Câu 301
Một quản lý SOC mới đã xem xét các phát hiện liên quan đến điểm mạnh và điểm yếu của cuộc diễn tập tabletop gần đây nhất để thực hiện các cải tiến. Quản lý SOC nên sử dụng điều nào sau đây để cải thiện quy trình?
A. Báo cáo kiểm toán gần đây nhất
B. Sổ tay ứng phó sự cố
C. Kế hoạch ứng phó sự cố
D. Sổ đăng ký bài học kinh nghiệm
ĐÁP ÁN: D
Câu 302
Sau một cuộc tấn công, một nhà phân tích cần cung cấp bản tóm tắt về sự kiện cho Giám đốc An ninh Thông tin. Bản tóm tắt cần bao gồm thông tin ai-cái gì-khi nào và đánh giá tính hiệu quả của các kế hoạch đang được áp dụng. Điều này mô tả quy trình nào trong vòng đời quản lý sự cố sau đây?
A. Kế hoạch duy trì hoạt động kinh doanh
B. Bài học kinh nghiệm
C. Phân tích pháp y
D. Kế hoạch ứng phó sự cố
ĐÁP ÁN: B
Câu 303
Điều nào sau đây mô tả chính xác nhất phương pháp luận Chuỗi tiêu diệt mạng?
A. Nó được sử dụng để tương quan các sự kiện để xác định TTP của kẻ tấn công.
B. Nó được sử dụng để xác định các chuyển động bên của kẻ tấn công, cho phép ngăn chặn quá trình.
C. Nó cung cấp một mô hình rõ ràng về cách kẻ tấn công thường hoạt động trong quá trình xâm nhập và các hành động cần thực hiện ở từng giai đoạn.
D. Nó phác thảo một lộ trình rõ ràng để xác định mối quan hệ giữa kẻ tấn công, công nghệ được sử dụng và mục tiêu.
ĐÁP ÁN: C
Câu 304
Sau khi báo cáo lỗ hổng gần đây cho máy chủ được trình bày, doanh nghiệp phải quyết định có nên bảo mật cửa hàng trực tuyến dựa trên web của công ty hay đóng cửa nó. Nhà phát triển không thể khắc phục lỗ hổng zero-day vì bản vá chưa tồn tại. Lựa chọn nào sau đây là tốt nhất cho doanh nghiệp?
A. Giới hạn yêu cầu API cho các giao dịch mới cho đến khi có bản vá.
B. Đưa cửa hàng ngoại tuyến cho đến khi có bản vá.
C. Xác định chức năng bị suy giảm.
D. Đặt WAF trước cửa hàng.
ĐÁP ÁN: D
Câu 305
Trong một cuộc diễn tập tabletop, các kỹ sư phát hiện ra rằng ICS không thể được cập nhật do không tương thích phiên bản phần cứng. Nguyên nhân nào sau đây có thể xảy ra nhất của vấn đề này?
A. Hệ thống cũ
B. Gián đoạn quy trình kinh doanh
C. Suy giảm chức năng
D. Quản lý cấu hình
ĐÁP ÁN: A
Câu 306
Lý do nào sau đây là tốt nhất để triển khai MOU?
A. Để tạo ra một quy trình kinh doanh cho quản lý cấu hình
B. Để cho phép các bộ phận nội bộ hiểu trách nhiệm bảo mật
C. Để cho phép một quy trình kỳ vọng được xác định cho các hệ thống cũ
D. Để đảm bảo rằng tất cả các số liệu về mức dịch vụ được báo cáo đúng cách
ĐÁP ÁN: B
Câu 307
Tài liệu nào sau đây đặt ra các yêu cầu và số liệu cho phản hồi của bên thứ ba trong một sự kiện?
A. BIA
B. DRP
C. SLA
D. MOU
ĐÁP ÁN: C
Câu 308
Một nhà phân tích SOC muốn cải thiện việc phát hiện chủ động email độc hại trước khi chúng được gửi đến hộp thư đến đích. Cách tiếp cận nào sau đây là tốt nhất mà nhà phân tích SOC có thể đề xuất?
A. Cài đặt phần mềm UEBA trên mạng.
B. Xác thực và cách ly email có tiêu đề DKIM và SPF không hợp lệ.
C. Triển khai hệ thống EDR trên mỗi điểm cuối.
D. Triển khai nền tảng DLP để chặn nội dung đáng ngờ và trái phép.
ĐÁP ÁN: B
Câu 309
Lợi ích nào sau đây của Mô hình Kim cương phân tích xâm nhập?
A. Nó cung cấp khả năng xoay vòng phân tích và xác định các khoảng trống kiến thức.
B. Nó đảm bảo rằng lỗ hổng được phát hiện sẽ không bị khai thác lại trong tương lai.
C. Nó cung cấp bằng chứng súc tích có thể được sử dụng tại tòa án.
D. Nó cho phép phát hiện và phân tích chủ động các sự kiện tấn công.
ĐÁP ÁN: A
Câu 310
Người phản hồi sự cố đã có thể khôi phục một tệp nhị phân thông qua lưu lượng mạng. Tệp nhị phân cũng được tìm thấy trong một số máy có hành vi bất thường. Quy trình nào sau đây có thể được thực hiện để hiểu mục đích của tệp nhị phân?
A. Gỡ lỗi tệp
B. Phân tích lưu lượng truy cập
C. Kỹ thuật đảo ngược
D. Cách ly máy
ĐÁP ÁN: C
Câu 311
Máy móc dây chuyền lắp ráp của một công ty sản xuất chỉ hoạt động trên HĐH hết hạn sử dụng. Do đó, không có bản vá nào tồn tại cho một số lỗ hổng HĐH có thể khai thác cao. Biện pháp kiểm soát giảm thiểu nào sau đây là tốt nhất để giảm rủi ro của các điều kiện hiện tại này?
A. Thực thi phân đoạn mạng nghiêm ngặt để cách ly các hệ thống dễ bị tấn công khỏi mạng sản xuất.
B. Tăng tài nguyên hệ thống cho các thiết bị dễ bị tấn công để ngăn chặn từ chối dịch vụ.
C. Thực hiện kiểm tra thâm nhập để xác minh khả năng khai thác của các lỗ hổng này.
D. Phát triển các bản vá nội bộ để giải quyết các lỗ hổng này.
ĐÁP ÁN: A
Câu 312
Điều nào sau đây có thể gây ra sự cố nghiêm trọng nhất với xác thực và ghi nhật ký?
A. Ảo hóa
B. Xác thực đa yếu tố
C. Liên kết
D. Đồng bộ hóa thời gian
ĐÁP ÁN: D
Câu 313
Một số lỗi nghiêm trọng đã được xác định trong quá trình quét lỗ hổng. Yêu cầu rủi ro SLA là tất cả các lỗ hổng nghiêm trọng phải được vá trong vòng 24 giờ. Sau khi gửi thông báo đến chủ sở hữu tài sản, bản vá không thể được triển khai do đã lên kế hoạch nâng cấp hệ thống thường xuyên. Phương pháp nào sau đây là tốt nhất để khắc phục lỗi?
A. Lên lịch lại nâng cấp và triển khai bản vá.
B. Yêu cầu ngoại lệ để loại trừ bản vá khỏi cài đặt.
C. Cập nhật sổ đăng ký rủi ro và yêu cầu thay đổi SLA.
D. Thông báo cho nhóm phản hồi sự cố và chạy lại quét lỗ hổng.
ĐÁP ÁN: A
Câu 314
Một công ty đang trong quá trình xảy ra sự cố và dữ liệu khách hàng đã bị xâm phạm. Công ty nên liên hệ với ai trước tiên?
A. Truyền thông
B. Quan hệ công chúng
C. Cơ quan thực thi pháp luật
D. Pháp lý
ĐÁP ÁN: D
Câu 315
Danh sách IOC do một tổ chức an ninh chính phủ công bố chứa băm SHA-256 cho một tệp nhị phân hợp pháp đã được Microsoft ký, svchost.exe. Kết quả nào sau đây mô tả tốt nhất nếu các nhóm bảo mật thêm chỉ báo này vào chữ ký phát hiện của họ?
A. Chỉ báo này sẽ kích hoạt trên hầu hết các thiết bị Windows.
B. Các tệp độc hại có băm khớp sẽ được phát hiện.
C. Các nhóm bảo mật sẽ phát hiện các quy trình svchost.exe giả mạo trong môi trường của họ.
D. Các nhóm bảo mật sẽ phát hiện các mục nhập sự kiện nêu chi tiết việc thực thi các quy trình svchost.exe độc hại đã biết.
ĐÁP ÁN: A
Câu 316
Giám đốc An ninh Thông tin muốn khóa khả năng của người dùng thay đổi các ứng dụng được cài đặt trên hệ thống Windows của họ. Giải pháp cấp doanh nghiệp nào sau đây là tốt nhất?
A. HIPS
B. GPO
C. Sổ đăng ký
D. DLP
ĐÁP ÁN: B
Câu 317
Một nhân viên đã nhận được email lừa đảo có chứa phần mềm độc hại nhắm mục tiêu vào công ty. Cách nào sau đây là tốt nhất để nhà phân tích bảo mật có thêm chi tiết về phần mềm độc hại và tránh tiết lộ thông tin?
A. Tải phần mềm độc hại lên trang web VirusTotal.
B. Chia sẻ phần mềm độc hại với nhà cung cấp EDR.
C. Thuê một nhà tư vấn bên ngoài để thực hiện phân tích.
D. Sử dụng sandbox cục bộ trong môi trường được phân đoạn vi mô.
ĐÁP ÁN: D
Câu 318
Giám đốc Tài chính nhận được email từ ai đó có thể đang mạo danh Giám đốc Điều hành của công ty và yêu cầu một hoạt động tài chính. Nhà phân tích nên sử dụng điều nào sau đây để xác minh xem email có phải là nỗ lực mạo danh hay không?
A. PKI
B. MFA
C. SMTP
D. DKIM
ĐÁP ÁN: D
Câu 319
Một nhà phân tích đang điều tra sự cố lừa đảo và đã truy xuất thông tin sau đây như một phần của cuộc điều tra:
cmd.exe /c c:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
Hidden -ExecutionPolicy Bypass -NoLogo -NoProfile –
EncodedCommand
Nhà phân tích nên sử dụng điều nào sau đây để thu thập thêm thông tin về mục đích của lệnh này?
A. Echo nội dung tải trọng lệnh vào ‘base64 -d‘.
B. Thực hiện lệnh từ máy ảo Windows.
C. Sử dụng bảng điều khiển lệnh với đặc quyền quản trị viên để thực hiện mã.
D. Chạy lệnh với tư cách người dùng không có đặc quyền từ máy trạm của nhà phân tích.
ĐÁP ÁN: A
Câu 320
Nhóm tình báo mối đe dọa của một tổ chức lưu ý xu hướng gần đây trong các thủ tục leo thang đặc quyền của kẻ thù. Nhiều nhóm đe dọa đã được quan sát thấy sử dụng các công cụ Windows gốc để bỏ qua các kiểm soát hệ thống và thực thi lệnh bằng các thông tin đăng nhập có đặc quyền. Kiểm soát nào sau đây sẽ hiệu quả nhất để giảm tỷ lệ thành công của các nỗ lực như vậy?
A. Vô hiệu hóa tài khoản quản trị cho bất kỳ hoạt động nào.
B. Triển khai các yêu cầu MFA cho tất cả các tài nguyên nội bộ.
C. Củng cố hệ thống bằng cách vô hiệu hóa hoặc xóa các dịch vụ không cần thiết.
D. Triển khai các kiểm soát để chặn việc thực thi các ứng dụng không đáng tin cậy.
ĐÁP ÁN: C
Câu 321
Khi thực hiện di chuyển đám mây của nhiều ứng dụng SaaS, quản trị viên hệ thống của tổ chức đã gặp khó khăn với sự phức tạp của việc mở rộng quản lý nhận dạng và truy cập vào các tài sản dựa trên đám mây. Mô hình dịch vụ nào sau đây sẽ giúp giảm bớt sự phức tạp của dự án này?
A. OpenID
B. SASE
C. ZTNA
D. SWG
ĐÁP ÁN: B
Câu 322
Một nhà phân tích bảo mật xem xét các kết quả sau của quét Nikto:
Hình ảnh kết quả quét Nikto
Nhà quản trị bảo mật nên điều tra điều nào sau đây tiếp theo?
A. tiki
B. phpList
C. shtml.exe
D. sshome
ĐÁP ÁN: B
Câu 323
Điều nào sau đây giải thích tầm quan trọng của dòng thời gian khi cung cấp báo cáo ứng phó sự cố?
A. Dòng thời gian chứa bản ghi thời gian thực của sự cố và cung cấp thông tin giúp đơn giản hóa phân tích hậu kỳ.
B. Dòng thời gian sự cố cung cấp thông tin cần thiết để hiểu các hành động được thực hiện để giảm thiểu mối đe dọa hoặc rủi ro.
C. Dòng thời gian cung cấp tất cả thông tin, dưới dạng bảng thời gian biểu, về toàn bộ quy trình ứng phó sự cố bao gồm các hành động được thực hiện.
D. Dòng thời gian sự cố trình bày danh sách các lệnh được thực thi bởi kẻ tấn công khi hệ thống bị xâm nhập, dưới dạng bảng thời gian biểu.
ĐÁP ÁN: C
Câu 324
Kiểm toán viên đang xem xét nhật ký bằng chứng liên quan đến tội phạm mạng. Kiểm toán viên nhận thấy tồn tại khoảng cách giữa các cá nhân chịu trách nhiệm giữ và chuyển giao bằng chứng giữa các cá nhân chịu trách nhiệm điều tra. Điều nào sau đây mô tả tốt nhất quy trình xử lý bằng chứng không được tuân thủ đúng cách?
A. Xác thực tính toàn vẹn dữ liệu
B. Bảo tồn
C. Giữ pháp lý
D. Chuỗi lưu ký
ĐÁP ÁN: D
Câu 325
Nhà phân tích bảo mật đang hỗ trợ kỹ sư phần mềm phát triển công cụ thu thập nhật ký và cảnh báo tùy chỉnh (SIEM) cho hệ thống độc quyền. Nhà phân tích lo ngại rằng công cụ sẽ không phát hiện các cuộc tấn công đã biết và IoC hành vi. Nên cấu hình điều nào sau đây để giải quyết vấn đề này?
A. Tạo ngẫu nhiên và lưu trữ tất cả các giá trị băm tệp có thể.
B. Tạo quy tắc mặc định để cảnh báo về bất kỳ thay đổi nào đối với hệ thống.
C. Tích hợp với nguồn cấp dữ liệu tình báo mối đe dọa nguồn mở.
D. Thêm thủ công các chữ ký mối đe dọa đã biết vào công cụ.
ĐÁP ÁN: C
Câu 326
Nhóm pháp lý có trách nhiệm nào sau đây trong một sự kiện quản lý sự cố? (Chọn hai).
A. Phối hợp nhân sự bổ sung hoặc tạm thời cho các nỗ lực khôi phục.
B. Xem xét và phê duyệt các hợp đồng mới được mua lại do kết quả của sự kiện.
C. Tư vấn cho nhóm ứng phó sự cố về các vấn đề liên quan đến báo cáo theo quy định.
D. Đảm bảo tất cả các thiết bị và quy trình bảo mật hệ thống đều được áp dụng.
E. Thực hiện đánh giá thiệt hại máy tính và mạng cho bảo hiểm.
F. Xác minh rằng tất cả nhân viên bảo mật đều có giấy phép thích hợp.
ĐÁP ÁN: BC
Câu 327
Đặc điểm nào sau đây đảm bảo an ninh của hệ thống thông tin tự động là hiệu quả và kinh tế nhất?
A. Được thiết kế ban đầu để cung cấp bảo mật cần thiết
B. Được kiểm tra bảo mật chuyên sâu
C. Được tùy chỉnh để đáp ứng các mối đe dọa bảo mật cụ thể
D. Được tối ưu hóa trước khi thêm bảo mật
ĐÁP ÁN: A
Câu 328
Lý do nào sau đây có thể xảy ra nhất để một tổ chức chỉ định các nhóm bộ phận nội bộ khác nhau trong quá trình phân tích và cải thiện hậu sự cố?
A. Để lộ ra những sai sót trong quy trình quản lý sự cố liên quan đến các lĩnh vực công việc cụ thể
B. Để đảm bảo tất cả nhân viên đều tiếp xúc với quy trình đánh giá và có thể cung cấp phản hồi
C. Để xác minh rằng sổ tay hướng dẫn của tổ chức đã được tuân thủ đúng cách trong suốt sự cố
D. Để cho phép đào tạo chéo cho nhân viên không tham gia vào quy trình ứng phó sự cố
ĐÁP ÁN: A
Câu 329
Một nhà phân tích đã phát hiện ra lệnh đáng ngờ sau:
”;
xyz=(xyz=(
_REQUEST[‘xyz’]); system($xyz); echo “”; die; }?>
Điều nào sau đây mô tả tốt nhất kết quả của lệnh?
A. Tấn công kịch bản chéo trang
B. Vỏ đảo ngược
C. Nỗ lực cửa hậu
D. Bom logic
ĐÁP ÁN: C
Câu 330
Một công ty phân loại các nhóm bảo mật theo mức độ rủi ro. Bất kỳ nhóm nào có phân loại rủi ro cao đều yêu cầu nhiều cấp độ phê duyệt cho các thay đổi của thành viên hoặc chủ sở hữu. Công ty đang sử dụng yếu tố cản trở khắc phục nào sau đây?
A. Quản trị tổ chức
B. MOU
C. SLA
D. Gián đoạn quy trình kinh doanh
ĐÁP ÁN: A
Câu 331
Thuộc tính nào sau đây là một phần của Mô hình Kim cương phân tích xâm nhập?
A. Giao hàng
B. Vũ khí hóa
C. Chỉ huy và kiểm soát
D. Khả năng
ĐÁP ÁN: D
Để lại một bình luận