複選題

15. 在美國國家標準技術研究院(NIST)特別出版品 800-61 Rev. 2(SP 800-61 Rev. 2) 中，關於事件封鎖、根除與復原(Containment, Eradication, and Recovery)階段的主 要活動描述，下列哪些最為正確？
(A) 實施短期封鎖措施以減少事件影響，防止進一步擴散
(B) 根據事件影響範圍決定是否需要向主管機關進行報告
(C) 移除攻擊者在系統中的持久性威脅(如後門或惡意軟體)
(D) 恢復受影響的系統至正常運行狀態，並驗證系統安全性

1. 下列何項工具可以用來盤點 Windows Server Active Directory(AD)的關連性及權限設定，發現 AD 的潛在威脅，既可被紅隊成員拿來規劃內網檢測方向，也可以被藍 隊成員用來規劃 AD 資安強化措施？ (A) BloodHound (B) Snort (C) OpenVAS (D) Nmap

2. 下列何項屬於 MITRE ATT&CK 中的憑證存取(Credential Access)戰術(Tactic)？ (A) 從本機系統蒐集資料(Data from Local System) (B) 外部遠端服務使用(External Remote Services) (C) 清除 Windows 事件記錄(Clear Windows Event Logs) (D) 作業系統憑證傾印(OS Credential Dumping)

3. 駭客為了追求最大利益，將亂槍打鳥的隨機攻擊轉換成目標式攻擊，進階持續性威脅(Advanced Persistent Threats，APT)即是最難防禦的目標式攻擊。關於 APT 攻擊 的敘述，下列何者最「不」適切？ (A) APT 攻擊常透過社交工程結合零時差(Zero-day)漏洞取得初始入侵點 (B) APT 行動通常僅在短時間內完成，整個攻擊週期不會超過 24 小時 (C) 攻擊者會建立多條指揮控制(C2)通道，以降低被完全阻斷的風險 (D) APT 攻擊往往伴隨嚴謹的情報蒐集與量身訂做的惡意程式，以提高成功率

複選題4. 下列哪些攻擊手法可以透過遠端攻擊網路伺服器？ (A) Slowloris 攻擊 (B) BlueBorne 攻擊 (C) SQL 指令注入(SQL Injection) (D) Evil Twin 攻擊

5. 關於信件中出現 Received: from 10.0.1.7 的本地 IP 地址，下列何項敘述最為適切？ (A) 此 IP 為原始發信者 IP (B) 攻擊者可能隱藏其實際來源 (C) 本地 IP 位址保證了信件的安全性 (D) 信件已通過多重身份驗證

6. 從圖二資訊中，發現郵件來源的網域金鑰識別郵件 (DomainKeys Identified Mail，DKIM)簽名為"No signature"時，應採取下列何項的 對應行動最為適切合理？ (A) 自動信任此郵件，因為 DKIM 簽名不是必要的安全措施 (B) 驗證信件來源，並檢查是否有其可疑疑慮 (C) 立即刪除信件，因為這意味著信件一定是惡意的 (D) 啟用防火牆來阻止所有與該域相關的通信

7. 如果通過 VirusTotal 等工具，發現網址被標記為惡意， 身為專業資安人員應該採取下列何項處置最為適切？ (A) 立即在公司網路中封鎖該網址，並通知相關人員不要點擊 (B) 忽略不用理會判定結果，因為誤判的可能性很高 (C) 在自己工作電腦直接點擊網址，自己感受確認是否真的有安全威脅 (D) 將此網址加入瀏覽器白名單以避免誤報

複選題8. 在驗證網址的安全性時，可以採取下列哪些具安全性的 方式進行檢查？ (A) 使用 DNS 查詢工具檢查域名的註冊日期和註冊商資訊 (B) 點擊連結後檢查網站的內容是否與官方網站一致 (C) 使用 URL 檢測工具(如 VirusTotal)進行分析 (D) 根據網址中的頂級域名(如.sbs)直接判定為安全或危險

9. 針對目前時下常見的資安技術與產品中，下列何項描述較「不」正確？ (A) Breach and Attack Simulation(BAS)主要是用高頻率且大量的攻擊方式來檢驗企 業當下的防禦機制是否有效 (B) External Attack Surface Management(EASM)主要是用來查核企業暴露於網路上 的數位資產有哪些，例如對外開放的 port、企業持有的網域名稱、企業外洩的帳 號密碼等等 (C) Security Information and Event Management(SIEM)僅用來蒐集外部常見的攻擊 情資，例如其他國家或企業的攻擊事件，或是暗網上的攻擊行動預告文章，以便 發現潛在的資安威脅，然後再來檢視企業是否即將面臨類似的攻擊 (D) Endpoint Detection and Response(EDR)主要是透過分析端點的日誌和行為，來 發現甚至阻斷攻擊者的行動

10. 在導入零信任架構的微分段(Micro-segmentation)時，若目標是最大限度降低橫向 移動(Lateral Movement)風險，下列何項做法最為有效？ (A) 透過虛擬區域網路將子網路進行邏輯切割 (B) 在工作負載層實施「基於身分的動態安全群組」並預設拒絕(Default-deny)所有 跨段流量 (C) 僅於核心交換器設定網路存取控制列表(Access Control List, ACL) (D) 使用傳統邊界防火牆將內、外網物理隔離

115年 - 115-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#139174

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#130418

114年 - 114-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#126101

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#121982

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#119309

112年 - 112-2 中級資訊安全工程師能力鑑定試題_科目1：I22資訊安全防護實務#116083

112年 - 112-1 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#114235

111年 - 111 ipas中級資訊安全工程師能力鑑定試題_科目 2：資訊安全防護實務#112999

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#104035

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全防護實務#90128