反正我不高考,因为,我要考下面这套题。
解析几何、动能动量、电离平衡……每逢高考季,这些遥远的知识点又一次以奇怪的方式闪入脑海。
阔别象牙塔多年的诸位,或许时常还会怀念起高考考场上奋笔疾书的自己。
别着急,另一个一年一度属于网络安全行业的“大考”将接踵而至,或持续两周、或持续数月,强度一年更胜一年。
小编这里也准备了一套模拟题,助力即将走向“考场”的考生们取得好成绩。
有奖互动:
留言区晒得分,获赞数前5位,将收到神秘礼品1份~
密封线
所有题目均为选择题,满分120分。请点击题干下方选项作答,每道题后有正确答案解析。
一、实战基础
1. 众所周知,良好的安全意识可以大幅降低网络攻击成功的概率。以下关于安全意识的说法错误的是(单选,10分)
A. 应当定期举行攻防演练(如钓鱼演练),借助实战提升全员安全意识
B. 只要口令足够复杂,攻击者就很难破解,没必要定期更换
C. 长期不使用的虚机应及时删除,防止其成为攻击者的跳板
D. 核心代码应当严格保存,不应随意上传至Github等三方技术社区
答案
点击下方▼ 查看答案
答案:B
**解析:**复杂口令通过暴力破解并不容易,但可通过撞库、社工、钓鱼等其他方式窃取,因此定期更换仍然十分必要。
2. 近年来,微步监测到利用社工钓鱼对办公网进行渗透,在实战攻防演习中的占比大幅提升。以下关于钓鱼攻击的说法正确的是(多选,20分)
A. 应设置显示文件扩展名,对于可执行程序需格外小心
B. 部署邮件安全网关即可拦截绝大多数钓鱼攻击
C. 为确认安全性,可将附件上传至云沙箱(https://s.threatbook.com/)进行检测
D. 在关闭宏的前提下,office文档不存在安全性问题,可放心查看
答案
点击下方▼ 查看答案
答案:AC
**解析:**B选项,邮件安全网关只能够防护钓鱼邮件,且对加密附件效果不好;D选项,目前流行的无文件攻击,其母体样本许多都是普通office文档。
3. 在实战攻防演习期间,效率是决定防护效果的关键因素。为提升防护效率,以下说法正确的是(多选,20分)
A. 在攻击面收敛阶段,对所有漏洞都应一视同仁,应修尽修
B. 自动化封禁的前提是低误报和低漏报,可通过集成高精准情报来实现
C. 在阻断效率方面,串行接入和旁路阻断并没有太大区别
D. 在人力有限的情况下,可考虑接入MDR托管安全服务提升运营效率
答案
点击下方▼ 查看答案
答案:BD
**解析:**A选项,用户应当基于实际风险,确定漏洞处置优先级;C选项,从技术原理来看,旁路阻断通过发送阻断包实现阻断效果,存在一定的失败几率,其效果不如串行接入。
二、阅读理解
请阅读下列材料,回答问题。
2023年8月14日,微步OneSEC在用户侧办公终端上,发现某办公软件创建并执行了恶意代码,经排查,中招终端处于无人操作状态。
为控制中招范围,微步迅速下发了IP、域名、Hash等情报,进行全网检测和封堵,发现已有数家单位中招,恶意软件至少已经发起了上万次反连。
进一步溯源发现,攻击者是利用CDN流量劫持,通过该办公软件云服务加载了恶意dll,最终成功在终端上植入远控软件。
4. 关于本次事件中的攻击手法,以下说法最有可能错误的是(单选,10分)
A. 攻击者可能使用了社工钓鱼的方法,诱骗员工点击并安装恶意文件
B. 攻击者可能使用了dll劫持(白加黑)的手法,加载恶意dll
C. 攻击者可能通过C2服务器与远控软件发生通信,下发攻击指令
D. 理论上,攻击者或可利用供应链,向该软件所有用户投递恶意软件
答案
点击下方▼ 查看答案
答案:A
**解析:**排查显示,中招终端处于无人操作状态,不太可能中招钓鱼。
5. 关于本次事件中的防护策略,下列选项中可能行之有效的是(多选,20分)
A. 通过防火墙对攻击行为进行自动化封禁
B. 安装最新款杀毒软件,精确查杀恶意dll和远控软件
C. 开启微步OneSEC高级威胁检测(EDR)模块,检测终端恶意行为
D. 通过安全DNS服务与威胁情报进行碰撞,拦截远控软件反连
答案
点击下方▼ 查看答案
答案:CD
**解析:**AB选项,攻击者通过流量劫持,利用合法云服务推送恶意文件,同时结合dll劫持实现免杀,可以绕过防火墙、杀软等传统防御工具。
6. 当发现兄弟单位在此次事件里中招后,作为蓝队负责人最应该第一时间?(单选,10分)
A. 进行全员安全意识培训,不要点击一切安全性未知的文件、链接等
B. 断网才是硬道理,能下线的全给下线了
C. 开启杀软进行全盘扫描,看看有没有可疑文件
D. 第一时间禁用相关软件,并通过X/TIP实时获取威胁情报进行全网排查
答案
点击下方▼ 查看答案
答案:D
**解析:**A选项,本次事件不涉及钓鱼;B选项,断网过于粗暴,而且某些业务也不能下线;C选项,传统杀软难以检测未知威胁。
三、计算
随着实战攻防演习的常态化开展,0day逐渐成为了攻击队大量储备的常规武器。面对0day的大范围利用,微步NDR产品威胁感知平台TDP具备强大的0day检测能力,整体检出率大于81%,在2023年实战攻防演习期间帮助客户发现了70+起0day攻击事件。
7. 假设某单位存在两个0day被攻击队掌握,且两个0day均可独立触发,互不影响。那么TDP可同时检出上述两个0day利用的概率至少为?(单选,10分)
A. 36.1%
B. 50%
C. 65.61%
D. 81%
答案
点击下方▼ 查看答案
答案:C
**解析:**两个独立事件同时的发生概率为 81%*81%=65.61%。
8. 为确保0day攻击绕过TDP检测的概率超过50%,攻击队至少应当准备多少个可独立触发的0day?(单选,10分)
A. 2
B. 3
C. 4
D. 5
答案
点击下方▼ 查看答案
答案:C
**解析:**当使用4个0day时,全部检出的概率为81%4,此时概率小于50%。
9. 除检出率以外,误报率也是衡量NDR的重要指标之一。过高的误报率会导致真实的0day攻击告警被淹没在海量误报中。已知微步TDP误报率小于0.003%,假设在实战攻防演习期间,某单位每小时产生约告警规模约500条,则一小时之内零误报的概率约为?(单选,10分)
A. 0%
B. (99.997%)500
C. 99%
D. 99.997%
答案
点击下方▼ 查看答案
答案:B
**解析:**方法同问题8。
密封线
有奖互动:
你得了多少分?留言区晒一下呀
也欢迎大家分享自己的高考故事
留言中获赞数前5位,将会获得 1份~
(时间截至6月7日18点)
· END ·