6.1 Planejar e validar estratégias de avaliação, teste e auditoria

6.2 Realizar testes de controle de segurança

6.3 Coleta de dados do programa de segurança (por exemplo, técnicos e administrativos)

6.4 Analisar resultados de testes e gerar relatórios

6.5. Realizar ou promover auditorias de segurança

1. Ao realizar uma varredura de portas, Susan encontrou um sistema executando serviços nas portas TCP e UDP 137-189 e TCP 445 e 1433. Se ela estivesse conectada a esta máquina, que tipo de sistema ela provavelmente encontraria? A. Um servidor de e-mail Linux B. Um servidor Windows SQL C. Um servidor de arquivos Linux D. Estação de trabalho Windows individual

2. Qual das alternativas a seguir é um método para projetar testes automaticamente para novo software e garantir a qualidade dos testes? A. Auditoria de código B. Análise estática de código C. Teste de regressão D. Teste de mutação

3. Ao realizar uma varredura de porta, Naomi descobriu que a porta TCP 443 estava aberta em um sistema. Qual ferramenta é melhor para verificar serviços que podem estar em execução nesta porta? A.ZZUf B. Nikto C. Metasploit D. sqlmap

4. Qual padrão de registro de mensagens é comumente usado por equipamentos de rede, sistemas Linux e Unix e muitos outros dispositivos corporativos? A. Syslog B. Netlog C. Log de eventos D. Protocolo de registro remoto (RLP)

5 Alex deseja usar ferramentas automatizadas para preencher formulários de aplicativos da Web para testar vulnerabilidades de strings de formato. Que tipo de ferramentas ele deve usar? A. Caixa preta B. Ferramentas de quebra de força bruta C. Fuzzer D. Ferramentas de análise estática

6. Susan precisa realizar uma verificação de vulnerabilidade em um sistema e quer usar uma ferramenta de código aberto para testar o sistema remotamente. Qual das seguintes ferramentas atende aos seus requisitos e permite a verificação de vulnerabilidades? A. Nmap B.OpenVAS C.MBSA D Nessus

7. A Morgan está implementando um sistema de pontuação e avaliação de vulnerabilidades que utiliza componentes baseados em padrões para pontuar e avaliar as vulnerabilidades descobertas. Sistema de gestão. Qual das opções a seguir é mais comumente usada para fornecer uma pontuação de gravidade para uma vulnerabilidade? A.CCE B.CVSS СРЕ D.OVAL

8. Jim foi contratado para realizar testes de penetração na agência principal de um banco. Para tornar o teste o mais realista possível, não lhe foram fornecidas quaisquer informações sobre o banco sede, para além do seu nome e endereço. Que tipo de teste de penetração Jim concorda em realizar? A. Teste de penetração em caixa de cristal B. Teste de penetração de caixa cinza C. Teste de penetração de caixa preta D. Teste de penetração de caixa branca

9. Em resposta a um pedido de proposta, Susen recebeu um relatório SSAE 18 SOC. Se ela quiser que o relatório inclua detalhes sobre a eficácia da operação, em que base e por que ela deveria fazer perguntas de acompanhamento a Susan? A. Um relatório SOC 2Tipo II porque o Tipo I não cobre a eficácia operacional B. Um relatório SOC 1 Tipo I porque o SOC 2 não cobre a eficácia operacional C. Um relatório SOC2 Tipo I porque o SOC2 Tipo II não cobre a eficácia operacional D. Um relatório SOC3 porque os relatórios SOC1 e SOC2 são obsoletos

10. Durante um teste de penetração na rede sem fio, Suson usa um arquivo de senha para executar o alrcrack-ng na rede. Qual dos seguintes fatores pode ter contribuído para o fracasso de sua tentativa de decifrar o código? A. Use criptografia WPA2 B. Executando o modo empresarial em WPA2 C. Use criptografia WEP Porta executando o modo PSK em WPA2.

11. Uma vulnerabilidade de dia zero apareceu em um popular servidor web Apache durante um dia útil. Como analista de segurança da informação, Jacob precisa examinar rapidamente sua rede para determinar quais servidores são afetados pelo problema. Jacob Qual é a maneira mais rápida de identificar um sistema vulnerável a uma vulnerabilidade? A Execute uma varredura Nessus em todos os servidores imediatamente para determinar quais sistemas estão vulneráveis. B. Verifique o banco de dados CVE para obter informações sobre vulnerabilidades e patches. C. Crie uma assinatura IDS ou IPS personalizada. D. Determine a versão afetada e use uma ferramenta de verificação automatizada para verificar o número da versão do sistema.

12. Que tipo de teste é utilizado para garantir que módulos de software desenvolvidos individualmente troquem dados corretamente? A.Fuzzing (teste de difusão) B. Teste dinâmico C. Teste de interface Soma de verificação D.API

13. Salen deseja fornecer informações de avaliação de segurança aos clientes que desejam usar os serviços de nuvem da organização local. Qual das seguintes As opções devem ser selecionadas para garantir que o maior número possível de clientes esteja satisfeito com as informações da avaliação? A usa a Equipe de Auditoria Interna Quatro para conduzir autoavaliações com base em métricas internas. B. Use um auditor terceirizado. C. Utilize pessoal técnico interno que entenda o sistema. D. Usar a equipe de auditoria interna para realizar autoavaliações em relação aos padrões comumente usados, como o COBIT.

14. Pediu-se a Yasmine que considerasse um sistema de simulação de intrusão e ataque. Que tipo de sistema ela deveria procurar? A. Um sistema de emissão de tickets e gerenciamento de mudanças projetado para ajudar a gerenciar incidentes B. Um sistema para executar simulações de resposta a incidentes para que as equipes azuis testem suas habilidades C. Um sistema automatizado que combina tecnologias de equipe vermelha e equipe azul D. Um sistema de operações e resposta de segurança (SOAR)

15.Monica deseja coletar informações sobre a conscientização de segurança da organização. Técnicas mais comuns para avaliar a conscientização sobre segurança O que é? A. Simulador de pesca B. Aplicativos gamificados C. Teste de avaliação D. Questionário

16. Jim foi contratado para realizar um teste de penetração de caixa cinza e seu cliente lhe forneceu as seguintes informações sobre sua rede para que ele pudesse digitalizá-la: Centro de dados: 10.10.10.0/24 Vendas: 10.10.11.0/24 Faturamento: 10.10.12.0/24 Rede sem fio: 192.168.0.0/16 Que problemas ele encontraria se lhe fosse confiada a digitalização externa? R. O intervalo de IP é muito grande e não pode ser verificado com eficiência. B. O endereço IP fornecido não pode ser verificado. C. Intervalos de IP duplicados causarão problemas de digitalização. D. O endereço IP fornecido é um endereço RFC 1918.

17. A empresa de Mark foi notificada de que seu aplicativo web estava vulnerável. Anônimo o informou , eles têm duas semanas para corrigi-lo antes de divulgar detalhes da vulnerabilidade e exemplos de código de exploração. conectar Qual código do setor um indivíduo da empresa de Mark violou? A. Relatórios de dia zero B. Divulgação Ética C. Hacking Ético D.(SC)2 Declaração de Ética para Divulgação de Vulnerabilidade

Para as questões 18 a 20, considere o seguinte cenário: A empresa de Jennifer implementou uma infraestrutura de registro centralizada, conforme mostrado na figura a seguir. usar Use este diagrama e seu conhecimento sobre sistemas de registro para responder às seguintes perguntas. 18.Jennifer precisa garantir que todos os sistemas Windows forneçam as mesmas informações de log ao SIEM. Qual a melhor forma de garantir que todos os sistemas de desktop Windows tenham as mesmas configurações de registro? A. Realize auditorias regulares de configuração. B. Use a Política de Grupo. C. Use políticas locais. D. Implante o cliente syslog do Windows. 19. Durante as operações normais, a equipe de Jennifer usa um dispositivo SIEM para monitorar anomalias por meio de syslog. Qual sistema mostra uma situação que não suporta eventos syslog? A. Ponto de acesso sem fio empresarial B. Sistema de área de trabalho Windows Servidor Web C.Linux D. Equipamento de firewall empresarial 20. Para cada dispositivo mostrado no diagrama, quais técnicas a organização deve usar para garantir que o registro sequenciado no tempo possa ser realizado em toda a infraestrutura? A. Syslog B.NTP C.Logsync D. SNAP

21. Durante um teste de penetração, hetele precisa identificar o sistema, mas ainda não obteve permissões suficientes para gerar pacotes brutos no sistema que está sendo usado. Que tipo de varredura ela deve executar para verificar os serviços mais abertos? A. Verificação de conexão TCP B. Varredura TCP SYN C. Varredura UDP Varredura D.ICMP

22. Ao usar o nmap para realizar uma varredura de portas, Josezoh encontrou um sistema mostrando duas portas abertas. boca, o que imediatamente o preocupou: 21/aberto 23/aberto Quais serviços podem estar em execução nessas portas? A.SSH e FTP B. FTP e Telnet C. SMTP e Telnet D. POP3 e SMTP

23.Aaron deseja verificar a conformidade de sua empresa com o PCI-DSS. Sua empresa é uma grande organização empresarial com milhões de dólares em transações anualmente. Qual é a forma mais comum para grandes organizações conduzirem esse tipo de teste? A. Autoavaliação B. Conduzir uma avaliação de terceiros do COBIT C. Faça parceria com outra empresa e conduza um intercâmbio de avaliações entre as duas organizações D. Use um avaliador de segurança qualificado para realizar uma avaliação de terceiros

24. Qual é um método comum usado para avaliar a cobertura de testes de software para uso potencial de um aplicativo? A. Análise de cobertura de teste B. Revisão do código-fonte C. Análise difusa D. Relatório de revisão de código

25. Testes que enfocam funcionalidades que o sistema não deveria permitir são exemplos de que tipo de teste? A. Teste de caso de uso B. Teste manual C. Teste de caso de uso indevido D. Teste dinâmico

26. Que tipo de monitoramento utiliza tráfego simulado para um site para monitorar o desempenho? A. Análise de log B. Monitoramento abrangente de desempenho C. Monitoramento passivo D. Análise de transação simulada

27.Perek deseja garantir que sua organização acompanhe todas as alterações em todas as contas ao longo de seu ciclo de vida. Em que tipo de ferramentas sua organização deve investir? A. Serviço de diretório como LDAP Sistema B.IAM C. Sistema SIEM Sistema D.EDR

28.Jm usa uma ferramenta para verificar o sistema em busca de serviços disponíveis e, em seguida, conecta-se a esses serviços para coletar informações de banner para determinar a versão do serviço. Em seguida, ele fornece um relatório detalhando o que foi coletado, com base em impressões digitais de serviço, informações de banner e detalhes semelhantes, combinados com informações de CVE para os resultados. Que tipo de ferramenta Jim usa? A. Scanner de porta B. Validador de serviço C. Verificador de vulnerabilidade D. Ferramentas de gerenciamento de patches

29.Emily escreve um script para enviar dados para uma aplicação web que ela está testando. Cada vez que o script é executado, ele envia uma série de transações de dados que atendem aos requisitos esperados da aplicação web para verificar sua Respostas ao comportamento típico do cliente. Que tipo de transação ela está usando e que tipo de teste é esse? A. Vigilância abrangente e passiva B. Teste de caso de uso abrangente C. Monitoramento real e dinâmico D. Teste real de fuzz

30. Qual tecnologia de monitoramento passivo registra todas as interações do usuário com um aplicativo ou site para garantir a qualidade e desempenho? A. Teste de cliente/servidor B. Monitoramento real do usuário C. Monitoramento abrangente do usuário D. Gravação passiva do usuário

31No início deste ano, a equipe de segurança da informação do empregador de Jim descobriu uma vulnerabilidade no servidor web que ele era responsável pela manutenção. Ele aplicou imediatamente o patch e estava confiante de que ele havia sido instalado corretamente, mas as verificações de vulnerabilidade ainda sinalizaram incorretamente o sistema como vulnerável. Para resolver este problema para que não seja mais rotulado incorretamente? A. Desinstale e reinstale o patch. B. Solicite à equipe de segurança da informação que marque o sistema como corrigido e que não abriga mais aquela vulnerabilidade específica. C. Atualize as informações de versão na configuração do servidor web. D. Revise o relatório de vulnerabilidade e use outras opções de correção.

32 A Anools quer usar ferramentas automatizadas para testar o processamento de dados externos por navegadores web. Ela deveria definir Qual ferramenta escolher? A. Nmap B.zzuf C. Nesso D. Nikto

33. STRIDE significa Representação, Adulteração, Negação, Divulgação de Informações, Negação de Serviço, Elevação de Privilégio Em que parte da modelagem de ameaças de aplicativos ele é útil? A. Avaliação de Vulnerabilidade B. Teste de caso de uso indevido C. Classificação de ameaças D. Planejamento de teste de penetração

34. Por que a verificação passiva deve ser realizada além da implementação de tecnologia de segurança sem fio, como sistemas de detecção de intrusão sem fio? R. Pode ajudar a identificar dispositivos não autorizados. B. Pode testar a segurança de redes sem fio por meio de ataques de script. C. Eles permanecem em cada canal sem fio por um curto período de tempo e podem capturar mais pacotes de dados. D. Eles podem ajudar a testar sistemas IDS ou IPS sem fio.

35.Paul está revisando o processo de aprovação de um teste de penetração e quer garantir que ele passe por uma análise gerencial apropriada. Quem ele deveria garantir que aprovou uma solicitação para realizar um teste de penetração de um sistema comercial? A. Comitê Consultivo de Mudança B. Gestão Sênior C. O administrador do sistema do sistema D. Proprietário do Serviço

36. Qual termo descreve testes de software projetados para revelar novos bugs introduzidos por patches ou alterações de configuração? A. Teste de não regressão B. Teste de evolução C. Teste de fumaça D Teste de regressão

37.Qual das ferramentas a seguir não identifica o sistema operacional alvo para um testador de penetração? A. Nmap B. Nesso C. Nikto D. sqlmap

38 Susan precisa prever áreas de alto risco para sua organização e quer usar métricas para avaliar tendências de risco. O que ela deveria fazer para lidar com esse problema? A Realizar avaliações de risco anualmente. B. Contrate uma empresa de testes de penetração para testar regularmente a segurança da organização. C. Identificar e acompanhar os principais indicadores de risco. D. Use um dispositivo SIEM para monitorar logs e eventos.

39. Quais são as principais diferenças entre monitorização abrangente e passiva? R. O monitoramento abrangente só funciona após a ocorrência de um problema. B O monitoramento passivo não consegue detectar problemas funcionais. C. O monitoramento passivo só funciona após a ocorrência de um problema. D. O monitoramento abrangente não consegue detectar problemas funcionais.

Para as questões 40 a 42, considere o seguinte cenário. Chris usou o método padrão de teste de penetração mostrado aqui. Use este método e seu conhecimento em testes de penetração para responder perguntas sobre o uso da ferramenta durante os testes de penetração. 40. Quais são as tarefas mais importantes no planeamento da Fase 1? A. Construa um laboratório de teste B. Obter autorização C. Reúna as ferramentas apropriadas D. Determine se o teste é caixa branca, caixa preta ou caixa cinza 41. Qual das seguintes ferramentas tem maior probabilidade de ser usada durante a fase de descoberta? A. Nesso B.john C. Nmap D. Nikto 42. Qual das seguintes questões é mais importante abordar durante a fase de planeamento para garantir que não sejam causados ​​problemas durante a fase de elaboração de relatórios? A. Qual formato CVE usar B. Como armazenar e enviar dados de vulnerabilidade C. Quais objetivos são proibidos D. Quanto tempo deve demorar o relatório?

43. Quais são os quatro tipos de critérios de cobertura comumente usados ​​ao verificar o trabalho de um conjunto de testes de código? A. Cobertura de entradas, extratos, filiais e condições B. Números ocidentais, extratos, filiais e cobertura de condições C. Cobertura de AP, filial, limite e condição D. Limites, ramificações, loops e cobertura de condições

44. Como parte de sua função como gerente de segurança, Jacob fornece o seguinte gráfico à equipe administrativa da organização. Que tipo de medição ele fornece a eles? A. Medição de Cobertura B. Indicadores Chave de Desempenho C. Indicador de tempo de sobrevivência D. Indicadores de importância empresarial

45. Ao revisar os logs, o que proporciona o uso de um ID de usuário exclusivo para todos os usuários? A. Confidencialidade B. Integridade C. Disponibilidade D. Responsabilidade contábil

46. ​​​​Durante o teste de software, qual das opções a seguir não é uma interface comumente testada? A.API B.Interface de rede C. Interface do usuário D.Interface física

47.A organização de Alan utiliza o Protocolo de Automação de Conteúdo de Segurança (SCAP) para padronizar seus procedimentos de gerenciamento de vulnerabilidades. Qual componente do SCAP Alan pode usar para reconciliar as identidades de vulnerabilidades geradas por diferentes ferramentas de avaliação de segurança? A.OVAL B.XCCDF C.CVE D.SCE

48. Susan está revisando os dados de cobertura de testes de software e vê as informações mostradas no gráfico a seguir. O que ela pode determinar sobre esse processo de teste? (Selecione tudo que se aplica.) R. Os testes não são totalmente cobertos. B. O teste 4 não falhou. C O teste 2 não foi executado com êxito. D. É necessária uma quinta execução do teste.

49. Qual das estratégias a seguir não é uma abordagem razoável para corrigir vulnerabilidades descobertas por scanners de vulnerabilidade? A. Instale o patch. B. Use correções temporárias. C. Atualizar banner ou número de versão. D. Use a camada de aplicação

50. Durante o teste de penetração, Selah ligou para o suporte técnico da empresa-alvo e afirmou ser assistente de um associado sênior da empresa. Ela pediu ao suporte técnico para redefinir a senha do associado sênior porque eles estavam tendo problemas com o laptop durante a viagem e foi persuadida a fazê-lo com sucesso. Que tipo de ataque ela completou com sucesso? A. Ataque de conhecimento zero B. Ajudar e enganar C. Ataques de engenharia social D. Teste de caixa preta

51. Nesta imagem, que problemas podem surgir devido à configuração do processamento de log? R. Os logs podem ser perdidos durante o arquivamento. B. Os dados de registro podem ser substituídos. C. Os dados de registro podem não conter as informações necessárias. D. Os dados de log podem preencher o disco do sistema.

52. Qual das alternativas a seguir não é um risco associado aos testes de penetração? A. O aplicativo trava B. Negação de serviço C. Falta de energia D.Corrupção de dados

53. Qual publicação especial do NIST cobre a avaliação dos controles de segurança e privacidade? 800-12 B. 800-53A C. 800-34 D. 800-86

54 Michelle está conduzindo uma avaliação quantitativa do impacto nos negócios e deseja coletar dados para determinar o custo do tempo de inatividade. Que informações ela precisa coletar das interrupções do ano anterior para calcular o custo dessas interrupções para a empresa? (Selecione tudo que se aplica.) A. Tempo total de inatividade do negócio B. Número de horas de pessoal necessárias para se recuperar da falha C. Negócios perdidos por hora durante a interrupção (em dólares americanos) D. Salário médio dos funcionários por hora

55. Se a principal preocupação de Kara é evitar ataques de escuta, qual porta ela deveria bloquear? A. 22 B. 80 C. 443 D. 1433

56. Se a principal preocupação de Kara é impedir conexões administrativas com o servidor, qual porta ela deveria bloquear? A. 22 B. 80 C. 443 D. 1433

57. Durante uma auditoria de terceiros, a empresa de Jim recebeu uma descoberta. afirma: "Os administradores devem revisar os registros de sucessos e falhas de backup diariamente e tomar medidas imediatas para resolver as anomalias relatadas. De qual problema potencial esta descoberta indica?" R. O administrador não tem como saber se o backup foi bem-sucedido ou falhou. B. O backup pode não ter sido registrado corretamente. O backup C pode não estar disponível. D. Os logs de backup podem não ter sido revisados ​​adequadamente.

58.Jim está ajudando sua organização a decidir sobre padrões de auditoria a serem usados ​​em sua organização internacional. Qual dos seguintes não é Quais padrões de TI a organização de Jim poderia usar na revisão? A.COBIT B.SSAE-18 C.ITIL D. ISO 27001

59 Nicole deseja realizar uma auditoria baseada em padrões em sua organização. Qual das alternativas a seguir é comumente usada para descrever requisitos comuns para sistemas de informação? A.IEC B. COBIT C.FISA D.DMCA

60.A equipe de Kely realiza testes de regressão com cada patch lançado. Qual indicador-chave de desempenho eles deveriam manter para medir a eficácia de seus testes? A. Tempo de correção da vulnerabilidade B. Indicador de taxa de recorrência de defeitos C. Tendências de risco ponderadas D. Medição da cobertura específica dos testes

61. Qual dos seguintes tipos de revisão de código normalmente não é realizado por humanos? A. Verificação de software B. Programação em pares C. análise estática do programa D. Passo a passo do software

Para as questões 62 a 64, considere o seguinte cenário: Susan é a líder da equipe de garantia de qualidade da sua empresa. A equipe foi contratada para realizar testes para uma versão importante do principal produto de software da empresa. 62.A equipe de testes de software de Susan precisa testar todos os caminhos de código, incluindo caminhos que são usados ​​somente quando ocorrem condições de erro. Para garantir a cobertura completa do código, de que tipo de ambiente de teste sua equipe precisa? A. Teste de caixa branca B. Teste de caixa cinza C. Teste de caixa preta D. Teste dinâmico 63. Como parte dos testes contínuos de seu novo aplicativo, a equipe de garantia de qualidade de Susan projetou um conjunto de casos de teste para uma série de testes de caixa preta. Esses testes funcionais são então executados e um relatório é preparado explicando o que aconteceu. Que tipo de relatórios normalmente são gerados durante esse processo de teste para indicar métricas de teste? A. Relatório de cobertura de teste B. Relatório de teste de penetração C. Relatório de cobertura de código D. relatório de cobertura de linha 64. Como parte dos testes de cobertura de código, a equipe de Susan usa ferramentas de registro e rastreamento para análise em um ambiente que não seja de produção. Quais dos seguintes tipos de problemas de codificação provavelmente serão ignorados devido a mudanças no ambiente operacional? A. Verificação de limites incorreta B. Validação de entrada Condição de corrida C Operações de ponteiro D

65.Robin conduziu recentemente uma verificação de vulnerabilidades e descobriu uma vulnerabilidade crítica em um servidor que lida com informações confidenciais. O que Bobin deve fazer a seguir? A. remendo B. Relatório C. Correção D.Verificar

66.Os testes de código automatizados e as integrações que Andrea executa no processo de CI/CD de sua organização falham. O que Andrea deve fazer se a empresa precisar liberar o código imediatamente? A. Ignore manualmente o teste. B. Verifique o log de erros para determinar o problema. C. Execute novamente o teste para ver se funciona corretamente. D. Envie o código de volta ao desenvolvedor para correção.

67. Michelle deseja comparar as vulnerabilidades que encontra em seu data center com base em métricas como capacidade de exploração de vulnerabilidades, presença de código de exploração e dificuldade de correção. Que sistema de pontuação ela deveria usar para comparar esses indicadores de vulnerabilidades? A.CSV B. NVD C. VSS D.CVSS

68. Ao realizar uma varredura de portas em sua rede, Alex descobriu que as portas TCP 80, 443, 515 e 9100 estavam respondendo em vários hosts em vários escritórios da empresa. Que tipo de dispositivo Alex pode ter descoberto? A. Servidor web B. Servidor de arquivos C. Ponto de acesso sem fio D.Impressora

69 Que tipos de ferramentas são Nito, Burp Sure e Woot? A.Ferramentas de verificação de vulnerabilidades de aplicativos da Web B. Ferramentas de revisão de código C. Ferramentas de verificação de vulnerabilidades Ferramenta de digitalização D.Port

70 A equipe de Frank está testando novas APIs que os desenvolvedores da empresa estão construindo para sua infraestrutura de aplicativos. Qual das alternativas a seguir não é um problema comum de API que a equipe de Frank pode encontrar? A. Criptografia incorreta B. Problemas de autorização em nível de objeto C. Problemas de autenticação do usuário D. Falta de limitação de taxa

71Jim está trabalhando com um fornecedor de testes de penetração que recomenda o uso Metasploit. O que Jim deve esperar que aconteça ao usar o Metasploit? A. Irá verificar o sistema em busca de vulnerabilidades. B. Explorar vulnerabilidades conhecidas no sistema. C. Detectar buffer overflows e outros defeitos desconhecidos no serviço. D. Conduza testes de vulnerabilidade de dia zero no sistema.

72 Susan precisa garantir que as interações entre os vários componentes de seu aplicativo de comércio eletrônico sejam tratadas corretamente. Ela pretende validar capacidades de comunicação, tratamento de erros e gerenciamento de sessões em toda a infraestrutura. Que tipo de teste ela planeja realizar? A. Teste de casos de abuso B. Teste de difusão C. Teste de regressão D. Teste de interface

73. Jim está projetando o sistema de gerenciamento de logs de sua organização e sabe que precisa planejar cuidadosamente o tratamento dos dados de log da organização. Qual das alternativas a seguir não é um fator com o qual Jim deveria se preocupar? A. Quantidade de dados de registro B. Falta de fontes de log suficientes C. Requisitos de segurança para armazenamento de dados D. Largura de banda da rede

74. A organização de Ryan deseja garantir o gerenciamento adequado das contas, mas não possui uma ferramenta centralizada de gerenciamento de identidade e acesso. Rvan Qual a melhor opção ao realizar a verificação dos processos de gerenciamento de contas durante uma auditoria interna? AVerifique todas as alterações da conta nos últimos 90 dias. B. Selecione para verificar contas de administrador de alto valor. C. Verifique todas as alterações da conta nos últimos 180 dias. D. Realizar verificação de amostragem aleatória de contas.

75. Que tipo de log é gerado quando um sistema Windows é reiniciado? A. Erro B. Aviso C. Informação D. revisão falhada

76. Durante a investigação, Alex notou que Michelle fazia login em sua estação de trabalho às 8h todas as manhãs, mas estava conectada ao principal servidor de aplicativos da web do departamento pouco depois das 3h daquele dia. Que problema comum de registro Alex pode estar enfrentando? A. Formato de log inconsistente B. Registro modificado C. Carimbos de data e hora inconsistentes D. Múltiplas fontes de log

77. Que tipo de verificação de vulnerabilidade acessa informações de configuração obtidas do sistema no qual a verificação é executada, bem como informações obtidas por meio de serviços disponíveis na rede? A. Digitalização certificada B. Verificação de aplicativos da Web C. Verificação não autenticada D. Digitalização de portas

Para as questões 78 a 80, considere o seguinte cenário: A organização de Ben começou a usar o STRIDE para avaliar seu software e identificar agentes de ameaças e o impacto comercial que essas ameaças podem ter. Estão agora a trabalhar para identificar controlos apropriados para resolver os problemas identificados. 78.A equipe de desenvolvimento de Ben precisa resolver um problema de autorização que pode levar a uma ameaça de elevação de privilégio. Qual dos seguintes controles seria mais apropriado para esse tipo de problema? A. Habilite auditoria e registro. B. Use controle de acesso baseado em função para operações específicas. C. Habilite a verificação de tipo e formato de dados. D. Realize testes de lista de permissões com base na entrada do usuário. 79. A equipe de Ben está tentando classificar problemas de identificação de transações causados ​​por chaves simétricas compartilhadas por vários servidores. Em qual das seguintes categorias do STRIDE isso deve se enquadrar? A. Vazamento de informações B. Negação de serviço C. Adulteração D. Negar 80. O tráfego foi maior durante o ataque de negação de serviço. Ben Xizhao usou um serviço de terceiros para ajudar a avaliar a negação de serviço. Vulnerabilidade absoluta de ataque de serviço. Que tipo de engajamento ele deve recomendar à organização? A. Participação da engenharia social B. Teste de penetração C. Carga ou teste de estresse D. Teste usando teste fuzz

81 Chris está resolvendo os problemas de relatórios de gerenciamento de eventos e informações de segurança (SIEM) da organização. Depois de analisar o problema, ele acreditou que o horário das entradas de log em diferentes sistemas era inconsistente. Que protocolo ele pode usar para resolver esse problema? A.SSH B.FTP C.TLS D.NTP

82.Ryan está considerando usar testes difusos em seu projeto de teste de aplicações web. Tomando uma decisão Qual das seguintes afirmações sobre testes fuzz Ryan deve considerar? A. O teste Fuzz só pode encontrar falhas complexas. B. Os testadores devem gerar entradas manualmente. C. O teste Fuzz pode não cobrir totalmente o código. D. O teste Fuzz não consegue reproduzir o erro.

83.Ken está projetando um processo de teste para o software que sua equipe está desenvolvendo. Ele projetou um teste para verificar se cada linha de código foi executada durante o teste. Que tipo de análise Ken está conduzindo? A. Cobertura da filial B. Cobertura de condições C. Cobertura de funções D. Cobertura da declaração

Para as questões 84 a 86, considere o seguinte cenário. Ao fazer uma varredura de porta, Ben usou as configurações padrão do nmap e viu os seguintes resultados. 84. Se Ben estiver realizando um teste de penetração, qual deverá ser o próximo passo após receber esses resultados? A. Use um navegador da web para conectar-se ao servidor da web. B. Use uma conexão Telnet para testar a conta vulnerável. C. Identifique portas interessantes para verificação adicional. D. Use sqlmap no banco de dados aberto. 85. Com base nos resultados da verificação, qual é o sistema operacional (SO) mais provável em execução no sistema verificado? A. Versão desktop do Windows B.Linux C. Equipamento de rede D. Servidor Windows 86.O gerente de Ben está preocupado com o alcance da sua varredura. Com o que seu gerente pode estar preocupado? R. Ben não testou o serviço UDP. B.Ben não encontrou nenhuma porta além de "portas bem conhecidas". C. Ben não fez impressões digitais do sistema operacional. D.Ben testou apenas um número limitado de portas.

87.Lucca está analisando dados sobre o processo de recuperação de desastres de sua organização e percebe que o site principal da empresa O MTD é de duas horas. Ao testar e validar, o que ele aprendeu sobre o RTO do site? R. Demora menos de duas horas. B. Demora pelo menos duas horas. C. O tempo MTD é curto e demora mais. D. O tempo de RTO é muito curto e demorará mais.

88.Diana contratou um auditor terceirizado e deseja emitir um certificado de auditoria para o terceiro sem conter os detalhes da auditoria. Que tipo de relatório SOC SSAE 18 ela deve solicitar? A.SOC 1 B.SOC 2 C.SOC 3 D.SOC 4

89. Ao revisar os resultados dos testes de software do novo aplicativo da organização, Madhuri percebeu que o aplicativo produzia erros contendo informações de diretórios e arquivos que eram exibidas aos testadores de aplicativos da Web. Qual pergunta deve ser incluída em seu relatório? A. Ele não executa o tratamento adequado de exceções. B. O software não lida adequadamente com testes de casos de uso indevido. C. As instruções de depuração precisam ser excluídas. D. O código não foi totalmente testado devido a erros.

90. Qual é a primeira etapa que deve ocorrer antes de realizar um teste de penetração? A. Coleta de dados B. Varredura de porta C. Obtenha permissão D.Plano

91.O CEO da JOHn está preocupado com o sério aumento de cripto-malware na indústria. Ela pediu garantia de que os dados da empresa poderiam ser recuperados caso um malware atingisse e criptografasse seus sistemas de produção. Qual processo é necessário para dizer a ela que a empresa está preparada? A. Criptografe todos os dados confidenciais. B. Fazer hash de todos os dados de uma organização para detectar malware criptográfico. C. Execute a verificação de backup. D. Use tecnologia anticriptografia para evitar que malware criptografe a unidade.

92 Joanna é CISO da organização com função de supervisão de operações de segurança. Ela quer garantir que a supervisão da gestão das mudanças relacionadas à segurança seja contínua. Na maioria das organizações, qual sistema ela deveria focar no rastreamento desse tipo de dados? A. Sistema SIEM Sistema B.IPS Ferramentas C.CMS Bancada de trabalho D.ITSM

93. Henry quer verificar se seu backup é válido. Qual das opções a seguir seria a melhor maneira de garantir que os backups seriam úteis em um cenário real de recuperação de desastres? A. Restaure periodicamente um arquivo aleatório para garantir que o backup esteja funcionando corretamente. B. Verifique periodicamente as configurações e definições para verificar as configurações de backup. C. Verifique o log de backup para ter certeza de que nenhum erro ocorreu. D. Realize periodicamente restaurações completas de backups para verificar o sucesso.

94.Que tipos de scanners de vulnerabilidade não conseguem encontrar? A. Vulnerabilidades locais B. Vulnerabilidades de serviço C. Vulnerabilidades de dia zero D. Vulnerabilidades que requerem autenticação

95.Jacinda gostaria de medir a eficácia da sua formação em segurança como um dos seus indicadores de segurança. Quais das seguintes medidas são mais úteis para avaliar a eficácia da formação de sensibilização para a segurança? (Selecione tudo que se aplica.) A. Número de pessoas participando do treinamento B. Nível de conscientização sobre segurança antes e depois do treinamento C. Duração do treinamento (em horas) 口.Número de eventos de treinamento dos quais cada pessoa participou neste ano

96, Elaine descobre uma vulnerabilidade crítica até então desconhecida em um produto usado por sua organização. A sua organização leva muito a sério a divulgação ética e Elaine segue práticas comuns de divulgação ética. o que ela deveria fazer primeiro A. Crie medidas ou controles internos de correção e, em seguida, divulgue publicamente a vulnerabilidade para solicitar que os fornecedores corrijam rapidamente a vulnerabilidade. B. Crie correções ou controles internos e depois notifique o fornecedor sobre o problema. C. Notificar o fornecedor e dar-lhe um prazo razoável para resolver o problema. D. Divulgar publicamente as vulnerabilidades para que os fornecedores possam corrigi-las no momento apropriado.

Para as questões 97 a 99, considere o seguinte cenário. NIST Specral Puolircatton 800-115, Guia Técnico para Teste de Penetração e Teste de Penetração, fornece o processo testado pelo NIST para teste de penetração. Use esta imagem e seu conhecimento de teste de penetração para responder a perguntas. 97.Qual das alternativas a seguir não faz parte da fase de descoberta? A. Coleta de informações de nome de host e endereço IP B. Captura de informações de serviço C. Pesquisa na lata de lixo D. Escalação de privilégios 98. O NIST especifica quatro etapas da fase de ataque: obtenção de acesso, escalação de privilégios, navegação no sistema e entrega de ferramentas. Depois que um invasor instala ferramentas adicionais: Para qual estágio um testador de penetração normalmente retorna? A. Descubra B. Obtenha acesso C. Escalação de privilégios D. Navegação no sistema 99.Qual das alternativas a seguir não é uma parte típica de um relatório de teste de penetração? A. Lista de vulnerabilidades identificadas B. Todos os dados confidenciais coletados durante os testes C. Classificação de risco para cada problema descoberto D. Orientações de mitigação para problemas identificados

100. Alox está usando nmnao para realizar uma varredura de porta no sistema e recebeu três mensagens diferentes de status de porta nos resultados. Combine cada mensagem de status numerada com a descrição da mensagem apropriada. Cada item só pode ser usado uma vez. mensagem de status 1.Abrir 2. Fechar 3. Filtrar descrever R. A porta do sistema remoto está acessível, mas nenhum aplicativo aceita conexões na porta. B. A porta do sistema remoto não está acessível. C. A porta do sistema remoto está acessível e o aplicativo aceita conexões nessa porta.