Crie cenários de avaliação e teste de segurança

Conduza uma avaliação de vulnerabilidade

Teste de revisão e teste de código de software

Implementar processos de gerenciamento de segurança

Compreenda a importância dos programas de avaliação e teste de segurança. Os programas de avaliação e testes de segurança são mecanismos importantes para verificar se os controlos de segurança continuam a ser eficazes. A avaliação de segurança e os métodos de teste ao vivo incluem várias ferramentas, como avaliações de vulnerabilidade, testes de penetração, testes de software, auditoria e tarefas de gerenciamento de segurança para verificar a eficácia dos controles. Cada organização deve ter um programa de avaliação e testes de segurança definido e acionável.

Conduza avaliações de vulnerabilidade e testes de penetração. A avaliação de vulnerabilidades utiliza ferramentas automatizadas para detectar vulnerabilidades conhecidas em sistemas, aplicações e redes. Essas vulnerabilidades podem incluir vazamento de patches, configurações incorretas ou códigos defeituosos, expondo as organizações a riscos de segurança. Embora os testes de penetração usem as mesmas ferramentas da verificação de vulnerabilidades, os testes de penetração complementam as ferramentas com técnicas de ataque que os avaliadores tentam explorar vulnerabilidades e obter privilégios de sistema.

Execute testes de software para validar o código implantado na produção. A tecnologia de teste de software verifica se as funções do código atendem aos requisitos de design e se há falhas de segurança. As revisões de código usam um processo de revisão por pares para validar formal ou informalmente o código antes de implantá-lo na produção. O teste de interface avalia a interação entre componentes e usuários por meio de testes de API, testes de interface de usuário e testes de interface física.

Entenda as diferenças entre testes estáticos de software e testes dinâmicos de software. Técnicas de teste estático, como revisão de código, avaliam a segurança do software analisando o código-fonte ou programas compilados sem executar o software. As técnicas de teste dinâmico avaliam a segurança do software enquanto ele está em execução e muitas vezes são a única opção para organizações que implantam aplicativos desenvolvidos por terceiros.

Explique o conceito de teste fuzz. O teste Fuzz usa entradas modificadas para testar como o software se comporta sob condições inesperadas. O teste fuzz de mutação gera entradas sintéticas modificando entradas conhecidas, o que pode desencadear um comportamento anormal do software. O teste fuzz pré-gerado gera entrada com base no modelo de entrada esperado, completando as mesmas tarefas do teste fuzz de mutação.

Desempenhar tarefas de gestão de segurança e supervisionar a implementação de planos de segurança da informação. Os gerentes de segurança devem realizar uma variedade de atividades. Garantir controles apropriados do programa de segurança da informação. A inspeção de logs, especialmente a verificação cruzada das atividades do administrador, pode garantir que o sistema não seja mal utilizado. As verificações de gerenciamento de contas garantem que apenas usuários autorizados tenham acesso ao sistema de informação. A verificação de backup garante que os processos de suporte da organização estejam funcionando corretamente. Os principais indicadores de desempenho e risco fornecem uma perspectiva em camadas sobre a eficácia do seu programa de segurança.

Conduzir ou facilitar auditorias internas e auditorias de terceiros. Uma auditoria de segurança ocorre quando um terceiro avalia os controles de segurança de uma organização para proteger seus ativos de informação. As auditorias internas são realizadas por pessoas dentro da organização apenas para fins de gestão. As auditorias externas são realizadas por empresas terceirizadas, geralmente para o órgão de administração de uma empresa.

Colete dados do processo de segurança. Muitos programas de segurança da informação nativos da província de Anhui aceitam dados essenciais para o processo de avaliação de segurança. Esses componentes incluem processos de gerenciamento de contas, análises e aprovações gerenciais, indicadores-chave de desempenho e risco, dados de verificação de backup, indicadores de treinamento e conscientização e dados gerados por planos de recuperação de desastres e continuidade de negócios.

1. Qual das ferramentas a seguir é usada principalmente para realizar verificações de descoberta de rede? A.nmap B.OpenVAS C. Estrutura Metasploit D.Isof

2. Adam realizou recentemente uma varredura de porta de rede em um servidor web em execução na rede da organização. Ele verifica a partir da rede externa para obter os resultados da verificação da perspectiva do invasor. Qual dos seguintes resultados tem maior probabilidade de acionar um alerta? A. 80/aberto B. 22/filtrado C. 443/aberto D. 1433/aberto

3. Qual dos seguintes fatores não precisa ser considerado ao planejar um programa de testes de segurança para um sistema específico? A. A sensibilidade das informações armazenadas no sistema B. Dificuldade de realização do teste C. Ansioso para experimentar novas ferramentas de teste D. O desejo do invasor pelo sistema

4. Qual dos itens a seguir normalmente não é incluído em uma avaliação de segurança? A. Verificação de vulnerabilidades B. Avaliação de risco C. Mitigação de vulnerabilidades D. Avaliação de ameaças

5. Quem é o público-alvo do relatório de avaliação de segurança? A. Gestão B. Auditor de segurança Profissionais de segurança C D. Cliente

6 Wendy pensa em usar scanners de vulnerabilidade nas organizações. Qual é a função correta de um scanner de vulnerabilidade? A. Verificação ativa com tentativas de invasão. B. Agir como uma isca. C. Localize vulnerabilidades de segurança conhecidas. D. Baidong reconfigurará o sistema para um estado mais seguro.

7. Almn verifica o servidor com nnnsp e confirma se a porta 80 está aberta no servidor. Qual ferramenta forneceria a Alan as informações adicionais mais úteis sobre implantação de serviços e identidade do provedor de serviços? A.SSH B. Navegador da Web C.Telnet D. Ping

8. Qual porta normalmente é usada para receber conexões de gerenciamento de um terminal SSH? A. 20 B. 22 Capítulo 25 D. 80

9.Qual dos testes a seguir fornece informações mais precisas e detalhadas sobre o status de segurança do servidor? A. Verificação não autenticada B. Varredura de porta C. Varredura semiaberta D. Verificação após autenticação de identidade

10. Qual varredura de descoberta de rede utiliza apenas as duas primeiras etapas do handshake TCP? A. Verificação de conexão TCP B. Digitalização de Natal C. Varredura TCPSYN D. Varredura TCPACK

11. Matthew deseja testar o sistema na rede em busca de vulnerabilidades de injeção de SQL. Qual das seguintes ferramentas é mais adequada para isso Tarefa? A. Scanner de porta B. Verificador de vulnerabilidade de rede C. Scanner de descoberta de rede D. Verificador de vulnerabilidade da Web

12. O Badin Bank administra o Cheng Yu, um aplicativo da web que processa pedidos de comércio eletrônico e transações com cartão de crédito. Portanto, o banco está sujeito ao PCIDSS. O banco executou uma verificação de vulnerabilidades na web no aplicativo e recebeu resultados insatisfatórios. Com que frequência os bancos precisam verificar novamente os aplicativos? A. Somente quando o aplicativo muda B. Pelo menos uma vez por mês C. Pelo menos uma vez por ano D. Não há necessidade de digitalizar novamente

13. Grace está conduzindo testes de penetração na rede de um cliente e espera usar ferramentas para automatizar a exploração de vulnerabilidades comuns. Qual das seguintes ferramentas de segurança atende melhor às suas necessidades? A.nmap B. Estrutura Metasploit C.OpenVAS D. Nikto

14. Paul deseja testar o aplicativo com pequenas modificações na entrada anterior. Que tipo de teste Paulo está tentando realizar? A. Revisão de código B. Revisão de vulnerabilidade de aplicativo C. Teste de fuzz de mutação D. Teste de fuzz pré-gerado

15. Os utilizadores do banco podem tentar levantar fundos das suas contas que não existem. Os desenvolvedores reconhecem essas ameaças e desenvolvem códigos para se protegerem contra elas. Se o desenvolvedor ainda não corrigiu a vulnerabilidade, que tipo de teste de software provavelmente a encontrará? A. Teste de caso de uso indevido B. Teste de injeção SQL C. Teste Fuzz D. Revisão do código

16. Que tipo de teste de interface pode identificar falhas na interface de linha de comando de um programa? A. Teste de interface de programação de aplicativos B. Teste de interface do usuário C. Teste de interface física D. Teste de interface de segurança

17. Durante qual teste de penetração os testadores sempre têm acesso às informações de configuração do sistema? A. Teste de penetração de caixa preta B. Teste de penetração de caixa branca C. Teste de penetração de caixa cinza D. Teste de penetração de caixa vermelha

18. Qual porta normalmente é aberta em sistemas que executam servidores HTTP não criptografados? A. 22 B. 80 C. 143 D. 443

19. Robrt assinou recentemente uma declaração SOC com um cliente e está a preparar um relatório que descreve a avaliação da sua empresa relativamente à adequação e eficácia dos controlos de segurança da KGB, após completar uma avaliação de seis meses. Que tipo de relatório Robert está preparando? A. Classe I Categoria B.I Classe C Sichuan D. Categoria IV

20. Quais tarefas de gerenciamento de segurança da informação são eficazes para atender aos requisitos de proteção de dados de uma organização? Um gerenciamento de contas B. Verificação de backup C. Revisão de registro D. Principais indicadores de desempenho