NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Domine os exames CompTIA CAS-004 com perguntas de exame e materiais de estudo, Certificação CompTIA CASP+ | SPOTO

Alcance o domínio do seu exame de certificação CompTIA CASP+ com nossos materiais de estudo e perguntas de exame abrangentes. Nossos recursos são meticulosamente projetados para cobrir todos os aspectos do exame CAS-004, garantindo uma preparação completa em gerenciamento de riscos, operações e arquitetura de segurança empresarial, pesquisa e colaboração e integração de segurança empresarial. Acesse nossas amostras de teste gratuitas para avaliar seu conhecimento e prontidão. Mergulhe em nossas lixeiras de exame para obter explicações detalhadas e insights sobre conceitos-chave. Pratique com os nossos exames simulados e perguntas de exames online para simular condições reais de teste e aumentar a sua confiança. Com o SPOTO, terá acesso a materiais de exame de alta qualidade e orientação especializada para o ajudar a destacar-se no seu percurso de certificação CASP+.
Faça outros exames online
Pergunta #1
Uma empresa está a implementar a inspeção SSL. Durante os próximos seis meses, serão implementadas várias aplicações Web que serão separadas por subdomínios. Qual das seguintes opções permitirá a inspeção dos dados sem várias implementações de certificados?
A. Incluir todos os conjuntos de cifras disponíveis
B. Criar um certificado wildcard
Ver resposta
Resposta correta: B
Pergunta #2
Uma organização está a fazer referência às melhores práticas do NIST para a criação de PCN enquanto revê os actuais processos organizacionais internos para itens essenciais à missão. Qual das seguintes fases estabelece a identificação e a priorização de sistemas e funções críticos?
A. Rever uma análise de lacunas recente
B. Efetuar uma análise custo-benefício
Ver resposta
Resposta correta: A
Pergunta #3
Um engenheiro de sistemas precisa de desenvolver uma solução que utilize certificados digitais para permitir a autenticação em computadores portáteis. Qual dos seguintes tipos de autenticadores seria o mais adequado para o engenheiro incluir no projeto? A utilização de certificados digitais para autenticação é um método seguro para controlar o acesso a computadores portáteis e outros dispositivos. Um certificado de dispositivo pode servir como autenticador, fornecendo um meio para o dispositivo provar a sua identidade de forma criptográfica. Esta autenticação baseada em certificados
A. Token TOTP
B. Certificado do dispositivo
C. Cartão inteligente
D. Biométrico
Ver resposta
Resposta correta: B
Pergunta #4
Durante uma remodelação, o equipamento informático de uma empresa foi transferido para uma sala de armazenamento segura com câmaras posicionadas em ambos os lados da porta. A porta está trancada com um leitor de cartões emitido pela equipa de segurança e apenas a equipa de segurança e os gestores de departamento têm acesso à sala. A empresa quer ser capaz de identificar quaisquer indivíduos não autorizados que entrem na sala de armazenamento seguindo um funcionário autorizado. Qual dos seguintes processos satisfaria MELHOR este requisito?
A. Monitorizar as imagens da câmara correspondentes a um pedido de acesso válido
Ver resposta
Resposta correta: CD
Pergunta #5
Uma organização está a implementar uma nova arquitetura de gestão de identidades e acessos com os seguintes objectivos Apoiar a MFA contra a infraestrutura no local Melhorar a experiência do utilizador através da integração com aplicações SaaS Aplicar políticas baseadas no risco com base na localização Executar o aprovisionamento just-in-time Qual dos seguintes protocolos de autenticação deve a organização implementar para apoiar estes requisitos?
A. Kerberos e TACACS B
Ver resposta
Resposta correta: B
Pergunta #6
Uma equipa de recuperação de desastres descobriu vários erros que foram cometidos durante o último teste paralelo de recuperação de desastres. Os recursos computacionais esgotaram-se em 70% da restauração dos serviços críticos. Qual dos seguintes itens deve ser modificado para evitar que o problema ocorra novamente?
A. Objetivo do ponto de recuperação
B. Objetivo do tempo de recuperação C
Ver resposta
Resposta correta: B
Pergunta #7
Uma startup de SaaS está a amadurecer o seu programa DevSecOps e pretende identificar pontos fracos mais cedo no processo de desenvolvimento, de modo a reduzir o tempo médio para identificar vulnerabilidades de aplicações sem servidor e os custos associados à correção. A startup começou os seus primeiros esforços de testes de segurança com DAST para cobrir componentes de aplicações viradas para o público e implementou recentemente um programa de recompensa de bugs Testes estáticos de segurança de aplicações (SAST)
A. ASP
B. AST
C. AF
D. MS
Ver resposta
Resposta correta: B
Pergunta #8
Uma empresa implementou recentemente um SIEM e começou a importar registos de uma firewall, de um servidor de ficheiros, de um controlador de domínio, de um servidor Web e de um computador portátil. Um analista de segurança recebe uma série de alertas SIEM e prepara-se para responder. As informações de alerta são as seguintes: Qual das seguintes opções o analista de segurança deve fazer PRIMEIRO? Com base nos alertas do SIEM, o analista de segurança deve primeiro desativar a conta jdoe, uma vez que esta está provavelmente comprometida por um atacante. Os alertas mostram que a conta jdoe iniciou sessão com êxito em
A. esativar o Administrador em abc-uaa-fsl, a conta local está comprometida
B. esligar o servidor abc-usa-fsl, está a ser utilizada uma credencial de texto simples
C. esativar a conta jdoe, pois é provável que esteja comprometida
D. ncerrar o abc-usa-fw01; a vulnerabilidade da VPN de acesso remoto é explorada
Ver resposta
Resposta correta: C
Pergunta #9
Um analista de SOC está a analisar a atividade maliciosa num servidor Web externo e exposto. Durante a investigação, o analista determina que o tráfego específico não está sendo registrado e não há visibilidade do WAF para o aplicativo da Web. Qual das seguintes opções é a causa MAIS provável?
A. O cliente do agente do utilizador não é compatível com o WAF
B. Um certificado no WAF está expirado
Ver resposta
Resposta correta: B
Pergunta #10
Um engenheiro de segurança pensa que a equipa de desenvolvimento tem estado a codificar variáveis de ambiente sensíveis no seu código. Qual das seguintes opções protegeria MELHOR o pipeline de CI/CD da empresa?
A. Utilizar um gestor de segredos de confiança
B. Executar a DAST semanalmente C
Ver resposta
Resposta correta: A
Pergunta #11
Uma organização está frequentemente a ser alvo de litígios e tem um grande número de retenções legais. Qual dos seguintes tipos de funcionalidade o novo sistema de correio eletrónico da organização deve fornecer?
A. DLP
B. Encriptação
C. Descoberta eletrónica
D. Acordos a nível da privacidade
Ver resposta
Resposta correta: C
Pergunta #12
Um engenheiro de segurança efectuou uma avaliação de uma aplicação Web recentemente implementada. O engenheiro foi capaz de exfiltrar um relatório da empresa visitando o seguinte URL: www.intranet.abc.com/get-files.jsp?file=report.pdf Qual das seguintes técnicas de mitigação seria a MELHOR para o engenheiro de segurança recomendar? A validação de entrada é uma técnica que verifica a entrada do utilizador quanto a erros, dados maliciosos ou valores inesperados antes de a processar pela aplicação. A validação de entrada pode evitar muitos commo
A. Validação de entrada
B. Firewall
C. AF
D. LP
Ver resposta
Resposta correta: A
Pergunta #13
Devido à localidade e a restrições orçamentais, o escritório satélite de uma organização tem uma atribuição de largura de banda inferior à de outros escritórios da organização. Como resultado, o pessoal da infraestrutura de segurança local está a avaliar as opções de arquitetura que ajudarão a preservar a largura de banda da rede e a aumentar a velocidade dos recursos internos e externos, sem sacrificar a visibilidade das ameaças. Qual das seguintes opções seria a MELHOR opção a ser implementada?
A. Atribuição distribuída de ligações
B. Caching local C
Ver resposta
Resposta correta: B
Pergunta #14
Uma organização começou recentemente a processar, transmitir e armazenar as informações dos cartões de crédito dos seus clientes. Uma semana depois, a organização sofreu uma violação maciça que resultou na exposição das informações dos clientes. Qual das seguintes opções fornece a MELHOR orientação para proteger essas informações enquanto estão em repouso e em trânsito? A.NIST B.GDPR C.PCI DSS D.ISO
A. ma organização começou recentemente a processar, transmitir e armazenar as informações dos cartões de crédito dos seus clientes
Ver resposta
Resposta correta: B
Pergunta #15
Uma empresa está a renovar toda a sua infraestrutura. A empresa tem um processo crítico para o negócio a ser executado num servidor Windows 2008 antigo. Se este servidor falhar, a empresa perderá milhões de dólares em receitas. Qual das seguintes acções deve a empresa tomar? Calcular a Expectativa Anual de Perdas (ALE) e realizar uma análise de custo-benefício é uma parte crítica do gerenciamento de riscos. A ALE ajudará a empresa a entender as perdas potenciais associadas à falha do servidor pe
A. Aceitar o risco como o custo de fazer negócios
B. riar um registo de riscos organizacionais para a priorização de projectos
C. alcular o ALE e efetuar uma análise custo-benefício
D. Adquirir um seguro para compensar os custos em caso de avaria
Ver resposta
Resposta correta: C
Pergunta #16
Qual dos seguintes termos se refere à entrega de chaves de encriptação a um CASB ou a uma entidade de terceiros? A. Partilha de chaves
A.
Ver resposta
Resposta correta: A
Pergunta #17
O SOC de uma empresa recebeu informações sobre ameaças acerca de uma campanha ativa que utiliza uma vulnerabilidade específica. A empresa gostaria de determinar se está vulnerável a esta campanha ativa. Qual das seguintes opções a empresa deve usar para fazer essa determinação?
A. Caça às ameaças
B. Um teste de penetração do sistema C
Ver resposta
Resposta correta: A
Pergunta #18
Um técnico está a rever os registos e repara que um grande número de ficheiros foi transferido para locais remotos ao longo de três meses. Esta atividade parou depois. Os ficheiros foram transferidos através de sessões HTTP protegidas por TLS a partir de sistemas que não enviam tráfego para esses sites. O técnico definirá esta ameaça como:
A. um ataque de desencriptação de RSA utilizando encriptação obsoleta e enfraquecida
Ver resposta
Resposta correta: A
Pergunta #19
Uma empresa está a mover a maioria dos seus sistemas de produção virados para o cliente para a nuvem. IaaS é o modelo de serviço que está a ser utilizado. O diretor executivo está preocupado com o tipo de encriptação disponível e exige que a solução tenha o mais elevado nível de segurança. Qual dos seguintes métodos de criptografia o engenheiro de segurança da nuvem deve selecionar durante a fase de implementação?
A. Baseado em instâncias
B. Baseado em armazenamento C
Ver resposta
Resposta correta: A
Pergunta #20
Um arquiteto de segurança está a implementar uma aplicação Web que utiliza um back end de base de dados. Antes da produção, o arquiteto está preocupado com a possibilidade de ataques XSS e pretende identificar os controlos de segurança que podem ser implementados para evitar esses ataques. Qual das seguintes fontes o arquiteto pode consultar para resolver este problema de segurança? A.SDLC B.OVAL C.IEEE D.OWASP
A. m arquiteto de segurança está a implementar uma aplicação Web que utiliza um back end de base de dados
Ver resposta
Resposta correta: A
Pergunta #21
Um programador está a criar uma nova aplicação móvel para uma empresa. A aplicação utiliza a API REST e o TLS 1.2 para comunicar de forma segura com o servidor back-end externo. Devido a esta configuração, a empresa está preocupada com ataques de interceção HTTPS. Qual das seguintes opções seria a MELHOR solução contra este tipo de ataque?
A. Cookies
B. Certificados curinga C
Ver resposta
Resposta correta: A
Pergunta #22
Uma empresa de transporte que está a tentar eliminar classes inteiras de ameaças está a desenvolver uma política SELinux para garantir que os seus dispositivos Android personalizados são utilizados exclusivamente para o seguimento de pacotes. Depois de compilar e implementar a política, em qual dos seguintes modos a empresa deve garantir que os dispositivos sejam configurados para serem executados? A.Protegendo B.Permissivo C.Aplicando D.Obrigatório
A. ma empresa de transporte que está a tentar eliminar classes inteiras de ameaças está a desenvolver uma política SELinux para garantir que os seus dispositivos Android personalizados são utilizados exclusivamente para o seguimento de pacotes
Ver resposta
Resposta correta: C
Pergunta #23
Uma empresa decidiu comprar uma licença para um software que é utilizado para operar um processo de missão crítica. O desenvolvedor terceirizado é novo no setor, mas está fornecendo o que a empresa precisa no momento. Qual das seguintes opções descreve MELHOR a razão pela qual a utilização de um depósito de garantia de código-fonte reduzirá o risco operacional para a empresa se o terceiro deixar de suportar a aplicação?
A. A empresa terá acesso à versão mais recente para continuar o desenvolvimento
B. A empresa poderá forçar o desenvolvedor terceirizado a continuar o suporte
Ver resposta
Resposta correta: B
Pergunta #24
Uma empresa que está a passar por uma transformação digital está a analisar a resiliência de um CSP e está preocupada em cumprir os requisitos de SLA no caso de um incidente com um CSP. Qual das seguintes opções seria a MELHOR para prosseguir com a transformação?
A. Uma solução no local como cópia de segurança
B. Um balanceador de carga com uma configuração round-robin C
Ver resposta
Resposta correta: D
Pergunta #25
Uma empresa de comércio eletrónico está a executar um servidor Web nas suas instalações e a utilização de recursos é normalmente inferior a 30%. Durante as duas últimas épocas festivas, o servidor teve problemas de desempenho devido a demasiadas ligações e vários clientes não conseguiram finalizar as encomendas. A empresa está a tentar alterar a configuração do servidor para evitar este tipo de problemas de desempenho. Qual das seguintes opções é a solução MAIS económica?
A. Mover o servidor para um fornecedor de serviços na nuvem
Ver resposta
Resposta correta: A
Pergunta #26
Em preparação para a época festiva, uma empresa redesenhou o sistema que gere as vendas a retalho e transferiu-o para um fornecedor de serviços na nuvem. A nova infraestrutura não cumpria os requisitos de disponibilidade da empresa. Durante uma análise postmortem, foram destacados os seguintes problemas: 1. Os utilizadores internacionais relataram latência quando as imagens na página Web estavam a ser carregadas inicialmente. 2. Durante o processamento de relatórios, os utilizadores relataram problemas com o inventário quando tentavam fazer encomendas.3
A. Servir conteúdo estático através de CDNs distribuídas, criar uma réplica de leitura da base de dados central e obter relatórios a partir daí, e servidores de API de escala automática com base no desempenho
B. Aumentar a largura de banda do servidor que fornece imagens, usar uma CDN, alterar o banco de dados para um banco de dados não relacional e dividir os dez servidores de API em dois balanceadores de carga
Ver resposta
Resposta correta: D
Pergunta #27
Uma equipa de caça às ameaças recebe um relatório sobre uma possível atividade APT na rede. Qual das seguintes estruturas de gestão de ameaças deve ser implementada pela equipa? A.NIST SP 800-53 B.MITRE ATT&CK C.The Cyber Kill Chain D.The Diamond Model of Intrusion Analysis
A. ma equipa de caça às ameaças recebe um relatório sobre uma possível atividade APT na rede
Ver resposta
Resposta correta: A
Pergunta #28
Durante um teste de penetração do sistema, um engenheiro de segurança obteve acesso a uma shell num anfitrião Linux como um utilizador padrão e pretende elevar os níveis de privilégio. Qual dos seguintes é um método válido de pós-exploração do Linux a ser usado para atingir esse objetivo?
A. Cria uma shell utilizando sudo e uma cadeia de escape, como sudo vim -c '!sh'
B. Executar a quebra de senha ASIC no host
C.
Ver resposta
Resposta correta: C
Pergunta #29
Um administrador de TI está a analisar todos os servidores de uma organização e repara que um servidor não tem uma prática crucial contra uma exploração recente que poderia obter acesso à raiz. Qual das seguintes opções descreve a descoberta do administrador?
A. Uma vulnerabilidade
B. Uma ameaça C
Ver resposta
Resposta correta: C
Pergunta #30
Um analista de segurança recebe um alerta do SIEM relativamente a uma atividade invulgar num servidor de salto SSH público autorizado. Para investigar melhor, o analista extrai os logs de eventos diretamente de /var/log/ auth.log: graphic.ssh_auth_log. Qual das seguintes ações MELHOR abordaria os riscos potenciais da atividade nos logs?
A. Alertar para a palavra-passe da conta de serviço mal configurada
B. Modificar a diretiva de configuração AllowUsers C
Ver resposta
Resposta correta: C
Pergunta #31
Um analista de vulnerabilidades identificou uma vulnerabilidade de dia zero num software desenvolvido internamente por uma empresa. Uma vez que o atual sistema de gestão de vulnerabilidades não tem quaisquer verificações para esta vulnerabilidade, foi pedido a um engenheiro que criasse um. Qual das seguintes opções seria a MELHOR adequada para satisfazer estes requisitos? A.ARF B.ISACs C.Node.js D.OVAL
A. m analista de vulnerabilidades identificou uma vulnerabilidade de dia zero num software desenvolvido internamente por uma empresa
Ver resposta
Resposta correta: C
Pergunta #32
Uma empresa processa dados sujeitos a NDAs com parceiros que definem as restrições de processamento e armazenamento para os dados abrangidos. Atualmente, os acordos não permitem a transferência dos dados abrangidos para a nuvem e a empresa gostaria de renegociar os termos dos acordos. Qual das seguintes opções MAIS provavelmente ajudaria a empresa a obter consenso para mover os dados para a nuvem?
A. Conceber esquemas de proteção de dados para atenuar o risco de perda devido a multilocação
B. Implementar armazéns e serviços redundantes em diversos CSPs para uma elevada disponibilidade C
Ver resposta
Resposta correta: A
Pergunta #33
Um engenheiro de segurança estima que a popular aplicação Web da empresa sofre 100 tentativas de violação por dia. Nos últimos quatro anos, os dados da empresa foram violados duas vezes. Qual das seguintes opções o engenheiro deve reportar como o ARO para violações bem-sucedidas? A.0,5 B.8 C.50 D.36.500
A. m engenheiro de segurança estima que a popular aplicação Web da empresa sofre 100 tentativas de violação por dia
Ver resposta
Resposta correta: C
Pergunta #34
Um programador júnior é informado do impacto de um novo malware num CPU Advanced RISC Machine (ARM) e o código tem de ser corrigido em conformidade. Com base na depuração, o malware é capaz de se inserir noutra localização de memória do processo. Qual das seguintes tecnologias o programador pode ativar na arquitetura ARM para evitar este tipo de malware?
A. Nunca executar
B. Não-executar C
Ver resposta
Resposta correta: D
Pergunta #35
Uma empresa está a implementar APIs que utilizam uma chave privada e uma chave pública para garantir que a cadeia de ligação está protegida. Para se conectar à API, os clientes devem usar a chave privada. Qual das seguintes opções MELHOR protegeria a ligação da API REST à base de dados, impedindo a utilização de uma cadeia de caracteres codificada na cadeia de pedidos? A.Implementar uma VPN para todas as APIs. B.Assinar a chave com DSA. C.Implementar MFA para as contas de serviço. D.Utilizar HMAC para as chaves.
A. ma empresa está a implementar APIs que utilizam uma chave privada e uma chave pública para garantir que a cadeia de ligação está protegida
Ver resposta
Resposta correta: D

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.