Wenden Sie grundlegende Sicherheitsbetriebskonzepte an

Gehen Sie auf Fragen der Personalsicherheit ein

Konfigurieren Sie Ressourcen sicher

Implementieren Sie Ressourcenschutz

Cloud-Hosting-Dienste

Führen Sie das CM-Konfigurationsmanagement durch

Verwalten Sie Patches und mindern Sie Schwachstellen

Verstehen Sie den Unterschied zwischen „Need-to-know“ und dem Prinzip der geringsten Privilegien. „Need-to-know“ und das Prinzip der geringsten Rechte sind zwei Standardprinzipien der IT-Sicherheit, die in einer sicheren Netzwerkumgebung befolgt werden. Die Grundsätze „Need-to-know“ und „Least Privilege“ beschränken den Zugriff auf Daten und Systeme, sodass Benutzer und andere Subjekte nur Zugriff auf das haben, was sie benötigen. Dieser eingeschränkte Zugriff trägt dazu bei, Sicherheitsvorfälle zu verhindern und die Auswirkungen eines etwaigen Vorfalls zu begrenzen. Hält sich eine Organisation nicht an diese Grundsätze, richten Sicherheitsvorfälle größeren Schaden für die Organisation an.

Verstehen Sie die Aufgabentrennung und Jobrotation. Aufgabentrennung ist ein grundlegendes Sicherheitsprinzip, das sicherstellt, dass keine einzelne Person Zugriff auf kritische Funktionen oder kritische Systemelemente hat. Durch Jobrotation können Mitarbeiter auf verschiedene Jobs rotiert werden bzw. Aufgaben verschiedenen Mitarbeitern zugewiesen werden. Absprachen liegen vor, wenn mehrere Personen zusammenarbeiten, um eine unerlaubte oder illegale Handlung durchzuführen. Ohne Absprachen können diese Strategien Betrug verhindern, indem sie das individuelle Verhalten einschränken.

Verstehen Sie, wie wichtig es ist, privilegierte Vorgänge zu überwachen. Obwohl privilegierten Benutzern vertraut wird, können sie ihre Privilegien missbrauchen. Daher ist es notwendig, die Vergabe und Nutzung aller Privilegien zu überwachen. Der Zweck der Überwachung privilegierter Vorgänge besteht darin, sicherzustellen, dass vertrauenswürdige Mitarbeiter gewährte Privilegien nicht missbrauchen. Da Angreifer bei Angriffen häufig Privilegien nutzen, können durch die Überwachung privilegierter Vorgänge auch einige Angriffe erkannt werden. Die erweiterte Berechtigungsverwaltung begrenzt die Zeit, die ein Benutzer über erweiterte Berechtigungen verfügt.

Service Level Agreements verstehen. Die Organisation schließt Service Level Agreements mit externen Einheiten wie Lieferanten ab. Ein SLA legt Leistungserwartungen fest, beispielsweise die maximale Ausfallzeit. SLAs enthalten häufig Strafklauseln für den Fall, dass der Lieferant die Erwartungen nicht erfüllt.

Achten Sie auf die Sicherheit des Personals. Mit Bedrohungssystemen können Wachen in Notfällen Alarm schlagen, und Notfallmanagementpläne helfen Organisationen, sich auf Katastrophen vorzubereiten. Mitarbeiter müssen sich der Risiken beim Reisen bewusst sein, insbesondere wenn sie in ein anderes Land reisen. Sicherheitsschulungs- und Sensibilisierungsprogramme stellen sicher, dass die Mitarbeiter diese Risiken verstehen und Möglichkeiten zu ihrer Minderung kennen.

Sicherheitskonfigurationskonzepte verstehen. Zur sicheren Konfiguration von Ressourcen gehört die Sicherstellung, dass Ressourcen auf sichere Weise bereitgestellt und während ihres gesamten Lebenszyklus auf sichere Weise verwaltet werden. Das Asset Management verfolgt materielle Vermögenswerte (Hardware und Software) und immaterielle Vermögenswerte (wie Patente, Marken, Firmenwert und Urheberrechte).

Erfahren Sie, wie Sie Medien verwalten und schützen. Die Medienverwaltungstechnologie verfolgt die Medien, die sensible Daten enthalten. Medien bleiben während ihrer gesamten Lebensdauer geschützt und werden vernichtet, wenn sie nicht mehr benötigt werden.

Verstehen Sie den Unterschied zwischen SaaS, PaaS und IaaS. Das Software as a Service (SaaS)-Modell stellt voll funktionsfähige Anwendungen bereit, auf die normalerweise über das Web zugegriffen wird. Das Platform as a Service (PaaS)-Modell stellt Benutzern Computerinfrastruktur, einschließlich Hardware, Produktionssystemen und Betriebsumgebung, zur Verfügung. Das Infrastructure as a Service (IaaS)-Modell stellt grundlegende Rechenressourcen wie Server, Speicher und Netzwerkressourcen bereit.

Identifizieren Sie Sicherheitsprobleme bei Cloud-Hosting-Diensten. Cloud-Hosting-Dienste umfassen Cloud-Speicher oder alle Ressourcen, auf die über die Cloud zugegriffen wird. Das Speichern von Daten in der Cloud erhöht das Risiko, sodass je nach Datenwert zusätzliche Maßnahmen zum Schutz der Daten erforderlich sein können.

Beim Leasing eines Cloud-basierten Dienstes ist es wichtig zu verstehen, wer für Wartung und Sicherheit verantwortlich ist. Cloud-Dienstleister bieten im LaaS-Modell minimalen Wartungsaufwand und Sicherheit.

Interpretieren Sie das Konfigurations- und Änderungskontrollmanagement. Betriebsunterbrechungen und viele andere Vorfälle können mit einem effektiven Konfigurations- und Änderungsmanagementplan verhindert werden. Das Konfigurationsmanagement stellt sicher, dass Systeme ähnliche Konfigurationen annehmen und dass Systemkonfigurationen bekannt und aufzeichenbar sind. Baselining stellt sicher, dass bereitgestellte Systeme dieselbe Baseline oder denselben Startpunkt haben, während Spiegelung eine allgemeine Baseline-Technik ist. Das Änderungsmanagement trägt dazu bei, unbefugte Änderungen zu verhindern, wodurch Betriebsunterbrechungen reduziert und Sicherheitsgefährdungen vorgebeugt werden. Der Change-Management-Prozess definiert die Anforderung, Genehmigung, Prüfung und Aufzeichnung von Änderungen. Die Versionskontrolle verwendet ein Tag- oder Nummerierungssystem, um Änderungen an Softwareversionen zu verfolgen.

Verstehen Sie das Patch-Management. Das Patch-Management stellt sicher, dass die Systeme mit aktuellen Patches auf dem neuesten Stand gehalten werden. Es sollte anerkannt werden, dass ein wirksamer Patch-Managementplan die Bewertung, Prüfung, Genehmigung und Bereitstellung von Patches umfasst. Darüber hinaus wird durch Systemprüfungen überprüft, ob genehmigte Patches auf dem System bereitgestellt wurden. Patch-Management wird häufig mit Änderungs- und Konfigurationsmanagement kombiniert, um sicherzustellen, dass der Dokumentationsinhalt Änderungen widerspiegelt. Ohne einen effektiven Patch-Management-Plan kommt es in Unternehmen häufig zu Ausfällen und Zwischenfällen, die durch bekannte Probleme verursacht werden, die hätten verhindert werden können.

Erklären Sie das Schwachstellenmanagement. Das Schwachstellenmanagement umfasst routinemäßige Schwachstellenscans und regelmäßige Schwachstellenbewertungen. Schwachstellenscanner können bekannte Sicherheitslücken und Schwachstellen erkennen, beispielsweise ungepatchte oder schwache Passwörter. Das Schwachstellenmanagement kann Berichte erstellen, die auf Schwachstellen im System hinweisen und eine wirksame Überprüfung des Patch-Managementplans ermöglichen. Die Schwachstellenbewertung umfasst nicht nur technische Scans, sondern auch die Überprüfung und Prüfung der Schwachstellenerkennung

Welcher Sicherheitsgrundsatz befasst sich mit der Kenntnis und dem Besitz sensibler Informationen als Aspekt des Berufs? A. Prinzip der geringsten Privilegien B. Aufgabentrennung C. Je nach Bedarf wissen D. Auf Anfrage

Die Organisation stellt sicher, dass Benutzer nur Zugriff auf die Daten erhalten, die für die Ausführung bestimmter Arbeitsaufgaben erforderlich sind und denen Benutzer folgen müssen grundsätzlich? A. Prinzip der geringsten Privilegien B. Aufgabentrennung C. Je nach Bedarf wissen D. Jobrotation

Was ist das Konzept, Benutzern nur die Rechte und Berechtigungen zu gewähren, die sie zur Erfüllung ihrer beruflichen Pflichten benötigen? A. Je nach Bedarf wissen B. Zwangsurlaub C. Prinzip der geringsten Privilegien D. Service Level Agreement (SLA)

„Need-to-know“ bezieht sich auf die Anforderung, auf Daten zuzugreifen und diese zu besitzen, um bestimmte Arbeitsaufgaben auszuführen Das Prinzip der geringsten Privilegien ist in der IT-Sicherheit, einschließlich Rechten und Berechtigungen, wirkungslos

Große Organisationen, die Microsoft-Domänen verwenden, möchten begrenzen, wie lange Benutzer über erhöhte Berechtigungen verfügen. Welches der folgenden Security-Operations-Konzepte unterstützt dieses Ziel? A. Prinzip der geringsten Privilegien B. Aufgabentrennung C. Je nach Bedarf wissen D. Verwaltung privilegierter Konten

Der Administrator weist Datenbankberechtigungen zu. Welche Standardzugriffsebene sollten Administratoren neuen Benutzern der Organisation gewähren? A. Lesen B.Ändern C. voller Zugriff D. Keine Zugriffsrechte

Sie möchten beim Erstellen neuer Konten in Ihrer Softwareentwicklungsabteilung das Prinzip der geringsten Rechte anwenden. Welche der folgenden Maßnahmen sollten Sie ergreifen? A. Erstellen Sie jedes Konto nur mit den Rechten und Berechtigungen, die der Mitarbeiter zur Ausführung seiner Arbeit benötigt. B. Gewähren Sie jedem Konto die vollständigen Rechte und Berechtigungen für den Server der Softwareentwicklungsabteilung. C. Erstellen Sie ein Konto ohne Rechte und Berechtigungen. D. Fügen Sie das Konto zur lokalen Administratorengruppe auf dem Computer des neuen Mitarbeiters hinzu.

Ihre Organisation hat die High-Level-Audit-Funktion in separate Arbeitsaufgaben aufgeteilt und diese Aufgaben dann drei Administratoren zugewiesen. Kein Administrator kann alle Aufgaben ausführen. Welches Sicherheitsprinzip beschreibt dieser Ansatz? A. Jobrotation B. Pflichturlaub C. Aufgabenteilung D.Prinzip der geringsten Privilegien

In Finanzinstituten wechseln Mitarbeiter in der Regel alle sechs Monate ihre Position. Welche Sicherheitsprinzipien übernehmen sie? A. Jobrotation B. Aufgabentrennung C. Obligatorischer Urlaub D.Prinzip der geringsten Privilegien

Welcher der folgenden Gründe ist der Hauptgrund dafür, dass Organisationen Urlaubsrichtlinien einführen? A. Aufgabenbereiche rotieren B. Betrug erkennen C. Verbessern Sie die Mitarbeiterproduktivität D. Reduzieren Sie den Stress Ihrer Mitarbeiter

Ihre Organisation hat mit einem Drittanbieter einen Vertrag über das Hosten cloudbasierter Server abgeschlossen. Das Management geht davon aus, dass Drittanbieter Geldstrafen verhängen können, wenn sie ihren vertraglichen Verpflichtungen in Bezug auf Betriebs- und Ausfallzeiten nicht nachkommen. Welche der folgenden Maßnahmen ist die beste Möglichkeit, dieser Anforderung gerecht zu werden? A.MOU B.ISA C. SLA D.SED

Welches der folgenden Cloud-Service-Modelle bietet der Organisation die meiste Kontrolle und erfordert, dass die Organisation die gesamte Wartung von Betriebssystemen und Anwendungen durchführt? A. Infrastructure as a Service (LAAS) B. Platform as a Service (Paas) C. Software as a Service (Saas) D.Öffentlich

Welches der folgenden Cloud-Service-Modelle ermöglicht Benutzern den Zugriff auf E-Mails über einen Webbrowser? A. Infrastruktur als Service (laaS) B. Platform as a Service (Paas) C. Software as a Service (SaaS) D.Öffentlich

IT-Abteilungen verwenden bei der Bereitstellung neuer Systeme häufig Bilder. Welche der folgenden Optionen ist der Hauptvorteil der Verwendung von Spiegeln? A. Stellen Sie eine Basis für das Konfigurationsmanagement bereit B. Verbessern Sie die Reaktionszeit des Patch-Managements C. Reduzieren Sie Schwachstellen ungepatchter Systeme D. Bereitstellung einer Änderungsdokumentation

Ein Serveradministrator hat kürzlich die Konfiguration des Servers geändert, um die Leistung zu verbessern. Wenn das Automatisierungsskript einmal pro Woche ausgeführt wird, führen Änderungen leider dazu, dass der Server neu gestartet wird. Nach mehreren Stunden der Fehlersuche wurde schließlich festgestellt, dass das Problem nicht am Skript, sondern an der Übergabe lag. Welche Maßnahmen können ergriffen werden, um dies zu verhindern? A. Schwachstellenmanagement B. Patch-Management C. Change Management D. Blockieren Sie alle Skripte

Welche der folgenden Schritte wären im Change-Management-Prozess enthalten? (Wählen Sie drei aus) A. Wenn eine Änderung die Leistung verbessert, implementieren Sie sie sofort B. Eine Änderung beantragen C. Erstellen Sie einen Rollback-Plan für die Änderung D. Änderungen aufzeichnen

Ein neuer CIO erfuhr, dass der Organisation ein Change-Management-Plan fehlte. Der CIO bestand darauf, dass der Change-Management-Plan sofort umgesetzt wird. Welche der folgenden Optionen ist das Hauptziel eines Change-Management-Programms? A. Sicherheit des Personals B. Rollback von Änderungen zulassen C. Stellen Sie sicher, dass Änderungen die Sicherheit nicht beeinträchtigen D. Privilegierten Zugriff prüfen

Systeme innerhalb einer Organisation sind so konfiguriert, dass sie Patches automatisch empfangen und aktualisieren. Nach Erhalt des Patches führten 55 der Systeme automatisch einen Neustart durch und starteten mit einem Stoppfehler. Welche der folgenden Maßnahmen würde dieses Problem verhindern, ohne die Sicherheit zu beeinträchtigen? A. Deaktivieren Sie die Einstellungen für die automatische Anwendung von Patches B. Implementieren Sie einen Patch-Management-Prozess, um alle Patches zu genehmigen C. Stellen Sie sicher, dass das System regelmäßig Patches überprüft D. Implementieren Sie einen Patch-Management-Prozess und testen Sie Patches, bevor Sie sie bereitstellen

Sicherheitsadministratoren möchten überprüfen, ob vorhandene Systeme über die neuesten Patches verfügen. Mit welcher der folgenden Optionen stellen Sie am besten sicher, dass Ihr System über die erforderlichen Patches verfügt? A. Patch-Management-System B. Patch-Scanner C. Penetrationstester D. Fuzz-Tester

Die Server Ihrer Organisation wurden kürzlich angegriffen, was zu Geschäftsunterbrechungen führte. Sie müssen Ihr System auf bekannte Probleme überprüfen, die ein Angreifer ausnutzen könnte, um andere Systeme in Ihrem Netzwerk anzugreifen. Welche der folgenden Optionen ist die beste, um diese Anforderung zu erfüllen? A. Versionsverfolgung B. Schwachstellenscanner C. Sicherheitsaudit D. Sicherheitsüberprüfung

Welcher der folgenden Prozesse listet am ehesten alle Sicherheitsrisiken innerhalb eines Systems auf? A. Konfigurationsmanagement B. Patch-Management C. Liste der Hardware-Assets D. Schwachstellenscan