Cree escenarios de evaluación y prueba de seguridad

Realizar una evaluación de vulnerabilidad

Revisión y prueba del código del software de prueba.

Implementar procesos de gestión de seguridad.

Comprender la importancia de los programas de evaluación y prueba de seguridad. Los programas de evaluación y prueba de seguridad son mecanismos importantes para verificar si los controles de seguridad continúan siendo efectivos. Los métodos de evaluación de seguridad y pruebas en vivo incluyen varias herramientas, como evaluaciones de vulnerabilidad, pruebas de penetración, pruebas de software, auditoría y tareas de gestión de seguridad para verificar la efectividad de los controles. Cada organización debe tener un programa de pruebas y evaluación de seguridad definido y viable.

Realizar evaluaciones de vulnerabilidad y pruebas de penetración. La evaluación de vulnerabilidades utiliza herramientas automatizadas para detectar vulnerabilidades conocidas en sistemas, aplicaciones y redes. Estas vulnerabilidades pueden incluir parches filtrados, configuraciones erróneas o código defectuoso, lo que expone a las organizaciones a riesgos de seguridad. Aunque las pruebas de penetración y el escaneo de vulnerabilidades utilizan las mismas herramientas, las pruebas de penetración complementan las herramientas con técnicas de ataque que el evaluador utiliza para intentar explotar las vulnerabilidades y obtener privilegios del sistema.

Realice pruebas de software para validar el código implementado en producción. La tecnología de prueba de software verifica si las funciones del código cumplen con los requisitos de diseño y si existen fallas de seguridad. Las revisiones de código utilizan un proceso de revisión por pares para validar formal o informalmente el código antes de implementarlo en producción. Las pruebas de interfaz evalúan la interacción entre componentes y usuarios a través de pruebas de API, pruebas de interfaz de usuario y pruebas de interfaz física.

Comprenda las diferencias entre las pruebas de software estáticas y las pruebas de software dinámicas. Las técnicas de prueba estáticas, como la revisión de código, evalúan la seguridad del software analizando el código fuente o los programas compilados sin ejecutar el software. Las técnicas de prueba dinámica evalúan la seguridad del software mientras se ejecuta y, a menudo, son la única opción para las organizaciones que implementan aplicaciones desarrolladas por otros.

Explique el concepto de prueba difusa. Las pruebas Fuzz utilizan entradas modificadas para probar cómo se comporta el software en condiciones inesperadas. Las pruebas de mutación difusa generan entradas sintéticas modificando entradas conocidas, lo que puede desencadenar un comportamiento anormal del software. Las pruebas difusas pregeneradas generan datos basados ​​en el modelo de entrada esperado, completando las mismas tareas que las pruebas difusas de mutación.

Realizar tareas de gestión de seguridad y supervisar la implementación de planes de seguridad de la información. Los gerentes de seguridad deben realizar una variedad de actividades. Garantizar controles adecuados del programa de seguridad de la información. La inspección de registros, especialmente la verificación cruzada de las actividades del administrador, puede garantizar que no se haga un mal uso del sistema. Los controles de gestión de cuentas garantizan que sólo los usuarios autorizados conserven el acceso al sistema de información. La verificación de la copia de seguridad garantiza que los procesos de soporte de la organización estén funcionando correctamente. Los indicadores clave de rendimiento y riesgo brindan una perspectiva estratificada de la efectividad de su programa de seguridad.

Realizar o facilitar auditorías internas y auditorías de terceros. Una auditoría de seguridad ocurre cuando un tercero evalúa los controles de seguridad de una organización para proteger sus activos de información. Las auditorías internas las realizan personas dentro de la organización únicamente con fines de gestión. Las auditorías externas las realizan empresas de terceros, generalmente para el órgano rector de una empresa.

Recopilar datos del proceso de seguridad. Muchos programas de seguridad de la información nativos de la provincia de Anhui aceptan datos críticos para el proceso de evaluación de la seguridad. Estos componentes incluyen procesos de gestión de cuentas, revisiones y aprobaciones de la gestión, indicadores clave de riesgo y rendimiento, datos de verificación de copias de seguridad, indicadores de capacitación y concientización, y datos generados por planes de recuperación ante desastres y continuidad del negocio.

1. ¿Cuál de las siguientes herramientas se utiliza principalmente para realizar análisis de descubrimiento de redes? A.nmap B.OpenVAS C. Marco Metasploit D.Isof

2. Adam realizó recientemente un escaneo de puertos de red en un servidor web que se ejecuta en la red de la organización. Escanea desde la red externa para obtener los resultados del escaneo desde la perspectiva del atacante. ¿Cuál de los siguientes resultados es más probable que active una alerta? A. 80/abierto B.22/filtrado C.443/abierto D. 1433/abierto

3. ¿Cuál de los siguientes factores no es necesario considerar al planificar un programa de pruebas de seguridad para un sistema específico? A. La sensibilidad de la información almacenada en el sistema. B. Dificultad para realizar la prueba C. Deseoso de probar nuevas herramientas de prueba D. El deseo del atacante por el sistema

4. ¿Cuál de los siguientes no suele incluirse en una evaluación de seguridad? A. Escaneo de vulnerabilidades B.Evaluación de riesgos C. Mitigación de la vulnerabilidad D. Evaluación de amenazas

5. ¿Quién es el público objetivo del informe de evaluación de la seguridad? A.Gestión B. Auditor de seguridad C profesionales de seguridad D.Cliente

6 Wendy piensa en el uso de escáneres de vulnerabilidades en las organizaciones. ¿Cuál es la función correcta de un escáner de vulnerabilidades? A. Escaneo activo con intentos de intrusión. B. Actuar como señuelo. C. Localice vulnerabilidades de seguridad conocidas. D. Baidong reconfigurará el sistema a un estado más seguro.

7. Almn escanea el servidor con nnnsp y confirma que el puerto 80 está abierto en el servidor. ¿Qué herramienta le proporcionaría a Alan la información adicional más útil sobre la implementación del servicio y la identidad del proveedor del servicio? A.SSH B. Navegador web C. Telnet D.ping

8. ¿Qué puerto se utiliza normalmente para recibir conexiones de administración desde una terminal SSH? R. 20 B.22 C.25 D.80

9. ¿Cuál de las siguientes pruebas proporciona la información más precisa y detallada sobre el estado de seguridad del servidor? A. Escaneo no autenticado B. Escaneo de puertos C. Exploración semiabierta D. Escaneo después de la autenticación de identidad

10. ¿Qué análisis de descubrimiento de red utiliza solo los dos primeros pasos del protocolo de enlace TCP? A. Escaneo de conexión TCP B. Escaneo de Navidad C. Escaneo TCPSYN D. Escaneo TCPACK

11. Matthew quiere probar el sistema en la red en busca de vulnerabilidades de inyección SQL. ¿Cuál de las siguientes herramientas es más adecuada para esto? ¿Tarea? A. Escáner de puertos B. Escáner de vulnerabilidad de red C. Escáner de descubrimiento de red D.Escáner de vulnerabilidad web

12. Badin Bank ejecuta Cheng Yu, una aplicación web que procesa pedidos de comercio electrónico y transacciones con tarjeta de crédito. Por tanto, el banco está sujeto al PCIDSS. El banco realizó un análisis de vulnerabilidad web en la aplicación y recibió resultados insatisfactorios. ¿Con qué frecuencia los bancos tienen que volver a escanear las solicitudes? A. Sólo cuando la aplicación cambia B. Al menos una vez al mes C. Al menos una vez al año D. No es necesario volver a escanear

13. Grace está realizando pruebas de penetración en la red de un cliente y espera utilizar herramientas para automatizar la explotación de vulnerabilidades comunes. ¿Cuál de las siguientes herramientas de seguridad se adapta mejor a sus necesidades? A.nmap B. Marco Metasploit C.OpenVAS D. Nikto

14. Paul quiere probar la aplicación con ligeras modificaciones a la entrada anterior. ¿Qué tipo de prueba está tratando de realizar Pablo? A. Revisión del código B. Revisión de la vulnerabilidad de la aplicación C. Pruebas de mutación difusa D. Pruebas fuzz pregeneradas

15. Los usuarios del banco pueden intentar retirar fondos de sus cuentas que no existen. Los desarrolladores reconocen dichas amenazas y desarrollan código para protegerse contra ellas. Si el desarrollador aún no ha parcheado la vulnerabilidad, ¿qué tipo de prueba de software es probable que la encuentre? A. Pruebas de casos de uso indebido B. Pruebas de inyección SQL C. Pruebas de fuzz Revisión del código D.

16. ¿Qué tipo de prueba de interfaz puede identificar fallas en la interfaz de línea de comando de un programa? A. Pruebas de la interfaz de programación de aplicaciones B. Pruebas de interfaz de usuario C. Pruebas de interfaz física D. Pruebas de interfaz de seguridad

17. ¿Durante qué prueba de penetración los evaluadores siempre tienen acceso a la información de configuración del sistema? A. Pruebas de penetración de caja negra B. Pruebas de penetración de caja blanca C. Pruebas de penetración de caja gris D. Pruebas de penetración de caja roja

18. ¿Qué puerto se abre normalmente en sistemas que ejecutan servidores HTTP no cifrados? R. 22 B.80 C.143 D.443

19. Robrt firmó recientemente una declaración SOC con un cliente y está preparando un informe que describe la evaluación de su empresa sobre la idoneidad y eficacia de los controles de seguridad de la KGB después de completar una evaluación de seis meses. ¿Qué tipo de informe está preparando Robert? A. Clase I Categoría B.I Clase C de Sichuan D. Categoría IV

20. ¿Qué tareas de gestión de seguridad de la información son efectivas para cumplir con los requisitos de protección de datos de una organización? Una gestión de cuentas B. Verificación de respaldo C. Revisión de registros D.Indicadores clave de desempeño