SPREN2

Was trifft auf die Bezeichnung Inject im Zusammenhang mit einer Incident Response Übung am Ehesten zu?

Why do we see Cybersecurity Laws & Regulations popping up world wide?

Welches der folgenden Einträger kann als Inject im Rahmen einer Incident Response Übung verwendet werden?

Was ist das Hauptziel einer Incident Response Übung?

Was sind mögliche Szenarien - im Rahmen der diskutierten Übungen - für eine Incident Response Übung (drei Antworten sind korrekt) ?

Was ist keine Übungsart?

Welches der folgenden Elemente ist typischerweise nicht Bestandteil einer umfassenden Incident Response Übung?

Welcher der folgenden Aspekte wird typischerweise in einer fortgeschrittenen Incident Response Übung am wenigsten detailliert simuliert?

Wie verändert sich der CVSSv3.1 Base Score wenn die betroffene Systemkomponente ohne Netzwerkanbindung (no network stack) genutzt wird und keinerlei vertrauliche Daten hält? CVSSv3.1 Base: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L (Score: 8.6))

Welcher Environmental Score (CVSSv3.1) ergibt sich, wenn die betroffene Systemkomponente ohne Netzwerkanbindung (no network stack) genutzt wird, keinerlei vertrauliche Daten hält und die Verfügbarkeit der Komponente hoch kritisch ist? CVSSv3.1 Base: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L (Score: 8.6))

Welcher der folgenden Standards behandelt das Thema Incident Handling ausführlicher und exklusiv?

Was ist keine Voraussetzung oder kein Bestandteil für ein effektives Vulnerability Management von Produkten?

Darf man bei den Prozessschritten des Incident Handling in der Reihenfolge der Ausführung abweichen?

Welcher Ansatz eignet sich am Ehesten, um Schwachstellen in Komponenten kritischer Infrastruktur zu erkennen?

Was versteht man unter einem „False Positive“ in der IT-Sicherheit?

Wobei handelt es sich um einen Cybersecurity Incident?

Worum handelt es sich hier: Die Gruppe APT2322 hat die Kunden-Passwörter des Shopportals "ABC Alles-für-einen-Franken" gestohlen?

Worum handelt es sich bei den folgenden Beispiel? "Veraltete Software mit bekannten Sicherheitslücken."

Worum handelt es sich bei dem folgendem Beispiel? "Diebstahl von Kundendaten und resultierender Vertrauensverlust."

Welche der folgende Aufgaben wird typischerweise nicht durch ein Product Security Incident Response Team (PSIRT) abgedeckt?

Wie nennt man das Team mit folgenden Aufgaben?

-Product Vulnerability Management

-Responsible Disclosure (Product Vulnerabilities)

-Customer Security Support Security

-Testing Support in product development

Welche Schadenskategorie, bei Schwachstellen, auf dieser Liste, kann unter Umständen besonders kritisch sein?

Welcher der folgenden Management Prozesse ist keine Grundlage für Supply Chain Security?

Was sind die vier wesentlichen Elemente des Supplier Lebenszyklus?

Welcher der folgenden Punkte ist kein Vorteil von geregelter Supply Chain Security?

Welches ist die grösste Herausforderung bezüglich Supply Chain Security?

Was gehört typischerweise nicht zum Security Support für Kunden?

Was ist bezüglich Supplier-Auswahl aus Security-Perspektive am wichtigsten?

Wann beginnt man mit den Vorbereitungen für das Supplier Offboarding? (Die beste Antwort wählen!)

Worauf sollte man während dem Supplier Onboarding gezielt achten?

Wie diskutiert man Security-Probleme mit strategischen Suppliern?

Was sollte aus Security-Sicht in jedem Suppliervertrag enthalten sein?

Welcher der folgenden Supply Chain Security Standards vererbt sich automatisch auf Sub-Supplier?

Was ist der am ehesten zutreffende Unterschied zwischen Crisis Handling und Incident Handling?

Warum ist es wichtig, ein klares "End of Security Support" Datum für Produkte zu definieren und frühzeitig bekannt zu geben?

Wer sollte ausserhalb der Firma zuerst über kritische Schwachstellen und Incidents welche die Produkte betreffen informiert werden?

Was sollte man vermeiden, wenn sich die Investition in Threat Intelligence rentieren soll?

Auf welche Art reduziert man Kosten die durch Security-bezogene Kundenanfragen entstehen am Effektivsten?

Was erwarten Kunden bezüglich Post-Launch Product Security?

Warum sollte man Patches für seine Produkte zu vorhersagbaren Zeitpunkten (Patch-Day) veröffentlichen?

Was ist kein Anlass dafür die Post-Launch Product Security in einer Firma zu etablieren?

Ordnen Sie die Schritte in der gängigen Reihenfolge an!

Containment - Root Cause Analysis - Lessons Learned - Assessment -Identification

Was muss für Secure Operation im Vorfeld nicht vorbereitet werden?

Warum sollte das Produktmanagement regelmässig involviert werden, wenn es um die Beantwortung von Security-Anfragen von Kunden geht?

Wofür hilft eine Responsible Disclosure Policy nicht?

Security Monitoring welcher Systeme hilft nicht der Produkt Security?

Was empfiehlt sich bezüglich von Security Monitoring für Produkte?

Wofür braucht es Threat Intelligence?

Was ist keine geeignete Quelle, um Threat Intelligence Informationen zu beziehen?

Welche Bedeutung ist für "Triage" im Kontext Security Incident Handling am ehesten gültig?

Which of the following is a mandatory regulation for car manufacturers with software update requirements?

Which of the following improves customer satisfaction?

Which of the following is not a configuration management system?

Why do critical system operators require patch validation

How can customers ensure secure product operation in field?

Which Vulnerability Identification approach provides the most surprising findings?

Which Vulnerability Identification approach is most torough for OTSS?

Which Vulnerability Identification approach is typically the most cost intensive?