Close Menu
Subscribe

Examen Checkpoint: Cryptography and Endpoint Protection Group Exam

Updated:Aucun commentaire Cyberops Associate

Examen Checkpoint: Cryptography and Endpoint Protection Group Exam

Modules 21 et 23 – CyberOps Associate 1.0 Réponses Français

1. Quelle technique peut être utilisée par le personnel de sécurité pour analyser un fichier suspect dans un environnement sécurisé ?

  • fonction de sandboxing
  • autoriser la mise en vente
  • planification initiale
  • liste de blocage

Explication: Le sandboxing permet d’exécuter et d’analyser des fichiers suspects dans un environnement sécurisé. Il existe des sandbox publics gratuits qui permettent de télécharger ou d’envoyer des échantillons de programmes malveillants et de les analyser.

2. Que fournit la fonction de télémétrie dans les logiciels de sécurité basés sur l’hôte?

  • Il met à jour la base de données de signatures antivirus heuristiques.
  • Il permet de mettre à jour les signatures de logiciels malveillants
  • Il permet aux programmes de sécurité basés sur l’hôte d’avoir des fonctions de journalisation complètes.
  • Il bloque le passage des attaques zero-day.

Explication: La fonction de télémétrie permet une fonctionnalité de journalisation robuste qui est essentielle aux opérations de cybersécurité. Certains programmes de sécurité d’hôte envoient les journaux d’évènements à un composant central pour analyse.

3. Quel énoncé décrit l’approche de détection des intrusions basée sur les stratégies ?

  • Elle compare les opérations d’un hôte par rapport à des règles de sécurité bien définies.
  • Elle compare les signatures du trafic entrant avec les entrées d’une base de données d’intrusions connues.
  • Elle compare les définitions antimalware à un référentiel central pour déterminer les mises à jour les plus récentes.
  • Elle compare le comportement d’un hôte à une référence de base afin d’identifier une éventuelle intrusion.

Explication: Avec l’approche de détection des intrusions basée sur les anomalies, un ensemble de règles ou de stratégies est appliqué à un hôte. Une violation de ces règles est interprétée comme le résultat d’une intrusion potentielle.

4. Un professionnel de la sécurité formule des recommandations à une entreprise en vue de renforcer la sécurité des terminaux. Quelle technologie de sécurité des terminaux est recommandée pour un système basé sur l’agent afin de protéger les hôtes contre les programmes malveillants ?/span>

  • IPS
  • Liste de blocage
  • Planification initiale
  • HIDS

Explication: Un système de détection des intrusions basé sur l’hôte (HIDS) est une application de sécurité complète qui fournit des applications antimalware, un pare-feu, ainsi que des services de surveillance et de génération de rapports.

5. Quelle technologie est utilisée par Cisco Advanced Malware Protection (AMP) comme moyen de protection et de défense contre les menaces connues et nouvelles ?

  • filtrage des sites web et listes de blocage
  • informations sur les menaces
  • contrôle d’admission réseau
  • profilage du réseau

Explication: Cisco AMP utilise des informations sur les menaces avec des signatures de fichiers connues pour identifier et bloquer les exploitations et les types de fichiers qui enfreignent les règles.

6. Qu’est-ce que la liste de blocage ?

  • Il s’agit d’une liste d’utilisateurs destinée à empêcher les utilisateurs figurant sur la liste de blocage d’accéder à un ordinateur.
  • Il s’agit d’une liste basée sur l’heuristique pour empêcher un processus de s’exécuter sur un ordinateur.
  • Il s’agit d’une liste de processus réseau pour arrêter l’exécution d’un processus répertorié sur un ordinateur.
  • Il s’agit d’une d’applications spécifient quelles applications ne sont pas autorisées à s’exécuter sur un ordinateur.

Explication: La liste de blocage peut indiquer quelles applications utilisateur ne sont pas autorisées à s’exécuter sur un ordinateur. L’éditeur de stratégie de groupe local de Windows (Windows Local Group Policy Editor) peut être utilisé pour ajouter des entrées pour les applications bloquées.

7. Quel énoncé décrit Cisco Threat Grid Glovebox ?

  • Il s’agit d’un système de détection d’intrusions basé sur l’hôte (HIDS) pour lutter contre les programmes malveillants.
  • Il s’agit d’un système de détection/protection contre les intrusions basé sur le réseau.
  • Il s’agit d’un produit de sandbox destiné à l’analyse des comportements malveillants.
  • Il s’agit d’une application de pare-feu.

Explication: Cisco ThreatGrid Glovebox est un produit de sandbox destiné à l’analyse des comportements malveillants.

8. Quelle affirmation décrit le terme iptables ?

  • Un fichier utilisé par un serveur DHCP pour stocker des adresses IP actives.
  • Une application DHCP sous Windows.
  • Une application de pare-feu basée sur des règles sous Linux.
  • Un démon DNS sous Linux.

Explication: Iptables est une application qui permet aux administrateurs système Linux de configurer des règles d’accès réseau.

9. Quelle technologie utilise des protocoles tiers approuvés pour délivrer des informations d’identification qui sont acceptées en tant qu’identité autorisée ?

  • Signatures numériques
  • Algorithmes de hachage
  • Clés symétriques
  • Certificats PKI

Explication: Les certificats numériques sont utilisés pour prouver l’authenticité et l’intégrité des certificats PKI, mais une autorité de certification PKI est une entité tierce approuvée qui délivre des certificats PKI. Les certificats PKI sont des informations publiques utilisées pour fournir des services de non-répudiation, d’intégrité, d’authenticité et de confidentialité pouvant évoluer au gré des exigences.

10. À quoi sert l’algorithme DH ?

  • assurer la confidentialité des données des e-mails
  • chiffrer le trafic de données après l’activation d’un VPN
  • fournir une prise en charge de non-répudiation
  • générer un secret partagé sur deux hôtes qui n’ont pas encore communiqué

Explication: L’échange de clé DH est un algorithme mathématique asymétrique qui permet à deux ordinateurs de générer un secret partagé identique, et cela sans avoir communiqué auparavant. Les systèmes de clé asymétriques sont extrêmement lents pour toute sorte de cryptage de bloc. Il est fréquent de crypter un bloc de trafic en utilisant un algorithme symétrique comme le DES, le 3DES ou l’AES, et d’utiliser l’algorithme DH pour créer des clés qui seront utilisées par l’algorithme symétrique de cryptage.

11. Dans une topologie CA hiérarchique, auprès de qui une autorité de certification subordonnée peut-elle obtenir un certificat pour elle-même ?

  • auprès de l’autorité de certification racine ou d’une autre autorité de certification subordonnée n’importe où dans l’arborescence
  • auprès de l’autorité de certification racine ou d’une autre autorité de certification subordonnée à un niveau supérieur
  • auprès de l’autorité de certification racine ou d’une autre autorité de certification subordonnée de même niveau
  • auprès de l’autorité de certification racine uniquement
  • auprès de l’autorité de certification racine ou au moyen d’une génération automatique

Explication: Dans une topologie CA hiérarchique, les autorités de certification peuvent délivrer des certificats aux utilisateurs finaux et aux autorités de certification subordonnées qui, à leur tour, délivrent leurs certificats aux utilisateurs finaux, à d’autres autorités de certification de niveau inférieur ou aux deux. Cela permet de créer une arborescence d’autorités de certification et d’utilisateurs finaux dans laquelle chaque autorité peut délivrer des certificats à des autorités de niveau inférieur et à des utilisateurs finaux. Seule l’autorité de certification racine peut délivrer un certificat d’auto-signature dans une topologie hiérarchique de ce type.

12. Quelles sont les deux affirmations décrivant les classes de certificat utilisées dans l’interface PKI ? (Choisissez deux réponses.)

  • Plus le numéro de classe est élevé, plus le certificat est fiable.
  • Un certificat de classe 5 est destiné aux utilisateurs et est axé sur la vérification des e-mails.
  • Un certificat de classe 0 est destiné à des fins de tests.
  • Un certificat de classe 0 est plus fiable qu’un certificat de classe 1.
  • Un certificat de classe 4 est destiné aux transactions commerciales en ligne entre les entreprises.

Explication: Une classe de certificats numériques est identifiée par un numéro. Plus le numéro est élevé, et plus le certificat est digne de confiance. Voici quelques exemples de classes :

  • Classe 0 : est destinée à des fins de test, aucune vérification n’y a été effectuée ;
  • Classe 1 : est destinée aux particuliers et est axée sur la vérification des e-mails ;
  • Classe 2 : est destinée aux organisations exigeant la preuve de l’identité ;
  • Classe 3 : est destinée aux serveurs et logiciels pour lesquels une vérification indépendante de l’identité et de l’autorité est effectuée par l’autorité de certification les ayant publiés ;
  • Classe 4 : est destinée aux transactions commerciales en ligne entre les entreprises ;
  • Classe 5 : est destinée aux organisations privées ou à la sécurité gouvernementale.

13. À quoi sert un certificat numérique ?

  • Il s’assure que la personne qui accède à un périphérique réseau est bien autorisée à le faire.
  • Il fournit la preuve qu’une signature traditionnelle est associée aux données.
  • Il authentifie un site web et établit une connexion sécurisée pour échanger des données confidentielles.
  • Il garantit qu’un site web n’a pas été piraté.

Explication: Les signatures numériques ont généralement recours à des certificats numériques pour confirmer l’identité de l’expéditeur afin d’authentifier le site web d’un fournisseur et d’établir une connexion chiffrée pour échanger des données confidentielles. C’est le cas, par exemple, lorsqu’une personne se connecte à une institution financière depuis un navigateur web.

14. Face à quel type d’attaque l’utilisation du code HMAC est-elle efficace ?

  • DDoS
  • Force brute
  • Man-in-the-middle
  • DoS

Explication: Étant donné que l’expéditeur et le récepteur connaissent la clé secrète, seules les parties ayant accès à cette clé peuvent traiter l’algorithme de la fonction HMAC. Cette mesure bloque les attaques MitM et fournit une authentification de la source des données.

15. Quel objectif le chiffrement des données permet-il d’atteindre sur le plan de la sécurisation des communications ?

  • Disponibilité
  • Authentification
  • Intégrité
  • Confidentialité

Explication: Lorsque les données sont chiffrées, elles sont brouillées afin de préserver leur confidentialité, de sorte que seuls les destinataires autorisés puissent lire le message. Une fonction de hachage est une autre manière de garantir la confidentialité.

16. Un client achète un article sur un site de commerce électronique. Le site de commerce électronique doit garder une preuve que l’échange de données a été effectué entre le site et le client. Quelle fonctionnalité de signatures numériques est nécessaire ?

  • Non-répudiation de la transaction
  • Authenticité des données signées numériquement
  • Intégrité des données signées numériquement
  • Confidentialité de la clé publique

Explication: Les signatures numériques offrent trois services de sécurité de base :

  • l’authenticité des données signées numériquement – les signatures numériques authentifient une source, prouvant qu’une certaine partie a vu et signé les données en question ;
  • l’intégrité des données signées numériquement – les signatures numériques garantissent que les données n’ont pas été modifiées depuis le moment de leur signature ;
  • la non-répudiation de la transaction – le destinataire peut prendre les données d’une tierce partie et la tierce partie accepte la signature numérique comme preuve que l’échange de données a eu lieu. La partie signataire ne peut réfuter d’avoir signé les données.

17. Quels sont les trois résultats du cadre de cybersécurité du NIST pour déterminer la fonction de base ? (Choisissez trois propositions.)

  • Atténuation
  • Commune
  • Planification de la reprise
  • Gestion des ressources
  • Evaluation des risques
  • Processus et procédures de protection des informations

Explication: La fonction principale d’identification concerne le développement d’une compréhension organisationnelle pour gérer les risques de cybersécurité pour les systèmes, les actifs, les données et les capacités. Il comporte les résultats suivants:

  • Gestion des ressources
  • Environnement commercial
  • Gouvernance
  • Évaluation des risques
  • Stratégie de gestion des risques

18. Voici les étapes du cycle de vie de gestion des vulnérabilités:

  • découvrir, hiérarchiser les actifs, évaluer, corriger, signaler, vérifier
  • découvrir, évaluer, hiérarchiser les actifs, signaler, corriger, vérifier
  • découvrir, hiérarchiser les actifs, évaluer, signaler, corriger, vérifier
  • découvrir, hiérarchiser les actifs, évaluer, corriger, vérifier, signaler

Explication: Voici les six étapes du cycle de vie de gestion des vulnérabilités:

  1. Découvrir
  2. Hiérarchiser les actifs
  3. Évaluation
  4. Rapport
  5. Correction
  6. Vérification

19. S’agissant de la lutte contre un risque dont l’impact potentiel est relativement faible, mais dont les coûts liés à l’atténuation sont relativement élevés, quelle stratégie accepte le risque et ses conséquences ?

  • partage des risques
  • conservation des risques
  • réduction des risques
  • évitement des risques

Explication: Il existe quatre stratégies potentielles pour répondre à des risques identifiés :

  • Évitement des risques : arrêter les activités qui génèrent des risques.
  • Réduction des risques : réduire le risque en prenant des mesures afin de minimiser les vulnérabilités.
  • Partage des risques : transférer une partie du risque à d’autres parties.
  • Conservation des risques : accepter le risque et ses conséquences.

20. Associez l’élément de profil de réseau à sa description. (Les propositions ne doivent pas être toutes utilisées.)

Explication: Classez les réponses dans l’ordre suivant :

ports utilisés liste des processus TCP ou UDP disponibles pour accepter des données
espace d’adressage critique Les adresses IP ou l’emplacement logique des données ou systèmes critiques
durée de la session Le délai entre le démarrage et l’interruption d’un flux de données
débit total quantité de données qui transitent d’une source à une destination sur une période donnée

21. Lors de la création d’un profil de serveur pour une entreprise, quel élément décrit les démons et ports TCP et UDP qui peuvent être ouverts sur le serveur ?

  • espace d’adressage critique
  • ports en mode écoute
  • comptes de service
  • environnement logiciel

Explication: Un profil de serveur se compose généralement des éléments suivants :

  • Ports d’écoute : les ports et démons TCP et UDP pouvant être ouverts sur le serveur
  • Comptes d’utilisateur : les paramètres définissant l’accès et le comportement des utilisateurs
  • Comptes de service : les définitions du type de service qu’une application est autorisée à exécuter sur un serveur
  • Environnement logiciel : les tâches, processus et applications pouvant être exécutés sur le serveur

22. Quelle mesure doit être prise au cours de l’étape de détection du cycle de vie de gestion des vulnérabilités ?

  • Documenter le plan de sécurité
  • Déterminer un profil de risque
  • Élaborer une ligne de base du réseau
  • Attribuer une valeur commerciale aux ressources

Explication: Un inventaire de tous les éléments du réseau est établi au cours de l’étape de détection du cycle de vie de gestion des vulnérabilités. Une ligne de base du réseau est élaborée et les vulnérabilités de sécurité sont identifiées.

23. Un analyste en cybersécurité effectue une évaluation CVSS d’une attaque au cours de laquelle un lien web a été envoyé à plusieurs employés. Une attaque interne a été lancée dès qu’un employé a cliqué sur le lien. Quelle métrique Exploitabilité du groupe des métriques de base CVSS est utilisée pour indiquer que l’utilisateur devait cliquer sur le lien pour que l’attaque se produise ?

  • Intervention de l’utilisateur
  • Exigences en matière d’intégrité
  • Exigences en matière de disponibilité
  • Étendue

Explication: Le groupe des métriques de base CVSS se compose des éléments suivants : vecteur d’attaque, complexité de l’attaque, privilèges requis, intervention de l’utilisateur et étendue. La métrique Intervention de l’utilisateur indique si une intervention de l’utilisateur est requise ou non pour qu’une vulnérabilité puisse être exploitée avec succès.

24. Quelles sont les deux catégories de métriques figurant dans le groupe des métriques de base CVSS ? Citez-en deux.

  • Exploitabilité
  • Mesures de l’incidence
  • Base modifiée
  • Maturité du code de l’exploit
  • Exigences en matière de confidentialité

Explication: Le groupe de mesures de base de CVSS représente les caractéristiques d’une vulnérabilité, qui sont constantes dans le temps et dans plusieurs contextes. Il contient deux catégories de métriques : Exploitabilité et Impact.

25. S’agissant de la gestion d’un risque identifié, quelle stratégie a pour but de mettre un terme aux activités qui génèrent le risque ?

  • partage des risques
  • évitement des risques
  • conservation des risques
  • réduction des risques

Explication: Il existe quatre stratégies potentielles pour répondre à des risques identifiés :

  • Évitement des risques : arrêter les activités qui génèrent des risques.
  • Réduction des risques : réduire le risque en prenant des mesures afin de minimiser les vulnérabilités.
  • Partage des risques : transférer une partie du risque à d’autres parties.
  • Conservation des risques : accepter le risque et ses conséquences.

26. Sur un hôte Windows, quel outil peut être utilisé pour créer et gérer des listes de blocage et des listes d’autorisations ?

  • Gestion de l’ordinateur
  • Éditeur de stratégie de groupe
  • Gestionnaire des tâches
  • Utilisateurs et groupes locaux

Explication: Dans Windows, les paramètres de liste bloquée et d’autorisation de liste peuvent être gérés via l’éditeur de stratégie de groupe.

27. Quelle est la caractéristique des pare-feu distribués?

  • Ils distribuent les caractéristiques des pare-feu d’hôte avec une gestion centralisée.
  • Ils utilisent uniquement des bandes TCP pour configurer des systèmes de contrôle d’accès et de journalisation basés sur des règles.
  • Ils utilisent uniquement les tables d’IP pour configurer les règles réseau.
  • Ils utilisent tous une plate-forme standard de partage ouvert.

Explication: Les pare-feu distribués associent les caractéristiques des pare-feu d’hôte et une gestion centralisée, qui impose des règles aux hôtes.

28. Quelle est la différence entre un pare-feu et un système de détection d’intrusion sur l’hôte (HIDS) ?

  • Un HIDS surveille les systèmes d’exploitation des ordinateurs hôtes et traite l’activité du système de fichiers. Les pare-feu autorisent ou refusent le trafic entre l’ordinateur et d’autres systèmes.
  • Un HIDS fonctionne comme un IPS, tandis qu’un pare-feu surveille uniquement le trafic.
  • Un HIDS bloque les intrusions, tandis qu’un pare-feu les filtre.
  • Un pare-feu procède à un filtrage des paquets et est donc limité en efficacité, tandis qu’un HIDS bloque les intrusions.
  • Un pare-feu autorise ou refuse le trafic en fonction de règles et un HIDS surveille le trafic réseau.

Explication: Afin de surveiller l’activité locale, il faut mettre en place un HIDS. Les agents chargés de surveiller le réseau se préoccupent du trafic, mais pas de l’activité du système d’exploitation.

29. Quel est le but de l’utilisation de signatures numériques pour la signature de code ?

  • pour authentifier l’identité du système auprès d’un site Web fournisseur
  • établir une connexion chiffrée pour échanger des données confidentielles avec un site Web du fournisseur
  • pour générer un ID virtuel
  • permet de vérifier l’intégrité des fichiers exécutables téléchargés à partir du site web d’un fournisseur.

Explication: La signature de code permet de vérifier l’intégrité des fichiers exécutables téléchargés à partir du site web d’un fournisseur. La signature de code utilise des certificats numériques pour authentifier et vérifier l’identité d’un site web.

30. Quelle est la différence entre les algorithmes de chiffrement symétrique et asymétrique ?

  • Les algorithmes de chiffrement symétrique utilisent des clés prépartagées. Les algorithmes de chiffrement asymétrique utilisent des clés différentes pour chiffrer et pour déchiffrer les données.
  • Les algorithmes de chiffrement symétrique sont utilisés pour authentifier les communications sécurisées. Les algorithmes de chiffrement asymétrique sont utilisés pour contester les messages.
  • Les algorithmes symétriques sont généralement cent à mille fois plus lents que les algorithmes asymétriques.
  • Les algorithmes de chiffrement symétrique sont utilisés pour chiffrer les données. Les algorithmes de chiffrement asymétrique sont utilisés pour déchiffrer les données.

Explication: Les algorithmes asymétriques peuvent utiliser de très grandes longueurs de clé pour éviter le piratage. Cela entraîne l’utilisation d’une plus grande quantité de ressources et de temps par rapport aux algorithmes asymétriques.

31. Une société implémente une stratégie de sécurité qui impose l’utilisation d’un code prédéfini pour ouvrir un fichier envoyé depuis le siège vers la succursale. Ce code est changé tous les jours. Quels sont les deux algorithmes qui permettent d’effectuer cette opération ? Citez-en deux.

  • SHA-1
  • HMAC
  • AES
  • MD5
  • 3DES

Explication: La confidentialité des données est la tâche qui consiste à s’assurer que seul le personnel autorisé peut ouvrir un fichier. Pour ce faire, une technique de chiffrement peut être utilisée. AES et 3DES sont deux algorithmes de chiffrement. HMAC peut être utilisé pour procéder à l’authentification de l’origine. MD5 et SHA-1 peuvent être utilisés pour garantir l’intégrité des données.

32. Dans les évaluations de sécurité du réseau, quel type de test utilise des logiciels pour rechercher différents types de vulnérabilités sur les réseaux internes et les serveurs Internet ?

  • efficacité des tests de sécurité du réseau
  • analyse des risques
  • tests de pénétration
  • évaluation des vulnérabilités.

Explication: Dans le cadre de l’évaluation des vulnérabilités, les analystes en charge de la sécurité utilisent des logiciels pour rechercher différents types de vulnérabilités sur les réseaux internes et les serveurs Internet. Les outils destinés à l’évaluation des vulnérabilités sont notamment la plate-forme Open Source OpenVAS, Microsoft Baseline Security Analyzer, Nessus, Qualys et les services Mandiant de FireEye.

33. Faites correspondre la fonction principale du NIST Cybersecurity Framework avec la description. (Les propositions ne doivent pas être toutes utilisées.)

Explication: Disposez les réponses dans l’ordre suivant:

Détecter Élaborer et mettre en œuvre des activités pour identifier un événement lié à la cybersécurité.
Protéger Élaborer et mettre en œuvre les mesures de protection appropriées afin d’assurer les services d’infrastructure critiques.
Identifier Développer la compréhension organisationnelle nécessaire pour gérer les risques liés à la cybersécurité des systèmes, des ressources, des données et des performances.

34. Un administrateur soupçonne que des logiciels malveillants polymorphes sont entrés dans le réseau au-delà du périmètre du système HIDS. Le logiciel malveillant polymorphe est cependant identifié et isolé avec succès. Que doit faire l’administrateur pour créer des signatures afin d’empêcher le fichier d’entrer à nouveau dans le réseau ?

  • Utilisez Cisco AMP pour suivre la trajectoire d’un fichier à travers le réseau.
  • Exécute le service Cisco Talos security intelligence.
  • Exécute un niveau de risque accepté et les composantes environnementales qui contribuent à ce niveau de risque.
  • Exécutez le fichier polymorphe dans la boîte à gants Cisco Threat Grid.

Explication: Le fichier malveillant polymorphe isolé doit être exécuté dans un environnement sandbox tel que Cisco Threat Grid Glovebox, et les activités du fichier documentées par le système. Ces informations sont ensuite utilisées pour créer des signatures afin d’empêcher le fichier d’entrer à nouveau dans le réseau.

35. Quel plan de gestion de la sécurité spécifie un composant qui assure le suivi de la localisation et de la configuration des logiciels et des périphériques connectés au réseau à l’échelle d’une entreprise ?

  • gestion des ressources
  • gestion des risques
  • gestion des vulnérabilités
  • gestion des correctifs

Explication: La gestion des ressources implique le suivi de la localisation et de la configuration des logiciels et des périphériques connectés au réseau à l’échelle de l’entreprise.

36. Une société élabore une stratégie de sécurité pour sécuriser les communications. Lors de l’échange de messages sensibles entre le siège d’une société et une succursale, une valeur de hachage ne doit être recalculée qu’avec un code prédéfini, garantissant ainsi la validité de la source de données. Sur quel aspect des communications sécurisées cette mesure de sécurité porte-t-elle ?

  • Authentification de l’origine
  • Système de non-répudiation
  • La confidentialité des données
  • L’intégrité des données

Explication: Les communications sécurisées se composent de quatre éléments :

  • La confidentialité des données assure que seuls les utilisateurs autorisés peuvent lire le message.
  • L’Intégrité des données garantit que le message n’a pas été modifié.
  • L’authentification de l’origine garantit qu’il ne s’agit pas d’un faux message et qu’il provient réellement du propriétaire.
  • La non-répudiation des données garantit que l’expéditeur ne peut pas remettre en cause la validité d’un message envoyé.

 

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires