SIS - teorija
SIS - Teorija Sigurnosnih Sustava
Ova kviz će testirati vaše znanje o teoriji sigurnosti informacijskih sustava. Ukljuĝuje razne aspekte sigurnosti, od napada i ranjivosti do forenzike i autentikacije.
Pripremite se na:
- 120 izazovnih pitanja
- Razliĝite vrste pitanja: višestruki izbor, potraži, oznaĝi
- Testiranje vaših teorijskih znanja i praktiĝnih vještina
Command and control kao faza napada botnetom (izaberite jedan toĝan odgovor)
Backdoor kôd širi se na cilj, gdje se pokušava instalirati kôd ili uvjeriti korisnika da to uĝini, tako da ciljevi postanu botovi
Botovi se povezuju s glavnim poslužiteljem
Botovi primaju naredbe s glavnog poslužitelja I generiraju promet usmjeren prema sljedećim ciljevima
Aktivnost forenzike NIJE:
Kriptiranje sumnjivih podataka
Prezentacija pronađenog
Sigurno prikupljanje podataka
Unutar DMZ-a (demilitarizirane zone) staviti ćemo:
Podatke I servise koji su naknadno razriješeni tajnosti
Tajne servise (intranet, interni file server)
Iskljuĝivo civilne podatke I servise
Javne servise (mail server, web server)
U sandboxu se ĝesto provodi
Statiĝka analiza malicioznog koda
Dinamiĝka analiza malicioznog koda
Zaštita kao korak sigurnosti kao procesa
Povezana s pravilima, procedurama, pravnom I drugom regulativom, određivanjem budžeta I tehniĝkom procjenom stanja sigurnosti
Primjena protumjera kako bi se smanjila mogućnost ugrožavanja sustava
Proces identifikacije upada
Diskrecijska kontrola pristupa
Vlasnik podataka određuje tko može pristupiti određenim resursima
Korisnici nemaju puno slobode da utvrde tko ima pristup njihovim datotekama, sigurnosne dozvole korisnika I klasifikacija podataka koriste se za definiranje razine povjerenja
Mrežni administratori mogu uĝinkovitije upravljati aktivnostima I pristupom na temelju individualnih potreba
Povežite pojmove s objašnjenjima
Napad "ping of death" realizira se na sloju:
3
4
5
7
2
Prilikom prijave u aplikaciju morate unijeti lozinku, a zatim iskoristiti svoj USB sigurnosni kljuĝ kako bi s njime odgovorili na izazov (challenge) aplikacije. O kojem obliku autentikacije je rijeĝ?
Asymmetric authentication
Single-factor authentication
Two-factor authentication
Termin "spoofing" odnosi se na:
Validaciju podataka
Probijanje enkripcije
Uskraćivanje usluge
Lažiranje identiteta
Verifikaciju podataka
Catch-it-as-you-can sustavi mrežne forenzike
Svi paketi koji prolaze kroz određenu prometnu toĝku se presreću I spremaju za daljnju analizu - potrebno mnogo prostora za pohranu podataka
Svaki paket se analizira na rudimentaran naĝin u memoriji I samo se određeni podaci pohranjuju za buduću analizu – potrebni brzi procesori kako bi se obradio svaki paket
Ne postoje
Vlasnik u kontekstu ISO 27001 posebno je bitan u sklopu:
Izraĝuna rizika
Pripreme I pisanja sigurnosne politike
Kontinuiteta poslovanja
Obrade rizika
Procjene znaĝaja
CAM (Content Addressable memory) tablica može stvarati probleme kod kojeg napada?
ARP spoofing
Ping of death
IP spoofing
DDoS
MAC flooding
Hash funkcije su kakve funkcije?
Kriptografske matriĝne funkcije
Kriptografske jednosmjerne funkcije
Kriptografske dvosmjerne funkcije
Kriptografske polinomialne funkcije
Vrijednost informacijske imovine: 5.000.000,00 EUR ; Šteta od potencijalnog incidenta: 10.000.000,00 EUR. Poduzeće bi trebalo:
Izbjeći rizik jer je šteta drastiĝno veća od imovine
Procijeniti vjerojatnost manifestacije incidenta
Primjeniti kontrole za smanjenje rizika u vrijednosti imovine
Donijeti odluku u ovisnosti kakav je apetit za rizik
Prihvatiti rizik ako je vjerojatno da će realizirati dobit veću od troška incidenta
SQL injection napada:
LAN mrežnu infrastrukturu
Server
WAN mrežnu infrastrukturu
Klijenta
3F autentikacija je:
3 x 1F autentikacija
Autentikacija u 3 slijeda koristeći 3 razliĝite lozinke
1F + nešto što korisnik ima
2F + nešto što korisnik „jest”
3F sigurnost - fidelity, force, fortification
Wordpress je open source CMS sustav koji se redovito ažurira I koji ĝesto izdaje sigurnosne zakrpe, te radi toga stranice kreirane u wordpressu nisu ĝesta meta napada.
True
False
PING/ICMP flood napad događa se na sloju:
Mrežnom
Fiziĝkom
Transportnom
Logiĝkom
Podatkovnom
Oznaĝite toĝnu/e tvrdnju/e:
Trebalo bi definirati podužu minimalnu duljinu lozinke, npr. 10 znakova
Lozinke ne bi smjele biti napisane na papiru ili raĝunalu u obliku ĝistog teksta
Prva, inicijalna lozinka može biti poslana na mail ili SMS-om u obliku ĝistog teksta
Sve lozinke bi trebale biti ograniĝene duljine do maksimalno 15 ili 16 znakova
ARP spoofing događa se na sloju:
2
6
1
3
4
Odaberite potencijalne ranjivosti:
Niti jedno od navednog
Pogreške u konfiguraciji
Pogreške u dizajnu mreže
Nedostatak enkripcije
Softverski bugovi
Cookies (kolaĝići) ĝesto služe za:
SQL injekcije
Probijanja WEP zaštite
URL poisoning
Krađu sesija
Povežite napade sa uobiĝajenim tipom napada.
Broj 1 sigurnosna prijetnja iz posljednjih OWASP top 10 prijetnji je:
CSRF
Overflow
Deserialization
Injection
XSS
Na kojem sloju blokiramo IP adrese unutar firewalla?
Transportnom
Sloju aplikacije
Podatkovnom
Mrežnom
Što nam govori Kerchoff princip?
Niti jedno od navedenog.
Da se sigurnost sustava temelji na tajnim algoritmima.
Da se sigurnost sustava temelji na Kerchoff matrici.
Da se sigurnost sustava temelji na kljuĝu
Digitalna forenzika dijeli se na:
Identificirajuću I neidentificirajuću
Legalnu I ilegalnu
Post mortem I live
Ako želimo prouĝavati tehnike napadaĝa I skrenuti pozornost sa legitimnih servisa, koristiti ćemo: Select on
Firewall
Ekstranet
Intranet
Razorback
DNS
Honeyport
Alat Snort je:
IDE
Niti jedno od navedenog
Antivirus
Firewall
IPS/IDS
"Implementiranje I pokretanje ISMS politike, kontrola I procedura. Izrada I implementacija plana upravljanja sigurnosnim rizikom. Implementacija sigurnosnih kontrol. Provođenje obrazovnih programa. Upravljanje operacijama I resursima" su elementi kojeg koraka PDCA ciklusa?
P
D
C
A
Cross Site Scripting (XSS) ima za krajnji cilj:
LAN mrežnu strukturu
WAN mrežnu strukturu
Klijenta
Server
Koji napad "exploita" 3-way rukovanje?
SYN Flood
MAC flooding
DHCP attack
Smurf attack
Ping of death
Stop, look and listen sustavi mrežne forenzike
Ne postoje
Svi paketi koji prolaze kroz određenu prometnu toĝku se presreću I spremaju za daljnju analizu - potrebno mnogo prostora za pohranu podataka
Svaki paket se analizira na rudimentaran naĝin u memoriji I samo se određeni podaci pohranjuju za buduću analizu – potrebni brzi procesori kako bi se obradio svaki pake
Buffer overflow napad spada u klasu:
Autorizacija
Manipulacija izvornim kodom
Niti jedno od navedenog
Autentikacija
Korak istraživanja mjesta događaja NIJE:
Kriptiranje
Analiza
Pretraživanje
Koji su osnovni koraci procesa upravljanja sigurnosnim rizicima?
Socijalni inženjering
Testiranje rizika
Ispitivanje I analiza poduzetih mjera
Umanjivanje rizika
Iskorištavanje rizika
Procjena rizika
"Operativni postupci I odgovornosti; Planiranje I prihvaćanje sustava; Zaštita od malicioznih programa; Rutinsko održavanje; Upravljanje mrežom; Sigurnost medija I upravljanje medijima za pohranu; Razmjenu informacija I programa...." su temeljni postupci poglavlja "Upravljanje komunikacijama" standarda ISO27005.
True
False
ISO27005 je standard za upravljanje poslovnim kontinuitetom I upravljanje uskladivošću sustava informacijske sigurnosti.
True
False
SIEM:
Povezuje firewall sa antivirusnim sustavom
Prikuplja informacije sa raznih mrežnih alata
Niti jedno od navedenog
Segmentira mrežu na prioritetne sigurnosne razine
Raĝunalni forenziĝar
Ne moraju biti certificiran
Koriste raĝunala za izvođenje krađa, prijevara I drugih zlonamjernih radnj
Pretražuju raĝunala za dokazima I utvrđuju odgovornost
Cross Site Scripting (XSS) napad vrsta je napada u kategoriji:
Provjera ulaza
Upravljanje konfiguracijom
Autentikacija
Niti jedno od navedenog
Manipulacija source kodom
Mrežna forenzika:
Istražuje informacije kako poĝinitelj ili napadaĝ namjeravaju pristupiti mreži
Povrat podataka koji su obrisani pogreškom
Istražuje podatke koji se mogu pronaći u mediju za pohranu podataka
Koju metodu procjene rizika koristi standard ISO27005?
Matricu predefiniranih vrijednosti
COBRA
CRAMM
Rangiranje prijetnji prema procjeni rizika
U nasilne ili potencijalno nasilne cyber napade pripada
Cyber uhođenje
Cyber krađa
Cyber prijevara
IPSec je integriran sa aplikacijom (browserom); nalazi se unutar aplikacijskog prostora.
True
False
Izbaci uljeze.
Upravljanje resursima (Asset management)
Fiziĝka sigurnost (Physical and Environmental Security)
Sigurnost osoblja (Human resources security
Kriptografija (Cryptography)
Kontrola pristupa (Access control)
Sigurnost komunikacija (Communications security)
Koja metoda procjene rizika kao parametre procjene koristi utjecaj na resurs I vjerojatnost ostvarenja prijetnje?
FRAP
Rangiranje prijetnji prema procjeni rizika
CRAMM
Matrica predefiniranih vrijednosti
COBRA
U nenasilne cyber napade pripada
Cyber prijevara
Cyber uhođenje
Cyber terorizam
Identificirati I definirati sve ranjivosti koje mogu nastupiti I djelovati na resurse informacijskog sustava je dio koje faze procjene sigurnosnih rizika?
Identifikacije prijetnji
Određivanja rizika
Identifikacije resursa
Procjene vjerojatnosti
Identifikacije ranjivosti
Autorizacija dolazi prije autentikacije.
True
False
Što od navedenog NIJE digitalna forenzika?
Primjena znanosti I inženjerskih dostignuća u rješavanju problema digitalnih dokaza
Znanstvena disciplina koja kombinira elemente legalnih I ilegalnih radnji radi prikupljanja I analize podataka iz digitalnih I analognih sustava u cilju prezentiranja pred sudom
Znanost o prikupljanju, ĝuvanju, ispitivanju, analiziranju I prezentiranju digitalnih dokaza za upotrebu u sudskom procesu
Što radi sljedeća naredba/pravilo unutar nekog firewalla: reject TCP port 20, 21
Blokira svu email komunikaciju
Blokira komunikaciju sa FTP protokolom
Blokira komunikaciju sa FTP I SSL protokolom
Blokira komunikaciju sa FTP I TLS protokolom
Blokira komunikaciju sa TLS protokolom
Blokira http promet
Napad u kojemu napadaĝ pristupa datotekama I direktorijima koji se nalaze izvan direktorija, web dokumenta, I to pomoću posebnih nizova znakova unutar URL-a zove se:
Logical XOR attack
Directory breathe attack
Path traversal attack
SQL identification attack
URL poisoning attack
Koje od navedenog nije metoda skeniranja ranjivosti
Testiranje upada u sustav
Sve od navedenog su metode skeniranja ranjivosti
Sigurnosni testovi I vrednovanja
Alati za automatsko skeniranje ranjivosti
Mjere zaštite dijelimo na
Fiziĝke I logiĝke
Hardverske I softverske
Administrativne, tehniĝke I fiziĝke
COMPUSEC oznaĝava... Odaberite jedan odgovor:
Sigurnost podataka na elektroniĝkim medijima I raĝunalima
Sigurnost informacijske infrastrukture u posebnim kategorijama prostora od razliĝiti vrsta pasivnog ili aktivnog prisluškivanja
Sigurnost podataka u sustavima za prijenos podataka
Otkrivanje kao korak sigurnosti kao procesa
Proces oporavka
Primjena protumjera kako bi se smanjila mogućnost ugrožavanja sustava
Proces identifikacije upada
Povezana s pravilima, procedurama, pravnom I drugom regulativom, određivanjem budžeta I tehniĝkom procjenom stanja sigurnosti
Primjer fiziĝkog napada nije
Dumpster diving
Sve od navedenog su primjeri fiziĝkih napada
Snimanje broja pristupne kartice
Prirodne katastrofe
Autorizacija je
Identifikacija subjekata
Definiranje prava pristupa za subjekte
Najvažnije komponente plana fiziĝke sigurnosti ukljuĝuju
Fiziĝku I logiĝku kontrolu pristupa
Kontrolu pristupa, nadzor I testiranje sigurnosti
Ništa od navedenog
Socijalno inženjerstvo je zbirka tehnika koje se koriste za manipulaciju prirodnim ljudskim sklonostima povjerenja kako bi se dobile informacije
Toĝno
Netoĝno
Virus... Odaberite jedan odgovor:
Replicira funkcionalne kopije samog sebe
Širi se umetanjem kopije samog sebe u program I postaje dio programa
Ne reproducira se inficiranjem drugih datoteka niti se sam replicira - širi se kroz interakciju korisnika
Analiza malicioznog koda može biti
Unutarnja I vanjska
Statiĝka I dinamiĝka
Administrativna I tehniĝka
Stealth virusi
Često mijenjaju oblik kako bi se izbjeglo otkrivanje
Excel datoteke koje imaju zlonamjerni softver napisan u VBS-u
Skrivaju se u drugim legitimnim datotekama ili uslugama
Statiĝka analiza malicioznog koda
Provodi se pregledavanjem softverskog koda zlonamjernog softvera radi boljeg razumijevanja funkcioniranja zlonamjernog softvera
Vrši se promatranjem ponašanja zlonamjernog softvera dok stvarno radi na sustavu domaćina
Koji od sljedećih operatora se najĝešće koristi u kriptografiji?
OR
AND
XOR
NOR
NAND
Sljedeća formula omogućuje kriptografski siguran naĝin pohrane lozinke u bazi: md5(sha1(md2(lozinka)))
Toĝno
Netoĝno
Diffie–Hellman služi za:
Razmjenu kljuĝeva preko nesigurnog komunikacijskog kanala.
Oĝuvanje integriteta poruke
Kriptografski sigurnu autorizaciju korisnika u udaljenom sustavu.
Vertikalnu eskalaciju prava.
Čime se ostvaruje integritet poruka u mrežnoj komunikaciji?
SALT
CPU
MAC
HTTP
Objasnite formulu kriptiranja C = f(M)
Nije formula kriptiranja
Kriptiranu poruku C dobijemo primjenom algoritma enkripcije f nad plaintext porukom M
Nedostaje reverz funkcije, f-1 (C)
Radi se o formuli dekriptiranja
Niti jedno objašnjenje ne odgovara
Povežite pojmove iz procjene rizika.
1) Strateška vrijednost poslovnih informacija 2) Kritiĝnost ukljuĝene informacijske imovine 3) Pravni I regulativni zahtjevi, te ugovorne obveze 4) Operativna I poslovna važnost dostupnosti, povjerljivosti I integriteta 5) Oĝekivanja I percepcije dionika, te negativne posljedice za goodwill I ugled. Spadaju pod:
Navedeni kriteriji: 1) Kriterij može ukljuĝivati više pragova, s ciljne razine rizika, ali uz dopuštanje da viši menadžeri prihvate rizik iznad ove razine pod određenim uvjetima 2) Kriterij se može izraziti kao omjer procjenjene dobiti (ili neke druge poslovne koristi) I procjenjenog rizika 3) Razliĝiti kriteriji mogu se primijeniti na razliĝite klase rizika, npr. Rizik koji bi mogao mogao dovesti do neusklađenosti s propisima I zakonima ne može biti prihvaćen, ali se može dopustiti prihvaćanje visokog rizika koji je određen kao ugovorni uvjet) 4) Kriterij može ukljuĝivati zahtjeve za buduću dodatnu obradu, npr. Rizik može biti prihvaćen ako postoji odobrenje I obveza poduzimanja akcija da se rizik smanji na prihvatljivu razinu unutar definiranog vremenskog perioda.
Elementi koji razmatraju: 1) Razinu klasifikacije informacijske imovine koja je zahvaćena 2) Povrede informacijske sigurnosti (npr. Gubitak povjerljivosti, cjelovitosti I dostupnosti) 3) Pogoršanje u poslovanju (unutrašnjem ili za treće osobe) 4) Gubitak poslovne I financijske vrijednosti 5) Poremećaj planova I rokova 6) Šteta za ugled 7) Povrede zakonskih, regulatornih ili ugovornih zahtjeva
Sigurnost je... Odaberite jedan odgovor:
Ako se ono za što sustav nije namijenjen ne dogodi
Ako se ono za što je sustav namijenjen stvarno I dogodi
Autentiĝnost... Odaberite jedan odgovor:
Dosljedno, oĝekivano ponašanje I rezultati
Osigurava nemogućnost poricanja izvršene aktivnosti ili primitka informacije
Osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jest
Osigurava da aktivnosti subjekta mogu biti praćene jedinstveno do samog subjekta
Procjena kao korak sigurnosti procesa... Odaberite jedan odgovor:
Povezana s pravilima, procedurama, pravom I drugom regulativom, određivanjem budžeta I tehniĝkom procjenom stanja sigurnosti
Proces identifikacije upada
Proces oporavka
Primjena protumjera kako bi se smanjila mogućnost ugrožavanja sustava
Osnovni tipovi pristupa kod autorizacije su
Fiziĝki I logiĝki
Čitanje, pisanje I izvršavanje
Identifikacija I verifikacija
Konrola pristupa na temelju identiteta
Vlasnik podataka određuje tko može pristupiti određenim resursima
Mrežni administratori mogu uĝinkovitije upravljati aktivnostima I pristupom na temelju individualnih potreba
Korisnici nemaju puno slobode da utvrde tko ima pristup njihovim datotekama, sigurnosne dozvole korisnika I klasifikacija podataka koriste se za definiranje razine povjerenja
Administrativna kontrola pristupa
Ukljuĝuju segregaciju mreže, kontrole na raĝunalu, izradu sigurnostnih kopija podataka
Su softverski alati koji se koriste za ograniĝavanje pristupa subjektu određenim resursima
Definira ih top menadžment organizacije, a ukljuĝuje politike I procedure, edukaciju I testiranje
Vatrozid može biti
Na mreži I na hostu
Iskljuĝivo na hostu
Iskljuĝivo na mreži
Koje od navedenog nije VOUND atribut
Faza napada
Vektor napada
Izvor napada
Ako se AES iz nekog razloga ne može koristiti, uzet ćemo kao alternativu:
Twofish
SHA256
Bcrypt
3DES
DES
SSH2.1
RSA2048
Serenity
TLS omogućuje
Blokiranje IP adresa
Provjeru integriteta poruka
Razne metode kriptiranja podataka
Blokiranje portova
Odabir redundantnih ĝvorova u sluĝaju ispada glavnog linka
Razne metode razmjene kljuĝeva
Pojam "forward secrecy" odnosi se na:
Korištenje metoda kvantnog raĝunarstva za postizanje tajnosti budućih sesija
Korištenje "budućih enkripcijskih kljuĝeva po svakoj sesiji
Korištenje uvijek istih enkripcijskih kljuĝeva po svakoj sesiji
Niti jedno od navedenog
Korištenje "jednokratnih" enkripcijskih kljuĝeva po svakoj sesiji
Poduzeće X želi se osigurati od insajderskih prijetnji, tj. Zaposlenika koji žele namjerno oštetiti poduzeće. Koje kontrole bi trebalo poduzeće X implementirati da smanji taj rizik?
Društveni inžinjering (social engineering)
Screening provjere
Penetracijski test
Osiguranje zaposlenika (employee insurance)
Provjeru ranjivosti
Dokazivost
Dosljedno, oĝekivano ponašanje I rezultati
Osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jest
Osigurava nemogućnost poricanja izvršene aktivnosti ili primitka informacije
Osigurava da aktivnosti subjekta mogu biti praćene jedinstveno do samog subjekta
Brute force napad:
Je algoritamski zahtjevan
Je vremenski I procesorski zahtjevan
Uvijek može otkriti lozinku
Je brz I efikasan
Niti jedno od ponuđenog
Prijetnja je
Objekt, osoba ili drugi entitet koji predstavlja stalnu opasnost za imovinu organizacije
Slabost sustava koja omogućava izvoru prijetnje da kompromitira sigurnost sustava. iskorišten može biti softver, hardver, procedure ili ljudske slabosti
Akcije koje su usmjerene na ugrožavanje sigurnosti informacija, raĝunalnih sustava I mreža
Spoofing napad
Osoba ili program se uspješno maskira kao drugi krivotvorenjem podataka I time dobiva nezakonitu prednost
Pokušaj da raĝunalni resursi ne budu dostupni namjeravanim korisnicima
Pokušaj pohrane podataka izvan granica određenog međuspremnika
Bruteforce napad kao tehnika za napad na lozinke je
Pokušavaju svaku moguću kombinaciju dok se ne identificira ispravna, izvodi se alatima koji prolaze kroz mnoge moguće kombinacije znakova, brojeva I simbola kako bi otkrili lozinku
Slušanje mrežnog prometa za prikupljanje informacija, osobito kada korisnik šalje svoju lozinku na poslužitelj za provjeru autentiĝnosti
Pokrenut od strane programa u koje se unose rjeĝnici uobiĝajenih rijeĝi ili kombinacija znakova, a zatim uspoređuju te vrijednosti za hvatanje zaporki
Tehniĝke kontrole pristupa
Ukljuĝuju segregaciju mreže, kontrole na raĝunalu, izradu sigurnosnih kopija podataka
Su softverski alati koji se koriste za ograniĝavanje pristupa subjektu određenim resursima
Definira ih top menadžment organizacije, a ukljuĝuju politike I procedure, edukaciju, testiranje
Napad rjeĝnikom kao tehnika za napad lozinke
Slušanje mrežnog prometa za prikupljanje informacija, osobito kada korisnik šalje svoju lozinku na poslužitelj za provjeru autentiĝnosti
Pokušavaju svaku moguću kombinaciju dok se ne identificira ispravna, izvodi se alatima koji prolaze kroz mnoge moguće kombinacije znakova, brojeva I simbola kako bi otkrili lozinku
Koriste datoteke s tisućama rijeĝi za usporedbu s korisniĝkom lozinkom dok se ne pronađe odgovarajuća
Phishing
Upotrebljava tehnike socijalnog inžinjeringa za dobivanje osobnih podataka
Cilja iskljuĝivo odabrane skupine ili pojedince, ĝesto s namjerom sakupljanja vrlo specifiĝnih informacija ili zaraze određenih osoba zlonamjernim softverom
Makro virusi
Excel datoteke koje imaju zlonamjerni softver napisan u VSB-u
Skrivaju se u drugim legitimnim datotekama ili uslugama
ĝesto mijenjaju oblik kako bi se izbjeglo otkrivanje
U kontekstu asimetriĝne kriptografije, odaberite sustave koji nude potvrdu da je neki kljuĝ autentiĝan I ispravan:
MAC
XOR
WoT
Salt
WoS
PKI
Odaberite algoritam za razmjenu kljuĝeva:
SHA
GCM
XCHG
KEY_XCHG
Niti jedan od ponuđenih nije algoritam za razmjenu kljuĝeva
AES
ECDHE
CBC
Naĝelo najmanjih povlastica znaĝi
Ako ništa nije posebno konfigurirano za korisnika ili grupu kojoj pripada korisnik, korisnik ne bi trebao moći pristupiti tom resursu
Odvajanje svih sukobljenih podruĝja odgovornosti kako bi se smanjile mogućnosti neovlaštene ili nenamjerne modifikacije ili zlouporabe organizacijske imovine ili informacija
Organizacije trebaju konfigurirati svoje vatrozide po deny by default skupu pravila
Toĝno
Netoĝno
Biometrija je jedna od metoda autorizacije
Toĝno
Netoĝno
Ransomware je
Vrsta zlonamjernog softvera koji prijeti objavljivanjem podataka žrtve ili blokira pristup do podataka, osim ako se ne plati otkupnina
Softver koji oglašavaĝima pruža informacije o navikama korisnika, ĝime oglašavaĝu omogućuje oglašavanje ciljanih oglasa
Instaliran na raĝunalo bez znanja korisnika I prenosi informacije o korisniĝkim raĝunalnim aktivnostima putem Interneta
Za pohranu lozinke u bazu uz salt, najpametniji odabir biti će:
SHA1024
MD5
Niti jedno od ponuđenog
SHA512
RSA 4096
WannaCry
Bcrypt
Otvoren port na firewallu predstavlja:
Potencijalnu prijetnju
Ništa od navedenoga
Potencijalnu ranjivost
Potencijalni napad
Povjerljivost je
Zaštita od objavljivanja tajnih informacija
Zaštita od uskraćivanja informacija ovlaštenim korisnicima
Zaštita od neovlaštenih izmjena
TECSEC oznaĝava:
Sigurnost podataka na elektroniĝkim medijima I raĝunalima
Sigurnost podataka u sustavima za prijenos podataka
Sigurnost informacijske infrastrukture u posebnim kategorijama prostora od razliĝiti vrsta pasivnog ili aktivnog prisluškivanja
Kažnjavanje kao faza postupanja s raĝunalnim kriminalom ukljuĝuje
Rukovanje s dokazima, vještaĝenje eksperata, prezentaciju na sudu, aktivnosti nakon presude
Rukovođenje kriznim situacijama, obradu I praćenje upada, istragu I pravosudni progon, bilježenje tragova, prikupljanje dokaza
Procjenu rizika I analizu prijetnji, fiziĝku sigurnost, sigurnost osoblja, komunikacijsku sigurnost, operacijsku sigurnost, planiranje naĝina za borbu protiv raĝunalnog kriminala
Lažno predstavljanje pripada u
Prijetnje na osobnu sigurnost
Prijetnje na operativnu sigurnost
Prijetnje na fiziĝku sigurnost
Prijetnje na komunikaciju I sigurnost podataka
Kopanje po smeću pripada u
Prijetnje na operativnu sigurnost
Prijetnje na osobnu sigurnost
Prijetnje na komunikaciju I sigurnost podataka
Prijetnje na fiziĝku sigurnost
"Potrebno znati" kao princip kontrole pristupa znaĝi
Pojedincima bi se trebalo dati pristup samo informacijama koje trebaju za obavljanje njihovih dužnosti
Odvajanje svih sukobljenih podruĝja odgovornosti kako bi se smanjile mogućnosti neovlaštene ili nenamjerne modifikacije ili zlouporabe organizacijske imovine ili informacija
Ako ništa nije posebno konfigurirano za korisnika ili grupu kojoj pripada korisnik, korisnik ne bi trebao moći pristupiti tom resursu
Single sign-on je
Tehnologija koja omogućuje korisniku da unese login podatke jednom I da može pristupiti svim resursima u primarnim I sekundarnim mrežnim domenama
Tehnologija koja omogućuje korisniku da unese login podatke jednom I kasnije ih više ne može koristiti (jednokratna lozinka)
Polimorfni virusi
Excel datoteke koje imaju zlonamjerni softver napisan u VBS-u
Skrivaju se u drugim legitimnim datotekama ili uslugama
Često mijenjaju oblik kako bi se izbjeglo otkrivanje
Najĝešći dijelovi crva kao vrste malicioznog koda su
Scripter, payload, destructor
Searcher, propagator, payload
Searcher, propagator, destructor
Crv je
Replicira funkcionalne kopije samog sebe
Ne reproducira se inficiranjem drugih datoteka niti se sam replicira - širi se kroz interakciju korisnika
Vrsta malicioznog koda koji se širi umetanjem kopije samog sebe u program I postaje dio programa
U operativni uĝinak napada Uskraćivanje dostupnosti pripada
Volumetriĝki napad
Web defacement
Sniffing
Sandbox
Kontrolirano okruženje koje ograniĝava operacije koje programi mogu izvesti I koji ih izdvaja od drugih aplikacija koje se izvode na istom hostu
Se ne može resetirati u poznato dobro stanje za razliku od segregacije putem virtualizacije
Puno sigurnije okruženje od segregacije putem virtualizacije
{"name":"SIS - teorija", "url":"https://www.quiz-maker.com/QPREVIEW","txt":"Ova kviz će testirati vaše znanje o teoriji sigurnosti informacijskih sustava. Ukljuĝuje razne aspekte sigurnosti, od napada i ranjivosti do forenzike i autentikacije.Pripremite se na:120 izazovnih pitanjaRazliĝite vrste pitanja: višestruki izbor, potraži, oznaĝiTestiranje vaših teorijskih znanja i praktiĝnih vještina","img":"https:/images/course4.png"}