ピボットとは、侵入テスターが使用する方法で、侵害されたシステムを使用して同じネットワーク上の他のシステムを攻撃し、すべてのマシンへの直接アクセスを禁止する可能性のあるファイアウォール構成などの制限を回避します。たとえば、攻撃者が企業ネットワーク上のWebサーバーを侵害した場合、攻撃者は侵害されたWebサーバーを使用してネットワーク上の他のシステムを攻撃する可能性があります。これらのタイプの攻撃は、しばしば多層攻撃と呼ばれます。ピボットはアイランドホッピングとも呼ばれます。
ピボットはさらにプロキシピボットとVPNピボットに区別できます。プロキシピボットは一般に、マシン上のプロキシペイロードを使用して、侵害されたターゲットを介してトラフィックを誘導し、このコンピューターから攻撃を開始する方法を表します。[1] このタイプのピボットは、プロキシでサポートされている特定のTCPおよびUDPポートに制限されています。VPNピボットを使用すると、攻撃者は暗号化されたレイヤー2トンネルを侵入先のマシンに作成して、そのターゲットマシンを介してネットワークトラフィックをルーティングできます。たとえば、侵入先のマシンを介して内部ネットワークで脆弱性スキャンを実行し、攻撃者に次のような完全なネットワークアクセスを効果的に提供できます。彼らがファイアウォールの後ろにいた場合。
通常、ピボットを有効にするプロキシまたはVPNアプリケーションは、エクスプロイトのペイロード（ソフトウェア）としてターゲットコンピューター上で実行されます。
次の答えは正しくありません。
ブラックボックス方式
ブラックボックステストは、アプリケーションの機能を次のようにテストするソフトウェアテストの方法です。
その内部構造または動作とは対照的です（ホワイトボックステストを参照）。の特定の知識
アプリケーションのコード/内部構造およびプログラミングの一般的な知識は必要ありません。The
テスターは、ソフトウェアが何をすることになっているのかだけを知っていますが、どのように、つまり彼が
特定の入力、彼は特定の出力を取得します。出力がどのように生成されたかを意識せずに
最初の場所。テストケースは、仕様と要件、つまりアプリケーションが何であるかを中心に構築されています
することになっています。仕様を含むソフトウェアの外部記述を使用します。
要件、およびテストケースを導出するための設計。これらのテストは、機能的または非機能的である可能性があります。
通常は機能しますが。テスト設計者は、有効な入力と無効な入力を選択し、
正しい出力。テストオブジェクトの内部構造に関する知識はありません。
ペネトレーションテストの場合、ターゲットについての知識がないことを意味します。IPのみを取得できます
アドレスまたはドメイン名とその非常に限られた量の知識からあなたが試みなければならない
あなたができるすべてを見つけてください。
ホワイトボックス法
ペネトレーションテストでは、ホワイトボックステストとは、ホワイトハットハッカーが満員になる方法を指します。
攻撃されているシステムに関する知識。ホワイトボックス侵入テストの目標は、
ターゲットシステムに対するある程度の知識と、場合によっては基本的な資格情報を持っている悪意のあるインサイダー。
グレイボックス法
グレーボックステストは、ホワイトボックステストとブラックボックステストを組み合わせたものです。このテストの目的は
不適切な構造またはアプリケーションの不適切な使用に起因する欠陥がある場合は、それを検索します。
CEHのコンテキストでは、これは企業ネットワークの内部テストも意味します。
この質問を作成するために、次の参照が使用されました。
https://en.wikipedia.org/wiki/Exploit_%28computer_security%29#Pivoting
https://en.wikipedia.org/wiki/Black-box_testing
Hernandez CISSP、Steven（2012-12-21）。CISSP CBK、第3版の公式（ISC）2ガイド
（（ISC）2 Press）（Kindle Locations 4656-4657）。AuerbachPublications。キンドル版。

質問はTRUEステートメントを要求することであり、唯一の正しいステートメントは「Kerberosは可用性に対応していません」です。
Kerberosは、情報の機密性と整合性に対応しています。可用性については直接言及していません。
出典：KRUTZ、Ronald L.＆VINES、Russel D.、CISSP準備ガイド：マスタリング
コンピュータセキュリティの10のドメイン、John Wiley＆Sons、2001年、第2章：アクセス制御システム（42ページ）。

電子監視は、認証デバイスに送信されているパスワードを盗聴することです。この問題は技術的な問題であり、パスワードを設計する際の考慮事項ではありません。他の回答は、パスワードを開発するときに考慮しなければならない非常に重要なパスワードの特性に関連しています。パスワードの有効期間は、回答aで、パスワードが有効である最大期間を指します。理想的には、パスワードは1回だけ使用する必要があります。このアプローチは、トークンパスワードジェネレーターとチャレンジレスポンススキームによって実装できます。ただし、実際問題として、ほとんどのPCとワークステーションのパスワードは繰り返し使用されます。パスワードを変更する必要がある期間は、アクセスする情報に必要な保護レベルの関数です。典型的な組織では、パスワードは3〜6か月ごとに変更される場合があります。明らかに、従業員が組織を離れるとき、またはパスワードが危険にさらされている可能性がある状況では、パスワードを変更する必要があります。
回答「パスワードの構成」は、パスワードに使用できる文字を定義します。文字は、文字、数字、または特殊記号の場合があります。
「認証期間」は、ユーザーの最初の認証からその後の再認証プロセスまでの最大許容期間を定義します。たとえば、重要な情報を含むサーバーにログオンしてから指定された期間が経過すると、ユーザーは再度認証を求められる場合があります。
トピック14、試験セットB

説明/参照：
Explanation:
探偵の管理制御の例には、監視と監視、ジョブローテーション、および調査が含まれます。
不正解：
A：予防的/物理的制御の例には、ロック、バッジシステム、警備員、生体認証システム、およびマントラップドアが含まれます。
B：探偵/技術管理の例には、監査ログとIDSが含まれます。
C：探偵/物理制御の例には、モーションディテクターや閉回路テレビが含まれます。
参照：
Harris、Shon、All In One CISSP Exam Guide、6th Edition、McGraw-Hill、2013、pp.28-34