Pregunta 1
¿Qué afirmación describe mejor el término hacker ético?
una persona que imita a un atacante para evaluar la postura de seguridad de una red
Pregunta 2
¿Qué término de actor de amenazas describe un grupo bien financiado y motivado que utilizará las últimas técnicas de ataque para obtener ganancias financieras?
Crimen organizado
Pregunta 3
¿Qué tipo de actor de amenazas utiliza el delito cibernético para robar datos confidenciales y revelarlos públicamente para avergonzar a un objetivo?
Hacktivista
Pregunta 4
¿Qué es un ataque patrocinado por el estado?
Un ataque perpetrado por gobiernos de todo el mundo para interrumpir o robar información de otras naciones.
Pregunta 5
¿Qué es un ataque de amenaza interna?
Un ataque perpetrado por empleados descontentos dentro de una organización.
Pregunta 6
¿Qué tipo de debilidad de seguridad se evalúa mediante pruebas de penetración basadas en aplicaciones?
fallas lógicas
Pregunta 7
¿Qué dos recursos se evalúan mediante una prueba de penetración de la infraestructura de red? (Elija dos opciones.)
IPS
servidores AAA
Pregunta 8
Al realizar una prueba de penetración basada en una aplicación web, ¿la evaluación también debe incluir la prueba de acceso a qué recursos?
bases de datos back-end
Pregunta 9
¿Cuál es el propósito de los programas de recompensas por errores utilizados por las empresas?
recompensar a los profesionales de seguridad por encontrar vulnerabilidades en los sistemas de la empresa
Pregunta 10
¿Qué caracteriza a una prueba de penetración en un entorno parcialmente conocido?
La prueba es un enfoque híbrido entre las pruebas de entornos desconocidos y conocidos.
Pregunta 11
¿Qué caracteriza a una prueba de penetración en un entorno conocido?
El evaluador podría contar con diagramas de red, direcciones IP, configuraciones y credenciales de usuario.
Pregunta 12
¿Qué tipo de prueba de penetración solo proporcionaría al verificador información limitada, como los nombres de dominio y las direcciones IP en el alcance?
prueba de entorno desconocido
Pregunta 13
Haga coincidir la metodología de las pruebas de penetración con la descripción.
PTES - proporciona información sobre tipos de ataques y métodos
OWASP WSTG - cubre las fases de alto nivel de las pruebas de seguridad de las aplicaciones web
MITRE ATT&CK - colección de diferentes matrices de tácticas y técnicas que los adversarios utilizan mientras se preparan para un ataque
NIST SP 800-115 - proporciona a las organizaciones pautas sobre la planificación y realización de pruebas de seguridad de la información
OSSTMM - establece pruebas de seguridad repetibles y uniformes
Pregunta 14
¿Qué tres opciones son fases del estándar de ejecución de pruebas de penetración (PTES)? (Escoja tres opciones.)
Explotación
Modelado de amenazas
Informes
Pregunta 15
¿Qué dos opciones son fases del Marco de Evaluación de la Seguridad de los Sistemas de Información (ISSAF)? (Elija dos opciones.)
Identificación de vulnerabilidades
Mantener el acceso
Pregunta 16
¿Qué dos opciones son fases en el Manual de metodología de pruebas de seguridad de código abierto (OSSTMM)? (Elija dos opciones.)
Flujo de Trabajo
Análisis de confianza
Pregunta 17
¿Qué metodología de pruebas de penetración es una guía completa centrada en las pruebas de aplicaciones web?
OWASP WSTG
Pregunta 18
¿Qué opción es una distribución de Linux que incluye herramientas y recursos de pruebas de penetración?
BlackArch
Pregunta 19
¿Qué opción es una URL de distribución de Linux que proporciona un entorno de aprendizaje conveniente sobre herramientas y metodologías de prueba de penetración?
parrotsec.org
Pregunta 20
¿Qué significa el requisito de "Monitoreo del estado de salud" al configurar un entorno de laboratorio de pruebas de penetración?
El evaluador debe poder determinar las causas cuando algo falla.
Pregunta 21
¿Qué herramienta sería útil al realizar una prueba de penetración de la infraestructura de red?
herramienta para evitar cortafuegos e IPS
Pregunta 22
¿Qué herramienta se debe utilizar para realizar una prueba de penetración basada en la aplicación?
herramienta de interceptación de servidores proxy
Pregunta 23
¿Qué herramientas se deben utilizar para realizar una prueba de penetración de la infraestructura inalámbrica?
herramientas de desautorización de dispositivos de red
Pregunta 24
¿Qué herramientas se deben utilizar para probar las plataformas de servidor y cliente en un entorno?
herramientas de escaneo de vulnerabilidades
Pregunta 25
A veces, un evaluador no puede virtualizar un sistema para realizar las pruebas de penetración adecuadas. ¿Qué medidas se deben tomar si un sistema no se puede probar en un entorno virtualizado?
una copia de respaldo completa del sistema
Cuestionario no encontrado.