SPREN1

Was ist die größte Herausforderung in der OT-Sicherheit?

Was ist kein Treiber für Staaten, Cybersecurity-Gesetze zu erlassen?

Welcher der folgenden Produkttypen benötigt keine Cybersicherheit?

Was ist der stärkste Treiber für Produktsicherheit?

Welcher der folgenden Märkte erkennt IEC 62443 nicht an?

Welche der folgenden ist keine Grundlage für Sicherheitsanforderungen?

Was ist eine gemeinsame Anforderung von ISO21434 und ISO9001?

Welches Akronym beschreibt einen gängigen Ansatz für Governance?

Warum ist der Aufbau einer Cybersicherheitskultur wichtig?

Was motiviert Unternehmen am meisten, sich mit Produktsicherheit zu beschäftigen?

Was ist ein wesentlicher Unterschied zwischen Produktsicherheit und Informationssicherheit?

Welcher der folgenden Standards ist für Produktsicherheit am wenigsten relevant?

Welcher Testfall stellt die Akzeptanz einer kommerziellen Standardsoftware (COTS) nicht sicher?

Was hilft dabei, sichere Cloud-Anbieter zu identifizieren?

Wie können Datenlecks in einem ODC verhindert werden?

Welcher der folgenden Punkte ist kein Treiber für Sicherheitsrisikomanagement?

Wo sollte die ISO21434 TARA-Methodik angewendet werden?

Welcher Schritt kommt zuletzt in der NIST SP800-39-Methodik?

Was ist der erste Auslöser für eine Sicherheitsrisikobewertung?

Wer ist verantwortlich für Produktsicherheitsrisiken?

„Ein Angreifer könnte bösartigen Code in die Weboberfläche einfügen“ – Was ist das?

Warum sollten Sicherheitsexperten einen Entwurf des Bedrohungsmodells vorbereiten?

Welcher Input für Bedrohungsmodelle wird auch von Entwicklern verwendet?

Wer genehmigt Risikobewertungen?

Welche der folgenden Ansätze ist ein Top-Down-Bedrohungsmodellierungsansatz?

Welches der folgenden ist ein Anti-Pattern im Bedrohungsmodellierungsmanifest?

Warum sollten Sie Referenzrisikobewertungen erstellen?

Was ist der stärkste Treiber für Sicherheitsrisikomanagement?

Welcher Auslöser für Risikobewertungen ist extern?

Welcher Schritt gehört nicht zu den Prozessschritten im Sicherheitsrisikomanagement?

Welcher Einflussfaktor kann nicht verwendet werden, um Auswirkungen auf das Unternehmen zu bewerten?

Buffer Overflow führt zur vollständigen Systemkompromittierung“ ist ein Risikoszenario für welche Ebene?

Ein Vorteil von FMEA ist…

Welcher der folgenden Schritte in TARA wird nicht in traditionellen Risikobewertungen abgedeckt?

Welches Akronym beschreibt Schadenskategorien für Endnutzer?

Welches der folgenden ist ein Indikator für eine gute Sicherheitsarchitektur?

Welche Risikobehandlung ist tendenziell am teuersten?

Welche Minderungstrategie ist für Produktentwickler am praktikabelsten?

Welche Informationen sind für Führungskräfte im Risikobericht am interessantesten?

Welcher der folgenden Punkte war wahrscheinlich kein Treiber für die Übernahme von WhatsApp durch Facebook im Jahr 2014?

Welche Risiken wurden letztlich für Facebook nach der Übernahme von WhatsApp relevant?

Welche Integrationsmethode wählte Facebook für WhatsApp?

Worauf sollte bei der Produktsicherheit am meisten geachtet werden?

Welches der folgenden Kriterien wäre keine gute Auswahlbedingung?

Welche der folgenden Sicherheitsmaßnahmen würden Sie bei Rollern nicht suchen?

Welchen Hardening Frameworks/Standards empfehlen sich für das Verbessern der Sicherheitssituation von Systemen?

Welche Herausforderung trifft in Bezug auf IoT Sicherheit em Ehesten zu ?

Was trifft eher auf IDS als auf IPS zu?

Was tut die hohe Komplexität eines Systems mit/für/gegen Sicherheit am Ehesten?

Was sind die üblichen Probleme beim Umgang mit Patches im kontrollierten (controlled) Produktumfeld (3 richtige Antworten)?

Welche der folgenden Massnahmen wirkt Präventiv?

Ihnen wird erklärt, dass die Zone AB2020 als eher unwichtig eingestuft wurde. Die meisten Anforderungen ensprechen SL 1. Nun wird von Ihnen eine Freigabe erwartet ohne dabei weitere Security Controls der Gesamtarchitektur hinzuzufügen. Der SL Vector String der Ihnen vom Bereich Risikomanagement übergeben wurde stellt sich wie folgt dar: SL-C(AB2020) = { IAC:1/UC:1/SI:4/DC:1/RDF:0/TRE:0/RA:1 }

Welches der folgenden Elemente ist kein "Security Control" oder keine kontrollierende Massnahme (2 richtige Antworten)?

Um welchen Security Level handelt es sich, wenn das System sich gegen Angriffe mit sehr hohem Aufwand (sophistic abilities) und tiefem Wissen über das Zielsystem zur Wehr zu setzen hat?

Welche Aussage auf Sicherheitszonen trifft zu?

Welche Aussage trifft am Ehesten auf Sicherheitsarchitektur zu?

Welche Aussage ist für diese Zone am ehesten zutreffend? SL-C(Blue Zone) = { IAC:1/UC:1/SI:2/DC:1/RDF:0/TRE:0/RA:1 }

Auf welchem Standard basiert das Konzepot der SuC sowie Zones & Conduits?

Was meint System under Consideration (SuC)?

Welche Voraussetzung muss erfüllt sein, um eine Sicherheitsarchitektur erstellen zu können?

Welches Thema behandelt die ISO/IEC 62443 nicht?

Was sind die üblichen Probleme beim Umgang mit Patches im Produktumfeld (mehrere richtige Antworten?

Was ist der Hauptunterschied zwischen Dynamic Application Security Testing (DAST) und Static Application Security Testing (SAST)?

Warum ist es wichtig, Backups regelmässig zu testen? (Beste Antwort auswählen)

Welcher der folgenden Strings kennzeichnet das kritischste System als Gesamtsystem?

Was trifft auf Bug-Bounty Programme am ehesten zu?

Warum kann Produkt Security ein entscheidender Faktor bei einer Acquisition sein? (Die beste Antwort wählen!)

Wozu nützt die Lockheed Martin, the Cyber Kill Chain® nicht?

Was ist ein wesentliches Kernziel von DevSecOps?

Identity & Access Management, Change Control, Operative Monitoring & Backup sind Elemente von...

Welche der folgenden Security-Funktionen lässt sich für mittelgrosse Organisationen am besten outsourcen?

Welchem der folgenden Stakeholder obliegt typischerweise die Entscheidung, ob eine Schwachstelle im Produkt zu beheben ist?

Worin unterscheidet sich Product Security von Information Security (drei richtige Antworten)?

Was ist der Zweck von Security Monitoring

Welches der folgenden Elemente ist ein “Security Control” bzw. eine kontrollierende Massnahmen (2 richtige Antworten)?

Was beschreibt CONDUIT nach IES 62432?

Welche Aussage zu Defence in Depth ist weniger zutreffend?

Welche der folgenden Standards kennt SuC, Zones und Conduits?

Warum kann Produktsicherheit am Ehesten bei einer Unternehmensakquisition ein entscheidender Faktor sein?

Worum handelt es sich bei “Weak Encryption” am ehesten?

Was ist ein SOC 2-Bericht?

Was ist eine TARA?