Ôn Tập CompTIA Security + (SY0-701) - Trước Khi Thi CompTIA Security+ Nên Đọc !

Ôn Tập CompTIA Security + (SY0-701) - Trước Khi Thi CompTIA Security+ Nên Đọc !

Đây là nội dung tóm tắt từ bộ tài liệu ôn thi COMTIA Security+ (SY0-701)

Các khái niệm được thảo luận trong các câu hỏi của bài thi bảo mật, đọc và trả lời các câu hỏi kèm theo.

  1. Cấu hình kiểm soát truy cập mạng: Quản trị viên dữ liệu thiết lập danh sách kiểm soát truy cập (ACL) để kiểm soát lưu lượng ra ngoài, cụ thể nhắm vào DNS (cổng 53). Các cấu hình ACL khác nhau được đưa ra như các tùy chọn.
  2. Cấu hình xác thực ứng dụng SaaS: Quản trị viên dữ liệu cấu hình xác thực cho ứng dụng SaaS, tập trung vào các biện pháp bảo mật để tránh giả mạo và các cuộc tấn công khác.
  3. Tấn công giả mạo CEO: Nhân viên nhận được tin nhắn văn bản lừa đảo mạo danh CEO, yêu cầu mua thẻ quà tặng. Điều này được xác định là một cuộc tấn công smishing.
  4. Kiểm tra xâm nhập của bên thứ ba: Một cuộc kiểm tra xâm nhập được lên kế hoạch, với các chi tiết được nêu trong tài liệu "quy tắc tham gia". Kiểm tra này bao gồm các kỹ thuật do thám tích cực như quét cổng và dịch vụ.
  5. Quản lý quy trình khôi phục: Tổ chức giải quyết nhu cầu quản lý quy trình khôi phục thích hợp trong trường hợp hệ thống bị lỗi, yêu cầu một kế hoạch khắc phục thảm họa (DRP).
  6. Lỗ hổng cài đặt phần mềm: Thảo luận về các lỗ hổng liên quan đến việc cài đặt phần mềm ngoài các kho lưu trữ được phê duyệt, cụ thể là "side loading".
  7. Cố gắng xâm phạm tài khoản: Nhật ký bảo mật cho thấy bằng chứng của các cuộc tấn công "password spraying".
  8. Triển khai Zero Trust: Một nhà phân tích đang đánh giá việc triển khai các nguyên tắc Zero Trust, nhấn mạnh vào mặt dữ liệu và các khu vực được bảo mật.
  9. Phát hiện hành vi bất thường: Nhà phân tích bảo mật được giao nhiệm vụ xác định hành vi bất thường, được thực hiện bằng cách săn lùng mối đe dọa.
  10. Quản lý rủi ro: Một công ty mua bảo hiểm mạng để chuyển giao rủi ro liên quan đến các mục trong sổ đăng ký rủi ro.
  11. Bảo vệ dữ liệu: Quản trị viên bảo mật tìm cách bảo vệ dữ liệu trên máy tính xách tay của nhân viên bằng cách mã hóa toàn bộ ổ đĩa (FDE).
  12. Triển khai chính sách bảo mật: Chính sách sử dụng chấp nhận được được xác định là một biện pháp kiểm soát bảo mật phòng ngừa.
  13. Thực hiện nguyên tắc quyền tối thiểu: Người quản lý CNTT giới hạn quyền truy cập vào bảng điều khiển quản trị cho một số người được chọn, thực hiện nguyên tắc quyền tối thiểu.
  14. Tài liệu rủi ro: Tổ chức lập tài liệu rủi ro, các bên chịu trách nhiệm và ngưỡng trong sổ đăng ký rủi ro.
  15. Thiết lập quy tắc tường lửa: Quản trị viên bảo mật thiết lập các quy tắc tường lửa, tuân theo các quy trình quản lý thay đổi.
  16. Nhận dạng tác nhân đe dọa nhà nước: Các rủi ro liên quan đến các tác nhân đe dọa nhà nước được thảo luận, đặc biệt là trong bối cảnh tấn công các hệ thống quan trọng.
  17. Lỗ hổng SQL Injection: Thao tác trường nhập dẫn đến thực thi lệnh được xác định là một cuộc tấn công SQL injection.
  18. Đào tạo bảo vệ dữ liệu: Nhân viên nghiên cứu và phát triển được đào tạo để bảo vệ dữ liệu công ty, đại diện cho "đào tạo nhận thức về dữ liệu".
  19. Quản lý tài sản: Tổ chức xác định tầm quan trọng của việc kiểm kê thiết bị, đặc biệt đối với thiết bị di động.
  20. Cải thiện nhận thức tình huống: Kỹ thuật viên làm việc để cải thiện nhận thức tình huống của nhân viên từ xa khi họ trở lại văn phòng bằng cách sử dụng bảng điều khiển. ...
  1. Cảnh báo giám sát tính toàn vẹn tệp: Quản trị viên hệ thống nhận được cảnh báo giám sát tính toàn vẹn tệp (FIM) về tệp "cmd.exe" bị thay đổi, dẫn đến phát hiện triển khai rootkit.
  2. Trách nhiệm bảo mật trên đám mây: Trách nhiệm của khách hàng trong việc bảo mật cơ sở dữ liệu trong mô hình Infrastructure as a Service (IaaS) được nhấn mạnh theo mô hình trách nhiệm chia sẻ.
  3. Tài liệu dự án: Một công ty bảo mật cung cấp tài liệu Statement of Work (SOW) cho khách hàng, nêu rõ chi phí, phạm vi và tiến độ dự án.
  4. Phát hiện kiểm toán: Một tổ chức nhận thấy rằng kết quả kiểm toán có thể dẫn đến các phát hiện kiểm toán cần được khắc phục.
  5. Lập kế hoạch tính liên tục trong kinh doanh: Một công ty thực hiện lập kế hoạch năng lực để xác định nhu cầu nhân sự trong trường hợp gián đoạn.
  6. Hạn chế quyền truy cập dữ liệu: Bộ phận pháp lý muốn giới hạn quyền truy cập vào các tài liệu nhạy cảm dựa trên vị trí địa lý.
  7. Lỗ hổng phần cứng cụ thể: Các lỗ hổng firmware được xác định là các lỗ hổng cụ thể của phần cứng.
  8. Khắc phục chính sách tường lửa: Một kỹ thuật viên khắc phục sự cố cấu hình tường lửa và xác định rằng quy tắc "deny any" không phải là thực tiễn tốt nhất.
  9. Quy định bảo vệ dữ liệu địa phương: Một tổ chức phải xem xét các quy định bảo vệ dữ liệu địa phương khi thực hiện các hoạt động kinh doanh.
  10. Danh sách cho phép ứng dụng: Một tổ chức triển khai danh sách cho phép ứng dụng như một phương tiện để chặn các chương trình không xác định.
  11. Đánh giá bảo mật tấn công: Một công ty thuê tư vấn để thực hiện đánh giá bảo mật tấn công, dẫn dắt bởi "red team".
  12. Ký mã: Quản lý phát triển phần mềm thực hiện ký mã để đảm bảo tính xác thực của mã.
  13. Honeypots: Thảo luận việc sử dụng honeypots để xác định hoạt động của kẻ tấn công tiềm năng.
  14. Phản ứng sự cố: Đội phản ứng sự cố (CIRT) cố gắng xác định nguồn gốc của một sự cố bằng cách thực hiện phân tích.
  15. Đánh giá lỗ hổng: Một nhà thực hành bảo mật thực hiện đánh giá lỗ hổng.
  16. Ngăn chặn mất dữ liệu (DLP): Một tổ chức sử dụng DLP để tìm thông tin nhạy cảm, bao gồm cả PII.
  17. Triển khai xác thực đầu vào: Một tổ chức triển khai xác thực đầu vào bằng cách sử dụng các biểu thức chính quy.
  18. Phân tích chiến dịch phishing: Các nhà phân tích bảo mật đánh giá hiệu suất của một chiến dịch phishing gần đây và quyết định triển khai bộ lọc bảo mật email.
  19. Tính toán rủi ro: Một tổ chức cố gắng xác định tỷ lệ xảy ra hàng năm (ARO) của họ.
  20. Chương trình nhận thức bảo mật: Một tổ chức triển khai chương trình nâng cao nhận thức bảo mật, bao gồm việc báo cáo các cuộc tấn công phishing.
  21. Khắc phục tấn công: Các kịch bản tấn công và các biện pháp khắc phục được thảo luận, bao gồm cả việc xác định các cuộc tấn công brute-force.
  22. Triển khai mã hóa toàn bộ ổ đĩa: Một kỹ sư bảo mật triển khai FDE và phải xem xét key escrow.
  23. Lỗ hổng truy cập từ xa: Một nhà phân tích bảo mật phát hiện máy chủ web đang chạy một phiên bản SSH dễ bị tổn thương.
  24. Thất bại của kiểm soát an toàn: Một tổ chức nhận ra rằng các kiểm soát an toàn nên thất bại ở trạng thái mở.
  25. Môi trường động: Một tổ chức tìm cách tận dụng các container khi xem xét các môi trường thay đổi liên tục.
  26. Xử lý bằng chứng: Đội phản ứng sự cố đảm bảo rằng bằng chứng được xử lý đúng cách bằng quy trình chuỗi quyền giám sát.
  27. Điều tra giao dịch gian lận: Một nhân viên kế toán đã gửi tiền cho kẻ tấn công, dẫn đến một cuộc điều tra.
  28. Điều phối tự động: Một công ty tìm cách tự động hóa một số tác vụ khác nhau bằng cách sử dụng điều phối tự động.
  29. Vai trò dữ liệu: Khách hàng được coi là một đối tượng khi dữ liệu của họ được thu thập bởi bộ phận marketing.
  30. Ngưỡng rủi ro: Một tổ chức nhận ra rằng có một mức chấp nhận rủi ro tối đa, được gọi là ngưỡng rủi ro.
  1. Hoạt động DNS bất thường: Một nhà phân tích bảo mật nhận thấy một lượng lớn các truy vấn DNS bất thường và xác định dữ liệu đang bị đánh cắp.
  2. Cấu hình cổng tường lửa: Một kỹ thuật viên cấu hình cổng trên tường lửa, tuân theo nguyên tắc quyền tối thiểu.
  3. Tấn công SQL Injection: Một tổ chức nhận ra các rủi ro liên quan đến cấu hình sai cơ sở dữ liệu, điều này có thể dẫn đến các cuộc tấn công SQL injection.
  4. Xác thực chứng chỉ: Một tổ chức sử dụng OCSP để xác thực chứng chỉ số.
  5. Cập nhật BIOS: Nhà cung cấp khuyến nghị cập nhật BIOS, có nghĩa là tổ chức đang cố gắng giảm thiểu các lỗ hổng firmware.
  6. Đo lường lỗ hổng: Một tổ chức sử dụng CVSS để đo lường mức độ nghiêm trọng của lỗ hổng.
  7. Giám sát thay đổi không được phép: Kỹ sư bảo mật giám sát các máy trạm và máy chủ để phát hiện các thay đổi hoặc phần mềm không được phép.
  8. Quét lỗ hổng: Một tổ chức quét mạng của họ và xác định rằng một lỗ hổng là dương tính giả.
  9. Giảm thiểu hệ thống cũ: Một tổ chức vô hiệu hóa các dịch vụ không cần thiết và đặt tường lửa trước một hệ thống cũ, triển khai các biện pháp kiểm soát bù đắp.
  10. Truy cập từ xa an toàn: Một tư vấn bảo mật cần truy cập từ xa an toàn vào môi trường khách hàng và cần sử dụng VPN qua TLS.
  11. Tài liệu Statement of Work: Một tổ chức yêu cầu SOW từ nhà cung cấp để làm rõ vai trò, trách nhiệm và chi phí cho một dự án bảo mật.
  12. Mối đe dọa ransomware: CISO muốn nâng cao nhận thức về ransomware-as-a-service, một chiến thuật tội phạm có tổ chức.
  13. Ngăn chặn mối đe dọa nội bộ: Một tổ chức muốn ngăn chặn các mối đe dọa nội bộ đưa mã độc hại vào quy trình phát triển.
  14. Thực hiện quyền tối thiểu: Một tổ chức nhận ra rằng thực hiện nguyên tắc quyền tối thiểu sẽ giúp họ duy trì tính bảo mật trên máy chủ tệp chia sẻ.
  15. Loại bỏ thiết bị: Một kỹ sư khuyến nghị loại bỏ các thiết bị đang sử dụng mật khẩu văn bản rõ ràng.
  16. Triển khai ACL: Một tổ chức sử dụng ACL để hạn chế quyền truy cập mạng.
  17. Thỏa thuận mức dịch vụ (SLA): Khách hàng yêu cầu ít nhất 99,99% thời gian hoạt động và nhận thông tin này trong SLA.
  18. Xử lý dữ liệu: Một tổ chức yêu cầu chứng nhận từ nhà cung cấp để xác minh việc xử lý đúng cách các thiết bị lưu trữ.
  19. Địa điểm khắc phục thảm họa: Một công ty đang lập kế hoạch cho một địa điểm khắc phục thảm họa và tập trung vào sự phân tán địa lý.
  20. Phân tích siêu dữ liệu: Một nhà phân tích bảo mật tìm thấy một video và cần xác định ngày tạo và người tạo bằng cách truy vấn siêu dữ liệu.
  21. Đội Purple Team: Một đội bảo mật sử dụng cả chiến thuật tấn công và phòng thủ, được gọi là "purple team".
  22. Tăng cường kiosk: Một tổ chức đang tăng cường bảo mật cho các kiosk bán hàng bằng cách hạn chế cổng USB.
  23. Mã hóa dữ liệu: Một tổ chức đang sử dụng mã hóa để bảo vệ dữ liệu thẻ tín dụng.
  24. Kết thúc hỗ trợ: Một thiết bị cũ không còn nhận được cập nhật hoặc bản vá.
  25. Mã hóa dữ liệu khi nghỉ: Một ngân hàng yêu cầu tất cả các nhà cung cấp của họ phải ngăn chặn mất dữ liệu trên các máy tính xách tay bị đánh cắp.
  1. Tấn công từ chối dịch vụ phản chiếu: Người dùng không thể truy cập các trang web bên ngoài do một cuộc tấn công từ chối dịch vụ phản chiếu trên máy chủ DNS.
  2. Kiểm soát truy cập dựa trên vai trò (RBAC): Quản trị viên sử dụng RBAC để đơn giản hóa việc kiểm soát truy cập cho một nhóm tài nguyên.
  3. Liên kết và độ phức tạp của mật khẩu: Một tổ chức sử dụng liên kết (federation) và yêu cầu mật khẩu phức tạp để truy cập người dùng.
  4. Quản lý thông tin và sự kiện bảo mật (SIEM): Một tổ chức sử dụng SIEM để thu thập và tổng hợp nhật ký bảo mật.
  5. Xác thực đa yếu tố (MFA): Một quản lý mạng bảo vệ VPN bằng MFA (mật khẩu, mã xác thực, dấu vân tay).
  6. Phân đoạn mạng: Một tổ chức triển khai phân đoạn mạng để bảo vệ một hệ thống cũ quan trọng.
  7. Lỗ hổng tràn bộ đệm: Một lỗ hổng bị khai thác khi kẻ tấn công ghi đè một thanh ghi bằng địa chỉ độc hại.
  8. Giữ lại dữ liệu pháp lý: Một tổ chức thực hiện giữ lại dữ liệu pháp lý bằng cách lưu trữ mọi giao tiếp liên quan đến vi phạm bảo mật.
  9. Giấu tin (Steganography): Một tổ chức thảo luận về quá trình che giấu mã bên trong một hình ảnh đồ họa.
  10. Tính tổn thất hàng năm (ALE): Một tổ chức sử dụng ALE để xác định liệu việc chuyển giao rủi ro có thấp hơn tác động của rủi ro hay không.
  11. Băm mật khẩu (Password Salting): Một tổ chức tăng cường mật khẩu bằng cách thêm chuỗi ký tự ngẫu nhiên với kỹ thuật salting.
  12. Triển khai camera an ninh: Một kỹ thuật viên thực hiện khảo sát hiện trường trước khi triển khai camera an ninh.
  13. Tấn công từ chối dịch vụ phân tán (DDoS): Một công ty bị gián đoạn dịch vụ web do một cuộc tấn công DDoS.
  14. Các tác nhân đe dọa từ tổ chức tội phạm: Các tổ chức tội phạm được xác định là tác nhân đe dọa có khả năng cao bị thúc đẩy bởi lợi nhuận.
  15. Phân tích nhật ký Command and Control (C2): Một tổ chức phân tích nhật ký mạng và tường lửa để xác định các máy chủ bị ảnh hưởng bởi một cuộc tấn công C2.
  16. Kiểm tra bảo mật vật lý: Một nhà cung cấp cố gắng vào một khu vực không được phép với một thẻ truy cập và tham gia vào kiểm tra bảo mật vật lý.
  17. Mã hóa đối xứng: Một quản trị viên hệ thống sử dụng cùng một khóa để mã hóa và giải mã tin nhắn với mã hóa đối xứng.
  18. Bảo mật cổng mạng: Một tổ chức triển khai bảo mật cổng mạng để ngăn chặn truy cập trái phép.
  19. Khử dữ liệu: Một quản trị viên bảo mật thực hiện khử dữ liệu trên máy tính xách tay của một nhân viên cũ trước khi tái sử dụng.
  20. Quy trình quản lý thay đổi: Một quản trị viên hệ thống thực hiện thay đổi hệ thống sản xuất, tuân thủ quy trình quản lý thay đổi.
  21. Giám sát tính toàn vẹn tệp (FIM): Một tổ chức tận dụng FIM để đảm bảo dữ liệu nhạy cảm không bị thay đổi.
  22. Gỡ chặn trang web: Một tổ chức có một trang web bị gắn cờ là đánh bạc và phải tạo một quy tắc tường lửa để cho phép lưu lượng HTTPS.
  23. Kế hoạch rút lui: Một tổ chức yêu cầu một kế hoạch rút lui khi thực hiện vá lỗi để giảm thiểu các bản vá lỗi thất bại.
  24. Hoạt động CIRT: Đội CIRT đang điều tra việc đánh cắp dữ liệu và nhận thấy rằng tường lửa đáng lẽ đã chặn HTTP qua cổng 53.
  25. Xác minh tính toàn vẹn của tệp bằng hàm băm: Một tổ chức sử dụng hàm băm để xác minh tính toàn vẹn của các tệp đã tải xuống.
  26. Tấn công ransomware: Quản trị viên nhận thấy các tệp có phần mở rộng .ryk, nghĩa là hệ thống đã bị nhiễm ransomware.
  1. Tấn công từ chối dịch vụ phân tán (DDoS): Một máy chủ web bên ngoài không hoạt động bình thường và nhật ký tường lửa cho thấy lưu lượng truy cập cao, chỉ ra một cuộc tấn công DDoS đang diễn ra.
  2. Thời gian phục hồi trung bình (MTTR): Một tổ chức muốn tính toán thời gian phục hồi trung bình (MTTR) để xác định khả năng phục hồi hệ thống.
  3. Giảm thiểu mất dữ liệu (DLP): Một tổ chức triển khai DLP để giảm thiểu việc đánh cắp dữ liệu nhạy cảm.
  4. Phát hiện và phản ứng điểm cuối (EDR): Một tổ chức tận dụng giải pháp EDR để bảo vệ máy tính khỏi virus, phần mềm độc hại và trojan.
  5. Nguyên tắc “cần biết” (Need-to-Know): Một tổ chức giới hạn quyền truy cập vào các tệp nhân viên dựa trên nguyên tắc cần biết.
  6. Tấn công kỹ thuật xã hội: Kẻ tấn công sử dụng một cuộc gọi điện thoại để thuyết phục ai đó cung cấp thông tin đăng nhập.
  7. Thỏa thuận mức dịch vụ (SLA): Một tổ chức tìm hiểu thỏa thuận giữa họ và khách hàng về tài nguyên và thời gian cần thiết để hoàn thành dự án.
  8. Trạm sao lưu nóng (Hot Site): Một công ty có nguy cơ bão lũ phát triển kế hoạch khắc phục thảm họa và tìm kiếm một trạm sao lưu nóng để duy trì hoạt động.
  9. Kiểm soát bù đắp: Một tổ chức tận dụng kiểm soát bù đắp bằng cách phân đoạn một máy chủ cũ thành một mạng riêng.
  10. Nghiên cứu quy định: Một nhà thực hành nghiên cứu các luật và quy định liên quan đến an ninh thông tin.
  11. VLAN cô lập: Một tổ chức tìm cách tăng cường bảo mật cho các hệ thống có hệ điều hành hết hạn bằng cách đưa chúng vào VLAN cô lập.
  12. Kiểm toán nội bộ: CISO sử dụng các cuộc kiểm toán nội bộ để so sánh chính sách với các yêu cầu từ cơ quan quản lý bên ngoài.
  13. Shadow IT: Một quản trị viên hệ thống phát hiện rằng phòng R&D không sử dụng VPN của công ty, chỉ ra một sự cố Shadow IT.
  14. Quét lỗ hổng bảo mật: Một nhà phân tích bảo mật chạy các bản quét lỗ hổng hàng ngày để theo dõi trạng thái vá lỗi.
  15. Rủi ro thiết bị di động: Một tổ chức cố gắng giảm thiểu các rủi ro liên quan đến thiết bị di động không xác định.
  16. Che giấu dữ liệu: Một tổ chức sử dụng kỹ thuật che giấu để chỉ hiển thị bốn chữ số cuối của số thẻ tín dụng.
  17. Chi phí không tuân thủ: CISO nhận thấy họ không tuân thủ và cần ngân sách bổ sung để thuê thêm nhân viên an ninh.
  18. Khai thác bộ nhớ: Một nhóm bảo mật nhận thấy rằng một chương trình nội bộ hiện đang tạo lưu lượng truy cập ra ngoài, chỉ ra rằng một lỗ hổng khai thác bộ nhớ đang diễn ra.
  19. Kiểm kê tài sản: Một quản trị viên phải duy trì kiểm kê tài sản để đảm bảo rằng tất cả các hệ thống yêu cầu vá lỗi đều được cập nhật.
  20. Dương tính giả: Một tổ chức quét các lỗ hổng và xác định rằng những lỗ hổng được phát hiện không tồn tại, điều này có nghĩa là chúng là dương tính giả.
  21. Triển khai bảo mật cổng mạng: Một tổ chức triển khai bảo mật cổng mạng để ngăn chặn các cuộc tấn công vào bảng địa chỉ MAC.
  22. Jailbreaking: Một người dùng cài đặt phần mềm và tính năng không có sẵn trong cài đặt mặc định của điện thoại thông minh.
  23. Microservices và Containerization: Một tổ chức sử dụng containerization để giảm số lượng hệ điều hành trong môi trường của họ.
  24. Tăng cường bảo mật máy chủ: Một quản trị viên tăng cường bảo mật máy chủ bằng cách vô hiệu hóa các tài khoản mặc định và xóa các dịch vụ không cần thiết.
  25. Kiểm toán nội bộ: CISO tiến hành các cuộc kiểm tra thường xuyên để theo dõi các mục tiêu tuân thủ, thực hiện thông qua kiểm toán nội bộ.
  26. Triển khai AAA: Một tổ chức cài đặt máy chủ RADIUS, triển khai AAA (xác thực, ủy quyền và kế toán).
  27. Kiểm soát phiên bản: Bộ phận Nhân sự theo dõi các bản sửa đổi của hợp đồng bằng cách sử dụng kiểm soát phiên bản.
  28. Điểm lỗi đơn lẻ: Một tổ chức nhận thấy rằng một cụm chuyển đổi dự phòng vẫn gây rủi ro do điểm lỗi đơn lẻ.
  29. Phân đoạn mạng: Một tổ chức phân đoạn một máy chủ cũ quan trọng trên VLAN không thể truy cập từ mạng ngoại vi.
  30. Di chuyển sang IaaS: Một tổ chức muốn chuyển đổi sang nhà cung cấp IaaS để tăng tính khả dụng hệ thống, khả năng mở rộng lưu trữ và khả năng chống chịu lỗi của mạch.
  31. DNS Sinkholes: Một tổ chức triển khai DNS sinkhole để chặn lưu lượng truy cập đến các miền độc hại đã biết.

Hướng dẫn Học tập về CompTIA SECURITY+

Câu hỏi kiểm tra

Hướng dẫn: Trả lời các câu hỏi sau trong 2-3 câu mỗi câu.

  1. Trong các ví dụ danh sách kiểm soát truy cập (ACL) được cung cấp (A-D), ví dụ nào đúng khi cho phép lưu lượng DNS (cổng 53) ra ngoài cho tất cả các nguồn, ngoại trừ một địa chỉ IP cụ thể? Cú pháp “0.0.0.0/0” đại diện cho điều gì?
  2. Mô tả sự khác biệt giữa typosquatting và phishing. Cung cấp một ví dụ ngắn gọn về mỗi loại.
  3. Tại sao tài liệu “quy tắc tham gia” (rules of engagement) lại quan trọng khi thuê bên thứ ba kiểm tra xâm nhập?
  4. Sự khác biệt giữa “do thám chủ động” (active reconnaissance) và “do thám thụ động” (passive reconnaissance) là gì? Hãy đưa ra ví dụ về mỗi loại.
  5. Mục đích của Kế hoạch Phục hồi Thảm họa (DRP) là gì? Tại sao DRP rất quan trọng đối với tổ chức?
  6. "Sideloading" trong bối cảnh cài đặt phần mềm là gì? Tại sao sideloading được coi là một rủi ro bảo mật?
  7. Password spraying là gì và tại sao nó là một phương pháp tấn công hiệu quả?
  8. Giải thích khái niệm "quyền tối thiểu" (least privilege) trong quản trị hệ thống và vấn đề mà nó giải quyết.
  9. Risk register là gì và các mục đích chính của nó trong quá trình quản lý rủi ro của tổ chức là gì?
  10. Mục đích của quy trình quản lý thay đổi trong việc cập nhật quy tắc tường lửa là gì?

Đáp án câu hỏi kiểm tra

  1. Ví dụ đúng là D, cho phép tất cả lưu lượng DNS ra ngoài ngoại trừ từ 0.0.0.0/0, địa chỉ đã bị từ chối. Cú pháp “0.0.0.0/0” đại diện cho tất cả các địa chỉ IPv4.
  2. Typosquatting liên quan đến việc đăng ký các tên miền giống với các tên miền hợp pháp để lừa người dùng, trong khi phishing sử dụng email hoặc tin nhắn giả mạo để lừa người dùng cung cấp dữ liệu nhạy cảm. Ví dụ về typosquatting là đăng ký "amozon.com" để bắt chước "amazon.com". Ví dụ về phishing là gửi email giả mạo từ ngân hàng.
  3. Tài liệu “quy tắc tham gia” định nghĩa phạm vi và giới hạn của bài kiểm tra xâm nhập. Tài liệu này đảm bảo người kiểm tra không vượt quá giới hạn và gây hại cho hệ thống hoặc dữ liệu của khách hàng.
  4. Do thám chủ động liên quan đến việc tương tác trực tiếp với hệ thống hoặc mạng mục tiêu, như quét cổng. Do thám thụ động thu thập thông tin mà không tương tác trực tiếp, chẳng hạn như qua OSINT.
  5. Kế hoạch Phục hồi Thảm họa (DRP) là tài liệu nêu rõ cách tổ chức sẽ khôi phục sau sự cố lớn về cơ sở hạ tầng CNTT. DRP rất quan trọng để đảm bảo tính liên tục của doanh nghiệp khi xảy ra lỗi hệ thống, mất điện hoặc thiên tai.
  6. Sideloading đề cập đến việc cài đặt phần mềm từ các nguồn ngoài cửa hàng ứng dụng chính thức. Đây là một rủi ro vì phần mềm từ các nguồn không chính thức có thể chứa phần mềm độc hại hoặc dễ bị khai thác.
  7. Password spraying là việc thử một vài mật khẩu phổ biến trên nhiều tài khoản người dùng khác nhau. Đây là phương pháp hiệu quả vì nhiều người dùng thường có mật khẩu yếu, phổ biến.
  8. Quyền tối thiểu yêu cầu người dùng chỉ có quyền truy cập tối thiểu cần thiết để thực hiện công việc của họ. Nó giúp giảm rủi ro chỉnh sửa hoặc phơi bày dữ liệu một cách ngẫu nhiên hoặc ác ý.
  9. Risk register là tài liệu liệt kê các rủi ro đã được xác định, các bên chịu trách nhiệm và xác định các ngưỡng hoặc mức độ rủi ro chấp nhận được. Nó được sử dụng để theo dõi, giám sát và quản lý rủi ro.
  10. Quy trình quản lý thay đổi đảm bảo rằng các bản cập nhật quy tắc tường lửa được lập kế hoạch, kiểm tra và ghi lại đúng cách để giảm thiểu rủi ro ngừng hoạt động, lỗ hổng bảo mật và truy cập trái phép. Điều này giúp duy trì tính bảo mật và ổn định của hệ thống.

Câu hỏi tiểu luận

Hướng dẫn: Trả lời các câu hỏi sau bằng cách sử dụng bằng chứng từ tài liệu nguồn.

  1. Giải thích các loại tấn công kỹ thuật xã hội được đề cập trong văn bản và tổ chức có thể làm gì để phòng chống chúng.
  2. Thảo luận về tầm quan trọng của các tài liệu bảo mật khác nhau (ví dụ: Quy tắc Tham gia, SOW, SLA, Risk Register). Những tài liệu này đóng góp như thế nào vào tư thế bảo mật tổng thể của tổ chức?
  3. Mô tả và so sánh các phương pháp bảo vệ dữ liệu khác nhau, bao gồm mã hóa dữ liệu khi nghỉ và trong quá trình truyền, che giấu dữ liệu, mã thông báo hóa và băm dữ liệu.
  4. Phân tích khái niệm mô hình trách nhiệm chia sẻ trong điện toán đám mây. Những trách nhiệm nào khách hàng cần lưu ý so với nhà cung cấp đám mây?
  5. Thảo luận về các vai trò khác nhau tồn tại trong một đội ngũ an ninh mạng (ví dụ: red team, blue team, purple team) và tại sao mỗi vai trò lại quan trọng đối với chiến lược phòng thủ mạnh mẽ.


Khái niệm và Thực hành Tốt nhất về An ninh mạng trong CompTIA Security+ (SY0-701) cần ghi nhớ

Tổng quan tài liệu

Tài liệu này phân tích từ "SY0-701-457 ExamTopics VN DUMP", một tài nguyên được thiết kế dành cho các chuyên gia an ninh mạng hoặc những người đang chuẩn bị cho chứng chỉ an ninh. Các nội dung bao gồm an ninh mạng, xác thực, phản ứng sự cố, quản lý rủi ro và bảo vệ dữ liệu. Bản tóm tắt này làm nổi bật các khái niệm chính và cung cấp các ví dụ minh họa.

Chủ đề và Ý tưởng chính

1. An ninh mạng & Kiểm soát truy cập

  • Quy tắc tường lửa: Tài liệu trình bày cấu hình quy tắc tường lửa, tập trung vào việc cho phép hoặc từ chối lưu lượng dựa trên địa chỉ IP nguồn, đích và cổng. Ví dụ cụ thể liên quan đến DNS (cổng 53), cấu hình đúng là:
    • "D. Access list outbound permit 10.50.10.25/32 0.0.0.0/0 port 53 Access list outbound deny 0.0.0.0/0 0.0.0.0/0 port 53". Điều này cho phép máy chủ 10.50.10.25 thực hiện các truy vấn DNS ra ngoài nhưng từ chối tất cả lưu lượng khác. Đây là minh chứng cho nguyên tắc quyền tối thiểu trong cấu hình tường lửa.
  • Bảo mật cổng: Đề cập đến việc hạn chế các địa chỉ MAC có thể kết nối vào một cổng nhất định, giúp ngăn thiết bị trái phép kết nối vào mạng.
  • Phân đoạn mạng: Tài liệu nhấn mạnh việc cô lập các hệ thống quan trọng để giảm thiểu thiệt hại từ các xâm nhập. Ví dụ: phân đoạn hệ thống cũ hoặc sử dụng VLAN cô lập.
  • Bảo mật DNS: Đề cập đến các vấn đề như DNS poisoning, DNS sinkholes và các truy vấn DNS bất thường, dấu hiệu của việc đánh cắp dữ liệu.

2. Xác thực và Quản lý danh tính

  • Xác thực đa yếu tố (MFA): Kết hợp "những gì bạn biết", "những gì bạn có" và "những gì bạn là" để tăng cường bảo mật.
  • Bảo mật mật khẩu: Các biện pháp như phức tạp hóa mật khẩu, sử dụng salting để chống bẻ khóa mật khẩu, và phòng chống brute force attacks.
  • Quyền tối thiểu: Cần thiết khi thiết lập tài khoản quản trị, đảm bảo người dùng chỉ có quyền truy cập tối thiểu để hoàn thành công việc.
  • Liên kết (Federation): Đơn giản hóa truy cập đến nhiều trang web qua một quy trình đăng nhập duy nhất.

3. Các mối đe dọa và lỗ hổng

  • Tấn công kỹ thuật xã hội: Bao gồm phishing, smishing, vishing và mạo danh qua email.
  • Phần mềm độc hại: Đề cập đến ransomware, trojans, spyware và các phương pháp bảo vệ như EDR (Endpoint Detection and Response).
  • Lỗ hổng ứng dụng web: Như SQL injection, XSS (cross-site scripting), tràn bộ đệm và sideloading.
  • Tấn công chuỗi cung ứng: Cảnh báo về các cập nhật phần mềm độc hại qua chuỗi cung ứng.
  • Zero Day Exploits: Mô tả lỗ hổng chưa có bản vá trong bối cảnh quét lỗ hổng.

4. Phản ứng sự cố và Pháp lý số (Forensics)

  • Phản ứng sự cố: Các giai đoạn như phân tích, lập kế hoạch phản ứng và giữ dữ liệu pháp lý.
  • Pháp lý số: Mô tả quy trình giữ chuỗi quyền giám sát và bảo quản bằng chứng.
  • Phân tích nhật ký: Tầm quan trọng của việc thu thập và giám sát nhật ký để phát hiện các hoạt động bất thường.

5. Quản lý rủi ro và Tuân thủ

  • Quản lý rủi ro: Đề cập đến các khái niệm như sổ đăng ký rủi ro, dung sai rủi ro, chuyển giao rủi ro, và tính toán tổn thất hàng năm (ALE).
  • Liên tục kinh doanh & Khắc phục thảm họa: DRP, các bài tập mô phỏng (tabletop exercises), và lập kế hoạch cho các trang khôi phục.
  • Tuân thủ: Đề cao chính sách bảo mật, phân loại dữ liệu, và chứng nhận bên ngoài.

6. Bảo vệ dữ liệu

  • Mã hóa: Sử dụng mã hóa toàn bộ ổ đĩa, mã hóa khi nghỉ và mã hóa khi truyền.
  • Che giấu dữ liệu & Tokenization: Phương pháp bảo vệ dữ liệu nhạy cảm như số thẻ tín dụng.
  • DLP (Ngăn chặn mất dữ liệu): Ngăn việc gửi dữ liệu qua email hoặc bị đánh cắp.
  • Vai trò dữ liệu: Phân định vai trò chủ sở hữu, người quản lý và đối tượng dữ liệu.

7. Quản lý lỗ hổng

  • Quét lỗ hổng: Theo dõi tình trạng vá lỗi và phát hiện lỗ hổng giả.
  • Kiểm tra xâm nhập: Định nghĩa các kỹ thuật như quét cổng và tầm quan trọng của quy tắc tham gia.
  • Quản lý bản vá: Tầm quan trọng của việc quản lý và lập kế hoạch dự phòng khi bản vá lỗi.

8. Công cụ và Công nghệ bảo mật

  • SIEM: Thu thập nhật ký từ nhiều nguồn và cung cấp phân tích tập trung.
  • NAC (Network Access Control): Kiểm soát truy cập mạng sau sự cố bảo mật.
  • Honeypots: Phát hiện kẻ tấn công tiềm năng mà không ảnh hưởng đến máy chủ thực.

Kết luận

Tài liệu này cung cấp cái nhìn tổng quan về các nguyên tắc và thực hành an ninh mạng. Các chủ đề chính bao gồm xác thực mạnh, phân đoạn mạng, phản ứng sự cố, và bảo vệ dữ liệu. Hiểu rõ các kỹ thuật tấn công, công cụ bảo mật và quy định tuân thủ là điều cần thiết cho đội ngũ bảo mật.

Câu hỏi thường gặp (FAQ)

1. Mục đích của danh sách kiểm soát truy cập (ACLs) trong bảo mật mạng là gì, và chúng được sử dụng như thế nào trong các ví dụ được cung cấp (A, B, C, D)?

ACLs được sử dụng để lọc lưu lượng mạng dựa trên địa chỉ IP nguồn, địa chỉ đích, cổng và giao thức. Trong các ví dụ được cung cấp, ACLs được sử dụng để kiểm soát lưu lượng DNS (cổng 53) ra ngoài. Tùy chọn D là câu trả lời đúng, chỉ cho phép địa chỉ IP cụ thể 10.50.10.25/32 thực hiện truy vấn DNS ra ngoài và từ chối tất cả các truy vấn DNS khác. Tùy chọn A cho phép bất kỳ truy vấn DNS nào từ bất kỳ nguồn và đích nào, trong khi B và C cho phép tất cả các yêu cầu ra ngoài, sau đó chặn yêu cầu từ địa chỉ nguồn 10.50.10.25/32.

2. Một số phương pháp tấn công phổ biến mà kẻ tấn công sử dụng để lừa cá nhân tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động bất lợi là gì, và chúng có thể được ngăn chặn như thế nào?

Kẻ tấn công sử dụng nhiều kỹ thuật lừa đảo như typosquatting, phishing, mạo danh, vishing (lừa đảo qua cuộc gọi thoại), và smishing (lừa đảo qua tin nhắn SMS).

  • Typosquatting: Tạo các trang web có tên gần giống với các trang hợp pháp để lừa người dùng.
  • Phishing: Gửi email giả mạo để lừa người dùng nhấp vào liên kết độc hại hoặc cung cấp thông tin đăng nhập.
  • Vishing/Smishing: Thực hiện lừa đảo qua cuộc gọi hoặc tin nhắn.
    Biện pháp phòng chống bao gồm đào tạo nhân viên, sử dụng bộ lọc bảo mật email, và triển khai các chính sách ứng phó sự cố.

3. Vai trò của tài liệu Quy tắc tham gia (ROE) trong kiểm tra xâm nhập là gì, và loại do thám nào được mô tả khi người kiểm tra sử dụng quét cổng và dịch vụ?

Tài liệu ROE định nghĩa các điều khoản của kiểm tra xâm nhập, xác định các hoạt động được phép, các hệ thống nằm trong phạm vi và giới hạn đánh giá. Quét cổng và dịch vụ là một dạng do thám chủ động, trong đó người kiểm tra tương tác trực tiếp với hệ thống mục tiêu để thu thập thông tin về các cổng mở, dịch vụ và lỗ hổng.

4. Kế hoạch Phục hồi Thảm họa (DRP) là gì, và tại sao nó quan trọng đối với quá trình khôi phục của tổ chức trong trường hợp hệ thống bị lỗi?

DRP cung cấp một quy trình chi tiết để khôi phục hạ tầng và hệ thống CNTT sau sự cố lớn. Nó quan trọng vì đảm bảo tổ chức có thể khôi phục các chức năng kinh doanh quan trọng một cách nhanh chóng, giảm thiểu thời gian ngừng hoạt động và mất dữ liệu.

5. Những tác động bảo mật nào liên quan đến việc cài đặt phần mềm ngoài kho ứng dụng được phê duyệt, và có những cách nào để kiểm soát và giảm thiểu các vấn đề này?

Cài đặt phần mềm ngoài kho ứng dụng được phê duyệt, hay "sideloading," có thể khiến thiết bị dễ bị khai thác và nhiễm phần mềm độc hại. Việc này có thể được kiểm soát thông qua danh sách ứng dụng cho phép (whitelisting) và đào tạo nhân viên về các rủi ro liên quan.

6. Một số tấn công phổ biến mà nhà phân tích bảo mật có thể phát hiện qua việc xem xét nhật ký là gì? Và làm thế nào để giảm thiểu rủi ro?

Xem xét nhật ký có thể tiết lộ các tấn công như password spraying, brute-force, và các truy vấn DNS bất thường.

  • Password Spraying: Thử một vài mật khẩu phổ biến trên nhiều tài khoản.
  • Brute-Force: Thử tất cả các tổ hợp ký tự để xâm nhập tài khoản.
    Giảm thiểu rủi ro thông qua chính sách khóa tài khoản sau nhiều lần đăng nhập thất bại và thực hiện săn tìm mối đe dọa.

7. Một số biện pháp bảo mật mà tổ chức có thể sử dụng để bảo vệ dữ liệu trên laptop của nhân viên là gì, và những điều cần lưu ý khi triển khai mã hóa đĩa là gì?

Các biện pháp bảo mật bao gồm mã hóa toàn bộ đĩa (FDE), đảm bảo tất cả dữ liệu trên ổ đĩa đều được mã hóa. Khi triển khai FDE, cần xem xét quy trình lưu trữ khóa mã hóa (key escrow) và sự hiện diện của TPM để đảm bảo khả năng khôi phục dữ liệu.

8. Một số yếu tố quan trọng của một chương trình bảo mật hiệu quả là gì, và chúng liên quan như thế nào đến các khái niệm bảo mật như quyền tối thiểu, quản lý rủi ro, và rủi ro chuỗi cung ứng?

Chương trình bảo mật hiệu quả bao gồm các biện pháp kiểm soát phòng ngừa, phát hiện và khắc phục.

  • Quyền tối thiểu: Đảm bảo chỉ cấp quyền truy cập cần thiết.
  • Quản lý rủi ro: Sử dụng sổ đăng ký rủi ro để theo dõi và quản lý rủi ro.
  • Rủi ro chuỗi cung ứng: Thực hiện thẩm định nhà cung cấp và thêm các điều khoản bảo vệ tổ chức vào hợp đồng.

Sau khi tham khảo và nghe đầy đủ Podcast hãy hoàn thành tất cả 509 câu hỏi của bộ Dump CompTIA Security+ (SY0-701) thì không bài thi nào làm khó được các bạn. Dump của Vua Dump luôn là tài liệu chất lượng nhất !

Back to blog