CEH v13 モジュール 04: 列挙およびモジュール 06: マルウェアの脅威では、コマンド アンド コントロール (C2) 通信を調査する際に、通信が実際に発生したかどうか、どのようなデータが送信されたかを判断することが重要です。
C). インターネットファイアウォール/プロキシログ
外部 IP への送信接続を確認するための最適なソース。
プロキシ ログには、接続を行った内部ホスト、タイムスタンプ、場合によっては URL とペイロードが表示されます。
ファイアウォールは、ポートの使用状況、トラフィック量、接続期間を示すことができます。
このデータにより、インシデントの重大度、データの流出が発生したかどうか、どの内部システムが影響を受けているかを直接把握できます。
他のオプションが最初は効果が低い理由:
A). IDSログ: アラートが生成されたことを示すだけです。誤検知や接続失敗によってトリガーされた可能性があります。
B). ドメイン コントローラーのイベント ログ: ユーザー アカウントの動作には役立ちますが、ネットワーク接続には使用できません。
D). PC 上のイベント ログ: 詳細が欠落していたり​​、マルウェアによって改ざんされている可能性があります。
参照：
モジュール 06 - インシデント対応トリアージとフォレンジックログ
CEH iLabs: プロキシログ分析とマルウェアC2検出

CEHのモバイルおよびIoTセキュリティモジュールでは、安全でない通信とは、デバイスとサーバー間で送信される機密データの暗号化が不十分な状態と定義されています。アプリケーションがHTTPSではなくプレーンHTTPを使用する場合、認証トークン、ユーザーID、セッションデータを含むすべてのトラフィックが、ネットワークスニッフィングや中間者攻撃によって攻撃者によって監視および改ざんされる可能性があります。CEHは、安全でないトランスポートチャネルがモバイルエコシステムにおける最も一般的かつ重大な脆弱性の一つであり、攻撃者が認証情報を盗み取ったり、悪意のあるコマンドを挿入したりすることを可能にすると強調しています。セキュリティ構成ミスとは不適切なサーバー設定を指し、SSLピンニングの問題とは証明書検証のバイパスを指します。不十分な入力検証とは、アプリケーション側のデータ検証に関係します。これらのいずれも、暗号化されていないデータの漏洩を正確に表す安全でない通信ほど直接的には関連していません。

CEH v13では、マルチベクトルDDoS攻撃、特にボリューム型リフレクション（DNS増幅）とアプリケーション層枯渇攻撃（Slowloris）を組み合わせた攻撃には、多層的な緩和策が必要であると説明されています。標準的なファイアウォールやIPSデバイスでは、正当なトラフィックに巻き添え被害を与えることなく、大規模な分散型攻撃に対処することはできません。CEHは、リアルタイムのローカルフィルタリングを実現するオンプレミスアプライアンスと、大規模なボリューム型フラッド攻撃を吸収できるクラウドベースのスクラビングセンターを組み合わせた、ハイブリッドDDoS防御の必要性を強調しています。クラウドスクラビングは上流の悪意のあるトラフィックを除去し、オンプレミスデバイスはアプリケーション層の異常を緩和します。帯域幅の増加（オプションA）は、リフレクション攻撃に対して効果がありません。IPS（オプションB）は、Slowlorisのような部分的なリクエストを大規模に処理できません。すべての外部DNS/HTTPをブロックする（オプションC）と、正当なユーザーへのサービス提供が拒否されます。CEHに適応した適切なソリューションは、ハイブリッドDDoS緩和サービスです。