SEGURANÇA DA INFORMAÇÃO - RISCOS - AVALIAÇÃO

Prévia do material em texto

Questão 1
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A avaliação dos riscos envolve metodologias para medição do nível de risco, uma delas permite uma mensuração em termos de valor e podem ou não se relacionar aos custos conhecidos como análise quantitativa. Beal (2008) aponta que um dos métodos quantitativos mais utilizados é o cálculo da Expectativa de Perda Anual (ALE, do inglês, Annual Loss Expectation). Marque a alternativa correta sobre esse método.
a.
calcula o nível de satisfação quanto à perda prevista com a ocorrência de um incidente.
b.
mede os custos dos incidentes ocorridos no mês.
c.
mede a avaliação da direção quanto à eficiência na correção de um incidente
d.
calcula o tempo de perda previsto com a ocorrência de um incidente.
Esse método calcula o tempo de perda previsto com a ocorrência de um incidente e funciona da seguinte forma: adota-se o padrão de 12 meses para ocorrência de n incidentes para cada tipo de ameaça.
e.
mede o impacto da ocorrência de um incidente.
Questão 2
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a.
Não utilizar os campos de formulários da aplicação web que não estejam corretamente implementados.
b.
Impedir a transmissão de entrada enviada pelo usuário para qualquer sistema de arquivo.
Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.
c.
Manter os dados junto com os comandos de consulta SQL.
d.
Identificar, localizar e modificar ou eliminar os scripts da página web.
e.
Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
Questão 3
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os códigos maliciosos podem comprometer o computador e causar ameaças à segurança da informação. Com base nessa afirmação, assinale apenas a resposta correta que descreve sua ação.
a.
Visualizar as diferentes vulnerabilidades existentes e assegurar programas instalados.
b.
Acessar endereços da internet e ferramentas, utilizando navegadores confiáveis.
c.
Avaliação de atividades e de sistemas .
d.
Executar arquivos infectados, obtidos em anexos de mensagens eletrônicas, mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos).
códigos maliciosos são programas criados para executar ações que comprometem o computador e o usuário não percebe que há infecção, ameaçando a segurança da informação.
e.
Alternativas de coleta de dados no computador, incluem arquivos contendo códigos.
Questão 4
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a.
Sniffing.
b.
DoS – Denial of Service.
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço através do consumo da banda de rede, dos recursos de sistema ou até da adulteração das rotas/DNS, entre outras.
c.
Scanning de vulnerabilidades.
d.
Trojan horse.
e.
Port scanning.
Questão 5
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
O que é vulnerabilidade?
a.
É o conjunto de informações que agrega valor ao ser humano e a organização.
b.
Falha no ambiente que ameace algum ativo.
A alternativa está correta, pois apresenta a definição de vulnerabilidade, as outras opções referem-se a dados, a conhecimento, a ativos de informação e a incidente.
c.
Resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
d.
É um conjunto de bits armazenados (nome, endereço, datas, etc).
e.
Qualquer elemento que tenha valor para uma organização.
Questão 6
Incorreto
Atingiu 0,0 de 1,0
Marcar questão
Texto da questão
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema através de brechas ou sistemas adulterados denomina-se:
a.
Back door.
b.
Screenloggers.
c.
Worm
d.
Bomba lógica.
e.
Spyware.
Questão 7
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados. Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de scripts. Para se evitar esse tipo de ataque é necessário:
a.
Refazer as implementações web nos scripts dos formulários da página web.
b.
Manter os dados separados dos comandos e consultas.
Manter os dados dos comandos e das consultas separados auxilia a evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor manipulá-los.
c.
Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
d.
Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
e.
Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
Questão 8
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A gestão do risco utiliza um conceito amplamente aplicado na gestão de qualidade para o tratamento e análise do risco denominado ciclo PDCA. Em uma das etapas são identificadas ameaças, probabilidades de ocorrência e vulnerabilidades, e a estimativa do impacto potencial associado. Esta etapa refere-se a fase de:
a.
Planejar.
A resposta correta é a letra C, porque refere-se à etapa de planejamento, em que são estabelecidos os objetivos, as metas e os meios de alcançá-los.
b.
Programar.
c.
Preparar.
d.
Produzir.
e.
Proteger.
Questão 9
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Atualmente, grande parte dos sistemas computacionais estão disponíveis para acesso na web. Assim, cada vez mais invasores conseguem acesso a informações por meio de invasões a servidores e aplicativos web. Isso fez com que surgisse muitas ferramentas para web hacking. Qual destas ferramentas web hacking permite buscar informações de vulnerabilidade?
a.
O Googledorks, um plugin que pode ser adicionado ao navegador para scanning on-line.
A alternativa correta é A, pois o Googledorks utiliza operadores de busca que podem retornar informações importantes relacionadas à vulnerabilidade.
b.
A ferramenta nikto, um plugin que pode ser adicionado ao navegador para scanning on-line.
c.
A ferramenta ZAP, utilizada para varreduras na web e indispensável a qualquer profissional da área de segurança.
d.
A SQLMap, uma ferramenta para testes automatizados de falhas de injeção de SQL.
e.
A ferramenta Nmap, projetada para ataques de força bruta.
Questão 10
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Uma forma de obter informações sobre um alvo é recuperar arquivos antigos sobre as páginas de instituições. Qual ferramenta permite escolher a data na qual se deseja recuperar dados já apagados dos servidores web?
a.
SQL Map.
b.
Googledorks.
c.
Injector de Scripts.
d.
On-line Scanning.
e.
Web Arquive.
A alternativa correta é a B, pois uma estratégia que realiza buscas de informações antigas já apagadas nos servidores é o Web Arquive, pelo qual é possível recuperar arquivos por datas.