무료 온라인 액세스 CompTIA.CAS-003.v2022-07-04.q589 모의 시험 (Page 30)

CAS-003 문제 141

한 회사가 고객 관계 관리 시스템을 클라우드 제공업체에 아웃소싱하는 과정에 있습니다. 전체 조직의 고객 데이터베이스를 호스팅합니다. 데이터베이스는 회사의 사용자와 고객 모두가 액세스할 수 있습니다. 조달 부서는 거래를 진행하기 위해 수행해야 하는 보안 활동에 대해 질문했습니다. 다음 중 실사의 일부로 수행해야 할 가장 적절한 보안 활동은 무엇입니까? (2개 선택).

A. 적절한 통제가 있는지 확인하기 위한 데이터 센터의 물리적 침투 테스트.

B. 고객 데이터가 제대로 보호되는지 확인하기 위한 솔루션의 침투 테스트.

C. 감사권 등 보안 조항이 계약에 구현되어 있습니다.

D. 조직의 보안 정책, 절차 및 관련 호스팅 인증을 검토합니다.

E. 소프트웨어에 백도어가 없는지 확인하기 위한 솔루션의 코드 검토.

정답: C,D

실사는 계약에 서명하기 전에 사업이나 개인에 대한 조사를 말합니다. 실사는 프로세스, 재정, 경험 및 성과와 관련하여 공급업체가 제공한 정보를 확인합니다. 실사는 RFP에 제공된 데이터를 확인하고 다음에 집중해야 합니다.
회사 프로필, 전략, 사명 및 평판
감사된 재무제표의 검토를 포함한 재무 상태
유사한 프로세스를 아웃소싱한 회사의 고객 참조
범죄 경력 조회를 포함한 관리 자격
프로세스 전문성, 방법론 및 효율성
품질 이니셔티브 및 인증
기술, 인프라 안정성 및 애플리케이션
보안 및 감사 제어
미해결 불만 사항 또는 소송을 포함한 법률 및 규정 준수
하청업체 이용
보험
재해 복구 및 비즈니스 연속성 정책
C와 D는 보안 및 감사 통제의 일부를 구성합니다.
오답:
A: 물리적 침투 테스트는 물리적 보안의 보안 약점과 강점을 인식합니다. 따라서 실사는 프로세스, 재정, 경험 및 성과와 관련하여 공급업체가 제공한 정보를 확인하기 때문에 실사의 일부를 구성하지 않습니다.
B: 침투 테스트는 보안 취약점을 찾는 컴퓨터 시스템에 대한 소프트웨어 공격입니다. 따라서 실사는 프로세스, 재정, 경험 및 성과와 관련하여 공급업체가 제공한 정보를 확인하기 때문에 실사의 일부를 구성하지 않습니다.
E: 보안 코드 검토는 조직에 대한 위협을 식별하고 평가하도록 설계된 응용 프로그램을 검사하는 것입니다. 따라서 실사는 프로세스, 재정, 경험 및 성과와 관련하여 공급업체가 제공한 정보를 확인하기 때문에 실사의 일부를 구성하지 않습니다.
참조:
https://en.wikipedia.org/wiki/Due_diligence
http://www.ftpress.com/articles/article.aspx?p=465313&seqNum=5
http://seclists.org/pen-test/2004/Dec/11
Gregg, Michael 및 Billy Haines, CASP CompTIA 고급 보안 실무자 학습 가이드, John Wiley & Sons, 인디애나폴리스, 2012, p. 169

CAS-003 문제 142

기업은 네트워크에 연결하는 모든 장치가 이전에 승인되었는지 확인해야 합니다. 솔루션은 강력한 ID 보증과 함께 이중 요소 상호 인증을 지원해야 합니다. 비용과 관리 오버헤드를 줄이기 위해 보안 설계자는 ID 증명 및 2단계 디지털 전달을 제3자에게 아웃소싱하려고 합니다. 다음 솔루션 중 엔터프라이즈 요구 사항을 해결할 수 있는 솔루션은 무엇입니까?

A. 타사와의 연합 네트워크 액세스 구현.

B. 네트워크 경계에서 HSM을 사용하여 네트워크 장치 액세스를 처리합니다.

C. 하드웨어 토큰을 통해 이중 요소를 지원하는 VPN 집중 장치 사용.

D. 인프라 전반에 걸쳐 EAP-TTLS를 사용하여 802.1x를 구현합니다.

정답: D

설명
IEEE 802.1X(Dot1x라고도 함)는 PNAC(포트 기반 네트워크 액세스 제어)에 대한 IEEE 표준입니다. IEEE 802.1 네트워킹 프로토콜 그룹의 일부입니다. LAN 또는 WLAN에 연결하려는 장치에 인증 메커니즘을 제공합니다.
802.1X 인증에는 신청자, 인증자 및 인증 서버의 세 당사자가 포함됩니다. 신청자는 LAN/WLAN에 연결하려는 클라이언트 장치(예: 랩톱)입니다.
'신청자'는 인증자에게 자격 증명을 제공하는 클라이언트에서 실행되는 소프트웨어를 나타내기 위해 상호 교환 가능하게 사용됩니다. 인증자는 이더넷 스위치 또는 무선 액세스 포인트와 같은 네트워크 장치입니다. 인증 서버는 일반적으로 RADIUS 및 EAP 프로토콜을 지원하는 소프트웨어를 실행하는 호스트입니다.
인증자는 보호된 네트워크에 대한 보안 가드 역할을 합니다. 신청자(즉, 클라이언트 장치)는 신청자의 신원이 확인되고 승인될 때까지 인증자를 통해 네트워크의 보호된 측에 액세스할 수 없습니다. 이에 대한 비유는 입국이 허용되기 전에 공항의 도착 이민국에서 유효한 비자를 제공하는 것입니다. 802.1X 포트 기반 인증을 사용하여 신청자는 사용자 이름/암호 또는 디지털 인증서와 같은 자격 증명을 인증자에게 제공하고 인증자는 확인을 위해 자격 증명을 인증 서버에 전달합니다. 인증 서버가 자격 증명이 유효하다고 판단하면 신청자(클라이언트 장치)가 네트워크의 보호된 쪽에 있는 리소스에 액세스할 수 있습니다.
EAP-TTLS(Tunneled Transport Layer Security)는 EAP-TLS만큼 강력한 인증을 제공하도록 설계되었지만 각 사용자에게 인증서를 발급할 필요는 없습니다. 대신 인증 서버에만 인증서가 발급됩니다. 사용자 인증은 암호로 수행되지만 암호 자격 증명은 서버 인증서를 기반으로 설정된 안전하게 암호화된 터널에서 전송됩니다.

CAS-003 문제 143

CFO(최고 재무 책임자)는 IT 보안 인프라에 돈이 지출되었지만 기업 자산이 여전히 취약한 것으로 밝혀져 CISO(최고 정보 보안 책임자)에게 우려를 제기했습니다. 이 기업은 최근 패치 관리 제품 및 SOE 강화 이니셔티브에 자금을 지원했습니다. 일부 시스템에 패치가 누락되어 제3자 감사인이 비즈니스에 대한 결과를 보고했습니다. 다음 중 이 상황을 가장 잘 설명한 것은?

A. CFO가 잘못은 시스템 패치를 담당하고 이미 패치 관리 및 SOE 강화 제품을 제공했기 때문입니다.

B. 수정 단계가 이미 패치 서버에 적용되었고 수정을 완료하는 데 시간이 걸리기 때문에 감사 결과가 유효하지 않습니다.

C. CISO가 올바른 제어를 선택하지 않았으므로 CFO 대신 감사 결과를 할당해야 합니다.

D. 보안 제어는 일반적으로 100% 효과적이지 않으며 이해 관계자에게 격차를 설명하고 그에 따라 관리해야 합니다.

CAS-003 문제 144

네트워크 엔지니어가 엔터프라이즈 네트워크의 VPN 서비스에 대한 복원성 특성을 설계하려고 합니다.
엔지니어가 VPN 구현에 대해 악용되는 제로 데이 취약점에 대한 복원력을 보장하려는 경우 다음 결정 중 이 목표를 가장 잘 지원하는 결정은 무엇입니까?

A. 관리자에게 거의 실시간으로 경고하여 조직의 SOC에서 방어 및 모니터링하는 VPN 트래픽용 역방향 프록시를 구현합니다.

B. 기업의 VPN 집중 장치 풀에 대한 고급 DDoS 공격의 완화를 지원할 수 있는 관리 서비스 제공업체에 가입하십시오.

C. 기본 사이트 손실 시 일부 백업 서비스를 사용할 수 있도록 서로 다른 물리적 사이트의 여러 시스템에 VPN 집중 장치를 배포합니다.

D. 다른 계층의 암호화 구현이 다른 공급업체에서 제공되는 두 번째 VPN 계층을 동시에 사용합니다.

CAS-003 문제 145

시스템 관리자 는 UNIX 장치에 CIFS 공유를 설정하여 Windows 시스템과 데이터를 공유합니다. Windows 도메인의 보안 인증은 최고 수준으로 설정됩니다. Windows 사용자는 UNIX 공유에 인증할 수 없다고 말합니다. UNIX 서버의 다음 설정 중 이 문제를 해결할 수 있는 것은 무엇입니까?

A. LM을 거부하고 NTLMv2만 수락합니다.

B. LM만 허용

C. NTLMv2를 거부하고 LM을 수락합니다.

D. NTLM만 허용

다른 버전: 3875CompTIA.CAS-003.v2022-12-20.q589; 2159CompTIA.CAS-003.v2022-05-09.q215

최근 업로드: 116Avaya.78201X.v2025-09-09.q135; 125CompTIA.220-1202.v2025-09-09.q57; 111CheckPoint.156-215.81.v2025-09-09.q391; 135ECCouncil.312-50v13.v2025-09-09.q347; 120Supermicro.SMI300XS.v2025-09-08.q15; 120Oracle.1z0-1104-25.v2025-09-08.q12; 128SAP.C-LIXEA-2404.v2025-09-08.q60; 145Cisco.300-730.v2025-09-08.q143; 128Huawei.H19-308_V4.0.v2025-09-08.q77; 127Nutanix.NCA-6.5.v2025-09-08.q56