NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

CompTIA CAS-004 Certification Exam Answers Solutions for Exam Success, CompTIA CASP+ Certification | SPOTO

Prepare-se eficazmente para a sua certificação CompTIA CASP+ com os nossos testes práticos actualizados. Nossas perguntas e respostas do exame são meticulosamente selecionadas para refletir o conteúdo mais recente do exame CAS-004. Aceda às nossas amostras de teste gratuitas para avaliar a sua preparação e aperfeiçoar as suas competências. As nossas lixeiras de exame fornecem uma cobertura abrangente dos principais conceitos, garantindo que você esteja bem preparado para qualquer desafio. Mergulhe nas nossas amostras de perguntas e exames simulados para se familiarizar com o formato do exame e ganhar confiança. Com as nossas perguntas de exame online e simulador de exame, pode simular cenários de teste reais para melhorar a sua prática de exame. Confie no SPOTO para obter materiais de exame de alto nível e orientação especializada em sua jornada para o sucesso da certificação CASP+.
Faça outros exames online
Pergunta #1
Uma organização está a fazer referência às melhores práticas do NIST para a criação de PCN enquanto revê os actuais processos organizacionais internos para itens essenciais à missão. Qual das seguintes fases estabelece a identificação e a priorização de sistemas e funções críticos?
A. Rever uma análise de lacunas recente
B. Efetuar uma análise custo-benefício
C. Efetuar uma análise de impacto comercial
D. Desenvolver uma matriz de factores de exposição
Ver resposta
Resposta correta: D
Pergunta #2
Um Diretor de Segurança da Informação (CISO) está a desenvolver planos de ação correctiva com base no seguinte, resultante de uma análise de vulnerabilidades de anfitriões internos: Qual das seguintes acções correctivas é a MAIS adequada para documentar esta descoberta?
A. O proprietário do produto deve efetuar uma avaliação do impacto no negócio relativamente à capacidade de implementar um WAF
B. O programador da aplicação deve utilizar uma ferramenta de análise de código estático para garantir que o código da aplicação não é vulnerável a excessos de memória intermédia
C. O administrador do sistema deve avaliar as dependências e efetuar a atualização conforme necessário
D. O centro de operações de segurança deve desenvolver uma regra IDS personalizada para evitar ataques de buffer overflows contra este servidor
Ver resposta
Resposta correta: C
Pergunta #3
Uma equipa de recuperação de desastres descobriu vários erros que foram cometidos durante o último teste paralelo de recuperação de desastres. Os recursos computacionais esgotaram-se em 70% da restauração dos serviços críticos. Qual dos seguintes itens deve ser modificado para evitar que o problema ocorra novamente?
A. Objetivo do ponto de recuperação
B. Objetivo do tempo de recuperação
C. Funções essenciais à missão
D. Nível de serviço de recuperação
Ver resposta
Resposta correta: B
Pergunta #4
Uma organização está a avaliar a postura de segurança de um novo sistema CRM SaaS que lida com informações sensíveis de PI I e de identidade, tais como números de passaporte. O sistema CRM SaaS não cumpre as normas de segurança actuais da organização. A avaliação identifica o seguinte: 1) Haverá uma perda de receita de 520.000 por dia para cada dia em que o sistema for adiado para entrar em produção. 2) O risco inerente é elevado. 3) O risco residual é baixo. 4) Haverá uma implementação faseada da solução para os clientes
A. Solicitar uma isenção de segurança, uma vez que o risco é demasiado elevado para ser aceite
B. Transferir o risco para o fornecedor de CRM SaaS, uma vez que a organização está a utilizar um serviço na nuvem
C. Aceitar o risco, uma vez que foram implementados controlos compensatórios para gerir o risco
D. Evitar o risco, aceitando o modelo de responsabilidade partilhada com o fornecedor de CRM SaaS
Ver resposta
Resposta correta: A
Pergunta #5
Uma pequena empresa precisa de reduzir os seus custos operacionais. Os fornecedores propuseram soluções, todas elas centradas na gestão do sítio Web e dos serviços da empresa. O diretor de segurança da informação (CISO) insiste que todos os recursos disponíveis na proposta devem ser dedicados, mas a gestão de uma nuvem privada não é uma opção. Qual das seguintes opções é a MELHOR solução para esta empresa?
A. Modelo de serviço comunitário de computação em nuvem
B. Multinível SaaS
C. SaaS de aluguer único
D. Modelo de serviço de nuvem no local
Ver resposta
Resposta correta: D
Pergunta #6
Qual dos seguintes controlos detecta principalmente o abuso de privilégios, mas não o impede?
A. Despedida
B. Separação de funções
C. Privilégio mínimo
D. Rotação de funções
Ver resposta
Resposta correta: DE
Pergunta #7
Uma empresa adquiriu recentemente um fornecedor de SaaS e precisa de integrar a sua plataforma na infraestrutura existente da empresa sem afetar a experiência do cliente. O fornecedor de SaaS não tem um programa de segurança maduro Uma análise recente das vulnerabilidades dos sistemas do fornecedor de SaaS mostra várias vulnerabilidades críticas atribuídas a sistemas operacionais muito antigos e desactualizados. Qual das seguintes soluções evitaria que essas vulnerabilidades fossem introduzidas na infraestrutura existente da empresa?
A. Segmentar os sistemas para reduzir a superfície de ataque se ocorrer um ataque
B. Migrar os serviços para novos sistemas com um sistema operativo suportado e corrigido
C. Atualizar os sistemas para as versões mais recentes dos sistemas operativos existentes
D. Instalar a luta contra a guerra
E. HIPS e firewalls baseadas em host em cada um dos sistemas
Ver resposta
Resposta correta: C
Pergunta #8
Um auditor de segurança precisa de analisar a forma como um dispositivo de entretenimento funciona. O auditor está a analisar o resultado de uma ferramenta de rastreio de portas para determinar os próximos passos da análise de segurança. Dada a seguinte saída de registo. A melhor opção para o auditor usar o NEXT é:
A. Uma avaliação SCAP
B. Engenharia inversa
C. Fuzzing
D. Interceção de redes
Ver resposta
Resposta correta: B
Pergunta #9
Uma organização está a estabelecer um novo programa de garantia de software para verificar as aplicações antes de serem introduzidas no ambiente de produção, Infelizmente, muitas das aplicações são fornecidas apenas como binários compilados. Qual das seguintes opções a organização deve usar para analisar esses aplicativos? (Selecione DOIS).
A. Testes de regressão
B. SAST
C. Gestão de dependências de terceiros
D. IDE SAST
E. Testes Fuzz
F. IAST
Ver resposta
Resposta correta: D
Pergunta #10
Um atacante infiltrou-se na base de código de um fabricante de hardware e inseriu malware antes de o código ser compilado. O código malicioso está agora a ser executado ao nível do hardware em várias indústrias e sectores. Qual das seguintes categorias descreve MELHOR este tipo de risco de fornecedor?
A. Ataque SDLC
B. Ataque de carga lateral
C. Assinatura remota de código
D. Ataque à cadeia de abastecimento
Ver resposta
Resposta correta: D
Pergunta #11
Um engenheiro de segurança precisa de implementar um CASB para proteger o tráfego Web dos utilizadores funcionários. Um requisito fundamental é que os dados de eventos relevantes sejam recolhidos a partir de componentes de infraestrutura existentes no local e consumidos pelo CASB para aumentar a visibilidade do tráfego. A solução deve ser resistente a interrupções de rede durante a noite. Qual dos seguintes componentes arquitectónicos satisfaria MELHOR estes requisitos?
A. Recolha de registos
B. Proxy invertido
C. AWAF
D. Modo API
Ver resposta
Resposta correta: A
Pergunta #12
Um técnico está a rever os registos e repara que um grande número de ficheiros foi transferido para locais remotos ao longo de três meses. Esta atividade parou depois. Os ficheiros foram transferidos através de sessões HTTP protegidas por TLS a partir de sistemas que não enviam tráfego para esses sites. O técnico definirá esta ameaça como:
A. um RSA de desencriptação utilizando um ataque de encriptação obsoleto e enfraquecido
B. um ataque de dia zero
C. uma ameaça persistente avançada
D. um ataque on-path
Ver resposta
Resposta correta: A
Pergunta #13
Um banco está a trabalhar com um arquiteto de segurança para encontrar a MELHOR solução para detetar comprometimentos no sistema de gestão de bases de dados. A solução deve atender aos seguintes requisitos: Trabalhar na camada de aplicação Enviar alertas sobre ataques de utilizadores privilegiados e maliciosos Ter um falso positivo muito baixo Qual das seguintes opções o arquiteto deve recomendar?
A. FIM
B. WAF
C. NIPS
D. DAM
E. UTM
Ver resposta
Resposta correta: C
Pergunta #14
Um scanner de vulnerabilidades detectou uma versão obsoleta de uma aplicação de partilha de ficheiros de código aberto num dos servidores Linux de uma empresa. Apesar de a versão do software já não ser suportada pela comunidade OSS, o fornecedor de Linux da empresa fez backport de correcções, aplicou-as a todas as vulnerabilidades actuais e concorda em suportar o software no futuro. Com base neste acordo, esta descoberta é classificada como uma:
A. verdadeiro positivo
B. verdadeiro negativo
C. falso positivo
D. falso negativo
Ver resposta
Resposta correta: A
Pergunta #15
Uma organização desenvolveu uma aplicação de redes sociais que é utilizada por clientes em várias localizações geográficas remotas em todo o mundo. A sede da organização e o único centro de dados estão localizados na cidade de Nova Iorque. O Diretor de Segurança da Informação pretende garantir que são cumpridos os seguintes requisitos para a aplicação de redes sociais: Baixa latência para todos os utilizadores móveis para melhorar a experiência dos utilizadores Descarregamento de SSL para melhorar o desempenho do servidor Web Proteção contra ataques DoS e DDoS Elevada disponibilidade
A. Um grupo de servidores de cache no seu centro de dados
B. Um grupo de servidores proxy invertidos com equilíbrio de carga e aceleração SSL
C. Uma CDN com a origem definida para o seu centro de dados
D. Ligações à Internet duplas de velocidade gigabit com prevenção de DDoS gerida
Ver resposta
Resposta correta: D
Pergunta #16
Uma empresa de transporte que está a tentar eliminar classes inteiras de ameaças está a desenvolver uma política SELinux para garantir que os seus dispositivos Android personalizados são utilizados exclusivamente para o seguimento de pacotes. Depois de compilar e implementar a política, em qual dos seguintes modos a empresa deve garantir que os dispositivos estão configurados para serem executados?
A. Proteção
B. Permissivo
C. Execução
D. Obrigatório
Ver resposta
Resposta correta: A
Pergunta #17
Uma empresa acaba de lançar uma nova placa de vídeo. Devido à oferta limitada e à elevada procura, os atacantes estão a empregar sistemas automatizados para comprar o dispositivo através da loja Web da empresa para o poderem revender no mercado secundário. Os clientes pretendidos da empresa estão frustrados. Um engenheiro de segurança sugere a implementação de um sistema CAPTCHA na loja virtual para ajudar a reduzir o número de placas de vídeo compradas através de sistemas automatizados. Qual das seguintes opções descreve agora o nível de risco?
A. Baixa inerente
B. Atenuada
C. Residual
D. Transferido
Ver resposta
Resposta correta: D
Pergunta #18
Uma equipa de engenharia está a desenvolver e a implementar uma frota de dispositivos móveis para serem utilizados para fins de gestão de inventário especializado. Estes dispositivos devem: * Ser baseados no Android de código aberto para maior familiaridade e facilidade de utilização. * Fornecer uma única aplicação para a gestão do inventário de bens físicos. * Permitir que a câmara seja utilizada apenas pela aplicação de inventário para efeitos de digitalização * Proibir toda e qualquer modificação da base de configuração. * Restringir todo o acesso a qualquer recurso do dispositivo que não seja necessário para a gestão do inventário
A. Definir uma política de envolvimento de aplicações, envolver a aplicação, distribuir o APK de inventário através da ferramenta MAM e testar as restrições da aplicação
B. Escreva uma sepolítica MAC que defina domínios com regras, rotule a aplicação de inventário, crie a política e defina o modo de imposição
C. Trocar a versão do kernel Linux do Android para >2,4,0, mas a Internet constrói o Android, remover funções desnecessárias através de MDL, configurar para bloquear o acesso à rede e efetuar testes de integração
D. Crie e instale uma política de middleware Android com requisitos adicionados, copie o ficheiro para/ user/init e, em seguida, crie a aplicação de inventário
Ver resposta
Resposta correta: B
Pergunta #19
O objetivo de um Chief Information Security Officer (CISO) que fornece métricas actualizadas ao comité de risco de um banco é garantir:
A. O orçamento para a cibersegurança aumenta de ano para ano
B. A comissão sabe quanto trabalho está a ser feito
C. As unidades de negócio são responsáveis pela sua própria atenuação
D. O banco está ciente do estado dos riscos de cibersegurança
Ver resposta
Resposta correta: A
Pergunta #20
Um analista de segurança está a rever o seguinte relatório de avaliação de vulnerabilidades: Qual dos seguintes itens deve ser corrigido PRIMEIRO para minimizar os ataques contra hosts voltados para a Internet?
A. Servidor1
B. Servidor2
C. Servidor 3
D. Servidores
Ver resposta
Resposta correta: D
Pergunta #21
Ao investigar um evento de segurança, um analista encontra provas de que um utilizador abriu um anexo de correio eletrónico de uma fonte desconhecida. Pouco depois de o utilizador ter aberto o anexo, um grupo de servidores registou uma grande quantidade de atividade de rede e de recursos. Ao investigar os servidores, o analista descobre que os servidores foram encriptados por ransomware que exige um pagamento no prazo de 48 horas ou todos os dados serão destruídos. A empresa não tem planos de resposta para ransomware. Qual das seguintes opções é o PRÓXIMO passo para
A. Pagar o resgate no prazo de 48 horas
B. Isolar os servidores para evitar a propagação
C. Notificar as autoridades policiais
D. Solicitar que os servidores afectados sejam restaurados imediatamente
Ver resposta
Resposta correta: C
Pergunta #22
Um Diretor de Informação está a considerar migrar todos os dados da empresa para a nuvem para poupar dinheiro em armazenamento SAN dispendioso. Qual das seguintes opções é uma preocupação de segurança que, muito provavelmente, terá de ser abordada durante a migração?
A. Latência
B. Exposição dos dados
C. Perda de dados
D. Dispersão de dados
Ver resposta
Resposta correta: A
Pergunta #23
Uma empresa pretende proteger a sua propriedade intelectual contra roubo. A empresa já aplicou ACLs e DACs. Qual das seguintes opções a empresa deve usar para evitar o roubo de dados?
A. Marcação de água
B. GDD
C. NDA
D. Registo de acesso
Ver resposta
Resposta correta: B
Pergunta #24
Um analista de segurança está preocupado com o facto de uma peça de código malicioso ter sido descarregada num sistema Linux. Após alguma pesquisa, o analista determina que a parte suspeita do código está a executar muita entrada/saída (I/O) na unidade de disco. Com base na saída acima, a partir de qual dos seguintes IDs de processo o analista pode iniciar uma investigação?
A. 65
B. 77
C. 83
D. 87
Ver resposta
Resposta correta: C
Pergunta #25
Uma organização está a desenvolver um plano de recuperação de desastres que requer a criação de cópias de segurança dos dados e a sua disponibilização a qualquer momento. Qual das seguintes opções a organização deve considerar PRIMEIRO para atender a esse requisito?
A. Implementar um plano de gestão de alterações para garantir que os sistemas estão a utilizar as versões adequadas
B. Contratar pessoal adicional de permanência para ser destacado em caso de ocorrência de um evento
C. Conceber um sítio quente adequado para a continuidade da atividade
D. Identificar processos comerciais críticos e determinar os requisitos de software e hardware associados
Ver resposta
Resposta correta: A
Pergunta #26
Uma empresa de desenvolvimento de software disponibiliza a sua versão de software aos clientes a partir de um portal Web. Em várias ocasiões, os piratas informáticos conseguiram aceder ao repositório de software para alterar o pacote que é automaticamente publicado no sítio Web. Qual das seguintes seria a MELHOR técnica para garantir que o software que os utilizadores descarregam é o software oficial lançado pela empresa?
A. Distribuir o software através de um repositório de terceiros
B. Fechar o repositório Web e entregar o software por correio eletrónico
C. Enviar a ligação do software por correio eletrónico a todos os clientes
D. Apresentar a soma de verificação SHA no sítio Web
Ver resposta
Resposta correta: D
Pergunta #27
Um analista de ameaças repara no seguinte URL enquanto examina os registos HTTP. Qual dos seguintes tipos de ataque o analista de ameaças está vendo?
A. Injeção de SQL
B. CSRF
C. Sequestro de sessão
D. XSS
Ver resposta
Resposta correta: A
Pergunta #28
Uma análise dos padrões de ataque do ano passado mostra que os atacantes pararam o reconhecimento depois de encontrarem um sistema suscetível de ser comprometido. A empresa gostaria de encontrar uma forma de utilizar estas informações para proteger o ambiente e, ao mesmo tempo, obter informações valiosas sobre os ataques. Qual das seguintes opções seria a MELHOR para a empresa implementar?
A. UM WAF
B. Um IDS
C. UM SIEM
D. Um ponto de mel
Ver resposta
Resposta correta: BC
Pergunta #29
Um requisito de conformidade de segurança declara que ambientes específicos que lidam com dados confidenciais devem ser protegidos por restrições de necessidade de conhecimento e só podem se conectar a pontos de extremidade autorizados. O requisito também afirma que uma solução DLP dentro do ambiente deve ser usada para controlar os dados que saem do ambiente. Qual das seguintes opções deve ser implementada para utilizadores privilegiados, para que possam suportar o ambiente a partir das suas estações de trabalho, mantendo a conformidade?
A. NAC para controlar os pontos finais autorizados
B. FIM nos servidores que armazenam os dados
C. Uma jump box na sub-rede rastreada
D. Uma solução VPN geral para a rede primária
Ver resposta
Resposta correta: C
Pergunta #30
Uma empresa de serviços financeiros pretende migrar os seus serviços de correio eletrónico de servidores locais para uma solução de correio eletrónico baseada na nuvem. O diretor de segurança da informação (CISO) deve informar o conselho de administração sobre as potenciais preocupações de segurança relacionadas com esta migração. A direção está preocupada com o seguinte. * Transacções solicitadas por indivíduos não autorizados * Discrição total relativamente a nomes de clientes, números de contas e informações de investimento. * Um atacante mal-intencionado usa o e-mail para distribuir malware e
A. Prevenção da perda de dados
B. Resposta à deteção de pontos finais
C. VPN SSL
D. Lista branca de aplicações
Ver resposta
Resposta correta: D
Pergunta #31
Uma equipa de DevOps implementou bases de dados, serviços orientados para eventos e um gateway de API como solução PaaS que irá suportar um novo sistema de faturação. Qual das seguintes responsabilidades de segurança a equipa de DevOps terá de desempenhar?
A. Configurar de forma segura os mecanismos de autenticação
B. Corrigir a infraestrutura no sistema operativo
C. Executar o rastreio de portas nos serviços
D. Atualizar o serviço como parte da gestão do ciclo de vida
Ver resposta
Resposta correta: AD
Pergunta #32
Uma pequena empresa gostaria de fornecer aos convidados que utilizam dispositivos móveis acesso WPA3 encriptado sem distribuir primeiro PSKs ou outras credenciais. Qual dos seguintes recursos permitirá que a empresa atinja esse objetivo?
A. Autenticação simultânea de iguais
B. Abertura melhorada
C. Segredo de transmissão perfeito
D. Protocolo de autenticação extensível
Ver resposta
Resposta correta: A
Pergunta #33
Um Diretor de Informação (CIO) pretende implementar uma solução de nuvem que satisfaça os seguintes requisitos: Suportar todas as fases do SDLC. Utilizar software de portal de sítio Web personalizado. Permitir que a empresa crie e use seu próprio software de gateway. Utilizar a sua própria plataforma de gestão de dados. Continuar a usar ferramentas de segurança baseadas em agentes. Qual dos seguintes modelos de computação em nuvem o CIO deve implementar?
A. SaaS
B. PaaS
C. MaaS
D. IaaS
Ver resposta
Resposta correta: A
Pergunta #34
Um analista de segurança está a ler os resultados de uma exploração bem sucedida que foi recentemente conduzida por testadores de penetração de terceiros. Os testadores efectuaram a engenharia inversa de um executável privilegiado. No relatório, o planeamento e a execução da exploração são detalhados utilizando registos e resultados do teste. No entanto, falta o vetor de ataque da exploração, o que dificulta a recomendação de medidas correctivas. Dado o seguinte resultado: Os testadores de penetração muito provavelmente aproveitaram-se de:
A. Uma vulnerabilidade TOC/TOU
B. Divulgação de uma palavra-passe em texto simples
C. Uma vulnerabilidade de excesso de número inteiro
D. Uma vulnerabilidade de estouro de buffer
Ver resposta
Resposta correta: A
Pergunta #35
Um programador pretende desenvolver uma aplicação Web segura virada para o exterior. O programador está à procura de uma comunidade em linha que produza ferramentas, metodologias, artigos e documentação no domínio da segurança de aplicações Web. Qual das seguintes opções é a MELHOR?
A. ICANN
B. PCI DSS
C. OWASP
D. CSA
E. NIST
Ver resposta
Resposta correta: D
Pergunta #36
Qual das seguintes opções é necessária para que uma organização cumpra a norma ISO 27018?
A. Todos os Pll devem ser encriptados
B. Todo o tráfego de rede deve ser inspeccionado
C. Devem ser cumpridas normas equivalentes ao RGPD
D. Devem ser cumpridas as normas equivalentes ao COBIT
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.