2025年信息系统安全专家数据泄露威胁狩猎技术专题试卷及解析.docxVIP

2025年信息系统安全专家数据泄露威胁狩猎技术专题试卷及解析

2025年信息系统安全专家数据泄露威胁狩猎技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎过程中，安全分析师发现某内部员工账户在非工作时间从异常IP地址访问了包含敏感客户信息的数据库，并下载了大量数据。这种行为最符合哪种数据泄露威胁模型？

A、恶意内部人员威胁

B、外部攻击者利用失陷账户

C、无意的内部数据泄露

D、供应链攻击

【答案】A

【解析】正确答案是A。恶意内部人员威胁的核心特征是内部人员利用其合法权限，出于恶意目的（如窃取数据、破坏系统）主动实施危害行为。题目中描述的“非工作时间”、“异常IP”、“下载大量敏感数据”是典型的恶意内部人员数据泄露行为模式。B选项虽然涉及账户，但行为主体是内部员工，且未提及账户失陷的证据；C选项“无意”与题目中“下载大量数据”的刻意行为不符；D选项供应链攻击通常涉及第三方供应商或软件，与本题场景无关。知识点：内部威胁行为模式分析。易错点：容易将“异常IP”与外部攻击混淆，但关键在于行为主体是内部员工。

2、在进行数据泄露威胁狩猎时，以下哪种数据源对于检测“数据外传”行为最为关键？

A、防火墙日志

B、数据库审计日志

C、数据防泄漏（DLP）系统日志

D、身份认证系统日志

【答案】C

【解析】正确答案是C。数据防泄漏（DLP）系统专门设计用于监控、检测和阻止敏感数据的未授权传输。其日志会详细记录敏感数据的识别、传输尝试、目标地址、使用的协议和通道等关键信息，是狩猎“数据外传”行为最直接、最有效的数据源。A选项防火墙日志主要关注网络连接和流量，缺乏对数据内容的深度感知；B选项数据库审计日志主要记录对数据库的访问和操作，但无法追踪数据离开数据库后的去向；D选项身份认证日志记录登录事件，与数据传输行为本身关联度较低。知识点：数据泄露检测技术及数据源价值。易错点：可能会误选B，因为涉及数据库，但DLP才是监控数据“离开”边界的关键。

3、威胁狩猎团队使用MITREATTCK框架来分析潜在的数据泄露活动。在“数据渗透”（Tactic:Exfiltration）阶段，攻击者通过加密压缩文件并利用DNS隧道将其外传。这最可能对应以下哪个技术（Technique）？

A、T1041：ExfiltrationOverC2Channel

B、T1567：ExfiltrationOverWebService

C、T1071：ApplicationLayerProtocol

D、T1048：ExfiltrationOverAlternativeProtocol

【答案】D

【解析】正确答案是D。T1048：ExfiltrationOverAlternativeProtocol指的是使用非标准或不常见的协议进行数据外传，以绕过基于标准协议（如HTTP,FTP）的检测。DNS隧道是一种典型的替代协议技术，将数据封装在DNS查询中。A选项T1041侧重于通过已有的命令与控制（C2）通道外传数据；B选项T1567特指利用Web服务（如云存储、API）进行外传；C选项T1071是一个更宽泛的应用层协议滥用技术，而D选项更精确地描述了使用“替代”协议的行为。知识点：MITREATTCK框架在威胁狩猎中的应用。易错点：容易混淆T1048和T1071，关键在于“替代协议”强调的是协议的非标准性，而DNS隧道正是典型代表。

4、在进行用户实体行为分析（UEBA）以狩猎数据泄露威胁时，以下哪个指标对于识别潜在的“数据囤积”行为最不相关？

A、用户访问的文件数量和频率异常增高

B、用户访问的文件敏感度评分总和异常

C、用户登录的地理位置发生显著变化

D、用户对非工作相关文件的访问量增加

【答案】C

【解析】正确答案是C。数据囤积指攻击者在窃取数据前，大量收集和整理目标文件的行为。A、B、D选项都与用户对文件本身的访问行为模式直接相关，是识别数据囤积的关键指标。C选项“登录地理位置变化”更多关联账户被盗用或用户异常登录，虽然可能是一个风险信号，但它并不直接反映用户是否在进行数据收集或囤积。一个用户可能在异地合法登录但并未进行任何异常的文件操作。知识点：用户实体行为分析（UEBA）在数据泄露检测中的应用。易错点：可能会认为任何异常都是相关的，但威胁狩猎需要关注与特定威胁行为（数据囤积）最直接相关的异常指标。

5、某安全团队发现，公司内部一台开发服务器持续向一个陌生的外部IP地址发送ICMP数据包，且数据包大小异常。经过分析，确认这是在进行数据泄露。这种技术属于？

A、利用HTTP隧道进行数据泄露

B、利用DNS隧道进行数据泄露

C、利用ICMP隧道进行数据泄露

D、利用时间戳（CovertTimingCha