Prévia do material em texto
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 1/10 Revisar envio do teste: Teste Aula 08 EGEQSCASDA-2101-698122 2101-SEGURANÇA DA INFORMAÇÃO - SOFTWARE SEGURO Aulas Aula 08 - Aspectos de Segurança Jurídica e Compliance REVISAR ENVIO DO TESTE: TESTE AULA 08 Usuário ANTONIO ROGERIO ZAMBONINI Curso 2101-SEGURANÇA DA INFORMAÇÃO - SOFTWARE SEGURO Teste Teste Aula 08 Iniciado 25/09/21 12:47 Enviado 25/09/21 13:06 Data de vencimento 29/10/21 23:59 Status Completada Resultado da tentativa 10 em 10 pontos Tempo decorrido 18 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários Pergunta 1 Resposta Selecionada: d. Respostas: a. Os tipos de backup são classificados de três formas, sendo que cada uma delas pode se adaptar melhor a um tipo de situação. Em relação às técnicas de backup & recovery, escolha a alternativa verdadeira. I. No backup completo, é feito o armazenamento de uma quantidade maior de dados, sendo o recovery mais lento que as outras técnicas. II. O backup diferencial, é semelhante ao incremental; a diferença é que o backup é realizado em relação ao último backup completo, armazenando mais dados que o incremental. III. O backup incremental é mais lento, pois é necessária uma checagem matemática, com o objetivo de descobrir o que foi alterado, e isto consome mais tempo que o tradicional, porém poupa espaço em disco. É correto o que se afirma em I e II apenas. III apenas. Sala de Aula Tutoriais 1 em 1 pontos ANTONIO ROGERIO ZAMBONINI 37 https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_167815_1 https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_167815_1&content_id=_7480625_1&mode=reset https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_167815_1&content_id=_7481728_1&mode=reset https://www.ead.senac.br/ https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_193_1 https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1 https://senacsp.blackboard.com/webapps/login/?action=logout 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 2/10 b. c. d. Comentário da resposta: I e III apenas. I, II e III. I e II apenas. A resposta correta é a D. Os tipos de backup são classificados de três formas, sendo que cada uma delas pode se adaptar melhor a um tipo de situação. No backup completo é onde se realiza a cópia completa de todo o banco de dados. Sua principal vantagem é a reprodução fiel e completa de todas as informações, porém tem como principal desvantagem a exigência de maior espaço em disco e a demora para completar. No backup incremental, é realizada uma cópia dos dados alterados desde o último backup incremental; desta forma, copia uma quantidade menor de dados e requer menos espaço; este tipo de backup é mais rápido, pois o seu tempo de restauração é mais rápido, porém, para que não haja perda de dados, é necessário utilizar a combinação completo + incremental, além de testes recorrentes. O backup diferencial é semelhante ao incremental, a diferença é que o backup é realizado em relação ao último backup completo, armazenando mais dados que o incremental. Em relação aos outros, é o intermediário, pois requer mais espaço do que o incremental. Pergunta 2 Resposta Selecionada: b. Respostas: a. b. A tríade CID (confidencialidade, integridade e disponibilidade) surgiu com o principal objetivo de garantir a segurança da informação; posteriormente, foram incorporados não repúdio e autenticidade. Em relação aos conceitos, escolha a opção correta. Integridade está associada à garantia de que a informação está correta, enquanto que a disponibilidade refere-se à garantia de que a informação estará disponível quando requisitada. Confidencialidade é a garantia de acesso ao conteúdo da mensagem, independentemente de ter autorização ou não. 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 3/10 c. d. Comentário da resposta: Integridade está associada à garantia de que a informação está correta, enquanto que a disponibilidade refere-se à garantia de que a informação estará disponível quando requisitada. Autenticidade é opcional e não se deve preocupar em atender os seus requisitos. Não de repúdio baseia-se no princípio de que se pode negar um ato, mesmo sendo autêntico. A alternativa correta é a B. Integridade é a garantia de que as informações estão corretas, autênticas e de que não sofreram qualquer alteração. E a disponibilidade é a garantia de que as informações estarão disponíveis sempre que forem solicitadas por pessoas autorizadas. Pergunta 3 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: O plano de continuidade de negócios (PCN) tem como principal função criar um método para que as organizações em situações de crise ou exposição possam recuperar e retomar a operação normal sem que a segurança da informação ou o negócio sofram danos. Tendo como referência o plano de continuidade de negócios, escolha a alternativa correta. O plano de contingência é utilizado em último caso quando todas as prevenções falharam. O plano de contingência é utilizado logo no início de um problema para evitar danos financeiros e exposição da marca. O plano de administração de crises reestabelece o funcionamento, reduzindo o tempo de indisponibilidade e os impactos provocados. O plano de contingência é utilizado em último caso quando todas as prevenções falharam. O plano de continuidade operacional define as responsabilidades das equipes na ocorrência de uma contingência. A alternativa correta é a C. O plano de continuidade de negócios (PCN) é estruturado em quaro fases ligadas entre si, que são: 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 4/10 Plano de contingência – utilizado, em último caso, quando todas as prevenções falharam. Plano de administração de crises (PAC) - define responsabilidades das equipes na ocorrência de uma contingência. Plano de recuperação de desastres (PRD) - uma vez controlada a contingência, é determinado o planejamento para que se retomem os níveis originais da operação. Plano de continuidade operacional (PCO) - reestabelecer o funcionamento, reduzindo o tempo de indisponibilidade e os impactos provocados. Pergunta 4 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: A função das atividades da engenharia de software para codificação de um software seguro baseia-se em: superfície de ataque, revisões de código, testes de segurança e resposta a incidentes. I. Revisão de códigos é uma atividade opcional; para minimizar custos, é comum não executar a revisão. II. Testes de segurança são atividades independentes, não precisando de um plano de resposta a incidentes. III. Superfície de ataque é um conjunto de vulnerabilidades acessíveis e exploráveis em softwares, devendo ser mapeadas e conhecidas. É correto o que se afirma em III apenas. II apenas. I e II apenas. III apenas. I, II e III. A resposta correta é a C. A superfície de ataque é um conjunto de vulnerabilidades acessíveis e exploráveis em softwares, e devem ser mapeadas. Para minimizar seus impactos, é necessário fazer revisões de código, devendo constar como parte das atividades de implementação, juntamente com o teste de segurança que deve fazer parteda rotina, tendo como guia o plano de resposta a incidentes que vai explicitar as ações a serem executadas por cada envolvido no sistema em resposta a ataques específicos. 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 5/10 Pergunta 5 Resposta Selecionada: a. Respostas: a. b. c. d. Comentário da resposta: Um teste de invasão é uma etapa importante para as organizações na garantia de segurança das aplicações. O seu principal objetivo é identificar vulnerabilidades e problemas de segurança antes que possa ser explorado e, consequentemente, causar prejuízo. Com base nessa informação, avalie as asserções a seguir e a relação proposta entre elas. I. O tipo de teste White Box é considerado o pentest mais completo, pois avalia todo o ambiente, e ao atacante é dado total conhecimento de todas as informações essenciais. PORQUE II. Desta forma, evita-se a perda de tempo e investimentos na etapa de testes de invasões. A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições falsas. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições verdadeiras, e a II é justificativa correta da I. A resposta correta é a A. White Box - o teste do tipo caixa branca é considerado o pentest mais completo, pois avalia todo o ambiente e, ao atacante, é dado total conhecimento de todas as informações essenciais. Por não ter que identificar e mapear um grande volume de informações, não se torna fiel a um tipo de ataque externo e proposital, porém ganha em agilidade e em foco, podendo explorar os itens mais essenciais. Por ser fornecido um grande volume de informações sigilosas, geralmente é executado por um membro da equipe e, no caso de uma empresa externa, um contrato de sigilo é necessário. Black Box, o teste caixa-preta, tem como objetivo ser o mais próximo possível de um ataque externo, portanto não são 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 6/10 fornecidas informações essenciais, somente o alvo do ataque. O atacante tem que explorar as vulnerabilidades com o seu conhecimento e habilidades, por este motivo é importante a execução por um profissional capacitado, e, por ter como premissa não conhecer as informações, geralmente é realizado por uma empresa terceira. Gray Box, o teste caixa cinza, é uma mistura do black box e white box. O atacante possui uma quantidade razoável de informação, porém é necessário investir esforços no mapeando das informações e do ataque. Torna-se completo, pois parte da perspectiva de um possível atacante externo e também de um atacante interno. Yellow Box - não existe este tipo de teste. Pergunta 6 Resposta Selecionada: d. Respostas: a. b. c. d. A verificação de código-fonte permite identificar vulnerabilidades em aplicativos antes que o software entre em produção. A conformidade de um software com os requisitos dos usuários e normas existentes é essencial para o sucesso da aplicação e também para a sua segurança. Em relação à verificação de código-fonte, assinale a opção correta. I. Na análise dinâmica, é analisado o comportamento da aplicação em execução, ou seja, em produção. PORQUE II. Possui como vantagem a possibilidade de encontrar vulnerabilidades que não podem ser encontradas no código-fonte. As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I. As asserções I e II são proposições falsas. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I. 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 7/10 Comentário da resposta: A alternativa correta é a D. A análise manual é realizada por um profissional experiente, com conhecimento de arquitetura segura e programação. O código-fonte deve vir acompanhado de comentários e de um resumo das funcionalidades. É o método mais antigo e demorado. Na análise estática, a verificação é realizada de forma automática, com a utilização de ferramentas (exemplos: FindBugs, PMD, Klockword Developer e outros). Ocorre na fase de compilação e inspeciona a procura de bugs, sem que, para isso, precise executar o programa. Análise dinâmica, diferentemente da análise estática, é analisado o comportamento da aplicação em execução, ou seja, em produção, enquanto a aplicação está sendo executada. Possui como vantagem a possibilidade de encontrar vulnerabilidades que não podem ser encontradas no código (exemplo: configuração do servidor http). Pergunta 7 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da Em relação aos testes segurança em aplicação, especificamente o tipo Static Application Security Testing (SAST), permite aos desenvolvedores monitorar seu código constantemente e identificar problemas de forma antecipada. Além disso, fornece informações detalhadas que contribuem para a integridade do código e a resolução rápida de problemas. A partir das ideias do texto, assinale a opção correta. Avaliar a aplicação antes que entre em produção, sendo que o executor tem total acesso ao código-fonte. Avaliar a aplicação antes que entre em produção, sendo que o executor não tem acesso ao código-fonte. Avaliar a aplicação antes que entre em produção, sendo que o executor tem total acesso ao código-fonte. Avaliar a aplicação depois que entrou produção, sendo que o executor não tem acesso ao código-fonte. Avaliar a aplicação depois que entrou produção, sendo que o executor tem total acesso ao código-fonte. A resposta correta é a B. Nos testes de segurança em aplicação do tipo Static Application 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 8/10 resposta: Security Testing (SAST), o objetivo é avaliar a aplicação antes de entrar em produção, sendo que o executor tem total acesso ao código-fonte. Pergunta 8 Resposta Selecionada: d. Respostas: a. b. c. d. Comentário da resposta: As normas têm como objetivo trazer uma série de controles que ajudam na implementação do processo de desenvolvimento seguro. E o framework tem como objetivo implementar uma estratégia para a segurança do software. Tendo como referência o ciclo de vida do desenvolvimento seguro e a partir das ideias do texto, assinale a opção que mostra quais são as normas e os padrões que contribuem para essa atividade. Norma ISO/IEC 27034 e o padrão Open SAMN Tríade CID, juntamente com o não repúdio e a autenticidade Família ISO 27000 OWASP (Open Source Foundation for Application) Norma ISO/IEC 27034 e o padrão Open SAMN A resposta correta é a D. A norma ISO/IEC 27034 traz uma série de controles que ajudam na implementação do processo de desenvolvimento seguro. E o Open SAMN é um framework aberto, com o objetivo de implementar uma estratégia para a segurança do software. Pergunta 9 Resposta Selecionada: c. A OWASP (Open Web Application Security Project) é uma comunidade aberta, dedicada a capacitar as organizações a desenvolverem, adquirirem e manterem aplicações confiáveis. Em um dos seus projetos, mantém uma lista das 10 vulnerabilidades mais presente em aplicaçõesWEB, em que são explicadas as vulnerabilidades e as formas de proteção. A partir das ideias do texto, assinale a opção correta. 1 em 1 pontos 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 9/10 Respostas: a. b. c. d. Comentário da resposta: O documento top 10 funciona como guia e orientação para os desenvolvedores web a respeito do que é necessário se preocupar e as melhores práticas do que deve ser feito para evitar a exploração das principais vulnerabilidades. A recomendação da lista é o suficiente para garantir a segurança em sua aplicação web, não sendo necessário nenhum outro tipo de controle adicional. A lista de vulnerabilidades é mantida por uma empresa com fins lucrativos, na qual o objetivo final é prestar consultoria em segurança em aplicações web. O documento top 10 funciona como guia e orientação para os desenvolvedores web a respeito do que é necessário se preocupar e as melhores práticas do que deve ser feito para evitar a exploração das principais vulnerabilidades. A lista das 10 vulnerabilidades é estática, não ocorrendo mudanças, pois as vulnerabilidades não mudam com o passar do tempo. A resposta correta é a C. A OWASP mantém uma tabela atualizada dos 10 principais problemas de segurança em aplicações WEB. Funciona como um documento para conscientizar a segurança em aplicações WEB; a cada 3 anos, é disponibilizado este estudo; o atual é de 2017 e, em 2020, é prevista a atualização das principais vulnerabilidades. Este documento dos top 10 funciona como guia e orientação para os desenvolvedores web do que é necessário se preocupar e de como deve ser feito para evitar a exploração das principais vulnerabilidades. Pergunta 10 O SQL injection, segundo a OWASP, é uma das vulnerabilidades mais exploradas em banco de dados. Considerando a sua característica, avalie as informações a seguir. I. É uma vulnerabilidade que manipula dados de memória para tamanhos que não estão preparados para receber e, portanto, sobrescrevendo a memória. II. É uma vulnerabilidade em que o atacante consegue inserir instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação. 1 em 1 pontos 25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_7481… 10/10 Sábado, 25 de Setembro de 2021 13h06min10s BRT Resposta Selecionada: a. Respostas: a. b. c. d. Comentário da resposta: III. É uma vulnerabilidade, permite a execução de comandos no nível do sistema operacional através de manipulação de dados de entrada de uma aplicação. É correto apenas o que se afirma em II. II. III. I e II. I e III. A resposta correta é a A. A vulnerabilidade SQL injection ocorre quando o atacante consegue inserir instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação. A sua exploração pode prejudicar e expor o banco de dados por meio de manipulação não autorizada e execução de comandos no nível de sistema. O ataque de manipulação SQL é o tipo mais comum de ataque de injeção, muda um comando SQL na aplicação. Por exemplo, ao acrescentar condições à clausula WHERE de uma consulta. SELECT * FROM usuarios WHERE nomeusuario =‘joao’ and (SENHA = ‘senhajoao’ or ‘x’ = ‘x’); ← OK javascript:launch('/webapps/blackboard/content/listContent.jsp?content_id=_7481728_1&course_id=_167815_1&nolaunch_after_review=true');