NR. 19 Ein Unternehmen bereitet sich auf die Einführung eines globalen Dienstes vor.
Welche der folgenden Maßnahmen muss das Unternehmen ergreifen, um die Einhaltung der Datenschutzgrundverordnung zu gewährleisten? (Wählen Sie zwei.)

NR. 20 Ein Unternehmen setzt APIs ein, die einen privaten und einen öffentlichen Schlüssel verwenden, um sicherzustellen, dass die Verbindungszeichenfolge geschützt ist. Um eine Verbindung mit der API herzustellen, müssen die Kunden den privaten Schlüssel verwenden.
Welche der folgenden Optionen würde die REST-API-Verbindung zur Datenbank am BESTEN absichern und gleichzeitig die Verwendung einer hartkodierten Zeichenfolge in der Anforderungszeichenfolge verhindern?

NR. 21 Ein Sicherheitsanalyst untersucht Containerisierungskonzepte für ein Unternehmen. Der Analyst ist besorgt über mögliche Szenarien der Ressourcenerschöpfung auf dem Docker-Host aufgrund einer einzelnen Anwendung, die die verfügbaren Ressourcen übermäßig beansprucht.
Welches der folgenden Linux-Kernkonzepte spiegelt am BESTEN die Möglichkeit wider, die Ressourcenzuweisung für Container zu begrenzen?

NR. 22 Während eines Systempenetrationstests hat sich ein Sicherheitsingenieur als Standardbenutzer erfolgreich Zugang zu einer Shell auf einem Linux-Host verschafft und möchte die Berechtigungsstufen erhöhen.
Welche der folgenden Methoden ist eine gültige Linux-Post-Exploitation-Methode, die zur Erreichung dieses Ziels verwendet werden kann?

NR. 23 Ein Unternehmen bietet Gästen WiFi-Zugang zum Internet und trennt das Gastnetzwerk physisch vom internen WIFI des Unternehmens. Aufgrund eines kürzlichen Vorfalls, bei dem sich ein Angreifer Zugang zum firmeninternen WIFI verschafft hat, plant das Unternehmen die Konfiguration von WPA2 Enterprise in einer EAP-TLS-Konfiguration. Welche der folgenden Komponenten müssen auf den autorisierten Hosts installiert sein, damit diese neue Konfiguration ordnungsgemäß funktioniert?

NR. 24 Ein Unternehmen veröffentlicht mehrere APIs für Kunden und ist verpflichtet, Schlüssel zu verwenden, um Kundendatensätze zu trennen.
Welche der folgenden Optionen wäre für die Speicherung von Kundenschlüsseln am besten geeignet?

NR. 25 Unmittelbar nach der Meldung eines potenziellen Einbruchs erstellt ein Sicherheitstechniker ein forensisches Image des betreffenden Servers als Teil des Verfahrens zur Reaktion auf einen Vorfall im Unternehmen. Was muss geschehen, um die Integrität des Abbilds zu gewährleisten?

NR. 26 Alle Mitarbeiter eines Unternehmens haben aufgrund einer weltweiten Pandemie mit der Arbeit aus der Ferne begonnen. Um den Übergang zur Telearbeit zu erleichtern, hat das Unternehmen SaaS-Tools für die Zusammenarbeit eingeführt. Die Personalabteilung möchte diese Tools für die Verarbeitung sensibler Informationen nutzen, hat aber Bedenken, dass die Daten entwendet werden könnten:
Durch den Druck der Dokumente an die Medien durchgesickert
Gesendet an eine persönliche E-Mail Adresse
Zugriff und Einsicht durch Systemadministratoren
Hochgeladen auf einen Dateispeicherplatz
Welche der folgenden Möglichkeiten würde die Bedenken des Ministeriums zerstreuen?

NR. 27 Ein Unternehmen bereitet sich auf die Einführung eines globalen Dienstes vor.
Welche der folgenden Maßnahmen muss das Unternehmen ergreifen, um die Einhaltung der Datenschutzgrundverordnung zu gewährleisten? (Wählen Sie zwei.)

NR. 28 Eine Organisation hat eine Social-Media-Anwendung entwickelt, die von Kunden an mehreren entfernten geografischen Standorten auf der ganzen Welt genutzt wird. Der Hauptsitz der Organisation und das einzige Rechenzentrum befinden sich in New York City. Der Chief Information Security Officer möchte sicherstellen, dass die folgenden Anforderungen für die Social-Media-Anwendung erfüllt werden:
Niedrige Latenzzeiten für alle mobilen Nutzer zur Verbesserung der Nutzererfahrung
SSL-Offloading zur Verbesserung der Webserverleistung
Schutz vor DoS- und DDoS-Angriffen
Hohe Verfügbarkeit
Welche der folgenden Maßnahmen sollte das Unternehmen ergreifen, um am besten sicherzustellen, dass alle Anforderungen erfüllt werden?

NR. 29 Eine Universität gibt über ein selbst entwickeltes Identitätsmanagementsystem Ausweise an alle Mitarbeiter und Studenten aus. Während des Sommers kommen jede Woche vorübergehend Studenten an, die einen Ausweis benötigen, um Zugang zu minimalen Campus-Ressourcen zu erhalten. Das Sicherheitsteam erhielt einen Bericht von einem externen Prüfer, der darauf hinwies, dass das selbst entwickelte System nicht mit den besten Praktiken im Sicherheitsbereich übereinstimmt und die Einrichtung angreifbar macht.
Welche der folgenden Maßnahmen sollte das Sicherheitsteam ZUERST empfehlen?

NR. 30 Unternehmen A hat Unternehmen B übernommen.
Während eines Audits stellte ein Sicherheitsingenieur fest, dass die Umgebung von Unternehmen B unzureichend gepatcht war. Daraufhin errichtete Unternehmen A eine Firewall zwischen den beiden Umgebungen, bis die Infrastruktur von Unternehmen B in das Sicherheitsprogramm von Unternehmen A integriert werden konnte.
Welche der folgenden Techniken zur Risikobewältigung wurden angewandt?

NR. 31 Ein Sicherheitsingenieur prüfte die derzeitige Softwareentwicklungspraxis eines Unternehmens und entdeckte, dass mehrere Open-Source-Bibliotheken in die Software des Unternehmens integriert waren. Das Unternehmen führt derzeit eine SAST und DAST für die von ihm entwickelte Software durch.
Welche der folgenden Punkte sollte das Unternehmen in den SDLC einbeziehen, um die Sicherheit der Open-Source-Bibliotheken zu gewährleisten?

NR. 32 Welche der folgenden Aussagen legt die Erwartungen zwischen dem Sicherheitsteam und den Geschäftsbereichen innerhalb einer Organisation am BESTEN fest?

NR. 33 Ein Penetrationstester hat sich Root-Zugriff auf einen Windows-Server verschafft und darf gemäß den Rules of Engagement eine Post-Exploitation zur Persistenz durchführen.
Welche der folgenden Techniken würde dies am besten unterstützen?

NR. 34 Ein Anwendungsserver wurde vor kurzem aktualisiert, um TLS 1.3 zu bevorzugen, und nun können Benutzer ihre Clients nicht mehr mit dem Server verbinden. Versuche, den Fehler zu reproduzieren, werden bestätigt, und die Clients melden Folgendes:
ERR_SSL_VERSION_ODER_CIPHER_MISMATCH
Welcher der folgenden Punkte ist am ehesten die Ursache?

NR. 35 Ein Unternehmen hat beschlossen, den Nutzern mobiler Unternehmensgeräte microSD-HSMs zur Verfügung zu stellen, die in den mobilen Geräten installiert werden müssen, um aus der Ferne auf Unternehmensressourcen zugreifen zu können. Welche der folgenden Eigenschaften dieser Geräte hat am ehesten zu dieser Entscheidung geführt? (Wählen Sie ZWEI.)