Câu 51:
Điều nào sau đây mà một nhà phân tích bảo mật có nhiều khả năng sử dụng nhất để so sánh các TTP giữa những kẻ thù đã biết khác nhau của một tổ chức?
A. MITRE ATT&CK
B. Cyber Kill Chain
C. OWASP
D. STIX/TAXII
Đáp án: A
Câu 52:
Một nhà phân tích đang khắc phục các mục liên quan đến một sự cố gần đây. Nhà phân tích đã cô lập lỗ hổng và đang tích cực loại bỏ nó khỏi hệ thống. Bước nào sau đây của quy trình mô tả điều này?
A. Loại bỏ
B. Phục hồi
C. Ngăn chặn
D. Chuẩn bị
Đáp án: A
Câu 53:
Joe, một nhân viên bán hàng hàng đầu tại một tổ chức, đã thông báo trên mạng xã hội rằng anh ấy sẽ rời bỏ vai trò hiện tại của mình để thành lập một công ty mới cạnh tranh với chủ lao động hiện tại của mình. Joe đang lôi kéo khách hàng của chủ lao động hiện tại. Tuy nhiên, Joe vẫn chưa từ chức hoặc thảo luận điều này với người giám sát hiện tại của mình. Hành động nào sau đây là tốt nhất mà nhóm phản ứng sự cố nên khuyến nghị?
A. Cô lập PC của Joe khỏi mạng
B. Cài đặt lại PC dựa trên quy trình vận hành tiêu chuẩn
C. Khởi tạo xóa dữ liệu từ xa trên PC của Joe bằng cách sử dụng quản lý thiết bị di động
D. Không thực hiện hành động nào cho đến khi HR hoặc cố vấn pháp lý tư vấn về các bước tiếp theo
Đáp án: D
Câu 54:
Giám đốc An ninh Thông tin đang chỉ đạo một chương trình mới để giảm rủi ro và các mối đe dọa về bề mặt tấn công như một phần của phương pháp zero trust. Đội ngũ bảo mật CNTT được yêu cầu đưa ra các ưu tiên cho chương trình. Dựa trên các khung tấn công phổ biến, ưu tiên nào sau đây là tốt nhất?
A. Giảm tài khoản quản trị viên và quyền truy cập đặc quyền
B. Sử dụng IDS dựa trên mạng
C. Tiến hành phản ứng sự cố kỹ lưỡng
D. Bật SSO cho các ứng dụng doanh nghiệp
Đáp án: A
Câu 55:
Trong kỳ nghỉ lễ kéo dài, một công ty đã gặp sự cố bảo mật. Thông tin này đã được chuyển tiếp đúng cách đến nhân viên thích hợp một cách kịp thời và máy chủ đã được cập nhật và cấu hình với tính năng kiểm tra và ghi nhật ký phù hợp. Giám đốc An ninh Thông tin muốn tìm hiểu chính xác những gì đã xảy ra. Hành động nào sau đây mà nhà phân tích nên thực hiện trước tiên?
A. Nhân bản máy chủ ảo để phân tích pháp y
B. Đăng nhập vào máy chủ bị ảnh hưởng và bắt đầu phân tích nhật ký
C. Khôi phục từ bản sao lưu tốt nhất gần đây nhất để xác nhận không bị mất kết nối
D. Tắt máy chủ bị ảnh hưởng ngay lập tức
Đáp án: A
Câu 56:
Quản trị viên hệ thống đang xem xét luồng lưu lượng truy cập ngoài giờ làm việc từ các máy chủ trung tâm dữ liệu và thấy các kết nối HTTPS đi ra ngoài thường xuyên từ một trong các máy chủ đến địa chỉ IP công cộng. Máy chủ không nên thực hiện các kết nối đi ra ngoài sau giờ làm việc. Xem xét kỹ hơn, quản trị viên thấy mô hình lưu lượng truy cập này diễn ra suốt cả ngày trong giờ làm việc. Lời giải thích nào sau đây là hợp lý nhất?
A. Hoạt động beaconing C2
B. Rò rỉ dữ liệu
C. Hoạt động bất thường trên các cổng không mong muốn
D. Quét địa chỉ IP máy chủ mạng
E. Thiết bị mạng giả mạo
Đáp án: A
Câu 57:
Nhân viên mới trong một tổ chức đã liên tục cắm webcam cá nhân mặc dù chính sách của công ty cấm sử dụng thiết bị cá nhân. Quản lý SOC phát hiện ra rằng nhân viên mới không biết chính sách của công ty. Quản lý SOC có nhiều khả năng khuyến nghị điều nào sau đây để giúp đảm bảo nhân viên mới chịu trách nhiệm tuân theo chính sách của công ty?
A. Phòng nhân sự phải gửi email bản sao của thỏa thuận người dùng cho tất cả nhân viên mới
B. Người giám sát phải nhận được xác nhận bằng lời nói từ nhân viên mới cho biết họ đã đọc thỏa thuận người dùng
C. Tất cả nhân viên mới phải làm bài kiểm tra về chính sách bảo mật của công ty trong quá trình giới thiệu
D. Tất cả nhân viên mới phải ký thỏa thuận người dùng để thừa nhận chính sách bảo mật của công ty
Đáp án: D
Câu 58:
Một nhà phân tích đã được yêu cầu xác thực rủi ro tiềm ẩn của một chiến dịch ransomware mới mà Giám đốc Tài chính đã đọc được trên báo. Công ty là nhà sản xuất của một lò xo rất nhỏ được sử dụng trong máy bay chiến đấu mới nhất và là một phần quan trọng của chuỗi cung ứng cho máy bay này. Nguồn thông tin tình báo về mối đe dọa nào sau đây là tốt nhất để tìm hiểu về chiến dịch mới này?
A. Tổ chức chia sẻ thông tin
B. Blog/diễn đàn
C. Nhóm phản ứng sự cố an ninh mạng
D. Web sâu/tối
Đáp án: A
Câu 59:
Một nhóm phản ứng sự cố đã hoàn thành việc ứng phó với một sự cố bảo mật nghiêm trọng. Ban quản lý đã yêu cầu nhà phân tích chính cung cấp báo cáo sau hành động bao gồm các bài học kinh nghiệm. Lý do nào sau đây có nhiều khả năng nhất để đưa vào các bài học kinh nghiệm?
A. Để đáp ứng các yêu cầu pháp lý đối với báo cáo sự cố
B. Để quy trách nhiệm cho các bộ phận khác
C. Để xác định các lĩnh vực cần cải thiện trong quy trình ứng phó sự cố
D. Để làm nổi bật các thông lệ đáng chú ý của nhóm phản ứng sự cố của tổ chức
Đáp án: C
Câu 60:
Một nhóm quản lý lỗ hổng không thể vá tất cả các lỗ hổng được tìm thấy trong quá trình quét hàng tuần của họ. Sử dụng hệ thống chấm điểm của bên thứ ba được mô tả bên dưới, nhóm vá các lỗ hổng khẩn cấp nhất: (bảng)
Ngoài ra, nhóm quản lý lỗ hổng cảm thấy rằng các chỉ số Smear và Channing kém quan trọng hơn các chỉ số khác, vì vậy những chỉ số này sẽ có mức độ ưu tiên thấp hơn. Lỗ hổng nào sau đây nên được vá trước tiên, dựa trên hệ thống chấm điểm của bên thứ ba ở trên?
A. (bảng)
B. (bảng)
C. (bảng)
D. (bảng)
Đáp án: B
Câu 61:
Người dùng tải xuống phần mềm có chứa phần mềm độc hại vào máy tính, cuối cùng lây nhiễm sang nhiều hệ thống khác. Người dùng đã trở thành điều gì sau đây?
A. Hacktivist
B. Mối đe dọa dai dẳng nâng cao
C. Mối đe dọa nội bộ
D. Script kiddie
Đáp án: C
Câu 62:
Một tổ chức đã kích hoạt CSIRT. Một nhà phân tích bảo mật tin rằng một máy chủ ảo duy nhất đã bị xâm nhập và ngay lập tức bị cô lập khỏi mạng. CSIRT nên tiến hành điều nào sau đây tiếp theo?
A. Chụp ảnh nhanh của máy chủ bị xâm nhập và xác minh tính toàn vẹn của nó
B. Khôi phục máy chủ bị ảnh hưởng để loại bỏ bất kỳ phần mềm độc hại nào
C. Liên hệ với cơ quan chính phủ thích hợp để điều tra
D. Nghiên cứu chủng phần mềm độc hại để thực hiện phân bổ
Đáp án: A
Câu 63:
Trong một sự cố, nhà phân tích cần thu thập bằng chứng để điều tra sau này. Điều nào sau đây phải được thu thập trước tiên trong hệ thống máy tính, liên quan đến mức độ biến động của nó?
A. Nội dung đĩa
B. Dữ liệu sao lưu
C. Tệp tạm thời
D. Quy trình đang chạy
Đáp án: D
Câu 64:
Một nhà phân tích bảo mật đang cố gắng xác định các địa chỉ mạng khả dĩ từ các mạng nguồn khác nhau thuộc cùng một công ty và khu vực. Hàm tập lệnh shell nào sau đây có thể giúp đạt được mục tiêu?
A. (hàm shell)
B. (hàm shell)
C. (hàm shell)
D. (hàm shell)
Đáp án: C
Câu 65:
Một nhà phân tích bảo mật đang viết một tập lệnh shell để xác định các địa chỉ IP từ cùng một quốc gia. Hàm nào sau đây sẽ giúp nhà phân tích đạt được mục tiêu?
A. (hàm shell)
B. (hàm shell)
C. (hàm shell)
D. (hàm shell)
Đáp án: B
Câu 66:
Một nhà phân tích bảo mật đã nhận được bảng kết quả sau từ đánh giá lỗ hổng gần đây được tiến hành trên một máy chủ web duy nhất trong môi trường: (bảng)
Điều nào sau đây nên được hoàn thành trước tiên để khắc phục các phát hiện?
A. Yêu cầu nhóm phát triển web cập nhật nội dung trang
B. Thêm danh sách cho phép địa chỉ IP để truy cập bảng điều khiển
C. Mua chứng chỉ thích hợp từ CA gốc đáng tin cậy
D. Thực hiện vệ sinh phù hợp trên tất cả các trường
Đáp án: D
Câu 67:
Khi xem xét nhật ký máy chủ web, một nhà phân tích nhận thấy một số mục nhập có cùng dấu thời gian, nhưng tất cả đều chứa các ký tự lẻ trong dòng yêu cầu. Bước nào sau đây nên được thực hiện tiếp theo?
A. Tắt mạng ngay lập tức và gọi người tiếp theo trong chuỗi lệnh.
B. Xác định cuộc tấn công mà các ký tự lẻ biểu thị.
C. Sử dụng khung tấn công chính xác và xác định phản ứng sự cố sẽ bao gồm những gì.
D. Thông báo cho cơ quan thực thi pháp luật địa phương để ứng phó sự cố.
Đáp án: B
Câu 68:
Một nhóm bảo mật tiến hành một cuộc họp rút kinh nghiệm sau khi gặp khó khăn trong việc xác định ai nên tiến hành các bước tiếp theo sau một sự kiện bảo mật. Nhóm nên tạo điều nào sau đây để giải quyết vấn đề này?
A. Thỏa thuận cấp độ dịch vụ
B. Kế hoạch quản lý thay đổi
C. Kế hoạch ứng phó sự cố
D. Bản ghi nhớ hiểu biết
Đáp án: C
Câu 69:
Một nhà phân tích an ninh mạng nhận thấy hoạt động quét mạng bất thường đến từ một quốc gia mà công ty không kinh doanh. Kỹ thuật giảm thiểu nào sau đây là tốt nhất?
A. Chặn địa lý quốc gia vi phạm.
B. Chặn dải IP của các lần quét tại tường lửa mạng.
C. Thực hiện phân tích xu hướng lịch sử và tìm kiếm hoạt động quét tương tự.
D. Chặn địa chỉ IP cụ thể của các lần quét tại tường lửa mạng.
Đáp án: A
Câu 70:
Một nhà phân tích đã nhận được thông báo sự kiện IPS từ SIEM cho biết địa chỉ IP, được biết là độc hại, đã cố gắng khai thác lỗ hổng zero-day trên một số máy chủ web. Khai thác chứa đoạn mã sau:
/wp-json/trx_addons/V2/get/sc_layout?sc=wp_insert_user&role=administrator
Biện pháp kiểm soát nào sau đây sẽ hoạt động tốt nhất để giảm thiểu cuộc tấn công được biểu thị bằng đoạn mã này?
A. Chỉ cho phép quản trị viên tạo người dùng.
B. Chỉ cho phép quản trị viên tạo bố cục.
C. Đặt thư mục trx_addons chỉ đọc cho tất cả người dùng.
D. Đặt thư mục V2 chỉ đọc cho tất cả người dùng.
Đáp án: A
Câu 71:
Một người kiểm tra thâm nhập đã gửi dữ liệu vào một biểu mẫu trong ứng dụng web, cho phép người kiểm tra thâm nhập lấy lại thông tin đăng nhập của người dùng. Điều nào sau đây nên được khuyến nghị để khắc phục lỗ hổng ứng dụng này?
A. Thực hiện xác thực đa yếu tố trên hệ điều hành máy chủ
B. Băm mật khẩu người dùng trên ứng dụng web
C. Thực hiện xác thực đầu vào trước khi cho phép gửi
D. Phân đoạn mạng giữa người dùng và máy chủ web
Đáp án: C
Câu 72:
Trưởng nhóm an ninh mạng đang phát triển các chỉ số để trình bày trong các cuộc họp ngắn điều hành hàng tuần. Các giám đốc điều hành quan tâm đến việc biết mất bao lâu để ngăn chặn sự lây lan của phần mềm độc hại xâm nhập vào mạng. Trưởng nhóm nên bao gồm chỉ số nào sau đây trong các cuộc họp ngắn?
A. Thời gian trung bình giữa các lần hỏng
B. Thời gian phát hiện trung bình
C. Thời gian khắc phục trung bình
D. Thời gian ngăn chặn trung bình
Đáp án: C
Câu 73:
Một nhân viên đã truy cập một trang web khiến thiết bị bị nhiễm phần mềm độc hại xâm lấn. Nhà phân tích phản ứng sự cố đã:
- tạo nhật ký bằng chứng ban đầu.
- vô hiệu hóa bộ điều hợp không dây trên thiết bị.
- phỏng vấn nhân viên, người không thể xác định trang web đã truy cập.
- xem xét nhật ký lưu lượng truy cập proxy web.
Nhà phân tích nên làm gì để khắc phục thiết bị bị nhiễm?
A. Cập nhật phần sụn hệ thống và cài đặt lại phần cứng.
B. Cài đặt thêm máy quét phần mềm độc hại sẽ gửi cảnh báo qua email cho nhà phân tích.
C. Cấu hình hệ thống để sử dụng máy chủ proxy để truy cập Internet.
D. Xóa hồ sơ người dùng và khôi phục dữ liệu từ bản sao lưu.
Đáp án: A
Câu 74:
Nhóm đám mây nhận được cảnh báo rằng các tài nguyên trái phép đang được tự động cung cấp. Sau khi điều tra, nhóm nghi ngờ rằng đang xảy ra hoạt động đào tiền điện tử. Chỉ báo nào sau đây có nhiều khả năng nhất dẫn dắt nhóm đến kết luận này?
A. Sử dụng GPU cao
B. Tiêu thụ băng thông
C. Thay đổi trái phép
D. Lưu lượng truy cập bất thường tăng đột biến
Đáp án: A
Câu 75:
Nhóm bảo mật của công ty đang cập nhật một phần của chính sách báo cáo liên quan đến việc sử dụng tài nguyên không phù hợp (ví dụ: nhân viên cài đặt máy đào tiền điện tử trên máy trạm trong văn phòng). Ngoài nhóm bảo mật, vấn đề này nên được leo thang đến nhóm nào sau đây trước tiên để tuân thủ các thông lệ tốt nhất trong ngành?
A. Bộ phận trợ giúp
B. Cơ quan thực thi pháp luật
C. Phòng pháp lý
D. Thành viên hội đồng quản trị
Đáp án: C
Câu 76:
Cho chuỗi CVSS sau:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Thuộc tính nào sau đây mô tả chính xác lỗ hổng này?
A. Cần có người dùng để khai thác lỗ hổng này.
B. Lỗ hổng dựa trên mạng.
C. Lỗ hổng không ảnh hưởng đến tính bảo mật.
D. Độ phức tạp để khai thác lỗ hổng là cao.
Đáp án: B
Câu 77:
Một công ty dịch vụ tiền điện tử chủ yếu quan tâm đến việc đảm bảo tính chính xác của dữ liệu trên một trong các hệ thống của mình. Một nhà phân tích bảo mật đã được giao nhiệm vụ ưu tiên các lỗ hổng để khắc phục cho hệ thống. Nhà phân tích sẽ sử dụng các chỉ số tác động CVSSv3.1 sau để ưu tiên: (bảng)
Lỗ hổng nào sau đây nên được ưu tiên để khắc phục?
A. 1
B. 2
C. 3
D. 4
Đáp án: D
Câu 78:
Các bản vá cho hai lỗ hổng bị khai thác cao đã được phát hành vào cùng chiều thứ Sáu. Thông tin về hệ thống và lỗ hổng được hiển thị trong các bảng bên dưới: (bảng)
Điều nào sau đây mà nhà phân tích bảo mật nên ưu tiên để khắc phục?
A. rogers
B. brady
C. brees
D. manning
Đáp án: B
Câu 79:
Một nhà phân tích bảo mật phải bảo quản ổ cứng hệ thống có liên quan đến yêu cầu kiện tụng. Phương pháp nào sau đây là tốt nhất để đảm bảo dữ liệu trên thiết bị không bị sửa đổi?
A. Tạo giá trị băm và tạo ảnh sao lưu.
B. Mã hóa thiết bị để đảm bảo tính bảo mật của dữ liệu.
C. Bảo vệ thiết bị bằng mật khẩu phức tạp.
D. Thực hiện kết xuất quét bộ nhớ để thu thập dữ liệu còn sót lại.
Đáp án: A
Câu 80:
Điều nào sau đây mô tả rõ nhất mục tiêu của bài tập trên bàn?
A. Để kiểm tra các kịch bản sự cố có thể xảy ra và cách phản ứng đúng cách
B. Để thực hiện các bài tập tấn công để kiểm tra hiệu quả phản ứng
C. Để hiểu các tác nhân đe dọa hiện có và cách sao chép kỹ thuật của họ
D. Để kiểm tra hiệu quả của kế hoạch liên tục kinh doanh
Đáp án: A
Câu 81:
Một máy chủ web ảo trong nhóm máy chủ đã bị nhiễm phần mềm độc hại sau khi nhà phân tích sử dụng internet để nghiên cứu sự cố hệ thống. Sau khi máy chủ được xây dựng lại và thêm trở lại vào nhóm máy chủ, người dùng đã báo cáo sự cố với trang web, cho biết trang web không đáng tin cậy. Nguyên nhân nào sau đây có nhiều khả năng nhất gây ra sự cố máy chủ?
A. Máy chủ được cấu hình để sử dụng SSL để truyền dữ liệu an toàn.
B. Máy chủ đang hỗ trợ các giao thức TLS yếu cho các kết nối máy khách.
C. Phần mềm độc hại đã lây nhiễm tất cả các máy chủ web trong nhóm.
D. Chứng chỉ kỹ thuật số trên máy chủ web đã tự ký.
Đáp án: D
Câu 82:
Lỗ hổng tiêm lệnh zero-day đã được công bố. Quản trị viên bảo mật đang phân tích nhật ký sau để tìm bằng chứng về kẻ thù đang cố gắng khai thác lỗ hổng: (nhật ký)
Mục nhập nhật ký nào sau đây cung cấp bằng chứng về nỗ lực khai thác?
A. Mục nhập nhật ký 1
B. Mục nhập nhật ký 2
C. Mục nhập nhật ký 3
D. Mục nhập nhật ký 4
Đáp án: A
Câu 83:
Một nhà phân tích bảo mật cần đảm bảo rằng các hệ thống trong toàn tổ chức được bảo vệ dựa trên độ nhạy cảm của nội dung mà mỗi hệ thống lưu trữ. Nhà phân tích đang làm việc với các chủ sở hữu hệ thống tương ứng để giúp xác định phương pháp tốt nhất nhằm thúc đẩy tính bảo mật, tính khả dụng và tính toàn vẹn của dữ liệu đang được lưu trữ. Điều nào sau đây mà nhà phân tích bảo mật nên thực hiện trước tiên để phân loại và ưu tiên các hệ thống tương ứng?
A. Phỏng vấn người dùng truy cập các hệ thống này.
B. Quét các hệ thống để xem lỗ hổng nào hiện đang tồn tại.
C. Cấu hình cảnh báo cho các khai thác zero-day dành riêng cho nhà cung cấp.
D. Xác định giá trị tài sản của từng hệ thống.
Đáp án: D
Câu 84:
Một nhà phân tích bảo mật đang xem xét cảnh báo sau được kích hoạt bởi FIM trên hệ thống quan trọng: (bảng)
Điều nào sau đây mô tả rõ nhất hoạt động đáng ngờ đang xảy ra?
A. Chương trình chống vi-rút giả được cài đặt bởi người dùng.
B. Ổ đĩa mạng đã được thêm vào để cho phép lọc dữ liệu.
C. Một chương trình mới đã được đặt để thực thi khi khởi động hệ thống.
D. Tường lửa máy chủ trên 192.168.1.10 đã bị vô hiệu hóa.
Đáp án: C
Câu 85:
Điều nào sau đây mô tả rõ nhất tài liệu xác định kỳ vọng đối với khách hàng mạng rằng việc vá lỗi sẽ chỉ xảy ra trong khoảng thời gian từ 2:00 sáng đến 4:00 sáng?
A. SLA
B. LOI
C. MOU
D. KPI
Đáp án: A
Câu 86:
Một nhà phân tích an ninh mạng đang xem xét nhật ký SIEM và quan sát các yêu cầu nhất quán bắt nguồn từ máy chủ nội bộ đến máy chủ bên ngoài bị chặn. Điều nào sau đây mô tả rõ nhất hoạt động đang diễn ra?
A. Lọc dữ liệu
B. Thiết bị giả mạo
C. Quét
D. Beaconing
Đáp án: D
Câu 87:
Nhóm phản ứng sự cố đang làm việc với cơ quan thực thi pháp luật để điều tra sự xâm nhập máy chủ web đang hoạt động. Quyết định đã được đưa ra để giữ cho máy chủ chạy và thực hiện các biện pháp kiểm soát bù trừ trong một khoảng thời gian. Dịch vụ web phải có thể truy cập được từ internet thông qua proxy ngược và phải kết nối với máy chủ cơ sở dữ liệu. Biện pháp kiểm soát bù trừ nào sau đây sẽ giúp ngăn chặn kẻ thù trong khi đáp ứng các yêu cầu khác? (Chọn hai).
A. Xóa các bảng trên máy chủ cơ sở dữ liệu để ngăn chặn lọc dữ liệu.
B. Triển khai EDR trên máy chủ web và máy chủ cơ sở dữ liệu để giảm khả năng của kẻ thù.
C. Dừng dịch vụ httpd trên máy chủ web để kẻ thù không thể sử dụng khai thác web.
D. Sử dụng phân đoạn vi mô để hạn chế kết nối đến/từ web và máy chủ cơ sở dữ liệu.
E. Nhận xét tài khoản HTTP trong tệp /etc/passwd của máy chủ web.
F. Di chuyển cơ sở dữ liệu từ máy chủ cơ sở dữ liệu sang máy chủ web.
Đáp án: BD
Câu 88:
Một thành viên nhóm phản ứng sự cố đang phân loại máy chủ Linux. Đầu ra được hiển thị bên dưới: (đầu ra)
Điều nào sau đây mà kẻ thù có nhiều khả năng nhất đang cố gắng làm?
A. Tạo tài khoản root cửa hậu có tên zsh.
B. Thực thi các lệnh thông qua tài khoản dịch vụ không được bảo mật.
C. Gửi đèn hiệu đến máy chủ chỉ huy và điều khiển.
D. Thực hiện tấn công từ chối dịch vụ trên máy chủ web.
Đáp án: B
Câu 89:
Một nhà phân tích SOC xác định nội dung sau khi kiểm tra đầu ra của lệnh gỡ lỗi trên ứng dụng máy khách-máy chủ:
getConnection(database01,”alpha”,”AxTv.127GdCx94GTd”);
Lỗ hổng nào sau đây có nhiều khả năng nhất trong hệ thống này?
A. Thiếu xác thực đầu vào
B. Tiêm SQL
C. Thông tin đăng nhập được mã hóa cứng
D. Tràn bộ nhớ đệm
Đáp án: C
Câu 90:
Một kỹ thuật viên đang phân tích đầu ra từ một công cụ lập bản đồ mạng phổ biến cho kiểm tra PCI: (đầu ra Nmap)
Điều nào sau đây mô tả rõ nhất đầu ra?
A. Máy chủ không hoạt động hoặc không phản hồi.
B. Máy chủ đang chạy quá nhiều bộ mật mã.
C. Máy chủ đang cho phép các bộ mật mã không an toàn.
D. Cổng Secure Shell trên máy chủ này đã bị đóng.
Đáp án: C
Câu 91:
Nhà cung cấp dịch vụ bảo mật được quản lý đang gặp khó khăn trong việc giữ chân nhân tài do khối lượng công việc ngày càng tăng do khách hàng tăng gấp đôi số lượng thiết bị được kết nối với mạng. Điều nào sau đây sẽ hỗ trợ tốt nhất trong việc giảm khối lượng công việc mà không cần tăng nhân sự?
A. SIEM
B. XDR
C. SOAR
D. EDR
Đáp án: C
Câu 92:
Một nhân viên bị nghi ngờ sử dụng sai máy tính xách tay do công ty cấp. Nhân viên đã bị đình chỉ trong khi chờ điều tra của bộ phận nhân sự. Bước nào sau đây là tốt nhất để bảo quản bằng chứng?
A. Vô hiệu hóa tài khoản mạng của người dùng và quyền truy cập vào tài nguyên web.
B. Tạo một bản sao của các tệp dưới dạng bản sao lưu trên máy chủ.
C. Đặt giữ pháp lý trên thiết bị và chia sẻ mạng của người dùng.
D. Tạo ảnh pháp y của thiết bị và tạo băm SHA-1.
Đáp án: D
Câu 93:
Một nhà phân tích nhận được thông tin tình báo về mối đe dọa liên quan đến các cuộc tấn công tiềm ẩn từ một tác nhân dường như có thời gian và tài nguyên không giới hạn. Điều nào sau đây mô tả rõ nhất tác nhân đe dọa được cho là nguyên nhân của hoạt động độc hại?
A. Mối đe dọa nội bộ
B. Nhóm ransomware
C. Quốc gia-nhà nước
D. Tội phạm có tổ chức
Đáp án: C
Câu 94:
Một nhà phân tích hệ thống đang hạn chế quyền truy cập của người dùng vào các khóa và giá trị cấu hình hệ thống trong môi trường Windows. Điều nào sau đây mô tả nơi nhà phân tích có thể tìm thấy các mục cấu hình này?
A. config.ini
B. ntds.dit
C. Bản ghi khởi động chính
D. Registry
Đáp án: D
Câu 95:
Khi xem xét nhật ký máy chủ web, một nhà phân tích bảo mật đã tìm thấy dòng sau:
<IMG SRC=’vbscript:msgbox(“test”)’ >
Hoạt động độc hại nào sau đây đã được thử?
A. Tiêm lệnh
B. Tiêm XML
C. Giả mạo yêu cầu phía máy chủ
D. Kịch bản chéo trang
Đáp án: D
Câu 96:
Một nhà phân tích bảo mật tại một công ty có tên ACME Commercial nhận thấy có lưu lượng truy cập đi ra ngoài đến IP máy chủ phân giải thành https://office365password.acme.co. Trang đăng nhập VPN tiêu chuẩn của trang web là www.acme.com/logon. Điều nào sau đây có nhiều khả năng đúng nhất?
A. Đây là URL thay đổi mật khẩu bình thường.
B. Trung tâm vận hành bảo mật đang thực hiện kiểm tra mật khẩu thường xuyên.
C. Một cổng VPN mới đã được triển khai.
D. Một cuộc tấn công social engineering đang diễn ra.
Đáp án: D
Câu 97:
Một nhà phân tích bảo mật đang thực hiện quét lỗ hổng trên mạng. Nhà phân tích cài đặt thiết bị máy quét, cấu hình các mạng con cần quét và bắt đầu quét mạng. Điều nào sau đây sẽ bị thiếu từ quá trình quét được thực hiện với cấu hình này?
A. Phiên bản hệ điều hành
B. Giá trị khóa Registry
C. Cổng mở
D. Địa chỉ IP
Đáp án: B
Câu 98:
Một nhà phân tích bảo mật phát hiện ra lỗ hổng LFI có thể bị khai thác để trích xuất thông tin đăng nhập từ máy chủ cơ sở. Mô hình nào sau đây mà nhà phân tích bảo mật có thể sử dụng để tìm kiếm nhật ký máy chủ web để tìm bằng chứng khai thác lỗ hổng cụ thể đó?
A. /etc/shadow
B. curl localhost
C. ; printenv
D. cat /proc/self/
Đáp án: A
Câu 99:
Một công ty đang trong quá trình triển khai chương trình quản lý lỗ hổng. Phương pháp quét nào sau đây nên được triển khai để giảm thiểu rủi ro thiết bị OT/ICS gặp trục trặc do quy trình xác định lỗ hổng?
A. Quét không có chứng chỉ
B. Quét thụ động
C. Quét dựa trên tác nhân
D. Quét có chứng chỉ
Đáp án: B
Câu 100:
Một công ty nhận được tóm tắt báo cáo kiểm tra thâm nhập từ bên thứ ba. Tóm tắt báo cáo cho biết proxy có một số bản vá cần được áp dụng. Proxy đang nằm trong giá đỡ và không được sử dụng, vì công ty đã thay thế nó bằng một cái mới. Điểm CVE của lỗ hổng trên proxy là 9.8. Công ty nên thực hiện phương pháp nào sau đây là tốt nhất với proxy này?
A. Để nguyên proxy.
B. Hủy bỏ proxy.
C. Di chuyển proxy lên đám mây.
D. Vá proxy.
Đáp án: B
Để lại một bình luận