آموزش CertiPro CISSP: امتحان CISSP 2023 (متوسط) را تمرین کنید

همه سؤالات با رویکرد «مثل یک مدیر فکر کن» شبیه CISSP ساخته شده است.

"Certification Pro: CISSP Cybersecurity Practice Exam" یک ابزار ارزیابی دقیق طراحی شده است که به طور خاص برای کمک به متخصصان امنیت اطلاعات و علاقه مندان برای ارزیابی دانش و درک خود از مجموعه دانش مشترک CISSP (CBK) ایجاد شده است. آزمون عملی دارای طیف متنوعی از سؤالات و سناریوها است که موقعیت‌های واقعی را شبیه‌سازی می‌کند که آزمون‌دهندگان ممکن است در طول آزمون واقعی گواهینامه CISSP با آن‌ها مواجه شوند و تجربه و اطمینان ارزشمندی را برای آنها فراهم می‌کند.

با پوشش هر هشت حوزه CISSP CBK، این آزمون عملی ارزیابی جامعی از مهارت‌های شرکت‌کنندگان در مدیریت امنیت و ریسک، امنیت دارایی، معماری و مهندسی امنیت، امنیت ارتباطات و شبکه، مدیریت هویت و دسترسی، ارزیابی امنیتی و تست، عملیات امنیتی و امنیت توسعه نرم افزار. با پرداختن به هر دامنه، آزمون عملی ارزیابی کاملی از دانش و آمادگی آزمون‌دهنده برای آزمون گواهینامه CISSP ارائه می‌دهد.

در زیر چند نمونه سوال پاسخ را به اشتراک می گذارم:

1. جین یک مدیر امنیتی در یک موسسه مالی بزرگ است. او اخیراً در مورد نقض اطلاعات در یک رقیب که منجر به زیان مالی قابل توجهی شد، مطلع شد. جین می‌خواهد اطمینان حاصل کند که سازمانش از نقض مشابه جلوگیری می‌کند. جین برای به حداقل رساندن احتمال نقض داده ها، کدام استراتژی مدیریت ریسک را باید در اولویت قرار دهد؟

الف) اجتناب از خطر

ب) پذیرش ریسک

ج) کاهش خطر

د) انتقال ریسک

2. رابرت، یک مدیر سیستم، وظیفه دارد از اطلاعات حساس شرکت خود محافظت کند. او باید اطمینان حاصل کند که فقط پرسنل مجاز می توانند به داده ها دسترسی داشته باشند، حتی اگر رهگیری شوند. رابرت از کدام روش حفاظت از داده ها برای رسیدن به هدف خود استفاده کند؟

الف) رمزگذاری

ب) رمزگذاری

ج) مبهم سازی

د) استگانوگرافی

3. توماس یک معمار امنیتی است که روی یک پروژه جدید کار می کند. او باید اطمینان حاصل کند که برنامه وب از حملات احتمالی ایمن است. برای رسیدن به این هدف، او قصد دارد یک کنترل امنیتی را پیاده سازی کند که می تواند از حملات تزریق SQL جلوگیری کند. توماس کدام یک از کنترل های امنیتی زیر را باید اجرا کند؟

الف) اعتبار سنجی ورودی

ب) سیستم تشخیص نفوذ

ج) کمترین امتیاز

د) بخش‌بندی شبکه

4. از آلیس، مهندس شبکه، خواسته شده است که یک پروتکل ارتباطی امن بین دو دفتر راه دور پیاده سازی کند. او باید اطمینان حاصل کند که داده های منتقل شده بین این دفاتر محرمانه باقی می مانند و نمی توان آنها را دستکاری کرد. آلیس باید از کدام پروتکل استفاده کند؟

الف) HTTP

ب) FTP

ج) SMTP

د) IPSec

5. در یک سازمان بزرگ، مایک مسئول مدیریت کنترل های دسترسی برای برنامه های مختلف است. او می خواهد یک راه حل کنترل دسترسی متمرکز را پیاده سازی کند که می تواند یک تجربه ورود به سیستم را برای کاربران فراهم کند. مایک کدام راه حل را باید اجرا کند؟

الف) RADIUS

ب) TACACS+

ج) SAML

د) OAuth

6. سامانتا یک تستر نفوذ است که برای ارزیابی امنیت اپلیکیشن وب یک شرکت استخدام شده است. هدف او شناسایی هر گونه آسیب پذیری امنیتی و ارائه توصیه هایی برای اصلاح است. سامانتا باید از کدام یک از تکنیک های زیر برای انجام این کار استفاده کند؟

الف) تست فازی

ب) تست جعبه سیاه

ج) اسکن آسیب پذیری

د) حسابرسی انطباق

7. لورا رئیس تیم واکنش به حوادث در سازمان خود است. او اخیراً یک عفونت بدافزار را در یک سرور مهم کشف کرده است. اولین قدم او در واکنش به این حادثه چه باید باشد؟

الف) از بین بردن بدافزار

ب) شناسایی بردار حمله

ج) مهار

د) بازیابی

8. پیتر یک توسعه‌دهنده نرم‌افزار است که روی یک برنامه وب کار می‌کند که داده‌های حساس کاربر را مدیریت می‌کند. او می‌خواهد با اجرای شیوه‌های کدنویسی امن، امنیت برنامه را تضمین کند. پیتر باید کدام یک از مفاهیم زیر را برای محافظت از برنامه در برابر حملات اسکریپت بین سایتی (XSS) در اولویت قرار دهد؟

الف) رمزگذاری خروجی

ب) اعتبار سنجی ورودی

ج) مدیریت جلسه

د) ذخیره سازی امن داده ها

9. امیلی، یک تحلیلگر ریسک، وظیفه دارد یک تحلیل کمی ریسک را برای یک پروژه جدید فناوری اطلاعات انجام دهد. او باید زیان مالی احتمالی مرتبط با یک تهدید خاص را تخمین بزند. برای تعیین این مقدار، Emily باید چه چیزی را محاسبه کند؟

الف) انتظار زیان واحد (SLE)

ب) انتظار زیان سالانه (ALE)

ج) نرخ وقوع سالانه (ARO)

د) ضریب نوردهی (EF)

10. دیوید یک افسر امنیت اطلاعات است که مسئول اطمینان از محرمانه بودن داده های حساس در طول چرخه عمر آن است. او می خواهد از داده های حساس روی هارد دیسکی که برای دفع برنامه ریزی شده است محافظت کند. دیوید باید از چه فرآیندی برای اطمینان از بازیابی اطلاعات استفاده کند؟

الف) قالب‌بندی

ب) رونویسی

ج) معجون زدایی

د) رمزگذاری

1-c) کاهش خطر

جین باید بر کاهش ریسک تمرکز کند، که شامل اجرای کنترل‌هایی برای کاهش احتمال یا تأثیر نقض داده‌ها است. اجتناب از ریسک (الف) در یک موسسه مالی بزرگ واقع بینانه نیست، زیرا اجتناب کامل از خطرات مانع از عملیات عادی تجاری می شود. پذیرش ریسک (ب) مناسب نیست، زیرا هدف به حداقل رساندن احتمال نقض داده است. انتقال ریسک (د) شامل انتقال خطر به شخص ثالث است، اما این نگرانی اصلی به حداقل رساندن نقض داده ها را برطرف نمی کند.

2-a) رمزگذاری

رمزگذاری، داده‌ها را به متن رمزی تبدیل می‌کند، که فقط برای کسانی که کلید رمزگشایی مربوطه را دارند می‌توانند به آن دسترسی داشته باشند و اطمینان حاصل شود که حتی داده‌های رهگیری شده نیز محرمانه باقی می‌مانند. Tokenization (b) داده های حساس را با توکن های غیر حساس جایگزین می کند، اما از داده ها در حین انتقال محافظت نمی کند. مبهم سازی (c) درک داده ها را دشوار می کند، اما در برابر مهاجمان مصمم ایمن نیست. Steganography (d) داده ها را در سایر داده ها پنهان می کند که برای محافظت از داده های ارسالی مناسب نیست.

3-a) اعتبار سنجی ورودی

اجرای اعتبارسنجی ورودی تضمین می‌کند که فقط داده‌های فرمت‌بندی‌شده مناسب اجازه ورود به سیستم را دارند و به جلوگیری از حملات تزریق SQL کمک می‌کند. سیستم‌های تشخیص نفوذ (ب) ترافیک شبکه را برای نشانه‌های فعالیت مخرب نظارت می‌کنند اما مستقیماً از حملات تزریق SQL جلوگیری نمی‌کنند. اصل کمترین امتیاز (c) حقوق دسترسی کاربر را محدود می کند، اما دستکاری ورودی را بررسی نمی کند. بخش بندی شبکه (d) بخش های مختلف شبکه را جدا می کند، که به طور خاص آسیب پذیری های تزریق SQL را برطرف نمی کند.

4-d) IPSec

IPSec ارتباط ایمن را از طریق رمزگذاری و احراز هویت فراهم می کند و از محرمانه بودن و یکپارچگی داده ها بین دو دفتر راه دور اطمینان می دهد. HTTP (a) یک پروتکل ناامن است که برای انتقال ابرمتن استفاده می شود، در حالی که FTP (b) برای انتقال فایل استفاده می شود اما به طور پیش فرض رمزگذاری را ارائه نمی دهد. SMTP (c) یک پروتکل ایمیل است که ذاتاً رمزگذاری سرتاسر ارائه نمی دهد.

5-c) SAML

Security Assertion Markup Language (SAML) یک استاندارد مبتنی بر XML برای تبادل داده‌های احراز هویت و مجوز بین طرفین است، به‌ویژه بین ارائه‌دهنده هویت و ارائه‌دهنده خدمات، که امکان ورود به سیستم را فراهم می‌کند. RADIUS (a) و TACACS+ (b) پروتکل‌های احراز هویت متمرکز هستند، اما قابلیت ورود به سیستم را ندارند. OAuth (d) یک چارچوب مجوز است که ذاتاً از یک ورود به سیستم برای چندین برنامه پشتیبانی نمی کند.

6-ب) تست جعبه سیاه

تست جعبه سیاه شامل آزمایش عملکرد یک برنامه بدون اطلاع از ساختار داخلی آن است که به سامانتا اجازه می‌دهد حملات دنیای واقعی را شبیه‌سازی کند و آسیب‌پذیری‌ها را شناسایی کند. تست فاز (a) شامل ارائه داده های نامعتبر، غیرمنتظره یا تصادفی به عنوان ورودی است که ممکن است مفید باشد اما به اندازه تست جعبه سیاه جامع نیست. اسکن آسیب‌پذیری (c) از ابزارهای خودکار برای شناسایی آسیب‌پذیری‌های شناخته شده استفاده می‌کند، اما آزمایش عمیق عملکرد برنامه را ارائه نمی‌کند. حسابرسی انطباق (د) پایبندی به الزامات نظارتی را ارزیابی می‌کند اما بر شناسایی آسیب‌پذیری‌های امنیتی تمرکز نمی‌کند.

7-c) مهار

اولین گام در پاسخ به یک حادثه، مهار است، که شامل جداسازی سیستم های آسیب دیده برای جلوگیری از آسیب بیشتر یا گسترش بدافزار است. از بین بردن بدافزار (a) مهم است، اما فقط باید پس از مهار انجام شود. شناسایی بردار حمله (ب) برای درک علت اصلی بسیار مهم است، اما باید از مهار برای جلوگیری از آسیب مداوم پیروی کرد. بازیابی (د) شامل بازیابی سیستم‌ها و فرآیندهای آسیب‌دیده است که ضروری است اما باید پس از مهار، ریشه‌کنی و شناسایی ناقل حمله انجام شود.

8-a) رمزگذاری خروجی

برای محافظت در برابر حملات XSS، پیتر باید کدگذاری خروجی را در اولویت قرار دهد، که تضمین می‌کند هر محتوای تولید شده توسط کاربر قبل از رندر شدن توسط مرورگر وب به درستی از آن خارج می‌شود. اعتبار سنجی ورودی (b) برای جلوگیری از حملات مختلف ضروری است اما مستقیماً از حملات XSS ناشی از مدیریت نادرست خروجی جلوگیری نمی کند. مدیریت جلسه (c) برای اطمینان از احراز هویت و مجوز مناسب حیاتی است اما به طور خاص به حملات XSS نمی پردازد. ذخیره سازی امن داده (d) برای محافظت از داده های حساس بسیار مهم است، اما نگرانی اصلی هنگام دفاع در برابر حملات XSS نیست.

9-ب) انتظار زیان سالانه (ALE)

ALE محصول انتظار زیان واحد (SLE) و نرخ وقوع سالانه (ARO) است. ALE نشان دهنده زیان مالی مورد انتظار ناشی از یک تهدید خاص در طول یک سال است و آن را به ارزش مناسبی برای امیلی تبدیل می کند. انتظار زیان منفرد (الف) نشان‌دهنده تأثیر مالی یک وقوع یک تهدید است که فراوانی آن را در نظر نمی‌گیرد. نرخ وقوع سالانه (c) دفعات تخمینی یک تهدید است که در یک سال اتفاق می‌افتد، اما تأثیر مالی را در بر نمی‌گیرد. ضریب مواجهه (d) نشان دهنده درصدی از ارزش دارایی از دست رفته به دلیل یک تهدید خاص است، اما فراوانی یا تأثیر مالی کلی را در نظر نمی گیرد.

10-c) معجون زدایی

Degaussing از یک میدان مغناطیسی قوی برای پاک کردن داده‌های روی دیسک سخت استفاده می‌کند و اطمینان می‌دهد که داده‌های حساس پس از دور ریختن قابل بازیابی نیستند. قالب بندی (الف) داده ها را از درایو حذف می کند اما به طور بالقوه با استفاده از ابزارهای تخصصی قابل بازیابی است. رونویسی (ب) داده‌های موجود را با داده‌های جدید جایگزین می‌کند، اما بقایای داده‌های اصلی ممکن است در برخی موارد بازیابی شوند. رمزگذاری (d) می‌تواند از داده‌ها در حین استفاده از درایو محافظت کند، اما تضمین نمی‌کند که داده‌ها قبل از دور ریختن به‌طور دائم حذف شوند.