Wondershare EdrawMind
Галерея диаграмм связей Примечания к исследованию CISSP - Домен 6 (Оценка и тестирование безопасности)
- 1
Примечания к исследованию CISSP - Домен 6 (Оценка и тестирование безопасности)
Это интеллектуальная карта учебных заметок CISSP - Домен 6 (Оценка и тестирование безопасности). Основное содержание включает в себя: контрольные вопросы и знания.
Отредактировано в 2024-04-06 10:04:44
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
Примечания к исследованию CISSP - Домен 6 (Оценка и тестирование безопасности)
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
- Рекомендовано вам
- Структура
Информационная система Система знаний менеджера проекта (Глава 12 «Управление закупками проекта»)
- 2
Знания в области безопасности электричества, воды и безопасности экспериментов по органической химии.
- 1
![Создание и внедрение системы управления безопасностью элементов управления безопасностью [Практическая версия]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718877328/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Создание и внедрение системы управления безопасностью элементов управления безопасностью [Практическая версия]
- 2
![Разрывные мембраны для средств безопасности [Сводка правил]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718878055/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Предохранительный клапан предохранительного устройства [версия принципа работы]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718878190/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Предохранительные клапаны для средств безопасности [Сводка правил]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718878219/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Подготовка операционных процедур [Комплексная версия законов и нормативных актов]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718905427/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Примечания к исследованию CISSP - Домен 6 (Оценка и тестирование безопасности)
Очки знаний
6.1 Планирование и проверка стратегий оценки, тестирования и аудита
6.1.1. Оценка, тестирование и аудит.
6.1.1.1 Испытания
Техническая деятельность, включающая запуск системы для подтверждения того, что она соответствует конкретным требованиям или ожидаемому поведению. Тестирование часто используется для поиска проблем и ошибок в системе. В области безопасности тестирование включает сканирование уязвимостей, тестирование на проникновение и т. д., которые используются для обнаружения и оценки потенциальных угроз безопасности системы.
6.1.1.2Оценки
Оценка — это комплексная деятельность по оценке конкретного объекта, системы или процесса. Она может быть основана на количественных или качественных стандартах. Например, оценка риска заключается в оценке возможности возникновения конкретного риска или в оценке качества. процесс обеспечения безопасности организации.
6.1.1.3Аудит
Аудит — это более формальный, структурированный процесс, основной целью которого является проверка и подтверждение соответствия объекта или системы определенным стандартам или спецификациям. Аудит обычно проводится независимыми сторонними организациями для обеспечения беспристрастности и справедливости результатов аудита. Например, аудит системы может определить, соответствует ли система стандарту безопасности данных индустрии платежных карт (PCI DSS).
6.1.2. Внутренний аудит.
Внутренние оценки и аудиты – это деятельность по оценке и аудиту, проводимая собственным персоналом организации. Данная деятельность может осуществляться на постоянной основе в рамках управления безопасностью организации.
1. Преимущества и недостатки внутреннего аудита
•Преимущества: поскольку инсайдеры обладают глубоким пониманием деятельности и бизнеса организации, они могут проводить тесты и оценки более точно и эффективно. Кроме того, внутренний аудит более гибок и может проводиться в любое время в соответствии с потребностями организации.
• Недостатки: Возможны потенциальные конфликты интересов, например: «Тот, кто разрабатывает политику, не должен подвергаться аудиту». В результате внутреннему аудиту может не хватать независимости и беспристрастности.
2. Виды тестирования, подходящие для внутреннего проведения
• Сканирование уязвимостей: проводится регулярно для обнаружения неисправленного программного обеспечения или неизвестных активов.
• Аудит процессов и процедур: например, управление изменениями, завершение обучения сотрудников и т. д.
• Моделирование фишинга: проверьте способность сотрудников распознавать фишинговые атаки и реагировать на них.
3. Подготовьтесь к внешним аудитам
Перед проведением внешнего аудита организация может решить провести внутренний подготовительный аудит. Это может помочь улучшить результаты внешнего аудита за счет выявления и устранения любых существующих проблем или недостатков до начала официального аудита.
6.1.3. Внешний аудит.
Внешний аудит обычно проводится независимыми сторонними организациями, которые не имеют прямого интереса в проверяемой организации. Таким образом, внешний аудит может обеспечить объективную и независимую оценку и результаты аудита, которые особенно ценны для выявления и устранения проблем, которые организация могла упустить из виду. Но это также может потребовать инвестиций большего времени и ресурсов. Поэтому при принятии решения о проведении внешнего аудита организациям необходимо взвесить все «за» и «против» и учитывать конкретные потребности и условия своего бизнеса.
Ситуации, в которых применим внешний аудит, включают:
• Аудит соответствия: для соответствия конкретным требованиям соответствия, таким как стандарт безопасности данных индустрии платежных карт (PCI-DSS), международный стандарт системы управления информационной безопасностью (IS0 27001) и т. д., требуются внешние аудиты.
Законодательные или нормативные требования. В некоторых случаях организация может быть обязана провести внешний аудит в связи с юридическими или нормативными требованиями. Например, для удовлетворения конкретных бизнес-требований может потребоваться оценка зрелости на основе модели зрелости.
6.1.4. Сторонний аудит.
Аудит третьих лиц. Также называется аудитом цепочки поставок. Это важное средство оценки и управления рисками безопасности цепочки поставок, которое может проводиться самой организацией или сторонним аудитором. В ходе аудита будут оцениваться меры безопасности и политики в цепочке поставок, выявляться риски и предлагаться меры по их снижению. Некоторые поставщики могут предоставлять сторонние аудиторские отчеты, такие как отчеты Service Organization Controls 2 (SOC2), которые могут помочь организациям лучше понимать риски цепочки поставок и управлять ими.
6.2. Провести тестирование средств безопасности.
6.2.1. Оценка уязвимости.
1. Обзор стратегии
Оценка уязвимостей является ключевым компонентом управления рисками, который направлен на выявление и оценку уязвимостей аппаратных и программных активов, чтобы предотвратить их использование злоумышленниками.
Основные этапы оценки уязвимости включают в себя:
1) Создайте инвентаризацию активов. Определите критически важные активы вашей организации и расставьте приоритеты при сканировании уязвимостей.
2. Выберите инструмент сканирования. Выберите подходящий инструмент сканирования уязвимостей с учетом таких факторов, как юридические, договорные или нормативные требования, совместимость платформы и стоимость.
2. Часто задаваемые вопросы об оценке уязвимостей
1. Чрезмерный трафик и DoS
Описание. Сканеры уязвимостей могут генерировать большие объемы трафика, потреблять пропускную способность сети и потенциально вызывать DoS-состояния, поскольку сети и системы с трудом справляются с обработкой информации.
решение:
1) Правильная конфигурация, например реализация регулирования запросов для ограничения количества запросов, генерируемых сканером за определенный период времени.
2) Сканирование на основе ваучеров для получения информации о конфигурации и точного сканирования целевых портов.
3) Запланируйте сканирование, чтобы сканирование выполнялось в периоды низкой активности пользователей.
2. Оповещения и события
Описание. Сканирование хоста будет имитировать тактику, обычно используемую злоумышленниками, и генерировать предупреждения системы безопасности.
Решение: настройте политику для фильтрации собственного тестового трафика и помечайте сканирования портов с IP-адреса сканера уязвимостей как неподозрительные.
3. Межфункциональная собственность
Описание: Если бизнес-отдел не обратит внимания, ваша охранная сигнализация может быть проигнорирована.
Решение: развивайте отношения между командами и форматируйте результаты обратной связи так, чтобы они были понятны владельцам активов;
4. Загрязнение
Описание. Автоматически заполняемые тестовые данные могут загрязнять онлайн-среду.
Решение. Измените политику конфигурации, чтобы уменьшить или игнорировать некоторые деструктивные операции, такие как операции с формами, отправка электронных писем и т. д. Сканер можно настроить на ввод распознанных типов тестовых данных, которые можно легко игнорировать или очищать после сканирования.
5. Сегментация сети
Описание. Использование мер контроля доступа, таких как брандмауэры, для сегментации или изоляции различных частей сети, является лучшей практикой в области безопасности, но может помешать сканеру достичь целевого адреса.
Решение: Распределенное сканирование помещает агент сканирования в сегмент сети, позволяет сканировать конечные точки сегмента сети, а затем интегрирует результаты в центральный блок управления.
6.2.2. Тестирование на проникновение.
Оценка уязвимостей ищет слабые места, которые теоретически могут быть использованы, в то время как тестирование на проникновение (также называемое тестированием на проникновение) идет на шаг дальше и доказывает, что эти слабости можно использовать.
1 Виды тестирования на проникновение
1) Тестирование на проникновение «белого ящика» (также называемое тестированием полного знания)
Команда тестирования полностью понимает инфраструктуру и ее архитектуру, включая операционные системы, сегментацию сети, устройства и их уязвимости. Этот тип тестирования помогает сосредоточить команду тестирования на конкретной области интересов или конкретной уязвимости.
2) Тестирование на проникновение «черного ящика» (также называемое тестированием с нулевым разглашением)
Команда тестирования не имеет никаких знаний об инфраструктуре и обнаруживает структуру сети и ее уязвимости с точки зрения злоумышленника.
3) Тестирование на проникновение серого ящика (также называемое тестированием местных знаний)
Тест на проникновение, который является промежуточным звеном между тестированием «белого ящика» и тестированием «черного ящика», когда команда тестирования имеет частичные знания об инфраструктуре.
2. Тестер проникновения
1) Хакер в белой шляпе (этический)
Специалист по безопасности, который тестирует систему, чтобы определить ее слабые места, чтобы можно было устранить эти недостатки и лучше защитить систему.
2) Хакеры в черной шляпе (неэтично)
Злоумышленники проникают в системы посредством шантажа, получают конфиденциальные данные или нарушают работу инфраструктуры.
3) Хакеры в серых шляпах
Хакеры, которые перемещаются между мирами белой и черной шляпы. Иногда продают свой опыт на благо организации.
4) Красная команда
Группы атак во время тестирования безопасности или учений
5) Синяя команда
Защитники во время тестов или учений по безопасности
6) Белая команда
Команда, которая управляет учениями во время проверки безопасности или учений.
3 правила тестирования на проникновение
Тестирование на проникновение никогда не должно проводиться без надлежащего разрешения. Правила тестирования также должны быть ясными, включая определение объема теста, идентификацию участников, определение методов тестирования и ожидаемых методов связи и т. д.
Внутренние клиенты, обычно определяемые в файлах правил, включают следующие аспекты:
•Какие системы, офисы или другие объекты подлежат тестированию?
• Исключены ли какие-либо системы, офисы или другие объекты из тестирования?
. Запрещены ли какие-либо методы тестирования, такие как социальная инженерия или взлом паролей?
. Охвачена ли физическая безопасность? Если да, то какие возможности или цели включены?
•Какой уровень полномочий предоставляется тестировщикам? Тестировщикам могут быть предоставлены учетные записи для оценки инсайдерских угроз или проведения проверок, если они смогут получить доступ.
•Каков ожидаемый стиль и темп общения? Некоторым организациям может потребоваться немедленное уведомление о любых потенциально критических проблемах безопасности, в то время как другие могут довольствоваться окончательным отчетом.
•Кто проводит тестирование, какое оборудование и программное обеспечение разрешено и когда будет проводиться тестирование?
•Какие процедуры будут использоваться при обработке конфиденциальных данных, таких как конфигурации внутренней сети, записи клиентов и т. д.?
•Как будет безопасно обрабатываться конфиденциальные данные после тестирования?
• Каков ожидаемый уровень обслуживания. Например, тестировщики проводят повторное тестирование сразу после внесения исправления или ждут предписанного времени повторного тестирования?
•Каковы ожидания от документации, в частности подробностей о любых обнаруженных проблемах, с указанием проделанной работы по проверке результатов испытаний и формата любых отчетов?
4. Процесс тестирования на проникновение
5. Тестирование на физическое проникновение
Тестирование на физическое проникновение — это когда тестировщик пытается получить несанкционированный доступ на объект, такой как офис или центр обработки данных, с целью обнаружения потенциальных слабых мест в средствах контроля физической безопасности. Распространенная тактика социальной инженерии включает в себя ношение громоздких предметов и просьбу кого-нибудь открыть дверь или появление в костюме чиновника.
6.2.3. Просмотр журнала.
Просмотр журналов — важная часть управления информационной безопасностью. Он включает в себя анализ и просмотр журналов, созданных системами, терминалами, устройствами и приложениями. Цель состоит в том, чтобы собрать и проанализировать значимую информацию в этих журналах, чтобы облегчить обнаружение инцидентов безопасности и реагирование на них. .
1 Важность просмотра журналов
Журналы предоставляют подробную информацию о поведении системы, поведении пользователей, событиях безопасности, системных ошибках и многом другом. Просмотр и анализ журналов может помочь организациям понять состояние и поведение своих систем, а также любые потенциальные проблемы безопасности.
2) Аудит и оценка управления журналами
Создание, сбор, хранение и обработка самих журналов также должны подвергаться аудиту и оценке. Это включает в себя обеспечение целостности, доступности и конфиденциальности журналов, а также соответствие требованиям. Для этого может потребоваться ссылка на применимые законодательные требования, отраслевые кодексы и международные стандарты для обеспечения надлежащего управления журналами.
3) Стратегия просмотра журналов
Организациям необходимо разработать политики, процедуры и технические конфигурации проверки журналов, чтобы обеспечить эффективность проверки журналов. Это может включать определение частоты проверки журналов, глубины проверки, используемых инструментов и методов, а также способов обработки результатов проверки.
6.2.4 Синтетические транзакции
Синтетические транзакции относятся к автоматизированным процессам, используемым для тестирования и мониторинга производительности системы, которые моделируют определенное поведение или действия пользователя для проверки производительности и надежности приложения, системы или сети.
6.2.4.1 Распространенные сценарии использования синтетических транзакций:
• Мониторинг соглашения об уровне обслуживания (SLA). Синтетические транзакции можно использовать для мониторинга того, соответствует ли хостовая или облачная служба согласованным стандартам уровня обслуживания.
• Мониторинг целостности данных: моделируя правила бизнес-логики и обрабатывая тестовые данные, синтетические транзакции могут вызывать оповещения, когда результаты обработки данных не соответствуют ожиданиям.
• Мониторинг системы или службы. Даже при отсутствии соглашения об уровне обслуживания системы или службы можно отслеживать с помощью искусственных транзакций, чтобы гарантировать, что они находятся в сети и оперативно реагируют.
6.2.4.2 Мониторинг реальных пользователей (RUM)
RUM — это технология мониторинга, которая отслеживает взаимодействие пользователей с приложением или сервисом в режиме реального времени. Этот мониторинг можно использовать для обнаружения потенциальных проблем, таких как медленные или не отвечающие страницы. Однако RUM может вызвать проблемы конфиденциальности и требует особой осторожности при использовании.
6.2.5 Проверка и тестирование кода.
Программное обеспечение состоит из кода, поэтому проверка и тестирование кода для выявления и устранения дефектов являются критически важными мерами безопасности.
1. Классификация испытаний
Тестирование черного ящика: тестер не затрагивает исходный код или внутренний принцип работы приложения, а моделирует и тестирует с точки зрения внешнего злоумышленника или пользователя.
Тестирование белого ящика: тестировщики имеют доступ к исходному коду или внутренней структуре приложения, чтобы обнаружить возможные недостатки и ошибки путем проведения его углубленного анализа.
2. Метод тестирования
• Коллегиальная проверка кода: это ручной метод, при котором разработчики проверяют код друг друга, чтобы найти возможные ошибки и улучшения.
• Статический анализ кода: это автоматизированный метод проверки кода, в котором используется специализированное программное обеспечение для имитации выполнения кода с целью выявления возможных уязвимостей, таких как переполнение буфера и т. д.
• Тестирование с динамическим анализом. Это метод тестирования во время выполнения, при котором программа запускает программу и наблюдает за ее поведением, чтобы выявить возможные проблемы и уязвимости.
3.Цели тестирования
• Охват. Целью тестирования должно быть максимальное покрытие всего кода и функций, чтобы гарантировать, что ни один дефект или ошибка не будет пропущен.
• Автоматизация. Чтобы сбалансировать скорость разработки и безопасность, процесс тестирования должен быть максимально автоматизирован. Например, некоторые распространенные задачи тестирования и исправления можно автоматизировать с помощью инструментов автоматизации оркестрации безопасности и реагирования (SOAR).
6.2.6. Тестирование случаев неправильного использования.
6.2.6.1 Случай неправильного использования
Также известно как негативное тестирование (неоативное тестирование). Цель состоит в том, чтобы оценить реакцию системы или приложения на неожиданные входные данные или ситуации и выявить уязвимости, которые могут быть использованы в этих неожиданных ситуациях.
Например, если пользователь вводит имя пользователя, но оставляет пароль пустым, это может привести к сбою приложения или открытию прямого доступа к системе.
6.2.6.2 Случай злоупотребления
Тестирование случаев злоупотребления является неотъемлемой частью моделирования угроз, моделируя, как система или функция может быть использована не по назначению, и конкретно описывая, как злоумышленник может воспользоваться этой уязвимостью.
6.2.7. Анализ тестового покрытия.
1. Покрытие тестами = (количество протестированных компонентов/общее количество компонентов) x 100%.
2. Шесть общих стандартов:
1) Покрытие ветвей: убедитесь, что каждая ветвь в операторе управления выполняется.
2) Покрытие условий: условие, которое требует проверки каждого логического выражения в коде на истинность и ложность.
3) Покрытие Western Digital (охват функций): убедитесь, что вызывается каждая функция Western Digital в программе.
4) Покрытие операторов: проверяет выполнение каждой строки кода в программе.
5) Охват решений: сочетание западного и отраслевого охвата было проверено для тестирования различных ситуаций ввода и вывода.
6) Охват параметров: проверьте поведение Western Digital, принимающей ввод параметров.
Примечание. Идеальной ситуацией является 100%-ное покрытие, но из-за стоимости невозможно выполнить все тесты в течение определенного периода времени, чтобы обеспечить достаточное тестовое покрытие для ключевых функций системы.
6.2.8. Тестирование интерфейса.
Тестирование интерфейса является ключевым компонентом тестирования системы. Оно в основном фокусируется на точках взаимодействия системы с внешними элементами. Этими элементами могут быть другие системы, пользователи или процессы.
К основным типам интерфейса относятся:
• Пользовательский интерфейс (U): это основной способ взаимодействия пользователя с системой, который может представлять собой либо графический интерфейс пользователя (GU), либо интерфейс командной строки (CLI).
• Интерфейс прикладного программирования (API). Это способ взаимодействия системы с другим программным обеспечением, например REST API для веб-приложений или API для межпроцессного взаимодействия (IPC) и удаленных вызовов процедур (RPC).
Целью тестирования интерфейса является обеспечение правильной передачи и преобразования данных между объектами и правильная обработка всех ошибок. Это включает в себя проверку правильности форматирования данных, проверку эффективности механизмов обработки ошибок и обеспечение правильного контроля доступа во время передачи. Это может обеспечить целостность данных, стабильность и безопасность системы, а также предотвратить потерю или повреждение данных из-за ошибок интерфейса.
6.2.9. Моделирование атаки на уязвимости
6.2.9.1 Моделирование атаки на утечку (BAS)
Моделирование атак на уязвимости — это новая технология автоматического тестирования безопасности, основная цель которой — имитировать реальное поведение злоумышленника в попытке получить несанкционированный доступ к системе. Он сочетает в себе элементы сканирования уязвимостей и автоматического тестирования на проникновение, используя новейшие методы атак и недавно обнаруженные уязвимости для проверки возможностей защиты организации от новых угроз. С помощью решения BAS это тестирование можно проводить чаще, чтобы выявить возможные уязвимости безопасности быстрее, чем при традиционном периодическом сканировании уязвимостей или тестах на проникновение.
6.2.9.2 Категории атак BAS
•Атаки на конечные точки
BAS выполняет действия на конечных точках сети или против них, например создает файлы или процессы, соответствующие известным сигнатурам вредоносного ПО, для проверки возможностей обнаружения и реагирования конечных точек (EDR). Это можно сделать с помощью устройства или блока управления BAS или с помощью программного агента, работающего на конечной точке.
• Сетевые атаки
BAS отправляет сетевой трафик, который следует заблокировать, вызывая оповещения, если известный вредоносный трафик не блокируется такими устройствами, как брандмауэры или маршрутизаторы.
•Атаки по электронной почте
BAS генерирует и отправляет тестовые электронные письма для проверки эффективности спам-фильтров, средств контроля мошенничества в электронной почте и фильтров контента. Если электронное письмо успешно доходит до папки «Входящие» или открывается пользователем, это указывает на уязвимость в элементах управления безопасностью электронной почты.
•Атаки на основе поведения
Расширенные возможности BAS также позволяют тестировать элементы управления безопасностью на основе поведения, такие как обнаружение вредоносной активности сетевого сканирования или сложное взаимодействие с приложениями, которые обычно должны блокироваться брандмауэром веб-приложений (WAF).
6.2.10. Проверки соответствия.
Соблюдение требований не является синонимом безопасности, но является важной отправной точкой для программы управления рисками организации. Система обеспечения соответствия обычно охватывает ряд рисков, специфичных для отрасли или региона, а реализованные меры безопасности предназначены для снижения этих рисков.
Проверки соответствия являются частью процесса регулирования, и их цель состоит в том, чтобы выявить средства контроля, которые стали недостаточными или неэффективными из-за изменений в среде риска или которые больше не работают должным образом. Обычно такая проверка проводится посредством аудита, например:
•PCI-DSS (Стандарт безопасности данных индустрии платежных карт): Это стандарт безопасности для организаций, которые обрабатывают, хранят или передают информацию о кредитных картах. PCI-DSS требует от организаций проводить ежегодный аудит соответствия.
SOC2 (контроль организации обслуживания 2): это стандарт, который оценивает средства контроля обслуживающей организации над безопасностью, доступностью, целостностью обработки, конфиденциальностью и конфиденциальностью. SOC 2 требует от организаций проводить ежегодный аудит соответствия.
- S027001 Это международный стандарт по управлению информационной безопасностью. 1S027001 требует от организаций проводить аудит соответствия каждые три года.
6.3. Сбор данных программы безопасности (например, технических и административных).
6.3.1. Технический контроль и процедуры.
1 источник данных
Технический или логический контроль достигается с помощью электронных систем, что часто приводит к созданию собственных записей. Эти технические данные могут включать информацию, которая является частью политик регистрации и мониторинга организации, а также данные, полученные в результате анализа таких данных журналов. Например, журналы доступа приложения и журналы сетевых устройств (таких как маршрутизаторы или брандмауэры).
2. Этап сбора
Внедряя и отслеживая следующие элементы управления и процессы, организации могут собирать полезные показатели и данные о своем состоянии безопасности, чтобы они могли предпринять необходимые шаги для защиты своих данных и систем:
1) Процессы предотвращения потерь. Целью этих процессов является предотвращение угроз безопасности. Они могут включать технические средства контроля, такие как шифрование данных, контроль доступа к сети и контроль конечных точек.
2) Процессы обнаружения. Целью этих процессов является обнаружение инцидентов безопасности или аномального поведения. Они могут включать технические средства контроля, такие как обнаружение и реагирование конечных точек (EDR) и управление информацией безопасности и событиями (SIEM).
3) Процессы реагирования. Целью этих процессов является решение проблем безопасности. Они могут включать технические средства контроля, такие как системы обнаружения и реагирования на конечных точках (EDR) и системы предотвращения вторжений (IPS).
6.3.2. Административный контроль.
Административный контроль направляет соответствующее поведение сотрудников и других пользователей путем установления и обеспечения соблюдения политик и процедур. Эти меры контроля могут включать в себя различные кодексы поведения, рабочие процессы и инструкции. Измерение эффективности административного контроля часто требует сбора и анализа данных, связанных с реализацией политики.
Возьмем, к примеру, политику организации, которая запрещает использование социальных сетей на устройствах организации. Данные можно собирать из:
• Область действия политики: сколько пользователей прочитали и поняли политику и подтвердили свое понимание и соблюдение путем ее подписания?
•Образовательная эффективность: сколько пользователей пытались получить доступ к ограниченному контенту? Это может отражать степень понимания сотрудниками политики, а также ее эффективность в распространении и обучении.
. Техническая доступность. Сколько пользователей имеют доступ к ограниченному контенту в зависимости от сетевого трафика? Это может отражать эффективность технических средств контроля за соблюдением политики.
6.3.3. Управление учетной записью.
Управление учетными записями является важнейшим компонентом безопасности информационной системы, поскольку оно напрямую влияет на реализацию контроля доступа. Данные управления учетными записями являются важным моментом при сборе данных о процессах безопасности.
Вот некоторые ключевые данные, которые вам, возможно, придется собрать в процессе управления учетной записью:
• Своевременное управление учетными записями: например, когда роль пользователя меняется или он покидает компанию, можно ли изменить или отозвать его права доступа в течение определенного периода времени.
• Уведомления о подготовке или отмене подготовки учетной записи: например, могут ли пользователи быть уведомлены в течение 24 часов, когда они присоединяются к организации или покидают ее.
•Проверки учетных записей: проводятся ли соответствующие проверки учетных записей в соответствии с определенным графиком организации, чтобы убедиться, что все учетные записи по-прежнему необходимы и имеют правильные уровни разрешений.
• Правильное выполнение процедур: например, выполняется ли надлежащая проверка во время сброса или отправки пароля или правильно ли настроены элементы управления доступом к сети.
6.3.4. Рассмотрение и одобрение руководства.
Рассмотрение и утверждение руководством — это критически важный процесс безопасности, который включает в себя оценку, отчетность и утверждение различной документации, связанной с безопасностью. Эта документация не только важна для аудита и сверок, но также демонстрирует одобрение руководства и его участие в программе безопасности. Кроме того, эти записи могут обеспечить должную осмотрительность и должное внимание к любым вопросам, связанным с песком и процессами безопасности.
Следующая структура формально определяет процесс проверки и утверждения со стороны руководства, связанный с безопасностью:
• ИСО 27001
Руководство должно регулярно проверять «постоянную пригодность, целесообразность и эффективность» программы информационной безопасности.
• NIST и FedRAMP
Эти структуры определяют роли управления для оценки и авторизации, а также постоянного мониторинга. Руководству необходимо рассмотреть планы и результаты оценки информационной системы, а затем принять официальное решение, разрешающее использование системы. Руководство также использует данные постоянного мониторинга для обеспечения эффективности действий по устранению рисков.
• Сертификация и аккредитация
Это включает в себя аналогичные процессы оценки и авторизации. Сертификация — это формальная оценка системы или процесса на соответствие набору стандартов, тогда как аккредитация — это формальное определение того, подходит ли система для выполнения определенной функции. Этот подход помогает организациям разрабатывать процессы управления для формальной оценки и утверждения систем на основе их возможностей и потребностей в области безопасности.
• СОЦ 2
Эта система требует, чтобы руководство установило «показатели эффективности», а также генерировало и использовало «релевантную высококачественную информацию для поддержки работы внутреннего контроля».
• Цели контроля информационных технологий (COBIT)
Это структура управления информационными технологиями и кибербезопасностью, в которой подчеркивается ответственность руководства за планирование ресурсов, возможностей и задач мониторинга, а также задача анализа планов контроля организации.
6.3.5.Ключевые показатели эффективности и рисков
Ключевые показатели эффективности (KPI) и ключевые показатели риска (KRI) являются важными инструментами для измерения и отслеживания эффективности управления рисками организации. KPI используются для мониторинга эффективности существующих мер по снижению рисков, а KRI могут помочь организациям предвидеть риски, которые могут возникнуть в будущем, и подготовиться к ним. Различные организации будут устанавливать свои собственные KPI и KRl в соответствии со своими конкретными ситуациями.
1. Ключевые показатели эффективности (КПЭ)
Вот некоторые распространенные и важные ключевые показатели эффективности:
• Среднее время обнаружения (MTTD): измеряет среднее время, необходимое для обнаружения инцидента или угрозы безопасности.
• Среднее время восстановления (MTTR): измеряет среднее время, необходимое для разрешения инцидента безопасности.
• Оценка безопасности. Многие поставщики предоставляют систему показателей безопасности или рейтинг, который можно использовать в качестве важного индикатора зрелости системы безопасности организации.
• Рентабельность инвестиций (ROI): измеряет эффективность средств контроля в снижении риска по сравнению с затратами.
2. Ключевые индикаторы риска (KRI). Вот некоторые ценные индикаторы риска:
• Количество инцидентов безопасности. Увеличение числа инцидентов безопасности может указывать на то, что среда угроз изменилась, что может потребовать более сильных инструментов безопасности или дополнительного персонала для борьбы с ней.
-Количество обнаруженных проблем: увеличение количества результатов аудита и оценки может указывать на пробелы в программе безопасности, для исправления которых может потребоваться дополнительное внимание или ресурсы.
• Количество обнаруженных или зарегистрированных попыток фишинга. Увеличение числа попыток фишинга часто указывает на продолжающуюся атаку, поскольку злоумышленники пытаются получить действительные учетные данные для доступа к ресурсам организации. В связи с этим организациям, возможно, потребуется добавить системы мониторинга, внедрить многофакторную аутентификацию, усилить обучение пользователей и принять другие меры.
6.3.6. Резервное копирование данных проверки.
Данные проверки резервного копирования могут поступать из письменных журналов резервного копирования, записанных вручную ИТ-персоналом, но чаще всего они поступают из журналов, созданных приложением или системой резервного копирования. Вся критическая информация должна быть зарезервирована на случай возникновения инцидента, который сделает данные непригодными для использования или повредит систему. События, приводящие к потере данных, должны быть хорошо задокументированы, а также полный процесс восстановления данных из резервной копии. Стратегии резервного копирования будут подробно представлены в главе 7.
6.3.7. Обучение и осведомленность.
Создание и поддержание программы, обеспечивающей осведомленность о безопасности, обучение и обучение, имеет решающее значение, поскольку пользователи являются одновременно важной линией защиты от атак и ценными целями для атак.
Ниже приведены ключевые показатели оценки эффективности таких программ:
• Уровень завершения обучения. Сотрудники, не прошедшие обучение, могут быть склонны не замечать потенциальные угрозы.
• Сохранение информации и изменение поведения. Для успешного обучения сотрудники должны сохранять и применять полученные знания в долгосрочной перспективе.
•Постоянные обновления. Содержание обучения необходимо обновлять по мере изменения угроз и рисков.
• Адаптироваться к аудитории: учебные материалы и методы должны быть адаптированы к уровню навыков и потребностям в обучении сотрудников.
6.3.8. Аварийное восстановление (DR) и непрерывность бизнеса (BC).
Данные DR и BC должны включать такие детали, как целевые значения критических точек восстановления, целевые значения времени восстановления и максимально допустимое время простоя. Самое важное — оценить, насколько хорошо организация достигает этих целей в ходе реальных событий.
При оценке и мониторинге эффективности планов аварийного восстановления (DR) и непрерывности бизнеса (BC) следует учитывать следующие основные вопросы:
• Адаптивность и своевременность плана: существует ли полный план BCDR и непрерывности операций? Обновляются ли они регулярно, чтобы отражать организационные изменения?
• Осведомленность и готовность персонала: Понимает ли ключевой персонал свои роли и обязанности в плане?
•Доступность плана: доступна ли последняя версия плана и надежно ли она хранится?
• Полнота плана: Охватывает ли план текущие критические функции организации?
Своевременные обновления плана. Имеются ли серьезные организационные изменения, которые не отражены в плане, например, крупные структурные изменения ИТ или бизнес-деятельности?
Планируемое тестирование и улучшения. План регулярно тестируется и устраняются ли обнаруженные дефекты?
• Управление зависимостями третьих сторон. Если организация полагается на критически важные третьи стороны или службы, проверяются ли эти зависимости?
•Интеграция с другими процессами: интегрированы ли другие процессы, такие как управление передачей управления, с планом BCDR, чтобы обеспечить соответствующую переоценку изменений в организации?
6.4 Анализ результатов тестирования и создание отчетов
6.4.1. Типичное содержание аудиторского отчета.
Отчеты по аудиту обычно включают в себя следующие разделы:
• Краткое описание: содержит обзор деятельности и результатов тестирования.
-Предположения и ограничения: выявлять ограничения и предпосылки в процессе оценки, обеспечивая контекст для понимания результатов.
• Объем: Уточните объем, охватываемый оценкой.
• Сводка действий: содержит обзор всех действий по тестированию и аудиту, выполненных группой оценки.
• Выводы и проблемы: перечислите все выводы, дефекты или проблемы и укажите их местоположение, серьезность и соответствующие доказательства.
• Предложения. Предоставляйте решения и предложения по обнаруженным проблемам, обычно включая шаги решения и конкретные команды настройки, которые могут потребоваться.
• Приложения. Полоса пропускания приложения содержит подробную информацию за пределами основной части отчета, что облегчает чтение и понимание отчета, а также предоставляет техническим специалистам необходимую подробную информацию.
6.4.2. Средства правовой защиты.
1. Процесс корректирующих мер:
1) Выявление проблем: обнаружение пробелов или проблем в системе контроля безопасности.
2) Создайте план. Создайте план устранения проблемы.
3) Выполните исправление: следуйте плану решения проблемы.
4) Повторное тестирование: Повторное тестирование для подтверждения эффективности лекарства.
2. Элементы плана восстановления:
• Подробности о проблеме: подробно опишите обнаруженную проблему.
• Меры по смягчению последствий: запланированные меры или меры по исправлению ситуации.
• Приоритет: расставьте приоритеты проблем в зависимости от их серьезности и риска.
• Время решения: общее расчетное время, необходимое для решения проблемы.
• Требования к ресурсам: Ресурсы, необходимые для выполнения действий по исправлению ситуации.
••Вехи и ожидания: установите ключевые даты завершения и желаемые результаты.
3. Важность повторного тестирования:
Повторное тестирование является важным шагом в подтверждении эффективности мер по исправлению ситуации, что обычно проверяется посредством регулярного сканирования уязвимостей.
6.4.3. Обработка исключений.
1. Определение:
Относится к решению проблем, обнаруженных во время аудита или оценки безопасности, которые не могут быть решены с помощью обычных мер по исправлению ситуации.
2. Цель:
Временно предоставляйте исключения для решения проблем, которые не могут быть решены напрямую. Эти исключения должны предоставляться только на временной основе, и не должно быть никаких постоянных запросов на исключения. Если это потребуется в долгосрочной перспективе, соответствующую политику следует обновить, чтобы адаптировать ее к новым потребностям.
3. Записанная информация:
• Сведения о риске: укажите конкретные сведения о риске, недостатке или проблеме, а также о том, когда и кем он был обнаружен.
•Причины аномалий: Руководству необходимо объяснить, почему тот или иной риск не может быть уменьшен.
. Компенсирующие меры контроля: если риск не может быть устранен напрямую для достижения ценности риска для организации, рассмотрите возможность частичного снижения риска посредством компенсирующих мер контроля (например, усиленного мониторинга).
. Утверждение исключений: Руководство должно четко решить принять на себя дополнительные риски и задокументировать процесс проверки и утверждения, чтобы прояснить обязанности.
• Продолжительность исключения: Большинство исключений должны предоставляться на временной основе с четким сроком действия органа, ответственного за исключение.
6.4.4. Этическое раскрытие информации.
1. Передовой опыт этического раскрытия информации
Организации должны быть готовы к получению этической информации об уязвимостях. Это включает в себя разработку политики раскрытия информации, получение информации об уязвимостях и отказ от враждебного отношения. Как исследователь безопасности или этический хакер, вы должны соблюдать эти правила и действовать в рамках закона.
2. Тип раскрытой уязвимости:
• Неразглашение. Раскрытие уязвимости может быть запрещено в связи с договорными или юридическими обязательствами, например, раскрытие уязвимости может нанести ущерб текущему уголовному расследованию.
• Полное раскрытие информации: при обнаружении уязвимости необходимо как можно быстрее полностью и прозрачно сообщить об этом организации, ответственной за устранение. Однако многие поставщики могут враждебно относиться к исследователям, пытающимся сообщить об уязвимостях.
•Ответственное раскрытие: этот принцип гласит, что обнаружившие должны незамедлительно сообщать организации об уязвимостях и давать организации время для устранения уязвимости до ее публичного раскрытия.
•Обязательная отчетность: в некоторых случаях отчетность об обнаруженных уязвимостях правоохранительным органам или другим органам может быть обязательной.
• Информирование: в случае обнаружения уязвимости безопасности, если информатор воспользуется соответствующими каналами для раскрытия обнаруженной уязвимости, он может быть юридически защищен от судебного преследования за нарушение авторских прав или других соответствующих законов.
6.5. Проводить или продвигать аудит безопасности.
6.5.1. Общие рамки аудита.
Специалисты по безопасности могут использовать аудит для оценки соответствия организации различным стандартам безопасности. План аудита должен иметь поддержку со стороны руководства, соответствующие ресурсы, эффективный надзор и реалистичные сроки. Вот некоторые распространенные схемы аудита:
1)SSAE 18 (SOC 2): фокусируется на средствах контроля обслуживающей организации над безопасностью, доступностью, целостностью обработки, конфиденциальностью и конфиденциальностью.
2) ISO/EC 15408-1:2009: Обеспечивает общую основу для оценки функций безопасности продуктов и систем информационных технологий.
3) 1SO/EC 18045:2008: Предоставляет методы проведения оценок ISO/EC 15408.
4) 1SO/EC 27006:2015: определяет требования для проведения сертификации системы управления информационной безопасностью (ISMS) ISO/EC 27001.
5) NIST SP 800-53A: Предоставляет метод оценки мер безопасности для федеральных информационных систем.
6) NIST CSF: Обеспечивает структуру управления рисками для повышения безопасности сетей и информационных систем организации.
7 FedRAMP SAF: Структура оценки безопасности федеральной программы управления рисками и авторизацией для облачных продуктов и услуг федерального правительства.
Во время аудита часто проводится выборка, чтобы уменьшить рабочую нагрузку и одновременно обеспечить понимание возможных недостатков. Выборка должна быть репрезентативной для всего проверяемого объекта.
6.5.2. Внутренний аудит.
Внутренние аудиты — это аудиты, проводимые людьми внутри организации. Он имеет следующие характеристики:
•Знакомство: Внутренние аудиторы обладают глубокими знаниями о процессах, инструментах и людях организации, что позволяет им лучше понимать и оценивать средства внутреннего контроля и операционную эффективность организации.
•Риск предвзятости: внутренние аудиторы могут упускать из виду или неправильно интерпретировать определенные аспекты деятельности организации из-за их чрезмерного знакомства с деятельностью организации. Поэтому им нужно стараться оставаться объективными или интересоваться мнением сторонних наблюдателей.
. Проблемы независимости. Поскольку внутренние аудиторы являются частью организации, они могут подвергаться давлению, которое влияет на их независимое суждение и беспристрастную отчетность.
• Подготовка к внешним аудитам: Внутренние аудиты часто используются для предварительного обнаружения и решения проблем, которые могут быть обнаружены во время внешних аудитов, чтобы получить лучшие результаты в ходе формального внешнего аудита.
6.5.3. Внешний аудит.
Внешний аудит – это аудит, проводимый аудитором за пределами организации. Его основные особенности включают в себя:
. Независимость: внешние аудиторы не подвержены давлению внутри организации и поэтому могут проводить аудит объективно и беспристрастно. Они могут беспристрастно рассматривать деятельность организации и средства контроля и высказывать непредвзятое мнение.
•Специальные навыки: Внешние аудиторы обычно обладают узкоспециализированными навыками и опытом, например, сертифицированные бухгалтеры (CPA). Они могут выполнять сложные задачи аудита, такие как аудит SOC 2.
• Стоимость и время. Внешний аудит обычно обходится дороже, чем внутренний аудит, отчасти из-за времени, необходимого для понимания операций и процессов организации. Кроме того, они могут упустить некоторые детали из-за незнания организации.
• Требования соответствия: многие нормативные акты и нормативные акты требуют от организаций проведения регулярных внешних аудитов для демонстрации эффективности внутреннего контроля.
6.5.4. Сторонний аудит.
Сторонний аудит — это процесс оценки рисков для внешних поставщиков или партнеров организации, который в основном включает в себя следующее:
•Инструменты управления рисками: сторонний аудит является ключевым инструментом управления рисками во взаимоотношениях с третьими сторонами, такими как поставщики, партнеры и т. д. Это помогает выявить и снизить риски, которые могут оказать влияние на организацию.
• Защита конфиденциальных данных: чрезвычайно важно проводить проверки безопасности третьих лиц, имеющих доступ к конфиденциальным данным организации. Это может помочь организациям снизить юридическую ответственность в случае инцидентов безопасности, вызванных третьими лицами.
•Обычные сторонние аудиты. Общие сторонние аудиты включают аудиты SOC2 и аудиты CSA STAR. В ходе процесса аудита необходимо уделять внимание стандартам аудита, обмену данными, обнаружению рисков, методам реагирования на риски третьих сторон и планам их устранения.
•Сложность цепочки поставок. Из-за сложности современных цепочек поставок процесс оценки рисков третьей стороной становится все более сложным. Организациям необходимо идентифицировать всех поставщиков в своей цепочке поставок и обеспечить их адекватный аудит и оценку, чтобы минимизировать риски, с которыми они сталкиваются.
Обзор вопросов
1. Выполняя сканирование портов, Сьюзан обнаружила, что в системе работают службы на портах TCP и UDP 137–189, а также TCP 445 и 1433. Если бы она была подключена к этой машине, какой тип системы она, скорее всего, обнаружила бы? А. Почтовый сервер Linux Б. SQL-сервер Windows. C. Файловый сервер Linux D. Рабочая станция Windows «один в одном»
Б
139\445
2. Что из перечисленного является методом автоматического проектирования тестов для нового программного обеспечения и обеспечения качества тестов? А. Аудит кода Б. Статический анализ кода C. Регрессионное тестирование D.Мутационное тестирование
Д
3. При сканировании портов Наоми обнаружила, что TCP-порт 443 открыт в одной системе. Какой инструмент лучше всего подходит для сканирования служб, которые могут работать на этом порту? А.ЗЗУф Б. Никто C. Метасплоит Д. sqlmap
Б
Проникновение в Интернет: FireBug, Autoproxy, nmap, sqlmap, Metasploit, Wireshark. Нечеткое тестирование предоставляет программное обеспечение с недопустимыми входными данными (случайно сгенерированными или специально созданными входными данными) zzuf сканирование уязвимостей базы данных sqlmap Сканирование веб-уязвимостей: Nikto Сканирование сетевых портов: nmap
4. Какой стандарт регистрации сообщений обычно используется сетевым оборудованием, системами Linux и Unix, а также многими другими корпоративными устройствами? А. Системный журнал Б. Нетлог C. Журнал событий D. Протокол удаленной регистрации (RLP)
А
5 Алекс хочет использовать автоматизированные инструменты для заполнения форм веб-приложений для проверки уязвимостей форматной строки. Какие инструменты ему следует использовать? А. Черный ящик B. Инструменты для взлома методом грубой силы К. Фаззер Д. Инструменты статического анализа
С
P579 Нечеткое тестирование — проверка границ программного обеспечения, добавление строк в конце и выполнение других методов манипулирования данными.
6. Сьюзен необходимо выполнить сканирование уязвимостей в системе, и она хочет использовать инструмент с открытым исходным кодом для удаленного тестирования системы. Какой из следующих инструментов соответствует ее требованиям и позволяет выполнять сканирование уязвимостей? А. Нмап Б.OpenVAS C.MBSA Д Несс
Б
OpenVAS, что означает OpenVulnerability AssessmentScanner, является пользующимся большим доверием инструментом с открытым исходным кодом. Его богатая функциональность и простой в использовании интерфейс позволяют пользователям легко обнаруживать и устранять известные уязвимости безопасности. Базовый анализатор безопасности Microsoft (MBSA) может проверять наличие обновлений операционной системы и SQL Server. MBSA также может сканировать компьютеры на наличие небезопасных конфигураций. Nessus — наиболее используемое в мире программное обеспечение для сканирования и анализа системных уязвимостей. В 2002 году Рено, Рон Гула и Джек Хаффард основали организацию под названием Tenable Network Security. Когда была выпущена третья версия Nessus, организация забрала обратно авторские права и исходный код программы Nessus (первоначально с открытым исходным кодом) и зарегистрировала ее как веб-сайт организации. Это учреждение расположено в Колумбии, штат Мэриленд, США.
7. Morgan внедряет систему подсчета и оценки уязвимостей, которая использует основанные на стандартах компоненты для оценки и оценки обнаруженных уязвимостей. система управления. Что из следующего чаще всего используется для определения степени серьезности уязвимости? А. КСЕ Б.CVSS СРЕ Д.ОВАЛ
Б
• Общие уязвимости и уязвимости (CVE). Предоставляет систему именования для описания уязвимостей безопасности. • Общая система оценки уязвимостей (CVSS): обеспечивает стандартизированную систему оценки, которая описывает серьезность уязвимостей безопасности. • Перечисление общей конфигурации (CCE): обеспечивает систему именования проблем конфигурации системы. • Общее перечисление платформ (CPE). Предоставляет систему именования операционных систем, приложений и устройств. •Расширяемый формат описания контрольного списка конфигурации (XCCDF): обеспечивает язык для описания контрольных списков безопасности. • Открытый язык уязвимостей и оценки (OVAL): предоставляет язык для описания процесса тестирования безопасности.
Описание уязвимости •Протокол автоматизации контента безопасности (SCAP): SCAP — это общий стандарт описания и оценки уязвимостей, предоставляемый NIST сообществу безопасности, способствующий автоматизации взаимодействия между различными системами безопасности. Компоненты SCAP включают в себя: • Общие уязвимости и уязвимости (CVE). Предоставляет систему именования для описания уязвимостей безопасности. • Общая система оценки уязвимостей (CVSS): обеспечивает стандартизированную систему оценки, которая описывает серьезность уязвимостей безопасности. • Перечисление общей конфигурации (CCE): обеспечивает систему именования проблем конфигурации системы. • Общее перечисление платформ (CPE): обеспечивает систему именования операционных систем, приложений и устройств. •Расширяемый формат описания контрольного списка конфигурации (XCCDF): обеспечивает язык для описания контрольных списков безопасности. • Открытый язык уязвимостей и оценки (OVAL): предоставляет язык для описания процесса тестирования безопасности.
8. Джиму было поручено провести тестирование на проникновение в главный филиал банка. Чтобы сделать тест максимально реалистичным, ему не предоставили никакой информации о головном банке, кроме его названия и адреса. Какой тип тестирования на проникновение соглашается провести Джим? A. Тестирование на проникновение Crystal Box Б. Тестирование на проникновение «серого ящика» C. Тестирование на проникновение в «черный ящик» D. Тестирование на проникновение методом «белого ящика»
С
9. В ответ на запрос предложений Susen получила отчет SOC SSAE 18. Если она хочет, чтобы в отчет были включены подробности об эффективности операции, на каком основании и почему ей следует задавать Сьюзен дополнительные вопросы? A. Отчет SOC 2 типа II, поскольку тип I не охватывает операционную эффективность. B. Отчет SOC 1 типа I, поскольку SOC 2 не охватывает операционную эффективность. C. Отчет SOC2 типа I, поскольку SOC2 типа II не охватывает операционную эффективность. D. Отчет SOC3, поскольку отчеты SOC1 и SOC2 устарели.
А
P563 Заявления SSAE 18 и ISAE 3402 обычно называются аудитами средств контроля обслуживающей организации (SOC) и бывают трех форм. Заявление SOC1: Оцените организационные средства контроля, которые могут повлиять на точность финансовой отчетности. Заявление SoC2: Оцените средства контроля организации, влияющие на безопасность (конфиденциальность, целостность и доступность) и конфиденциальность информации, хранящейся в системе. Результаты аудита SOC2 являются конфиденциальными и обычно передаются только в соответствии с соглашением о конфиденциальности. Заявление SOC3: Оцените средства контроля организации, которые влияют на безопасность (конфиденциальность, целостность и доступность) и конфиденциальность информации, хранящейся в системе. Однако результаты аудита SOC3 предназначены для публичного раскрытия.
• Отчет типа I Отчеты типа I описывают средства контроля, предоставляемые проверяемой организацией, и мнение аудитора, основанное на этом описании. Отчеты типа I представляются на определенный момент времени и не предполагают фактического тестирования аудитором средств контроля. • Отчетность типа II Отчеты типа II охватывают минимальный период в 6 месяцев и также включают мнение аудитора об эффективности этих средств контроля, основанное на фактических результатах тестирования. Отчеты типа II обычно считаются более надежными, чем отчеты типа I, поскольку отчеты типа II включают независимое тестирование средств контроля. Отчеты типа I просто позволяют обслуживающей организации продемонстрировать, что меры контроля были реализованы, как описано.
10. Во время теста на проникновение в беспроводную сеть Suson использует файл паролей для запуска alrcrack-ng в сети. Какой из следующих факторов мог способствовать неудаче ее попытки взломать код? А. Используйте шифрование WPA2. Б. Запуск режима предприятия в WPA2 C. Используйте WEP-шифрование. Порт, работающий в режиме PSK в WPA2.
С
11. Уязвимость нулевого дня появилась на популярном веб-сервере Apache в течение рабочего дня. Как аналитику информационной безопасности Джейкобу необходимо быстро просканировать свою сеть, чтобы определить, какие серверы затронуты проблемой. Джейкоб Каков самый быстрый способ определить систему, подверженную уязвимости? A Немедленно запустите сканирование всех серверов Nessus, чтобы определить, какие системы уязвимы. Б. Проверьте базу данных CVE на наличие информации об уязвимостях и информации об исправлениях. C. Создайте собственную подпись IDS или IPS. D. Определите затронутую версию и используйте инструмент автоматического сканирования, чтобы проверить номер версии системы.
Д
12. Какой тип тестирования используется для проверки правильности обмена данными индивидуально разработанных программных модулей? A. Фаззинг (фазз-тестирование) Б. Динамическое тестирование C. Тестирование интерфейса Контрольная сумма D.API
С
13. Сален хочет предоставить информацию об оценке безопасности клиентам, которые хотят использовать облачные сервисы местной организации. Какие из следующих Варианты следует выбирать так, чтобы как можно больше клиентов остались довольны оценочной информацией? А использует четвертую группу внутреннего аудита для проведения самооценки на основе внутренних показателей. Б. Используйте стороннего аудитора. C. Используйте собственный технический персонал, который разбирается в системе. D. Используйте команду внутреннего аудита для проведения самооценки на соответствие широко используемым стандартам, таким как COBIT.
Б
14. Ясмин попросили рассмотреть возможность создания системы моделирования вторжений и атак. Какой тип системы ей следует искать? A. Система регистрации заявок и изменений, предназначенная для управления инцидентами. B. Система моделирования реагирования на инциденты для синих команд для проверки их навыков. C. Автоматизированная система, сочетающая в себе технологии красной и синей команд. Д. Система операций и реагирования безопасности (SOAR)
С
15.Моника хочет собрать информацию об осведомленности организации о безопасности. Наиболее распространенные методы оценки осведомленности о безопасности Что это такое? А. Симулятор рыбалки Б. Геймифицированные приложения C. Оценочный тест Д. Анкета
Д
16. Джиму было поручено провести тест на проникновение «серого ящика», и его клиент предоставил ему следующую информацию о своей сети, чтобы он мог ее просканировать: Дата-центр: 10.10.10.0/24 Продажи: 10.10.11.0/24 Биллинг: 10.10.12.0/24 Беспроводная сеть: 192.168.0.0/16. С какими проблемами он столкнулся бы, если бы ему доверили сканирование снаружи? О. Диапазон IP-адресов слишком велик, и его невозможно эффективно сканировать. Б. Предоставленный IP-адрес не может быть просканирован. C. Повторяющиеся диапазоны IP-адресов вызовут проблемы со сканированием. D. Указанный IP-адрес соответствует стандарту RFC 1918.
Д
17. Компания Марка была уведомлена о том, что ее веб-приложение уязвимо. Аноним сообщил ему , у них есть две недели, чтобы исправить это, прежде чем опубликовать подробную информацию об уязвимости и пример кода эксплойта. соединять Какой отраслевой кодекс был нарушен сотрудником компании Марка? А. Отчетность «нулевого дня» Б. Этическое раскрытие информации C. Этический взлом D.(SC)2 Заявление об этике раскрытия уязвимостей
Б
Для вопросов 18–20 рассмотрите следующий сценарий: Компания Дженнифер внедрила централизованную инфраструктуру журналирования, как показано на следующем рисунке. использовать Используйте эту диаграмму и свои знания о системах журналирования, чтобы ответить на следующие вопросы. 18.Дженнифер необходимо убедиться, что все системы Windows предоставляют одинаковую информацию журнала в SIEM. Как ей лучше всего обеспечить, чтобы все настольные системы Windows имели одинаковые настройки ведения журналов? A. Проводите регулярные проверки конфигурации. Б. Используйте групповую политику. C. Используйте локальные политики. D. Разверните клиент системного журнала Windows. 19. Во время нормальной работы команда Дженнифер использует устройство SIEM для отслеживания аномалий через системный журнал. Какая система отображает ситуацию, которая не поддерживает события системного журнала? A. Корпоративная точка беспроводного доступа Б. Настольная система Windows Веб-сервер C.Linux Оборудование брандмауэра D.Enterprise 20. Какие методы следует использовать организации для каждого устройства, показанного на схеме, чтобы обеспечить возможность ведения журналов с временной последовательностью во всей инфраструктуре? А. Системный журнал Б.НТП C.Logsync Д. СНЭП
Б
Б
P582 Windows необходимо установить сторонний клиент для поддержки системного журнала и групповой политики Windows.
Б
21. Во время теста на проникновение хетеле необходимо идентифицировать систему, но он еще не получил достаточных разрешений для генерации необработанных пакетов в используемой системе. Какой тип сканирования ей следует запустить для проверки наиболее открытых сервисов? A. Сканирование TCP-соединений Б. TCP SYN-сканирование C. UDP-сканирование Сканирование D.ICMP
А
22. Используя nmap для сканирования портов, Хосезо обнаружил систему, показывающую два открытых порта. рот, что сразу его обеспокоило: 21/открыто 23/открыто Какие службы могут работать на этих портах? А.SSH и FTP Б. FTP и Telnet C. SMTP и Telnet Д. POP3 и SMTP
Б
23.Аарон хочет проверить соответствие своей компании требованиям PCI-DSS. Его компания представляет собой крупную коммерческую организацию с транзакциями на миллионы долларов ежегодно. Какой способ проведения такого типа тестирования наиболее распространен в крупных организациях? А. Самооценка Б. Провести стороннюю оценку COBIT C. Станьте партнером другой компании и проведите обмен оценками между двумя организациями. D. Используйте квалифицированного оценщика безопасности для проведения сторонней оценки.
Д
24. Какой общий метод используется для оценки охвата тестирования программного обеспечения на предмет потенциального использования приложения? A. Анализ тестового покрытия Б. Обзор исходного кода C. Нечеткий анализ D. Отчет о проверке кода
А
25. Примерами какого типа тестирования являются тесты, ориентированные на функциональные возможности, которые система не должна поддерживать? А. Тестирование вариантов использования Б. Ручное тестирование C. Тестирование случаев неправомерного использования D.Динамическое тестирование
С
26. Какой тип мониторинга использует имитацию трафика на веб-сайт для мониторинга производительности? А. Анализ журналов B. Комплексный мониторинг производительности С. Пассивный мониторинг D. Анализ смоделированных транзакций
Б
27.Перек хочет, чтобы его организация отслеживала все изменения во всех учетных записях на протяжении всего их жизненного цикла. В какие инструменты следует инвестировать его организации? A. Служба каталогов, такая как LDAP Система Б.ИАМ C. SIEM-система Система D.EDR
Б
Облегченный протокол доступа к каталогу (англ. Lightweight Directory Access Protocol, сокращение: LDAP) — это открытый, нейтральный протокол приложений, соответствующий отраслевым стандартам, который обеспечивает контроль доступа и поддерживает информацию о каталоге распределенной информации через протокол IP. Единая платформа управления аутентификацией личности (IAM) Управление информацией о безопасности и событиями безопасности (SIEM) — это решение безопасности, которое помогает организациям выявлять и устранять потенциальные угрозы безопасности и уязвимости до того, как они смогут нарушить бизнес-операции. Системы SIEM помогают командам корпоративной безопасности обнаруживать аномалии в поведении пользователей и использовать искусственный интеллект (ИИ) для автоматизации многих ручных процессов, связанных с обнаружением угроз и реагированием на инциденты. Исходная платформа SIEM представляет собой инструмент управления журналами, который сочетает в себе управление информацией о безопасности (SIM) и управление событиями безопасности (SEM), что позволяет осуществлять мониторинг и анализ событий, связанных с безопасностью, в реальном времени, а также отслеживать и записывать данные безопасности для обеспечения соответствия или аудита. целей. (Gartner ввела термин SIEM в 2005 году для обозначения комбинации технологий SIM и SEM.) Программное обеспечение SIEM развивалось с годами и включало в себя анализ поведения пользователей и объектов (UEBA) и другие передовые методы анализа безопасности, искусственный интеллект и возможности машинного обучения. , используемый для выявления аномального поведения и расширенных индикаторов угроз. Сегодня SIEM является основным компонентом современных центров управления безопасностью (SOC) для мониторинга безопасности и управления соблюдением требований. Обнаружение и реагирование на конечных точках (EDR) — это форма технологии, которая обеспечивает непрерывный мониторинг и реагирование на сложные угрозы кибербезопасности корпоративных сетей и систем. EDR — это разновидность системы безопасности конечных точек, которая использует комплексный подход к защите корпоративных сетей и данных, когда сотрудники получают удаленный доступ к сети через ноутбуки, смартфоны и другие мобильные устройства. Поскольку эти активы находятся в конце цепочки, соединяющей пользователей со стеком технологий компании, их называют конечными точками.
28.Jm использует инструмент для сканирования системы на наличие доступных сервисов, а затем подключается к этим сервисам для сбора баннерной информации и определения версии сервиса. Затем он предоставляет отчет с подробным описанием собранных данных на основе отпечатков сервисов, информации баннеров и аналогичных деталей в сочетании с информацией CVE для получения результатов. Какой инструмент использует Джим? А. Сканер портов Б. Валидатор услуги C. Сканер уязвимостей D. Инструменты управления исправлениями
С
29.Эмили пишет сценарий для отправки данных в веб-приложение, которое она тестирует. Каждый раз при запуске сценария он отправляет серию транзакций данных, соответствующих ожидаемым требованиям веб-приложения, для проверки его работоспособности. Реакции на типичное поведение клиентов. Какой тип транзакции она использует и что это за тест? А. Комплексное пассивное наблюдение B. Комплексное тестирование вариантов использования C. Фактический динамический мониторинг D. Фактическое фазз-тестирование
Б
30. Какая технология пассивного мониторинга записывает все взаимодействия пользователя с приложением или веб-сайтом для обеспечения качества? и производительность? А. Тестирование клиента/сервера Б. Мониторинг реальных пользователей C. Комплексный мониторинг пользователей D. Пассивная запись пользователей
Б
31Ранее в этом году команда информационной безопасности работодателя Джима обнаружила уязвимость в веб-сервере, за обслуживание которого он отвечал. Он немедленно применил патч и был уверен, что он был установлен правильно, но сканирование уязвимостей по-прежнему ошибочно помечало систему как уязвимую. Решить эту проблему, чтобы ее больше не маркировали неправильно? А. Удалите и переустановите патч. Б. Попросите группу информационной безопасности пометить систему как исправленную и больше не содержащую указанную уязвимость. C. Обновите информацию о версии в конфигурации веб-сервера. D. Просмотрите отчет об уязвимостях и используйте другие варианты исправления.
Б
32 Anools хочет использовать автоматизированные инструменты для тестирования обработки внешних данных веб-браузерами. Она должна установить Какой инструмент выбрать? А. Нмап Б.ззуф К. Несс Д. Никто
Б
Сканер сетевых уязвимостей: • Nessus, широко используемый сканер уязвимостей. •QualysGuard, Qualys Corporation. •NeXpose, компания Rapid7. •OpenVAS, сканер с открытым исходным кодом.
Обычно используемые инструменты сканирования уязвимостей веб-приложений включают в себя: • Несс •Коммерческий сканер Acunetix. • Сканеры с открытым исходным кодом Nikto и Wapiti. • Сканер с открытым исходным кодом Wapiti. •Прокси-инструмент BurpSuite.
Сканер обнаружения сети: Нмап Рождественское сканирование
Сканирование уязвимостей базы данных: sqlmap
Инструменты проникновения: Метасплоит
помнить
33. STRIDE означает выдачу себя за другое лицо, фальсификацию, отказ, раскрытие информации, отказ в обслуживании, повышение привилегий. В какой части моделирования угроз приложения это полезно? А. Оценка уязвимости Б. Тестирование случаев неправомерного использования C.Классификация угроз D. Планирование тестирования на проникновение
С
1. Подмена — это маскировка. Например, если я использую чужой идентификатор для разговора, это подмена личности. Я подумал об изменении IP, то есть подмене IP. 2. Подделка означает подделку. Например, я использую чужой идентификатор для подделки законных пакетов, а на их сервере нет соответствующих мер проверки. 3. Отказ означает отказ признать. Например, если я совершил эти нападения, и они не знали, что я это сделал, и нет никаких доказательств того, что я это сделал, я не обязан это признавать. 4. Раскрытие информации — это утечка информации. Например, их цепочка цифровых изображений не имеет никакой защиты, и информация на изображениях может быть легко получена другими. 5. Denial of Services — это отказ в обслуживании. Например, моя автоматическая публикация делает ее недоступной для обычных пользователей. 6. Повышение привилегий — это повышение привилегий. Например, когда я пытаюсь что-то сделать с правами администратора, это попадает в эту категорию.
34. Почему необходимо выполнять пассивное сканирование в дополнение к внедрению технологий беспроводной безопасности, таких как системы обнаружения беспроводных вторжений? О. Это может помочь идентифицировать несанкционированные устройства. Б. Он может проверять безопасность беспроводных сетей с помощью скриптовых атак. C. Они остаются на каждом беспроводном канале в течение короткого времени и могут перехватывать больше пакетов данных. Д. Они могут помочь протестировать беспроводные системы IDS или IPS.
А
35.Пол рассматривает процесс утверждения теста на проникновение и хочет убедиться, что он прошел соответствующую проверку со стороны руководства. Кто должен гарантировать одобрение запроса на тест на проникновение коммерческой системы? А. Консультативный комитет по изменениям Б. Старшее руководство C. Системный администратор системы D. Владелец сервиса
Б
36. Какой термин описывает тестирование программного обеспечения, предназначенное для выявления новых ошибок, вызванных исправлениями или изменениями конфигурации? А. Нерегрессионное тестирование Б. Эволюционное тестирование C. Испытание на дым D Регрессионное тестирование
Д
37.Какой из следующих инструментов не идентифицирует целевую операционную систему для тестера на проникновение? А. Нмап Б. Несс К. Никто Д. sqlmap
Д
38 Сьюзен необходимо спрогнозировать области повышенного риска для своей организации и она хочет использовать показатели для оценки тенденций риска. Что ей следует сделать, чтобы справиться с этой проблемой? A Ежегодно проводить оценку рисков. Б. Наймите компанию по тестированию на проникновение, чтобы регулярно проверять безопасность вашей организации. C. Выявлять и отслеживать ключевые индикаторы риска. D. Используйте устройство SIEM для мониторинга журналов и событий.
С
39. Каковы основные различия между комплексным и пассивным мониторингом? О. Комплексный мониторинг работает только после возникновения проблемы. B Пассивный мониторинг не может обнаружить функциональные проблемы. C. Пассивный мониторинг работает только после возникновения проблемы. D. Комплексный мониторинг не может обнаружить функциональные проблемы.
С
Для вопросов 40–42 рассмотрите следующий сценарий. Крис использовал стандартный метод тестирования на проникновение, показанный здесь. Используйте этот метод и свои знания в области тестирования на проникновение, чтобы ответить на вопросы об использовании инструмента во время тестирования на проникновение. 40. Каковы наиболее важные задачи планирования этапа 1? А. Создайте тестовую лабораторию Б. Получить разрешение C. Соберите соответствующие инструменты D. Определите, является ли тест «белым ящиком», «черным ящиком» или «серым ящиком». 41. Какой из следующих инструментов, скорее всего, будет использоваться на этапе открытия? А. Несс Б.Джон C. Нмап Д. Никто 42. Какой из следующих вопросов наиболее важно решить на этапе планирования, чтобы не возникло проблем на этапе отчетности? А. Какой формат CVE использовать Б. Как хранить и отправлять данные об уязвимостях C. Какие цели запрещены D. Сколько времени должен занять отчет?
Б
С
Б
•Этап планирования включает в себя согласование объема и правил тестирования. Фаза планирования является чрезвычайно важным этапом, позволяющим убедиться, что группа тестирования и руководство пришли к согласию относительно характера тестирования и что становится ясно, что тестирование разрешено. • Фаза сбора и обнаружения информации сочетает в себе ручные и автоматизированные инструменты для сбора информации о целевой среде. Этот этап включает в себя выполнение Базовая разведка для определения функциональности системы (например, доступ к веб-сайтам, размещенным в системе) и выполнение сканирования сети для определения открытых портов системы. • Этап сканирования уязвимостей обнаруживает уязвимости системы, сочетая сканирование сетевых уязвимостей, сканирование веб-уязвимостей и сканирование уязвимостей баз данных. • На этапе эксплуатации уязвимостей предпринимаются попытки использовать ручные и автоматизированные инструменты эксплуатации уязвимостей, чтобы попытаться прорваться через защиту системы. •На этапе отчетности обобщаются результаты тестов на проникновение и даются рекомендации по повышению безопасности системы.
43. Какие четыре типа критериев покрытия обычно используются при проверке работы набора тестов кода? A. Покрытие входных данных, операторов, ветвей и условий B. Западные цифры, заявления, ответвления и условия покрытия C. AP, покрытие ветвей, границ и условий D. Границы, ветви, циклы и покрытие условий
Б
44. В рамках своей роли менеджера по безопасности Джейкоб предоставляет управленческой команде организации следующую диаграмму. Какие измерения он им предоставляет? А. Измерение охвата Б. Ключевые показатели эффективности C. Индикатор времени выживания D. Показатели деловой значимости
Б
45. Что дает использование уникального идентификатора пользователя для всех пользователей при просмотре журналов? А. Конфиденциальность Б.Честность C.Доступность D. Бухгалтерская ответственность
Д
46. Что из перечисленного не является часто тестируемым интерфейсом во время тестирования программного обеспечения? А.API Б.Сетевой интерфейс С. Пользовательский интерфейс D. Физический интерфейс
Б
Р580 Три типа: API-интерфейс прикладного программирования пользовательский интерфейс физический интерфейс
47.Организация Алана использует протокол автоматизации контента безопасности (SCAP) для стандартизации процедур управления уязвимостями. Какой компонент SCAP может использовать Алан для согласования идентификаторов уязвимостей, созданных различными инструментами оценки безопасности? А.ОВАЛ Б. XCCDF С. БЭН Д. ПКЭ
С
Описание уязвимости •Протокол автоматизации контента безопасности (SCAP): SCAP — это общий стандарт описания и оценки уязвимостей, предоставляемый NIST сообществу безопасности, способствующий автоматизации взаимодействия между различными системами безопасности. Компоненты SCAP включают в себя: • Общие уязвимости и уязвимости (CVE). Предоставляет систему именования для описания уязвимостей безопасности. • Общая система оценки уязвимостей (CVSS): обеспечивает стандартизированную систему оценки, которая описывает серьезность уязвимостей безопасности. • Перечисление общей конфигурации (CCE): обеспечивает систему именования проблем конфигурации системы. • Общее перечисление платформ (CPE): обеспечивает систему именования операционных систем, приложений и устройств. •Расширяемый формат описания контрольного списка конфигурации (XCCDF): обеспечивает язык для описания контрольных списков безопасности. • Открытый язык уязвимостей и оценки (OVAL): предоставляет язык для описания процесса тестирования безопасности.
48. Сьюзен просматривает данные о покрытии программного обеспечения тестированием и видит информацию, показанную на следующей диаграмме. Что она может определить об этом процессе тестирования? (Выбрать все, что подходит.) О. Тестирование не полностью покрыто. Б. Тест 4 не пройден. C Test 2 не был выполнен успешно. D. Требуется пятый запуск теста.
ДО Н.Э.
49. Какая из следующих стратегий не является разумным подходом к исправлению уязвимостей, обнаруженных сканерами уязвимостей? А. Установите патч. Б. Используйте временные исправления. C. Обновите баннер или номер версии. D. Используйте прикладной уровень
С
50. Во время теста на проникновение Селах позвонил в службу поддержки целевой компании и заявил, что является помощником старшего сотрудника компании. Она попросила службу поддержки сбросить пароль старшего сотрудника, поскольку во время поездки у него возникли проблемы с ноутбуком, и ее успешно уговорили это сделать. Какой тип атаки она успешно завершила? А. Атака с нулевым разглашением Б. Помощь и обман C. Атаки социальной инженерии D. Тестирование «черного ящика»
С
51. Какие проблемы на этом изображении могут возникнуть из-за настройки обработки журналов? О. Журналы могут быть потеряны во время архивирования. Б. Данные журнала могут быть перезаписаны. C. Данные журнала могут не содержать необходимой информации. D. Данные журнала могут заполнить системный диск.
Д
52. Что из перечисленного не является риском, связанным с тестированием на проникновение? А. Приложение выходит из строя Б. Отказ в обслуживании C. Отключение электроэнергии D.Повреждение данных
С
53. Какая специальная публикация NIST посвящена оценке мер безопасности и конфиденциальности? А. 800-12 Б. 800-53А К. 800-34 Д. 800-86
Б
54 Мишель проводит количественную оценку воздействия на бизнес и хочет собрать данные, чтобы определить стоимость простоя. Какую информацию ей нужно собрать из отключений электроэнергии в прошлом году, чтобы рассчитать стоимость этих отключений для бизнеса? (Выбрать все, что подходит.) A. Общее время простоя бизнеса B. Количество человеко-часов, необходимых для восстановления после сбоя C. Потери бизнеса в час во время простоя (в долларах США) D. Средняя почасовая оплата труда работника
АВСD
55. Если главной заботой Кары является предотвращение подслушивающих атак, какой порт ей следует заблокировать? А. 22 Б. 80 С. 443 Д. 1433
Б
56. Если главной заботой Кары является предотвращение административных подключений к серверу, какой порт ей следует заблокировать? А. 22 Б. 80 С. 443 Д. 1433
А
57. В ходе независимой проверки компания Джима получила открытие. говорится: «Администраторам следует ежедневно просматривать журналы успешных и неудачных операций резервного копирования и принимать оперативные меры для устранения обнаруженных аномалий. О какой потенциальной проблеме свидетельствует этот вывод?» О. Администратор не имеет возможности узнать, удалось или не удалось выполнить резервное копирование. Б. Возможно, резервная копия была записана неправильно. Резервная копия C может быть недоступна. D. Возможно, журналы резервного копирования не были проверены должным образом.
С
58. Джим помогает своей организации принять решение о стандартах аудита, которые будут использоваться в ее международной организации. Что из перечисленного не является Какие ИТ-стандарты могла бы использовать при проверке организация Джима? А. КОБИТ Б.ССАЭ-18 К.ИТИЛ Д. ИСО 27001
С
59 Николь хочет провести аудит своей организации на основе стандартов. Что из следующего обычно используется для описания общих требований к информационным системам? А.МЭК Б. КОБИТ C.ФИСА Д. DMCA
Б
60. Команда Кели проводит регрессионное тестирование каждого выпущенного патча. Какой ключевой показатель производительности им следует поддерживать, чтобы измерять эффективность тестирования? A. Время устранения уязвимости B. Индикатор частоты повторения дефектов C. Взвешенные тенденции риска D. Измерение конкретного охвата тестированием
Б
61. Какой из следующих типов проверки кода обычно не выполняется людьми? А. Проверка программного обеспечения Б. Парное программирование С. статический анализ программы D.Пошаговое руководство по программному обеспечению
С
Для вопросов 62–64 рассмотрите следующий сценарий: Сьюзан — руководитель группы обеспечения качества в своей компании. Группе было поручено провести тестирование основной версии основного программного продукта компании. 62. Группе тестирования программного обеспечения Сьюзан необходимо протестировать каждый путь кода, включая пути, которые используются только при возникновении ошибок. Какой тип среды тестирования необходим ее команде, чтобы обеспечить полное покрытие кода? А. Тестирование методом «белого ящика» Б. Тестирование серого ящика C. Тестирование «черного ящика» D. Динамическое тестирование 63. В рамках продолжающегося тестирования своего нового приложения команда Сьюзен по обеспечению качества разработала набор тестовых примеров для серии тестов «черного ящика». Затем запускаются эти функциональные тесты и подготавливается отчет, объясняющий, что произошло. Какие типы отчетов обычно создаются в ходе процесса тестирования для указания показателей тестирования? A. Отчет о тестовом покрытии Б. Отчет о тесте на проникновение C. Отчет о покрытии кода Д. отчет о покрытии строк 64. В рамках тестирования покрытия кода команда Сьюзен использует инструменты ведения журналов и трассировки для анализа в непроизводственной среде. Какие из следующих типов проблем с кодированием могут быть упущены из виду из-за изменений в операционной среде? A. Неправильная проверка границ Б. Проверка ввода Состояние гонки C Операции с указателем D
А
А
С
65.Робин недавно провел сканирование уязвимостей и обнаружил критическую уязвимость на сервере, который обрабатывает конфиденциальную информацию. Что Бобин должен делать дальше? А. патч Б. Отчет C.Коррекция D.Проверить
Д
P574 Обнаружить --- Проверить --- Восстановить
66. Автоматические тесты кода и интеграция, которые Андреа выполняет в процессе CI/CD своей организации, терпят неудачу. Что делать Андреа, если компании необходимо немедленно выпустить код? А. Обход теста вручную. Б. Проверьте журнал ошибок, чтобы определить проблему. C. Повторно запустите тест, чтобы убедиться, что он работает правильно. D. Отправьте код обратно разработчику для исправления.
Б
67. Мишель хочет сравнить уязвимости, которые она находит в своем центре обработки данных, на основе таких показателей, как возможность использования уязвимостей, наличие кода эксплойта и сложность устранения. Какую систему оценки ей следует использовать для сравнения этих показателей уязвимости? А.CSV Б. ПНВ С. ВСС Д.CVSS
Д
Компоненты SCAP включают в себя: • Общие уязвимости и уязвимости (CVE). Предоставляет систему именования для описания уязвимостей безопасности. • Общая система оценки уязвимостей (CVSS): обеспечивает стандартизированную систему оценки, которая описывает серьезность уязвимостей безопасности. • Перечисление общей конфигурации (CCE): обеспечивает систему именования проблем конфигурации системы. • Общее перечисление платформ (CPE): обеспечивает систему именования операционных систем, приложений и устройств. •Расширяемый формат описания контрольного списка конфигурации (XCCDF): обеспечивает язык для описания контрольных списков безопасности. • Открытый язык уязвимостей и оценки (OVAL): предоставляет язык для описания процесса тестирования безопасности.
68. Выполняя сканирование портов в своей сети, Алекс обнаружил, что TCP-порты 80, 443, 515 и 9100 отвечают на нескольких хостах в различных офисах компании. Какой тип устройства мог обнаружить Алекс? А. Веб-сервер Б. Файловый сервер C. Точка беспроводного доступа Д. Принтер
Д
69 Какие типы инструментов представляют собой Nito, Burp Sure и Woot? A.Инструменты сканирования уязвимостей веб-приложений Б. Инструменты проверки кода С. Инструменты сканирования уязвимостей Инструмент сканирования D.Port
А
70 Команда Фрэнка тестирует новые API, которые разработчики компании создают для своей инфраструктуры приложений. Что из перечисленного не является распространенной проблемой API, с которой может столкнуться команда Фрэнка? А. Неверное шифрование Б. Проблемы авторизации на уровне объекта C. Проблемы аутентификации пользователя D. Отсутствие ограничения ставок
А
Шифрование не на уровне приложения
71Джим работает с подрядчиком по тестированию на проникновение, который рекомендует использовать Метасплоит. Чего следует ожидать Джиму при использовании Metasploit? А. Просканирует систему на наличие уязвимостей. Б. Эксплуатация известных уязвимостей в системе. C. Обнаружение переполнения буфера и других неизвестных дефектов службы. D. Проведите тестирование уязвимостей нулевого дня в системе.
Б
72 Сьюзен необходимо убедиться, что взаимодействие между различными компонентами ее приложения электронной коммерции обрабатывается правильно. Она намерена проверить возможности связи, обработки ошибок и управления сеансами во всей инфраструктуре. Какой тип тестирования она планирует провести? А. Проверка случаев злоупотреблений Б. Фазз-тестирование C. Регрессионное тестирование D. Тестирование интерфейса
Д
73. Джим разрабатывает систему управления журналами организации и знает, что ему необходимо тщательно планировать обработку данных журналов организации. Что из перечисленного не является фактором, о котором Джиму не следует беспокоиться? A. Объем данных журнала Б. Отсутствие достаточных источников журналов C. Требования безопасности хранения данных D.Пропускная способность сети
Б
74. Организация Райана хочет обеспечить надлежащее управление учетными записями, но не имеет централизованного инструмента управления идентификацией и доступом. Рван Каков наилучший вариант проведения проверки процессов управления учетными записями во время внутреннего аудита? AVПроверьте все изменения в учетной записи за последние 90 дней. Б. Выберите для проверки важных учетных записей администраторов. C. Проверьте все изменения в учетной записи за последние 180 дней. D. Провести случайную выборочную проверку счетов.
Д
75. Какой тип журнала создается при перезагрузке системы Windows? А. Ошибка Б. Предупреждение С. Информация Д. неудавшийся обзор
С
76. В ходе расследования Алекс заметил, что Мишель заходила на свою рабочую станцию каждое утро в 8 часов утра, но на главный сервер веб-приложений департамента она входила вскоре после 3 часов ночи того же дня. С какой распространенной проблемой ведения журнала может столкнуться Алекс? А. Несовместимый формат журнала Б. Измененный журнал C. Несовместимые временные метки D. Несколько источников журналов
С
77. Какой тип сканирования уязвимостей обращается к информации о конфигурации, полученной из системы, в которой выполняется сканирование, а также к информации, полученной через службы, доступные в сети? А. Сертифицированное сканирование Б. Сканирование веб-приложений C. Сканирование без аутентификации D. Сканирование портов
А
Какие типы сканирования уязвимостей могут обеспечить доступ к информации о конфигурации работающих систем и служб, предоставляемых по сети? Аутентифицированное сканирование (правильный ответ) Сканирование веб-приложений Несертифицированное сканирование сканирование портов При сканировании с аутентификацией используется доступ учетной записи только для чтения к файлам конфигурации, что позволяет более точно тестировать уязвимости. Сканирование веб-приложений, сканирование без проверки подлинности и сканирование портов не имеют доступа к файлам конфигурации, если только файлы конфигурации не будут случайно открыты.
Для вопросов 78–80 рассмотрите следующий сценарий: Организация Бена начала использовать STRIDE для оценки своего программного обеспечения и выявления агентов угроз, а также влияния этих угроз на бизнес. Сейчас они работают над определением соответствующих мер контроля для решения выявленных проблем. 78.Команде разработчиков Бена необходимо решить проблему с авторизацией, которая может привести к угрозе повышения привилегий. Какой из следующих элементов управления будет наиболее подходящим для решения проблемы такого типа? А. Включите аудит и ведение журнала. Б. Используйте управление доступом на основе ролей для определенных операций. C. Включите проверку типа и формата данных. D. Выполните тестирование белого списка на основе пользовательского ввода. 79.Команда Бена пытается классифицировать проблемы идентификации транзакций, вызванные симметричными ключами, общими для нескольких серверов. К какой из следующих категорий STRIDE это должно относиться? А. Утечка информации Б. Отказ в обслуживании С. Вмешательство Д. Дени 80. Наибольший трафик наблюдался во время атаки типа «отказ в обслуживании». Бен Сичжао использовал сторонний сервис для оценки ситуации отказа в обслуживании. Абсолютная уязвимость к атаке на сервис. Какой тип взаимодействия он должен порекомендовать организации? А. Участие в социальной инженерии Б. Тестирование на проникновение C.Нагрузочное или стресс-тестирование D. Тестирование с использованием нечеткого тестирования
Б
Д
С
81 Крис решает проблемы с отчетами организации по информации безопасности и управлению событиями (SIEM). Проанализировав проблему, он посчитал, что время записей журналов в разных системах несовместимо. Какой протокол он может использовать для решения этой проблемы? А.СШ Б. ФТП C.TLS Д.НТП
Д
82. Райан рассматривает возможность использования нечеткого тестирования в своем проекте тестирования веб-приложений. Принятие решения Какое из следующих утверждений о нечетком тестировании следует принять во внимание Райану? А. Фазз-тестирование позволяет обнаружить только сложные неисправности. Б. Тестировщики должны генерировать входные данные вручную. C. Фазз-тестирование может не полностью охватить код. D. Фазз-тестирование не может воспроизвести ошибку.
С Фазз-тестирование обычно не может полностью охватить весь код программы и обычно ограничивается обнаружением простых уязвимостей, не затрагивающих сложную бизнес-логику.
83.Кен разрабатывает процесс тестирования программного обеспечения, которое разрабатывает его команда. Он разработал тест, проверяющий выполнение каждой строки кода во время теста. Какой тип анализа проводит Кен? А. Охват филиалов B. Покрытие условий C. Функциональный охват D. Освещение заявлений
Д
Для вопросов 84–86 рассмотрите следующий сценарий. При сканировании портов Бен использовал настройки nmap по умолчанию и увидел следующие результаты. 84. Если Бен проводит тест на проникновение, каким должен быть его следующий шаг после получения этих результатов? А. Используйте веб-браузер для подключения к веб-серверу. Б. Используйте соединение Telnet для проверки уязвимой учетной записи. C. Определите интересные порты для дальнейшего сканирования. D. Используйте sqlmap в открытой базе данных. 85. Основываясь на результатах сканирования, какова наиболее вероятная операционная система (ОС), на которой работает сканируемая система? А. Версия для настольного компьютера Windows Б. Линукс В. Сетевое оборудование Г. Windows-сервер 86. Менеджер Бена обеспокоен объемом его сканирования. Что может беспокоить его менеджера? О. Бен не тестировал службу UDP. Б.Бен не нашел никаких портов, кроме «хорошо известных портов». К. Бен не снимал отпечатки пальцев ОС. Д.Бен протестировал лишь ограниченное количество портов.
С
Б
Д
87.Лукка просматривает данные процесса аварийного восстановления своей организации и замечает, что главный веб-сайт компании MTD составляет два часа. Что он узнал о RTO сайта в ходе тестирования и проверки? А. Это занимает меньше двух часов. Б. Это занимает не менее двух часов. C. Время MTD короткое и занимает больше времени. D. Время RTO слишком короткое и займет больше времени.
А
MTD — максимально допустимое время простоя. Если необходимо выполнить проверку MTD, результаты проверки сообщат ей только максимальное время, в течение которого система может находиться в автономном режиме.
88.Диана наняла стороннего аудитора и желает выдать третьему лицу сертификат аудита, не содержащий подробностей аудита. Какой тип отчета SOC SSAE 18 ей следует запросить? А. СОЦ 1 Б. СОЦ 2 С. СОЦ 3 Д. СОЦ 4
С
89. Просматривая результаты тестирования программного обеспечения нового приложения организации, Мадхури заметил, что приложение выдавало ошибки, содержащие информацию о каталогах и файлах, которая отображалась тестировщикам веб-приложений. Какой вопрос следует включить в ее отчет? О. Он не выполняет надлежащую обработку исключений. Б. Программное обеспечение неправильно обрабатывает тестирование случаев неправильного использования. C. Операторы отладки необходимо удалить. D. Код не был полностью протестирован из-за ошибок.
А
90. Какой первый шаг следует сделать перед проведением теста на проникновение? А. Сбор данных Б. Сканирование портов C. Получить разрешение Д.План
С
91. Генеральный директор ДЖОН обеспокоен серьезным ростом количества крипто-вредоносных программ в отрасли. Она попросила заверить, что данные компании можно будет восстановить, если вредоносное ПО проникнет в ее производственные системы и зашифрует их. Какой процесс необходим, чтобы сообщить ей, что компания готова? А. Зашифруйте все конфиденциальные данные. Б. Хешируйте все данные организации для обнаружения вредоносных программ-шифровальщиков. C. Выполните проверку резервной копии. D. Используйте технологию защиты от шифрования, чтобы предотвратить шифрование диска вредоносным ПО.
С
92 Джоанна — директор по информационной безопасности организации, занимающийся надзором за операциями по обеспечению безопасности. Она хочет обеспечить постоянный контроль со стороны руководства за изменениями, связанными с безопасностью. В большинстве организаций, какой системе следует сосредоточиться на отслеживании данных такого типа? А. SIEM-система Система B.IPS Инструменты C.CMS Рабочее место D.ITSM
Д
93. Генри хочет убедиться, что его резервная копия действительна. Какой из следующих вариантов является для него лучшим способом гарантировать, что резервные копии будут полезны в реальном сценарии аварийного восстановления? А. Периодически восстанавливайте случайный файл, чтобы убедиться, что резервная копия работает правильно. Б. Периодически проверяйте конфигурацию и настройки для проверки настроек резервного копирования. C. Проверьте журнал резервного копирования, чтобы убедиться в отсутствии ошибок. D. Периодически выполняйте полное восстановление из резервных копий, чтобы убедиться в успехе.
Д
94.Какой тип сканера уязвимостей не может его найти? А. Локальные уязвимости Б. Уязвимости сервиса C. Уязвимости нулевого дня D. Уязвимости, требующие аутентификации
С
95.Джасинда хотела бы оценить эффективность своего обучения по технике безопасности как один из показателей безопасности. Какой из следующих показателей наиболее полезен для оценки эффективности обучения по вопросам безопасности? (Выбрать все, что подходит.) А. Количество человек, участвующих в тренинге B. Уровень осведомленности о безопасности до и после обучения C. Продолжительность обучения (в часах) 口.Количество обучающих мероприятий, в которых каждый человек принял участие в этом году.
АБ
96, Элейн обнаруживает ранее неизвестную критическую уязвимость в продукте, используемом ее организацией. Ее организация очень серьезно относится к раскрытию этической информации, и Элейн следует общепринятым практикам раскрытия этической информации. что ей следует сделать в первую очередь A. Разработайте внутренние меры или средства контроля, а затем публично раскройте уязвимость, чтобы побудить поставщиков быстро исправить уязвимость. Б. Разработайте внутренние меры или средства контроля, а затем уведомите поставщика о проблеме. C. Уведомите поставщика и дайте ему разумное количество времени для устранения проблемы. D. Публично раскрывайте уязвимости, чтобы поставщики могли своевременно их исправить.
С
Для вопросов 97–99 рассмотрите следующий сценарий. NIST Specral Puolircatton 800-115, Техническое руководство по тестированию на проникновение и тестированию на проникновение, описывает проверенный NIST процесс тестирования на проникновение. Используйте это изображение и свои знания в области тестирования на проникновение, чтобы ответить на вопросы. 97.Что из перечисленного не является частью этапа открытия? A. Сбор информации об имени хоста и IP-адресе. B. Сбор служебной информации C. Поиск в мусорном баке D. Повышение привилегий 98. NIST определяет четыре этапа атаки: получение доступа, повышение привилегий, просмотр системы и предоставление инструментов. После того, как злоумышленник установил дополнительные инструменты: к какому этапу обычно возвращается тестер на проникновение? А. Откройте для себя Б. Получить доступ C. Повышение привилегий D. Просмотр системы 99. Что из перечисленного не является типичной частью отчета о тестировании на проникновение? А. Список выявленных уязвимостей Б. Все конфиденциальные данные, собранные во время тестирования. C. Рейтинг риска для каждой обнаруженной проблемы D. Рекомендации по смягчению выявленных проблем
Д
Б
Б
100. Алокс использует nmnao для сканирования портов в системе и в результатах получил три разных сообщения о состоянии портов. Сопоставьте каждое пронумерованное сообщение о состоянии с соответствующим описанием сообщения. Каждый предмет можно использовать только один раз. статус 1.Открыть 2. Закрыть 3. Фильтр описывать О. Порт удаленной системы доступен, но ни одно приложение не принимает подключения к этому порту. Б. Порт удаленной системы недоступен. C. Порт удаленной системы доступен, и приложение принимает соединения через этот порт.
ЦБА