카테고리 CAS-004

새 질문 66
한 보안 엔지니어가 최근 발생한 데이터 유출 사고와 관련된 이벤트 기록을 검토하고 있습니다:
* 해커가 정찰을 통해 회사의 인터넷 웹 애플리케이션 자산에 대한 발자취를 남겼습니다.
* 해커가 타사 호러리의 취약점을 악용하여 로컬 계정이 손상되었습니다.
* 해커는 계정의 과도한 권한을 악용하여 데이터 저장소에 액세스하고 탐지되지 않은 채 데이터를 빼냈습니다.
다음 중 향후 이러한 유형의 공격이 성공하지 못하도록 방지하는 데 가장 적합한 솔루션은 무엇인가요?

새 질문 67
소규모 회사는 운영 비용을 줄여야 합니다. 공급업체는 모두 회사의 웹사이트와 서비스 관리에 초점을 맞춘 솔루션을 제안했습니다. 최고 정보 보안 책임자(CISO)는 제안서의 모든 가용 리소스를 전용으로 사용해야 한다고 주장하지만 프라이빗 클라우드 관리는 옵션이 아닙니다. 다음 중 이 회사에 가장 적합한 솔루션은 무엇인가요?

새 질문 68
지난 해의 공격 패턴을 검토한 결과 공격자들은 침해에 취약한 시스템을 발견한 후 정찰을 중단한 것으로 나타났습니다. 이 회사는 이 정보를 사용하여 환경을 보호하는 동시에 귀중한 공격 정보를 얻을 수 있는 방법을 찾고자 합니다.
다음 중 회사가 구현하기에 가장 적합한 것은 무엇인가요?

새 질문 69
한 개발자가 안전한 외부용 웹 애플리케이션을 개발하려고 합니다. 개발자는 다음과 같은 분야의 도구, 방법론, 문서 및 문서를 생성하는 온라인 커뮤니티를 찾고 있습니다.
웹 애플리케이션 보안 다음 중 가장 좋은 옵션은 무엇인가요?

새 질문 70
조직에서 중요하지 않은 타사 공급업체를 평가한 결과 해당 공급업체가 사이버 보안 보험에 가입하지 않았고 IT 직원의 이직률이 높다는 사실을 알게 되었습니다. 조직이 해당 공급업체를 통해 고객 사무실 장비를 한 서비스 위치에서 다른 위치로 이동합니다. 공급업체가 API를 통해 고객 데이터와 비즈니스에 대한 액세스 권한을 획득합니다.
이 정보가 주어졌을 때 다음 중 주목할 만한 위험은 무엇인가요?

새 질문 71
한 조직에서 애플리케이션을 프로덕션 환경에 도입하기 전에 애플리케이션을 검사하기 위해 새로운 소프트웨어 보증 프로그램을 수립하고 있습니다. 안타깝게도 많은 애플리케이션이 컴파일된 바이너리로만 제공됩니다. 다음 중 조직이 이러한 애플리케이션을 분석하는 데 사용해야 하는 것은 무엇인가요? (2가지 선택).

새 질문 72
네트워킹 팀에서 모든 회사 직원에게 안전한 원격 액세스를 제공해야 한다는 요청을 받았습니다. 팀은 솔루션으로 클라이언트-사이트 간 VPN을 사용하기로 결정했습니다. 토론 중에 최고 정보 보안 책임자는 보안 문제를 제기하며 네트워킹 팀에 원격 사용자의 인터넷 트래픽을 본사 인프라를 통해 라우팅해 달라고 요청했습니다. 이렇게 하면 원격 사용자가 VPN에 연결되어 있는 동안 로컬 네트워크를 통해 인터넷에 액세스하는 것을 방지할 수 있습니다.
다음 중 어느 솔루션에 해당하나요?

새 질문 73
한 제약 회사는 최근 고객 대상 웹 포털에서 보안 침해를 경험했습니다. 공격자는 SQL 인젝션 공격을 수행하여 회사의 관리 데이터베이스에서 테이블을 내보내 고객 정보를 노출시켰습니다.
회사는 IaaS 모델을 사용하는 CSP를 통해 애플리케이션을 호스팅합니다. 다음 중 침해에 대한 최종적인 책임이 있는 당사자는 누구인가요?

새 질문 74
보안 분석가가 회사의 WAF가 제대로 구성되지 않은 것을 발견했습니다. 메인 웹 서버가 침해되었고 악성 요청 중 하나에서 다음과 같은 페이로드가 발견되었습니다:

다음 중 이 취약점을 가장 잘 완화할 수 있는 것은 무엇인가요?

새 질문 75
한 회사가 글로벌 서비스 배포를 준비 중입니다.
다음 중 회사가 GDPR을 준수하기 위해 반드시 해야 하는 것은 무엇인가요? (두 가지를 선택하세요.)

새 질문 76
한 보안 분석가가 조직을 위한 컨테이너화 개념을 연구하고 있습니다. 분석가는 사용 가능한 리소스를 과도하게 사용하는 단일 애플리케이션으로 인해 Docker 호스트에서 발생할 수 있는 리소스 고갈 시나리오에 대해 우려하고 있습니다.
다음 중 컨테이너에 리소스 할당을 제한하는 기능을 가장 잘 반영하는 리눅스 핵심 개념은?

새 질문 77
금융 기관에는 현재 다음과 같은 제어 기능을 사용하는 여러 기관이 있습니다:
* 서버는 매월 패치 주기를 따릅니다.
* 모든 변경 사항은 변경 관리 프로세스를 거쳐야 합니다.
* 개발자와 시스템 관리자는 2단계 인증을 사용하여 데이터를 호스팅하는 서버에 액세스하려면 점프박스에 로그인해야 합니다.
* 서버는 격리된 VLAN에 있으며 내부 프로덕션 네트워크에서 직접 액세스할 수 없습니다.
최근 승인 절차를 우회한 업그레이드로 인해 며칠 동안 운영 중단이 발생하여 며칠 동안 지속되었습니다.
보안팀은 무단 패치가 설치된 것을 발견한 후 한 시간 이내에 작업을 재개할 수 있었습니다. 다음 중 보안 관리자가 향후 유사한 인시던트가 발생할 경우 해결 시간을 단축하기 위해 권장해야 하는 것은 무엇인가요?

새 질문 78
암호화 솔루션을 활용하여 사용 중인 데이터를 보호하면 데이터를 암호화할 수 있습니다:

새 질문 79
보안 아키텍트가 자사 환경에 상당한 보안 기능이 필요한 신규 고객을 위한 솔루션을 설계하고 있습니다. 고객이 아키텍트에게 다음과 같은 요구 사항을 제공했습니다:
* 지능형 지속적 위협을 조기에 탐지할 수 있습니다.
* 사용자에게 투명해야 하며 성능 저하를 유발하지 않아야 합니다.
+ 프로덕션 및 개발 네트워크와 원활하게 통합할 수 있습니다.
+ 보안팀이 실시간 익스플로잇 기법을 추적하고 조사할 수 있도록 지원합니다.
다음 중 보안 기능에 대한 고객의 요구 사항을 가장 잘 충족하는 기술은 무엇인가요? A.

새 질문 80
한 회사에서 미션 크리티컬 프로세스를 운영하는 데 사용되는 소프트웨어 라이선스를 구매하기로 결정했습니다. 타사 개발자는 업계에 처음 진출했지만 현재 회사에 필요한 것을 제공하고 있습니다.
다음 중 소스 코드 에스크로를 활용하면 타사가 애플리케이션 지원을 중단할 경우 회사의 운영 리스크를 줄일 수 있는 이유를 가장 잘 설명하는 것은 무엇인가요?

새 질문 81
한 사이버 보안 분석가가 이메일 필터링 시스템 개선에 지출을 정당화할 수 있는 최대 예산 금액을 결정하는 데 도움을 주기 위해 다음 표를 만들었습니다:


다음 중 비즈니스의 예산 요구 사항을 충족하는 것은 무엇인가요?

새 질문 82
한 회사가 방금 새로운 비디오 카드를 출시했습니다. 공급은 제한되어 있고 수요는 거의 없기 때문에 공격자들은 자동화된 시스템을 사용하여 회사의 웹 스토어를 통해 장치를 구매하여 중고 시장에서 재판매할 수 있습니다. 회사의 의도된 고객들은 좌절하고 있습니다. 한 보안 엔지니어가 자동화된 시스템을 통해 구매하는 비디오 카드의 수를 줄이기 위해 웹 스토어에 보안 문자 시스템을 구현할 것을 제안합니다. 다음 중 현재 위험 수준을 설명하는 것은 무엇인가요?

새 질문 83
조직은 재해 복구 및 운영 연속성을 계획하고 있습니다.
지침
다음 시나리오와 지침을 검토하세요. 각 관련 결과를 영향을 받은 호스트와 일치시킵니다.
시나리오 3을 적절한 호스트와 연결한 후 해당 호스트를 클릭하여 해당 발견 사항에 대한 적절한 수정 조치를 선택합니다.
각 검색 결과는 두 번 이상 사용할 수 있습니다.
언제든지 시뮬레이션의 초기 상태로 되돌리려면 모두 초기화 버튼을 클릭하세요.

새 질문 84
한 보안 분석가가 데이터베이스 관리자의 워크스테이션이 멀웨어에 의해 손상된 것을 발견했습니다. 감염된 워크스테이션이 ODBC를 통해 여러 데이터베이스에 연결되는 것이 관찰되었습니다. 다음과 같은 쿼리 동작이 캡처되었습니다:

이 쿼리가 데이터를 수집하고 유출하는 데 사용되었다고 가정할 때, 다음 중 어떤 유형의 데이터가 유출되었으며 사고 대응 계획에는 어떤 단계가 포함되어야 하나요?

새 질문 85
한 회사가 새로운 서비스를 출시하고 웹사이트 네트워크 내에 사용자가 서비스에 액세스할 수 있는 랜딩 페이지를 만들었습니다. 회사 정책에 따라 모든 웹사이트는 모든 인증 페이지에 암호화를 사용해야 합니다. 하급 네트워크 관리자가 오래된 절차를 사용하여 새 인증서를 주문했습니다. 그 후 고객이 새 웹 페이지에 액세스할 때 다음과 같은 오류가 보고되고 있습니다:
NET:ERR_CERT_COMMON_NAME_INVALID. 다음 중 관리자가 다음에 해야 할 일을 가장 잘 설명하는 것은 무엇인가요?