Tests d’entraînement gratuit à l’examen CISSP

Explication : Les cadres de dissuasion sont liés à la technologie et utilisés pour décourager les activités malveillantes. Par exemple, un système de prévention des intrusions ou un pare-feu serait approprié dans ce cadre.
Il existe trois autres cadres de contrôle primaire. Un cadre préventif permet d’établir des politiques de sécurité et d’assurer la sécurité et la sensibilisation à la formation de sécurité. Un cadre de détection est axé sur la recherche d’activités non autorisées dans votre environnement après un incident de sécurité. Un cadre correctif met l’accent sur les activités visant à récupérer votre environnement après un incident de sécurité. Il n’y a pas de cadre d’évaluation.

Explication : Vous avez le choix entre trois méthodes d’analyse des risques : qualitative (qui utilise une matrice d’analyse des risques), quantitative (qui utilise de l’argent ou des mesures pour calculer) ou hybride (une combinaison de qualitatif et quantitatif mais pas un choix de réponse dans ce scénario). Comme le fournisseur d’accès Internet dispose de données de surveillance et d’enregistrement, vous devriez utiliser une approche quantitative ; cela vous aidera à quantifier les chances que d’autres clients soient exposés à un risque de sécurité.
STRIDE est utilisé pour la modélisation des menaces. Une approche de marché est utilisée pour l’évaluation des actifs. Une analyse de réduction tente d’éliminer les analyses en double et est liée à la modélisation de la menace.

Explication : Le RTO établit le temps maximum de panne de l’organisation (ou combien de temps il faut pour récupérer), le RPO établit la perte de données maximum tolérable, le MTD couvre le temps d’arrêt maximum tolérable, et MDT n’est qu’une phrase inventée pour vous déstabiliser Dans ce scénario, en mettant l’accent sur la perte de données, la bonne réponse est RPO.

Explication : Chaque propriétaire de données est responsable de l’approbation de l’accès aux données qui lui appartiennent. Cela se fait généralement par l’approbation des politiques d’accès aux données qui sont ensuite mises en œuvre par l’équipe d’exploitation. Dans le cadre d’un processus officiel d’approbation de l’accès aux données, le propriétaire des données doit être la personne responsable en dernier ressort de l’accès aux données.

Explication : Lorsque vous effectuez une suppression typique du système d’exploitation, les données restent sur le support, mais l’espace sur le support est marqué comme disponible. Ainsi, les données sont souvent récupérables. Il existe 3 méthodes établies pour empêcher la récupération des données : écrasement des données (parfois appelé « effacement sécurisé » ou « essuyage »), démagnétisation par aimants et destruction physique.
Le formatage d’un volume ne rend pas les données irrécupérables, et le chiffrement des données non plus (si quelqu’un avait la clé de déchiffrement, les données sont en danger).

Explication : Dans ce scénario, votre objectif est d’évaluer les solutions présentées, et non les fournisseurs, de sorte que vous devrons utiliser un processus de sélection des normes. Cela permettra à l’équipe de choisir la solution qui correspond le mieux aux besoins de l’organisation. Bien que le processus de sélection d’un fournisseur fasse partie de l’engagement avec lui, ce scénario exige spécifiquement l’évaluation des solutions.

Explication : Dans ce scénario, le modèle existant mettait l’accent sur la confidentialité. Pour compléter le modèle et atteindre l’objectif de prévention de la  » rédaction « , il faut compléter le modèle existant par un modèle qui met l’accent sur l’intégrité (comme Biba). En mettant l’accent sur l’intégrité, vous vous assurerez que vous n’avez pas « écrire » (ou « lire vers le bas » non plus, bien que ce ne soit pas une exigence dans ce scénario).

Explication : Une attaque par injection fournit une entrée invalide à une application ou à une page Web. L’objectif est de créer cette entrée de sorte qu’un interpréteur en arrière-plan exécute une action qui n’est pas prévue par l’entreprise (comme l’exécution de commandes administratives) ou plante le système. Les attaques par injection sont avancées et couramment utilisées, il est donc important d’en être conscient et de savoir comment s’en protéger.

Explication : Lors de la conception d’une ICP, gardez à l’esprit les principes de sécurité de base – plus il y a de niveaux, plus il y a de sécurité et de souplesse. Bien sûr, avoir plus de niveaux signifie aussi plus de coûts et de complexité. Dans ce scénario, pour maximiser la sécurité et la souplesse, vous devez utiliser une hiérarchie à trois niveaux, les CA racine et les CA de politique étant hors ligne. Les CA hors ligne renforcent la sécurité. Les niveaux multiples, en particulier avec l’utilisation de CA politique, augmentent la souplesse parce que vous pouvez révoquer une section de la hiérarchie sans affecter l’autre (par exemple, lorsque l’une des CA émettrices a une clé compromise).

Explication : Dans ce scénario, l’information indique que le problème se situe au niveau du routage de la communication réseau. Le routage se produit à la couche 3 du modèle OSI. La couche 3 est généralement gérée par un routeur ou la composante de routage d’un périphérique réseau.

Explication : Dans ce scénario, l’évitement des collisions est utilisé. Les réseaux sans fil utilisent l’évitement des collisions pour résoudre le problème décrit dans le scénario (connu sous le nom de  » problème de nœud caché « ).

Explication : SIP est un protocole de communication utilisé pour les communications multimédias telles que les appels vocaux internes. Dans ce scénario, vous devez capturer le trafic SIP pour vous assurer que vous ne capturez que le trafic lié aux appels téléphoniques.

Explication : Les trois facteurs sont des éléments que vous connaissez (comme un mot de passe), quelque chose que vous avez (comme une carte à puce ou une application d’authentification) et quelque chose qui vous est personnel (comme une empreinte digitale ou une rétine). L’utilisation de méthodes provenant de facteurs multiples pour l’authentification améliore la sécurité et atténue le risque de vol ou de piratage de mot de passe.

Explication : Avec l’expansion rapide vers le Cloud et le type de services inconnu dans le Cloud, un service d’identité basé dans le Cloud, en particulier celui de votre fournisseur de Cloud public, est le meilleur choix. Ces services sont compatibles avec les solutions IaaaS, SaaS et PaaS. Bien qu’un service d’identité tiers puisse gérer le SaaS, il ne sera pas aussi performant dans les scénarios non-SaaaS. Une solution d’identité fédérée est également limitée à certains scénarios d’authentification et nécessite plus de temps à mettre en œuvre et plus de travail pour la gérer.

Explication : Étant donné que vous avez constaté que des utilisateurs individuels se voyaient accorder des permissions et qu’un administrateur informatique avait modifié manuellement les permissions sur le dossier, le DAC est en cours d’utilisation. RBAC utilise des rôles, et le contrôle d’accès basé sur des règles repose sur les règles et les attributs d’utilisateurs, donc vous ne trouverez pas d’utilisateurs individuels configurés avec des permissions sur le dossier avec l’un ou l’autre de ces éléments. Le MAC est basé sur les niveaux d’autorisation, de sorte que, encore une fois, les utilisateurs ne se voient pas accorder d’autorisation individuelles sur un dossier ; mais c’est un groupe qui est utilisé pour chaque autorisation.

Explication : Dans les tests de boîte noire, les testeurs n’ont aucune connaissance du système qu’ils vérifient.

Explication : Les tests effectués par des tiers visent particulièrement à s’assurer que les autres vérificateurs (internes et externes) suivent correctement vos politiques et vos procédures.

Explication : Dans une vérification d’intrusion, les équipes tentent de contourner les contrôles, qu’ils soient techniques ou non techniques.

Explication : Lorsqu’une vulnérabilité existe mais qu’il n’y a pas de correctif pour y remédier, il s’agit d’une vulnérabilité zéro jour. Lorsqu’un code d’exploitation existe pour tirer parti d’une vulnérabilité de type  » zéro-jour « , on parle d’exploit de type  » zéro-jour « . Dans ce scénario, parce que l’ordinateur était à jour sur les correctifs, nous pouvons conclure qu’il y avait une vulnérabilité zéro-jour et un exploit zéro-jour.

Explication : La qualité de service fournit un service prioritaire pour une application ou un type de communication spécifique. Dans ce scénario, la qualité des appels est affectée par d’autres services sur le réseau. En donnant la priorité à la communication réseau pour les téléphones IP, vous pouvez maximiser leurs performances (bien que cela puisse avoir un impact sur autre chose).

Explication : La première exigence clé de ce scénario est que le centre de données ne doit pas être affecté par les tests. Ceci élimine les tests d’interruption partielle et d’interruption complète car ceux-ci ont un impact sur le centre de données. L’autre exigence clé est que les équipes informatiques doivent effectuer la récupération par étapes. Cette exigence élimine les essais par simulation parce qu’ils impliquent de naviguer dans les plans, mais sans effectuer d’opérations de récupération.

Explication : Le développement agile met l’accent sur l’efficacité et les itérations pendant le processus de développement. Agile se concentre sur les histoires d’utilisateurs pour travailler tout au long du processus de développement.

Explication : Les champs de texte avec lesquels les utilisateurs interagissent doivent être validés pour s’assurer que la limite de caractères n’a pas été dépassée et qu’aucun caractère spécial susceptible de provoquer des incohérences dans la base de données n’est utilisé.

Explication : Les langues de génération 5 sont associées à l’intelligence artificielle. Les contraintes de l’application et de son objectif sont définies, puis le programme apprend davantage par lui-même pour atteindre l’objectif.