무료 온라인 액세스 CompTIA.CAS-003.v2022-05-09.q215 모의 시험 (Page 2)

CAS-003 문제 1

DLP 솔루션은 FTP를 사용하여 원격 서버로 전송되는 일부 미확인 암호화된 데이터를 보여주고 있습니다. 취약점 스캔에서 OS 수준 패치가 누락된 Linux 서버 모음을 발견했습니다. 추가 조사에서 기술자는 여러 서버에서 실행 중인 식별되지 않은 프로세스가 몇 개 있음을 알게 됩니다. 이 시점에서 데이터 보안 팀이 수행해야 하는 주요 첫 번째 단계는 무엇입니까?

A. 프로세스 ID 데이터를 캡처하고 검토를 위해 안티바이러스 공급업체에 제출합니다.

B. Linux 서버를 재부팅하고 실행 중인 프로세스를 확인하고 필요한 패치를 설치합니다.

C. 프로덕션에서 단일 Linux 서버를 제거하고 검역소에 배치합니다.

D. 보안 침해를 상위 경영진에게 알립니다.

E. 하나 이상의 Linux 서버의 RAM을 포함한 비트 레벨 이미지를 수행합니다.

정답: E

사고 관리(IM)는 보안 프로그램의 필수 부분입니다. 효과적일 경우 비즈니스 영향을 완화하고 제어의 약점을 식별하며 대응 프로세스를 미세 조정하는 데 도움이 됩니다.
이 질문에서 공격이 식별되고 확인되었습니다. 서버가 손상되거나 범죄를 저지르는 데 사용되는 경우 포렌식 분석을 위해 서버를 압수해야 하는 경우가 많습니다. 보안 팀은 서비스에서 물리적 서버를 제거하려고 할 때 두 가지 문제에 직면하는 경우가 많습니다. 즉, 휘발성 저장소에 잠재적 증거를 보존하거나 중요한 비즈니스 프로세스에서 장치를 제거하는 것입니다.
증거 보존은 조사자가 RAM 콘텐츠를 보존하기를 원할 때 문제가 됩니다. 예를 들어 서버에서 전원을 제거하면 비즈니스 영향을 완화하는 프로세스가 시작되지만 데이터, 프로세스, 키 및 공격자가 남긴 가능한 발자국에 대한 포렌식 분석도 거부됩니다.
RAM을 포함한 전체 비트 레벨 이미지는 하나 이상의 Linux 서버에서 가져와야 합니다. 많은 경우 환경이 의도적으로 공격을 받은 경우 가해자에 대해 법적 조치를 취해야 할 수 있습니다. 이 옵션을 유지하려면 궁극적으로 그러한 조치를 취하지 않기로 결정한 경우에도 반대할 수 있는 증거를 수집해야 합니다. 손상된 시스템을 가능한 한 빨리 백업하는 것이 매우 중요합니다. 원본 미디어의 데이터 무결성에 영향을 줄 수 있는 작업을 수행하기 전에 시스템을 백업하십시오.
오답:
A: 프로세스 ID 데이터를 캡처하고 검토를 위해 안티바이러스 공급업체에 제출하는 것은 첫 번째 단계가 아닙니다. 또한 LINUX 서버에서 바이러스가 문제의 원인일 가능성은 거의 없습니다. 누락된 OS 수준 패치로 인해 시스템이 취약해질 가능성이 훨씬 더 높습니다.
B: Linux 서버를 재부팅하면 실행 중인 RAM의 내용이 손실됩니다. 소송에 필요할 수 있으므로 RAM을 포함한 전체 백업을 먼저 수행해야 합니다. 그런 다음 서버를 정리하고 패치할 수 있습니다.
C: 프로덕션에서 단일 Linux 서버를 제거하고 검역소에 두는 것은 아마도 서버 전원을 끄는 것과 관련이 있을 것입니다. 서버의 전원을 끄면 실행 중인 RAM의 내용이 손실됩니다. 소송에 필요할 수 있으므로 RAM을 포함한 전체 백업을 먼저 수행해야 합니다.
D: 보안 침해에 대해 상급 경영진에게 통지하는 것은 보안 침해가 억제된 후에 이루어져야 할 것입니다. 먼저 표준 사고 관리 절차를 따라야 합니다. 사건에 대한 보고는 프로세스의 나중 단계 중 하나입니다.
참조:
http://whatis.techtarget.com/reference/Five-Steps-to-Incident-Management-in-a-Virtualized-Environment
https://technet.microsoft.com/en-us/library/cc700825.aspx

CAS-003 문제 2

고객이 나열된 품목의 가격을 임의로 변경할 수 있는 온라인 장바구니 문제에 대해 알림을 받은 후 프로그래머는 웹 기반 장바구니에서 사용하는 다음 코드를 분석합니다.
장바구니에서 항목 선택 WHERE ITEM=ADDSLASHES($USERINPUT);
프로그래머는 사용자가 장바구니에 항목을 추가할 때마다 웹 서버 /tmp 디렉토리에 임시 파일이 생성된다는 것을 발견했습니다. 임시 파일에는 $USERINPUT 변수의 내용과 MM-DD-YYYY 형식의 타임스탬프(예: smartphone-12-25-2013.tmp)를 연결하여 생성된 이름이 있으며 여기에는 해당 항목의 가격이 포함됩니다. 구입 한. 다음 중 장바구니 항목의 가격을 조작하기 위해 가장 많이 악용될 가능성이 있는 것은 무엇입니까?

A. 입력 유효성 검사

B. SQL 인젝션

C. TOCTOU

D. 세션 하이재킹

정답: C

이 질문에서 TOCTOU는 사용자가 항목의 가격이 포함된 임시 파일을 수정할 수 있도록 악용되고 있습니다.
소프트웨어 개발에서 TOCTOU(Time of Check to Time of Use)는 조건(예: 보안 자격 증명) 확인과 해당 확인 결과 사용 사이의 시스템 변경으로 인해 발생하는 소프트웨어 버그 클래스입니다. 이것은 경쟁 조건의 한 예입니다.
간단한 예는 다음과 같습니다. 사용자가 페이지를 편집할 수 있도록 하고 관리자가 편집을 방지하기 위해 페이지를 잠글 수 있도록 하는 웹 응용 프로그램을 고려하십시오. 사용자가 페이지 편집을 요청하고 콘텐츠를 변경하는 데 사용할 수 있는 양식을 가져옵니다. 사용자가 양식을 제출하기 전에 관리자는 페이지를 잠그므로 편집이 금지됩니다. 그러나 이미 편집이 시작되었기 때문에 사용자가 양식을 제출하면 해당 편집(이미 적용된)이 수락됩니다. 사용자가 편집을 시작할 때 적절한 권한이 확인되었으며 실제로 사용자가 편집할 수 있었습니다. 그러나 승인은 나중에 편집이 더 이상 허용되지 않아야 하는 시점에 사용되었습니다.
TOCTOU 경쟁 조건은 Unix에서 파일 시스템 작업 사이에서 가장 일반적이지만 로컬 소켓 및 데이터베이스 트랜잭션의 부적절한 사용을 포함하여 다른 컨텍스트에서 발생할 수 있습니다.
오답:
A: 입력 유효성 검사는 올바른 데이터가 필드에 입력되었는지 확인하는 데 사용됩니다. 예를 들어, 입력 유효성 검사는 숫자가 필요한 필드에 입력된 문자가 허용되지 않도록 합니다. 이 질문의 익스플로잇은 입력 유효성 검사의 예가 아닙니다.
B: SQL 주입은 공격자가 리소스에 대한 액세스 권한을 얻거나 데이터를 변경하기 위해 SQL(Structured Query Language) 코드를 웹 양식 입력 상자에 추가하는 보안 악용 유형입니다. 이 질문의 익스플로잇은 SQL 주입 공격의 예가 아닙니다.
D: TCP 세션 하이재킹이라고도 하는 세션 하이재킹은 세션 ID를 획득하고 인가된 사용자로 가장하여 웹 사용자 세션을 탈취하는 방법입니다. 이 질문의 익스플로잇은 세션 하이재킹의 예가 아닙니다.
참조:
https://en.wikipedia.org/wiki/Time_of_check_to_time_of_use

CAS-003 문제 3

보안 엔지니어가 두 대의 내부 컴퓨터 간에 발생한 손상을 조사하고 있습니다. 엔지니어는 조사 중에 한 컴퓨터가 다른 컴퓨터에 감염되었음을 확인했습니다. IDS 로그를 검토하는 동안 엔지니어는 아웃바운드 콜백 트래픽을 볼 수 있지만 두 컴퓨터 간의 트래픽은 볼 수 없습니다. 다음 중 IDS 가시성 격차를 가장 잘 해결할 수 있는 것은 무엇입니까?

A. SPAN 트래픽이 네트워크 코어에서 IDS로 전달됩니다.

B. IDS에서 SIEM으로 syslog를 보냅니다.

C. 네트워크 가장자리에 네트워크 탭을 설치합니다.

D. 각 컴퓨터에 HIDS를 설치합니다.

CAS-003 문제 4

회사 A는 악성 IP 주소에서 네트워크의 SQL 서버를 대상으로 하는 비정상적인 동작을 발견했습니다.
회사는 다음 내부 IP 주소 범위를 사용합니다. 회사 사이트의 경우 192.10.1.0/24 및
원격 사이트의 경우 192.10.2.0/24입니다. Telco 라우터 인터페이스는 192.10.5.0/30 IP 범위를 사용합니다.
지침: 시뮬레이션 버튼을 클릭하여 회사 A의 네트워크 다이어그램을 참조하십시오.
라우터 1, 라우터 2 및 방화벽을 클릭하여 각 장치를 평가하고 구성합니다.
작업 1: 라우터 1, 라우터 2 및 방화벽 인터페이스의 로그와 상태를 표시하고 검사합니다.
작업 2: 공격이 계속해서 기업 네트워크의 SQL 서버 및 기타 서버를 대상으로 삼는 것을 방지하기 위해 적절한 장치를 재구성합니다.

CAS-003 문제 5

엔지니어링 팀은 특수 재고 관리 목적으로 사용할 모바일 장치를 개발 및 배포하고 있습니다. 이러한 장치는 다음을 수행해야 합니다.
* 사용자의 친숙함과 용이함을 위해 오픈 소스 Android를 기반으로 합니다.
* 물리적 자산의 재고 관리를 위한 단일 애플리케이션을 제공합니다.
* 카메라의 사용은 스캔을 위한 인벤토리 애플리케이션만 허용합니다.
* 모든 구성 기준 수정을 허용하지 않습니다.
* 해당 요구 사항 이외의 장치 리소스에 대한 모든 액세스를 제한합니까?

A. Android Linux 커널 버전을 >2,4,0으로 바꾸지만 인터넷은 Android를 빌드하고 MDL을 통해 불필요한 기능을 제거하고 네트워크 액세스를 차단하도록 구성하고 통합 테스트를 수행합니다.

B. 애플리케이션 래핑 정책을 설정하고 애플리케이션을 래핑하고 MAM 도구를 통해 인벤토리 APK를 배포하고 애플리케이션 제한 사항을 테스트합니다.

C. 요구 사항이 추가된 Android 미들웨어 정책을 빌드 및 설치하고 파일을 /user/init에 복사한 다음 인벤토리 애플리케이션을 빌드합니다.

D. 규칙으로 도메인을 정의하는 MAC sepolicy를 작성하고 인벤토리 애플리케이션에 레이블을 지정하고 정책을 구축하고 시행 모드로 설정합니다.