Đây là tài liệu được biên soạn và trình bày dựa trê bản gốc của VuaDump.

Question #1:
Thomas, an employee of an organization, is restricted to access specific websites from his office system. He is trying to obtain admin credentials to remove the restrictions. While waiting for an opportunity, he sniffed communication between the administrator and an application server to retrieve the admin credentials. Identify the type of attack performed by Thomas in the above scenario.
A. Vishing
B. Eavesdropping
C. Phishing
D. Dumpster diving

Câu hỏi 1:
Thomas, một nhân viên của tổ chức, bị hạn chế truy cập các trang web cụ thể từ hệ thống văn phòng. Anh ta đang cố gắng lấy thông tin đăng nhập quản trị để gỡ bỏ các hạn chế. Trong khi chờ đợi cơ hội, anh ta đã nghe lén giao tiếp giữa quản trị viên và máy chủ ứng dụng để lấy thông tin đăng nhập quản trị. Xác định loại tấn công mà Thomas đã thực hiện trong tình huống trên.
A. Vishing (Lừa đảo qua điện thoại)
B. Eavesdropping (Nghe trộm)
C. Phishing (Lừa đảo qua email)
D. Dumpster diving (Lục thùng rác)

Đáp án đúng: B. Eavesdropping (Nghe trộm)

Giải thích:
Eavesdropping là hành động nghe trộm hoặc chặn bắt thông tin liên lạc mà không được phép. Trong trường hợp này, Thomas đã nghe lén (sniffed) giao tiếp giữa quản trị viên và máy chủ để lấy thông tin đăng nhập, đây chính là một hình thức eavesdropping.

Demo : https://www.youtube.com/watch?v=-rSqbgI7oZM

Question #2:
Kayden successfully cracked the final round of interview at an organization. After few days, he received his offer letter through an official company email address. The email stated that the selected candidate should respond within a specified time. Kayden accepted the opportunity and provided e-signature on the offer letter, then replied to the same email address. The company validated the e-signature and added his details to their database. Here, Kayden could not deny company’s message, and company could not deny Kayden’s signature.
Which of the following information security elements was described in the above scenario?
A. Availability
B. Non-repudiation
C. Integrity
D. Confidentiality

Câu hỏi 2:
Kayden đã vượt qua thành công vòng phỏng vấn cuối cùng tại một tổ chức. Sau vài ngày, anh nhận được thư mời làm việc qua địa chỉ email chính thức của công ty. Email nêu rõ ứng viên được chọn phải trả lời trong thời gian quy định. Kayden chấp nhận cơ hội và cung cấp chữ ký điện tử trên thư mời, sau đó trả lời vào cùng địa chỉ email. Công ty xác thực chữ ký điện tử và thêm thông tin của anh vào cơ sở dữ liệu. Ở đây, Kayden không thể phủ nhận tin nhắn của công ty, và công ty không thể phủ nhận chữ ký của Kayden.
Yếu tố bảo mật thông tin nào được mô tả trong tình huống trên?
A. Availability (Khả dụng)
B. Non-repudiation (Không thể phủ nhận)
C. Integrity (Toàn vẹn)
D. Confidentiality (Bảo mật)

Đáp án đúng: B. Non-repudiation (Không thể phủ nhận)

Giải thích:
Non-repudiation là một nguyên tắc bảo mật đảm bảo rằng một bên trong giao dịch không thể phủ nhận rằng họ đã thực hiện giao dịch đó. Trong trường hợp này, cả Kayden và công ty đều không thể phủ nhận các hành động của mình (gửi thư mời và ký nhận), điều này minh họa cho nguyên tắc non-repudiation.

Question #3: Sam, a software engineer, visited an organization to give a demonstration on a software tool that helps in business development. The administrator at the organization created a least privileged account on a system and allocated that system to Sam for the demonstration. Using this account, Sam can only access the files that are required for the demonstration and cannot open any other file in the system. Which of the following type of accounts the organization has given to Sam in the above scenario? A. Service account B. Guest account C. User account D. Administrator account

Câu hỏi 3: Sam, một kỹ sư phần mềm, đến thăm một tổ chức để trình diễn một công cụ phần mềm hỗ trợ phát triển kinh doanh. Quản trị viên của tổ chức đã tạo một tài khoản có đặc quyền tối thiểu trên một hệ thống và cấp hệ thống đó cho Sam để trình diễn. Sử dụng tài khoản này, Sam chỉ có thể truy cập các tệp cần thiết cho buổi trình diễn và không thể mở bất kỳ tệp nào khác trong hệ thống. Tổ chức đã cấp cho Sam loại tài khoản nào trong tình huống trên? A. Tài khoản dịch vụ B. Tài khoản khách C. Tài khoản người dùng D. Tài khoản quản trị viên

Đáp án đúng: B. Guest account (Tài khoản khách)

Giải thích: Tài khoản khách là loại tài khoản có đặc quyền hạn chế nhất, thường được sử dụng cho người dùng tạm thời hoặc khách. Trong trường hợp này, Sam được cấp một tài khoản chỉ có quyền truy cập hạn chế vào các tệp cần thiết cho buổi trình diễn, phù hợp với đặc điểm của tài khoản khách.

Question #4: Myles, a security professional at an organization, provided laptops for all the employees to carry out the business processes from remote locations. While installing necessary applications required for the business, Myles has also installed antivirus software on each laptop following the company’s policy to detect and protect the machines from external malicious events over the Internet. Identify the PCI-DSS requirement followed by Myles in the above scenario. A. PCI-DSS requirement no 1.3.2 B. PCI-DSS requirement no 1.3.5 C. PCI-DSS requirement no 5.1 D. PCI-DSS requirement no 1.3.1

Câu hỏi 4: Myles, một chuyên gia bảo mật tại một tổ chức, đã cung cấp laptop cho tất cả nhân viên để thực hiện các quy trình kinh doanh từ xa. Khi cài đặt các ứng dụng cần thiết cho công việc, Myles cũng đã cài đặt phần mềm chống virus trên mỗi laptop theo chính sách của công ty để phát hiện và bảo vệ máy tính khỏi các sự kiện độc hại bên ngoài qua Internet. Xác định yêu cầu PCI-DSS mà Myles đã tuân thủ trong tình huống trên. A. Yêu cầu PCI-DSS số 1.3.2 B. Yêu cầu PCI-DSS số 1.3.5 C. Yêu cầu PCI-DSS số 5.1 D. Yêu cầu PCI-DSS số 1.3.1

Đáp án đúng: C. PCI-DSS requirement no 5.1 (Yêu cầu PCI-DSS số 5.1)

Giải thích: Yêu cầu 5.1 của PCI-DSS quy định: “Triển khai phần mềm chống virus trên tất cả các hệ thống thường bị ảnh hưởng bởi phần mềm độc hại (đặc biệt là máy tính cá nhân và máy chủ).” Hành động của Myles khi cài đặt phần mềm chống virus trên tất cả laptop của nhân viên chính xác tuân theo yêu cầu này.

Question #5: Ashton is working as a security specialist in SoftEight Tech. He was instructed by the management to strengthen the Internet access policy. For this purpose, he implemented a type of Internet access policy that forbids everything and imposes strict restrictions on all company computers, whether it is system or network usage. Identify the type of Internet access policy implemented by Ashton in the above scenario. A. Paranoid policy B. Prudent policy C. Permissive policy D. Promiscuous policy

Câu hỏi 5: Ashton đang làm việc như một chuyên gia bảo mật tại SoftEight Tech. Anh được ban quản lý chỉ thị tăng cường chính sách truy cập Internet. Vì mục đích này, anh đã triển khai một loại chính sách truy cập Internet cấm tất cả mọi thứ và áp đặt các hạn chế nghiêm ngặt trên tất cả máy tính công ty, bất kể đó là sử dụng hệ thống hay mạng. Xác định loại chính sách truy cập Internet mà Ashton đã triển khai trong tình huống trên. A. Chính sách hoang tưởng B. Chính sách thận trọng C. Chính sách cho phép D. Chính sách phóng túng

Đáp án đúng: A. Paranoid policy (Chính sách hoang tưởng)

Giải thích: Chính sách hoang tưởng là loại chính sách an ninh mạng nghiêm ngặt nhất, cấm tất cả mọi thứ trừ khi được cho phép cụ thể. Trong tình huống này, Ashton đã triển khai một chính sách cấm tất cả và áp đặt hạn chế nghiêm ngặt, phù hợp với định nghĩa của chính sách hoang tưởng.

Question #6: Zion belongs to a category of employees who are responsible for implementing and managing the physical security equipment installed around the facility. He was instructed by the management to check the functionality of equipment related to physical security. Identify the designation of Zion. A. Supervisor B. Chief information security officer C. Guard D. Safety officer

Câu hỏi 6: Zion thuộc một nhóm nhân viên chịu trách nhiệm triển khai và quản lý các thiết bị an ninh vật lý được lắp đặt xung quanh cơ sở. Anh được ban quản lý chỉ thị kiểm tra chức năng của các thiết bị liên quan đến an ninh vật lý. Xác định chức danh của Zion. A. Giám sát viên B. Giám đốc an ninh thông tin C. Bảo vệ D. Nhân viên an toàn

Đáp án đúng: C. Guard (Bảo vệ)

Giải thích: Trong số các lựa chọn được đưa ra, chức danh “Bảo vệ” phù hợp nhất với mô tả công việc của Zion. Bảo vệ thường chịu trách nhiệm triển khai và quản lý các thiết bị an ninh vật lý, cũng như kiểm tra chức năng của chúng, như được mô tả trong tình huống.

Question #7: In an organization, all the servers and database systems are guarded in a sealed room with a single entry point. The entrance is protected with a physical lock system that requires typing a sequence of numbers and letters by using a rotating dial that intermingles with several other rotating discs. Which of the following types of physical locks is used by the organization in the above scenario? A. Digital locks B. Combination locks C. Mechanical locks D. Electromagnetic locks

Câu hỏi 7: Trong một tổ chức, tất cả các máy chủ và hệ thống cơ sở dữ liệu được bảo vệ trong một phòng kín với một điểm vào duy nhất. Lối vào được bảo vệ bằng một hệ thống khóa vật lý yêu cầu nhập một chuỗi số và chữ cái bằng cách sử dụng một đĩa quay kết hợp với một số đĩa quay khác. Loại khóa vật lý nào được tổ chức sử dụng trong tình huống trên? A. Khóa số B. Khóa kết hợp C. Khóa cơ khí D. Khóa điện từ

Đáp án đúng: B. Combination locks (Khóa kết hợp)

Giải thích: Khóa kết hợp là loại khóa yêu cầu người dùng nhập một chuỗi số hoặc ký tự cụ thể theo một thứ tự nhất định để mở khóa. Mô tả về việc sử dụng đĩa quay và nhập chuỗi số và chữ cái phù hợp chính xác với đặc điểm của khóa kết hợp.

Question #8: Lorenzo, a security professional in an MNC, was instructed to establish centralized authentication, authorization, and accounting for remote-access servers. For this purpose, he implemented a protocol that is based on the client-server model and works at the transport layer of the OSI model. Identify the remote authentication protocol employed by Lorenzo in the above scenario. A. SNMPv3 B. RADIUS C. POP3S D. IMAPS

Câu hỏi 8: Lorenzo, một chuyên gia bảo mật trong một công ty đa quốc gia, được chỉ thị thiết lập xác thực, ủy quyền và kế toán tập trung cho các máy chủ truy cập từ xa. Vì mục đích này, anh đã triển khai một giao thức dựa trên mô hình máy khách-máy chủ và hoạt động ở tầng giao vận của mô hình OSI. Xác định giao thức xác thực từ xa mà Lorenzo đã sử dụng trong tình huống trên. A. SNMPv3 B. RADIUS C. POP3S D. IMAPS

Đáp án đúng: B. RADIUS

Giải thích: RADIUS (Remote Authentication Dial-In User Service) là một giao thức xác thực, ủy quyền và kế toán (AAA) tập trung cho truy cập từ xa. Nó hoạt động dựa trên mô hình máy khách-máy chủ và sử dụng giao thức UDP ở tầng giao vận của mô hình OSI. RADIUS phù hợp với mô tả trong câu hỏi về việc thiết lập xác thực, ủy quyền và kế toán tập trung cho truy cập từ xa.

Question #9: Malachi, a security professional, implemented a firewall in his organization to trace incoming and outgoing traffic. He deployed a firewall that works at the session layer of the OSI model and monitors the TCP handshake between hosts to determine whether a requested session is legitimate. Identify the firewall technology implemented by Malachi in the above scenario. A. Next generation firewall (NGFW) B. Circuit-level gateways C. Network address translation (NAT) D. Packet filtering

Câu hỏi 9: Malachi, một chuyên gia bảo mật, đã triển khai tường lửa trong tổ chức của mình để theo dõi lưu lượng truy cập vào và ra. Anh ấy đã triển khai một tường lửa hoạt động ở tầng phiên của mô hình OSI và giám sát quá trình bắt tay TCP giữa các máy chủ để xác định xem một phiên yêu cầu có hợp lệ hay không. Xác định công nghệ tường lửa được Malachi triển khai trong tình huống trên. A. Tường lửa thế hệ mới (NGFW) B. Cổng cấp mạch C. Dịch địa chỉ mạng (NAT) D. Lọc gói tin

Đáp án đúng: B. Circuit-level gateways (Cổng cấp mạch)

Giải thích: Cổng cấp mạch là loại tường lửa hoạt động ở tầng phiên của mô hình OSI. Nó giám sát quá trình bắt tay TCP để xác định tính hợp lệ của các kết nối. Điều này phù hợp chính xác với mô tả trong câu hỏi.

Question #10: Rhett, a security professional at an organization, was instructed to deploy an IDS solution on their corporate network to defend against evolving threats. For this purpose, Rhett selected an IDS solution that first creates models for possible intrusions and then compares these models with incoming events to make detection decisions. Identify the detection method employed by the IDS solution in the above scenario. A. Not-use detection B. Protocol anomaly detection C. Anomaly detection D. Signature recognition

Câu hỏi 10: Rhett, một chuyên gia bảo mật tại một tổ chức, được chỉ thị triển khai giải pháp IDS trên mạng doanh nghiệp để phòng chống các mối đe dọa đang phát triển. Vì mục đích này, Rhett đã chọn một giải pháp IDS trước tiên tạo ra các mô hình cho các xâm nhập có thể xảy ra và sau đó so sánh các mô hình này với các sự kiện đến để đưa ra quyết định phát hiện. Xác định phương pháp phát hiện được sử dụng bởi giải pháp IDS trong tình huống trên. A. Phát hiện không sử dụng B. Phát hiện bất thường giao thức C. Phát hiện bất thường D. Nhận dạng chữ ký

Đáp án đúng: C. Anomaly detection (Phát hiện bất thường)

Giải thích: Phương pháp phát hiện bất thường trong IDS tạo ra các mô hình của hành vi bình thường hoặc dự kiến, sau đó so sánh các sự kiện đến với các mô hình này để xác định các bất thường có thể là dấu hiệu của xâm nhập. Điều này phù hợp với mô tả trong câu hỏi về việc tạo mô hình và so sánh với các sự kiện đến.

Question #11: Richards, a security specialist at an organization, was monitoring an IDS system. While monitoring, he suddenly received an alert of an ongoing intrusion attempt on the organization’s network. He immediately averted the malicious actions by implementing the necessary measures. Identify the type of alert generated by the IDS system in the above scenario. A. True positive B. True negative C. False negative D. False positive

Câu hỏi 11: Richards, một chuyên gia bảo mật tại một tổ chức, đang giám sát hệ thống IDS. Trong quá trình giám sát, anh ta đột nhiên nhận được một cảnh báo về một nỗ lực xâm nhập đang diễn ra trên mạng của tổ chức. Anh ta đã ngay lập tức ngăn chặn các hành động độc hại bằng cách thực hiện các biện pháp cần thiết. Xác định loại cảnh báo được tạo ra bởi hệ thống IDS trong tình huống trên. A. Dương tính thật B. Âm tính thật C. Âm tính giả D. Dương tính giả

Đáp án đúng: A. True positive (Dương tính thật)

Giải thích: Trong tình huống này, hệ thống IDS đã phát hiện chính xác một nỗ lực xâm nhập thực sự và tạo ra cảnh báo. Đây là một ví dụ điển hình của dương tính thật – hệ thống đã cảnh báo đúng về một mối đe dọa thực sự tồn tại.

Question #12: Karter, a security professional, deployed a honeypot on the organization’s network for luring attackers who attempt to breach the network. For this purpose, he configured a type of honeypot that simulates a real OS as well as applications and services of a target network. Furthermore, the honeypot deployed by Karter only responds to preconfigured commands. Identify the type of Honeypot deployed by Karter in the above scenario. A. Low-interaction honeypot B. Pure honeypot C. Medium-interaction honeypot D. High-interaction honeypot

Câu hỏi 12: Karter, một chuyên gia bảo mật, đã triển khai một honeypot trên mạng của tổ chức để thu hút những kẻ tấn công cố gắng xâm nhập vào mạng. Vì mục đích này, anh ta đã cấu hình một loại honeypot mô phỏng hệ điều hành thực cũng như các ứng dụng và dịch vụ của mạng mục tiêu. Hơn nữa, honeypot được Karter triển khai chỉ phản hồi các lệnh được cấu hình trước. Xác định loại Honeypot mà Karter đã triển khai trong tình huống trên. A. Honeypot tương tác thấp B. Honeypot thuần túy C. Honeypot tương tác trung bình D. Honeypot tương tác cao

Đáp án đúng: A. Low-interaction honeypot (Honeypot tương tác thấp)

Giải thích: Honeypot tương tác thấp thường mô phỏng một số dịch vụ và ứng dụng cơ bản, nhưng có chức năng hạn chế và chỉ phản hồi các lệnh được cấu hình trước. Điều này phù hợp với mô tả trong câu hỏi. Mặc dù có mô phỏng hệ điều hành, nhưng việc chỉ phản hồi các lệnh được cấu hình trước là đặc điểm của honeypot tương tác thấp.

Question #13: An MNC hired Brandon, a network defender, to establish secured VPN communication between the company’s remote offices. For this purpose, Brandon employed a VPN topology where all the remote offices communicate with the corporate office but communication between the remote offices is denied. Identify the VPN topology employed by Brandon in the above scenario. A. Point-to-Point VPN topology B. Star topology C. Hub-and-Spoke VPN topology D. Full-mesh VPN topology

Câu hỏi 13: Một công ty đa quốc gia đã thuê Brandon, một chuyên gia bảo vệ mạng, để thiết lập kết nối VPN an toàn giữa các văn phòng từ xa của công ty. Vì mục đích này, Brandon đã sử dụng một cấu trúc VPN trong đó tất cả các văn phòng từ xa giao tiếp với văn phòng trung tâm nhưng không cho phép giao tiếp giữa các văn phòng từ xa với nhau. Xác định cấu trúc VPN mà Brandon đã sử dụng trong tình huống trên. A. Cấu trúc VPN điểm-điểm B. Cấu trúc hình sao C. Cấu trúc VPN trục-và-nan D. Cấu trúc VPN lưới đầy đủ

Đáp án đúng: C. Hub-and-Spoke VPN topology (Cấu trúc VPN trục-và-nan)

Giải thích: Trong cấu trúc VPN trục-và-nan, tất cả các văn phòng từ xa (các nan) kết nối với văn phòng trung tâm (trục), nhưng không kết nối trực tiếp với nhau. Điều này phù hợp chính xác với mô tả trong câu hỏi, trong đó các văn phòng từ xa chỉ giao tiếp với văn phòng trung tâm.

Question #14: Mark, a security analyst, was tasked with performing threat hunting to detect imminent threats in an organization’s network. He generated a hypothesis based on the observations in the initial step and started the threat hunting process using existing data collected from DNS and proxy logs. Identify the type of threat hunting method employed by Mark in the above scenario. A. Entity-driven hunting B. TTP-driven hunting C. Data-driven hunting D. Hybrid hunting

Câu hỏi 14: Mark, một chuyên viên phân tích bảo mật, được giao nhiệm vụ thực hiện việc săn lùng mối đe dọa để phát hiện các mối đe dọa sắp xảy ra trong mạng của tổ chức. Anh ta đã tạo ra một giả thuyết dựa trên các quan sát trong bước đầu tiên và bắt đầu quá trình săn lùng mối đe dọa bằng cách sử dụng dữ liệu hiện có được thu thập từ nhật ký DNS và proxy. Xác định phương pháp săn lùng mối đe dọa mà Mark đã sử dụng trong tình huống trên. A. Săn lùng dựa trên thực thể B. Săn lùng dựa trên TTP C. Săn lùng dựa trên dữ liệu D. Săn lùng kết hợp

Đáp án đúng: C. Data-driven hunting (Săn lùng dựa trên dữ liệu)

Giải thích: Săn lùng dựa trên dữ liệu là một phương pháp trong đó các nhà phân tích bắt đầu với dữ liệu hiện có (như nhật ký DNS và proxy trong trường hợp này) và tìm kiếm các mẫu hoặc dấu hiệu bất thường có thể chỉ ra sự hiện diện của mối đe dọa. Việc Mark sử dụng dữ liệu hiện có từ nhật ký DNS và proxy để bắt đầu quá trình săn lùng phù hợp với đặc điểm của phương pháp săn lùng dựa trên dữ liệu.

Question #15: An organization hired a network operations center (NOC) team to protect its IT infrastructure from external attacks. The organization utilized a type of threat intelligence to protect its resources from evolving threats. The threat intelligence helped the NOC team understand how attackers are expected to perform an attack on the organization, identify the information leakage, and determine the attack goals as well as attack vectors. Identify the type of threat intelligence consumed by the organization in the above scenario. A. Operational threat intelligence B. Strategic threat intelligence C. Technical threat intelligence D. Tactical threat intelligence

Câu hỏi 15: Một tổ chức đã thuê một đội ngũ trung tâm vận hành mạng (NOC) để bảo vệ cơ sở hạ tầng CNTT của mình khỏi các cuộc tấn công bên ngoài. Tổ chức đã sử dụng một loại thông tin tình báo về mối đe dọa để bảo vệ tài nguyên của mình khỏi các mối đe dọa đang phát triển. Thông tin tình báo về mối đe dọa đã giúp đội NOC hiểu cách kẻ tấn công dự kiến sẽ thực hiện cuộc tấn công vào tổ chức, xác định rò rỉ thông tin, và xác định mục tiêu cũng như các vector tấn công. Xác định loại thông tin tình báo về mối đe dọa mà tổ chức đã sử dụng trong tình huống trên. A. Thông tin tình báo về mối đe dọa hoạt động B. Thông tin tình báo về mối đe dọa chiến lược C. Thông tin tình báo về mối đe dọa kỹ thuật D. Thông tin tình báo về mối đe dọa chiến thuật

Đáp án đúng: D. Tactical threat intelligence (Thông tin tình báo về mối đe dọa chiến thuật)

Giải thích: Thông tin tình báo về mối đe dọa chiến thuật tập trung vào các chi tiết cụ thể về các chiến thuật, kỹ thuật và thủ tục (TTPs) mà kẻ tấn công có thể sử dụng. Nó giúp các đội ngũ bảo mật hiểu cách kẻ tấn công có thể thực hiện các cuộc tấn công, xác định các vector tấn công và mục tiêu. Điều này phù hợp với mô tả trong câu hỏi về việc hiểu cách kẻ tấn công dự kiến sẽ thực hiện cuộc tấn công, xác định rò rỉ thông tin và xác định mục tiêu cũng như vector tấn công.

Question #16: Tristan, a professional penetration tester, was recruited by an organization to test its network infrastructure. The organization wanted to understand its current security posture and its strength in defending against external threats. For this purpose, the organization did not provide any information about their IT infrastructure to Tristan. Thus, Tristan initiated zero-knowledge attacks, with no information or assistance from the organization. Which of the following types of penetration testing has Tristan initiated in the above scenario? A. Black-box testing B. White-box testing C. Gray-box testing D. Translucent-box testing

Câu hỏi 16: Tristan, một chuyên gia kiểm tra thâm nhập chuyên nghiệp, được một tổ chức tuyển dụng để kiểm tra cơ sở hạ tầng mạng của họ. Tổ chức muốn hiểu tình trạng bảo mật hiện tại và khả năng phòng thủ của họ trước các mối đe dọa bên ngoài. Vì mục đích này, tổ chức không cung cấp bất kỳ thông tin nào về cơ sở hạ tầng CNTT của họ cho Tristan. Do đó, Tristan đã bắt đầu các cuộc tấn công với kiến thức bằng không, không có thông tin hoặc hỗ trợ từ tổ chức. Tristan đã bắt đầu loại kiểm tra thâm nhập nào trong tình huống trên? A. Kiểm tra hộp đen B. Kiểm tra hộp trắng C. Kiểm tra hộp xám D. Kiểm tra hộp bán trong suốt

Đáp án đúng: A. Black-box testing (Kiểm tra hộp đen)

Giải thích: Kiểm tra hộp đen là một phương pháp kiểm tra thâm nhập trong đó người kiểm tra không được cung cấp bất kỳ thông tin nội bộ nào về hệ thống mục tiêu. Họ phải tiếp cận hệ thống như một kẻ tấn công bên ngoài, không có kiến thức trước về cơ sở hạ tầng. Trong tình huống này, Tristan không được cung cấp bất kỳ thông tin nào và phải thực hiện “các cuộc tấn công với kiến thức bằng không”, điều này phù hợp chính xác với định nghĩa của kiểm tra hộp đen.

Question #17: Miguel, a professional hacker, targeted an organization to gain illegitimate access to its critical information. He identified a flaw in the end-point communication that can disclose the target application’s data. Which of the following secure application design principles was not met by the application in the above scenario? A. Secure the weakest link B. Do not trust user input C. Exception handling D. Fault tolerance

Câu hỏi 17: Miguel, một hacker chuyên nghiệp, nhắm mục tiêu vào một tổ chức để có quyền truy cập bất hợp pháp vào thông tin quan trọng của họ. Anh ta đã xác định được một lỗ hổng trong giao tiếp đầu cuối có thể tiết lộ dữ liệu của ứng dụng mục tiêu. Nguyên tắc thiết kế ứng dụng an toàn nào sau đây không được đáp ứng bởi ứng dụng trong tình huống trên? A. Bảo mật điểm yếu nhất B. Không tin tưởng đầu vào của người dùng C. Xử lý ngoại lệ D. Khả năng chịu lỗi

Đáp án đúng: C. Exception handling (Xử lý ngoại lệ)

Giải thích: Trong tình huống này, một lỗ hổng trong giao tiếp đầu cuối đã cho phép tiết lộ dữ liệu ứng dụng. Điều này có thể xảy ra do thiếu xử lý ngoại lệ thích hợp. Xử lý ngoại lệ đúng cách có thể ngăn chặn việc tiết lộ thông tin nhạy cảm khi xảy ra lỗi hoặc điều kiện bất thường. Các nguyên tắc khác như “Bảo mật điểm yếu nhất” hoặc “Không tin tưởng đầu vào của người dùng” không liên quan trực tiếp đến vấn đề tiết lộ dữ liệu được mô tả trong câu hỏi.

Question #18: A software company is developing a new software product by following the best practices for secure application development. Dawson, a software analyst, is checking the performance of the application on the client’s network to determine whether end users are facing any issues in accessing the application. Which of the following tiers of a secure application development lifecycle involves checking the performance of the application? A. Development B. Testing C. Quality assurance (QA) D. Staging

Câu hỏi 18: Một công ty phần mềm đang phát triển một sản phẩm phần mềm mới bằng cách tuân theo các phương pháp tốt nhất cho phát triển ứng dụng an toàn. Dawson, một chuyên viên phân tích phần mềm, đang kiểm tra hiệu suất của ứng dụng trên mạng của khách hàng để xác định xem người dùng cuối có gặp bất kỳ vấn đề nào trong việc truy cập ứng dụng hay không. Giai đoạn nào sau đây trong vòng đời phát triển ứng dụng an toàn liên quan đến việc kiểm tra hiệu suất của ứng dụng? A. Phát triển B. Kiểm thử C. Đảm bảo chất lượng (QA) D. Dàn dựng

Đáp án đúng: B. Testing (Kiểm thử)

Giải thích: Trong vòng đời phát triển ứng dụng an toàn, giai đoạn Kiểm thử là nơi mà hiệu suất của ứng dụng được kiểm tra kỹ lưỡng. Việc kiểm tra hiệu suất trên mạng của khách hàng để xác định các vấn đề truy cập của người dùng cuối là một phần của quá trình kiểm thử. Mặc dù Đảm bảo chất lượng (QA) cũng có thể liên quan đến kiểm tra hiệu suất, nhưng việc kiểm tra trực tiếp trên mạng của khách hàng thường được thực hiện trong giai đoạn Kiểm thử.

Question #19: Nicolas, a computer science student, decided to create a guest OS on his laptop for different lab operations. He adopted a virtualization approach in which the guest OS will not be aware that it is running in a virtualized environment. The virtual machine manager (VMM) will directly interact with the computer hardware, translate commands to binary instructions, and forward them to the host OS. Which of the following virtualization approaches has Nicolas adopted in the above scenario? A. Hardware-assisted virtualization B. Full virtualization C. Hybrid virtualization D. OS-assisted virtualization

Câu hỏi 19: Nicolas, một sinh viên khoa học máy tính, quyết định tạo một hệ điều hành khách trên laptop của mình cho các hoạt động phòng thí nghiệm khác nhau. Anh ấy áp dụng một phương pháp ảo hóa trong đó hệ điều hành khách sẽ không biết rằng nó đang chạy trong môi trường ảo hóa. Trình quản lý máy ảo (VMM) sẽ tương tác trực tiếp với phần cứng máy tính, dịch các lệnh thành hướng dẫn nhị phân và chuyển chúng đến hệ điều hành chủ. Nicolas đã áp dụng phương pháp ảo hóa nào sau đây trong tình huống trên? A. Ảo hóa hỗ trợ phần cứng B. Ảo hóa hoàn toàn C. Ảo hóa lai D. Ảo hóa hỗ trợ hệ điều hành

Đáp án đúng: B. Full virtualization (Ảo hóa hoàn toàn)

Giải thích: Ảo hóa hoàn toàn là một phương pháp ảo hóa trong đó hệ điều hành khách không biết rằng nó đang chạy trong môi trường ảo hóa. Trong phương pháp này, trình quản lý máy ảo (VMM) tương tác trực tiếp với phần cứng và mô phỏng hoàn toàn môi trường phần cứng cho hệ điều hành khách. Điều này phù hợp với mô tả trong câu hỏi, nơi VMM tương tác trực tiếp với phần cứng và dịch các lệnh cho hệ điều hành chủ.

Question #20: Walker, a security team member at an organization, was instructed to check if a deployed cloud service is working as expected. He performed an independent examination of cloud service controls to verify adherence to standards through a review of objective evidence. Further, Walker evaluated the services provided by the CSP regarding security controls, privacy impact, and performance. Identify the role played by Walker in the above scenario. A. Cloud auditor B. Cloud provider C. Cloud carrier D. Cloud consumer

Câu hỏi 20: Walker, một thành viên của đội ngũ bảo mật tại một tổ chức, được chỉ thị kiểm tra xem một dịch vụ đám mây đã triển khai có hoạt động như mong đợi không. Anh ấy đã thực hiện một cuộc kiểm tra độc lập về các kiểm soát dịch vụ đám mây để xác minh sự tuân thủ các tiêu chuẩn thông qua việc xem xét các bằng chứng khách quan. Hơn nữa, Walker đã đánh giá các dịch vụ được cung cấp bởi nhà cung cấp dịch vụ đám mây (CSP) liên quan đến các kiểm soát bảo mật, tác động đến quyền riêng tư và hiệu suất. Xác định vai trò mà Walker đảm nhận trong tình huống trên. A. Kiểm toán viên đám mây B. Nhà cung cấp đám mây C. Nhà cung cấp dịch vụ mạng đám mây D. Người tiêu dùng đám mây

Đáp án đúng: A. Cloud auditor (Kiểm toán viên đám mây)

Giải thích: Trong tình huống này, Walker đang thực hiện vai trò của một kiểm toán viên đám mây. Các hoạt động của anh ấy bao gồm:

1. Thực hiện kiểm tra độc lập về các kiểm soát dịch vụ đám mây.
2. Xác minh sự tuân thủ các tiêu chuẩn thông qua việc xem xét bằng chứng khách quan.
3. Đánh giá các dịch vụ của nhà cung cấp dịch vụ đám mây về kiểm soát bảo mật, tác động đến quyền riêng tư và hiệu suất.

Tất cả những hoạt động này là đặc trưng của vai trò kiểm toán viên đám mây, người thực hiện đánh giá độc lập về các dịch vụ đám mây để đảm bảo chúng đáp ứng các tiêu chuẩn và yêu cầu đã đặt ra.

Question #21: A software company has implemented a wireless technology to track the employees’ attendance by recording their in and out timings. Each employee in the company will have an entry card that is embedded with a tag. Whenever an employee enters the office premises, he/she is required to swipe the card at the entrance. The wireless technology uses radio-frequency electromagnetic waves to transfer data for automatic identification and for tracking tags attached to objects. Which of the following technologies has the software company implemented in the above scenario? A. WiMAX B. RFID C. Bluetooth D. Wi-Fi

Câu hỏi 21: Một công ty phần mềm đã triển khai một công nghệ không dây để theo dõi việc chấm công của nhân viên bằng cách ghi lại thời gian vào và ra của họ. Mỗi nhân viên trong công ty sẽ có một thẻ ra vào được gắn chip. Bất cứ khi nào nhân viên vào khuôn viên văn phòng, họ phải quẹt thẻ tại lối vào. Công nghệ không dây này sử dụng sóng điện từ tần số radio để truyền dữ liệu để nhận dạng tự động và theo dõi các thẻ gắn vào đối tượng. Công ty phần mềm đã triển khai công nghệ nào sau đây trong tình huống trên? A. WiMAX B. RFID C. Bluetooth D. Wi-Fi

Đáp án đúng: B. RFID (Radio-Frequency Identification)

Giải thích: Công nghệ được mô tả trong tình huống này chính xác là RFID (Radio-Frequency Identification). RFID sử dụng sóng điện từ tần số radio để:

1. Tự động nhận dạng và theo dõi các thẻ gắn vào đối tượng.
2. Truyền dữ liệu không dây từ thẻ đến thiết bị đọc.
3. Ghi lại thông tin mà không cần tiếp xúc trực tiếp hoặc trường nhìn trực tiếp.

Việc sử dụng thẻ gắn chip cho mỗi nhân viên và yêu cầu quẹt thẻ tại lối vào để ghi lại thời gian là một ứng dụng điển hình của công nghệ RFID trong quản lý chấm công và kiểm soát truy cập.

Question #22: Matias, a network security administrator at an organization, was tasked with the implementation of secure wireless network encryption for their network. For this purpose, Matias employed a security solution that uses 256-bit Galois/Counter Mode Protocol (GCMP-256) to maintain the authenticity and confidentiality of data. Identify the type of wireless encryption used by the security solution employed by Matias in the above scenario. A. WPA2 encryption B. WPA3 encryption C. WEP encryption D. WPA encryption

Câu hỏi 22: Matias, một quản trị viên bảo mật mạng tại một tổ chức, được giao nhiệm vụ triển khai mã hóa mạng không dây an toàn cho mạng của họ. Vì mục đích này, Matias đã sử dụng một giải pháp bảo mật sử dụng Giao thức Chế độ Bộ đếm/Galois 256-bit (GCMP-256) để duy trì tính xác thực và bảo mật của dữ liệu. Xác định loại mã hóa không dây được sử dụng bởi giải pháp bảo mật mà Matias đã triển khai trong tình huống trên. A. Mã hóa WPA2 B. Mã hóa WPA3 C. Mã hóa WEP D. Mã hóa WPA

Đáp án đúng: B. WPA3 encryption (Mã hóa WPA3)

Giải thích: WPA3 (Wi-Fi Protected Access 3) là tiêu chuẩn bảo mật Wi-Fi mới nhất và sử dụng GCMP-256 (Galois/Counter Mode Protocol 256-bit) để mã hóa và xác thực dữ liệu. Việc sử dụng GCMP-256 là một đặc điểm định nghĩa của WPA3, cung cấp mức độ bảo mật cao hơn so với các tiêu chuẩn trước đó.

Question #23: Rickson, a security professional at an organization, was instructed to establish short-range communication between devices within a range of 10 cm. For this purpose, he used a mobile connection method that employs electromagnetic induction to enable communication between devices. The mobile connection method selected by Rickson can also read RFID tags and establish Bluetooth connections with nearby devices to exchange information such as images and contact lists. Which of the following mobile connection methods has Rickson used in above scenario? A. NFC B. Satcom C. Cellular communication D. ANT

Câu hỏi 23: Rickson, một chuyên gia bảo mật tại một tổ chức, được chỉ thị thiết lập giao tiếp tầm ngắn giữa các thiết bị trong phạm vi 10 cm. Vì mục đích này, anh ấy đã sử dụng một phương thức kết nối di động sử dụng cảm ứng điện từ để cho phép giao tiếp giữa các thiết bị. Phương thức kết nối di động được Rickson chọn cũng có thể đọc các thẻ RFID và thiết lập kết nối Bluetooth với các thiết bị gần đó để trao đổi thông tin như hình ảnh và danh bạ liên hệ. Rickson đã sử dụng phương thức kết nối di động nào sau đây trong tình huống trên? A. NFC B. Satcom C. Giao tiếp di động D. ANT

Đáp án đúng: A. NFC (Near Field Communication)

Giải thích: NFC (Near Field Communication) là công nghệ giao tiếp tầm ngắn hoạt động trong phạm vi khoảng 10 cm và sử dụng cảm ứng điện từ. Nó có các đặc điểm phù hợp với mô tả trong câu hỏi:

1. Hoạt động trong phạm vi ngắn (khoảng 10 cm).
2. Sử dụng cảm ứng điện từ.
3. Có thể đọc thẻ RFID.
4. Có thể thiết lập kết nối Bluetooth và trao đổi thông tin như hình ảnh và danh bạ.

Câu hỏi 24: Stephen, một chuyên gia bảo mật tại một tổ chức, được chỉ thị triển khai các biện pháp bảo mật ngăn chặn rò rỉ dữ liệu công ty trên các thiết bị di động của nhân viên. Vì mục đích này, anh ấy đã sử dụng một kỹ thuật mà theo đó tất cả dữ liệu cá nhân và doanh nghiệp được cách ly trên thiết bị di động của nhân viên. Sử dụng kỹ thuật này, các ứng dụng của công ty không có bất kỳ quyền kiểm soát hoặc giao tiếp nào với các ứng dụng hoặc dữ liệu cá nhân của nhân viên. Stephen đã triển khai kỹ thuật nào sau đây trong tình huống trên? A. Mã hóa toàn bộ thiết bị B. Địa lý ảo C. Containerization (Ảo hóa container) D. Cập nhật OTA

Đáp án đúng: C. Containerization (Ảo hóa container)

Giải thích: Containerization là một kỹ thuật bảo mật di động trong đó dữ liệu và ứng dụng công ty được cách ly khỏi dữ liệu và ứng dụng cá nhân trên cùng một thiết bị. Điều này phù hợp chính xác với mô tả trong câu hỏi:

1. Dữ liệu cá nhân và doanh nghiệp được cách ly.
2. Các ứng dụng công ty không có quyền kiểm soát hoặc giao tiếp với ứng dụng hoặc dữ liệu cá nhân.

Kỹ thuật này giúp ngăn chặn rò rỉ dữ liệu công ty bằng cách tạo ra một “container” riêng biệt cho dữ liệu và ứng dụng công ty, đảm bảo rằng chúng không thể truy cập hoặc bị truy cập bởi phần còn lại của thiết bị.

Question #25: Leo has walked to the nearest supermarket to purchase grocery. At the billing section, the billing executive scanned each product’s machine-readable tag against a readable machine that automatically reads the product details, displays the prices of the individual product on the computer, and calculates the sum of those scanned items. Upon completion of scanning all the products, Leo has to pay the bill. Identify the type of short-range wireless communication technology that the billing executive has used in the above scenario. A. Radio-frequency identification (RFID) B. Near-field communication (NFC) C. QUIC D. QR codes and barcodes

Câu hỏi 25: Leo đã đi bộ đến siêu thị gần nhất để mua hàng tạp hóa. Tại quầy thanh toán, nhân viên thu ngân quét thẻ có thể đọc được bằng máy của từng sản phẩm bằng một máy đọc tự động đọc chi tiết sản phẩm, hiển thị giá của từng sản phẩm trên máy tính và tính tổng các mặt hàng đã quét. Sau khi quét xong tất cả các sản phẩm, Leo phải thanh toán hóa đơn. Xác định loại công nghệ giao tiếp không dây tầm ngắn mà nhân viên thu ngân đã sử dụng trong tình huống trên. A. Nhận dạng tần số vô tuyến (RFID) B. Giao tiếp trường gần (NFC) C. QUIC D. Mã QR và mã vạch

Đáp án đúng: A. Radio-frequency identification (RFID)

Giải thích: Trong tình huống này, công nghệ được sử dụng có vẻ là RFID (Radio-frequency identification):

1. Nó liên quan đến việc quét các thẻ gắn trên sản phẩm.
2. Máy đọc có thể tự động đọc chi tiết sản phẩm từ thẻ.
3. Thông tin được truyền không dây từ thẻ đến máy đọc.

RFID thường được sử dụng trong các siêu thị và cửa hàng bán lẻ để theo dõi hàng tồn kho và xử lý thanh toán nhanh chóng. Nó cho phép quét nhiều sản phẩm cùng một lúc mà không cần tiếp xúc trực tiếp, khác với mã vạch truyền thống cần được quét riêng lẻ.

Question #26: Hayes, a security professional, was tasked with the implementation of security controls for an industrial network at the Purdue level 3.5 (IDMZ). Hayes verified all the possible attack vectors on the IDMZ level and deployed a security control that fortifies the IDMZ against cyber-attacks. Identify the security control implemented by Hayes in the above scenario. A. Point-to-point communication B. MAC authentication C. Anti-DoS solution D. Use of authorized RTU and PLC commands

Câu hỏi 26: Hayes, một chuyên gia bảo mật, được giao nhiệm vụ triển khai các biện pháp kiểm soát bảo mật cho một mạng công nghiệp ở cấp độ Purdue 3.5 (IDMZ). Hayes đã xác minh tất cả các vectơ tấn công có thể xảy ra ở cấp độ IDMZ và triển khai một biện pháp kiểm soát bảo mật để củng cố IDMZ chống lại các cuộc tấn công mạng. Xác định biện pháp kiểm soát bảo mật mà Hayes đã triển khai trong tình huống trên. A. Giao tiếp điểm-điểm B. Xác thực MAC C. Giải pháp chống DoS D. Sử dụng các lệnh RTU và PLC được ủy quyền

Đáp án đúng: D. Use of authorized RTU and PLC commands (Sử dụng các lệnh RTU và PLC được ủy quyền)

Giải thích: Trong môi trường mạng công nghiệp, đặc biệt là ở cấp độ IDMZ (Industrial Demilitarized Zone), việc sử dụng các lệnh RTU (Remote Terminal Unit) và PLC (Programmable Logic Controller) được ủy quyền là một biện pháp kiểm soát bảo mật quan trọng. Điều này giúp:

1. Ngăn chặn việc thực thi các lệnh không được phép hoặc độc hại.
2. Kiểm soát chặt chẽ các tương tác giữa các hệ thống công nghiệp.
3. Giảm thiểu rủi ro từ các cuộc tấn công mạng nhắm vào hệ thống điều khiển công nghiệp.

Đây là một biện pháp phù hợp để củng cố IDMZ chống lại các cuộc tấn công mạng trong môi trường công nghiệp.

Question #27: Paul, a computer user, has shared information with his colleague using an online application. The online application used by Paul has been incorporated with the latest encryption mechanism. This mechanism encrypts data by using a sequence of photons that have a spinning trait while traveling from one end to another, and these photons keep changing their shapes during their course through filters: vertical, horizontal, forward slash, and backslash. Identify the encryption mechanism demonstrated in the above scenario. A. Quantum cryptography B. Homomorphic encryption C. Rivest Shamir Adleman encryption D. Elliptic curve cryptography

Câu hỏi 27: Paul, một người dùng máy tính, đã chia sẻ thông tin với đồng nghiệp của mình bằng cách sử dụng một ứng dụng trực tuyến. Ứng dụng trực tuyến mà Paul sử dụng đã được tích hợp cơ chế mã hóa mới nhất. Cơ chế này mã hóa dữ liệu bằng cách sử dụng một chuỗi photon có đặc tính quay trong khi di chuyển từ đầu này đến đầu kia, và các photon này liên tục thay đổi hình dạng của chúng trong quá trình đi qua các bộ lọc: dọc, ngang, gạch chéo về phía trước và gạch chéo ngược. Xác định cơ chế mã hóa được minh họa trong tình huống trên. A. Mật mã học lượng tử B. Mã hóa đồng cấu C. Mã hóa Rivest Shamir Adleman D. Mật mã đường cong elliptic

Đáp án đúng: A. Quantum cryptography (Mật mã học lượng tử)

Giải thích: Tình huống này mô tả các đặc điểm của mật mã học lượng tử:

1. Sử dụng chuỗi photon (hạt ánh sáng) để mã hóa thông tin.
2. Photon có đặc tính quay (spin).
3. Photon thay đổi trạng thái khi đi qua các bộ lọc khác nhau.

Mật mã học lượng tử sử dụng các nguyên lý của cơ học lượng tử để tạo ra một hệ thống mã hóa cực kỳ an toàn. Việc sử dụng photon và các trạng thái lượng tử của chúng làm cho việc nghe lén hoặc can thiệp vào thông tin trở nên cực kỳ khó khăn mà không bị phát hiện.

Question #28: Riley sent a secret message to Louis. Before sending the message, Riley digitally signed the message using his private key. Louis received the message, verified the digital signature using the corresponding key to ensure that the message was not tampered during transit. Which of the following keys did Louis use to verify the digital signature in the above scenario? A. Riley’s public key B. Louis’s public key C. Riley’s private key D. Louis’s private key

Câu hỏi 28: Riley đã gửi một tin nhắn bí mật cho Louis. Trước khi gửi tin nhắn, Riley đã ký số tin nhắn bằng khóa riêng của mình. Louis nhận được tin nhắn, xác minh chữ ký số bằng khóa tương ứng để đảm bảo rằng tin nhắn không bị can thiệp trong quá trình truyền. Louis đã sử dụng khóa nào sau đây để xác minh chữ ký số trong tình huống trên? A. Khóa công khai của Riley B. Khóa công khai của Louis C. Khóa riêng của Riley D. Khóa riêng của Louis

Đáp án đúng: A. Riley’s public key (Khóa công khai của Riley)

Giải thích: Trong hệ thống chữ ký số:

1. Người gửi (Riley) sử dụng khóa riêng của mình để tạo chữ ký số.
2. Người nhận (Louis) sử dụng khóa công khai của người gửi (Riley) để xác minh chữ ký.

Vì Riley đã ký tin nhắn bằng khóa riêng của mình, Louis phải sử dụng khóa công khai của Riley để xác minh chữ ký. Đây là nguyên tắc cơ bản của hệ thống khóa công khai trong mật mã học.

Question #29: Grace, an online shopping freak, has purchased a smart TV using her debit card. During online payment, Grace’s browser redirected her from ecommerce website to a third-party payment gateway, where she provided her debit card details and OTP received on her registered mobile phone. After completing the transaction, Grace navigated to her online bank account and verified the current balance in her savings account. Identify the state of data when it is being processed between the ecommerce website and the payment gateway in the above scenario. A. Data at rest B. Data in inactive C. Data in transit D. Data in use

Câu hỏi 29: Grace, một người nghiện mua sắm trực tuyến, đã mua một chiếc TV thông minh bằng thẻ ghi nợ của mình. Trong quá trình thanh toán trực tuyến, trình duyệt của Grace đã chuyển hướng cô từ trang web thương mại điện tử đến cổng thanh toán của bên thứ ba, nơi cô cung cấp chi tiết thẻ ghi nợ và mã OTP nhận được trên điện thoại di động đã đăng ký. Sau khi hoàn tất giao dịch, Grace đã chuyển đến tài khoản ngân hàng trực tuyến của mình và xác minh số dư hiện tại trong tài khoản tiết kiệm. Xác định trạng thái của dữ liệu khi nó đang được xử lý giữa trang web thương mại điện tử và cổng thanh toán trong tình huống trên. A. Dữ liệu tĩnh B. Dữ liệu không hoạt động C. Dữ liệu đang truyền D. Dữ liệu đang sử dụng

Đáp án đúng: C. Data in transit (Dữ liệu đang truyền)

Giải thích: Trong tình huống này, khi Grace được chuyển hướng từ trang web thương mại điện tử đến cổng thanh toán của bên thứ ba, thông tin thanh toán của cô đang được truyền qua mạng. Đây là một ví dụ điển hình của “dữ liệu đang truyền” – thông tin đang di chuyển từ một điểm đến điểm khác qua mạng. Bảo vệ dữ liệu đang truyền là rất quan trọng trong các giao dịch trực tuyến để ngăn chặn việc đánh cắp thông tin nhạy cảm trong quá trình truyền.

Câu hỏi 30: Andre, một chuyên gia bảo mật, được giao nhiệm vụ phân tách tên nhân viên, số điện thoại và số thẻ tín dụng trước khi chia sẻ cơ sở dữ liệu với khách hàng. Vì mục đích này, anh ta đã triển khai một kỹ thuật xóa định danh có thể thay thế thông tin quan trọng trong các trường cơ sở dữ liệu bằng các ký tự đặc biệt như dấu sao (*) và dấu thăng (#). Andre đã sử dụng kỹ thuật nào sau đây trong tình huống trên? A. Tokenization (Mã hóa thay thế) B. Masking (Che dấu) C. Hashing (Băm) D. Bucketing (Phân nhóm)

Đáp án đúng: B. Masking (Che dấu)

Giải thích: Kỹ thuật được Andre sử dụng trong tình huống này là Masking (Che dấu). Đây là một phương pháp bảo vệ dữ liệu trong đó:

1. Thông tin nhạy cảm được thay thế bằng các ký tự đặc biệt như dấu sao (*) hoặc dấu thăng (#).
2. Mục đích là che giấu một phần hoặc toàn bộ dữ liệu gốc.
3. Thường được sử dụng khi cần chia sẻ dữ liệu mà không tiết lộ thông tin cá nhân hoặc nhạy cảm.

Ví dụ, số thẻ tín dụng 1234-5678-9012-3456 có thể được che dấu thành –-****-3456.

Masking khác với các kỹ thuật khác:

• Tokenization thay thế dữ liệu bằng một token duy nhất.
• Hashing chuyển đổi dữ liệu thành một giá trị băm không thể đảo ngược.
• Bucketing nhóm dữ liệu vào các khoảng giá trị.

Trong trường hợp này, việc thay thế thông tin bằng các ký tự đặc biệt rõ ràng là một ví dụ về masking.

Question #31: Ryleigh, a system administrator, was instructed to perform a full back up of organizational data on a regular basis. For this purpose, she used a backup technique on a fixed date when the employees are not accessing the system i.e., when a service-level down time is allowed a full backup is taken. Identify the backup technique utilized by Ryleigh in the above scenario. A. Nearline backup B. Cold backup C. Hot backup D. Warm backup

Câu hỏi 31: Ryleigh, một quản trị viên hệ thống, được chỉ thị thực hiện sao lưu đầy đủ dữ liệu của tổ chức một cách thường xuyên. Vì mục đích này, cô ấy đã sử dụng một kỹ thuật sao lưu vào một ngày cố định khi nhân viên không truy cập hệ thống, tức là khi được phép có thời gian ngừng hoạt động ở mức dịch vụ, một bản sao lưu đầy đủ được thực hiện. Xác định kỹ thuật sao lưu mà Ryleigh đã sử dụng trong tình huống trên. A. Sao lưu gần trực tuyến B. Sao lưu lạnh C. Sao lưu nóng D. Sao lưu ấm

Đáp án đúng: B. Cold backup (Sao lưu lạnh)

Giải thích: Kỹ thuật sao lưu được Ryleigh sử dụng trong tình huống này là Cold backup (Sao lưu lạnh). Đây là một phương pháp sao lưu có các đặc điểm sau:

1. Được thực hiện khi hệ thống hoàn toàn offline hoặc không hoạt động.
2. Thường được thực hiện vào thời điểm có ít hoặc không có người dùng truy cập hệ thống.
3. Cho phép sao lưu toàn bộ dữ liệu mà không lo ngại về việc dữ liệu thay đổi trong quá trình sao lưu.
4. Thường được lên lịch vào thời điểm có thể chấp nhận được thời gian ngừng hoạt động của hệ thống.

Trong tình huống này, Ryleigh thực hiện sao lưu “vào một ngày cố định khi nhân viên không truy cập hệ thống” và “khi được phép có thời gian ngừng hoạt động ở mức dịch vụ”. Điều này chính xác mô tả quy trình của cold backup.

Các phương pháp khác không phù hợp:

• Hot backup: Thực hiện khi hệ thống đang hoạt động.
• Warm backup: Thực hiện khi hệ thống vẫn hoạt động nhưng với hoạt động hạn chế.
• Nearline backup: Thường đề cập đến dữ liệu được lưu trữ trên các thiết bị có thể truy cập nhanh chóng nhưng không ngay lập tức.

Question #32: Jaden, a network administrator at an organization, used the ping command to check the status of a system connected to the organization’s network. He received an ICMP error message stating that the IP header field contains invalid information. Jaden examined the ICMP packet and identified that it is an IP parameter problem. Identify the type of ICMP error message received by Jaden in the above scenario. A. Type = 12 B. Type = 8 C. Type = 5 D. Type = 3

Câu hỏi 32: Jaden, một quản trị viên mạng tại một tổ chức, đã sử dụng lệnh ping để kiểm tra trạng thái của một hệ thống được kết nối với mạng của tổ chức. Anh ấy nhận được một thông báo lỗi ICMP cho biết trường tiêu đề IP chứa thông tin không hợp lệ. Jaden đã kiểm tra gói tin ICMP và xác định rằng đó là một vấn đề về tham số IP. Xác định loại thông báo lỗi ICMP mà Jaden đã nhận trong tình huống trên. A. Type = 12 B. Type = 8 C. Type = 5 D. Type = 3

Đáp án đúng: C. Type = 5

Giải thích: Trong giao thức ICMP (Internet Control Message Protocol), mỗi loại thông báo được gán một số type cụ thể. Đối với vấn đề về tham số IP, loại thông báo ICMP tương ứng là Type 5. Cụ thể:

• Type 5: Parameter Problem Thông báo này được gửi khi router hoặc host gặp vấn đề với tiêu đề IP và không thể xử lý gói tin. Điều này có thể do trường tiêu đề IP chứa thông tin không hợp lệ, như được mô tả trong tình huống.

Các loại ICMP khác:

• Type 3: Destination Unreachable
• Type 8: Echo Request (được sử dụng bởi lệnh ping)
• Type 12: Parameter Problem (phiên bản cũ, đã được thay thế bằng Type 5 trong các phiên bản mới hơn)

Trong trường hợp này, vì Jaden xác định đó là một “vấn đề về tham số IP”, loại thông báo ICMP chính xác là Type 5.

Question #33: Steve, a network engineer, was tasked with troubleshooting a network issue that is causing unexpected packet drops. For this purpose, he employed a network troubleshooting utility to capture the ICMP echo request packets sent to the server. He identified that certain packets are dropped at the gateway due to poor network connection. Identify the network troubleshooting utility employed by Steve in the above scenario. A. dnsenurn B. arp C. traceroute D. ipconfig

Câu hỏi 33: Steve, một kỹ sư mạng, được giao nhiệm vụ khắc phục sự cố mạng đang gây ra hiện tượng mất gói tin không mong muốn. Vì mục đích này, anh ấy đã sử dụng một công cụ khắc phục sự cố mạng để bắt các gói tin yêu cầu echo ICMP được gửi đến máy chủ. Anh ấy xác định rằng một số gói tin bị mất tại cổng do kết nối mạng kém. Xác định công cụ khắc phục sự cố mạng mà Steve đã sử dụng trong tình huống trên. A. dnsenurn B. arp C. traceroute D. ipconfig

Đáp án đúng: C. traceroute

Giải thích: Trong tình huống này, công cụ mà Steve sử dụng là traceroute. Đây là lý do:

1. Traceroute là một công cụ được sử dụng để theo dõi đường đi của các gói tin từ nguồn đến đích.
2. Nó hoạt động bằng cách gửi một loạt các gói tin ICMP Echo Request (hoặc UDP trong một số trường hợp) với giá trị TTL (Time To Live) tăng dần.
3. Traceroute có thể hiển thị mỗi “hop” (điểm trung gian) mà gói tin đi qua, cũng như thời gian phản hồi của mỗi hop.
4. Nó có thể giúp xác định nơi các gói tin bị mất hoặc bị chậm trễ trong mạng.

Trong trường hợp này, Steve đang tìm kiếm nơi các gói tin bị mất và đã xác định rằng chúng bị mất tại cổng. Traceroute là công cụ lý tưởng cho mục đích này vì nó cho phép người dùng thấy chính xác nơi các gói tin dừng lại hoặc bị mất trong quá trình truyền.

Các công cụ khác không phù hợp cho tình huống này:

• dnsenurn: Được sử dụng để liệt kê thông tin DNS.
• arp: Hiển thị và sửa đổi bảng Address Resolution Protocol (ARP).
• ipconfig: Hiển thị thông tin cấu hình IP của máy tính.

Question #34: Anderson, a security engineer, was Instructed to monitor all incoming and outgoing traffic on the organization’s network to identify any suspicious traffic. For this purpose, he employed an analysis technique using which he analyzed packet header fields such as IP options, IP protocols, IP fragmentation flags, offset, and identification to check whether any fields are altered in transit. Identify the type of attack signature analysis performed by Anderson in the above scenario. A. Context-based signature analysis B. Atomic-signature-based analysis C. Composite-signature-based analysis D. Content-based signature analysis

Câu hỏi 34: Anderson, một kỹ sư bảo mật, được chỉ thị giám sát tất cả lưu lượng truy cập vào và ra trên mạng của tổ chức để xác định bất kỳ lưu lượng đáng ngờ nào. Vì mục đích này, anh ta đã sử dụng một kỹ thuật phân tích mà qua đó anh ta phân tích các trường tiêu đề gói tin như các tùy chọn IP, giao thức IP, cờ phân mảnh IP, offset và identification để kiểm tra xem có trường nào bị thay đổi trong quá trình truyền không. Xác định loại phân tích chữ ký tấn công mà Anderson đã thực hiện trong tình huống trên. A. Phân tích chữ ký dựa trên ngữ cảnh B. Phân tích dựa trên chữ ký nguyên tử C. Phân tích dựa trên chữ ký tổng hợp D. Phân tích chữ ký dựa trên nội dung

Đáp án đúng: D. Content-based signature analysis (Phân tích chữ ký dựa trên nội dung)

Giải thích: Trong tình huống này, Anderson đang thực hiện phân tích chữ ký dựa trên nội dung. Đây là lý do:

1. Phân tích chữ ký dựa trên nội dung tập trung vào việc kiểm tra nội dung cụ thể của các gói tin, bao gồm cả các trường trong tiêu đề gói.
2. Anderson đang phân tích các trường tiêu đề gói tin cụ thể như các tùy chọn IP, giao thức IP, cờ phân mảnh IP, offset và identification. Đây là những phần của nội dung gói tin.
3. Mục tiêu của anh ấy là kiểm tra xem có trường nào bị thay đổi trong quá trình truyền, điều này liên quan trực tiếp đến việc phân tích nội dung của gói tin.
4. Phân tích chữ ký dựa trên nội dung thường được sử dụng để phát hiện các thay đổi bất thường hoặc không mong muốn trong dữ liệu gói, có thể chỉ ra hoạt động độc hại.

Các loại phân tích khác không phù hợp trong trường hợp này:

• Phân tích chữ ký dựa trên ngữ cảnh: Xem xét các yếu tố bên ngoài gói tin.
• Phân tích dựa trên chữ ký nguyên tử: Tìm kiếm một mẫu cụ thể duy nhất.
• Phân tích dựa trên chữ ký tổng hợp: Kết hợp nhiều chữ ký đơn lẻ.

Question #35: Leilani, a network specialist at an organization, employed Wireshark for observing network traffic. Leilani navigated to the Wireshark menu icon that contains items to manipulate, display and apply filters, enable, or disable the dissection of protocols, and configure user-specified decodes. Identify the Wireshark menu Leilani has navigated in the above scenario. A. Statistics B. Capture C. Main toolbar D. Analyze

Câu hỏi 35: Leilani, một chuyên gia mạng tại một tổ chức, sử dụng Wireshark để quan sát lưu lượng mạng. Leilani đã điều hướng đến biểu tượng menu Wireshark chứa các mục để thao tác, hiển thị và áp dụng bộ lọc, bật hoặc tắt việc phân tích các giao thức, và cấu hình các bộ giải mã do người dùng chỉ định. Xác định menu Wireshark mà Leilani đã điều hướng đến trong tình huống trên. A. Statistics (Thống kê) B. Capture (Bắt gói tin) C. Main toolbar (Thanh công cụ chính) D. Analyze (Phân tích)

Đáp án đúng: D. Analyze (Phân tích)

Giải thích: Trong Wireshark, menu “Analyze” (Phân tích) chứa các chức năng phù hợp với mô tả trong câu hỏi:

1. Thao tác và hiển thị bộ lọc: Menu Analyze cho phép người dùng tạo, chỉnh sửa và áp dụng các bộ lọc hiển thị để lọc các gói tin được hiển thị.
2. Bật hoặc tắt việc phân tích các giao thức: Trong menu này, người dùng có thể bật hoặc tắt việc phân tích (dissection) của các giao thức cụ thể.
3. Cấu hình bộ giải mã do người dùng chỉ định: Menu Analyze cho phép người dùng cấu hình cách Wireshark giải mã các giao thức cụ thể.
4. Áp dụng bộ lọc: Người dùng có thể áp dụng các bộ lọc phức tạp để phân tích lưu lượng mạng.

Các menu khác không phù hợp với mô tả:

• Statistics: Chủ yếu dùng để xem các thống kê về lưu lượng mạng đã bắt.
• Capture: Dùng để bắt đầu hoặc dừng việc bắt gói tin.
• Main toolbar: Chứa các công cụ thường dùng nhưng không có chức năng phức tạp như mô tả.

Question #36: Tenda, a network specialist at an organization, was examining logged data using Windows Event Viewer to identify attempted or successful unauthorized activities. The logs analyzed by Tenda include events related to Windows security; specifically, log-on/log-off activities, resource access, and also information based on Windows system’s audit policies. Identify the type of event logs analyzed by Tenda in the above scenario. A. Application event log B. Setup event log C. Security event log D. System event log

Câu hỏi 36: Tenda, một chuyên gia mạng tại một tổ chức, đang kiểm tra dữ liệu đăng nhập bằng Windows Event Viewer để xác định các hoạt động trái phép đã cố gắng hoặc thành công. Các bản ghi được Tenda phân tích bao gồm các sự kiện liên quan đến bảo mật Windows; cụ thể là các hoạt động đăng nhập/đăng xuất, truy cập tài nguyên, và cả thông tin dựa trên các chính sách kiểm toán của hệ thống Windows. Xác định loại nhật ký sự kiện mà Tenda đã phân tích trong tình huống trên. A. Nhật ký sự kiện ứng dụng B. Nhật ký sự kiện cài đặt C. Nhật ký sự kiện bảo mật D. Nhật ký sự kiện hệ thống

Đáp án đúng: C. Security event log (Nhật ký sự kiện bảo mật)

Giải thích: Nhật ký sự kiện bảo mật (Security event log) là loại nhật ký phù hợp nhất với mô tả trong câu hỏi vì:

1. Nó ghi lại các sự kiện liên quan đến bảo mật Windows, như đã nêu trong câu hỏi.
2. Nhật ký này chứa thông tin về các hoạt động đăng nhập và đăng xuất, đúng như mô tả.
3. Nó ghi lại các sự kiện truy cập tài nguyên, một lần nữa phù hợp với mô tả.
4. Nhật ký sự kiện bảo mật dựa trên các chính sách kiểm toán của hệ thống Windows, như đã đề cập.
5. Nó được sử dụng để xác định các hoạt động trái phép đã cố gắng hoặc thành công, chính xác là mục đích của Tenda trong tình huống này.

Các loại nhật ký khác không phù hợp:

• Application event log: Ghi lại các sự kiện do ứng dụng hoặc chương trình tạo ra.
• Setup event log: Ghi lại các sự kiện liên quan đến quá trình cài đặt ứng dụng.
• System event log: Ghi lại các sự kiện do các thành phần hệ thống Windows tạo ra.

Question #37: Nancy, a security specialist, was instructed to identify issues related to unexpected shutdown and restarts on a Linux machine. To identify the incident cause, Nancy navigated to a directory on the Linux system and accessed a log file to troubleshoot problems related to improper shutdowns and unplanned restarts. Identify the Linux log file accessed by Nancy in the above scenario. A. /var/log/secure B. /var/log/kern.log C. /var/log/boot.log D. /var/log/lighttpd/

Câu hỏi 37: Nancy, một chuyên gia bảo mật, được chỉ thị xác định các vấn đề liên quan đến việc tắt máy và khởi động lại không mong muốn trên một máy Linux. Để xác định nguyên nhân của sự cố, Nancy đã điều hướng đến một thư mục trên hệ thống Linux và truy cập một tệp nhật ký để khắc phục sự cố liên quan đến việc tắt máy không đúng cách và khởi động lại không theo kế hoạch. Xác định tệp nhật ký Linux mà Nancy đã truy cập trong tình huống trên. A. /var/log/secure B. /var/log/kern.log C. /var/log/boot.log D. /var/log/lighttpd/

Đáp án đúng: C. /var/log/boot.log

Giải thích: Tệp nhật ký /var/log/boot.log là lựa chọn chính xác trong tình huống này vì:

1. /var/log/boot.log chứa thông tin về quá trình khởi động của hệ thống, bao gồm cả các sự kiện khởi động lại.
2. Nó ghi lại các thông tin về việc tắt máy và khởi động lại hệ thống, cả theo kế hoạch và không theo kế hoạch.
3. Tệp nhật ký này thường được sử dụng để khắc phục sự cố liên quan đến việc tắt máy không đúng cách và khởi động lại bất ngờ.
4. Nó cung cấp thông tin chi tiết về các dịch vụ được khởi động hoặc dừng trong quá trình khởi động, có thể giúp xác định nguyên nhân của các vấn đề khởi động.

Các tệp nhật ký khác không phù hợp cho tình huống này:

• /var/log/secure: Chủ yếu ghi lại các sự kiện liên quan đến xác thực và bảo mật.
• /var/log/kern.log: Chứa các thông báo từ kernel, không tập trung vào quá trình khởi động.
• /var/log/lighttpd/: Là thư mục chứa nhật ký của máy chủ web Lighttpd, không liên quan đến việc tắt máy và khởi động lại hệ thống.

Question #38: Warren, a member of IH&R team at an organization, was tasked with handling a malware attack launched on one of servers connected to the organization’s network. He immediately implemented appropriate measures to stop the infection from spreading to other organizational assets and to prevent further damage to the organization. Identify the IH&R step performed by Warren in the above scenario. A. Containment B. Recovery C. Eradication D. Incident triage

Câu hỏi 38: Warren, một thành viên của đội IH&R (Incident Handling & Response – Xử lý và Ứng phó Sự cố) tại một tổ chức, được giao nhiệm vụ xử lý một cuộc tấn công malware được phát động trên một trong các máy chủ kết nối với mạng của tổ chức. Anh ta ngay lập tức thực hiện các biện pháp thích hợp để ngăn chặn sự lây lan của lây nhiễm đến các tài sản khác của tổ chức và để ngăn chặn thiệt hại thêm cho tổ chức. Xác định bước IH&R mà Warren đã thực hiện trong tình huống trên. A. Containment (Kiểm soát) B. Recovery (Khôi phục) C. Eradication (Loại bỏ) D. Incident triage (Phân loại sự cố)

Đáp án đúng: A. Containment (Kiểm soát)

Giải thích: Trong quy trình Xử lý và Ứng phó Sự cố (IH&R), bước Containment (Kiểm soát) là bước phù hợp nhất với hành động của Warren trong tình huống này:

1. Containment là bước tập trung vào việc ngăn chặn sự lây lan của mối đe dọa và hạn chế thiệt hại.
2. Warren đã “thực hiện các biện pháp thích hợp để ngăn chặn sự lây lan của lây nhiễm”, điều này chính xác là mục tiêu của bước Containment.
3. Anh ta cũng tìm cách “ngăn chặn thiệt hại thêm cho tổ chức”, một khía cạnh khác của Containment.

Các bước khác không phù hợp trong tình huống này:

• Recovery: Liên quan đến việc khôi phục hệ thống sau khi mối đe dọa đã được loại bỏ.
• Eradication: Tập trung vào việc loại bỏ hoàn toàn mối đe dọa sau khi đã được kiểm soát.
• Incident triage: Thường là bước đầu tiên để đánh giá mức độ nghiêm trọng và ưu tiên của sự cố.

Question #39: The IH&R team in an organization was handling a recent malware attack on one of the hosts connected to the organization’s network. Edwin, a member of the IH&R team, was involved in reinstating lost data from the backup media. Before performing this step, Edwin ensured that the backup does not have any traces of malware. Identify the IH&R step performed by Edwin in the above scenario. A. Eradication B. Incident containment C. Notification D. Recovery

Câu hỏi 39: Đội IH&R trong một tổ chức đang xử lý một cuộc tấn công malware gần đây trên một trong các máy chủ kết nối với mạng của tổ chức. Edwin, một thành viên của đội IH&R, tham gia vào việc khôi phục dữ liệu đã mất từ phương tiện sao lưu. Trước khi thực hiện bước này, Edwin đảm bảo rằng bản sao lưu không có bất kỳ dấu vết nào của malware. Xác định bước IH&R mà Edwin đã thực hiện trong tình huống trên. A. Eradication (Loại bỏ) B. Incident containment (Kiểm soát sự cố) C. Notification (Thông báo) D. Recovery (Khôi phục)

Đáp án đúng: D. Recovery (Khôi phục)

Giải thích: Trong quy trình Xử lý và Ứng phó Sự cố (IH&R), bước Recovery (Khôi phục) là bước phù hợp nhất với hành động của Edwin trong tình huống này:

1. Recovery là bước tập trung vào việc khôi phục hệ thống và dữ liệu về trạng thái hoạt động bình thường sau khi mối đe dọa đã được loại bỏ.
2. Edwin đang “khôi phục dữ liệu đã mất từ phương tiện sao lưu”, điều này là một phần chính của quá trình Recovery.
3. Việc đảm bảo rằng bản sao lưu không có dấu vết của malware trước khi khôi phục cũng là một phần quan trọng của bước Recovery, để ngăn chặn việc tái nhiễm.

Các bước khác không phù hợp trong tình huống này:

• Eradication: Tập trung vào việc loại bỏ hoàn toàn mối đe dọa, không phải khôi phục dữ liệu.
• Incident containment: Liên quan đến việc ngăn chặn sự lây lan của mối đe dọa.
• Notification: Thường liên quan đến việc thông báo cho các bên liên quan về sự cố.

Question #40: Kason, a forensic officer, was appointed to investigate a case where a threat actor has bullied certain children online. Before proceeding legally with the case, Kason has documented all the supporting documents, including source of the evidence and its relevance to the case, before presenting it in front of the jury. Which of the following rules of evidence was discussed in the above scenario? A. Authentic B. Understandable C. Reliable D. Admissible

Câu hỏi 40: Kason, một điều tra viên pháp y, được bổ nhiệm điều tra một vụ án trong đó một tác nhân đe dọa đã bắt nạt một số trẻ em trực tuyến. Trước khi tiến hành vụ án theo pháp luật, Kason đã ghi lại tất cả các tài liệu hỗ trợ, bao gồm nguồn gốc của bằng chứng và sự liên quan của nó đối với vụ án, trước khi trình bày trước bồi thẩm đoàn. Quy tắc nào trong số các quy tắc về bằng chứng sau đây đã được thảo luận trong tình huống trên? A. Authentic (Xác thực) B. Understandable (Dễ hiểu) C. Reliable (Đáng tin cậy) D. Admissible (Có thể chấp nhận)

Đáp án đúng: D. Admissible (Có thể chấp nhận)

Giải thích: Trong tình huống này, quy tắc về bằng chứng được thảo luận là “Admissible” (Có thể chấp nhận):

1. Admissible evidence là bằng chứng được coi là hợp pháp và có thể được trình bày trước tòa án hoặc bồi thẩm đoàn.
2. Kason đã “ghi lại tất cả các tài liệu hỗ trợ, bao gồm nguồn gốc của bằng chứng và sự liên quan của nó đối với vụ án”. Đây là các yếu tố quan trọng để đảm bảo tính admissible của bằng chứng.
3. Việc làm này được thực hiện “trước khi tiến hành vụ án theo pháp luật” và “trước khi trình bày trước bồi thẩm đoàn”, cho thấy mục đích là để đảm bảo bằng chứng có thể được chấp nhận trong tòa án.

Các quy tắc khác, mặc dù quan trọng, không phải là trọng tâm chính của tình huống này:

• Authentic: Liên quan đến việc xác minh tính xác thực của bằng chứng.
• Understandable: Liên quan đến khả năng hiểu được của bằng chứng.
• Reliable: Liên quan đến độ tin cậy của bằng chứng.

Question #41: Arabella, a forensic officer, documented all the evidence related to the case in a standard forensic investigation report template. She filled different sections of the report covering all the details of the crime along with the daily progress of the investigation process. In which of the following sections of the forensic investigation report did Arabella record the “nature of the claim and information provided to the officers”? A. Investigation process B. Investigation objectives C. Evidence information D. Evaluation and analysis process

Câu hỏi 41: Arabella, một điều tra viên pháp y, đã ghi lại tất cả các bằng chứng liên quan đến vụ án trong một mẫu báo cáo điều tra pháp y tiêu chuẩn. Cô ấy đã điền vào các phần khác nhau của báo cáo bao gồm tất cả các chi tiết của tội phạm cùng với tiến trình hàng ngày của quá trình điều tra. Trong phần nào của báo cáo điều tra pháp y sau đây, Arabella đã ghi lại “bản chất của cáo buộc và thông tin được cung cấp cho các nhân viên”? A. Quá trình điều tra B. Mục tiêu điều tra C. Thông tin bằng chứng D. Quá trình đánh giá và phân tích

Đáp án đúng: C. Evidence information (Thông tin bằng chứng)

Giải thích: Trong một báo cáo điều tra pháp y tiêu chuẩn, phần “Evidence information” (Thông tin bằng chứng) thường là nơi ghi lại “bản chất của cáo buộc và thông tin được cung cấp cho các nhân viên” vì:

1. Phần này thường bao gồm mô tả chi tiết về vụ án, bao gồm bản chất của cáo buộc.
2. Nó cũng chứa thông tin ban đầu được cung cấp cho các nhân viên điều tra, giúp thiết lập bối cảnh cho cuộc điều tra.
3. Thông tin này là cơ sở để xác định phạm vi và hướng của cuộc điều tra.

Các phần khác không phù hợp cho thông tin này:

• Investigation process: Tập trung vào các bước thực hiện trong quá trình điều tra.
• Investigation objectives: Nêu ra mục tiêu cụ thể của cuộc điều tra.
• Evaluation and analysis process: Mô tả cách thức đánh giá và phân tích bằng chứng thu thập được.

Question #42: Shawn, a forensic officer, was appointed to investigate a crime scene that had occurred at a coffee shop. As a part of investigation, Shawn collected the mobile device from the victim, which may contain potential evidence to identify the culprits. Which of the following points must Shawn follow while preserving the digital evidence? (Choose three.) A. Never record the screen display of the device B. Turn the device ON if it is OFF C. Do not leave the device as it is if it is ON D. Make sure that the device is charged

Câu hỏi 42: Shawn, một điều tra viên pháp y, được bổ nhiệm để điều tra hiện trường tội phạm đã xảy ra tại một quán cà phê. Trong quá trình điều tra, Shawn đã thu thập thiết bị di động từ nạn nhân, có thể chứa bằng chứng tiềm năng để xác định thủ phạm. Shawn phải tuân theo những điểm nào sau đây khi bảo quản bằng chứng kỹ thuật số? (Chọn ba.) A. Không bao giờ ghi lại hiển thị màn hình của thiết bị B. Bật thiết bị nếu nó đang tắt C. Không để thiết bị nguyên trạng nếu nó đang bật D. Đảm bảo rằng thiết bị được sạc pin

Đáp án đúng: B, C, D

Giải thích:

B. Bật thiết bị nếu nó đang tắt:

• Đúng. Trong nhiều trường hợp, bật thiết bị có thể cần thiết để truy cập dữ liệu. Tuy nhiên, điều này phải được thực hiện cẩn thận và theo quy trình để không làm thay đổi dữ liệu.

C. Không để thiết bị nguyên trạng nếu nó đang bật:

• Đúng. Nếu thiết bị đang bật, cần thực hiện các bước để bảo vệ dữ liệu, như cô lập thiết bị khỏi mạng để ngăn chặn xóa từ xa hoặc thay đổi dữ liệu.

D. Đảm bảo rằng thiết bị được sạc pin:

• Đúng. Duy trì nguồn điện cho thiết bị là quan trọng để ngăn chặn mất dữ liệu do hết pin.

A. Không bao giờ ghi lại hiển thị màn hình của thiết bị:

• Sai. Trong thực tế, ghi lại hiển thị màn hình có thể là một phần quan trọng của quá trình thu thập bằng chứng, đặc biệt nếu có thông tin quan trọng đang hiển thị.

Trong điều tra pháp y kỹ thuật số, việc bảo quản đúng cách bằng chứng là rất quan trọng để đảm bảo tính toàn vẹn và khả năng chấp nhận của bằng chứng trong tòa án.

Question #43: Ruben, a crime investigator, wants to retrieve all the deleted files and folders in the suspected media without affecting the original files. For this purpose, he uses a method that involves the creation of a cloned copy of the entire media and prevents the contamination of the original media. Identify the method utilized by Ruben in the above scenario. A. Sparse acquisition B. Bit-stream imaging C. Drive decryption D. Logical acquisition

Câu hỏi 43: Ruben, một điều tra viên tội phạm, muốn khôi phục tất cả các tệp và thư mục đã xóa trong phương tiện nghi vấn mà không ảnh hưởng đến các tệp gốc. Vì mục đích này, anh ta sử dụng một phương pháp liên quan đến việc tạo ra một bản sao nhân bản của toàn bộ phương tiện và ngăn chặn sự ô nhiễm của phương tiện gốc. Xác định phương pháp mà Ruben đã sử dụng trong tình huống trên.

Đáp án đúng: B. Bit-stream imaging

Giải thích: Bit-stream imaging là phương pháp phù hợp với mô tả trong tình huống này vì:

1. Nó tạo ra một bản sao chính xác, bit-by-bit của toàn bộ phương tiện lưu trữ, bao gồm cả không gian chưa được phân bổ nơi có thể chứa các tệp đã xóa.
2. Phương pháp này tạo ra một bản sao hoàn chỉnh mà không làm thay đổi dữ liệu gốc, đảm bảo tính toàn vẹn của bằng chứng.
3. Nó cho phép điều tra viên làm việc trên bản sao mà không ảnh hưởng đến phương tiện gốc, ngăn chặn sự ô nhiễm của bằng chứng.
4. Bit-stream imaging có thể khôi phục các tệp và thư mục đã xóa vì nó sao chép tất cả dữ liệu, kể cả những dữ liệu không còn được hệ thống tệp tham chiếu đến.

Phương pháp này là tiêu chuẩn trong điều tra pháp y kỹ thuật số khi cần bảo toàn và phân tích toàn bộ phương tiện lưu trữ.

Question #44: Kasen, a cybersecurity specialist at an organization, was working with the business continuity and disaster recovery team. The team initiated various business continuity and discovery activities in the organization. In this process, Kasen established a program to restore both the disaster site and the damaged materials to the pre-disaster levels during an incident. Which of the following business continuity and disaster recovery activities did Kasen perform in the above scenario? A. Prevention B. Resumption C. Response D. Recovery

Đáp án đúng: D. Recovery

Giải thích: Recovery (Khôi phục) là hoạt động phù hợp với mô tả trong tình huống này. Kasen đã thiết lập một chương trình để khôi phục cả địa điểm bị thảm họa và các tài liệu bị hư hại về mức trước thảm họa. Đây chính là định nghĩa của quá trình Recovery trong kế hoạch kinh doanh liên tục và khôi phục sau thảm họa.

Question #45: Cassius, a security professional, works for the risk management team in an organization. The team is responsible for performing various activities involved in the risk management process. In this process, Cassius was instructed to select and implement appropriate controls on the identified risks in order to address the risks based on their severity level. Which of the following risk management phases was Cassius instructed to perform in the above scenario? A. Risk analysis B. Risk treatment C. Risk prioritization D. Risk identification

Đáp án đúng: B. Risk treatment

Giải thích: Risk treatment (Xử lý rủi ro) là giai đoạn phù hợp với mô tả trong tình huống này. Cassius được chỉ thị chọn và triển khai các biện pháp kiểm soát thích hợp đối với các rủi ro đã được xác định, dựa trên mức độ nghiêm trọng của chúng. Đây chính là định nghĩa của giai đoạn xử lý rủi ro trong quy trình quản lý rủi ro.

Question #46: RAT has been setup in one of the machines connected to the network to steal the important Sensitive corporate docs located on Desktop of the server, further investigation revealed the IP address of the server 20.20.10.26. Initiate a remote connection using thief client and determine the number of files present in the folder. Hint: Thief folder is located at: Z:\CCT-Tools\CCT Module 01 Information Security Threats and Vulnerabilities\Remote Access Trojans (RAT)\Thief of Attacker Machine-1.

Đáp án đúng: C. 3

Giải thích: Đây là một câu hỏi thực hành yêu cầu thực hiện kết nối từ xa đến một máy chủ bị nhiễm RAT (Remote Access Trojan). Sau khi kết nối và kiểm tra thư mục Desktop của máy chủ có IP 20.20.10.26, kết quả cho thấy có 3 tệp trong thư mục đó. Câu trả lời này dựa trên kết quả thực tế của việc thực hiện kết nối và kiểm tra.

Question #47: An FTP server has been hosted in one of the machines in the network. Using Cain and Abel the attacker was able to poison the machine and fetch the FTP credentials used by the admin. You’re given a task to validate the credentials that were stolen using Cain and Abel and read the file flag.txt

Đáp án đúng: C. hat@red

Giải thích: Câu hỏi này yêu cầu xác minh thông tin đăng nhập FTP đã bị đánh cắp và đọc nội dung của tệp flag.txt. Sau khi thực hiện các bước này, nội dung của tệp flag.txt được xác định là “hat@red”. Đây là kết quả dựa trên việc thực hiện các bước trong một môi trường lab mô phỏng.

Question #48: An attacker with malicious intent used SYN flooding technique to disrupt the network and gain advantage over the network to bypass the Firewall. You are working with a security architect to design security standards and plan for your organization. The network traffic was captured by the SOC team and was provided to you to perform a detailed analysis. Study the Synflood.pcapng file and determine the source IP address. Note: Synflood.pcapng file is present in the Documents folder of Attacker-1 machine.

Đáp án đúng: B. 20.20.10.19

Giải thích: Câu hỏi này yêu cầu phân tích file pcapng để xác định địa chỉ IP nguồn của cuộc tấn công SYN flood. Sau khi phân tích file Synflood.pcapng, địa chỉ IP nguồn được xác định là 20.20.10.19. Kết quả này có được từ việc kiểm tra các gói tin SYN trong file capture network traffic.

Question #49: A web application www.movieabc.com was found to be prone to SQL injection attack. You are given a task to exploit the web application and fetch the user credentials. Select the UID which is mapped to user john in the database table. Note: Username: sam – Pass: test

Đáp án đúng: D. 4

Giải thích: Câu hỏi này yêu cầu thực hiện một cuộc tấn công SQL injection vào trang web www.movieabc.com để lấy thông tin đăng nhập của người dùng. Sau khi thực hiện tấn công và truy vấn cơ sở dữ liệu, kết quả cho thấy UID được liên kết với người dùng “john” là 4. Điều này có thể đã được xác định bằng cách sử dụng các kỹ thuật SQL injection để truy xuất thông tin từ bảng người dùng trong cơ sở dữ liệu.

Question #50: A pfSense firewall has been configured to block a web application www.abchacker.com. Perform an analysis on the rules set by the admin and select the protocol which has been used to apply the rule. Hint: Firewall login credentials are given below: Username: admin – Password: admin@l23

Đáp án đúng: B. TCP/UDP

Giải thích: Câu hỏi này yêu cầu phân tích cấu hình của tường lửa pfSense để xác định giao thức được sử dụng trong quy tắc chặn trang web www.abchacker.com. Sau khi đăng nhập vào giao diện quản trị của pfSense và kiểm tra các quy tắc tường lửa, phát hiện rằng quy tắc chặn được áp dụng cho cả giao thức TCP và UDP. Điều này thường được thực hiện để đảm bảo trang web bị chặn trên tất cả các cổng và giao thức có thể.

Question #51: You are Harris working for a web development company. You have been assigned to perform a task for vulnerability assessment on the given IP address 20.20.10.26. Select the vulnerability that may affect the website according to the severity factor. Hint: Greenbone web credentials: admin/password

Đáp án đúng: C. FTP Unencrypted Cleartext Login

Giải thích: Sau khi thực hiện đánh giá lỗ hổng trên địa chỉ IP 20.20.10.26 sử dụng công cụ Greenbone (OpenVAS), lỗ hổng nghiêm trọng nhất được phát hiện là “FTP Unencrypted Cleartext Login”. Lỗ hổng này cho phép đăng nhập FTP không được mã hóa, có thể dẫn đến việc thông tin đăng nhập bị đánh cắp.

Question #52: A threat intelligence feed data file has been acquired and stored in the Documents folder of Attacker Machine-1 (File Name: Threatfeed.txt). You are a cybersecurity technician working for an ABC organization. Your organization has assigned you a task to analyze the data and submit a report on the threat landscape. Select the IP address linked with http://securityabc.s21sec.com.

Đáp án đúng: D. 5.9.188.148

Giải thích: Sau khi phân tích file Threatfeed.txt, địa chỉ IP được liên kết với http://securityabc.s21sec.com là 5.9.188.148. Điều này có thể được xác định bằng cách tìm kiếm URL cụ thể trong file và kiểm tra địa chỉ IP tương ứng.

Question #53: An IoT device that has been placed in a hospital for safety measures, it has sent an alert command to the server. The network traffic has been captured and stored in the Documents folder of the Attacker Machine-1. Analyze the loTdeviceTraffic.pcapng file and select the appropriate command that was sent by the IoT device over the network.

Đáp án đúng: C. Temp_High

Giải thích: Sau khi phân tích file loTdeviceTraffic.pcapng, lệnh cảnh báo được gửi bởi thiết bị IoT là “Temp_High”. Điều này cho thấy thiết bị đã phát hiện nhiệt độ cao và gửi cảnh báo đến máy chủ.

Question #54: A text file containing sensitive information about the organization has been leaked and modified to bring down the reputation of the organization. As a safety measure, the organization did contain the MD5 hash of the original file. The file which has been leaked is retained for examining the integrity. A file named “Sensitiveinfo.txt” along with OriginalFileHash.txt has been stored in a folder named Hash in Documents of Attacker Machine-1. Compare the hash value of the original file with the leaked file and state whether the file has been modified or not by selecting yes or no.

Đáp án đúng: B. Yes

Giải thích: Sau khi so sánh giá trị băm MD5 của file gốc (từ OriginalFileHash.txt) với giá trị băm MD5 của file bị rò rỉ (Sensitiveinfo.txt), phát hiện rằng chúng không khớp nhau. Điều này chỉ ra rằng file đã bị sửa đổi, do đó câu trả lời là “Yes” – file đã bị thay đổi.

Question #55: Initiate an SSH Connection to a machine that has SSH enabled in the network. After connecting to the machine find the file flag.txt and choose the content hidden in the file. Credentials for SSH login are provided below: Hint: Username: sam – Password: admin@l23

Đáp án đúng: C. bob@sam

Giải thích: Sau khi thiết lập kết nối SSH đến máy đích sử dụng thông tin đăng nhập được cung cấp, và tìm kiếm file flag.txt, nội dung của file được phát hiện là “bob@sam”. Đây là kết quả của việc thực hiện các bước kết nối SSH và đọc nội dung file trên máy từ xa.