考试睡过头了，还有大学上吗

反正我不高考，因为，我要考下面这套题。

解析几何、动能动量、电离平衡……每逢高考季，这些遥远的知识点又一次以奇怪的方式闪入脑海。

阔别象牙塔多年的诸位，或许时常还会怀念起高考考场上奋笔疾书的自己。

别着急，另一个一年一度属于网络安全行业的“大考”将接踵而至，或持续两周、或持续数月，强度一年更胜一年。

小编这里也准备了一套模拟题，助力即将走向“考场”的考生们取得好成绩。

有奖互动：

留言区晒得分，获赞数前5位，将收到神秘礼品1份~

密封线

所有题目均为选择题，满分120分。请点击题干下方选项作答，每道题后有正确答案解析。

一、实战基础

1.  众所周知，良好的安全意识可以大幅降低网络攻击成功的概率。以下关于安全意识的说法错误的是（单选，10分）

A. 应当定期举行攻防演练（如钓鱼演练），借助实战提升全员安全意识

B. 只要口令足够复杂，攻击者就很难破解，没必要定期更换

C. 长期不使用的虚机应及时删除，防止其成为攻击者的跳板

D. 核心代码应当严格保存，不应随意上传至Github等三方技术社区

答案

点击下方▼ 查看答案

答案：B

**解析：**复杂口令通过暴力破解并不容易，但可通过撞库、社工、钓鱼等其他方式窃取，因此定期更换仍然十分必要。

2. 近年来，微步监测到利用社工钓鱼对办公网进行渗透，在实战攻防演习中的占比大幅提升。以下关于钓鱼攻击的说法正确的是（多选，20分）

A. 应设置显示文件扩展名，对于可执行程序需格外小心

B. 部署邮件安全网关即可拦截绝大多数钓鱼攻击

C. 为确认安全性，可将附件上传至云沙箱（https://s.threatbook.com/）进行检测

D. 在关闭宏的前提下，office文档不存在安全性问题，可放心查看

答案

点击下方▼ 查看答案

答案：AC

**解析：**B选项，邮件安全网关只能够防护钓鱼邮件，且对加密附件效果不好；D选项，目前流行的无文件攻击，其母体样本许多都是普通office文档。

3. 在实战攻防演习期间，效率是决定防护效果的关键因素。为提升防护效率，以下说法正确的是（多选，20分）

A. 在攻击面收敛阶段，对所有漏洞都应一视同仁，应修尽修

B. 自动化封禁的前提是低误报和低漏报，可通过集成高精准情报来实现

C. 在阻断效率方面，串行接入和旁路阻断并没有太大区别

D. 在人力有限的情况下，可考虑接入MDR托管安全服务提升运营效率

答案

点击下方▼ 查看答案

答案：BD

**解析：**A选项，用户应当基于实际风险，确定漏洞处置优先级；C选项，从技术原理来看，旁路阻断通过发送阻断包实现阻断效果，存在一定的失败几率，其效果不如串行接入。

二、阅读理解

请阅读下列材料，回答问题。

2023年8月14日，微步OneSEC在用户侧办公终端上，发现某办公软件创建并执行了恶意代码，经排查，中招终端处于无人操作状态。

为控制中招范围，微步迅速下发了IP、域名、Hash等情报，进行全网检测和封堵，发现已有数家单位中招，恶意软件至少已经发起了上万次反连。

进一步溯源发现，攻击者是利用CDN流量劫持，通过该办公软件云服务加载了恶意dll，最终成功在终端上植入远控软件。

4.  关于本次事件中的攻击手法，以下说法最有可能错误的是（单选，10分）

A. 攻击者可能使用了社工钓鱼的方法，诱骗员工点击并安装恶意文件

B. 攻击者可能使用了dll劫持（白加黑）的手法，加载恶意dll

C. 攻击者可能通过C2服务器与远控软件发生通信，下发攻击指令

D. 理论上，攻击者或可利用供应链，向该软件所有用户投递恶意软件

答案

点击下方▼ 查看答案

答案：A

**解析：**排查显示，中招终端处于无人操作状态，不太可能中招钓鱼。

5. 关于本次事件中的防护策略，下列选项中可能行之有效的是（多选，20分）

A. 通过防火墙对攻击行为进行自动化封禁

B. 安装最新款杀毒软件，精确查杀恶意dll和远控软件

C. 开启微步OneSEC高级威胁检测（EDR）模块，检测终端恶意行为

D. 通过安全DNS服务与威胁情报进行碰撞，拦截远控软件反连

答案

点击下方▼ 查看答案

答案：CD

**解析：**AB选项，攻击者通过流量劫持，利用合法云服务推送恶意文件，同时结合dll劫持实现免杀，可以绕过防火墙、杀软等传统防御工具。

6. 当发现兄弟单位在此次事件里中招后，作为蓝队负责人最应该第一时间？（单选，10分）

A. 进行全员安全意识培训，不要点击一切安全性未知的文件、链接等

B. 断网才是硬道理，能下线的全给下线了

C. 开启杀软进行全盘扫描，看看有没有可疑文件

D. 第一时间禁用相关软件，并通过X/TIP实时获取威胁情报进行全网排查

答案

点击下方▼ 查看答案

答案：D

**解析：**A选项，本次事件不涉及钓鱼；B选项，断网过于粗暴，而且某些业务也不能下线；C选项，传统杀软难以检测未知威胁。

三、计算

随着实战攻防演习的常态化开展，0day逐渐成为了攻击队大量储备的常规武器。面对0day的大范围利用，微步NDR产品威胁感知平台TDP具备强大的0day检测能力，整体检出率大于81%，在2023年实战攻防演习期间帮助客户发现了70+起0day攻击事件。

7.  假设某单位存在两个0day被攻击队掌握，且两个0day均可独立触发，互不影响。那么TDP可同时检出上述两个0day利用的概率至少为？（单选，10分）

A. 36.1%

B. 50%

C. 65.61%

D. 81%

答案

点击下方▼ 查看答案

答案：C

**解析：**两个独立事件同时的发生概率为 81%*81%=65.61%。

8.  为确保0day攻击绕过TDP检测的概率超过50%，攻击队至少应当准备多少个可独立触发的0day？（单选，10分）

A. 2

B. 3

C. 4

D. 5

答案

点击下方▼ 查看答案

答案：C

**解析：**当使用4个0day时，全部检出的概率为81%4，此时概率小于50%。

9. 除检出率以外，误报率也是衡量NDR的重要指标之一。过高的误报率会导致真实的0day攻击告警被淹没在海量误报中。已知微步TDP误报率小于0.003%，假设在实战攻防演习期间，某单位每小时产生约告警规模约500条，则一小时之内零误报的概率约为？（单选，10分）

A. 0%

B. (99.997%)500

C. 99%

D. 99.997%

答案

点击下方▼ 查看答案

答案：B

**解析：**方法同问题8。

密封线

有奖互动：

你得了多少分？留言区晒一下呀 

也欢迎大家分享自己的高考故事

留言中获赞数前5位，将会获得  1份~

（时间截至6月7日18点）

· END ·