Cysa+ S1

Questão 03 - A Vendinha do Tião sofreu uma grande violação atribuída a uma ameaça persistente avançada (APT) que usou explorações de vulnerabilidades de dia zero para obter o controle dos sistemas na rede. Qual das opções a seguir é a solução menos apropriada para o Tião colocar em prática, para ajudar a evitar futuros ataques desse tipo?. Métodos de detecção de ataques baseados em assinatura. Aproveitar a inteligência de ameaças. Métodos de detecção de ataques heurísticos. Segmentação.

Questão 04 - Durante sua investigação de um sistema Windows, o Tião descobriu que os arquivos foram excluídos e ele quer determinar se um arquivo específico existia anteriormente no computador. Qual das opções a seguir é a menos provável de ser um local potencial para descobrir evidências que apoiem essa teoria?. Logs de eventos. Arquivos INDX. Registro do Windows. Tabela de arquivos mestre.

Questão 06 - O processo de resposta a incidentes do Tião, o leva a um servidor de produção que deve permanecer online para que os negócios da Vendinha permaneçam operacionais. Que método ele deve usar para capturar os dados de que precisa?. Imagem ao vivo em uma unidade externa. Colocar o sistema offline, instalar um bloqueador de gravação na unidade principal do sistema e, em seguida, criar uma imagem para uma unidade externa. Colocar o sistema offline e a imagem em uma unidade externa. Imagem ao vivo para a unidade principal do sistema.

Questão 07 - O que significa a resposta do Nmap "filtrado" nos resultados da varredura de portas?. O Nmap não pode dizer se a porta está aberta ou fechada. Não há escuta de aplicativo, mas pode haver um a qualquer momento. Um IPS foi detectado. Um firewall foi detectado.

Questão 10 - Bluetimerson foi encarregado de conduzir uma avaliação de risco para o banco de médio porte em que trabalha devido a um recente comprometimento de seu aplicativo da web de banco online. Ele optou por usar a estrutura de avaliação de risco NIST 800-30 mostrada aqui. Que probabilidade de ocorrência ele deve atribuir a violações do aplicativo da web? Risk Assessment Process (NIST Framework) The risk assessment process consists of four primary steps, with the second step broken down into a specific sequential workflow: Step 1: Prepare for Assessment Context: Derived from the Organizational Risk Frame. Goal: Establish the scope, assumptions, and constraints for the assessment. Step 2: Conduct Assessment (Expanded Task View) The execution phase follows a logical 5-step sequence: Identify Threat Sources and Events: Determine who or what can cause harm and what actions they might take. Identify Vulnerabilities and Predisposing Conditions: Locate weaknesses in the system or environment that could be exploited. Determine Likelihood of Occurrence: Assess the probability that a specific threat will exploit a vulnerability. Determine Magnitude of Impact: Estimate the potential damage or loss to the organization. Determine Risk: Calculate the final risk level by combining likelihood and impact. Step 3: Communicate Results Action: Share assessment findings with stakeholders to support risk-based decisions. Step 4: Maintain Assessment Action: Monitor and update the assessment continuously to reflect changes in the threat landscape or infrastructure. Alto. Baixo. Medio. Não pode ser determinado a partir das informações fornecidas.

Questão 11 - O Tião voltou recentemente de um evento de cúpula de CEOs, onde aprendeu sobre a importância da segurança cibernética e o papel da verificação de vulnerabilidades. Ele perguntou ao seu Sobrinho sobre as verificações de vulnerabilidade conduzidas pela organização e sugeriu que, em vez de executar verificações semanais, eles simplesmente configurassem o scanner para iniciar uma nova verificação imediatamente após a conclusão da verificação anterior. Como o Sobrinho do Tião deve reagir a esse pedido?. Ele deve considerar a solicitação e trabalhar com as equipes de rede e engenharia em uma possível implementação. Ele deve informar ao seu Tio que isso teria um impacto negativo no desempenho do sistema e não é recomendado. Ele deve implementar imediatamente a sugestão do seu Tio. Ele deve informar ao seu Tio, que não há nenhum benefício de segurança incremental dessa abordagem e que ele não a recomenda.

Questão 12 - A Vendinha do Tião sofre uma interrupção de sua VPN criptografada ponto a ponto devido a um comprometimento do sistema em seu ISP. Que tipo de problema é esse?. Disponibilidade. Confidencialidade. Integridade. Responsabilidade.

Questão 19 - Qual das métricas a seguir seria mais útil para determinar a eficácia de um programa de correção de vulnerabilidades?. Tempo para resolver vulnerabilidades críticas. Tempo para concluir as verificações de vulnerabilidade. Número de novas vulnerabilidades críticas por mês. Número de vulnerabilidades críticas resolvidas.

Questão 23 - Parte dos dados forenses que Lognilson recebeu para sua investigação foi uma captura de pacotes do Wireshark. A investigação visa determinar que tipo de mídia um funcionário estava consumindo durante o trabalho. Qual é a análise mais detalhada que ele pode fazer se receber os dados mostrados aqui? No.,Time,Source,Destination,Protocol,Length,Info 304,14.190515, 137.30.120.37, 137.30.123.234,TCP,1514,[TCP segment of a reassembled PDU] 305,14.190738, 137.30.123.234, 137.30.120.37,TCP,54,submitserver > http [ACK] Seq=705 Ack=79467 Win=64240 Len=0 306,14.191695, 137.30.120.37, 137.30.123.234,TCP,1514,[TCP segment of a reassembled PDU] 307,14.194417, 137.30.120.37, 137.30.123.234,TCP,1514,[TCP segment of a reassembled PDU] 308,14.194649, 137.30.123.234, 137.30.120.37,TCP,54,submitserver > http [ACK] Seq=705 Ack=82387 Win=64240 Len=0 309,14.195589, 137.30.120.37, 137.30.123.234,TCP,1514,[TCP segment of a reassembled PDU] 310,14.197053, 137.30.120.37, 137.30.123.234,TCP,1514,[TCP segment of a reassembled PDU] 311,14.197244, 137.30.123.234, 137.30.120.37,TCP,54,submitserver > http [ACK] Seq=705 Ack=85307 Win=64240 Len=0 312,14.197534, 137.30.120.37, 137.30.123.234,HTTP,675,HTTP/1.1 200 OK (GIF89a) 313,14.318003, 137.30.123.234, 137.30.120.37,TCP,54,submitserver > http [ACK] Seq=705 Ack=85928 Win=63619 Len=0 320,23.394385, 137.30.123.234, 137.30.120.37,TCP,54,"submitserver > http [FIN, ACK] Seq=705 Ack=85928 Win=63619 Len=0" 323,23.395031, 137.30.120.37, 137.30.123.234,TCP,60,http > submitserver [ACK] Seq=85928 Ack=706 Win=49206 Len=0 326,23.395760, 137.30.120.37, 137.30.123.234,TCP,60,"http > submitserver [FIN, ACK] Seq=85928 Ack=706 Win=49206 Len=0" 327,23.395790, 137.30.123.234, 137.30.120.37,TCP,54,submitserver > http [ACK] Seq=706 Ack=85929 Win=63619 Len=0. Ele pode exportar e visualizar o GIF. Ele não pode determinar qual mídia foi acessada usando esse conjunto de dados. Ele pode revisar manualmente o fluxo TCP para ver quais dados foram enviados. Ele pode determinar que o usuário estava visualizando um GIF.

Questão 26 - Qual dos seguintes modelos de serviço de nuvem depende do provedor de serviços de nuvem para implementar o maior número de controles de segurança?. SaaS. IaaS. FaaS. PaaS.

Questão 27 - Blutimerson é analista de segurança cibernética de uma organização de saúde. Ele executou uma verificação de vulnerabilidade do servidor VPN usado por sua organização. Sua verificação foi executada de dentro do datacenter em um servidor VPN também localizado no datacenter. O relatório completo de vulnerabilidades é mostrado aqui. Que ação ele deve tomar a seguir? Vulnerability Scan Report Target Asset: 172.19.X.X (msvpn-X) Vulnerability Name: Non-Zero Padding Bytes Observed in Ethernet Packets. Severity: 1 (Low/Informational). Status: Active. QID: 82048. Category: TCP/IP. Detection Statistics: First detected on 07/16/2017; Last detected on 04/05/2020; Detected 33 times. Technical Findings: Threat: Ethernet standards require small packets to be padded to a minimum size using zero padding bytes (e.g., 0x00). The scanner detected packets padded with non-zero bytes. Impact: This weakness can be exploited by an attacker to fingerprint specific Ethernet cards and device drivers. Solution: Contact the vendor of the Ethernet cards and device drivers to check for the availability of a patch. Ele não deve tomar nenhuma ação. Ele deve corrigir imediatamente essa vulnerabilidade. Ele deve agendar a vulnerabilidade para correção nos próximos 30 dias. Ele deve executar novamente a verificação porque provavelmente é um relatório falso positivo.

Questão 28 - Siemerlon recebeu um alerta do SIEM de sua organização de que detectou um possível ataque contra um servidor web em sua rede. No entanto, ele não tem certeza se o tráfego que gera o alerta realmente entrou na rede de uma fonte externa ou se veio de dentro da rede. A política de NAT no firewall do perímetro da rede regrava endereços IP públicos, dificultando a avaliação dessas informações com base em endereços IP. Siemerlon gostaria de realizar uma revisão manual de log para localizar a origem do tráfego. Onde ele deve procurar as melhores informações?. Logs do firewall. Logs antimalware. Logs do servidor de banco de dados. Logs do servidor de aplicativos.

Questão 30 - Depois de terminar um caso forense, Hashmildo precisa limpar um disco rígido magnético (HDD) que ele está usando para prepará-lo para o próximo caso. Qual dos seguintes métodos é mais adequado para preparar o disco rígido que ele usará se quiser estar em conformidade com o NIST SP 800-88?. Desmagnetizar a unidade. Gravação de zeros na unidade. Sete rodadas: todas as uns, todas as zeros e cinco rodadas de valores aleatórios. Usar o comando Secure Erase do ATA.

Questão 31 - Depois de ler os padrões do NIST para resposta a incidentes, Blutimerson gasta tempo configurando o serviço NTP em cada um de seus servidores, estações de trabalho e dispositivos em toda a rede. Em que fase do processo de resposta a incidentes ele está trabalhando para melhorar?. Preparação. Detecção e análise. Contenção, erradicação e recuperação. Atividade pós-incidente.

Questão 33 - Quando Blutimerson foi chamado para ajudar em um esforço de recuperação de incidentes, ele descobriu que o administrador de rede havia configurado a rede conforme mostrado aqui. Que tipo de ação de resposta a incidentes descreve melhor o que Blutimerson encontrou? Network Architecture Diagram This diagram illustrates a segmented network controlled by firewalls and a border router. Firewall Ruleset (Default Deny): Deny all from outside in. Deny all from inside out. Segmentation: Zone A: Containment VLAN (Behind a dedicated firewall). Zone B: Business Office VLAN (Connected via Border Router). Zone C: Data Center VLANs (Behind a secondary firewall, containing server assets). Isolamento. Remoção. Bloqueio de rede. Segmentação.

Questão 35 – O Tião concluiu recentemente uma análise de risco e determinou que deveria implementar um novo conjunto de regras de firewall para filtrar o tráfego de endereços IP suspeitos conhecidos. Que tipo de atividade de gerenciamento de risco ele está realizando?. Mitigação de riscos. Aceitação do risco. Transferência de risco. Prevenção de riscos.

Questão 42 – O Tião está criando um manual de resposta a incidentes para a Vendinha, que abordará a detecção e a resposta de tráfego cliente-servidor de comando e controle. Qual das seguintes fontes de informação tem menos probabilidade de fazer parte de seu manual?. DNS query logs. Feeds de inteligência de ameaças. Dados do honeypot. Notificações de funcionários internos sobre comportamentos suspeitos.

Questão 43 - Hashlene recentemente foi vítima de um ataque de phishing. Quando ela clicou no link em uma mensagem de e-mail que recebeu, ela foi enviada para o serviço de autenticação central de sua organização e fez login com êxito. Ela verificou a URL e o certificado para validar se o servidor de autenticação era genuíno. Após a autenticação, ela foi enviada para um formulário que coletava informações pessoais confidenciais que foram enviadas a um invasor. Que tipo de vulnerabilidade o invasor provavelmente explorou?. Redirecionamento aberto. Falsificação de IP. Sequestro de sessão. Estouro de buffer.

Questão 44 - Como testador de penetração, Pentesterson usa o Wireshark para capturar todo o seu tráfego de teste. Qual das alternativas a seguir não é um motivo pelo qual Pentesterson capturaria pacotes durante os testes de penetração?. Para documentar o teste de penetração. Para verificar vulnerabilidades. Para coletar informações adicionais sobre sistemas e serviços. Para solucionar problemas encontrados ao se conectar a destinos.

Questão 47 - Durante uma investigação de incidente, Lognilson é capaz de identificar o endereço IP do sistema que foi usado para comprometer vários sistemas pertencentes à sua empresa. O que Lognilson pode determinar a partir dessas informações?. A identidade do invasor. O país de origem do agressor. O nome de domínio do invasor. Nenhuma das opções.

Questão 48 - Depois de um grande comprometimento envolvendo o que parece ser um APT, o Tião precisa realizar um exame forense dos sistemas comprometidos. Qual método de contenção ele deve recomendar para garantir que ele possa investigar completamente os sistemas envolvidos, minimizando o risco para os outros sistemas de produção de sua organização?. Sandboxing. Remoção. Isolamento. Segmentação.

Questão 50 – O Tião executou uma verificação de vulnerabilidade de um servidor interno de CRM que é usado rotineiramente pelos funcionários, e a verificação relatou que nenhum serviço estava acessível no servidor. Os funcionários continuaram a usar o aplicativo de CRM pela Web sem dificuldade durante a verificação. Qual é a fonte mais provável do resultado do Tião?. A verificação foi executada de uma perspectiva de rede diferente do tráfego do usuário. As configurações padrão do scanner não verificam as portas usadas pelo aplicativo CRM. O servidor usa criptografia. O servidor requer autenticação forte.

Questão 51 - Siemerson precisa realizar uma varredura Nmap de uma rede remota e quer ser o mais furtivo possível. Qual dos seguintes comandos nmap fornecerá a abordagem mais furtiva para sua varredura?*. nmap -P0 -sT 10.0.10.0/24. nmap -sT -T0 10.0.10.0/24. nmap -P0 -sS 10.0.10.0/24. nmap -P0 -sS -T0 10.0.10.0/24.

Questão 54 - Sniffany está interpretando uma verificação de vulnerabilidade da rede de sua organização, mostrada aqui. Ela gostaria de determinar qual vulnerabilidade corrigir primeiro. Sniffany gostaria de se concentrar na vulnerabilidade mais crítica de acordo com o impacto potencial se explorada. Supondo que o firewall esteja configurado corretamente, qual das seguintes vulnerabilidades ela deve dar a maior prioridade? Network Segmentation & Architecture Diagram A: Zone-Based Segmentation Firewall Ruleset: Deny all from outside in Deny all from inside out Network Components: Zone A: Containment VLAN (isolated by a dedicated firewall) Border Router: Central point connecting Zone B Zone B: Business Office VLAN Zone C: Data Center VLANs (containing server assets, isolated by a secondary firewall) Diagram B: Standard DMZ Deployment External: Internet Boundary: Primary Firewall DMZ (Demilitarized Zone): Contains public-facing assets: Email Server Web Server Internal Network: Contains private assets: Workstation File Server. Vulnerabilidade de gravidade 5 no servidor de arquivos. Vulnerabilidade de gravidade 2 no servidor de e-mail. Vulnerabilidade de gravidade 4 no servidor web. Vulnerabilidade de gravidade 3 no servidor de arquivos.

Questão 56 - Blutimerson está planejando um programa de verificação de vulnerabilidades para sua organização e está agendando verificações semanais de todos os servidores em seu ambiente. Ele foi abordado por um grupo de administradores de sistema que pediram que eles tivessem acesso direto aos relatórios de varredura sem passar pela equipe de segurança. Como Blutimerson deve responder?. Ele deve fornecer acesso aos administradores. Ele deve negar o acesso dos administradores porque as informações podem revelar problemas críticos de segurança. Ele deve se oferecer para fornecer aos administradores cópias do relatório depois que eles passarem por uma revisão de segurança. Ele deve negar o acesso aos administradores porque isso permitiria que eles corrigissem problemas de segurança antes de serem analisados pela equipe de segurança.

Questão 57 - Ao revisar um relatório de uma verificação de vulnerabilidade de um servidor web, o Tião encontrou a vulnerabilidade mostrada aqui. Qual é a maneira mais fácil dele corrigir essa vulnerabilidade com impacto mínimo nos negócios? Vulnerability Scan Reports Report A: Non-Zero Padding Bytes Vulnerability: Non-Zero Padding Bytes Observed in Ethernet Packets. QID: 82048 | Category: TCP/IP. Threat: Ethernet standards require small packets to be padded to a minimum size using zero padding bytes (0x00). The service detected non-zero padding. Impact: This can be exploited to fingerprint Ethernet cards and device drivers. Solution: Contact the vendor for available patches. Report B: CGI-BIN Script Listing Vulnerability: Listing of Scripts in cgi-bin Directory. QID: 86044 | Category: Web server. Threat: The web server allows the listing of files within the cgi-bin directory. Impact: Unauthorized users can see all scripts present, facilitating further attacks on vulnerable CGI scripts. Ajustar as permissões do diretório. Remover o CGI do servidor. Bloquear a porta 80 apenas para exigir o uso de criptografia. Bloquear as portas 80 e 443.

Questão 58 - Um log mostrando uma autenticação de usuário bem-sucedida é classificado como que tipo de ocorrência nas definições do NIST?. Um incidente de segurança. Um evento de segurança. Um evento. Um evento adverso.

Questão 59 - Trojanara está tentando executar uma verificação de vulnerabilidade de um servidor web de uma rede externa, e o scanner está relatando que não há serviços em execução no servidor web. Ela verificou a configuração da verificação e tentou acessar o site em execução nesse servidor usando um navegador da Web em um computador localizado na mesma rede externa e não teve nenhuma dificuldade. Qual é o problema mais provável com a verificação?. Um sistema de prevenção de intrusão está bloqueando o acesso ao servidor. Ela está digitalizando o endereço IP errado. Um firewall de rede está bloqueando o acesso ao servidor. Um firewall de host está bloqueando o acesso ao servidor.

Questão 74 - Siemerson gostaria de realizar uma análise de causa raiz após um incidente. Ele incluirá os resultados dessa análise em seu relatório de incidente. Que ação ele deve tomar primeiro?. Identifique os problemas e eventos que ocorreram. Estabeleça um cronograma. Diferencie entre cada um dos eventos e fatores causais. Documente a análise.

Questão 78 - Socrates está tentando identificar atividades em sua organização que podem ser automatizadas para melhorar a eficiência. Qual das seguintes atividades tem menos probabilidade de se beneficiar da automação?. Caça a ameaças. Avaliação qualitativa dos riscos. Backup de dados. Análise de intrusão.