekiwanych danych do testowanej aplikacji internetowej. Aplikacja działa w środowisku testowym i jest skonfigurowana do rejestrowania zdarzeń i zmian. Jakiego narzędzia używa Ben?

A. Serwer proxy do wstrzykiwania SQL
B. Narzędzie do statycznego przeglądu kodu
C. Internetowy serwer proxy
D. Fuzzer

126. Eric jest odpowiedzialny za bezpieczeństwo urządzeń mobilnych swojej organizacji. Wykorzystują nowoczesne narzędzie do zarządzania urządzeniami mobilnymi (MDM) do zarządzania środowiskiem urządzeń mobilnych BYOD. Eric musi zadbać o to, aby aplikacje i dane, które jego organizacja udostępnia użytkownikom tych urządzeń mobilnych, były tak bezpieczne, jak to tylko możliwe. Która z poniższych technologii zapewni mu najlepsze bezpieczeństwo?

A. Segmentacja pamięci masowej
B. Konteneryzacja
C. Szyfrowanie całego urządzenia
D. Zdalne czyszczenie

127. Murali szuka protokołu uwierzytelniania dla swojej sieci. Jest bardzo zaniepokojony wysoko wykwalifikowanymi napastnikami. W ramach złagodzenia tego problemu chce protokołu uwierzytelniania, który w rzeczywistości nigdy nie przesyła hasła użytkownika w żadnej formie. Który protokół uwierzytelniania byłby odpowiedni dla potrzeb Murali?

A. CHAP
B. Kerberos
C. RBAC
D. Typ II

128. W ramach procesu wydawania certyfikatu z urzędu certyfikacji, z którym współpracuje jej firma, Marie musi udowodnić, że jest ważnym przedstawicielem swojej firmy. Urząd certyfikacji wykonuje dodatkowe kroki, aby upewnić się, że jest tym, za kogo się podaje, i że jej firma jest legalna, a nie wszystkie urzędy certyfikacji mogą wystawiać tego typu certyfikaty. Jaki rodzaj certyfikatu została wydana?

A. Certyfikat EV
B. Certyfikat zatwierdzony przez domenę
C. Certyfikat walidacji organizacji
D. Certyfikat OCSP

129. Mark chce zapewnić połączenie bezprzewodowe o najwyższej możliwej przepustowości. Którą z poniższych opcji powinien wybrać?

A. komórkowe LTE
B. Bluetooth
C. NFC
D. Wi-Fi 802.11ac

130. Jaka jest główna zaleta rozwiązań bezpieczeństwa natywnych dla chmury w porównaniu z rozwiązaniami innych firm wdrożonymi w tym samym środowisku chmury?

A. Niższy koszt
B. Lepsze bezpieczeństwo
C. Ściślejsza integracja
D. Wszystkie powyższe

131. Ed musi bezpiecznie połączyć się z DMZ od administratora sieci przy użyciu Secure Shell (SSH). Jaki typ systemu jest często wdrażany, aby umożliwić bezpieczne wykonywanie tego zadania poza granicami zabezpieczeń dla segmentów sieci o różnych poziomach zabezpieczeń?

A. IPS
B. Brama NAT
C. Router
D. Pole skoku

132. Pracujesz dla serwisu społecznościowego. Chcesz zintegrować konta swoich użytkowników z innymi zasobami internetowymi. Aby to zrobić, musisz zezwolić na używanie uwierzytelniania w różnych domenach bez ujawniania haseł użytkowników innym usługom. Które z poniższych byłoby najbardziej pomocne w osiągnięciu tego celu?

A. Kerberos
B. SAML
C. Autoryzacja OAuth
D. OpenID

133. Christina chce mieć pewność, że jej system równoważenia obciążenia zapewnia trwałość sesji. Co ona próbuje zrobić?

A. Upewnij się, że wszystkie żądania klientów trafiają do tego samego serwera na czas trwania danej sesji lub transakcji.
B. Przypisz ten sam wewnętrzny adres IP klientom za każdym razem, gdy łączą się za pośrednictwem modułu równoważenia obciążenia.
C. Upewnij się, że wszystkie transakcje są przekazywane do bieżącego serwera w systemie round-robin w czasie, gdy jest to serwer podstawowy.
D. Przypisz ten sam zewnętrzny adres IP do wszystkich serwerów, gdy są one głównym serwerem przypisanym przez moduł równoważenia obciążenia.

134. Tara jest zaniepokojona faktem, że pracownicy jej organizacji wysyłają e-maile zawierające poufne informacje, takie jak zawarte w nich numery ubezpieczenia społecznego klientów (SSN). Jakie rozwiązanie może wdrożyć, aby zapobiec przypadkowemu ujawnieniu tego typu danych wrażliwych?

A. FDE
B. DLP
C. S/MIME
D. POP3S

135. Jennifer rozważa wykorzystanie infrastruktury jako dostawcy usług w chmurze do hostowania aplikacji internetowych, baz danych i serwerów internetowych swojej organizacji. Które z poniższych nie jest powodem, dla którego zdecydowałaby się wdrożyć w usłudze w chmurze?

A. Wsparcie dla wysokiej dostępności
B. Bezpośrednia kontrola podstawowego sprzętu
C. Niezawodność bazowego przechowywania
D. Replikacja do wielu stref geograficznych

136. Ten obraz przedstawia przykład typu bezpiecznego interfejsu zarządzania. Jaki termin opisuje używanie interfejsów zarządzania lub chronionych alternatywnych sposobów zarządzania urządzeniami i systemami?



A. Strefa DMZ
B. Zarządzanie poza pasmem
C. Zarządzanie w paśmie
D. TLS

137. Chris dostarczył klucze szyfrowania BitLocker dla komputerów w swoim dziale do biura bezpieczeństwa swojej organizacji, aby mogły odszyfrować komputery w przypadku naruszenia dochodzenia. Jak nazywa się ta koncepcja?

A. Klucz depozytowy
B. Blokada funkcji BitLocker
C. Złożenie klucza
D. Więzienie AES

138. Marek skonfigurował systemy w swojej sieci do przeprowadzania atestacji rozruchu. Do czego skonfigurował systemy?

A. Uruchamianie tylko zaufanego oprogramowania opartego na wcześniej zapisanych hashach przy użyciu połączonego procesu rozruchu
B. Aby powiadomić serwer BOOTP o uruchomieniu systemu
C. Zahaszować BIOS systemu, aby upewnić się, że proces rozruchu przebiegł bezpiecznie;
D. Aby powiadomić zdalny system lub narzędzie do zarządzania, że proces rozruchu był bezpieczny za pomocą pomiarów z procesu rozruchu

139. Zostałeś poproszony o znalezienie usługi uwierzytelniania obsługiwanej przez stronę trzecią. Usługa powinna umożliwiać użytkownikom dostęp do wielu witryn, o ile obsługują one usługę uwierzytelniania innej firmy. Jaki byłby twój najlepszy wybór?

A. OpenID
B. Kerberos
C. NTLM
D. Shibboleth

140. Który z poniższych kroków jest powszechnym sposobem na wzmocnienie Rejestru systemu Windows?

A. Upewnij się, że rejestr jest w pełni załatany.
B. Ustaw rejestr w trybie tylko do odczytu.
C. Wyłącz zdalny dostęp do rejestru, jeśli nie jest wymagany.
D. Zaszyfruj wszystkie klucze rejestru trybu użytkownika.

141. Lois projektuje fizyczny układ rozmieszczenia swojego bezprzewodowego punktu dostępowego (WAP) w swojej organizacji. Który z poniższych elementów nie jest częstym problemem podczas projektowania układu WAP?

A. Ustalenie materiału konstrukcyjnego ścian wokół punktów dostępu
B. Ocena poziomów mocy z innych punktów dostępowych
C. Wykonywanie ankiety na miejscu
D. Maksymalizacja pokrycia pokrycia

142. Gabby została zwolniona z organizacji, w której pracowała od prawie dekady. Mark musi upewnić się, że konto Gabby jest bezpiecznie obsługiwane po ostatnim dniu pracy. Co może zrobić z jej kontem jako tymczasowy krok, aby zapewnić, że pliki są nadal dostępne i że konto może zostać zwrócone do użytku, jeśli Gabby wróci po zwolnieniu?

A. Usuń konto i utwórz je ponownie, gdy jest to potrzebne.
B. Wyłącz konto i włącz je ponownie, jeśli jest to konieczne.
C. Pozostaw aktywne konto na wypadek powrotu Gabby.
D. Zmień hasło na takie, którego Gabby nie zna.

143. Mason odpowiada za bezpieczeństwo w firmie, która ma podróżujących sprzedawców. Firma używa ABAC do kontroli dostępu do sieci. Który z poniższych problemów jest specyficzny dla ABAC i może powodować nieprawidłowe odrzucanie logowań?

A. Położenie geograficzne
B. Błędne hasło
C. Zdalny dostęp nie jest dozwolony przez ABAC.
D. Firewalle zazwyczaj blokują ABAC.

144. Darrell obawia się, że użytkownicy w jego sieci mają zbyt wiele haseł do zapamiętania i mogą je zapisać, co stwarza poważne zagrożenie bezpieczeństwa. Która z poniższych opcji byłaby najbardziej pomocna w złagodzeniu tego problemu?

A. Uwierzytelnianie wieloskładnikowe
B. Jednokrotne logowanie
C. SAML
D. LDAP

145. Frank jest administratorem bezpieczeństwa w dużej firmie. Czasami użytkownik musi uzyskać dostęp do określonego zasobu, do którego nie ma uprawnień dostępu. Jaka metodologia kontroli dostępu byłaby najbardziej pomocna w tej sytuacji?

A. Obowiązkowa kontrola dostępu (MAC)
B. Uznaniowa kontrola dostępu (DAC)
C. Kontrola dostępu oparta na rolach
D. Kontrola dostępu oparta na regułach

146. Ed projektuje architekturę bezpieczeństwa dla przejścia swojej organizacji do środowiska chmury jako infrastruktury jako usługi. W swoim lokalnym centrum danych wdrożył zaporę ogniową przed siecią centrum danych, aby ją chronić, oraz zbudował reguły, które zezwalają na dostęp do niezbędnych usług, a także na ruch wychodzący na potrzeby aktualizacji i podobnych potrzeb. Wie, że jego środowisko chmurowe będzie inne. Która z poniższych sytuacji nie jest typowym problemem w przypadku projektów zapory w chmurze?

A. Wymagania dotyczące segmentacji wirtualnych chmur prywatnych (VPC)
B. Dostęp sprzętowy do aktualizacji
C. Koszt obsługi usług firewalla w chmurze
D. Warstwy OSI i widoczność ruchu do zapór w chmurze

147. Amelia szuka metody uwierzytelniania sieciowego, które może używać certyfikatów cyfrowych i nie wymaga od użytkowników końcowych zapamiętywania haseł. Które z poniższych najlepiej pasowałoby do jej wymagań?

A. Autoryzacja OAuth
B. Tokeny
C. OpenID
D. RBAC

148. Damian zaprojektował i zbudował stronę internetową, która jest dostępna tylko wewnątrz sieci korporacyjnej. Jakim terminem określa się ten rodzaj zasobu wewnętrznego?

A. Intranet
B. Ekstranet
C. Strefa DMZ
D. TTL

149. Zapora sieciowa wdrożona przez Waltera sprawdza każdy pakiet wysyłany przez systemy, które przez nią przechodzą, zapewniając, że każdy pakiet jest zgodny z regułami, które obsługuje i filtruje ruch. Jaki typ zapory jest opisywany?

A. Następne pokolenie
B. Bezpaństwowcy
C. Warstwa aplikacji
D. Stanowy

150. Nancy chce chronić swoje klucze RSA i zarządzać nimi podczas korzystania z urządzenia mobilnego. Jakiego rodzaju rozwiązanie mogłaby kupić, aby zapewnić bezpieczeństwo kluczy i umożliwić uwierzytelnianie klucza publicznego?

A. PKI oparte na aplikacjach
B. Dysk zaszyfrowany OPAL
C. Karta HSM MicroSD
D. Urząd certyfikacji offline

151. Oliver musi wyjaśnić schemat kontroli dostępu używany przez systemy plików Windows i Linux. Jaki schemat kontroli dostępu domyślnie wdrażają?

A. Kontrola dostępu oparta na rolach
B. Obowiązkowa kontrola dostępu
C. Kontrola dostępu oparta na regułach
D. Uznaniowa kontrola dostępu

152. Stefan właśnie został nowym oficerem ochrony na uniwersytecie. Obawia się, że studenci, którzy pracują do późna w kampusie, mogą próbować zalogować się za pomocą referencji wydziałowych. Która z poniższych opcji byłaby najskuteczniejsza w zapobieganiu temu?

A. Ograniczenia dotyczące pory dnia
B. Audyt użytkowania
C. Długość hasła
D. Zarządzanie poświadczeniami

153. Zapory nowej generacji zawierają wiele najnowocześniejszych funkcji. Która z poniższych opcji nie jest powszechną funkcją zapory nowej generacji?

A. Geolokalizacja
B. IPS i/lub IDS
C. Piaskownica
D. Wstrzyknięcie SQL

154. Greg wie, że gdy przełącznik nie wie, gdzie jest węzeł, wysyła rozgłoszenie, aby spróbować go znaleźć. Jeśli inne przełączniki w jego domenie rozgłoszeniowej nie wiedzą o węźle, również będą rozgłaszać to zapytanie, a to może stworzyć ogromny ruch, który może szybko wzrosnąć wymknąć się spod kontroli. Chce zapobiec temu scenariuszowi, nie powodując, że sieć nie będzie mogła działać. Jaką funkcję bezpieczeństwa na poziomie portu może włączyć, aby temu zapobiec?

A. Użyj blokowania ARP.
B. Blokuj wszystkie pakiety rozgłoszeniowe.
C. Włącz kontrolę burzy.
D. Żadne z powyższych

155. Isaac projektuje publiczną sieć swojego centrum danych w chmurze i chce odpowiednio wdrożyć segmentację, aby chronić swoje serwery aplikacji, jednocześnie umożliwiając klientom dostęp do swoich serwerów internetowych. Jaką koncepcję projektową powinien zastosować, aby wdrożyć tego typu bezpieczne środowisko?

A. Odwrotny serwer proxy
B. Strefa DMZ
C. Przesyłający serwer proxy
D. VPC

156. Jennifer jest zaniepokojona, że niektórzy ludzie w jej towarzystwie mają więcej przywilejów niż powinni. Dzieje się tak, ponieważ ludzie przechodzą z jednego stanowiska na drugie i mają kumulatywne prawa, które przekraczają wymagania ich obecnej pracy. Które z poniższych działań najskuteczniej złagodziłoby ten problem?

A. Audyt uprawnień
B. Rotacja stanowisk
C. Zapobieganie rotacji pracy
D. Rozdział obowiązków

157. Susan otrzymała zadanie wzmocnienia systemów w swoim środowisku i chce mieć pewność, że dane nie będą mogły być odzyskane z systemów, jeśli zostaną skradzione lub ich dyski zostaną skradzione i uzyskają dostęp. Jaka jest jej najlepsza opcja, aby zapewnić bezpieczeństwo danych w takich sytuacjach?

A. Wdróż szyfrowanie na poziomie folderu.
B. Wdróż szyfrowanie całego dysku.
C. Wdróż szyfrowanie na poziomie plików.
D. Rozmagnesuj wszystkie napędy.

158. Chloe zauważyła, że użytkownicy w sieci jej firmy często mają proste hasła złożone ze zwykłych słów. Dlatego mają słabe hasła. Jak Chloe może najlepiej złagodzić ten problem?

A. Zwiększ minimalną długość hasła.
B. Poproś użytkowników, aby częściej zmieniali hasła.
C. Wymagaj złożoności hasła.
D. Implementuj jednokrotne logowanie (SSO).

159. Który protokół Wi-Fi implementuje jednoczesne uwierzytelnianie równych (SAE), aby poprawić poprzednie modele zabezpieczeń?

A. WEP
B. WPA
C. WPA2
D. WPA3

160. Megan chce założyć konto, które będzie można wydać odwiedzającym. Konfiguruje aplikację kiosku, która pozwoli użytkownikom w jej organizacji sponsorować odwiedzającego, ustawić czas, przez który użytkownik będzie przebywał na miejscu, a następnie będzie mógł zalogować się na konto, ustawić hasło i korzystać z Wi-Fi i inne usługi. Jakie konto utworzyła Megan?

A. Konto użytkownika
B. Wspólne konto
C. Konto gościa
D. Konto usługi

161. Henryk chce wdrożyć usługę sieciową w swoim środowisku chmury, z której będą mogli korzystać jego klienci. Chce być w stanie zobaczyć, co się dzieje i powstrzymać nadużycia bez wyłączania usługi, jeśli klienci powodują problemy. Jakie dwie rzeczy powinien wdrożyć aby pozwolić na to?

A. Brama API i logowanie
B. Klucze API i logowanie przez bramę API
C. IPS zorientowany na API i proxy API
D. Wszystkie powyższe

162. Patrick został poproszony o zidentyfikowanie urządzenia UTM dla swojej organizacji. Która z poniższych funkcji nie jest powszechną cechą urządzenia UTM?

A. IDS i/lub IPS
B. Antywirus
C. MDM
D. DLP

163. Tworzona jest ogólnofirmowa polityka w celu zdefiniowania różnych poziomów bezpieczeństwa. Który z poniższych systemów kontroli dostępu używałby udokumentowanych poziomów bezpieczeństwa, takich jak Poufne lub Tajne dla Informacji?

A. RBAC
B. MAC
C. DAC
D. BAC

164. Ten obraz przedstawia typ proxy. Jaki typ proxy jest wyświetlany?

A. Przekierowujący serwer proxy
B. Bumerang proxy
C. Serwer proxy nowej generacji
D. Odwrotne proxy

165. Gurvinder przegląda pliki dziennika pod kątem zdarzeń uwierzytelniania i zauważa, że jeden z jego użytkowników zalogował się z systemu w domowym biurze jego firmy w Chicago. Niecałą godzinę później ten sam użytkownik jest rejestrowany jako logujący się z adresu IP, który według narzędzi geo-IP pochodzi z Australii. Jaki rodzaj problemu powinien to oznaczyć?

A. Źle skonfigurowany adres IP
B. Niemożliwy czas podróży, ryzykowny problem z logowaniem
C. Problem z wyszukiwaniem geo-IP
D. Żadne z powyższych

166. Użytkownicy w Twojej sieci mogą przypisywać uprawnienia do własnych udostępnionych zasobów. Który z poniższych modeli kontroli dostępu jest używany w Twojej sieci?

A. DAC
B. RBAC
C. MAC
D. ABAC

167. Cynthia przygotowuje nowy serwer do wdrożenia, a jej proces obejmuje wyłączanie niepotrzebnych usług, ustawianie ustawień bezpieczeństwa tak, aby pasowały do podstawowych konfiguracji jej organizacji oraz instalowanie poprawek i aktualizacji. Jak nazywa się ten proces?

A. Utwardzanie systemu operacyjnego
B. Zwiększenie bezpieczeństwa
C. Zarządzanie konfiguracją
D. Blokada punktu końcowego

168. John wykonuje skanowanie portów w sieci w ramach audytu bezpieczeństwa. Zauważa, że kontroler domeny używa bezpiecznego LDAP. Który z poniższych portów doprowadziłby go do takiego wniosku?

A. 53
B. 389
C. 443
D. 636

169. Chris chce bezpiecznie generować i przechowywać klucze kryptograficzne dla serwerów swojej organizacji, zapewniając jednocześnie możliwość odciążenia przetwarzania szyfrowania TLS. Jakie rozwiązanie powinien on polecać?

A. GPU w trybie akceleracji kryptograficznej
B. Moduł TPM
C. HSM
D. Procesor w trybie akceleracji kryptograficznej

170. Tracy chce chronić komputery stacjonarne i laptopy w swojej organizacji przed atakami sieciowymi. Chce wdrożyć narzędzie, które może aktywnie powstrzymywać ataki w oparciu o sygnatury, heurystyki i anomalie. Jakie narzędzie powinna wdrożyć?

A. Zapora sieciowa
B. Antymalware
C. HIDS
D. HIPS

171. Która z poniższych metod kontroli dostępu nadaje uprawnienia na podstawie pozycji użytkownika w organizacji?

A. MAC
B. RBAC
C. DAC
D. ABAC

172. Co robi mierzony rozruch UEFI?

A. Rejestruje, ile czasu zajmuje uruchomienie systemu
B. Rejestruje informacje o każdym załadowanym komponencie, przechowuje je w module TPM i może zgłaszać je do serwera
C. Porównuje skrót każdego komponentu, który jest ładowany ze znanym skrótem przechowywanym w module TPM
D. Sprawdza dostępność zaktualizowanych wersji UEFI i porównuje go z aktualną wersją; jeśli zostanie zmierzony jako zbyt nieaktualny, aktualizuje UEFI

173. Kerberos używa którego z poniższych do wystawiania biletów?

A. Usługa uwierzytelniania
B. Urząd certyfikacji
C. Usługa przyznawania biletów
D. Centrum dystrybucji kluczy

174. Maria chce mieć pewność, że jej kontroler bezprzewodowy i punkty dostępu są jak najbardziej zabezpieczone przed atakami za pośrednictwem jej sieci. Jaką kontrolę powinna wprowadzić, aby chronić je przed atakami brute-force na hasła i podobnymi próbami przejęcia infrastruktury sprzętowej jej sieci bezprzewodowej?

A. Regularnie łataj urządzenia.
B. Wyłącz dostęp administracyjny.
C. Umieść punkty dostępu i kontrolery w oddzielnej sieci VLAN zarządzania.
D. Wszystkie powyższe

175. Marcus chce sprawdzić stan odblokowania operatora dla wszystkich telefonów komórkowych posiadanych i wdrożonych przez jego firmę. Jaka metoda jest najskuteczniejszym sposobem na zrobienie tego?

A. Skontaktuj się z operatorem komórkowym.
B. Użyj narzędzia MDM.
C. Użyj narzędzia UEM.
D. Żadne z powyższych; odblokowanie operatora musi być zweryfikowane ręcznie na telefonie.

176. Michael chce wdrożyć sieć o zerowym zaufaniu. Który z poniższych kroków nie jest typowym krokiem w tworzeniu sieci o zerowym zaufaniu?

A. Uprość sieć.
B. Używaj silnego zarządzania tożsamością i dostępem.
C. Skonfiguruj zapory pod kątem najmniejszych uprawnień i świadomości aplikacji.
D. Rejestruj zdarzenia związane z bezpieczeństwem i analizuj je.

177. Samantha poszukuje metody uwierzytelniania, która zawiera standard X.509 i umożliwia cyfrowe podpisywanie uwierzytelniania. Która z poniższych metod uwierzytelniania najlepiej spełni te wymagania?

A. Uwierzytelnianie oparte na certyfikacie
B. Autoryzacja OAuth
C. Kerberos
D. Karty inteligentne

178. Twoja firma w dużym stopniu polega na dostawcach usług w chmurze i SaaS, takich jak salesforce.com, Office365 i Google. Które z poniższych pytań dotyczy bezpieczeństwa?

A. LDAP
B. TACACS+
C. SAML
D. Zaufanie przechodnie

179. Jaka jest podstawowa różnica między MDM a UEM?

A. MDM nie obejmuje zarządzania poprawkami.
B. UEM nie obejmuje obsługi urządzeń mobilnych.
C. UEM obsługuje szerszą gamę urządzeń.
D. MDM poprawia komputery domeny, a nie komputery przedsiębiorstwa.

180. Kathleen chce wdrożyć projekt sieci bez zaufania i wie, że powinna ją podzielić na segmenty. Martwi ją ruch wschód/zachód wewnątrz segmentów sieci. Jakie jest pierwsze narzędzie bezpieczeństwa, które powinna wdrożyć, aby zapewnić hostom ochronę przed zagrożeniami sieciowymi?

A. Antywirus
B. Zapory sieciowe oparte na hoście
C. IPS oparty na hoście
D. FDE

str. 182 181. Gary projektuje swoją infrastrukturę chmury i musi zapewnić systemom wirtualnym, które obsługuje, funkcję podobną do zapory. Która z poniższych funkcji chmury działa jak wirtualna zapora?

A. Grupy bezpieczeństwa
B. Dynamiczna alokacja zasobów
C. Punkty końcowe VPC
D. Świadomość instancji

182. Derek włączył automatyczne aktualizacje dla systemów Windows, które są używane w małej firmie, w której pracuje. Jaki proces utwardzania będzie musiał jeszcze zostać rozwiązany w przypadku tych systemów, jeśli chce mieć kompletny system zarządzania poprawkami?

A. Zautomatyzowana instalacja poprawek Windows
B. Testy regresji Windows Update
C. Utwardzanie rejestru
D. Oprogramowanie innych firm i łatanie oprogramowania układowego

183. Theresa wdraża system IDS oparty na sieci. Co może zrobić z ruchem przechodzącym przez IDS?

A. Przejrzyj ruch na podstawie reguł i wykryj niechciany lub niepożądany ruch i ostrzegaj o nim.
B. Sprawdź ruch na podstawie reguł i wykryj i zatrzymaj ruch na podstawie tych reguł.
C. Wykryj poufne dane wysyłane do świata zewnętrznego i zaszyfruj je, gdy przechodzą przez IDS.
D. Wszystkie powyższe

184. Murali tworzy dokument dotyczący najlepszych praktyk w zakresie bezpieczeństwa kontenerów swojej organizacji i chce mieć pewność, że obejmuje on najczęstsze elementy bezpieczeństwa kontenerów. Które z poniższych nie dotyczy szczególnie pojemników?

A. Bezpieczeństwo hosta kontenera
B. Zabezpieczenie stosu zarządzania kontenerem
C. Zagrożenia wewnętrzne
D. Monitorowanie ruchu sieciowego do i z kontenerów pod kątem zagrożeń i ataków

185. Organizacja Gary′ego używa bramy NAT na swojej krawędzi sieci. Jakie korzyści w zakresie bezpieczeństwa zapewnia brama NAT?

A. Stanowo blokuje ruch w oparciu o port i protokół jako rodzaj zapory.
B. Potrafi wykryć złośliwy ruch i powstrzymać go przed przechodzeniem.
C. Pozwala systemom na łączenie się z inną siecią bez bezpośredniego kontaktu z nią.
D. Pozwala na używanie adresów innych niż IP za legalnym adresem IP.

186. Fred konfiguruje swój system uwierzytelniania i autoryzacji, aby stosował następujące reguły do uwierzytelnionych użytkowników: Użytkownicy, którzy nie logują się z poziomu zaufanej sieci, muszą korzystać z uwierzytelniania wieloskładnikowego. Użytkownicy, których urządzenia nie przeszły testu NAC, muszą korzystać z uwierzytelniania wieloskładnikowego. Użytkownicy, którzy zalogowali się z lokalizacji geograficznych oddalonych o więcej niż 100 mil w ciągu 15 minut, zostaną odrzuceni. Jakiego rodzaju kontroli dostępu używa Fred?

A. Geofencing
B. Logowanie na podstawie czasu
C. Dostęp warunkowy
D. Dostęp oparty na rolach

187. Henry jest pracownikiem firmy Acme. Firma wymaga od niego zmiany hasła co trzy miesiące. Ma problemy z zapamiętywaniem nowych haseł, więc ciągle przełącza się między dwoma hasłami. Która polityka byłaby najskuteczniejsza w zapobieganiu temu?

A. Złożoność hasła
B. Historia haseł
C. Długość hasła
D. Uwierzytelnianie wieloskładnikowe

188. Poniższy obraz przedstawia scenariusz, w którym przełącznik X jest podłączony do sieci przez użytkownika końcowego i anonsuje się z niższym priorytetem drzewa opinającego niż istniejące przełączniki. Które z poniższych ustawień może zapobiec występowaniu tego typu problemów?



A. 802.11n
B. Przywołanie portu
C. Osłona RIP
D. Strażnik BPDU

189. Tracy chce ograniczyć, kiedy użytkownicy mogą logować się do samodzielnej stacji roboczej Windows. Co może zrobić Tracy, aby upewnić się, że konto o nazwie "odwiedzający" może logować się tylko między 8 a 17? każdego dnia roboczego?

A. Uruchamianie polecenia net user gość /czas: Pn-Pt, 8:00-17:00
B. Uruchomienie polecenia netreg użytkownik gość -codziennie -godziny-pracy
C. Uruchamianie limitu logowania polecenia: czas dzienny:
D. 8-5
E. Nie można tego zrobić z wiersza poleceń systemu Windows.

190. Sheila obawia się, że niektórzy użytkownicy w jej sieci mogą uzyskiwać dostęp do plików, których nie powinni - w szczególności plików, które nie są wymagane do wykonywania ich zadań. Która z poniższych opcji byłaby najskuteczniejsza w ustaleniu, czy tak się dzieje?

A. Audyt i przegląd użytkowania
B. Audyt i przegląd uprawnień
C. Prowadzenie konta
D. Przegląd polityki

191. W którym z poniższych scenariuszy korzystanie z konta współdzielonego stanowiłoby najmniejsze zagrożenie bezpieczeństwa?

A. Dla grupy personelu wsparcia technicznego
B. Dostęp do Wi-Fi dla gości
C. Dla studentów logujących się na uczelni
D. W przypadku kont z kilkoma uprawnieniami

192. Kierownik Mike'a poprosił go o zweryfikowanie, czy łańcuch certyfikatów dla ich produkcyjnej strony internetowej jest prawidłowy. O co poprosiła Mike'a, żeby to zweryfikował?

A. Certyfikat nie został unieważniony
B. Aby użytkownicy odwiedzający witrynę mogli sprawdzić, czy witryna i urzędy certyfikacji w łańcuchu są godne zaufania
C. Szyfrowanie użyte do utworzenia certyfikatu jest silne i nie zostało złamane
D. Czy certyfikat został wystawiony prawidłowo i czy wcześniejsze certyfikaty wydane dla tego samego systemu również zostały wydane prawidłowo

193. Maria odpowiada za bezpieczeństwo w małej firmie. Jest zaniepokojona podłączaniem do sieci nieautoryzowanych urządzeń. Szuka procesu uwierzytelniania urządzenia. Który z poniższych byłby dla niej najlepszym wyborem?

A. CHAP
B. Kerberos
C. 802.11i
D.802.1X

194. Który standard bezprzewodowy wykorzystuje CCMP do zapewnienia szyfrowania dla ruchu sieciowego?

A. WPA2
B. WEP
C. Podczerwień
D. Bluetooth

195. Charles jest CISO w firmie ubezpieczeniowej. Niedawno przeczytał o ataku, w którym osoba atakująca była w stanie wyliczyć wszystkie urządzenia sieciowe w organizacji. Wszystko to odbywało się poprzez wysyłanie zapytań za pomocą jednego protokołu. Który protokół powinien zabezpieczyć Charles, aby złagodzić ten atak?

A. SNMP
B. POP3
C. DHCP
D. IMAP

196. Magnus jest zaniepokojony tym, że ktoś używa łamacza haseł na komputerach w jego firmie. Obawia się, że w celu zalogowania się do systemu crackerzy będą próbowali używać popularnych haseł. Które z poniższych działań najlepiej złagodzi to zagrożenie?

A. Ograniczenia wiekowe hasła
B. Wymagania dotyczące minimalnej długości hasła
C. Zasady blokowania konta
D. Audyt użytkowania konta

197. Lucas poszukuje otwartego standardu opartego na XML do wymiany informacji uwierzytelniających. Które z poniższych najlepiej spełniłoby jego potrzeby?

A. SAML
B. Autoryzacja OAuth
C. RADIUS
D. NTLM

198. Joshua poszukuje protokołu uwierzytelniania, który byłby skuteczny w zatrzymaniu przechwytywania sesji. Który z poniższych byłby jego najlepszym wyborem?

A. CHAP
B. PAP
C. TACACS+
D. RADIUS

199. Firma Grega ma zdalną lokalizację, która korzysta z systemu kamer bezpieczeństwa opartego na protokole IP. W jaki sposób Greg może zapewnić, że urządzenia sieciowe w zdalnej lokalizacji mogą być zarządzane tak, jakby były urządzeniami lokalnymi, a ruch do tej zdalnej lokalizacji był bezpieczny?

A. W razie potrzeby TLS VPN
B. Zawsze włączony TLS VPN
C. Zawsze włączony IPSec VPN
D. W razie potrzeby VPN IPSec

200. Co określa standard OPAL?

A. Licencje dostępu osobistego online
B. Dyski samoszyfrujące
C. Geneza kont osobistych i bibliotek
D. Tryby odkażania napędu dla demagnetyzatorów

201. Co robi funkcja bezpiecznego rozruchu Unified Extensible Firmware Interface (UEFI)?

A. Chroni przed robakami podczas procesu uruchamiania.
B. Sprawdza sygnaturę dla każdego pliku binarnego załadowanego podczas rozruchu.
C. Sprawdza wersję systemu BIOS.
D. Wszystkie powyższe
202. Derek próbuje wybrać metodę uwierzytelniania dla swojej firmy. Potrzebuje takiego, który będzie współpracował z szeroką gamą usług, takich jak te dostarczane przez Microsoft i Google, aby użytkownicy mogli przynosić własne tożsamości. Który z poniższych byłby jego najlepszym wyborem?

A. Shibboleth
B. RADIUS
C. Połącz OpenID
D. Autoryzacja OAuth

203. Jason rozważa wdrożenie systemu zapobiegania włamaniom do sieci (IPS) i chce być w stanie wykrywać zaawansowane trwałe zagrożenia. Jaki rodzaj metody wykrywania IPS najprawdopodobniej wykryje zachowanie APT po zebraniu podstawowych informacji o normalnych operacjach?

A. Wykrycia IPS oparte na sygnaturach
B. Wykrycia IPS oparte na heurystyce
C. Wykryte złośliwe hash narzędzia IPS
204. Jaki komponent jest najczęściej używany jako podstawa sprzętowego źródła zaufania dla nowoczesnego komputera PC?

A. Procesor
B. Moduł TPM
C. HSM
D. Wykrycia IPS oparte na anomaliach

D. Dysk twardy lub SSD

205. Dennis chce wdrożyć zaporę sieciową, która umożliwia filtrowanie adresów URL. Jaki rodzaj zapory powinien wdrożyć?

A. Filtr pakietów
B. Zapora stanowa inspekcji pakietów
C. Zapora nowej generacji
D. Żadne z powyższych

206. Organizacja Waleed wykorzystuje kombinację wewnętrznie opracowanych i komercyjnych aplikacji, które wdraża na urządzeniach mobilnych używanych przez pracowników w całej firmie. Jakiego rodzaju narzędzia może użyć do obsługi kombinacji telefonów typu "przynieś własne urządzenie" i tabletów firmowych, które muszą być na nich ładowane i usuwane z nich, gdy ich użytkownicy nie są już częścią organizacji?

A. MOM
B. MLM
C. MIM
D. MAM

207. Charlene przygotowuje raport na temat najczęstszych problemów związanych z bezpieczeństwem aplikacji w chmurze. Która z poniższych sytuacji nie jest głównym problemem w przypadku aplikacji w chmurze?

A. Dostęp do komputera lokalnego prowadzący do kompromitacji
B. Błędna konfiguracja aplikacji
C. Niezabezpieczone interfejsy API
D. Włamanie na konto

208. Urząd certyfikacji, za który odpowiada Samantha, jest fizycznie odizolowany i nigdy nie jest podłączony do sieci. Po wydaniu certyfikatów są one generowane, a następnie ręcznie przesyłane za pomocą nośników wymiennych. Co to za CA i dlaczego organizacja Samanthy miałaby prowadzić CA w tym trybie?
v A. Urząd certyfikacji online; szybsze generowanie i dostarczanie certyfikatów.
B. Urząd certyfikacji offline; szybsze generowanie i dostarczanie certyfikatów.
C. Urząd certyfikacji online; zapobiega potencjalnemu ujawnieniu certyfikatu głównego urzędu certyfikacji.
D. Urząd certyfikacji offline; zapobiega potencjalnemu ujawnieniu certyfikatu głównego urzędu certyfikacji.

209. Susan skonfigurowała wirtualną sieć prywatną (VPN), aby ruch przeznaczony dla systemów w jej sieci firmowej był kierowany przez VPN, ale ruch wysyłany do innych miejsc docelowych jest wysyłany przez lokalną sieć użytkownika VPN. Jak nazywa się ta konfiguracja?

A. Pół potok
B. Pełny tunel
C. Podzielony tunel
D. Podziel horyzont

210. Adam miał problemy z użytkownikami podłączającymi kable między przełącznikami w swojej sieci, co powoduje, że systemy w sieci mają dostęp do wielu ścieżek do tych samych miejsc docelowych. W takim przypadku w sieci występują burze rozgłoszeniowe, powodujące przerwy w działaniu sieci. Jakie ustawienie konfiguracji sieci powinien włączyć na swoich przełącznikach, aby temu zapobiec?

A. Ochrona pętli

B. Zegarek burzowy
C. Porty lepkie
D. Inspekcja portu

211. Charles obawia się, że użytkownicy urządzeń z Androidem w jego firmie opóźniają aktualizacje OTA. Dlaczego Charles miałby się tym martwić i co powinien z tym zrobić?

A. OTA aktualizuje aplikacje z łatami, a agent NAC będzie raportował o wszystkich telefonach w organizacji.
B. Aktualizacje OTA aktualizują klucze szyfrowania urządzeń i są niezbędne ze względów bezpieczeństwa, a PKI śledziłoby certyfikaty i klucze szyfrowania.
C. OTA aktualizuje oprogramowanie układowe i aktualizuje konfiguracje telefonu, a narzędzie MDM dostarcza raporty dotyczące wersji oprogramowania układowego i ustawień telefonu
D. Aktualizacje OTA są wysyłane przez telefony w celu raportowania aktywności online i śledzenia, a narzędzie MDM otrzymuje aktualizacje OTA w celu monitorowania telefonów

212. Ben przygotowuje się do wdrożenia zapory sieciowej w swojej sieci i zastanawia się, czy wdrożyć zaporę typu open source, czy też zastrzeżoną zaporę komercyjną. Która z poniższych cech nie jest zaletą zapory typu open source?

A. Niższy koszt
B. Walidacja kodu wspólnotowego
C. Konserwacja i wsparcie
D. Szybkość akwizycji

213. Barbara chce wdrożyć WPA3 Personal. Która z poniższych funkcji jest głównym udoskonaleniem zabezpieczeń WPA3 w porównaniu z WPA2?

A. Monitorowanie i zapobieganie atakom DDoS
B. Bezpieczeństwo na kanał
C. Zapobieganie atakom siłowym
D. Ulepszenia z 64-bitowego do 128-bitowego szyfrowania

214. Isaac chce wdrożyć obowiązkową kontrolę dostępu na urządzeniu z systemem Android. Co może zrobić, aby to osiągnąć?

A. Uruchom Androida w trybie jednego użytkownika.
B. Użyj SEAndroida.
C. Zmień rejestr Androida na tryb MAC.
D. Zainstaluj MACDroid.

215. Greg wdrożył system, który pozwala użytkownikom na dostęp do kont takich jak administrator i root bez znajomości rzeczywistych haseł do kont. Gdy użytkownicy próbują użyć kont z podwyższonym poziomem uprawnień, ich żądanie jest porównywane z zasadami, które określają, czy żądanie powinno być dozwolone. System generuje nowe hasło za każdym razem, gdy zaufany użytkownik żąda dostępu, a następnie rejestruje żądanie dostępu. Jaki typ systemu wdrożył Greg?

A. System MAC
B. System PAM
C. System FDE
D. System TLS

216. Alaina wydała pracownikom w swoim zakładzie produkcyjnym tablety z Androidem, ale kamery są zakazane ze względu na poufne dane w budynku. Jakiego narzędzia może użyć do kontrolowania używania aparatu na wszystkich wydawanych przez nią urządzeniach firmowych w swojej organizacji?

A. MDM
B. DLP
C. OPAL
D. MMC

217. Olivia chce wymusić szeroki zakres ustawień urządzeń używanych w jej organizacji. Którą z poniższych metod powinna wybrać, jeśli podczas ustawiania musi zarządzać setkami urządzeń zasady korzystania z SMS-ów i MMS-ów, nagrywania audio i wideo, tagowania GPS i metod połączeń bezprzewodowych, takich jak tethering i tryby hotspota?

A. Użyj ustawień podstawowych automatycznie ustawianych dla każdego telefonu przed jego wdrożeniem za pomocą narzędzia do przetwarzania obrazu.
B. Wymagaj od użytkowników skonfigurowania swoich telefonów za pomocą przewodnika po blokowaniu.
C. Użyj narzędzia i aplikacji UEM do zarządzania urządzeniami.
D. Użyj narzędzia CASB do zarządzania urządzeniami.

218. John chce wdrożyć rozwiązanie, które zapewni filtrowanie treści dla aplikacji internetowych, funkcjonalność CASB, DLP i ochronę przed zagrożeniami. Jakie rozwiązanie może wdrożyć, aby zapewnić te funkcje?

A. Odwrotny serwer proxy
B. Brama VPC
C. NG SWG
D. Zapora nowej generacji

219. Brian chce ograniczyć dostęp do usługi federacyjnej korzystającej z logowania jednokrotnego w oparciu o atrybuty użytkownika i członkostwo w grupie, a także z którego członka federacji loguje się użytkownik. Która z poniższych opcji najlepiej odpowiada jego potrzebom?

A. Geolokalizacja
B. Audyt konta
C. Zasady dostępu
D. Logowanie na podstawie czasu

220. Sharif używa polecenia chmod w systemie Linux, aby ustawić uprawnienia do pliku za pomocą polecenia chmod 700 przykład.txt . Jakie uprawnienia nadał plikowi?

A. Wszyscy użytkownicy mają dostęp do zapisu w pliku.
B. Użytkownik ma pełny dostęp do pliku.
C. Wszyscy użytkownicy mają dostęp do pliku.
D. Użytkownik ma dostęp do pliku.

221. Patrick regularnie łączy się z niezaufanymi sieciami, gdy podróżuje i obawia się, że podczas przeglądania stron internetowych może zostać przeprowadzony przeciwko niemu atak on-path. Chciałby zweryfikować certyfikaty ze znanymi certyfikatami dla tych stron internetowych. Jakiej techniki może użyć do tego?
A. Sprawdź listę CRL.
B. Użyj przypinania certyfikatów.
C. Porównaj jego klucz prywatny z ich kluczem publicznym.
D. Porównaj ich klucz prywatny z kluczem publicznym.

222. Jaki jest najpopularniejszy format certyfikatów wydawanych przez urzędy certyfikacji?

A. DER
B. PFX
C. PEM
D. P7B

223. Organizacja Michelle używa certyfikatów z podpisem własnym w całej swojej wewnętrznej infrastrukturze. Po osiągnięciu kompromisu Michelle musi unieważnić jeden z samopodpisanych certyfikatów. Jak ona może to zrobić?

A. Skontaktuj się z urzędem certyfikacji i poproś o unieważnienie certyfikatu.
B. Dodaj certyfikat do listy CRL.
C. Usuń certyfikat z listy certyfikatów z białej listy z każdego komputera, który mu ufa.
D. Ponownie wystaw certyfikat, co spowoduje unieważnienie starej wersji.

224. Które z poniższych nie jest powszechnym sposobem walidacji kontroli nad domeną dla certyfikatu X.509 z walidacją domeny?

A. Zmiana rekordu DNS TXT
B. Odpowiadanie na wiadomość e-mail wysłaną do kontaktu w informacjach WHOIS domeny
C. Publikowanie kodu jednorazowego dostarczonego przez urząd certyfikacji jako części informacji o domenie
D. Zmiana adresów IP powiązanych z domeną

225. Fiona wie, że SNMPv3 zapewnia dodatkowe funkcje bezpieczeństwa, których nie zapewniały poprzednie wersje SNMP. Która z poniższych opcji nie jest funkcją bezpieczeństwa zapewnianą przez SNMPv3?

A. Zapobieganie wstrzykiwaniu SQL
B. Integralność wiadomości
C. Uwierzytelnianie wiadomości
D. Poufność wiadomości

226. Poniższy rysunek przedstawia używany serwer proxy. W tym modelu użytkowania serwer proxy odbiera żądanie połączenia, a następnie łączy się z serwerem i przekazuje pierwotne żądanie. Co to za proxy?



A. Odwrotny serwer proxy
B. Round-robin proxy
C. Proxy nowej generacji
D. Proxy przekazujące

Odpowiedzi

1. A. Podwójna kontrola, która wymaga dwóch osób do pełnienia funkcji; podzielona wiedza, która dzieli hasło lub klucz między dwie lub więcej osób; oraz oddzielenie obowiązków, które zapewnia, że pojedyncza osoba nie kontroluje ani nie nadzoruje całego procesu, wszystko to pomaga zapobiegać zagrożeniom wewnętrznym podczas zarządzania PKI. Wymaganie nowego hasła w przypadku korzystania z certyfikatu nie jest rozsądnym rozwiązaniem i wymagałoby ponownego wydania certyfikatu.

2. B. Badanie terenu to proces określania, gdzie powinny znajdować się punkty dostępu, aby zapewnić najlepszy zasięg, oraz identyfikowania istniejących źródeł zakłóceń RF, w tym istniejących już sieci bezprzewodowych i innych urządzeń, które mogą wykorzystywać to samo widmo częstotliwości radiowej. Przeprowadzając ankietę w witrynie, Naomi może pokierować rozmieszczeniem swoich punktów dostępu, a także stworzyć projekt kanału, który będzie najlepiej działał w jej organizacji.

3. B. Opcją, która najlepiej spełnia opisane powyżej potrzeby, jest PEAP, czyli Protected Extensible Authentication Protocol. PEAP opiera się na certyfikatach po stronie serwera i tunelowaniu w celu zapewnienia bezpieczeństwa komunikacji. EAP-MD5 nie jest zalecany dla sieci bezprzewodowych i nie obsługuje wzajemnego uwierzytelniania klienta bezprzewodowego i sieci. LEAP, protokół Lightweight Extensible Authentication Protocol, wykorzystuje klucze WEP do szyfrowania i nie jest zalecany ze względu na problemy z bezpieczeństwem. Wreszcie, EAP-TLS lub EAP Transport Layer Security wymaga certyfikatów zarówno na kliencie, jak i na serwerze, co powoduje większe nakłady na zarządzanie.

4. C. Ruch wschód-zachód to ruch wysyłany na boki wewnątrz sieci. Niektóre sieci skupiają narzędzia bezpieczeństwa na brzegach lub w miejscach, w których sieci łączą się, pozostawiając otwarty ruch wewnętrzny lub ruch ze wschodu na zachód. W środowiskach o zerowym zaufaniu ruch wewnętrzny nie jest uważany za godny zaufania, co zmniejsza ryzyko tego rodzaju komunikacji bocznej. Skok boczny, ruch suwakowy i wzajemne połączenia peer-to-peer zostały wymyślone na to pytanie, chociaż wzajemne połączenia mogą brzmieć podobnie do ruchu peer-to-peer, który może być boczny w wielu sieciach.

5. C. Chociaż zapobieganie podsłuchiwaniu MIME (Multipurpose Internet Mail Extensions) może brzmieć humorystycznie, podsłuchiwanie MIME może być używane w atakach typu cross-site scripting, a nagłówek X-Content-Type-Options pomaga zapobiegać podsłuchiwaniu MIME. Nagłówki HTTP zorientowane na bezpieczeństwo mogą również ustawiać opcje X-Frame, włączać ochronę przed skryptami krzyżowymi, ustawiać zasady bezpieczeństwa treści i wymagać bezpieczeństwa transportu. Nie ma jednak nagłówka "Wyłącz wstrzyknięcie SQL"!

6. C. Pakiety zarządzania urządzeniami mobilnymi (MDM) często zapewniają możliwość zarządzania treścią na urządzeniach oraz aplikacjach. Korzystanie z narzędzi do zarządzania treścią może pozwolić Charlene na udostępnianie plików, dokumentów i multimediów na urządzeniach wydawanych przez członków jej personelu. W przypadku aplikacji przydatne byłoby zarządzanie aplikacjami. Zdalne czyszczenie może usunąć dane i aplikacje z urządzenia, jeśli zostanie ono zgubione lub skradzione, albo pracownik opuści organizację. Powiadomienia push są przydatne, gdy informacje muszą zostać przekazane użytkownikowi urządzenia.

7. C. W tym scenariuszu Denny musi szczególnie upewnić się, że powstrzyma większość złośliwego oprogramowania. W takich sytuacjach zróżnicowanie dostawców jest najlepszym sposobem na wykrycie większej liczby złośliwego oprogramowania, a zainstalowanie pakietu antywirusowego (AV) innego dostawcy na serwerach takich jak serwery poczty e-mail, a następnie zainstalowanie pakietu zarządzanego na komputery PC spowoduje większość wykryć w prawie wszystkich przypadkach. Instalowanie więcej niż jednego pakietu antywirusowego w tym samym systemie jest rzadko zalecane, ponieważ często powoduje to problemy z wydajnością i konflikty między pakietami - w rzeczywistości czasami pakiety antywirusowe wykrywają inne pakiety antywirusowe ze względu na głębokie podpięcia, które umieszczają w system operacyjny do wykrywania złośliwej aktywności!

8. B. Amanda natknęła się na portal do niewoli. Portale przechwytujące przekierowują cały ruch do strony portalu, aby umożliwić portalowi zbieranie informacji lub wyświetlić samą stronę. Po spełnieniu wymagań stawianych przez portal użytkownicy mogą przeglądać Internet. Można to osiągnąć, przypisując nowy adres IP lub zezwalając połączonemu adresowi IP na dostęp do Internetu za pomocą reguły zapory lub innej podobnej metody. Wstępnie udostępnione klucze są używane w sieciach bezprzewodowych do uwierzytelniania. Bezpieczeństwo portów jest używane w sieciach przewodowych, a WPA to skrót od Wi-Fi Protected Access, podobnie jak w WPA, WPA-2 i WPA-3.

9. B. Rozszerzenia DNSSEC (Domain Name System Security Extensions) zapewniają możliwość sprawdzania poprawności danych DNS i odmowy istnienia oraz zapewniają integralność danych dla systemu DNS. Nie zapewnia kontroli poufności ani dostępności. Jeśli Charles będzie musiał je zapewnić, będzie musiał wprowadzić dodatkowe kontrole.

10. B. Google działa jako dostawca tożsamości lub IdP. IdP tworzy tożsamości dla federacji i zarządza nimi. RP to strona uzależniona, która polega na dostawcy tożsamości. SP jest dostawcą usług, a RA jest organem rejestracyjnym zaangażowanym w proces dostarczania certyfikatów kryptograficznych.

11. C. SSH lub Secure Shell to bezpieczny protokół używany do łączenia się z powłokami wiersza poleceń. SSH może być również używany do tunelowania innych protokołów, co czyni go użytecznym i często używanym narzędziem dla administratorów systemu, specjalistów ds. bezpieczeństwa i atakujących. Używanie protokołu HTTPS lub Transport Layer Security (TLS) do bezpiecznego wiersza poleceń jest rzadkie, a Telnet jest niezabezpieczonym protokołem.

12. B. Spośród dostępnych opcji tylko FIDO U2F, otwarty standard zapewniany przez Fast IDentity Online Alliance, jest standardem kluczy bezpieczeństwa. Inne standardy, które możesz napotkać, to OTP (jednorazowe hasło), SmartCard, OATH-HOTP i OpenPGP. Warto zauważyć, że OATH, inicjatywa otwartego uwierzytelniania zapewnia standardy zarówno haseł jednorazowych opartych na HMAC (HOTP), jak i TOTP lub haseł jednorazowych opartych na czasie. SAML (Security Assertion Markup Language) i OpenID są używane w procesach uwierzytelniania, ale nie w przypadku kluczy bezpieczeństwa. ARF została wymyślona na to pytanie.

13. C. Nadia powinna używać Secure/Multipurpose Internet Mail Extensions (S/MIME), które obsługują szyfrowanie asymetryczne, a następnie powinna użyć klucza publicznego Danielle do zaszyfrowania wiadomości e-mail, aby tylko Danielle mogła odszyfrować wiadomości i je odczytać. Bezpieczny POP3 chroniłby wiadomości podczas ich pobierania, ale nie chroniłby treści wiadomości między serwerami.

14. B. SRTP jest bezpieczną wersją protokołu transportu w czasie rzeczywistym i jest używany głównie do przesyłania głosu przez IP (VoIP) oraz przesyłania lub transmisji multimediów. SRTP, w obecnej formie, nie chroni w pełni pakietów, pozostawiając odsłonięte nagłówki RTP, potencjalnie ujawniając informacje, które mogą dostarczyć atakującym informacje o przesyłanych danych.

15. C. Olivia powinna uświadomić swojej organizacji, że awaria jednego z aktywnych węzłów spowoduje zmniejszenie maksymalnej przepustowości i potencjalne pogorszenie usług. Ponieważ usługi rzadko działają z maksymalną wydajnością, a wiele z nich może mieć zaplanowane okna konserwacji, nie oznacza to, że nie można załatać modułów równoważenia obciążenia. W tym projekcie nie ma nic, co sprawiałoby, że systemy równoważenia obciążenia byłyby bardziej podatne na odmowę usługi, niż byłyby w jakimkolwiek innym projekcie.

16. A. Protokół FTPS (File Transfer Protocol Secure) zazwyczaj używa portu 990 dla niejawnego FTPS, a portu 21, normalnego portu poleceń FTP, dla jawnego FTPS. Port 22 jest używany dla SSH, 433 jest używany dla Network News Transfer Protocol (NNTP), 1433 jest używany dla Microsoft SQL, a port 20 jest używany dla FTP.

17. A. Zszywanie certyfikatów umożliwia serwerowi, który przedstawia certyfikat, zapewnienie wydajniejszego sposobu sprawdzania stanu odwołania certyfikatu za pośrednictwem protokołu OCSP (Online Certificate Status Protocol) poprzez dołączenie odpowiedzi OCSP do uzgadniania certyfikatu. Zapewnia to zarówno większe bezpieczeństwo, ponieważ klienci wiedzą, że certyfikat jest ważny, jak i większą wydajność, ponieważ nie muszą wykonywać osobnego pobierania, aby sprawdzić status certyfikatu. Pozostałe opcje zostały wymyślone i nie są zszywaniem certyfikatów.

18. B. Urząd rejestracji (RA) otrzymuje wnioski o nowe certyfikaty, jak również wnioski o odnowienie istniejących certyfikatów. Mogą również otrzymywać wnioski o unieważnienie i podobne zadania. Pośredni urząd certyfikacji jest zaufany przez główny urząd certyfikacji w zakresie wystawiania certyfikatów. Lista CRL to lista unieważnionych certyfikatów.

19. C. Równoważenie obciążenia na podstawie najmniejszego połączenia uwzględnia obciążenie i wysyła następne żądanie do serwera z najmniejszą liczbą aktywnych sesji. Round robin po prostu rozdziela żądania do każdego serwera w kolejności, podczas gdy czas ważony wykorzystuje testy kondycji w celu określenia, który serwer na bieżąco odpowiada najszybciej, a następnie wysyła ruch do tego serwera. Na koniec haszowanie źródłowego adresu IP wykorzystuje źródłowy i docelowy adres IP do wygenerowania klucza skrótu, a następnie używa tego klucza do śledzenia sesji, umożliwiając ponowne przydzielenie przerwanych sesji do tego samego serwera, a tym samym kontynuację sesji.

20. A.Protokół nagłówka uwierzytelniania IPSec (AH) nie zapewnia poufności danych, ponieważ zabezpiecza tylko nagłówek, a nie ładunek. Oznacza to, że AH może zapewnić integralność i ochronę przed powtarzaniem, ale naraża resztę danych na ryzyko. Matt powinien to zauważyć i wyrazić obawy, dlaczego VPN nie korzysta z protokołu Encapsulating Security Protocol (ESP).

21. C. Michelle wie, że POP3 działa domyślnie na porcie 110 i że TLS (poprzez STARTTLS jako rozszerzenie) umożliwia klientom POP3 żądanie bezpiecznego połączenia bez konieczności używania alternatywnego portu 995 używanego w niektórych konfiguracjach. Port 25 jest domyślnym portem protokołu SMTP (Simple Mail Transfer Protocol), a protokół IKE jest używany do protokołu IPSec.

22. A. Broker bezpieczeństwa dostępu do chmury (CASB) to narzędzie programowe lub usługa, która znajduje się między siecią lokalną organizacji a infrastrukturą dostawcy chmury. CASB działa jako strażnik, umożliwiając organizacji rozszerzenie zasięgu ich polityk bezpieczeństwa na chmurę.

23. Firma A. Angeli wdrożyła wersję protokołu inicjowania sesji (SIP), która nie wykorzystuje Transport Layer Security (TLS) w celu zachowania poufności. Powinna przejść na implementację SIP Secure (SIPS), aby chronić poufność rozmów telefonicznych. Vishing lub phishing głosowy; wybieranie wojenne, które próbuje zmapować wszystkie numery do usługi telefonicznej, zwykle w celu znalezienia modemów; i odmowa usługi są mniej prawdopodobne w sieci VoIP, chociaż mogą wystąpić.

24. B. Najszybszym sposobem dla Alainy na zaimplementowanie bezpiecznego transportu dla jej ruchu Network Time Protocol (NTP) będzie zazwyczaj po prostu tunelowanie ruchu przez Secure Shell (SSH) z serwera NTP do jej systemów Linux. Konfiguracja i konserwacja wirtualnej sieci prywatnej IPSec (VPN) między urządzeniami zwykle wymaga więcej pracy, chociaż może to być skryptowe, a sieć VPN Transport Layer Security (TLS) wymagałaby dodatkowej pracy, ponieważ jest przeznaczona do obsługi ruchu internetowego. RDP to protokół pulpitu zdalnego i jest używany głównie w systemach Windows i nie byłby dobrym wyborem. Jednak w większości środowisk ruch NTP nie otrzymuje żadnych specjalnych zabezpieczeń, a źródła NTP działają bez wyjątkowych środków bezpieczeństwa.

25. D. Najbezpieczniejszą i najbezpieczniejszą odpowiedzią jest to, że Ramon powinien po prostu zaimplementować TLS dla całej witryny. Chociaż TLS wprowadza pewne obciążenie, nowoczesne systemy mogą obsługiwać dużą liczbę jednoczesnych połączeń TLS, dzięki czemu bezpieczna witryna internetowa jest łatwą odpowiedzią w prawie wszystkich przypadkach.

26. D. Chociaż adresy IP serwerów publicznych i klientów zwykle nie są uważane za wrażliwe, nazwy użytkowników, hasła i pliki, których używają kontrahenci, byłyby takie. Katie powinna rozważyć pomoc swojej organizacji w przejściu na bezpieczny FTP lub inną usługę, aby chronić klientów swojej organizacji i samą organizację.

27. D. Można włączyć podsłuchiwanie lub podsłuchiwanie protokołu DHCP (Dynamic Host Configuration Protocol), aby zapobiegać również nieuczciwym serwerom DHCP

jako złośliwy lub zniekształcony ruch DHCP. Umożliwia także przechwytywanie i zbieranie informacji o powiązaniach DHCP, aby administratorzy sieci wiedzieli, komu przypisano jaki adres IP. 28. B. Aaron może użyć certyfikatu wieloznacznego, aby objąć wszystkie hosty w zbiorze subdomen. Symbole wieloznaczne obejmują tylko jeden poziom

subdomeny jednak tak jakby kupił *. example.com, nie mógł użyć *. blog.example.com. Certyfikat z podpisem własnym spowoduje błędy dla odwiedzających i nie powinien być używany do celów produkcyjnych. Certyfikaty z podpisem własnym spowodują błędy w większości przeglądarek, dlatego nie są używane w środowiskach produkcyjnych. Certyfikaty rozszerzonej weryfikacji (EV) nie zapewnią tej funkcji, a protokół Secure Sockets Layer (SSL) nie jest już używany z przełączaniem na TLS ze względów bezpieczeństwa.

29. D. Root Guard można ustawić dla każdego portu, aby chronić porty, które nigdy nie zostaną skonfigurowane jako most główny sieci VLAN. Ponieważ nie powinno się to regularnie zmieniać, można bezpiecznie ustawić większość portów w sieci. Spanning tree służy do zapobiegania pętlom, więc wyłączenie protokołu STP zwiększyłoby prawdopodobieństwo wystąpienia tego problemu. Identyfikatory mostu nie mogą być ujemne, a BridgeProtect został wymyślony na to pytanie.

30. C. Plik w formacie wymiany informacji osobistych (PFX) jest formatem binarnym używanym do przechowywania certyfikatów serwera, a także certyfikatów pośrednich, a także może zawierać klucz prywatny serwera. Pliki Privacy Enhanced Mail (PEM) mogą zawierać wiele certyfikatów PEM i klucz prywatny, ale większość systemów przechowuje certyfikaty i klucz oddzielnie. Pliki w formacie Distinguished Encoding Rules (DER) są często używane na platformach Java i mogą przechowywać wszystkie typy certyfikatów i kluczy prywatnych. Pliki w formacie P7B lub PKCS#7 mogą zawierać tylko certyfikaty i łańcuchy certyfikatów, a nie klucze prywatne. Na potrzeby egzaminu należy również wiedzieć, że CER jest rozszerzeniem pliku formatu certyfikatu SSL używanego przez serwery internetowe w celu weryfikacji tożsamości i bezpieczeństwa danej witryny. Certyfikaty SSL są dostarczane przez zewnętrzny urząd certyfikacji zabezpieczeń, taki jak VeriSign, GlobalSign lub Thawte. Plik P12 zawiera certyfikat cyfrowy, który wykorzystuje szyfrowanie PKCS#12 (Public Key Cryptography Standard #12). Plik P12 zawiera zarówno klucz prywatny, jak i publiczny, a także informacje o właścicielu (imię i nazwisko, adres e-mail itp.), a wszystko to jest certyfikowane przez stronę trzecią. Dzięki takiemu certyfikatowi użytkownik może identyfikować się i uwierzytelniać w dowolnej organizacji, która ufa stronie trzeciej.

31. D. Zapora ma dwa rodzaje reguł. Jednym z typów jest zezwolenie na określony ruch na danym porcie. Innym rodzajem reguły jest odrzucanie ruchu. To, co jest tutaj pokazane, jest typową regułą zapory. Opcje A, B i C są nieprawidłowe. Przedstawiona reguła jest wyraźnie regułą zapory.

32. C. Wiele usług subskrypcji umożliwia pobieranie danych za pośrednictwem protokołu HTTPS. Ted może zasubskrybować jeden lub więcej źródeł informacji o zagrożeniach lub usługi reputacji, a następnie przekazać te informacje do systemu wykrywania włamań (IDS), systemu zapobiegania włamaniom (IPS), zapory nowej generacji lub podobnego narzędzia ochrony sieci. Język SAML (Security Assertion Markup Language) służy do tworzenia asercji dotyczących tożsamości i autoryzacji, VDI to środowisko pulpitu wirtualnego, a FDE to szyfrowanie całego dysku.

33. B. Bezpieczne pliki cookie to pliki cookie HTTP, które mają ustawioną flagę bezpieczeństwa, co wymaga, aby były wysyłane tylko przez bezpieczny kanał, taki jak HTTPS. Nie są one przechowywane w postaci zaszyfrowanej ani zaszyfrowanej, a klucze cookie zostały wymyślone na to pytanie.

34. D. W przeciwieństwie do trybu tunelowego IPSec, tryb transportu IPSec dopuszcza różne polityki na port. Adresy IP w zewnętrznym nagłówku pakietów w trybie transportowym są używane do określenia polityki zastosowanej do pakietu. IPSec nie ma trybu PSK, ale WPA-2 ma. Protokół IKE służy do konfigurowania skojarzeń zabezpieczeń w protokole IPSec, ale nie pozwala na ustawienie tego typu trybu.

35. A. Osobiste numery identyfikacyjne (PIN) WPS okazały się problemem w 2011 roku, kiedy zademonstrowano praktyczny atak siłowy na tryby konfiguracji PIN WPS. WPS cierpi z powodu wielu innych problemów związanych z bezpieczeństwem i nie jest używany do zabezpieczeń korporacyjnych. WPS pozostaje w użyciu w środowiskach domowych, aby ułatwić konfigurację.

36. C. Online Certificate Status Protocol (OCSP) jest używany do określenia statusu certyfikatu. RTCP, CRBL i PKCRL wszystkie zostały wymyślone na to pytanie.

37. C. Listy unieważnień certyfikatów (CRL) są przeznaczone specjalnie do unieważniania certyfikatów. Ponieważ klucze publiczne są dystrybuowane za pośrednictwem certyfikatów, jest to najskuteczniejszy sposób cofnięcia autoryzacji klucza publicznego. Opcja A jest nieprawidłowa. Zwykłe powiadamianie użytkowników, że klucz/certyfikat nie jest już ważny, nie jest skuteczne. Opcja B jest nieprawidłowa. Usunięcie certyfikatu nie zawsze jest możliwe i ignoruje możliwość istnienia duplikatu tego certyfikatu. Opcja D jest nieprawidłowa. Punkt rejestracji (RA) służy do tworzenia nowych certyfikatów, a nie do ich odwoływania.

38. C. Dane Globalnego Systemu Pozycjonowania (GPS) i dane o lokalnych sieciach Wi-Fi to dwa najczęściej używane protokoły, które pomagają aplikacjom geofencingowym określić, gdzie się znajdują. Gdy znany sygnał Wi-Fi zostanie uzyskany lub utracony, aplikacja geofencing wie, że znajduje się w zasięgu tej sieci. Dane GPS są jeszcze bardziej przydatne, ponieważ mogą działać w większości lokalizacji i dostarczać dokładne dane o lokalizacji. Chociaż Bluetooth jest czasem używany do geofencingu, jego ograniczony zasięg oznacza, że jest to trzeci wybór. Informacje komórkowe wymagałyby dokładnej triangulacji opartej na wieży, co oznacza, że nie są one zwykle używane w zastosowaniach geofencing, a USB jest oczywiście protokołem przewodowym.

39. A. Strefa zdemilitaryzowana (DMZ) to strefa pomiędzy zaporą zewnętrzną a zaporą wewnętrzną. Jest specjalnie zaprojektowany jako miejsce do lokalizacji serwerów publicznych. Zewnętrzna zapora jest bardziej liberalna, co pozwala na publiczny dostęp do serwerów w strefie DMZ. Jednak wewnętrzna zapora jest bezpieczniejsza, co uniemożliwia dostęp z zewnątrz do sieci firmowej.

40. C. Pierwszym krokiem w bezpieczeństwie jest wzmocnienie systemu operacyjnego, a jednym z najbardziej elementarnych aspektów tego jest wyłączenie niepotrzebnych usług. Dzieje się tak niezależnie od systemu operacyjnego. Chociaż instalowanie oprogramowania chroniącego przed złośliwym oprogramowaniem, wdrażanie zasad użytkowania i ustawianie zasad ponownego użycia haseł to dobre praktyki, wyłączenie zbędnych usług jest zazwyczaj pierwszym krokiem do zabezpieczenia systemu.

41. C. Uwierzytelnianie oparte na wiedzy wymaga informacji, które prawdopodobnie zna tylko użytkownik. Przykłady obejmują takie rzeczy, jak poprzednie płatności podatków, kwoty rachunków i podobne informacje. Żądanie numeru ubezpieczenia społecznego jest mniej bezpieczne i działa tylko w przypadku użytkowników w Stanach Zjednoczonych. Tożsamość federacyjna za pośrednictwem kont Google nie spełnia tej potrzeby, ponieważ konta Google nie wymagają weryfikacji użytkownika. Wreszcie e-maile weryfikacyjne dowodzą jedynie, że użytkownik ma dostęp do podanego przez niego konta, a nie że jest konkretną osobą.

42. A. Transport Layer Security (TLS) VPN jest często wybierany, gdy ważna jest łatwość użytkowania, a aplikacje internetowe są podstawowym trybem użytkowania. Sieci VPN IPSec są używane do sieci VPN typu site-to-site oraz do celów, w których mogą być potrzebne inne protokoły, ponieważ sprawiają one, że system końcowy wydaje się znajdować w sieci zdalnej.

43. A. Szyfrowanie całego dysku (FDE) w pełni szyfruje dysk twardy komputera. Jest to skuteczna metoda zapewnienia bezpieczeństwa danych na komputerze. Moduły Trusted Platform Module (TPM) to klucze do przechowywania, które są używane do integralności rozruchu i innych potrzeb kryptograficznych i nie chronią bezpośrednio danych. Sieć definiowana programowo (SDN) to sieć zwirtualizowana, a strefy zdemilitaryzowane (DMZ) służą do segmentacji sieci i nie wpływają na ten problem.

44. A. Strefa DMZ (strefa zdemilitaryzowana) zapewnia ograniczony dostęp do publicznych serwerów użytkownikom zewnętrznym, ale blokuje użytkownikom zewnętrznym dostęp do systemów w sieci LAN. Powszechną praktyką jest umieszczanie serwerów internetowych w strefie DMZ. Wirtualna sieć LAN lub VLAN jest najczęściej używana do segmentacji sieci wewnętrznej, routery kierują ruch na podstawie adresu IP, a sieć gościnna umożliwia użytkownikom wewnętrznym, którzy nie są pracownikami, uzyskanie dostępu do Internetu.

45. D. Atrybuty tożsamości są cechami tożsamości, w tym takimi szczegółami jak data urodzenia, wiek, stanowisko, adres lub wiele innych szczegółów dotyczących tożsamości. Służą do odróżnienia tożsamości od innych i mogą być również używane przez system zarządzania tożsamością lub połączone systemy w koordynacji z samą tożsamością. Role opisują pracę lub stanowisko, jakie dana osoba ma w organizacji, a czynniki to coś, co znasz, coś, co masz lub coś, czym jesteś. Identyfikatory nie są powszechnym terminem związanym z bezpieczeństwem lub uwierzytelnianiem, chociaż tożsamość jest.

46. D. CN lub nazwa zwyczajowa certyfikatu systemu jest zwykle w pełni kwalifikowaną nazwą domeny (FQDN) serwera. Gdyby Megan prosiła o certyfikat dla siebie, zamiast o serwer, użyje swojego pełnego imienia i nazwiska.

47. B. Fizyczne podział sieci jest fizycznym odpowiednikiem wirtualnej sieci LAN lub VLAN. Sieć VLAN została zaprojektowana do emulacji partycjonowania fizycznego. Zabezpieczenia obwodowe nie segmentują sieci. Strefy bezpieczeństwa są przydatne, ale same nie segmentują sieci. Często sieć jest podzielona na segmenty przy użyciu partycji fizycznych lub sieci VLAN w celu utworzenia stref bezpieczeństwa. Zapora ma blokować określony ruch, a nie segmentować sieć, chociaż zapora może być częścią implementacji segmentacji lub strefy bezpieczeństwa.

48. D. Nelson używa narzędzia do tworzenia białej listy (lub listy dozwolonych). Narzędzia takie jak to umożliwiają instalowanie i uruchamianie tylko określonych aplikacji w systemie i często używają skrótów znanych dobrych aplikacji, aby upewnić się, że są to aplikacje dozwolone. Narzędzie do czarnej listy (lub zablokowanych list) uniemożliwia korzystanie, przechowywanie lub pobieranie do systemu określonych aplikacji lub plików. Chociaż narzędzia antywirusowe i chroniące przed złośliwym oprogramowaniem mogą mieć podobne funkcje, najdokładniejszą odpowiedzią jest tutaj biała lista.

49. B. Zapora kontroli stanowej sprawdza zawartość i kontekst każdego napotkanego pakietu. Oznacza to, że zapora sieciowa z inspekcją pakietów stanowych (SPI) rozpoznaje poprzednie pakiety, które przyszły z tego samego adresu IP, a tym samym kontekst komunikacji. To sprawia, że niektóre ataki, takie jak SYN flood, są prawie niemożliwe. Zapory filtrujące pakiety sprawdzają każdy pakiet, ale nie kontekst. Zapory warstwy aplikacji mogą używać SPI lub prostego filtrowania pakietów, ale ich podstawową rolą jest badanie problemów specyficznych dla aplikacji. Typowym przykładem jest zapora aplikacji internetowej. Zapora bramy to po prostu zapora na bramie sieci. Nie mówi nam to, czy jest to filtrowanie pakietów, czy SPI.

50. A. Mapy popularności sieci bezprzewodowych służą do pokazania, jak silne są sygnały sieci bezprzewodowej w całym budynku lub lokalizacji. Scott może użyć mapy cieplnej takiej jak ta, aby zobaczyć, gdzie sygnał bezprzewodowy spada lub gdzie mogą wystąpić zakłócenia. Diagram sieci pokazywałby logiczny układ sieci. Strefa zdemilitaryzowana (DMZ) to strefa zabezpieczeń sieci, która jest narażona na region o wyższym ryzyku, a mapa stref nie jest powszechnym terminem zabezpieczeń.

51. B. Strefa zdemilitaryzowana (DMZ) to oddzielna podsieć wychodząca z oddzielnego interfejsu routera. Ruch publiczny może przechodzić z zewnętrznego interfejsu publicznego do strefy DMZ, ale nie może przechodzić do interfejsu łączącego się z wewnętrzną siecią prywatną. Sieć gości zapewnia odwiedzającym dostęp do Internetu. Intranet składa się z wewnętrznych zasobów sieciowych. Często firmy umieszczają strony internetowe, które są dostępne tylko z poziomu sieci dla takich elementów, jak powiadomienia o zasobach ludzkich, prośby o urlop i tak dalej. Wirtualna sieć LAN lub VLAN służy do segmentacji sieci wewnętrznej.

52. C. Aplikacja zawiera techniki sprawdzania poprawności danych wejściowych, które są używane w celu zapewnienia, że nieoczekiwane lub złośliwe dane wejściowe nie spowodują problemów z aplikacją. Techniki sprawdzania poprawności danych wejściowych usuwają znaki kontrolne, sprawdzają poprawność danych i wykonują wiele innych działań w celu wyczyszczenia danych wejściowych przed ich przetworzeniem przez aplikację lub przechowywaniem do wykorzystania w przyszłości. Ta walidacja może pomóc w zapobieganiu przepełnieniu bufora, ale inne opisane tutaj techniki nie są używane do zapobiegania przepełnieniu bufora. Wstrzykiwanie ciągów jest w rzeczywistości czymś, co pomaga zapobiegać, a walidacja schematu sprawdza dane, aby upewnić się, że żądania pasują do schematu, ale znowu jest to węższy opis niż szeroki zakres walidacji danych wejściowych występujących w opisie.

53. C. WPA3 obsługuje SAE lub jednoczesne uwierzytelnianie równych, zapewniając bezpieczniejszy sposób uwierzytelniania, który ogranicza możliwość ataków typu brute-force i umożliwia osobom korzystanie z różnych haseł. WPA nie jest tak bezpieczny jak WPA2, a WEP jest najstarszym i najmniej bezpiecznym protokołem bezpieczeństwa bezprzewodowego.

54. A. Aby zatrzymać ruch ataków, IPS musi zostać wdrożony w linii. Wdrożenia korzystające z podsłuchu sieciowego otrzymują kopię danych bez udziału w ruchu, co czyni je idealnymi do wykrywania, ale uniemożliwia zatrzymanie ruchu. Wdrożenie jako systemu wykrywania włamań (IDS) zamiast IPS oznacza, że system będzie tylko wykrywał, a nie zatrzymywał ataki.

55. B. Prawidłową odpowiedzią jest użycie środowiska piaskownicy do przetestowania złośliwego oprogramowania i określenia jego pełnej funkcjonalności. System w trybie piaskownicy może być odizolowaną maszyną wirtualną (VM) lub rzeczywistą maszyną fizyczną całkowicie odizolowaną od sieci. Pozostawienie złośliwego oprogramowania w systemie produkcyjnym nigdy nie jest właściwym podejściem. Powinieneś przetestować lub przeanalizować złośliwe oprogramowanie, aby dokładnie określić, czym jest alware, co pozwoli ci odpowiednio zareagować na zagrożenie. Honeypot służy do wabienia i łapania napastników, a nie do testowania złośliwego oprogramowania.

56. B. Utwardzanie to proces poprawy bezpieczeństwa systemu operacyjnego lub aplikacji. Jedną z podstawowych metod wzmacniania zaufanego systemu operacyjnego jest eliminacja niepotrzebnych protokołów. Jest to również znane jako tworzenie bezpiecznej linii bazowej, która umożliwia bezpieczne i bezpieczne działanie systemu operacyjnego. FDE to pełne szyfrowanie dysku, dysk SED to dysk samoszyfrujący, a podstawą jest proces ustanawiania standardów bezpieczeństwa.

57. C. Chociaż zaufanie do witryny prawdopodobnie zmniejszy się, ponieważ użytkownicy będą otrzymywać ostrzeżenia, rzeczywiste możliwości szyfrowania nie ulegną zmianie. Użytkownicy nie będą przekierowywani do witryny urzędu certyfikacji, a jeśli klikną poza ostrzeżeniami, będą mogli kontynuować normalne i szyfrowane połączenie.

58. D. Isaac wie, że ufanie, że systemy klienckie są bezpieczne, nie jest dobrym pomysłem, a zatem zapewnienie, że walidacja odbywa się na zaufanym kliencie, nie jest odpowiednią rekomendacją. Zapewnienie, że walidacja odbywa się na zaufanym serwerze, że dane klienta są weryfikowane oraz że typy i zakresy danych są rozsądne, to dobre, zalecane przez niego praktyki.

59. C. Trusted Platform Modules (TPM) zapewniają generator liczb losowych, możliwość generowania kluczy kryptograficznych, obsługę zdalnej atestacji w ramach procesu rozruchu, a także możliwości wiązania i uszczelniania. Nie działają one jako procesory kryptograficzne w celu przyspieszenia ruchu Secure Sockets Layer (SSL) lub Transport Layer Security (TLS).

60. B. Haszowanie jest powszechnie stosowane w bazach danych w celu zwiększenia szybkości indeksowania i wyszukiwania, ponieważ zazwyczaj szybsze jest wyszukiwanie zaszyfrowanego klucza niż oryginalnej wartości przechowywanej w bazie danych. Hashing nie jest formą szyfrowania, co oznacza, że nie jest używany do szyfrowania przechowywanych danych. Hashing nie służy do zaciemniania danych lub zastępowania danych wrażliwych.

61. C. Prawidłowa odpowiedź to zezwolenie tylko na ładowanie podpisanych komponentów w przeglądarce. Podpisywanie kodu weryfikuje twórcę składnika (takiego jak składnik ActiveX), dzięki czemu złośliwe oprogramowanie jest znacznie mniej prawdopodobne. Chociaż oprogramowanie antymalware oparte na hoście jest dobrym pomysłem, nie jest najlepszym lekarstwem na to konkretne zagrożenie. Czarne listy nie mogą obejmować wszystkich zainfekowanych witryn - tylko tych, o których wiesz. A biorąc pod uwagę, że użytkownicy w sieci Hansa odwiedzają wiele stron internetowych, czarna lista prawdopodobnie będzie nieskuteczna. Wreszcie, jeśli zablokujesz całą aktywną zawartość, wiele stron internetowych będzie całkowicie bezużytecznych.

62. B. Zarmeena wdrożyła metodę uwierzytelniania z kluczem wstępnym, czyli PSK. Oznacza to, że jeśli musi zmienić klucz, ponieważ członek personelu odchodzi, będzie musiała zaktualizować hasło na każdym urządzeniu. W przypadku większych wdrożeń uwierzytelnianie korporacyjne może łączyć się z usługą uwierzytelniania i autoryzacji, umożliwiając każdemu użytkownikowi samodzielne uwierzytelnienie. Daje to również administratorom sieci możliwość identyfikacji poszczególnych urządzeń przez ich uwierzytelnionego użytkownika. Sieci otwarte nie wymagają uwierzytelniania, chociaż portal przechwytujący może wymagać od użytkowników sieci dostarczenia informacji przed połączeniem się z Internetem.

63. A. EAP-FAST jest specjalnie zaprojektowany dla organizacji, które chcą szybko zakończyć ponowne połączenia i nie wymagają instalowania certyfikatów na urządzeniu końcowym. EAP Tunneled Transport Layer Security (EAP-TTLS) wymaga certyfikatów po stronie klienta; EAP-TLS wymaga wzajemnego uwierzytelniania, które może być wolniejsze; i Protected Extensible Authentication Protocol (PEAP) jest podobny do EAP-TTLS.

64. A. Poprawną odpowiedzią jest wdrożenie infrastruktury wirtualnego pulpitu (VDI). Jeśli wszystkie komputery stacjonarne są zwirtualizowane, możesz zarządzać poprawkami, konfiguracją i instalacją oprogramowania z jednej centralnej lokalizacji. Ta pojedyncza implementacja rozwiąże wszystkie problemy wymienione w pytaniu. Restrykcyjne zasady są dobrym pomysłem, ale często są trudne do wyegzekwowania. Stacje robocze do przetwarzania obrazu będą miały wpływ tylko na ich pierwotną konfigurację; nie będzie ich załatać ani uniemożliwić instalacji fałszywego oprogramowania. Wreszcie, silne zarządzanie poprawkami rozwiąże tylko jeden z trzech problemów.

65. B. Wdrażanie w wielu lokalizacjach jest częścią strategii wysokiej dostępności, która zapewnia, że utrata centrum danych lub centrów danych w jednym regionie lub utrata łączności sieciowej z tym regionem nie spowoduje awarii infrastruktury. Nie zapewnia to większej odporności na ataki wewnętrzne, niższych kosztów ani różnorodności dostawców.

66. B. VPN oparty na TLS (często nazywany VPN oparty na SSL, mimo że SSL jest przestarzały) zapewnia użytkownikom najłatwiejszy sposób korzystania z VPN, ponieważ nie wymaga klienta. Sieci SSL VPN działają również tylko dla określonych aplikacji, a nie sprawiają, że system wygląda tak, jakby był w całości w sieci zdalnej. HTML5 nie jest technologią VPN, ale niektóre portale VPN mogą być budowane przy użyciu HTML5. SAML (Security Assertion Markup Language) nie jest technologią VPN. Sieci VPN IPSec wymagają klienta lub konfiguracji, a zatem w większości przypadków są trudniejsze dla użytkowników końcowych.

67. C. Te konkretne ataki na aplikacje internetowe są najlepiej łagodzone przez odpowiednią walidację danych wejściowych. Należy sprawdzić wszelkie dane wprowadzone przez użytkownika dla wskaźników cross-site scripting (XSS) lub SQL injection. Obsługa błędów jest zawsze ważna, ale nie złagodzi tych konkretnych problemów. Procedury składowane mogą być dobrym sposobem na zapewnienie standaryzacji poleceń SQL, ale to nie zapobiegnie tym atakom. Podpisywanie kodu jest używane w przypadku kodu pobieranego z aplikacji internetowej na komputer kliencki; służy do ochrony klienta, a nie aplikacji internetowej.

68. C. Isaac może skonfigurować strefę geofence definiującą jego budynki korporacyjne i kampus. Następnie może skonfigurować politykę geofence, która pozwoli urządzeniom działać tylko wtedy, gdy znajdują się w tym obszarze geofence. Zarządzanie poprawkami, filtrowanie IP i ograniczenia sieciowe nie są do tego odpowiednimi rozwiązaniami.

69. B. Fuzzing to technika polegająca na tym, że tester celowo wprowadza nieprawidłowe wartości do pól wejściowych, aby zobaczyć, jak aplikacja sobie z tym poradzi. Narzędzia do statycznej analizy kodu po prostu skanują kod w poszukiwaniu znanych problemów, tworzenie linii bazowych to proces ustanawiania standardów bezpieczeństwa, a kontrola wersji po prostu śledzi zmiany w kodzie - nie testuje kodu.

70. B. Chociaż sprzętowe moduły bezpieczeństwa (HSM) zapewniają wiele funkcji kryptograficznych, nie są używane do potwierdzania rozruchu. Moduł TPM (Trusted Platform Module) służy do potwierdzania bezpiecznego rozruchu.

71. A. Cynthia powinna wdrożyć karty RFID (Radio Frequency Identifier), które można odczytać za pomocą czytników zbliżeniowych. Technologia RFID jest powszechna i stosunkowo niedroga, ale bez dodatkowego uwierzytelnienia posiadanie karty jest jedynym sposobem ustalenia, czy ktoś ma prawo dostępu do budynku lub pomieszczenia. Wi-Fi nie jest używane w przypadku kart zbliżeniowych ze względu na zużycie energii i obciążenie. Magstrips wymagają czytnika, a nie bycia zbliżeniowym, a HOTP jest formą systemu haseł jednorazowych.

72. B. Oba algorytmy ograniczania szybkości i wycofywania ograniczają szybkość wykonywania zapytań. Wymaganie uwierzytelniania ograniczyłoby dostęp do katalogu. Wymaganie protokołu LDAPS (Lightweight Directory Access Protocol over SSL) nie zapobiega wyliczaniu, ale zapewnia bezpieczeństwo odpytywanych informacji podczas przesyłania ich przez sieci.

73. D. Certyfikat SAN lub alternatywna nazwa podmiotu umożliwia ochronę wielu nazw hostów za pomocą tego samego certyfikatu. Nie jest to rodzaj certyfikatu dla systemów pamięci masowej SAN. Certyfikat SAN może być samopodpisany, ale to nie czyni go certyfikatem SAN i oczywiście organizacja bezpieczeństwa SANS nie jest urzędem certyfikacji.

74. A. Prawidłową odpowiedzią jest przypisanie certyfikatów cyfrowych uprawnionym użytkownikom i wykorzystanie ich do ich uwierzytelnienia podczas logowania. Jest to skuteczny sposób na zapewnienie, że tylko autoryzowani użytkownicy mogą uzyskać dostęp do aplikacji. Chociaż wszystkie pozostałe opcje są dobrymi środkami bezpieczeństwa, nie są najlepszym sposobem uwierzytelnienia klienta i zapobiegania nieautoryzowanemu dostępowi do aplikacji.

75. D. Prawidłowa odpowiedź to pierwsze łatki testowe. Zawsze jest możliwe, że łatka może powodować problemy w jednej lub kilku bieżących aplikacjach. Jest to szczególnie problem w przypadku aplikacji, które mają dużo interakcji z systemem operacyjnym hosta. Poprawka systemu operacyjnego może uniemożliwić prawidłowe działanie aplikacji. Ale jak tylko łatki zostaną przetestowane, powinno rozpocząć się stopniowe wprowadzanie do firmy. Automatyczne instalowanie poprawek nie jest zalecane w środowiskach korporacyjnych, ponieważ poprawka może kolidować z jedną lub kilkoma aplikacjami - w ten sposób wdrażany jest zarządzany proces wdrażania poprawek, który wymaga więcej czasu administracyjnego, ale pozwala uniknąć przestojów spowodowanych poprawkami z problemami w określonym środowisku organizacji. Posiadanie przez indywidualnych użytkowników łatania własnych maszyn jest złym pomysłem i prowadzi do niespójnego łatania i stosowania nieprzetestowanych łatek. Delegowanie zarządzania poprawkami do menedżerów zamiast do personelu IT może również prowadzić do problemów ze względu na różne umiejętności i praktyki.

76. B. Chociaż analizatory sieci bezprzewodowej dostarczają szczegółowych informacji na temat identyfikatorów zestawu usług (SSID), siły sygnału i wersji protokołu, usługa zdalnego uwierzytelniania użytkownika telefonowania (RADIUS) lub numer wersji protokołu Kerberos dla serwerów uwierzytelniania zaplecza nie są czymś które zazwyczaj będą w stanie zapewnić.

77. B. Poprawną odpowiedzią jest wyłączenie zdalnego dostępu do takich urządzeń, który nie jest absolutnie potrzebny. Wiele urządzeń peryferyjnych jest wyposażonych w SSH (Secure Shell), Telnet lub podobne usługi. Jeśli ich nie używasz, wyłącz je. Wiele urządzeń peryferyjnych nie ma dysków do zaszyfrowania, co sprawia, że szyfrowanie całego dysku (FDE) jest mniej użytecznym wyborem. Testowanie Fuzz służy do testowania kodu, a nie urządzeń, a urządzenia peryferyjne w większości przypadków nie obsługują certyfikatów cyfrowych.

78. C. Ręczny przegląd kodu jest rodzajem statycznego przeglądu kodu, w którym recenzenci czytają kod źródłowy w celu znalezienia błędów w kodzie. Dynamiczny przegląd kodu wymaga uruchomienia kodu, testowanie Fagana jest formalnym procesem przeglądu kodu, który działa w wielu fazach procesu rozwoju, a fuzzing jest formą dynamicznej inspekcji, która wysyła nieoczekiwane wartości do działającego programu.

79. C. Samantha powinna umieścić swój publiczny klucz SSH w katalogu .ssh w swoim katalogu domowym na zdalnym serwerze. Klucze prywatne nigdy nie powinny znajdować się poza twoją kontrolą i w przeciwieństwie do wielu konfiguracji Linuksa klucze SSH nie są przechowywane w katalogu /etc/.

80. C. Poprawną odpowiedzią jest zastosowanie statycznej analizy kodu. Wycieki pamięci są zwykle spowodowane brakiem cofnięcia alokacji pamięci, która została przydzielona. Statyczny analizator kodu może sprawdzić, czy wszystkie polecenia alokacji pamięci ( malloc , alloc , itp.) mają pasujące polecenie cofania alokacji. Fuzzing polega na wprowadzaniu danych, które wykraczają poza oczekiwane wartości, aby zobaczyć, jak aplikacja je obsługuje. Testy obciążeniowe obejmują testowanie, jak system radzi sobie z ekstremalnymi obciążeniami. Normalizacja to technika deduplikacji bazy danych.

81. D. Load balancery zapewniają wirtualny adres IP lub VIP. Ruch wysyłany do VIP jest kierowany do serwerów w puli na podstawie schematu równoważenia obciążenia, w którym ta pula często używa schematu round-robin, ale inne wersje, które obejmują kolejność priorytetów i śledzenie pojemności lub oceny, są również powszechne. Adres IP modułu równoważenia obciążenia jest zwykle używany do administrowania systemem, a poszczególne adresy IP hostów w klastrze są osłonięte przez moduł równoważenia obciążenia, aby zapobiec ciągłemu kierowaniu ruchu do tych hostów, co powoduje awarię lub punkt obciążenia.

82. D. W dobrze zaimplementowanym schemacie haszowania haseł, unikatowe losowe bity zwane solami są dodawane do każdego hasła przed ich zaszyfrowaniem. To sprawia, że generowanie tęczowej tabeli lub w inny sposób wymuszających brutalne skróty dla wszystkich haseł przechowywanych w bazie danych jest niezwykle czasochłonne. Pozostałe opcje zostały wymyślone i nie stanowią faktycznych warunków zabezpieczenia.

83. A. Prawidłowa odpowiedź to użycie Secure Shell (SSH). Ten protokół jest szyfrowany. SSH również uwierzytelnia użytkownika za pomocą kryptografii klucza publicznego. Telnet jest niezabezpieczony i nie szyfruje danych. RSH, czyli Remote Shell, wysyła przynajmniej niektóre dane w postaci niezaszyfrowanej i jest również niezabezpieczone. Protokół SNMP lub Simple Network Management Protocol służy do zarządzania siecią i nie jest używany do komunikacji zdalnej.

84. A. Zasady oparte na zasobach są dołączone do zasobów i określić, kto ma dostęp do zasobu, takiego jak grupa administratorów systemu lub deweloperów, i jakie akcje mogą wykonać na zasobie. Usługi w chmurze mają różne warunki monitorowania wykorzystania zasobów; warunki te mogą się różnić w zależności od usługi.

85. A. W wielu centrach danych wdrożono urządzenia z czujnikami sieciowymi w celu gromadzenia informacji o temperaturze i wilgotności w ramach systemu monitorowania środowiska. Systemy wykrywania i gaszenia pożaru nie są zwykle montowane w szafach, a jakość i niezawodność zasilania mierzy się za pomocą PDU (jednostek dystrybucji zasilania), UPS (zasilanie bezprzerwowe) i innej infrastruktury zasilania.

86. C. Domyślnym portem bezpiecznego protokołu IMAP jest TCP 993. Laurel może łatwo odgadnąć, że system oferuje wersję protokołu IMAP chronioną TLS dla klientów używanych do pobierania wiadomości e-mail. Domyślny port dla bezpiecznego POP to 995, a dla bezpiecznego SMTP domyślny port to 587. S/MIME nie ma określonego portu, ponieważ służy do szyfrowania treści wiadomości e-mail.

87. C. Sieci bezprzewodowe ad hoc działają w topologii punkt-punkt. Punkty dostępu w trybie infrastruktury działają w topologii punkt-wielopunkt. Modele gwiazda i magistrala są używane w sieciach przewodowych.

88. C. Tylko użycie kodu podpisanego cyfrowo weryfikuje twórcę oprogramowania. Na przykład, jeśli sterownik drukarki/urządzenia wielofunkcyjnego (MFD) jest podpisany cyfrowo, daje to pewność, że rzeczywiście jest to sterownik drukarki od dostawcy, od którego rzekomo pochodzi, a nie złośliwe oprogramowanie podszywające się pod sterownik drukarki. Podpisane oprogramowanie daje dużą pewność, że nie jest złośliwym oprogramowaniem, ale nie daje gwarancji. Na przykład niesławny wirus Flame został podpisany zhakowanym cyfrowym certyfikatem Microsoft. Cyfrowe podpisywanie oprogramowania nie ma wpływu na zarządzanie poprawkami. Wreszcie oprogramowanie podpisane cyfrowo nie będzie działać szybciej ani wolniej niż oprogramowanie niepodpisane.

89. D. Egzamin Security+ odnosi się do menedżerów haseł jako do skarbców haseł. Samantha powinna polecić magazyn haseł, który pozwoli jej użytkownikom generować, przechowywać i używać wielu haseł bezpieczeństwa. Żadna z pozostałych opcji nie jest dobrą radą do używania i przechowywania haseł.

90. A. Filtry bezpieczeństwa portów według adresu MAC, umożliwiające łączenie się z portem adresów MAC z białej listy i blokowanie adresów MAC z czarnej listy. Zabezpieczenia portów mogą być statyczne, wykorzystujące z góry określoną listę lub dynamicznie zezwalające na połączenie określonej liczby adresów, lub mogą być uruchamiane w trybie kombinowanym, zarówno statycznym, jak i dynamicznym.

91. C. Nagłówki uwierzytelniania (AH) zapewniają kompletny pakiet integralność, uwierzytelnianie pakietu i nagłówka. Nagłówki uwierzytelniania w ogóle nie zapewniają żadnego szyfrowania, a nagłówki uwierzytelniania uwierzytelniają cały pakiet, a nie tylko nagłówek.

92. B. Implementacja systemu DNS o dzielonym horyzoncie wdraża odrębne serwery DNS dla dwóch lub więcej środowisk, zapewniając, że te środowiska otrzymują informacje DNS odpowiednie do widoku DNS, który powinni otrzymywać ich klienci. Rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) to zestaw specyfikacji zabezpieczeń DNS, który pomaga chronić dane DNS. DMZ DNS i proxy DNS nie są wzorcami projektowymi ani typowymi terminami używanymi w dziedzinie bezpieczeństwa lub sieci.

93. A. Podsłuchy sieciowe kopiują cały ruch do innego miejsca docelowego, umożliwiając widoczność ruchu bez wbudowanego urządzenia. Są to całkowicie pasywne metody kierowania ruchu sieciowego do centralnej lokalizacji. Dublowanie portów przeniesie cały ruch do sieciowego systemu zapobiegania włamaniom (NIPS), ale nie jest całkowicie pasywne. Wymaga użycia zasobów na przełącznikach do kierowania kopii ruchu. Nieprawidłowe konfiguracje przełączników mogą powodować zapętlenie. Skonfigurowanie wykrywania pętli może zapobiec zapętleniu portów. Umieszczenie sieci IPS w każdym segmencie może być bardzo kosztowne i wymagać rozległych prac konfiguracyjnych. Opcja D jest nieprawidłowa. To nie jest zadanie. Skonfigurowanie NIPS w każdym segmencie również znacznie zwiększyłoby wysiłki administracyjne.

94. C. Federacja RADIUS pozwala organizacjom zezwolić użytkownikom z innych organizacji partnerskich na uwierzytelnianie w ich systemach domowych, a następnie na dostęp do sieci organizacji lokalnej. Przykładem tego jest federacja eduroam wykorzystywana przez instytucje szkolnictwa wyższego w celu umożliwienia studentom, wykładowcom i personelowi korzystania z sieci uczelni wszędzie tam, gdzie jest eduroam. Wstępnie udostępnione klucze są określane przez organizację lokalizacji i nie pozwalają na używanie poświadczeń przedsiębiorstwa z innych organizacji. OpenID jest używany do uwierzytelniania internetowego, a 802.11q jest protokołem trunkingowym.

95. C. Uwierzytelnianie kontekstowe może uwzględniać informacje takie jak geolokalizacja, aby zapewnić, że urządzenia mogą być zalogowane tylko wtedy, gdy znajdują się w granicach obiektu. Oznacza to, że urządzenia będą przydatne tylko na miejscu i mogą pomóc w ochronie danych i aplikacji na urządzeniach. Ani kody PIN, ani dane biometryczne nie są w stanie tego zrobić, a uwierzytelnianie zależne od treści zostało wymyślone na to pytanie.

96. B. TPM lub Trusted Platform Module to bezpieczny kryptoprocesor używany do zapewnienia sprzętowego źródła zaufania dla systemów. Umożliwiają one bezpieczne uruchamianie i poświadczanie rozruchu i obejmują generator liczb losowych, możliwość generowania kluczy kryptograficznych do określonych zastosowań oraz możliwość wiązania i pieczętowania danych używanych w procesach obsługiwanych przez moduł TPM.

97. B. Internetowa wymiana kluczy (IKE) jest używana do ustanawiania skojarzeń bezpieczeństwa (SA) na każdym końcu tunelu. Stowarzyszenia bezpieczeństwa mają wszystkie ustawienia (tj. algorytmy kryptograficzne, skróty) dla tunelu. IKE nie jest bezpośrednio zaangażowany w szyfrowanie ani uwierzytelnianie. Sam IKE nie ustanawia tunelu - ustanawia SA.

98. A. Certyfikat główny to podstawowy certyfikat, który podpisuje cały łańcuch certyfikatów. Powszechną praktyką bezpieczeństwa mającą na celu ochronę tych niezwykle ważnych certyfikatów jest utrzymywanie certyfikatu głównego i urzędu certyfikacji w trybie offline, aby zapobiec potencjalnemu włamaniu lub ujawnieniu. Certyfikaty komputera/komputera, użytkownika i poczty e-mail są wdrażane i używane w całej organizacji, a ponieważ są często używane, prawdopodobnie nie będą utrzymywane w trybie offline.

99. A. NIPS nie widzi ruchu w tym segmencie sieci. Implementując dublowanie portów, ruch z tego segmentu może być kopiowany do segmentu, w którym zainstalowany jest NIPS. Zainstalowanie sieciowego IPS w segmencie wymagałoby dodatkowych zasobów. To by zadziałało, ale nie jest to najskuteczniejsze podejście. Nic w tym scenariuszu nie sugeruje, że NIPS jest niewystarczający. Po prostu nie widzi całego ruchu. Wreszcie odizolowanie segmentu od własnej sieci VLAN spowodowałoby odizolowanie tego segmentu sieci, ale nadal nie pozwoliłoby NIPS na analizę ruchu z tego segmentu.

100. B. Tokenizacja służy do ochrony danych poprzez zastępowanie tokenami danych wrażliwych bez zmiany długości lub typu danych. Dzięki temu bazy danych mogą obsługiwać dane w taki sam sposób, jak przed tokenizacją, zapewniając, że istniejące oprogramowanie nie napotka problemów z powodu zmiany danych. Szyfrowanie zapewnia podobną ochronę, ale zwykle zmienia długość danych, typ danych lub oba te elementy. Haszowanie jest jednokierunkowe, co oznacza, że nie jest dobrym rozwiązaniem w wielu scenariuszach, w których tokenizacja lub szyfrowanie będą chronić dane. Rotacja nie jest zabezpieczeniem stosowanym przy tego typu pracy.

101. A. Elenora może wdrożyć agregator logów w każdej lokalizacji, aby zbierać i agregować logi. Systemy zbierania i agregacji dzienników mogą następnie filtrować niepotrzebne wpisy dzienników, kompresować dzienniki i przekazywać żądane dzienniki do centralnego systemu bezpieczeństwa, takiego jak system zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) lub inne narzędzie do zbierania i analizy dzienników. Honeypot działa jak pożądany cel, wabiąc atakujących do przechwytywania danych o ich atakach. Host bastionu jest zaprojektowany do odpierania ataków i zwykle zapewnia pojedynczą usługę w sieci, w której się znajduje.

102. D. Fuzzing to zautomatyzowana, dynamiczna technika testowania oprogramowania, która wysyła nieoczekiwane i często nieprawidłowe dane do programu w celu przetestowania jego reakcji. Oprogramowanie jest monitorowane, aby zobaczyć, jak reaguje na dane wejściowe, zapewniając dodatkową pewność, że program ma wbudowaną odpowiednią obsługę błędów i walidację danych wejściowych. Timeboxing to zwinna technika zarządzania projektami; przepełnienia bufora mogą wystąpić w ramach fuzzingu, ale nie są to jedyna technika używana lub opisana tutaj; a sprawdzanie poprawności danych wejściowych może pomóc w powstrzymaniu fuzzingu przed powodowaniem problemów w aplikacji, zapobiegając przyjmowaniu danych spoza zakresu lub niechcianych danych.

103. B. Śledzenie protokołu DHCP (Dynamic Host Configuration Protocol) można skonfigurować na przełącznikach, aby monitorować i zatrzymywać nieuczciwy ruch DHCP z nieznanych serwerów. Wyłączenie podsłuchiwania DHCP usunęłoby tę funkcję. Systemy wykrywania włamań (IDS) nie mogą zatrzymać ruchu, a blokowanie ruchu DHCP uniemożliwiłoby systemom uzyskanie dynamicznych adresów IP.

104. B. Wykrywanie i reagowanie na punkty końcowe (EDR) koncentruje się na identyfikowaniu anomalii i problemów, ale nie zostało zaprojektowane jako narzędzie do analizy złośliwego oprogramowania. Zamiast tego zdolność do wyszukiwania i eksploracji danych, identyfikowania podejrzanych działań i koordynowania reakcji jest tym, co składa się na narzędzie EDR.

105. A. Internetowy serwer proxy może być używany do blokowania niektórych stron internetowych. Powszechną praktyką administratorów sieci jest blokowanie pojedynczych witryn lub ogólnych klas witryn (takich jak witryny poszukiwania pracy). Translacja adresów sieciowych (NAT) służy do tłumaczenia prywatnych adresów IP komputerów wewnętrznych na publiczne adresy IP. Zapora z filtrem pakietów może blokować ruch na danym porcie lub adresie IP lub przy użyciu określonego protokołu, ale generalnie nie jest w stanie blokować określonych witryn internetowych. Sieciowe systemy zapobiegania włamaniom (NIPS) identyfikują i blokują ataki; nie mogą uniemożliwić użytkownikom odwiedzania określonych stron internetowych.

106. C. Usługi zarządzania tajemnicami zapewniają możliwość przechowywania poufnych danych, takich jak klucze interfejsu programowania aplikacji (API), hasła i certyfikaty. Zapewniają również możliwość zarządzania, pobierania i kontrolowania tych sekretów. Infrastruktura klucza publicznego (PKI) skupiałaby się na certyfikatach i kluczach szyfrowania, bez haseł i kluczy API. Moduł zaufanej platformy (TPM) jest powiązany ze sprzętem, a na to pytanie wymyślono usługę wyciszania.

107. A. SAML, Security Assertion Markup Language, jest używany przez wielu dostawców tożsamości do wymiany danych autoryzacji i uwierzytelniania z dostawcami usług. Kerberos i LDAP (Lightweight Directory Access Protocol) jest używany w wielu organizacjach, ale Fred odniesie większy sukces dzięki SAML dla popularnych usług internetowych. New Technology LAN Manager (NTLM) jest nadal używany w systemach Windows, ale Kerberos jest częściej używany w nowoczesnych domenach Windows i nie byłby używany w opisanym tutaj scenariuszu.

108. D. Równoważenie obciążenia klastra zapobiegnie przeciążeniu pojedynczego serwera. A jeśli dany serwer jest w trybie offline, inne serwery mogą przejąć jego obciążenie. Opcja A jest nieprawidłowa. Koncentrator VPN, jak sama nazwa wskazuje, służy do inicjowania wirtualnych sieci prywatnych (VPN). Opcja B jest nieprawidłowa. Zagregowane przełączanie może przesunąć większą przepustowość do serwerów, ale nie złagodzi zagrożenia, że jeden lub więcej serwerów będzie w trybie offline. Opcja C jest nieprawidłowa. Akceleratory SSL to metoda przeniesienia intensywnie wykorzystującego procesor szyfrowania z kluczem publicznym dla Transport Layer Security (TLS) i Secure Sockets Layer (SSL) do akceleratora sprzętowego.

109. C. Trzy kanały, które się nie nakładają to 1, 6 i 11. Pozostałe kanały będą się nakładać. W idealnej instalacji te trzy kanały można wykorzystać do maksymalizacji przepustowości i zminimalizowania zakłóceń.

110. B. Poprawną odpowiedzią jest szyfrowanie całego ruchu sieciowego do tej aplikacji przy użyciu protokołu Transport Layer Security (TLS). Jest to jeden z najbardziej podstawowych kroków bezpieczeństwa, które należy podjąć w dowolnej witrynie. Zapora sieciowa (WAF) to prawdopodobnie dobry pomysł, ale nie jest to najważniejsza rzecz do wdrożenia przez Ryana. Chociaż sieciowy system zapobiegania włamaniom (IPS) lub system wykrywania włamań (IDS) może być dobrym pomysłem, należy je rozważyć po skonfigurowaniu protokołu TLS.

111. B. Podczerwień (IR) to jedyna metoda linii wzroku na liście. Chociaż komunikacja zbliżeniowa (NFC) i Bluetooth mają stosunkowo krótki zasięg, nadal mogą działać dzięki materiałom umieszczonym między nimi a odbiornikiem, a Wi-Fi może to robić z jeszcze większego zasięgu.

112. A. Prawidłowa odpowiedź jest taka, że Kerberos używa różnych biletów, każdy z limitem czasowym. Bilety serwisowe są zazwyczaj ważne tylko przez 5 minut lub krócej. Oznacza to, że jeśli Network Time Protocol (NTP) zawiedzie, ważne bilety mogą wyglądać na wygasłe. RADIUS, CHAP i LDAP nie będą miały żadnego znaczącego wpływu z powodu awarii NTP.

113. C. Prawidłowa odpowiedź jest taka, że Challenge Handshake Authentication Protocol (CHAP) okresowo wymaga ponownego uwierzytelnienia klienta. Jest to niewidoczne dla użytkownika, ale ma na celu zapobieganie przechwyceniu sesji. Protokół uwierzytelniania hasła (PAP) jest w rzeczywistości dość stary i nie podlega ponownemu uwierzytelnieniu. W rzeczywistości wysyła nawet hasło w postaci zwykłego tekstu, więc nie powinno być już dłużej używane. SPAP (Shiva Password Authentication Protocol) dodaje szyfrowanie hasła do PAP, ale nie dokonuje ponownego uwierzytelnienia. OAuth jest używany do uwierzytelniania internetowego i nie wymaga ponownego uwierzytelniania.

114. B. Zapora programowa najlepiej nadaje się do wdrożeń na poszczególnych komputerach, zwłaszcza gdy chronione są systemy końcowe. Zapory sprzętowe są zazwyczaj wdrażane w celu ochrony segmentów sieci lub grup systemów, co skutkuje dodatkowymi kosztami i zarządzaniem. Zapory wirtualne i w chmurze są najczęściej wdrażane w centrach danych, w których używane są środowiska wirtualne lub w chmurze, chociaż wirtualna zapora może działać na punkcie końcowym.

115. D. Konto usługi jest najbardziej odpowiednie w tym scenariuszu. Konta usług mają najmniej uprawnień, których potrzebuje usługa i są używane przez usługę, bez konieczności korzystania z człowieka. Chociaż możesz przypisać konto użytkownika, nie jest to tak dobre rozwiązanie, jak korzystanie z konta usługi. Konto gościa nigdy by nie być dobrym pomysłem na usługę. Konta gości są zazwyczaj zbyt ograniczone. Powszechną praktyką jest wyłączanie kont domyślnych, takich jak konto Gość. Konto administratora nadałoby usłudze zbyt wiele uprawnień i naruszałoby zasadę najmniejszych uprawnień.

116. A. Spośród tych wersji Extensible Authentication Protocol (EAP) tylko Lightweight Extensible Authentication Protocol (LEAP) nie obsługuje TLS. EAP Tunneled Transport Layer Security (EAP-TTLS) w rzeczywistości rozszerza protokół TLS, ale obsługuje protokół bazowy. Protected Extensible Authentication Protocol (PEAP) hermetyzuje EAP w zaszyfrowanym tunelu TLS.

117. C. Jailbreaking umożliwia użytkownikom dodawanie do iPhone'a oprogramowania, które nie jest normalnie dozwolone, w tym aplikacji innych firm, zmiany ustawień systemowych, motywów lub domyślnych aplikacji. Sklepy z aplikacjami innych firm nie są domyślnie dostępne, a sideloading można wykonać w iOS, ale nie robi tego, czego chce Manny, i oczywiście instalacja Androida nie pozwoli Manny'emu zmienić ustawień iOS. Jeśli Manny dokona jailbreaku swojego telefonu, jego organizacja może zauważyć, że do śledzenia stanu urządzenia używa aplikacji do zarządzania urządzeniami mobilnymi (MDM) lub ujednoliconego zarządzania punktami końcowymi (UEM).

118. C. Wiele kart inteligentnych implementuje identyfikację radiową (RFID), aby umożliwić ich wykorzystanie do dostępu do wejścia i do innych celów. Wi-Fi, podczerwień i Bluetooth zazwyczaj wymagają zasilanych obwodów do interakcji z systemami, co sprawia, że słabo pasują do karty inteligentnej, która zwykle nie ma baterii ani innego źródła zasilania.

119. A. Obowiązkowa kontrola dostępu (MAC) jest właściwym rozwiązaniem. Nie pozwoli użytkownikom o niższych uprawnieniach nawet zobaczyć dane na wyższym poziomie uprawnień. Uznaniowa kontrola dostępu (DAC) pozwala każdemu właścicielowi danych skonfigurować własne zabezpieczenia. Kontrola dostępu oparta na rolach (RBAC) można skonfigurować tak, aby spełniała potrzeby, ale nie jest to najlepsze rozwiązanie dla tych wymagań. SAML (Security Assertion Markup Language) nie jest modelem kontroli dostępu.

120. B. Oparty na agencie system preadmisji zapewni lepszy wgląd w konfigurację systemu przy użyciu agenta, a użycie modelu preadmission pozwoli na przetestowanie konfiguracji systemu, zanim system będzie mógł połączyć się z siecią. Bezagentowy NAC wykorzystuje techniki skanowania i/lub inwentaryzacji sieci i zazwyczaj nie zapewnia tak głębokiego wglądu w konfigurację i wersje oprogramowania działające w systemie. Systemy po przyjęciu podejmują decyzje w sprawie egzekwowania prawa na podstawie tego, co użytkownicy robią po uzyskaniu dostępu do sieci, a nie przed uzyskaniem dostępu, co pozwala szybko wykluczyć dwie z tych opcji.

121. Najlepszą opcją C. Claire jest wdrożenie wykrywania i naprawy za pośrednictwem zapory sieciowej (WAF), która wykryje próbę wstrzyknięcia SQL i zapobiegnie jej. System wykrywania włamań (IDS) wykrywa tylko ataki i nie może ich powstrzymać. Ręczna aktualizacja kodu aplikacji po inżynierii odwrotnej zajmie trochę czasu, a może nawet nie mieć kodu źródłowego lub możliwości jego modyfikacji. Wreszcie, łatki dostawców na zero dni zwykle potrzebują trochę czasu, aby wyjść, nawet w najlepszych okolicznościach, co oznacza, że Claire może czekać na łatkę przez dłuższy czas, jeśli jest to opcja, którą wybierze.

122. C. CYOD lub wybierz własne urządzenie, pozwala użytkownikom wybrać urządzenie, które jest własnością firmy i za które jest opłacane. Wybór może być ograniczony do zestawu urządzeń lub użytkownicy mogą mieć możliwość wyboru zasadniczo dowolnego urządzenia w zależności od decyzji wdrożeniowych organizacji. BYOD umożliwia użytkownikom przyniesienie własnego urządzenia, podczas gdy COPE lub należące do firmy, włączone osobiście, zapewnia użytkownikom urządzenia, których mogą następnie używać do użytku osobistego. VDI wykorzystuje infrastrukturę pulpitu wirtualnego jako warstwę dostępu dla dowolnego modelu bezpieczeństwa, w którym specjalne potrzeby lub wymagania bezpieczeństwa mogą wymagać dostępu do pulpitu zdalnego lub usługi aplikacyjne. 123. B. Kluczowym elementem jest tutaj to, że urzędy certyfikacji (CA) działają w sieci, co oznacza, że żaden CA nie jest głównym CA i każdy musi ufać innym. Aby to osiągnąć, Derek najpierw musi wydać certyfikaty od D każdemu z pozostałych Cas, a następnie poprosić pozostałych o wydanie certyfikatu D. Klucze prywatne nigdy nie powinny być wymieniane i oczywiście jeśli inne systemy wystawiają tylko certyfikaty D, nie rozpoznają one jego serwera.

124. C. Jeśli Claire używa Simple Network Management Protocol (SNMP) do zarządzania i monitorowania swoich urządzeń sieciowych, powinna upewnić się, że używa SNMPv3 i że jest prawidłowo skonfigurowany. SNMPv3 może dostarczać informacji o stanie i konfiguracji jej urządzeń sieciowych. Usługa zdalnego uwierzytelniania użytkownika telefonującego (RADIUS) może być używana do uwierzytelniania w sieci, ale Transport Layer Security (TLS) i SSH File Transfer Protocol (SFTP) nie są używane specjalnie do opisanych celów.

125. D. Fuzzery wysyłają do aplikacji nieoczekiwane i poza zasięgiem dane, aby zobaczyć, jak zareagują. W tym przypadku Ben używa fuzzera. Serwery proxy sieci Web są często używane do testowania aplikacji, ponieważ umożliwiają zmianę danych między przeglądarką a aplikacją. Wstrzykiwanie SQL można wykonać za pośrednictwem serwera proxy sieci Web, ale dedykowany serwer proxy wstrzykiwania SQL nie jest sam w sobie rodzajem narzędzia. Wreszcie, statyczne narzędzie do przeglądu kodu służy do przeglądania kodu źródłowego i może być tak proste jak aplikacja Notatnik lub tak złożone, jak w pełni zintegrowane środowisko programistyczne (IDE).

126. B. Konteneryzacja pozwoli na uruchamianie narzędzi i danych firmy Erica w kontenerze opartym na aplikacji, izolując dane i programy od samodzielnie kontrolowanych urządzeń typu Bring Your Own Device (BYOD). Segmentacja pamięci masowej może być pomocna, ale sam system operacyjny i aplikacje pozostaną problemem. Eric powinien zalecić szyfrowanie na całym urządzeniu (FDE) jako najlepsze rozwiązanie w zakresie bezpieczeństwa, ale szyfrowanie kontenera i zawartych w nim danych może zapewnić rozsądną warstwę bezpieczeństwa, nawet jeśli samo urządzenie nie jest w pełni zaszyfrowane. Zdalne czyszczenie jest przydatne w przypadku zgubienia lub kradzieży urządzeń, ale użytkownik końcowy może nie zgadzać się na wyczyszczenie całego urządzenia. Istnieją też sposoby na obejście zdalnego czyszczenia, w tym blokowanie sygnałów komórkowych i Wi-Fi.

127. B. Kerberos nie wysyła hasła użytkownika przez sieć. Gdy nazwa użytkownika jest wysyłana do usługi uwierzytelniania, usługa pobiera z bazy danych skrót hasła użytkownika, a następnie wykorzystuje go jako klucz do szyfrowania danych, które mają zostać odesłane do użytkownika. Maszyna użytkownika pobiera wprowadzone przez użytkownika hasło, miesza je, a następnie używa go jako klucza do odszyfrowania tego, co zostało odesłane przez serwer. Challenge Handshake Authentication Protocol (CHAP) wysyła hasło użytkownika w postaci zaszyfrowanej. RBAC to model kontroli dostępu, a nie protokół uwierzytelniania. Uwierzytelnianie typu II to coś, co masz, na przykład klucz lub karta.

128. A. EV lub rozszerzona walidacja, certyfikaty dowodzą, że certyfikat X.509 został wydany właściwemu podmiotowi prawnemu. Ponadto tylko określone urzędy certyfikacji (CAS) mogą wydawać certyfikaty EV. Certyfikaty z walidacją domeny wymagają dowodu, że masz kontrolę nad domeną, na przykład ustawiania rekordu DNS TXT lub odpowiadania na wiadomość e-mail wysłaną do kontaktu w rekordzie Whois domeny. Certyfikat weryfikacji organizacyjnej wymaga weryfikacji domeny i dodatkowego dowodu, że organizacja jest osobą prawną. Na to pytanie wymyślono certyfikaty OCSP.

129. D. Sieci Wi-Fi 5 mogą zapewnić teoretyczną przepustowość do 3,5 Gb/s megabitów na sekundę, chociaż nowsze standardy, takie jak Wi-Fi 6, nadal podnoszą tę wydajność. Kolejnym najszybszym wymienionym standardem bezprzewodowym jest sieć komórkowa LTE z teoretyczną przepustowością około 50 megabitów na sekundę. Gdy przepustowość jest istotna, Wi-Fi ma tendencję do wygrywania, chociaż sieci komórkowe 5G w idealnych warunkach mogą konkurować z Wi-Fi.

130. C. Koszt aplikacji i jakość wdrożenia zabezpieczeń może się różnić w zależności od dostawcy i produktu, ale rozwiązania bezpieczeństwa natywne dla chmury będą generalnie lepiej i głębiej zintegrowane z platformą chmury niż rozwiązania innych firm. Różnorodność projektów dostawców może nadal prowadzić do innych wyborów, ale są to świadome decyzje projektowe.

131. D. Jumpboxy są powszechnym rozwiązaniem zapewniającym dostęp do sieci o innym profilu bezpieczeństwa. W takim przypadku Ed może wdrożyć skrzynkę przeskokową w strefie zdemilitaryzowanej (DMZ), aby umożliwić użytkownikom w jego strefie administracyjnej wykonywanie zadań bez bezpośredniego łączenia się ze światową strefą DMZ. Pomaga to utrzymać bezpieczeństwo systemów administracyjnych i pozwala skupić się na bezpieczeństwie skrzynki skokowej, a także ułatwia monitorowanie i konserwację. System zapobiegania włamaniom (IPS) służy do monitorowania i blokowania niepożądanego ruchu, ale nie jest używany do zdalnego dostępu. Brama NAT wykonuje translację adresów sieciowych i jest umieszczana między sieciami, ale zazwyczaj nie jest używana do zapewniania bezpiecznych połączeń między sieciami. Zamiast tego służy zmniejszeniu liczby używanych publicznych adresów IP i zapewnieniu ograniczonego bezpieczeństwa systemów za nim. Routery służą do łączenia się z sieciami, ale nie zapewniają bezpiecznego dostępu, jak opisano w pytaniu.

132. C. OAuth (Open Authorization) to otwarty standard uwierzytelniania i autoryzacji opartej na tokenach w Internecie i umożliwia korzystanie z informacji o koncie użytkownika końcowego przez usługi stron trzecich bez ujawniania hasła użytkownika. Kerberos to protokół uwierzytelniania sieciowego, który nie jest używany w przypadku wielu domen/uwierzytelnianie usługi. SAML (Security Assertion Markup Language) to oparty na języku XML, otwarty standard formatu danych do wymiany danych uwierzytelniających i autoryzacyjnych między stronami. OpenID to usługa uwierzytelniania często świadczona przez stronę trzecią i może być używana do logowania się na dowolnej stronie internetowej, która akceptuje OpenID. Byłoby to możliwe, ale tylko z witrynami obsługującymi OpenID, więc nie jest to tak dobre rozwiązanie jak OAuth.

133. A. Trwałość sesji zapewnia, że cały ruch klienta związany z transakcją lub sesją trafia do tego samego serwera lub usługi. Pozostałe opcje nie opisują prawidłowo działania utrwalania sesji.

134. B. Narzędzia do zapobiegania utracie danych (DLP) umożliwiają oznaczanie i monitorowanie danych wrażliwych, dzięki czemu użytkownik, gdy spróbuje je wysłać, zostanie o tym powiadomiony, administratorzy zostaną poinformowani, a w razie potrzeby dane mogą być chronione za pomocą szyfrowania lub inne metody ochrony przed wysłaniem. Szyfrowanie całego dysku (FDE) chroniłoby dane w spoczynku, a S/MIME i POP3S chroniłyby pocztę pobieraną z serwera, ale nie uniemożliwiałyby wysyłania numerów SSN.

135. B. Chociaż dostawcy infrastruktury jako usługi (IaaS) często zapewniają silne wsparcie dla wysokiej dostępności, w tym replikacja do wielu stref lub regionów geograficznych, a także wysoce niezawodna i bezpieczna pamięć masowa, w większości przypadków nie pozwalają na bezpośredni dostęp do podstawowego sprzętu. Jeśli Jennifer wymaga bezpośredniego dostępu do sprzętu, będzie musiała przeprowadzić wdrożenie w centrum danych, w którym będzie mogła zachować dostęp do fizycznych serwerów.

136. B. Zarządzanie poza pasmem (OOB) wykorzystuje oddzielne interfejsy zarządzania, jak pokazano na rysunku, lub inną metodę łączności niż normalne połączenie w celu zapewnienia bezpiecznego sposobu zarządzania systemami. DMZ lub strefa zdemilitaryzowana to strefa bezpieczeństwa, która jest zwykle wystawiona na świat i dlatego jest mniej zaufana i bardziej eksponowana. Zarządzanie wewnątrzpasmowe wykorzystuje popularne protokoły, takie jak Secure Shell (SSH) lub HTTPS, do zarządzania urządzeniami za pośrednictwem ich normalnych interfejsów lub połączeń sieciowych. Transport Layer Security (TLS) to protokół bezpieczeństwa, a nie interfejs zarządzania.

137. A. Depozyt kluczy zapewnia klucze szyfrowania stronie trzeciej, aby można je było udostępnić odpowiedniej stronie, jeśli zostaną spełnione określone warunki. Chociaż oznacza to, że klucze są poza kontrolą właściciela lub strony odpowiedzialnej, w wielu przypadkach potrzeba odzyskania lub dostępnego sposobu dotarcia do kluczy zastępuje wymóg przechowywania kluczy w rękach pojedynczej osoby lub organizacji. Pozostałe opcje zostały wymyślone, ale możesz spotkać się z terminem "odzyskiwanie klucza", który jest procesem, w którym organy ścigania lub inne strony mogą odzyskać klucze w razie potrzeby za pomocą procesu, który zapewnia im klucz dostępu lub klucz odszyfrowywania, który może nie być ten sam klucz, co klucz używany przez pierwotnego użytkownika szyfrującego.

138. D. Zaświadczanie rozruchu wymaga, aby systemy śledziły i mierzyły proces rozruchu, a następnie poświadczały systemowi, że proces był bezpieczny. Bezpieczny rozruch, który jest pokrewną koncepcją, umożliwia uruchamianie tylko zaufanego oprogramowania przy użyciu wcześniej zaszyfrowanych wartości, aby zapewnić bezpieczeństwo procesu. BOOTP i BIOS nie są zaangażowane w ten proces, zamiast tego oprogramowanie układowe Unified Extensible Firmware Interface (UEFI) obsługuje zarówno bezpieczny rozruch, jak i atestację rozruchu.

139. A. Prawidłowa odpowiedź jest taka, że OpenID jest usługą uwierzytelniającą często wykonywaną przez stronę trzecią i może być używana do logowania się na dowolnej stronie internetowej, która akceptuje OpenID. Kerberos to protokół uwierzytelniania sieciowego do użytku w domenie. New Technology LAN Manager (NTLM) to starszy protokół uwierzytelniania systemu Windows. Shibboleth jest systemem pojedynczego logowania, ale działa z systemami federacyjnymi.

140. C. Wyłączenie zdalnego dostępu do rejestru dla systemów, które go nie wymagają, może uniemożliwić modyfikację i odczyty rejestru zdalnego. Jest to zalecana najlepsza praktyka, gdy tylko jest to możliwe, ale niektóre systemy mogą wymagać zdalnego dostępu do rejestru w celu zarządzania lub z innych powodów. Rejestr systemu Windows nie jest niezależnie łatany, rejestr musi być czytelny i zapisywalny, aby mieć działający system Windows, i nie ma trybu szyfrowania kluczy użytkownika.

141. D. Maksymalizacja nakładania się zasięgu spowodowałaby większą rywalizację między punktami dostępowymi. Zamiast tego instalacje powinny minimalizować nakładanie się bez pozostawiania martwych punktów w ważnych obszarach. Przeprowadzanie przeglądu terenu, kontrolowanie poziomów mocy i dostosowywanie ich w celu zminimalizowania rywalizacji oraz projektowanie wokół materiałów konstrukcyjnych budynku to ważne elementy projektowania fizycznego układu i rozmieszczenia punktów dostępu WAP. Na szczęście nowoczesne korporacyjne sieci bezprzewodowe mają zaawansowane inteligentne funkcje, które pomagają wykonywać wiele z tych czynności w pewnym stopniu automatycznie.

142. B. Wyłączenie konta jest najlepszą opcją, aby zaspokoić potrzeby Marka. Wyłączenie konta spowoduje pozostawienie go w innym stanie niż konto aktywne lub konto ze zmienionym hasłem, co powinien odnotować personel pomocy technicznej, jeśli Gabby zadzwoni i poprosi o zmianę hasła. Oznacza to, że istnieje mniejsze ryzyko, że niezadowolony pracownik lub atakujący z powodzeniem uzyska dostęp do konta. Jednocześnie wyłączenie konta jest mniej destrukcyjne niż usunięcie konta, co przyspiesza przywracanie i zachowywanie jej plików i innych materiałów. Większość organizacji decyduje się na ograniczenie czasu, przez jaki konto może pozostawać w stanie wyłączonym bez sprawdzania lub przenoszenia do innego stanu konta, aby zapobiec gromadzeniu się wyłączonych kont z biegiem czasu.

143. A. Kontrola dostępu oparta na atrybutach (ABAC) analizuje grupę atrybutów, oprócz nazwy użytkownika i hasła logowania, aby podejmować decyzje o udzieleniu lub odmowie dostępu. Jednym z badanych atrybutów jest lokalizacja osoby. Ponieważ użytkownicy

w tej firmie często podróżują, często będą znajdować się w nowych lokalizacjach, co może spowodować, że ABAC odrzuci ich loginy. Złe hasła z pewnością mogą uniemożliwić logowanie, ale nie są specyficzne dla ABAC. ABAC nie blokuje dostępu zdalnego, a zaporę można skonfigurować tak, aby zezwalać lub zabraniać dowolnego ruchu.

144. B. Single Sign-On (SSO) został zaprojektowany specjalnie w celu rozwiązania tego ryzyka i byłby najbardziej pomocny. Użytkownicy mają do zapamiętania tylko jedno logowanie; dzięki temu nie muszą zapisywać hasła. OAuth (Open Authorization) to otwarty standard uwierzytelniania i autoryzacji opartej na tokenach w Internecie. Nie eliminuje użycia lub potrzeby wielu haseł. Uwierzytelnianie wieloskładnikowe pomaga zapobiegać zagrożeniom związanym z utratą haseł, ale samo w sobie nie eliminuje konieczności używania wielu haseł. Security Assertion Markup Language (SAML) i Lightweight Directory Access Protocol (LDAP) nie powstrzymują użytkowników przed koniecznością zapamiętywania wielu haseł.

145. D. Kontrola dostępu oparta na regułach stosuje zestaw reguł do żądania dostępu. Na podstawie zastosowania reguł użytkownik może uzyskać dostęp do określonego zasobu, do którego nie został mu wprost przyznany dostęp. MAC, DAC i kontrola dostępu oparta na rolach nie dałyby użytkownikowi dostępu, chyba że ten użytkownik otrzymał już jawnie ten dostęp.

146. B. Potrzeby segmentacji między wieloma wirtualnymi centrami danych w chmurze, koszt obsługi usługi zapory oraz wgląd w ruch zapewniany przez dostawcę usług w chmurze są wszystkie elementy projektu, które Ed będzie musiał wziąć pod uwagę. Nie będzie jednak musiał się martwić o dostęp do sprzętu w celu aktualizacji. Zamiast tego prawdopodobnie użyje wirtualnego urządzenia w chmurze lub wbudowanej funkcji zapory udostępnianej przez dostawcę usług infrastruktury chmury.

147. B. Tokeny to fizyczne urządzenia, które często zawierają dane kryptograficzne do uwierzytelniania. Mogą przechowywać certyfikaty cyfrowe do użytku z uwierzytelnianiem. OAuth (Open Authorization) to otwarty standard uwierzytelniania i autoryzacji opartej na tokenach w Internecie. Użytkownik nadal musi pamiętać hasło. OpenID to usługa uwierzytelniania innej firmy i podobnie jak w przypadku OAuth, użytkownik nadal musi pamiętać hasło. Kontrola dostępu oparta na rolach i kontrola dostępu oparta na regułach (w obu przypadkach używa się akronimu RBAC) to modele kontroli dostępu.

148. A. Usługi wewnętrzne, takie jak ta, są częścią intranetu, sieci lub strony internetowej dostępnej tylko dla osób i systemów wewnątrz firmy. Ekstranet to prywatne sieci, które umożliwiają dostęp do partnerów lub klientów, ale nie do ogółu społeczeństwa. Strefa zdemilitaryzowana (DMZ) to segment sieci narażony na Internet lub inną niezaufaną sieć. TTL to termin sieciowy, który oznacza czas życia i określa, ile przeskoków może wykonać pakiet, zanim nie będzie można go już wysłać do innego przeskoku.

149. B. To pytanie opisuje bezstanową zaporę ogniową, która analizuje każdy pakiet, aby podjąć decyzje dotyczące tego, co będzie przez niego przepuszczane. Zapory stanowe zwracają uwagę na konwersacje i przepuszczają pakiety w konwersacji między urządzeniami po zweryfikowaniu początkowej wymiany. Zapory nowej generacji (NGFW) są wbudowane w szeroką gamę usług bezpieczeństwa. Zapory w warstwie aplikacji rozumieją aplikacje, które przez nie działają, i zapewniają głębsze możliwości analizy pakietów w celu blokowania niepożądanego ruchu w warstwie aplikacji.

150. C. Sprzętowe moduły bezpieczeństwa są dostępne w postaci kart inteligentnych, kart microSD i pamięci USB, oprócz ich częstego wdrażania jako urządzeń w zastosowaniach korporacyjnych. Nancy mogłaby kupić certyfikowany i przetestowany HSM oparty na karcie MicroSD, który chroniłby jej klucze w bezpieczny sposób. Oparta na aplikacjach infrastruktura klucza publicznego (PKI) nie zapewniłaby tego samego poziomu bezpieczeństwa na większości urządzeń mobilnych bez specjalnie zaprojektowanego sprzętu, o czym nie wspomniano w tym problemie. OPAL to sprzętowy standard szyfrowania i nie zapewnia zarządzania kluczami, a urząd certyfikacji offline (CA) nie pomoże w tej sytuacji.

151. D. Zarówno systemy plików Windows, jak i Linux działają w oparciu o uznaniowy schemat kontroli dostępu, w którym właściciele plików i katalogów mogą określić, kto może uzyskać dostęp, zmienić lub w inny sposób pracować z plikami pod ich kontrolą. Systemy kontroli dostępu oparte na rolach określają prawa na podstawie ról przypisanych użytkownikom. Systemy kontroli dostępu oparte na regułach wykorzystują szereg reguł w celu określenia, jakie działania mogą wystąpić, a obowiązkowe systemy kontroli dostępu wymuszają kontrolę na poziomie systemu operacyjnego.

152. A. Ograniczenie każdego konta wydziału, aby można było z niego korzystać tylko wtedy, gdy dany członek wydziału zwykle przebywa na kampusie, uniemożliwi komuś logowanie się za pomocą tego konta po godzinach, nawet jeśli ma hasło. Inspekcja użytkowania może wykryć niewłaściwe użycie kont, ale nie zapobiegnie temu. Dłuższe hasła są skutecznym zabezpieczeniem, ale dłuższe hasło nadal można ukraść. Zarządzanie poświadczeniami jest zawsze dobrym pomysłem, ale nie rozwiązuje tego konkretnego problemu.

153. D. Chociaż zapory ogniowe nowej generacji zapewniają wiele możliwości obrony, wstrzykiwanie SQL jest atakiem, a nie obroną. Oprócz geolokalizacji, systemu wykrywania włamań (IDS) i systemu zapobiegania włamaniom (IPS) oraz możliwości sandboxingu, wiele zapór nowej generacji obejmuje zapory aplikacji internetowych, równoważenie obciążenia, reputację IP i filtrowanie adresów URL, a także funkcje ochrony przed złośliwym oprogramowaniem i wirusami.

154. C. Włączenie kontroli burz na przełączniku ograniczy całkowitą przepustowość, z której mogą korzystać pakiety rozgłoszeniowe, zapobiegając blokowaniu sieci przez burze rozgłoszeniowe. Blokowanie protokołu rozpoznawania adresów (ARP) uniemożliwiłoby systemom odnalezienie się nawzajem, a blokowanie wszystkich pakietów rozgłoszeniowych zablokowałoby również wiele ważnych funkcji sieciowych.

155. B. Strefy zdemilitaryzowane (DMZ) pozostają użyteczną koncepcją, gdy projektowanie środowisk chmurowych, chociaż implementacja techniczna może się różnić, ponieważ dostawcy chmury mogą mieć bezpieczne usługi sieciowe, możliwości równoważenia obciążenia lub inne funkcje, które sprawiają, że strefy DMZ wyglądają inaczej. Serwery proxy są przydatne do kontrolowania, filtrowania i przekazywania ruchu, ale nie zapewniają pełnej segmentacji, której szuka Isaac. VPC jest wirtualnym centrum danych i zazwyczaj zawiera jego infrastrukturę, ale nie odpowiada konkretnie na te potrzeby.

156. A. Audyt uprawnień znajdzie uprawnienia każdego użytkownika i porówna je z wymaganiami jego stanowiska. Audyty uprawnień powinien być przeprowadzane okresowo. Rotacja stanowisk, choć korzystna z innych względów bezpieczeństwa, w rzeczywistości zaostrzy ten problem. Niepraktyczne jest zakazywanie komukolwiek zmieniających się ról zawodowych, a podział obowiązków nie miałby wpływu na tę kwestię.

157. Najlepszą opcją B. Susan jest wdrożenie pełnego szyfrowania dysku (FDE), które zapewni szyfrowanie całego dysku, a nie tylko określonych folderów lub plików. Rozmagnesowanie dysków magnetycznych wyczyści je, zamiast chronić dane.

158. C. Złożoność hasła wymaga, aby hasła zawierały kombinację wielkich i małych liter, cyfr i znaków specjalnych. Byłoby to najlepsze podejście do rozwiązania problemu opisanego w pytaniu. Dłuższe hasła są dobrym środkiem bezpieczeństwa, ale nie rozwiążą przedstawionego tutaj problemu. Zmiana haseł nie wzmocni tych haseł, a jednokrotne logowanie (SSO) nie będzie miało wpływu na siłę haseł.

159. D. Tryb osobisty WPA3 zastępuje tryb klucza wstępnego znalezionego w WPA2 równoczesnym uwierzytelnianiem równych. Utrudnia to przeprowadzanie słabych ataków na hasła lub hasła i zapewnia większe bezpieczeństwo, gdy urządzenia przeprowadzają początkową wymianę kluczy. WEP, WPA i WPA2 nie implementują SAE.

160. C. Megan stworzyła konto gościa. Konta gości zazwyczaj mają bardzo ograniczone uprawnienia i mogą być skonfigurowane z ograniczonymi godzinami logowania, datą wygaśnięcia lub innymi kontrolkami, aby zapewnić im większe bezpieczeństwo. Konta użytkowników są najczęstszym rodzajem kont i są wydawane osobom fizycznym w celu umożliwienia im logowania się do systemów i usług oraz korzystania z nich. Z kont współdzielonych korzysta więcej niż jedna osoba, co utrudnia ustalenie, kto korzystał z konta. Konto usługi jest zwykle skojarzone z programem lub usługą działającą w systemie, który wymaga uprawnień do plików lub innych zasobów.

161. B. Klucze API umożliwiają indywidualnym klientom uwierzytelnianie się w usłudze API, co oznacza, że w przypadku problemu Henryk może wyłączyć problematyczne klucze API, a nie wszystkich użytkowników. Włączanie rejestrowanie za pomocą usługi takiej jak Amazon API Gateway umożliwia skalowalność, rejestrowanie i monitorowanie, a także narzędzia takie jak zapory sieciowe aplikacji internetowych. Na to pytanie opracowano proxy API i system zapobiegania włamaniom (IPS) zorientowany na interfejs API.

162. C. UTM lub ujednolicone zarządzanie zagrożeniami, urządzenia powszechnie służą jako zapory ogniowe, system wykrywania włamań (IDS)/system zapobiegania włamaniom (IPS), antywirus, serwery proxy, aplikacje internetowe i głęboka inspekcja pakietów, bezpieczne bramy poczty e-mail, zapobieganie utracie danych (DLP), informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM), a nawet urządzenia wirtualnej sieci prywatnej (VPN). Nie są to jednak urządzenia do zarządzania urządzeniami mobilnymi (MDM) ani uniwersalne urządzenia do zarządzania punktami końcowymi, ponieważ ich głównym celem jest bezpieczeństwo sieci, a nie zarządzanie systemami lub urządzeniami.

163. B. Obowiązkowa kontrola dostępu (MAC) opiera się na udokumentowanych poziomach bezpieczeństwa związanych z informacjami, do których uzyskuje się dostęp. Kontrola dostępu oparta na rolach (RBAC) opiera się na roli, w której znajduje się użytkownik. Uznaniowa kontrola dostępu (DAC) umożliwia właścicielowi danych ustawienie kontroli dostępu. BAC nie jest modelem kontroli dostępu.

164. A. Ten obraz przedstawia przekazujący serwer proxy, który może być używany do stosowania zasad do żądań użytkowników wysyłanych do serwerów internetowych i innych usług. Odwrotne serwery proxy działają jako bramy między użytkownikami a serwerami aplikacji, umożliwiając buforowanie treści i manipulację ruchem. Są często używane przez sieci dostarczania treści, aby pomóc w zarządzaniu ruchem.

165. B. Ten rodzaj potencjalnego problemu z bezpieczeństwem jest zwykle rejestrowany jako niemożliwy czas podróży/ryzykowny problem z logowaniem. Gurvinder nie spodziewałby się, że użytkownik przejedzie między dwoma lokalizacjami w ciągu godziny - w rzeczywistości jest to niemożliwe. Oznacza to, że musi skontaktować się z użytkownikiem, aby dowiedzieć się, czy mógł zrobić coś takiego jak użycie VPN lub czy jego konto mogło zostać naruszone. Możliwe, że może to być problem z systemem geo-IP, z którego korzysta firma Gurvindera, ale musi traktować to jako zagrożenie bezpieczeństwa, dopóki nie stwierdzi inaczej, a w większości przypadków jest bardziej prawdopodobne. Źle skonfigurowany adres IP nie spowoduje tego problemu.

166. A. Uznaniowa kontrola dostępu (DAC) umożliwia właścicielom danych przypisywanie uprawnień. Kontrola dostępu oparta na rolach (RBAC) przydziela dostęp na podstawie roli, jaką pełni użytkownik. Obowiązkowa kontrola dostępu (MAC) jest bardziej rygorystyczny i wymusza kontrolę na poziomie systemu operacyjnego. Kontrola dostępu z atrybutami (ABAC) uwzględnia różne atrybuty, takie jak lokalizacja, czas i komputer, oprócz nazwy użytkownika i hasło.

167. A. Wzmacnianie systemu operacyjnego to proces zabezpieczania systemu operacyjnego przez łatanie, aktualizowanie i konfigurowanie systemu operacyjnego tak, aby był bezpieczny. Zarządzanie konfiguracją to ciągły proces zarządzania konfiguracjami systemów, a nie ten początkowy krok bezpieczeństwa. W odpowiedzi na to pytanie wymyślono zarówno podniesienie bezpieczeństwa, jak i blokadę punktu końcowego.

168. D. Secure Lightweight Directory Access Protocol (LDAPS) domyślnie używa portu 636. DNS używa portu 53, LDAP używa 389, a bezpieczny HTTP używa portu 443.

169. C. Najlepszą odpowiedzią na potrzeby zidentyfikowane przez Chrisa jest sprzętowy moduł bezpieczeństwa lub HSM. Moduły HSM mogą działać jako menedżer kluczy kryptograficznych, w tym tworzyć, przechowywać i bezpiecznie obsługiwać klucze i certyfikaty szyfrowania. Mogą również działać jako akceleratory kryptograficzne, pomagając odciążyć funkcje szyfrowania, takie jak szyfrowanie Transport Layer Security (TLS). TPM (Trusted Platform Module) to urządzenie służące do przechowywania kluczy dla systemu, ale nie odciążające przetwarzania kryptograficznego i jest używane do kluczy w określonym systemie, a nie do szerszych zastosowań. Procesory i procesory graficzne mogą mieć funkcje przyspieszania kryptograficznego, ale nie przechowują w bezpieczny sposób certyfikatów i innych artefaktów szyfrowania ani nie zarządzają nimi.

170. D. System zapobiegania włamaniom oparty na hoście (HIPS) może monitorować ruch sieciowy w celu identyfikowania ataków, podejrzanego zachowania i znanych złych wzorców za pomocą sygnatur. Zapora zatrzymuje ruch na podstawie reguł; narzędzia antymalware są specjalnie zaprojektowane do powstrzymywania złośliwego oprogramowania, a nie ataków i podejrzanego zachowania w sieci; a system wykrywania włamań oparty na hoście (HIDS) może tylko wykryć, a nie zatrzymać te zachowania.

171. B. Kontrola dostępu oparta na rolach (RBAC) przyznaje uprawnienia na podstawie pozycji użytkownika w organizacji. Obowiązkowa kontrola dostępu (MAC) używa klasyfikacji bezpieczeństwa do przyznawania uprawnień. Uznaniowa kontrola dostępu (DAC) umożliwia właścicielom danych ustawianie uprawnień. Kontrola dostępu oparta na atrybutach (ABAC) uwzględnia różne atrybuty, takie jak lokalizacja, czas i komputer, oprócz nazwy użytkownika i hasła.

172. B. Zmierzony rozruch zapewnia formę potwierdzenia rozruchu, która rejestruje informacje o każdym komponencie załadowanym podczas procesu rozruchu. Informacje te można następnie przesłać do serwera w celu weryfikacji. Zaufany rozruch weryfikuje każdy komponent pod kątem znanej sygnatury. Mierzony rozruch nie dba o czas rozruchu ani nie aktualizuje interfejsu Unified Extensible Firmware Interface (UEFI).

173. D. Bilety wystawia centrum dystrybucji kluczy (KDC). Bilety są generowane przez usługę przyznawania biletów, która zwykle jest częścią KDC. Usługa uwierzytelniania po prostu uwierzytelnia użytkownika, certyfikaty X.509 i urzędy certyfikacji nie są częścią protokołu Kerberos, a usługa przyznawania biletów generuje bilet, ale wystawia go KDC.

174. C. Chociaż łatanie urządzeń jest ważne, najskuteczniejszym sposobem ochrony urządzeń przed atakiem za pomocą brutalnego wymuszania kont administracyjnych jest umieszczenie urządzeń w oddzielnej zarządzanej wirtualnej sieci LAN (VLAN), a następnie kontrolowanie dostępu do tej sieci VLAN. Uniemożliwi to większości atakujących połączenie się z interfejsami administracyjnymi urządzenia. Wyłączenie dostępu administracyjnego może nie być możliwe, a nawet gdyby było, spowodowałoby znaczne problemy, gdy urządzenia musiałyby wprowadzić na nich zmiany.

175. A. Chociaż narzędzia do zarządzania urządzeniami mobilnymi (MDM) i ujednoliconego zarządzania punktami końcowymi (UEM) zapewniają wiele możliwości, stan odblokowania operatora zwykle wymaga sprawdzenia u operatora, jeśli chcesz zweryfikować telefony należące do firmy bez ręcznego sprawdzania każdego urządzenia.

176. A. Środowiska zerowego zaufania mają zazwyczaj bardziej złożoną sieć ze względu na zwiększoną segmentację w celu odizolowania systemów i urządzeń, które mają różne konteksty bezpieczeństwa. Sieci o zerowym zaufaniu również wymagają silnego zarządzania tożsamością i dostępem, a także intensywnie wykorzystują zapory ogniowe uwzględniające aplikacje, aby zachować jak najmniej przywilejów. Oczywiście rejestrowanie i analiza zdarzeń związanych z bezpieczeństwem jest konieczne, aby zapewnić identyfikowanie problemów i reagowanie na nie.

177. A. Certyfikaty cyfrowe wykorzystują standard X.509 (lub standard PGP) i umożliwiają użytkownikowi cyfrowe podpisywanie żądań uwierzytelnienia. OAuth pozwala na przechowywanie informacji o koncie użytkownika końcowego wykorzystywane przez serwisy zewnętrzne, bez ujawniania hasła użytkownika. Nie używa certyfikatów cyfrowych ani nie obsługuje podpisów cyfrowych. Kerberos nie używa certyfikatów cyfrowych ani nie obsługuje podpisów cyfrowych. Karty inteligentne mogą zawierać certyfikaty cyfrowe, ale niekoniecznie muszą je mieć.

178. C. SAML (Security Assertion Markup Language) to platforma Extensible Markup Language (XML) służąca do tworzenia i wymiany informacji o zabezpieczeniach między partnerami online. Integralność użytkowników jest słabością łańcucha tożsamości SAML. Aby złagodzić to ryzyko, systemy SAML muszą używać sesji czasowych, HTTPS i SSL/TLS. LDAP (Lightweight Directory Access Protocol) to protokół, który umożliwia użytkownikowi lokalizowanie osób i innych zasobów, takich jak pliki i urządzenia w sieci. Terminal Access Controller Access Control System Plus (TACACS+) to protokół używany do kontroli dostępu do sieci. TACACS+ zapewnia uwierzytelnianie i autoryzację oprócz rozliczania żądań dostępu w centralnej bazie danych. Zaufanie przechodnie to dwukierunkowa relacja, która jest automatycznie tworzona między domeną nadrzędną i podrzędną w lesie usługi Microsoft Active Directory (AD). Domyślnie współdzieli zasoby ze swoją domeną nadrzędną i umożliwia uwierzytelnionemu użytkownikowi dostęp do zasobów zarówno w domenie podrzędnej, jak i nadrzędnej.

179. C. UEM, czyli ujednolicone zarządzanie punktami końcowymi, zarządza komputerami stacjonarnymi, laptopami, urządzeniami mobilnymi, drukarkami i innymi typami urządzeń. Narzędzia do zarządzania urządzeniami mobilnymi (MDM) koncentrują się na urządzeniach mobilnych.

180. B. Zapory sieciowe oparte na hoście są pierwszym krokiem w większości projektów do ochrony przed zagrożeniami sieciowymi. Mogą zapobiegać wchodzeniu lub wychodzeniu niepożądanego ruchu z hosta, pozostawiając mniejszy ruch do analizy dla systemu zapobiegania włamaniom (HIPS) opartego na hoście lub innych narzędzi. Szyfrowanie całego dysku (FDE) nie powstrzyma zagrożeń sieciowych, a program antywirusowy koncentruje się na zapobieganiu złośliwemu oprogramowaniu, a nie zagrożeniom sieciowym, takim jak odmowa usługi lub wykorzystywanie podatnych usług.

181. A. Grupy zabezpieczeń stanowią wirtualną zaporę dla instancji, pozwalającą na stosowanie reguł do ruchu między instancjami. Dynamiczna alokacja zasobów to koncepcja, która umożliwia wykorzystanie zasobów zgodnie z potrzebami, w tym skalowanie infrastruktury i systemów w locie w górę iw dół. Punkty końcowe wirtualnej chmury prywatnej (VPC) to sposób na łączenie się z usługami wewnątrz dostawcy chmury bez bramy internetowej. Wreszcie, świadomość instancji to koncepcja, która oznacza, że narzędzia wiedzą o różnicach między instancjami, zamiast traktować każdą instancję w grupie skalującej jako taką samą. Może to być ważne podczas procesów reagowania na incydenty i monitorowania bezpieczeństwa dla grup skalowanych, gdzie wszystkie zasoby mogą wyglądać identycznie bez świadomości instancji.

182. D. Chociaż wbudowane narzędzia do aktualizacji obsługują system operacyjny, dodatkowe oprogramowanie zainstalowane w systemach wymaga osobnej aktualizacji. Oprogramowanie i oprogramowanie układowe innych firm, w tym Unified Extensible Firmware Interface (UEFI) lub BIOS systemów wdrożonych w organizacji Dereka, będą wymagały regularnych aktualizacji. Wiele organizacji przyjmuje platformy zarządzania poprawkami lub platformy zarządzania systemem z możliwością wprowadzania poprawek, aby zapewnić, że odbywa się to w szerszym zakresie niż tylko poprawki systemu operacyjnego.

183. A. IDS lub systemy wykrywania włamań mogą wykrywać niechciany i złośliwy ruch tylko na podstawie posiadanych reguł wykrywania i sygnatur. Nie mogą zatrzymać ruchu ani go zmodyfikować. System IPS, czyli system zapobiegania włamaniom, umieszczony w połączeniu z ruchem sieciowym, może podejmować działania na tym ruchu. Dlatego IDS są często używane, gdy blokowanie ruchu sieciowego jest niedopuszczalne lub gdy kran lub inne urządzenie sieciowe jest używane do klonowania ruchu w celu kontroli.

184. C. Chociaż zagrożenia wewnętrzne są problemem, w przypadku kontenerów nie różnią się niczym od innych systemów. Zapewnienie bezpieczeństwa hosta kontenera, zabezpieczenie stosu zarządzania i upewnienie się, że ruch sieciowy do i z kontenerów jest bezpieczny, to typowe problemy z bezpieczeństwem kontenerów.

185. C. Bramki translacji adresów sieciowych (NAT) umożliwiają ukrywanie wewnętrznych adresów IP z zewnątrz, uniemożliwiając bezpośrednie połączenia z systemami znajdującymi się za nimi. To skutecznie blokuje ruch przychodzący, chyba że brama jest ustawiona na przekazywanie ruchu do hosta wewnętrznego, gdy używany jest określony adres IP, port i protokół. Nie są one jednak zaporą ogniową w tradycyjnym sensie i nie blokują konkretnie ruchu przez port i protokół, ani nie wykrywają złośliwego ruchu. Wreszcie bramy NAT nie są używane do wysyłania ruchu innego niż IP do sieci IP.

186. C. Dostęp warunkowy ocenia określone warunki w celu ustalenia, czy zezwolić kontu na dostęp do zasobu. System może zezwolić na dostęp, zablokować dostęp lub zastosować dodatkowe kontrole na podstawie istniejących warunków i dostępnych informacji o logowaniu.

187. B. Jeśli system przechowuje historię haseł, uniemożliwi to każdemu użytkownikowi ponowne użycie starego hasła. Złożoność i długość hasła to typowe ustawienia zabezpieczeń, ale nie uniemożliwiają opisanego zachowania. Uwierzytelnianie wieloskładnikowe pomaga zapobiegać atakom siłowym i zmniejsza potencjalny wpływ skradzionych haseł, ale nie pomogłoby w tym scenariuszu.

188. D. Bridge Protocol Data Unit lub BDPU chroni infrastrukturę sieciową, uniemożliwiając nieznanym urządzeniom uczestnictwo w drzewie opinającym. Zapobiega to temu, że nowy przełącznik dodany przez użytkownika jest mostem głównym (w tym przypadku przełącznikiem C), co normalnie powodowałoby zmianę topologii i wysyłanie ruchu do przełącznika X, co jest niepożądanym skutkiem. 802.11n to protokół bezprzewodowy, a pozostałe opcje zostały wymyślone w odpowiedzi na to pytanie.

189. A. Polecenie net user pozwala na wprowadzenie tej kontroli. Chociaż możesz nie znać wielu poleceń użytkowników sieci, możesz usunąć nierealistyczne polecenia lub polecenia z wadami. Na przykład tutaj możesz prawdopodobnie zgadnąć, że -godziny pracy nie są zdefiniowanym terminem. W ten sam sposób logowanie nie jest poleceniem systemu Windows, ale polecenia sieciowe są powszechnie używane do kontrolowania systemów Windows.

190. A. Audytowanie i sprawdzanie, w jaki sposób użytkownicy faktycznie wykorzystują swoje uprawnienia do konta, byłyby najlepszym sposobem ustalenia, czy występuje jakieś niewłaściwe użycie. Klasycznym przykładem może być urzędnik ds. kredytów bankowych. Z racji wykonywanej pracy mają dostęp do dokumentów kredytowych. Nie powinni jednak mieć dostępu do dokumentów kredytowych dotyczących kredytów, których nie obsługują. Problemem w tym przypadku nie są uprawnienia, ponieważ użytkownicy potrzebują uprawnień dostępu do danych. Problem polega na tym, jak użytkownicy korzystają ze swoich uprawnień. Inspekcja użytkowania i inspekcja uprawnień są częścią obsługi konta, ale lepszym rozwiązaniem jest inspekcja i weryfikacja. Wreszcie, nie jest to kwestia polityczna.

191. B. Scenariusz taki jak dostęp do Wi-Fi dla gości nie zapewnia loginom żadnego dostępu do zasobów firmy. Logujące się osoby uzyskują jedynie dostęp do Internetu. Stanowi to bardzo ograniczone zagrożenie bezpieczeństwa sieci firmowej i dlatego często odbywa się za pomocą wspólnego lub współdzielonego konta. Personel wsparcia technicznego na ogół ma znaczny dostęp do zasobów sieci korporacyjnej. Chociaż jest to scenariusz o stosunkowo niskim dostępie, nadal ważne jest, aby wiedzieć, który konkretny uczeń loguje się i uzyskuje dostęp do jakich zasobów. Każdy poziom dostępu do zasobów firmowych powinien mieć swoje indywidualne konto logowania.

192. B. Łańcuchy certyfikatów zawierają listę certyfikatów i certyfikatów urzędu certyfikacji (CA), umożliwiając tym, którzy otrzymują certyfikat, sprawdzenie, czy można im zaufać. Nieprawidłowy lub uszkodzony łańcuch oznacza, że użytkownik lub system, który sprawdza łańcuch certyfikatów, nie powinien ufać systemowi i certyfikatowi.

193. D. 802.1X to standard IEEE dla kontroli dostępu do sieci opartej na portach. Ten protokół jest często używany do uwierzytelniania urządzeń. Protokół CHAP (Challenge Handshake Authentication Protocol) jest protokołem uwierzytelniania, ale nie jest najlepszym wyborem do uwierzytelniania urządzeń. Kerberos to protokół uwierzytelniania, ale nie jest to najlepszy wybór do uwierzytelniania urządzeń. 802.11i to standard bezpieczeństwa Wi-Fi i jest w pełni zaimplementowany w WPA2 i WPA3. Nie jest to procedura uwierzytelniania urządzenia.

194. A. WPA2 używa protokołu CCMP opartego na AES lub protokołu Counter Mode Block Chaining Message Authentication (CBC-MAC) do enkapsulacji ruchu, zapewniając poufność. WPA3 używa również CCMP jako minimalnego dopuszczalnego szyfrowania w trybie WPA3-Personal. WEP, podczerwień i Bluetooth nie korzystają z CCMP.

195. A. Simple Network Management Protocol (SNMP) da napastnikowi wiele informacji o Twojej sieci. Protokół SNMP nie powinien być narażony na niechronione sieci, należy wdrożyć protokół SNMPv3 i postępować zgodnie z najlepszymi praktykami bezpieczeństwa SNMP. Zarówno POP3, jak i IMAP to protokoły dostępu do poczty e-mail, a protokół dynamicznej konfiguracji hosta (DHCP) służy do przekazywania dynamicznych adresów IP.

196. C. Konta powinny zostać zablokowane po niewielkiej liczbie prób logowania. Trzy to powszechna liczba prób, zanim konto zostanie zablokowane. Uniemożliwia to komuś próby przypadkowego odgadnięcia. Starzenie się haseł zmusi użytkowników do zmiany haseł, ale nie wpłynie na odgadywanie haseł. Dłuższe hasła byłyby trudniejsze do odgadnięcia, ale ta opcja nie jest tak skuteczna jak zasady blokowania kont. Inspekcja użytkowania konta nie będzie miała żadnego wpływu na ten problem.

197. A. Security Assertion Markup Language (SAML) jest opartym na XML, otwartym standardowym formatem wymiany uwierzytelniania i dane autoryzacyjne między stronami. OAuth umożliwia korzystanie z informacji o koncie użytkownika końcowego przez usługi stron trzecich bez ujawniania hasła użytkownika. RADIUS to protokół dostępu zdalnego. New Technology LAN Manager (NTLM) nie jest oparty na XML.

198. A. Challenge Handshake Authentication Protocol (CHAP) został zaprojektowany specjalnie do tego celu. Okresowo przeprowadza ponowne uwierzytelnienie, zapobiegając w ten sposób przechwyceniu sesji. Ani protokół uwierzytelniania hasła (PAP), ani TACACS+ nie zapobiegają przechwytywaniu sesji, a RADIUS to protokół dostępu zdalnego, a nie uwierzytelniania.

199. C. Wirtualne sieci prywatne IPSec (VPN) mogą sprawić, że lokalizacja zdalna będzie wyglądać tak, jakby była połączona z siecią lokalną. Ponieważ Greg musi polegać na kamerze bezpieczeństwa do przesyłania strumieniowego, zawsze dostępna sieć VPN IPSec jest najlepszym z wymienionych rozwiązań. Sieci VPN TLS (SSL) są używane głównie do określonych aplikacji, zwykle koncentrując się na aplikacjach internetowych.

200. B. Specyfikacja pamięci masowej Opal określa, w jaki sposób chronić poufność przechowywanych danych użytkownika oraz jak urządzenia pamięci masowej producentów urządzeń pamięci masowej mogą ze sobą współpracować. OPAL nie określa szczegółów ani procesów dotyczących licencji, kont, bibliotek ani demagnetyzatorów.

201. B. UEFI Secure Boot sprawdza każdy plik binarny ładowany podczas rozruchu, aby upewnić się, że jego skrót jest prawidłowy, porównując go z lokalnie zaufanym certyfikatem lub sumą kontrolną na liście dozwolonych. Nie chroni przed robakami, które mogą zaatakować te pliki binarne, ani nie sprawdza bezpośrednio wersji systemu BIOS.

202. C. OpenID Connect współpracuje z protokołem OAuth 2.0 i obsługuje wielu klientów, w tym klientów internetowych i mobilnych. OpenID Connect obsługuje również REST. Shibboleth to rozwiązanie pośredniczące do uwierzytelniania i zarządzania tożsamością, które wykorzystuje SAML (Security Assertion Markup Language) i działa przez Internet. RADIUS to protokół dostępu zdalnego. OAuth umożliwia korzystanie z informacji o koncie użytkownika końcowego przez usługi stron trzecich bez ujawniania hasła użytkownika.

203. D. Systemy wykrywania oparte na anomaliach budują behawioralną linię bazową dla sieci, a następnie oceniają różnice w stosunku do tych linii bazowych. Mogą korzystać z możliwości heurystycznych, ale pytanie dotyczy konkretnie operacji bazowych wskazujących na system oparty na anomaliach. Wykrycia oparte na heurystyce wyszukują zachowania, które są zazwyczaj złośliwe, a wykrycia oparte na sygnaturach lub hashowaniu wyszukują znane złośliwe narzędzia lub pliki.

204. B. Trusted Platform Module, czyli TPM, jest używany jako podstawa sprzętowego źródła zaufania dla nowoczesnych komputerów PC. Moduł TPM może dostarczyć klucz kryptograficzny; PUF lub fizycznie nieklonowalna funkcja; lub numer seryjny, który jest unikalny dla urządzenia. Procesor i dysk twardy nie są wykorzystywane do tej funkcji, a moduły HSM lub sprzętowe moduły zabezpieczeń są wykorzystywane do celów infrastruktury klucza publicznego (PKI) i kryptografii, ale nie jako sprzętowa podstawa zaufania dla komputerów PC. 205. C. Zapory nowej generacji zazwyczaj zawierają zaawansowane możliwości, takie jak filtrowanie adresów URL, tworzenie czarnych list i inne możliwości warstwy aplikacji, wykraczające poza proste filtrowanie pakietów lub kontrolę pakietów z kontrolą stanu.

206. D. Narzędzia do zarządzania aplikacjami mobilnymi (MAM) są specjalnie zaprojektowane do tego celu i umożliwiają dostarczanie, usuwanie i zarządzanie aplikacjami na urządzeniach mobilnych. MOM to Microsoft Operations Manager, narzędzie do zarządzania systemami, które firma Microsoft zastąpiła obecnie używanym Operations Managerem. MLM często oznacza marketing wielopoziomowy lub piramidy, a nie pojęcie bezpieczeństwa. MIM nie jest terminem zabezpieczającym.

207. A. Aplikacje w chmurze mają wiele takich samych obaw, jak aplikacje lokalne, ale zagrożenie systemu, na którym działa aplikacja, ze względu na dostęp lokalny jest znacznie mniej prawdopodobnym scenariuszem. Dostawcy aplikacji w chmurze częściej działają w bezpiecznych centrach danych z ograniczonym lub bez dostępu do serwerów, z wyjątkiem upoważnionego personelu, co znacznie zmniejsza prawdopodobieństwo tego typu problemów z bezpieczeństwem.

208. D. Najbardziej krytyczną częścią urzędu certyfikacji (CA) jest jego certyfikat główny, a zapewnienie, że certyfikat główny nigdy nie zostanie ujawniony, ma kluczowe znaczenie dla ciągłego działania tego urzędu certyfikacji. W związku z tym główne urzędy certyfikacji są często utrzymywane jako urzędy certyfikacji offline, co znacznie utrudnia atakującemu złamanie zabezpieczeń systemu i uzyskanie dostępu do certyfikatu głównego. W praktyce zagrożone urzędy certyfikacji mogą stracić zaufanie organizacji na całym świecie i nie być w stanie kontynuować działalności.

209. C. Sieci VPN z dzielonym tunelem wysyłają przez VPN tylko ruch przeznaczony dla sieci zdalnej, przy czym cały inny ruch jest rozdzielany w celu wykorzystania systemu VPN lub podstawowego połączenia sieciowego użytkownika. Zmniejsza to ogólny ruch przesyłany przez VPN, ale oznacza, że ruchu nie można monitorować i zabezpieczać przez VPN. Half-pipe nie jest terminem związanym z zabezpieczeniami, a Split Horizon jest najczęściej używany do opisania DNS, w którym wewnętrzny i zewnętrzny widok DNS może się różnić.

210. A. Ochrona pętli szuka dokładnie tego typu problemów. Ochrona przed pętlami wysyła pakiety zawierające jednostkę PDU lub jednostkę danych protokołu. Są one wykrywane przez inne urządzenia sieciowe i umożliwiają urządzeniom sieciowym zamykanie portów, z których otrzymują te pakiety. Pozostałe opcje zostały wymyślone dla tego pytania.

211. C. Aktualizacje OTA (Over-the-air) są używane przez operatorów komórkowych oraz producentów telefonów w celu dostarczania aktualizacji oprogramowania układowego i zaktualizowanych danych konfiguracyjnych telefonu. Narzędzia do zarządzania urządzeniami mobilnymi (MDM) mogą być używane do monitorowania bieżącej wersji oprogramowania układowego i ustawień telefonu, co pozwoli Charlesowi określić, czy telefony, z których korzysta jego personel, są zaktualizowane w celu zapewnienia bezpieczeństwa. Agent kontroli dostępu do sieci (NAC) może przechwytywać niektóre z tych danych, ale tylko w przypadku telefonów podłączonych do sieci, co nie obejmuje telefonów znajdujących się poza siedzibą firmy, telefonów z wyłączoną siecią Wi-Fi ani urządzeń zdalnych. OTA nie jest konkretnie sposobem aktualizacji kluczy szyfrowania, chociaż oprogramowanie układowe lub ustawienia mogą je zawierać. OTA nie jest wysyłana przez same telefony.

212. C. Zapory typu open source zazwyczaj nie mają takiego samego poziomu wsparcia i konserwacji dostawców, jak zapory komercyjne. Oznacza to, że nie masz dostawcy, do którego możesz się zwrócić, jeśli coś pójdzie nie tak, i będziesz zależny od społeczności wsparcia w zakresie poprawek i aktualizacji. Zapory typu open source są zazwyczaj tańsze, a ich charakter open source oznacza, że kod może zostać zweryfikowany przez każdego, kto chce go zbadać, i można go zdobyć tak szybko, jak można go pobrać.

213. C. WPA3 personal zastąpił PSK lub klucze współdzielone z SAE lub równoczesnym uwierzytelnianiem równych. SAE pomaga zapobiegać atakom typu brute-force na klucze, umożliwiając atakującemu interakcję z siecią przed każdą próbą uwierzytelnienia. Spowalnia to ataki siłowe. WPA3 obejmuje również 192-bitowy tryb szyfrowania. Nie zastępuje szyfrowania 64-bitowego szyfrowaniem 128-bitowym, nie dodaje zabezpieczeń dla każdego kanału ani nie dodaje monitorowania i zapobiegania rozproszonej odmowie usługi (DDoS).

214. B. Security Enhanced Linux (SELinux) umożliwia obowiązkową kontrolę dostępu dla systemów opartych na systemie Linux, a SEAndroid jest implementacją SELinux na Androida. Oznacza to, że Isaac może używać SEAndroida do osiągania swoich celów. Android korzysta z rejestru, ale nie ma trybu MAC. MACDroid został wymyślony na to pytanie, a tryb jednego użytkownika nie czyni Androida systemem opartym na MAC.

215. B. Opisany system jest systemem zarządzania dostępem uprzywilejowanym (PAM). Systemy PAM służą do bezpiecznego zarządzania kontami uprzywilejowanymi i kontrolowania ich. MAC to schemat kontroli dostępu który wymusza dostęp na poziomie systemu operacyjnego. FDE to pełne szyfrowanie dysku, a TLS to Transport Layer Security.

216. A. Korzystanie z narzędzia do zarządzania urządzeniami mobilnymi (MDM), które umożliwia kontrolowanie urządzeń, umożliwiłoby Alainie zablokowanie kamer, uniemożliwiając pracownikom korzystanie z tabletów z systemem Android do robienia zdjęć. Nadal musiałaby upewnić się, że jej personel nie przyniesie do obiektu własnych urządzeń wyposażonych w kamery. DLP to zapobieganie utracie danych, OPAL to standard szyfrowania dysków, a MMC ma wiele znaczeń, w tym karty multimedialne i przystawki Microsoft Management Console dla systemów Windows, z których żadne nie zapewniłoby potrzebnej kontroli.

217. C. Uniwersalne narzędzie do zarządzania punktami końcowymi (UEM) może zarządzać komputerami stacjonarnymi, laptopami, urządzeniami mobilnymi, drukarkami i innymi urządzeniami. Narzędzia UEM często wykorzystują aplikacje wdrożone na urządzeniach mobilnych do ich konfigurowania i zarządzania, a najlepszą opcją Olivii z tej listy jest narzędzie UEM. CASB jest brokerem bezpieczeństwa dostępu do chmury i nie służy do zarządzania urządzeniami mobilnymi, a inne opcje wymagają ogromnej ilości pracy ręcznej i prawdopodobnie nie przyniosą sukcesu - lub użytkownicy po prostu zmienią ustawienia, gdy będzie to dla nich wygodne.

218. C. Bezpieczne bramy internetowe nowej generacji (NG) (SWG) dodają dodatkowe funkcje poza tymi, które można znaleźć w brokerach bezpieczeństwa dostępu do chmury i zaporach sieciowych nowej generacji. Chociaż funkcje mogą się różnić, mogą obejmować filtrowanie stron internetowych, deszyfrowanie TLS w celu umożliwienia analizy ruchu i zaawansowanej ochrony przed zagrożeniami, funkcje brokera bezpieczeństwa dostępu do chmury (CASB), zapobieganie utracie danych (DLP) i inne zaawansowane możliwości. Tego typu rozwiązanie jest stosunkowo nowe, a rynek szybko się zmienia.

219. C. Polityki dostępu są budowane przy użyciu informacji i atrybutów dotyczących żądań dostępu. Jeśli wymagania zasad są spełnione, można wykonać działania, takie jak zezwalanie lub odmawianie dostępu lub wymaganie dodatkowych kroków uwierzytelniania. Geolokalizacja i oparte na czasie loginy koncentrują się na pojedynczym komponencie informacyjnym, a inspekcja kont służy do przeglądania uprawnień dla kont, a nie do wykonywania tego typu weryfikacji lub kontroli opartej na zasadach.

220. B. Numeryczne reprezentacje praw dostępu do plików są powszechnie używane zamiast używania notacji rwx z chmod . Cyfra 7 oznacza pełne uprawnienia, a pierwsza cyfra uprawnienia użytkownika, co oznacza, że w tym miejscu użytkownik otrzyma pełny dostęp do pliku.

221. B. Przypinanie certyfikatu kojarzy znany certyfikat z hostem, a następnie porównuje ten znany certyfikat z przedstawionym certyfikatem. Może to pomóc w zapobieganiu atakom typu man-in-the-middle, ale może się nie powieść, jeśli certyfikat zostanie zaktualizowany, a przypięty nie. Lista CRL lub lista odwołania certyfikatów pokazuje, czy certyfikat został odwołany, ale nie pokazuje, czy został zmieniony. Patrick nie będzie miał dostępu do klucza prywatnego zdalnego serwera, chyba że jest administratorem.

222. C. Privacy Enhanced Mail (PEM) to najpopularniejszy format wydawany przez urzędy certyfikacji. Format Distinguished Encoding Rules (DER) jest binarną formą formatu tekstowego ASCII PEM. Format PKCS#7 lub P7B to Base64 ASCII, a PKCS#12 lub PFX to format binarny używany do przechowywania certyfikatów serwera, certyfikatów pośrednich i kluczy prywatnych w jednym pliku.

223. C. Jedyną opcją Michelle jest usunięcie certyfikatu z listy zaufanych certyfikatów na każdym komputerze, który mu zaufał. Może to być czasochłonne i podatne na błędy, a to jeden z powodów autopodpisu w wielu organizacjach unika się produkcji certyfikatów.

224. D. Zmiana adresów IP powiązanych z domeną na dowolną wartość może spowodować routing lub inne problemy. Oznacza to, że zmiana adresu IP nie byłaby wybraną metodą walidacji domeny. Pozostałe opcje to legalne i normalne sposoby walidacji certyfikatów.

225. A. SNMPv3 dodaje możliwość uwierzytelniania użytkowników i grup, a następnie szyfrowania wiadomości, zapewniając integralność i poufność wiadomości. Nie ma wbudowanej funkcji zapobiegania wstrzykiwaniu SQL, ale nie jest to również protokół, w którym wstrzykiwanie SQL zwykle stanowi problem.

226. A. Ten diagram przedstawia odwrotne proxy. Odwrotny serwer proxy odbiera połączenia ze świata zewnętrznego i wysyła je do serwera wewnętrznego. Przekierowujący serwer proxy przyjmuje połączenia wewnętrzne i wysyła je do serwerów zewnętrznych. Serwery proxy typu round-robin i nowej generacji nie są typami serwerów proxy, chociaż roundrobin jest formą równoważenia obciążenia.




[ 2182 ]