6.1 Bewertungs-, Test- und Auditierungsstrategien planen und validieren

6.2. Führen Sie Sicherheitskontrolltests durch

6.3. Erhebung von Sicherheitsprogrammdaten (z. B. technische und administrative)

6.4 Testausgabe analysieren und Berichte erstellen

6.5. Durchführung oder Förderung von Sicherheitsaudits

1. Bei der Durchführung eines Port-Scans hat Susan ein System gefunden, das Dienste auf den TCP- und UDP-Ports 137–189 sowie TCP 445 und 1433 ausführt. Wenn sie mit dieser Maschine verbunden wäre, welche Art von System würde sie wahrscheinlich vorfinden? A. Ein Linux-E-Mail-Server B. Ein Windows SQL-Server C. Ein Linux-Dateiserver D. Eins-in-eins-Windows-Workstation

2. Welche der folgenden Methoden ist eine Methode zum automatischen Entwerfen von Tests für neue Software und zum Sicherstellen der Testqualität? A. Code-Audit B. Statische Codeanalyse C. Regressionstests D. Mutationstests

3. Bei der Durchführung eines Port-Scans stellte Naomi fest, dass der TCP-Port 443 auf einem System geöffnet war. Welches Tool eignet sich am besten zum Scannen von Diensten, die möglicherweise auf diesem Port ausgeführt werden? A. ZZUf B. Nikto C. Metasploit D. sqlmap

4. Welcher Nachrichtenprotokollierungsstandard wird üblicherweise von Netzwerkgeräten, Linux- und Unix-Systemen und vielen anderen Unternehmensgeräten verwendet? A. Syslog B. Netlog C. Ereignisprotokoll D. Remote Logging Protocol (RLP)

5 Alex möchte automatisierte Tools zum Ausfüllen von Webanwendungsformularen verwenden, um sie auf Schwachstellen in Formatzeichenfolgen zu testen. Welche Art von Werkzeug sollte er verwenden? A. Blackbox B. Brute-Force-Cracking-Werkzeuge C. Fuzzer D. Statische Analysetools

6. Susan muss einen Schwachstellenscan auf einem System durchführen und möchte ein Open-Source-Tool verwenden, um das System aus der Ferne zu testen. Welches der folgenden Tools erfüllt ihre Anforderungen und ermöglicht das Scannen von Schwachstellen? A. Nmap B.OpenVAS C.MBSA D Nessus

7. Morgan implementiert ein System zur Bewertung und Bewertung von Schwachstellen, das standardbasierte Komponenten verwendet, um entdeckte Schwachstellen zu bewerten und zu bewerten. Management System. Welche der folgenden Methoden wird am häufigsten zur Angabe des Schweregrads einer Schwachstelle verwendet? A. CCE B.CVSS С. СРЕ D.OVAL

8.Jim wurde beauftragt, Penetrationstests in der Hauptfiliale einer Bank durchzuführen. Um den Test so realitätsnah wie möglich zu gestalten, wurden ihm außer Name und Adresse keine Angaben zur Mutterbank gemacht. Welche Art von Penetrationstests willigt Jim ein? A. Crystal-Box-Penetrationstest B. Gray-Box-Penetrationstests C. Black-Box-Penetrationstests D. White-Box-Penetrationstests

9. Als Antwort auf eine Angebotsanfrage erhielt Susen einen SSAE 18 SOC-Bericht. Wenn sie möchte, dass der Bericht Details über die Wirksamkeit der Operation enthält, auf welcher Grundlage und warum sollte sie Susan weitere Fragen stellen? A. Ein SOC 2Typ II-Bericht, da Typ I die betriebliche Wirksamkeit nicht abdeckt B. Ein SOC 1-Typ-I-Bericht, da SOC 2 die betriebliche Wirksamkeit nicht abdeckt C. Ein SOC2-Typ-I-Bericht, da SOC2-Typ-II die betriebliche Wirksamkeit nicht abdeckt D. Ein sOC3-Bericht, da die SOC1- und SOC2-Berichte veraltet sind

10. Während eines Penetrationstests für ein drahtloses Netzwerk verwendet Suson eine Passwortdatei, um alrcrack-ng für das Netzwerk auszuführen. Welcher der folgenden Faktoren könnte dazu beigetragen haben, dass ihr Versuch, den Code zu knacken, scheiterte? A. Verwenden Sie WPA2-Verschlüsselung B. Ausführen des Enterprise-Modus in WPA2 C. Verwenden Sie WEP-Verschlüsselung Port. PSK-Modus in WPA2 ausführen

11. Im Laufe eines Arbeitstages trat in einem beliebten Apache-Webserver eine Zero-Day-Sicherheitslücke auf. Als Informationssicherheitsanalyst muss Jacob sein Netzwerk schnell scannen, um festzustellen, welche Server von dem Problem betroffen sind. Jacob Wie kann man am schnellsten ein System identifizieren, das für eine Schwachstelle anfällig ist? A Führen Sie sofort einen Nessus-Scan aller Server durch, um festzustellen, welche Systeme anfällig sind. B. Überprüfen Sie die CVE-Datenbank auf Informationen zu Schwachstellen und Patches. C. Erstellen Sie eine benutzerdefinierte IDS- oder IPS-Signatur. D. Ermitteln Sie die betroffene Version und verwenden Sie ein automatisiertes Scan-Tool, um die Versionsnummer des Systems zu überprüfen.

12. Durch welche Art von Tests wird sichergestellt, dass individuell entwickelte Softwaremodule korrekt Daten austauschen? A.Fuzzing (Fuzz-Test) B. Dynamisches Testen C. Schnittstellentests D.API-Prüfsumme

13. Salen möchte Kunden, die die Cloud-Dienste der lokalen Organisation nutzen möchten, Informationen zur Sicherheitsbewertung zur Verfügung stellen. Welche der folgenden Sollen Optionen ausgewählt werden, um sicherzustellen, dass möglichst viele Kunden mit den Bewertungsinformationen zufrieden sind? A nutzt das interne Revisionsteam 4, um Selbstbewertungen auf der Grundlage interner Kennzahlen durchzuführen. B. Beauftragen Sie einen externen Prüfer. C. Setzen Sie internes technisches Personal ein, das das System versteht. D. Nutzen Sie das interne Auditteam, um Selbstbewertungen anhand häufig verwendeter Standards wie COBIT durchzuführen.

14. Yasmine wurde gebeten, über ein Einbruchs- und Angriffssimulationssystem nachzudenken. Nach welcher Art von System sollte sie suchen? A. Ein Ticketing- und Änderungsmanagementsystem zur Unterstützung bei der Bewältigung von Vorfällen B. Ein System zur Durchführung von Incident-Response-Simulationen für blaue Teams, um ihre Fähigkeiten zu testen C. Ein automatisiertes System, das Red-Team- und Blue-Team-Technologien kombiniert D. Ein SOAR-System (Security Operations and Response).

15.Monica möchte Informationen über das Sicherheitsbewusstsein der Organisation sammeln. Die gebräuchlichsten Techniken zur Bewertung des Sicherheitsbewusstseins Was ist es? A. Angelsimulator B. Gamifizierte Anwendungen C. Bewertungstest D. Fragebogen

16.Jim wurde beauftragt, einen Gray-Box-Penetrationstest durchzuführen und sein Kunde stellte ihm die folgenden Informationen über sein Netzwerk zur Verfügung, damit er es scannen konnte: Rechenzentrum: 10.10.10.0/24 Verkauf: 10.10.11.0/24 Abrechnung: 10.10.12.0/24 Drahtloses Netzwerk: 192.168.0.0/16 Auf welche Probleme würde es stoßen, wenn man ihm das Scannen von außen anvertrauen würde? A. Der IP-Bereich ist zu groß und kann nicht effizient gescannt werden. B. Die angegebene IP-Adresse kann nicht gescannt werden. C. Doppelte IP-Bereiche führen zu Scanproblemen. D. Die angegebene IP-Adresse ist eine RFC 1918-Adresse.

17. Marks Unternehmen wurde darüber informiert, dass ihre Webanwendung angreifbar sei. Anonymous informierte ihn haben sie zwei Wochen Zeit, das Problem zu beheben, bevor sie Details zur Schwachstelle und einen Beispiel-Exploit-Code veröffentlichen. verbinden Gegen welchen Branchenkodex wurde von einer Person in Marks Unternehmen verstoßen? A. Zero-Day-Reporting B. Ethische Offenlegung C. Ethisches Hacking D.(SC)2 Ethikerklärung zur Offenlegung von Sicherheitslücken

Betrachten Sie für die Fragen 18–20 das folgende Szenario: Jennifers Unternehmen hat eine zentralisierte Protokollierungsinfrastruktur implementiert, wie in der folgenden Abbildung dargestellt. verwenden Nutzen Sie dieses Diagramm und Ihr Wissen über Protokollierungssysteme, um die folgenden Fragen zu beantworten. 18.Jennifer muss sicherstellen, dass alle Windows-Systeme dem SIEM dieselben Protokollinformationen bereitstellen. Wie kann sie am besten sicherstellen, dass alle Windows-Desktopsysteme über dieselben Protokollierungseinstellungen verfügen? A. Führen Sie regelmäßige Konfigurationsprüfungen durch. B. Gruppenrichtlinien verwenden. C. Verwenden Sie lokale Richtlinien. D. Stellen Sie den Windows-Syslog-Client bereit. 19. Während des normalen Betriebs verwendet Jennifers Team ein SIEM-Gerät, um Anomalien über Syslog zu überwachen. Welches System zeigt eine Situation an, die keine Syslog-Ereignisse unterstützt? A. Drahtloser Unternehmenszugangspunkt B. Windows-Desktopsystem C.Linux-Webserver D. Enterprise-Firewall-Ausrüstung 20. Welche Techniken sollte die Organisation für jedes im Diagramm dargestellte Gerät verwenden, um eine zeitgesteuerte Protokollierung in der gesamten Infrastruktur sicherzustellen? A. Syslog B.NTP C.Logsync D. SNAP

21. Während eines Penetrationstests muss Hetele das System identifizieren, hat aber noch nicht genügend Berechtigungen erhalten, um Rohpakete auf dem verwendeten System zu generieren. Welche Art von Scan sollte sie durchführen, um die offensten Dienste zu überprüfen? A. TCP-Verbindungsscan B. TCP-SYN-Scan C. UDP-Scannen D.ICMP-Scan

22. Beim Durchführen eines Port-Scans mit nmap fand Josezoh ein System, das zwei offene Ports anzeigte. Mund, der ihn sofort beunruhigte: 21/geöffnet 23/geöffnet Welche Dienste könnten auf diesen Ports laufen? A.SSH und FTP B. FTP und Telnet C. SMTP und Telnet D. POP3 und SMTP

23.Aaron möchte die Einhaltung von PCI-DSS durch sein Unternehmen überprüfen. Sein Unternehmen ist eine große Unternehmensorganisation mit Transaktionen in Millionenhöhe pro Jahr. Wie führen große Unternehmen diese Art von Tests am häufigsten durch? A. Selbsteinschätzung B. Führen Sie eine Bewertung von COBIT durch Dritte durch C. Arbeiten Sie mit einem anderen Unternehmen zusammen und führen Sie einen Bewertungsaustausch zwischen den beiden Organisationen durch D. Beauftragen Sie einen qualifizierten Sicherheitsgutachter mit der Durchführung einer externen Bewertung

24. Was ist eine gängige Methode zur Bewertung der Softwaretestabdeckung für die potenzielle Nutzung einer Anwendung? A. Analyse der Testabdeckung B. Überprüfung des Quellcodes C. Fuzzy-Analyse D. Code-Überprüfungsbericht

25. Tests, die sich auf Funktionen konzentrieren, die das System nicht zulassen sollte, sind Beispiele für welche Art von Tests? A. Anwendungsfalltests B. Manuelles Testen C. Prüfung von Missbrauchsfällen D.Dynamische Prüfung

26. Bei welcher Art der Überwachung wird simulierter Datenverkehr zu einer Website verwendet, um die Leistung zu überwachen? A. Protokollanalyse B. Umfassende Leistungsüberwachung C. Passive Überwachung D. Simulierte Transaktionsanalyse

27.Perek möchte sicherstellen, dass seine Organisation alle Änderungen an allen Konten während ihres gesamten Lebenszyklus verfolgt. In welche Art von Tools sollte seine Organisation investieren? A. Verzeichnisdienst wie LDAP B.IAM-System C. SIEM-System D.EDR-System

28.Jm scannt das System mithilfe eines Tools nach verfügbaren Diensten und stellt dann eine Verbindung zu diesen Diensten her, um Bannerinformationen zu sammeln und so die Version des Dienstes zu ermitteln. Anschließend wird ein Bericht mit detaillierten Angaben zu den gesammelten Daten bereitgestellt, basierend auf Service-Fingerabdrücken, Bannerinformationen und ähnlichen Details, kombiniert mit CVE-Informationen für die Ergebnisse. Welche Art von Werkzeug verwendet Jim? A. Port-Scanner B. Service-Validator C. Schwachstellenscanner D. Patch-Management-Tools

29.Emily schreibt ein Skript, um Daten an eine Webanwendung zu senden, die sie testet. Jedes Mal, wenn das Skript ausgeführt wird, sendet es eine Reihe von Datentransaktionen, die den erwarteten Anforderungen der Webanwendung entsprechen, um sie zu überprüfen Reaktionen auf typisches Kundenverhalten. Welche Art von Transaktion verwendet sie und um welche Art von Test handelt es sich? A. Umfassende, passive Überwachung B. Umfassende Anwendungsfalltests C. Tatsächliche, dynamische Überwachung D. Tatsächliche Fuzz-Tests

30. Welche passive Überwachungstechnologie zeichnet alle Benutzerinteraktionen mit einer Anwendung oder Website auf, um die Qualität sicherzustellen? und Leistung? A. Client/Server-Tests B. Echte Benutzerüberwachung C. Umfassende Benutzerüberwachung D. Passive Benutzeraufzeichnung

31Anfang dieses Jahres entdeckte das Informationssicherheitsteam von Jims Arbeitgeber eine Schwachstelle im Webserver, für dessen Wartung er verantwortlich war. Er hat den Patch sofort angewendet und war überzeugt, dass er korrekt installiert wurde, Schwachstellenscans haben das System jedoch immer noch fälschlicherweise als anfällig gekennzeichnet. Um dieses Problem zu lösen, damit es nicht mehr falsch beschriftet wird? A. Deinstallieren Sie den Patch und installieren Sie ihn erneut. B. Fordern Sie das Informationssicherheitsteam auf, das System als repariert zu markieren und diese spezifische Schwachstelle nicht mehr zu bergen. C. Aktualisieren Sie die Versionsinformationen in der Webserverkonfiguration. D. Überprüfen Sie den Schwachstellenbericht und nutzen Sie andere Korrekturoptionen.

32 Anools will mit automatisierten Tools die Verarbeitung externer Daten durch Webbrowser testen. Sie sollte untergehen Welches Werkzeug soll ich wählen? A. Nmap B.zzuf C. Nessus D. Nikto

33. STRIDE steht für Impersonation, Tampering, Denial, Information Disclosure, Denial of Service, Elevation of Privilege. In welchem ​​Teil der Anwendungsbedrohungsmodellierung ist es nützlich? A. Schwachstellenbewertung B. Missbrauchsfalltests C. Bedrohungsklassifizierung D. Planung von Penetrationstests

34. Warum sollte zusätzlich zur Implementierung drahtloser Sicherheitstechnologien wie drahtloser Einbruchmeldesysteme auch passives Scannen durchgeführt werden? A. Es kann dabei helfen, unerwünschte Geräte zu identifizieren. B. Es kann die Sicherheit drahtloser Netzwerke durch Skriptangriffe testen. C. Sie bleiben für kurze Zeit auf jedem Funkkanal und können mehr Datenpakete erfassen. D. Sie können beim Testen drahtloser IDS- oder IPS-Systeme helfen.

35. Paul überprüft den Genehmigungsprozess für einen Penetrationstest und möchte sicherstellen, dass dieser einer angemessenen Managementprüfung unterzogen wird. Wer sollte sicherstellen, dass ein Antrag auf Durchführung eines Penetrationstests eines kommerziellen Systems genehmigt wurde? A. Beratender Ausschuss für Veränderungen B. Geschäftsleitung C. Der Systemadministrator des Systems D. Serviceinhaber

36. Welcher Begriff beschreibt Softwaretests, die darauf abzielen, neue Fehler aufzudecken, die durch Patches oder Konfigurationsänderungen entstehen? A. Nicht-Regressionstests B. Evolutionstests C. Rauchtest D Regressionstests

37.Welches der folgenden Tools identifiziert das Zielbetriebssystem für einen Penetrationstester nicht? A. Nmap B. Nessus C. Nikto D. sqlmap

38 Susan muss Hochrisikobereiche für ihre Organisation vorhersagen und möchte Metriken verwenden, um Risikotrends zu bewerten. Was sollte sie tun, um mit diesem Problem umzugehen? A Führen Sie jährlich Risikobewertungen durch. B. Beauftragen Sie ein Penetrationstestunternehmen damit, die Sicherheit Ihres Unternehmens regelmäßig zu testen. C. Identifizieren und verfolgen Sie wichtige Risikoindikatoren. D. Verwenden Sie ein SIEM-Gerät, um Protokolle und Ereignisse zu überwachen.

39. Was sind die Hauptunterschiede zwischen umfassender und passiver Überwachung? A. Eine umfassende Überwachung funktioniert erst, wenn ein Problem auftritt. B Durch die passive Überwachung können Funktionsprobleme nicht erkannt werden. C. Passive Überwachung funktioniert erst, wenn ein Problem auftritt. D. Eine umfassende Überwachung kann Funktionsprobleme nicht erkennen.

Betrachten Sie für die Fragen 40–42 das folgende Szenario. Chris verwendete die hier gezeigte Standard-Penetrationstestmethode. Nutzen Sie diese Methode und Ihr Penetrationstest-Wissen, um Fragen zur Werkzeugnutzung während des Penetrationstests zu beantworten. 40. Was sind die wichtigsten Aufgaben in der Planungsphase 1? A. Bauen Sie ein Testlabor auf B. Holen Sie die Genehmigung ein C. Stellen Sie die entsprechenden Werkzeuge bereit D. Bestimmen Sie, ob es sich bei dem Test um einen White-Box-, Black-Box- oder Grey-Box-Test handelt 41. Welches der folgenden Tools wird während der Entdeckungsphase am wahrscheinlichsten verwendet? A. Nessus B. John C. Nmap D. Nikto 42. Welches der folgenden Probleme ist in der Planungsphase am wichtigsten, um sicherzustellen, dass während der Berichtsphase keine Probleme verursacht werden? A. Welches CVE-Format soll verwendet werden? B. So speichern und senden Sie Schwachstellendaten C. Welche Ziele sind verboten D. Wie lange sollte der Bericht dauern?

43. Welche vier Arten von Abdeckungskriterien werden üblicherweise bei der Überprüfung der Arbeit einer Code-Testsuite verwendet? A. Eingabe-, Anweisungs-, Zweig- und Bedingungsabdeckung B. westliche Zahlen, Aussagen, Zweige und Zustandsüberdeckung C. AP, Zweigstellen-, Grenz- und Bedingungsabdeckung D. Grenzen, Verzweigungen, Schleifen und Bedingungsabdeckung

44. Im Rahmen seiner Rolle als Sicherheitsmanager stellt Jacob dem Managementteam der Organisation das folgende Diagramm zur Verfügung. Welche Art von Messung stellt er ihnen zur Verfügung? A. Abdeckungsmessung B. Wichtige Leistungsindikatoren C. Überlebenszeitanzeige D. Indikatoren für die geschäftliche Bedeutung

45. Welchen Nutzen bringt die Verwendung einer eindeutigen Benutzer-ID für alle Benutzer bei der Überprüfung von Protokollen? A. Vertraulichkeit B. Integrität C.Verfügbarkeit D. Buchhaltungsverantwortung

46. ​​​​Welche der folgenden Schnittstellen wird beim Softwaretest nicht häufig getestet? A.API B.Netzwerkschnittstelle C. Benutzeroberfläche D.Physische Schnittstelle

47. Alans Organisation verwendet das Security Content Automation Protocol (SCAP), um seine Verfahren zum Schwachstellenmanagement zu standardisieren. Welche Komponente von SCAP kann Alan verwenden, um die Identitäten von Schwachstellen abzugleichen, die von verschiedenen Sicherheitsbewertungstools generiert werden? A.OVAL B. XCCDF C. CVE D. SCE

48. Susan überprüft die Daten zur Softwaretestabdeckung und sieht die in der folgenden Tabelle aufgeführten Informationen. Was kann sie über diesen Testprozess feststellen? (Wählen Sie alle zutreffenden.) A. Tests sind nicht vollständig abgedeckt. B. Test 4 ist nicht fehlgeschlagen. C-Test 2 wurde nicht erfolgreich ausgeführt. D. Ein fünfter Testdurchlauf ist erforderlich.

49. Welche der folgenden Strategien ist kein sinnvoller Ansatz zur Behebung von Schwachstellen, die von Schwachstellenscannern entdeckt wurden? A. Installieren Sie den Patch. B. Verwenden Sie temporäre Korrekturen. C. Banner oder Versionsnummer aktualisieren. D. Verwenden Sie die Anwendungsschicht

50. Während des Penetrationstests rief Selah den Helpdesk des Zielunternehmens an und gab an, Assistent eines leitenden Mitarbeiters des Unternehmens zu sein. Sie bat den Helpdesk, das Passwort des leitenden Mitarbeiters zurückzusetzen, da dieser auf Reisen Probleme mit seinem Laptop hatte, und wurde erfolgreich dazu überredet. Welche Art von Angriff hat sie erfolgreich abgeschlossen? A. Zero-Knowledge-Angriff B. Helfen und Täuschen C. Social-Engineering-Angriffe D. Black-Box-Tests

51. Welche Probleme könnten in diesem Bild aufgrund der Einrichtung der Protokollverarbeitung auftreten? A. Protokolle können während der Archivierung verloren gehen. B. Protokolldaten können überschrieben werden. C. Protokolldaten enthalten möglicherweise nicht die erforderlichen Informationen. D. Protokolldaten können die Systemfestplatte füllen.

52. Welches der folgenden Risiken stellt kein mit Penetrationstests verbundenes Risiko dar? A. Die Anwendung stürzt ab B. Denial-of-Service C.Stromausfall D.Datenbeschädigung

53. Welche NIST-Sonderveröffentlichung befasst sich mit der Bewertung von Sicherheits- und Datenschutzkontrollen? A. 800-12 B. 800-53A Um 800-34 D. 800-86

54 Michelle führt eine quantitative Bewertung der Geschäftsauswirkungen durch und möchte Daten sammeln, um die Kosten von Ausfallzeiten zu ermitteln. Welche Informationen muss sie aus den Ausfällen des Vorjahres sammeln, um die Kosten dieser Ausfälle für das Unternehmen zu berechnen? (Wählen Sie alle zutreffenden.) A. Totaler Geschäftsausfall B. Anzahl der Personalstunden, die zur Wiederherstellung nach dem Ausfall erforderlich sind C. Geschäftsverlust pro Stunde während eines Ausfalls (in US-Dollar) D. Durchschnittlicher Arbeitnehmerlohn pro Stunde

55. Wenn Karas Hauptanliegen darin besteht, Abhörangriffe zu verhindern, welchen Port sollte sie dann blockieren? A. 22 B. 80 Um 443 D. 1433

56. Wenn Karas Hauptanliegen darin besteht, administrative Verbindungen zum Server zu verhindern, welchen Port sollte sie dann blockieren? A. 22 B. 80 Um 443 D. 1433

57. Im Rahmen einer Prüfung durch Dritte erhielt Jims Unternehmen eine Entdeckung. heißt es: „Administratoren sollten täglich Protokolle über erfolgreiche und fehlgeschlagene Backups überprüfen und umgehend Maßnahmen ergreifen, um gemeldete Anomalien zu beheben. Auf welches potenzielle Problem weist dieser Befund hin?“ A. Der Administrator hat keine Möglichkeit zu erfahren, ob die Sicherung erfolgreich war oder fehlgeschlagen ist. B. Die Sicherung wurde möglicherweise nicht korrekt protokolliert. C-Backup ist möglicherweise nicht verfügbar. D. Die Sicherungsprotokolle wurden möglicherweise nicht ordnungsgemäß überprüft.

58.Jim hilft seiner Organisation bei der Entscheidung über Prüfungsstandards, die in ihrer internationalen Organisation verwendet werden sollen. Welches der folgenden Dinge ist nicht der Fall? Welche IT-Standards könnte Jims Organisation bei der Überprüfung verwenden? A. COBIT B.SSAE-18 C.ITIL D. ISO 27001

59 Nicole möchte eine auf Standards basierende Prüfung ihrer Organisation durchführen. Welche der folgenden Aussagen werden üblicherweise verwendet, um allgemeine Anforderungen an Informationssysteme zu beschreiben? A.IEC B. COBIT C. FISA D.DMCA

60.Kelys Team führt mit jedem veröffentlichten Patch Regressionstests durch. Welchen wichtigen Leistungsindikator sollten sie beibehalten, um die Wirksamkeit ihrer Tests zu messen? A. Zeit zur Behebung der Sicherheitslücke B. Indikator für die Fehlerwiederauftretensrate C. Gewichtete Risikotrends D. Messung der spezifischen Abdeckung von Tests

61. Welche der folgenden Arten von Codeüberprüfungen werden normalerweise nicht von Menschen durchgeführt? A. Software-Check B. Paarprogrammierung C. Statische Programmanalyse D.Software-Komplettlösung

Betrachten Sie für die Fragen 62–64 das folgende Szenario: Susan ist die Leiterin des Qualitätssicherungsteams ihres Unternehmens. Das Team wurde beauftragt, Tests für eine Hauptversion des Kernsoftwareprodukts des Unternehmens durchzuführen. 62. Susans Softwaretestteam muss jeden Codepfad testen, einschließlich der Pfade, die nur verwendet werden, wenn Fehlerbedingungen auftreten. Welche Art von Testumgebung benötigt ihr Team, um eine vollständige Codeabdeckung sicherzustellen? A. White-Box-Tests B. Gray-Box-Tests C. Black-Box-Tests D. Dynamisches Testen 63. Im Rahmen der laufenden Tests ihrer neuen Anwendung entwarf Susans Qualitätssicherungsteam eine Reihe von Testfällen für eine Reihe von Black-Box-Tests. Anschließend werden diese Funktionstests durchgeführt und ein Bericht erstellt, in dem erläutert wird, was passiert ist. Welche Art von Berichten werden normalerweise während dieses Testprozesses erstellt, um Testmetriken anzuzeigen? A. Testabdeckungsbericht B. Penetrationstestbericht C. Code-Coverage-Bericht D. Zeilenabdeckungsbericht 64. Im Rahmen ihrer Codeabdeckungstests verwendet Susans Team Protokollierungs- und Tracing-Tools für die Analyse in einer Nicht-Produktionsumgebung. Welche der folgenden Arten von Codierungsproblemen werden aufgrund von Änderungen in der Betriebsumgebung wahrscheinlich übersehen? A. Falsche Grenzüberprüfung B. Eingabevalidierung C-Rennbedingung D-Zeigeroperationen

65.Robin hat kürzlich einen Schwachstellenscan durchgeführt und eine kritische Schwachstelle auf einem Server entdeckt, der vertrauliche Informationen verarbeitet. Was sollte Bobin als nächstes tun? A. Patch B. Bericht C. Korrektur D. Überprüfen

66.Die automatisierten Codetests und Integrationen, die Andrea im CI/CD-Prozess ihrer Organisation durchführt, schlagen fehl. Was sollte Andrea tun, wenn das Unternehmen Code sofort veröffentlichen muss? A. Den Test manuell umgehen. B. Überprüfen Sie das Fehlerprotokoll, um das Problem zu ermitteln. C. Führen Sie den Test erneut aus, um zu sehen, ob er ordnungsgemäß funktioniert. D. Senden Sie den Code zur Korrektur an den Entwickler zurück.

67. Michelle möchte die Schwachstellen, die sie in ihrem Rechenzentrum findet, anhand von Kennzahlen wie der Ausnutzbarkeit der Schwachstelle, dem Vorhandensein von Exploit-Code und der Schwierigkeit der Behebung vergleichen. Welches Bewertungssystem sollte sie verwenden, um diese Schwachstellenindikatoren zu vergleichen? A.CSV B. NVD C. VSS D.CVSS

68. Während Alex einen Port-Scan in seinem Netzwerk durchführte, stellte er fest, dass die TCP-Ports 80, 443, 515 und 9100 auf mehreren Hosts in verschiedenen Büros im gesamten Unternehmen reagierten. Welche Art von Gerät könnte Alex entdeckt haben? A. Webserver B. Dateiserver C. Drahtloser Zugangspunkt D.Drucker

69 Welche Werkzeugtypen sind Nito, Burp Sure und Woot? A. Tools zum Scannen von Schwachstellen in Webanwendungen B. Tools zur Codeüberprüfung C. Tools zum Scannen von Sicherheitslücken D.Port-Scan-Tool

70 Franks Team testet neue APIs, die die Entwickler des Unternehmens für ihre Anwendungsinfrastruktur erstellen. Welches der folgenden Probleme ist kein häufiges API-Problem, das Franks Team feststellen könnte? A. Falsche Verschlüsselung B. Autorisierungsprobleme auf Objektebene C. Probleme bei der Benutzerauthentifizierung D. Fehlende Ratenbegrenzung

71Jim arbeitet mit einem Penetrationstest-Anbieter zusammen, der die Verwendung empfiehlt Metasploit. Was sollte Jim erwarten, wenn er Metasploit verwendet? A. Scannt das System auf Schwachstellen. B. Bekannte Schwachstellen im System ausnutzen. C. Pufferüberläufe und andere unbekannte Fehler im Dienst erkennen. D. Führen Sie einen Zero-Day-Schwachstellentest für das System durch.

72 Susan muss sicherstellen, dass die Interaktionen zwischen den verschiedenen Komponenten ihrer E-Commerce-Anwendung korrekt gehandhabt werden. Sie beabsichtigt, Kommunikations-, Fehlerbehandlungs- und Sitzungsverwaltungsfunktionen in der gesamten Infrastruktur zu validieren. Welche Art von Tests plant sie durchzuführen? A. Missbrauchsfalltests B. Fuzz-Tests C. Regressionstests D. Schnittstellentests

73. Jim entwirft das Protokollverwaltungssystem der Organisation und weiß, dass er den Umgang mit den Protokolldaten der Organisation sorgfältig planen muss. Welcher der folgenden Faktoren sollte Jim nicht beunruhigen? A. Menge der Protokolldaten B. Mangel an ausreichenden Protokollquellen C. Sicherheitsanforderungen an die Datenspeicherung D. Netzwerkbandbreite

74. Ryans Organisation möchte eine ordnungsgemäße Kontoverwaltung sicherstellen, verfügt jedoch nicht über ein zentralisiertes Identitäts- und Zugriffsverwaltungstool. Rvan Was ist die beste Option bei der Überprüfung von Kontoverwaltungsprozessen während einer internen Prüfung? AÜberprüfen Sie alle Kontoänderungen in den letzten 90 Tagen. B. Wählen Sie diese Option aus, um hochwertige Administratorkonten zu überprüfen. C. Überprüfen Sie alle Kontoänderungen innerhalb der letzten 180 Tage. D. Führen Sie eine Stichprobenüberprüfung der Konten durch.

75. Welche Art von Protokoll wird beim Neustart eines Windows-Systems generiert? A. Fehler B. Warnung C. Informationen D. fehlgeschlagene Überprüfung

76. Während der Untersuchung bemerkte Alex, dass Michelle sich jeden Morgen um 8 Uhr morgens an ihrem Arbeitsplatz anmeldete, an diesem Tag jedoch kurz nach 3 Uhr morgens am Haupt-Webanwendungsserver der Abteilung angemeldet war. Welches häufige Protokollierungsproblem könnte bei Alex auftreten? A. Inkonsistentes Protokollformat B. Geändertes Protokoll C. Inkonsistente Zeitstempel D. Mehrere Protokollquellen

77. Welche Art von Schwachstellenscan greift auf Konfigurationsinformationen zu, die von dem System, auf dem der Scan ausgeführt wird, erhalten wurden, sowie auf Informationen, die über im Netzwerk verfügbare Dienste abgerufen wurden? A. Zertifizierter Scan B. Scannen von Webanwendungen C. Nicht authentifizierter Scan D.Port-Scannen

Betrachten Sie für die Fragen 78–80 das folgende Szenario: Bens Organisation hat damit begonnen, STRIDE zu nutzen, um ihre Software zu bewerten und Bedrohungsagenten sowie die möglichen geschäftlichen Auswirkungen dieser Bedrohungen zu identifizieren. Sie arbeiten nun daran, geeignete Kontrollen zu identifizieren, um die festgestellten Probleme anzugehen. 78.Bens Entwicklungsteam muss ein Autorisierungsproblem lösen, das zu einer Bedrohung durch die Erhöhung von Berechtigungen führen könnte. Welche der folgenden Kontrollen wäre für diese Art von Problem am besten geeignet? A. Aktivieren Sie die Überwachung und Protokollierung. B. Verwenden Sie eine rollenbasierte Zugriffskontrolle für bestimmte Vorgänge. C. Aktivieren Sie die Datentyp- und Formatprüfung. D. Führen Sie Whitelist-Tests für Benutzereingaben durch. 79.Bens Team versucht, Transaktionsidentifizierungsprobleme zu klassifizieren, die durch symmetrische Schlüssel verursacht werden, die von mehreren Servern gemeinsam genutzt werden. In welche der folgenden STRIDE-Kategorien sollte dies fallen? A. Informationslecks B. Denial-of-Service C. Manipulation D. Leugnen 80. Melden Sie sich während eines Denial-of-Service-Angriffs mit dem höchsten Datenverkehr an. Ben Xizhao nutzt einen Drittanbieterdienst, um bei der Bewertung von Denial-of-Service-Angriffen zu helfen. Absolute Schwachstelle bei Service-Angriffen. Welche Art von Engagement sollte er der Organisation empfehlen? A. Beteiligung am Social Engineering B. Penetrationstests C. Belastungs- oder Stresstest D. Testen Sie mit Fuzz-Tests

81 Chris löst die Berichtsprobleme des Unternehmens im Bereich Security Information and Event Management (SIEM). Nach der Analyse des Problems kam er zu dem Schluss, dass der Zeitpunkt der Protokolleinträge in verschiedenen Systemen inkonsistent war. Mit welchem ​​Protokoll kann er dieses Problem lösen? A.SSH B. FTP C.TLS D.NTP

82.Ryan erwägt den Einsatz von Fuzz-Tests in seinem Projekt zum Testen von Webanwendungen. Eine Entscheidung treffen Welche der folgenden Aussagen zum Fuzz-Testen sollte Ryan berücksichtigen? A. Fuzz-Tests können nur komplexe Fehler finden. B. Tester müssen Eingaben manuell generieren. C. Fuzz-Tests decken den Code möglicherweise nicht vollständig ab. D. Fuzz-Tests können den Fehler nicht reproduzieren.

83.Ken entwirft einen Testprozess für die Software, die sein Team entwickelt. Er entwarf einen Test, um zu überprüfen, ob jede Codezeile während des Tests ausgeführt wurde. Welche Art von Analyse führt Ken durch? A. Filialabdeckung B. Zustandsdeckung C. Funktionsabdeckung D. Deckungsumfang

Betrachten Sie für die Fragen 84–86 das folgende Szenario. Bei einem Port-Scan verwendete Ben die Standardeinstellungen von nmap und sah die folgenden Ergebnisse. 84. Wenn Ben einen Penetrationstest durchführt, was sollte sein nächster Schritt sein, nachdem er diese Ergebnisse erhalten hat? A. Verwenden Sie einen Webbrowser, um eine Verbindung zum Webserver herzustellen. B. Verwenden Sie eine Telnet-Verbindung, um das anfällige Konto zu testen. C. Identifizieren Sie interessante Ports für weitere Scans. D. Verwenden Sie sqlmap für die geöffnete Datenbank. 85. Was ist basierend auf den Scan-Ergebnissen das wahrscheinlichste Betriebssystem, auf dem das gescannte System läuft? A. Windows-Desktopversion B. Linux C. Netzwerkausrüstung D. Windows Server 86. Bens Manager ist besorgt über den Umfang seines Scans. Worüber könnte sich sein Vorgesetzter Sorgen machen? A. Ben hat den UDP-Dienst nicht getestet. B.Ben hat keine anderen Ports als „bekannte Ports“ gefunden. C. Ben hat kein OS-Fingerprinting durchgeführt. D.Ben hat nur eine begrenzte Anzahl von Ports getestet.

87.Lucca überprüft Daten über den Disaster-Recovery-Prozess seiner Organisation und stellt fest, dass die Hauptwebsite des Unternehmens Die MTD beträgt zwei Stunden. Was hat er beim Testen und Validieren über die RTO der Website erfahren? A. Es dauert weniger als zwei Stunden. B. Es dauert mindestens zwei Stunden. C. Die MTD-Zeit ist kurz und dauert länger. D. Die RTO-Zeit ist zu kurz und dauert länger.

88.Diana hat einen externen Prüfer beauftragt und möchte dem Dritten ein Prüfungszertifikat ausstellen, ohne die Einzelheiten der Prüfung zu enthalten. Welche Art von SSAE 18 SOC-Bericht sollte sie anfordern? A. SOC 1 B. SOC 2 C. SOC 3 D. SOC 4

89. Bei der Überprüfung der Softwaretestergebnisse für die neue Anwendung der Organisation stellte Madhuri fest, dass die Anwendung Fehler mit Verzeichnis- und Dateiinformationen verursachte, die Webanwendungstestern angezeigt wurden. Welche Frage sollte in ihren Bericht aufgenommen werden? A. Es wird keine ordnungsgemäße Ausnahmebehandlung durchgeführt. B. Die Software führt Missbrauchsfalltests nicht ordnungsgemäß durch. C. Debugging-Anweisungen müssen gelöscht werden. D. Der Code wurde aufgrund von Fehlern nicht vollständig getestet.

90. Was ist der erste Schritt, der vor der Durchführung eines Penetrationstests erfolgen sollte? A. Datenerfassung B. Port-Scanning C. Holen Sie die Erlaubnis ein D.Plan

Der CEO von 91.JOHn ist besorgt über die starke Zunahme von Krypto-Malware in der Branche. Sie bat um die Zusicherung, dass die Daten des Unternehmens wiederhergestellt werden könnten, wenn Schadsoftware die Produktionssysteme befallen und verschlüsseln sollte. Welcher Prozess ist erforderlich, um ihr mitzuteilen, dass das Unternehmen vorbereitet ist? A. Verschlüsseln Sie alle sensiblen Daten. B. Hashen Sie alle Daten einer Organisation, um kryptografische Malware zu erkennen. C. Führen Sie eine Sicherungsüberprüfung durch. D. Verwenden Sie Anti-Verschlüsselungstechnologie, um zu verhindern, dass Malware das Laufwerk verschlüsselt.

92 Joanna ist die CISO der Organisation und hat die Aufgabe, den Sicherheitsbetrieb zu überwachen. Sie möchte sicherstellen, dass die Überwachung sicherheitsrelevanter Änderungen durch das Management fortlaufend erfolgt. Auf welches System sollte sie sich in den meisten Unternehmen bei der Verfolgung dieser Art von Daten konzentrieren? A. SIEM-System B.IPS-System C.CMS-Tools D.ITSM-Werkbank

93. Henry möchte überprüfen, ob sein Backup gültig ist. Mit welcher der folgenden Optionen stellt er am besten sicher, dass Backups in einem echten Notfallwiederherstellungsszenario nützlich sind? A. Stellen Sie regelmäßig eine zufällige Datei wieder her, um sicherzustellen, dass die Sicherung ordnungsgemäß funktioniert. B. Überprüfen Sie regelmäßig die Konfiguration und Einstellungen, um die Sicherungseinstellungen zu überprüfen. C. Überprüfen Sie das Sicherungsprotokoll, um sicherzustellen, dass keine Fehler aufgetreten sind. D. Führen Sie regelmäßig vollständige Wiederherstellungen aus Sicherungen durch, um den Erfolg zu überprüfen.

94.Welche Arten von Schwachstellenscannern können nicht gefunden werden? A. Lokale Schwachstellen B. Schwachstellen im Dienst C. Zero-Day-Schwachstellen D. Schwachstellen, die eine Authentifizierung erfordern

95.Jacinda möchte die Wirksamkeit ihres Sicherheitstrainings als einen ihrer Sicherheitsindikatoren messen. Welche der folgenden Maßnahmen eignen sich am besten zur Bewertung der Wirksamkeit von Sicherheitsbewusstseinsschulungen? (Wählen Sie alle zutreffenden.) A. Anzahl der Personen, die an der Schulung teilnehmen B. Sicherheitsbewusstsein vor und nach dem Training C. Trainingsdauer (in Stunden) 口.Anzahl der Schulungsveranstaltungen, an denen jede Person in diesem Jahr teilgenommen hat

96 entdeckte Elaine eine bisher unbekannte kritische Schwachstelle in einem von ihrer Organisation verwendeten Produkt. Ihre Organisation nimmt ethische Offenlegung sehr ernst und Elaine befolgt gängige ethische Offenlegungspraktiken. Was sollte sie zuerst tun? A. Erstellen Sie interne Maßnahmen oder Kontrollen zur Behebung und legen Sie die Schwachstelle dann öffentlich offen, um Anbieter zu veranlassen, die Schwachstelle schnell zu beheben B. Erstellen Sie interne Abhilfemaßnahmen oder Kontrollen und benachrichtigen Sie dann den Lieferanten über das Problem. C. Benachrichtigen Sie den Lieferanten und geben Sie ihm eine angemessene Zeit, um das Problem zu beheben. D. Offenlegung von Schwachstellen, damit Anbieter diese rechtzeitig beheben können.

Betrachten Sie für die Fragen 97–99 das folgende Szenario. NIST Specral Puolircatton 800-115, Technischer Leitfaden für Penetrationstests und Penetrationstests, stellt den NIST-geprüften Prozess für Penetrationstests bereit. Verwenden Sie dieses Bild und Ihr Wissen über Penetrationstests, um Fragen zu beantworten. 97.Welcher der folgenden Punkte gehört nicht zur Entdeckungsphase? A. Erfassung von Hostnamen- und IP-Adressinformationen B. Erfassung von Serviceinformationen C. Suche im Papierkorb D. Eskalation von Berechtigungen 98. NIST spezifiziert vier Angriffsphasenschritte: Zugriffserlangung, Privilegienerweiterung, Systemdurchsuchung und Bereitstellung von Tools. Sobald ein Angreifer zusätzliche Tools installiert hat: In welche Phase kehrt ein Penetrationstester normalerweise zurück? A. Entdecken B. Zugang erhalten C. Eskalation von Berechtigungen D. Durchsuchen des Systems 99.Welcher der folgenden Punkte ist kein typischer Teil eines Penetrationstestberichts? A. Liste der identifizierten Schwachstellen B. Alle während des Tests erfassten sensiblen Daten C. Risikobewertung für jedes entdeckte Problem D. Leitlinien zur Schadensbegrenzung für identifizierte Probleme

100. Alox verwendet nmnao, um einen Port-Scan auf dem System durchzuführen und hat als Ergebnis drei verschiedene Port-Statusmeldungen erhalten. Ordnen Sie jede nummerierte Statusmeldung der entsprechenden Meldungsbeschreibung zu. Jeder Artikel kann nur einmal verwendet werden. Statusnachricht 1.Öffnen 2. Schließen 3. Filtern beschreiben A. Der Port auf dem Remote-System ist zugänglich, aber keine Anwendung akzeptiert Verbindungen über den Port. B. Der Port auf dem Remote-System ist nicht zugänglich. C. Der Port auf dem Remote-System ist zugänglich und die Anwendung akzeptiert Verbindungen über diesen Port.