前言
CISSP考试备考秘诀
备考时,把自己当作信息安全官(CISO),从管理层视角思考,关注平衡风险、成本和人员安全,而非仅看技术细节。许多CISSP考题考察这种全局思维。
本书亮点
本书通过25个练习题和解析,帮助考生像管理团队一样思考,理解为什么某些选项错,而不仅仅死记硬背正确答案。
考试策略
本书提供CISSP考试的策略、心态和管理者思维,帮助考生高效备考,打好基础。
后续分享
将陆续分享本书内容,帮助大家更高效备考,掌握管理者思维。
本系列文章:
问题4
一家银行紧急聘请了一名安全顾问,以发现其业务中任何未知且可利用的弱点。由于当时正值长假周末,一半的员工以及高级管理层都不在。顾问决定采取主动措施,开始她的工作。
顾问首先通过各种自动化扫描工具收集了目标的初步情报。然后,她通过远程VPN(虚拟专用网络)连接隧道传输流量,获得了其中一个内部网络的访问权限。在利用组织服务器和数据库中的其他几个漏洞后,顾问成功地自由穿越了环境的多个区域,收集了尽可能多的数据。收集到足够信息后,她清除了在被入侵网络中留下的所有痕迹。在下一个工作日,她加密了安全测试的结果,并将密码保护的报告发送给了银行的高级管理团队。
以下哪项是由安全顾问进行的?Which of the following was conducted by the security consultant?
A.漏洞扫描Vulnerability scanning
B.渗透测试Penetration testing
C.黑客攻击Hacking
D.道德黑客Ethical hacking
考试策略和思维方式
选项A、B和D听起来很相似,对吧?这三个选项看起来都像是安全顾问会被组织聘请去做的事情。但因为它们是三个不同的选项,所以它们一定有区分彼此的特点。
对于选项C,安全顾问似乎并不像是在对组织进行黑客攻击,对吗?如果答案是选项C,问题情境中有什么能让人觉得她有不良动机吗?还是她只是个受害者?
她似乎是在按照渗透测试员或道德黑客的角色所经历的步骤行事:
- 通过扫描工具收集情报
- 识别并利用漏洞
- 获得网络访问权限
- 消除入侵证据
- 将报告发送给高级管理层
这些步骤也像是安全专家或黑客为了破坏安全控制所采取的系统性和时序性的步骤。然而,一个重大任务划清了黑客和道德黑客之间的界限。
提示:顾问是否遵循了渗透测试过程的第一步和最后一步?除了发现和利用弱点外,这两个步骤还用于正式验证整个过程。哪个选项能真正测试一家公司的保护机制?
管理者思维
顾问破坏了什么流程,可能会或不会使她的所有工作都受到质疑?安全顾问忘记了做哪个关键步骤,可能会导致法律问题?
选项解析
A.漏洞扫描
漏洞扫描是整体漏洞评估过程的一部分。它可以是技术性的,使用各种工具来查找路由器、防火墙或服务器等设备中的弱点。使用扫描器比使用有人工参与的手动方法更容易、更快捷。它们还可以为进一步的渗透测试提供目标列表。扫描器有一些局限性,它们使用签名数据库来匹配已知漏洞。这些签名需要定期更新,尤其是在扫描之前。组织应维护一个定期的签名、版本或固件升级计划,以避免意外。
选项A从顾问进行了漏洞扫描这个意义上来说是正确的。她使用“各种自动化扫描工具”进行了漏洞扫描。但这个选项实际上不正确,因为在没有先获得许可的情况下,从法律角度看,这些自动化工具只是被用于黑客攻击。
B.渗透测试
渗透测试超越了漏洞扫描。选项A和选项B之间的关键区别之一是,在渗透测试中可以积极利用漏洞,而在漏洞扫描中只是发现漏洞。渗透测试需要高度的技能,并且可能会对现实世界中的系统造成真正的损害。鉴于此,它们也是确定一个组织应对现实世界威胁能力的最佳方式之一。
最终报告将有助于确定组织应对现实世界攻击的能力,衡量所需技能水平,了解防御能力,并增加可用于阻止未来攻击的任何额外安全控制。安全顾问遵循了正确的步骤,除了最重要的第一步:获得银行高级管理团队的书面许可来接触他们的系统。
C.黑客攻击
正确答案是C,安全顾问在对银行进行黑客攻击。如果银行聘请安全顾问来利用他们的弱点,那她为什么还会被认为是黑客呢?为了在法律范围内“攻击”一个组织,必须先获得高级管理层的许可。在这种情况下,尽管安全顾问积极主动地完成了她的紧急工作,但她没有等待银行高级管理层的正式书面许可,他们当时正在度假。
D.道德黑客
道德黑客和渗透测试这两个术语可以相关,但不是互斥的。它们都是试图积极利用组织系统中的弱点。仅仅因为某人是道德黑客,并不意味着他们也是渗透测试员,反之亦然。道德黑客是那些理解真实黑客可能攻击系统的路径,但不会非法或为了个人利益而这样做的黑客——他们遵循一种准则。
渗透测试知识点
黑客攻击和渗透测试之间只有一个区别:许可。一个核心的CISSP概念是,在进行任何涉及利用组织生产环境的测试之前,必须始终获得书面许可和范围。在警方看来,这就是黑客行为,可能导致入狱。
- 规划过程 - 确定目标、范围和规则。首先要获得管理层的书面批准。
- 收集目标情报 - 确定IP地址、端口号、网络驱动器、主机名、应用程序或员工信息。
- 利用漏洞 - 成功利用是渗透测试的核心。
- 提供报告 - 在前面所有步骤中都保持文档记录。然后将最终报告安全地发送给利益相关者,并附上相应的缓解技术。
标签:选项,顾问,渗透,管理者,信息安全,漏洞,黑客,测试 From: https://blog.csdn.net/vzhoujunlinv/article/details/145159055