Módulos 18 - 20 Exame de Grupo de Defesa de Rede

Prévia do material em texto

Módulos 18 - 20: Exame do Grupo de Defesa de Rede (Respostas)
CyberOps Associate (Versão 1.0) – Módulos 18 – 20: Exame do Grupo de Defesa de Rede
1. Por que o gerenciamento de ativos é uma função crítica de uma organização em crescimento contra ameaças de segurança?
· Ele identifica a superfície de ataque cada vez maior para ameaças.
· Ele permite a construção de uma AUP abrangente.
· Serve para preservar uma trilha de auditoria de todas as novas compras.
· Impede o roubo de ativos mais antigos que são desativados.
Explicação: O gerenciamento de ativos é um componente crítico de uma organização em crescimento do ponto de vista da segurança. A gestão de ativos consiste em inventariar todos os ativos e, em seguida, desenvolver e implementar políticas e procedimentos para protegê-los. À medida que uma organização cresce, o ataque também vem à tona em termos de ameaças à segurança. Cada um desses ativos pode atrair diferentes agentes de ameaças com diferentes níveis de habilidade e motivações. O gerenciamento de ativos pode ajudar a mitigar essas ameaças inventariando os riscos à medida que a superfície de ataque cresce.
2. Em uma abordagem de defesa em profundidade, quais três opções devem ser identificadas para defender efetivamente uma rede contra ataques? (Escolha três.)
· número total de dispositivos que se conectam à rede com e sem fio
· ativos que precisam de proteção
· vulnerabilidades no sistema
· localização do atacante ou atacantes
· violações de segurança anteriores
· ameaças a ativos
Explicação: Para se preparar para um ataque de segurança, a equipe de segurança de TI deve identificar os ativos que precisam ser protegidos, como servidores, roteadores, pontos de acesso e dispositivos finais. Eles também devem identificar ameaças potenciais aos ativos e vulnerabilidades no sistema ou design.
3. Qual é a primeira linha de defesa quando uma organização está usando uma abordagem de defesa em profundidade para a segurança da rede?
· roteador de borda
· firewall
· Servidor proxy
· IPS
Explicação: Uma abordagem de defesa em profundidade usa camadas de medidas de segurança começando na borda da rede, trabalhando na rede e, finalmente, terminando nos terminais da rede. Os roteadores na borda da rede são a primeira linha de defesa e encaminham o tráfego destinado à rede interna para o firewall.
4. Quais são os três objetivos de uma política de segurança BYOD? (Escolha três.)
· identificar todas as assinaturas de malware e sincronizá-las em bancos de dados corporativos
· identificar quais funcionários podem trazer seus próprios dispositivos
· identificar proteções a serem implementadas se um dispositivo for comprometido
· identificar e impedir todas as assinaturas de vírus heurísticas
· identificar uma lista de sites que os usuários não têm permissão para acessar
· descrever os direitos de acesso e atividades permitidas ao pessoal de segurança no dispositivo
Explicação: Uma política abrangente de BYOD deve realizar o seguinte:
Identificação de quais funcionários podem trazer seus próprios dispositivos
Identificação de quais dispositivos serão suportados
Identificação do nível de acesso concedido aos funcionários ao usar dispositivos pessoais
Descrever os direitos de acesso e as atividades permitidas à segurança pessoal no dispositivo
Identificação de quais regulamentos devem ser observados ao usar dispositivos de funcionários
Identificação de proteções a serem implementadas se um dispositivo for comprometido
5. Quais são as duas opções de práticas recomendadas de segurança que ajudam a mitigar os riscos de BYOD? (Escolha dois.)
· Use tinta que reflita os sinais sem fio e vidro que impeça que os sinais saiam do prédio.
· Mantenha o SO e o software do dispositivo atualizados.
· Permita apenas dispositivos que tenham sido aprovados pela equipe de TI corporativa.
· Ative o Wi-Fi apenas ao usar a rede sem fio.
· Diminua o nível de ganho da antena sem fio.
· Use filtragem de endereço MAC sem fio.
Explicação: Muitas empresas agora oferecem suporte a funcionários e visitantes para conectar e usar dispositivos sem fio que se conectam e usam a rede sem fio corporativa. Essa prática é conhecida como política de traga seu próprio dispositivo ou BYOD. Geralmente, as práticas de segurança BYOD são incluídas na política de segurança. Algumas práticas recomendadas que reduzem os riscos de BYOD incluem o seguinte:
Use senhas exclusivas para cada dispositivo e conta.
Desligue a conectividade Wi-Fi e Bluetooth quando não estiver em uso. Conecte-se apenas a redes confiáveis.
Mantenha o SO do dispositivo e outros softwares atualizados.
Faça backup de todos os dados armazenados no dispositivo.
Assine um serviço localizador de dispositivos com um recurso de limpeza remota.
Fornecer software antivírus para BYODs aprovados.
Use o software Mobile Device Management (MDM) que permite que as equipes de TI rastreiem o dispositivo e implementem configurações de segurança e controles de software.
6. Qual é a finalidade do software de gerenciamento de dispositivos móveis (MDM)?
· Ele é usado para criar uma política de segurança.
· Ele é usado para implementar políticas de segurança, configurações e configurações de software em dispositivos móveis.
· Ele é usado para identificar possíveis vulnerabilidades de dispositivos móveis.
· Ele é usado por agentes de ameaças para penetrar no sistema.
Explicação: O software de gerenciamento de dispositivos móveis (MDM) é usado com dispositivos móveis para que a equipe de TI corporativa possa rastrear os dispositivos, implementar configurações de segurança e controlar configurações de software.
7. O que descreve a política de segurança dos procedimentos de tratamento de incidentes?
· Ele descreve como os incidentes de segurança são tratados.
· Descreve o procedimento para auditar a rede após um ataque cibernético.
· Ele descreve o procedimento para mitigar ataques cibernéticos.
· Ele descreve como evitar vários ataques cibernéticos.
Explicação: A política de segurança dos procedimentos de tratamento de incidentes descreve como os incidentes de segurança são tratados.
8. Combine o tipo de política de negócios com a descrição.
8. Combine o tipo de política de negócios com a descrição.
· define requisitos e objetivos do sistema, regras e requisitos para usuários quando eles se conectam à rede ==> segurança
· protege os direitos dos trabalhadores e os interesses da empresa ==> empresa
· identifica salário, horário de pagamento, benefícios, horário de trabalho, férias, etc. ==> funcionário
9. Combine os padrões de compartilhamento de inteligência de ameaças com a descrição.
· Esta é a especificação de um protocolo de camada de aplicação que permite a comunicação de CTI sobre HTTPS. ==> TÁXI
· Este é um conjunto de especificações para a troca de informações sobre ameaças cibernéticas entre organizações. ==> STIX
· Este é um conjunto de esquemas padronizados para especificar, capturar, caracterizar e comunicar eventos e propriedades de operações de rede. ==> CybOX
10. Qual é o objetivo principal do Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST)?
· para permitir que uma variedade de equipes de resposta a incidentes de segurança de computadores colaborem, cooperem e coordenem o compartilhamento de informações, prevenção de incidentes e estratégias de reação rápida
· para fornecer um portal de notícias de segurança que agregue as últimas notícias sobre alertas, explorações e vulnerabilidades
· oferecer avisos e avisos de ameaças cibernéticas 24 horas por dia, 7 dias por semana, identificação de vulnerabilidades e mitigação e resposta a incidentes
· para fornecer produtos de educação neutros de fornecedores e serviços de carreira para profissionais da indústria em todo o mundo
Explicação: O objetivo principal do Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST) é permitir que várias equipes de resposta a incidentes de segurança de computadores colaborem, cooperem e coordenem o compartilhamento de informações, prevenção de incidentes e reação rápida entre as equipes.
11. Qualé o objetivo principal da Malware Information Sharing Platform (MISP)?
· publicar todos os materiais informativos sobre ameaças cibernéticas conhecidas e recém-descobertas
· para permitir o compartilhamento automatizado de IOCs entre pessoas e máquinas usando o STIX e outros formatos de exportação
· fornecer um conjunto de esquemas padronizados para especificar e capturar eventos e propriedades de operações de rede
· trocar todos os mecanismos de resposta a ameaças conhecidas
Explicação: Malware Information Sharing Platform (MISP) é uma plataforma de código aberto que permite o compartilhamento automatizado de IOCs entre pessoas e máquinas usando o STIX e outros formatos de exportação.
12. Qual declaração descreve o Trusted Automated Exchange of Indicator Information (TAXII)?
· É um conjunto de especificações para troca de informações sobre ameaças cibernéticas entre organizações.
· É um mecanismo sem assinatura que utiliza análise de ataque com estado para detectar ameaças de dia zero.
· É um banco de dados dinâmico de vulnerabilidades em tempo real.
· É a especificação de um protocolo de camada de aplicação que permite a comunicação de CTI sobre HTTPS.
Explicação: Trusted Automated Exchange of Indicator Information (TAXII) é a especificação de um protocolo de camada de aplicação que permite a comunicação de CTI sobre HTTPS. O TAXII foi desenvolvido para oferecer suporte à Expressão Estruturada de Informações sobre Ameaças (STIX).
13. Qual organização define Identificadores CVE exclusivos para vulnerabilidades de segurança da informação conhecidas publicamente que facilitam o compartilhamento de dados?
· Cisco Talos
· DHS
· FireEye
· MITRA
Explicação: O governo dos Estados Unidos patrocinou a MITRE Corporation para criar e manter um catálogo de ameaças de segurança conhecidas chamado Common Vulnerabilities and Exposures (CVE). O CVE serve como um dicionário de nomes comuns (ou seja, Identificadores CVE) para vulnerabilidades de segurança cibernética publicamente conhecidas.
14. Como o FireEye detecta e previne ataques de dia zero?
· estabelecendo um parâmetro de autenticação antes de qualquer troca de dados
· abordando todos os estágios de um ciclo de vida de ataque com um mecanismo sem assinatura utilizando análise de ataque com estado
· mantendo uma análise detalhada de todos os vírus e malwares
· aceitando apenas pacotes de dados criptografados que validam em relação aos valores de hash configurados
Explicação: A FireEye usa uma abordagem tripla que combina inteligência de segurança, experiência em segurança e tecnologia. Ele aborda todos os estágios de um ciclo de vida de ataque com um mecanismo sem assinatura que utiliza análise de ataque com estado para detectar ameaças de dia zero.
15. Qual é a principal função do Center for Internet Security (CIS)?
· para manter uma lista de vulnerabilidades e exposições comuns (CVE) usadas por organizações de segurança
· para fornecer um portal de notícias de segurança que agregue as últimas notícias sobre alertas, explorações e vulnerabilidades
· oferecer avisos e avisos de ameaças cibernéticas 24 horas por dia, 7 dias por semana, identificação de vulnerabilidades e mitigação e respostas a incidentes
· fornecer produtos de educação e serviços de carreira independentes de fornecedores para profissionais da indústria em todo o mundo
Explicação: O CIS oferece avisos e avisos de ameaças cibernéticas 24 horas por dia, 7 dias por semana, identificação de vulnerabilidades e mitigação e respostas a incidentes para governos estaduais, locais, tribais e territoriais (SLTT) por meio do Centro de Análise e Compartilhamento de Informações Multi-Estado (MS-ISAC).
16. O que é CybOX?
· É uma especificação para um protocolo de camada de aplicação que permite a comunicação de CTI sobre HTTPS.
· É um conjunto de esquemas padronizados para especificar, capturar, caracterizar e comunicar eventos e propriedades de operações de rede.
· Ele permite a troca em tempo real de indicadores de ameaças cibernéticas entre o governo federal dos EUA e o setor privado.
· É um catálogo de ameaças de segurança conhecidas chamadas Vulnerabilidades e Exposições Comuns (CVE) para vulnerabilidades de segurança cibernética conhecidas publicamente.
Explicação: CybOX é um conjunto de padrões abertos que fornecem as especificações que auxiliam na troca automatizada de informações de inteligência de ameaças cibernéticas em um formato padronizado. É um conjunto de esquemas padronizados para especificar, capturar, caracterizar e comunicar eventos e propriedades de operações de rede que suportam muitas funções de segurança cibernética.
17. Um administrador de servidor da web está configurando as configurações de acesso para exigir que os usuários se autentiquem antes de acessar determinadas páginas da web. Qual requisito de segurança da informação é abordado por meio da configuração?
· disponibilidade
· integridade
· escalabilidade
· confidencialidade
Explicação: A confidencialidade garante que os dados sejam acessados ​​apenas por indivíduos autorizados. A autenticação ajudará a verificar a identidade dos indivíduos.
18. Ao projetar um protótipo de rede para um novo farm de servidores, um designer de rede opta por usar links redundantes para conectar-se ao restante da rede. Qual objetivo de negócios será abordado por essa escolha?
· disponibilidade
· capacidade de gerenciamento
· segurança
· escalabilidade
Explicação: A disponibilidade é um dos componentes da segurança da informação em que os usuários autorizados devem ter acesso ininterrupto a recursos e dados importantes.
19. Quando uma auditoria de segurança é realizada em uma empresa, o auditor informa que novos usuários têm acesso a recursos de rede além de suas funções normais de trabalho. Além disso, os usuários que mudam para posições diferentes mantêm suas permissões anteriores. Que tipo de violação está ocorrendo?
· Ultimo privilégio
· política de rede
· senha
· auditoria
Explicação: Os usuários devem ter acesso às informações conforme a necessidade. Quando um usuário muda de função para função, o mesmo conceito se aplica.
20. Qual componente do modelo de segurança de confiança zero se concentra no acesso seguro quando uma API, um microsserviço ou um contêiner está acessando um banco de dados em um aplicativo?
· fluxo de trabalho
· trabalhadores
· carga de trabalho
· ambiente de trabalho
Explicação: O pilar de carga de trabalho se concentra em aplicativos que estão sendo executados na nuvem, em data centers e outros ambientes virtualizados que interagem entre si. Ele se concentra no acesso seguro quando uma API, um microsserviço ou um contêiner está acessando um banco de dados em um aplicativo.
21. Qual é o objetivo da função de contabilidade de segurança de rede?
· para determinar quais recursos um usuário pode acessar
· para fornecer perguntas de desafio e resposta
· para acompanhar as ações de um usuário
· exigir que os usuários provem quem são
Explicação: Autenticação, autorização e contabilidade são serviços de rede conhecidos coletivamente como AAA. A autenticação exige que os usuários provem quem são. A autorização determina quais recursos o usuário pode acessar. A contabilidade mantém o controle das ações do usuário.
22. Qual termo descreve a capacidade de um servidor web de manter um registro dos usuários que acessam o servidor, bem como o tempo que o utilizam?
· autenticação
· contabilidade
· atribuindo permissões
· autorização
Explicação: A contabilidade registra o que os usuários fazem e quando o fazem, incluindo o que é acessado, a quantidade de tempo que o recurso é acessado e quaisquer alterações feitas. A contabilidade mantém o controle de como os recursos de rede são usados.
23. Combine o componente de segurança da informação com a descrição.
· Somente indivíduos, entidades ou processos autorizados podem acessar informações confidenciais. : confidencialidade
· Os dados são protegidos contra alterações não autorizadas. : Integridade
· Os usuários autorizados devem ter acesso ininterrupto a recursos e dados importantes.: disponibilidade
24. Quais são as duas características do protocolo RADIUS? (Escolha dois.)
· criptografia de todo o corpo do pacote
· criptografia da senha apenas
· o uso de portas UDP para autenticação e contabilidade
· a separação dos processos de autenticação e autorização
· o uso da porta TCP 49
Explicação: RADIUS é um protocolo AAA de padrão aberto que usa a porta UDP 1645 ou 1812 para autenticação e a porta UDP 1646 ou 1813 para contabilização. Ele combina autenticação e autorização em um processo.
25. Qual componente AAA pode ser estabelecido usando cartões token?
· contabilidade
· autorização
· autenticação
· auditoria
Explicação: O componente de autenticação do AAA é estabelecido usando combinações de nome de usuário e senha, perguntas de desafio e resposta e cartões de token. O componente de autorização do AAA determina quais recursos o usuário pode acessar e quais operações o usuário tem permissão para realizar. O componente de contabilidade e auditoria do AAA acompanha como os recursos de rede são usados.
26. Qual é a característica da abordagem de alcachofra de segurança, defesa em profundidade?
· Os agentes de ameaças podem comprometer facilmente todas as camadas que protegem os dados ou sistemas.
· Os atores de ameaças não precisam mais remover cada camada antes de atingir os dados ou o sistema de destino.
· Os agentes de ameaças não podem mais penetrar em nenhuma camada que proteja os dados ou o sistema.
· Cada camada deve ser penetrada antes que o agente da ameaça possa alcançar os dados ou sistema de destino.
Explicação: Na abordagem de alcachofra de segurança, defesa em profundidade, nem todas as camadas precisam ser penetradas pelo agente da ameaça para acessar os dados ou sistemas. Cada camada fornece uma camada de proteção e, ao mesmo tempo, fornece um caminho para o ataque.
27. Qual é a característica de uma abordagem de segurança de defesa profunda em camadas?
· Três ou mais dispositivos são usados.
· Os roteadores são substituídos por firewalls.
· Uma falha de salvaguarda não afeta a eficácia de outras salvaguardas.
· Quando um dispositivo falha, outro assume.
Explicação: Quando uma abordagem de segurança de defesa profunda em camadas é usada, camadas de segurança são colocadas em toda a organização - na borda, na rede e nos terminais. As camadas trabalham juntas para criar a arquitetura de segurança. Nesse ambiente, a falha de uma salvaguarda não afeta a eficácia de outras salvaguardas.
28. Qual é o benefício de uma abordagem de defesa em profundidade?
· Todas as vulnerabilidades de rede são mitigadas.
· A necessidade de firewalls é eliminada.
· Apenas uma única camada de segurança no núcleo da rede é necessária.
· A eficácia de outras medidas de segurança não é afetada quando um mecanismo de segurança falha.
Explicação: O benefício da abordagem de defesa em profundidade é que as defesas de rede são implementadas em camadas para que a falha de qualquer mecanismo de segurança único não afete outras medidas de segurança.
29. Combine o termo com a descrição.
30. Qual é o princípio por trás do modelo de controle de acesso não discricionário?
· Aplica o controle de acesso mais rigoroso possível.
· Ele permite que as decisões de acesso sejam baseadas em funções e responsabilidades de um usuário dentro da organização.
· Ele permite que os usuários controlem o acesso aos seus dados como proprietários desses dados.
· Permite acesso baseado em atributos do objeto a ser acessado.
Explicação: O modelo de controle de acesso não discricionário usava as funções e responsabilidades do usuário como base para as decisões de acesso.
31. Que tipo de controle de acesso aplica o controle de acesso mais estrito e é comumente usado em aplicações militares ou de missão crítica?
· Controle de acesso não discricionário
· controle de acesso discricionário (DAC)
· controle de acesso baseado em atributos (ABAC)
· controle de acesso obrigatório (MAC)
Explicação: Os modelos de controle de acesso são usados ​​para definir os controles de acesso implementados para proteger os recursos de TI corporativos. Os diferentes tipos de modelos de controle de acesso são os seguintes:
Controle de acesso obrigatório (MAC) – O controle de acesso mais rigoroso que normalmente é usado em aplicativos militares ou de missão crítica.
Controle de acesso discricionário (DAC) – Permite que os usuários controlem o acesso aos seus dados como proprietários desses dados. Listas de controle de acesso (ACLs) ou outras medidas de segurança podem ser usadas para especificar quem mais pode ter acesso às informações.
Controle de acesso não discricionário – também conhecido como controle de acesso baseado em função (RBAC). Permite o acesso com base na função e responsabilidades do indivíduo dentro da organização.
Controle de acesso baseado em atributos (ABAC) – Permite o acesso baseado nos atributos do recurso a ser acessado, o usuário que acessa o recurso e os fatores ambientais, como o horário do dia.
32. Senhas, senhas e PINs são exemplos de qual termo de segurança?
· identificação
· Acesso
· autenticação
· autorização
Explicação: Os métodos de autenticação são usados ​​para fortalecer os sistemas de controle de acesso. É importante entender os métodos de autenticação disponíveis.
33. Como o AIS aborda uma ameaça recém-descoberta?
· criando estratégias de resposta contra a nova ameaça
· aconselhando o governo federal dos EUA a publicar estratégias de resposta interna
· permitindo a troca em tempo real de indicadores de ameaças cibernéticas com o governo federal dos EUA e o setor privado
· mitigando o ataque com mecanismos de defesa de resposta ativa
Explicação: O AIS responde a uma nova ameaça assim que é reconhecida, compartilhando-a imediatamente com o governo federal dos EUA e o setor privado para ajudá-los a proteger suas redes contra essa ameaça específica.