AUDITORIA DE SEGURANÇA DA INFORMAÇÃO N2

Prévia do material em texto

AUDITORIA DE SEGURANÇA DA 
INFORMAÇÃO – N2 
 
Questão 1: 
Há muitos especialistas na área de segurança da informação que dizem não existir 
sistema seguro, quando se tomam medidas de prevenção e protetiva nos sistemas, as 
quais fazem com que o seu sistema seja mais difícil de ser invadido, mas não que ele 
esteja 100% seguro. 
Existem dois tipos de ameaças classificadas: a lógica e a física. 
 
De acordo com essa afirmação, analise as afirmativas sobre a descrição do que são 
as ameaças lógica e física. 
 
I. Alagamentos, que podem fazer com que o sistema pare de funcionar, fazendo, 
consequentemente, uma empresa parar, e, caso não tiver backup, ela ainda perde 
todas as informações obtidas. 
II. A quebra de senhas é um ataque mais conhecido como “brute force”, sendo uma 
das técnicas usadas para entrar em sistemas nos quais não se tem autorização. 
III. Um malware tem mil utilidades, dependendo do que foi programado para fazer. É 
um código em funcionamento, moldado para prejudicar o sistema. 
IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o sistema está 
localizado. 
Resposta: I, II, III, IV 
Resposta correta. A alternativa está correta, pois a segurança da informação tem 
como base dois supostos caminhos de ataques: os físicos e os lógicos. Os físicos 
são representados por aqueles que a natureza pode acabar estragando o sistema ou 
a até a empresa. Já os ataques lógicos são programados por algum hacker atacante 
que quer prejudicar de alguma maneira sua empresa. 
 
Questão 2: 
Na segurança da informação, temos alguns fundamentos que são a raiz de todo o 
processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que 
precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. 
Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de 
tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais 
adequada sobre quais são os fundamentos corretos. 
Resposta: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. 
Resposta correta. A alternativa está correta, pois a autenticidade garante que uma 
mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, 
que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e 
a legalidade, que todo o processo não tenha problemas com a lei. 
 
Questão 3: 
Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o 
profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. 
A documentação deve estar sempre explícita, falando o que deverá ser feito para que 
o contratante consiga entender o que será feito e pelo que está pagando. 
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de 
informações deve ter na documentação para que ela seja válida e assinale V para a(s) 
Verdadeira(s) e F para a(s) Falsa(s). 
 
I. ( ) Um projeto de segurança. 
II. ( ) Somente assinatura do contratante liberando os testes. 
III. ( ) Uma programação de testes. 
IV. ( ) Um escopo do que será testado. 
 
Assinale a alternativa que apresenta a sequência correta. 
Resposta: V, F, V, V 
Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É 
muito importante que um projeto seja apresentado, que seja especificado tudo o que 
será testado e se determinarem datas para os testes que não atrapalhem a produção 
da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada 
detalhe do projeto. A programação de testes deve sempre mostrar o que será 
alterado, que horário, que dia da semana, sempre o mais específico possível, e o 
escopo do que será testado sempre deverá estar em ordem e atualizado para que o 
contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais 
seguro e confiará melhor no profissional de segurança. 
 
Questão 4: 
Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é 
um passo importante da auditoria, pois é nesse momento que você estará entregando 
o produto que o cliente pagou, e esse report deve ser descrito de uma maneira que as 
vulnerabilidades devam ser entendidas. 
De acordo com o enunciado, assinale a alternativa sobre a maneira correta de 
escrever um report. 
Resposta: 
O report deve ser organizado de maneira que mostre a prioridade das 
vulnerabilidades, entre alto perigo e baixo perigo. 
Resposta correta. A alternativa está correta, pois todas as vulnerabilidades devem 
ser organizadas de uma maneira que todos entendam, explicando-se quais geram 
pouco, médio e grande impacto. É muito importante colocar graus e separações por 
escalas de quais vulnerabilidade são maiores quais são menores. 
 
 
Questão 5: 
O teste de stress, mais conhecido como teste de estresse, é muito utilizado 
independente se o penetration testing é interno ou externo, pois esse teste possibilita 
que se tenha noção se existe algum ataque iminente dando prejuízo ou se é a 
tecnologia que é fraca. Acredite, é ótimo conseguir reconhecer e diferenciar isso. 
 
Assinale a alternativa correta sobre a função do teste de stress em um Pentest. 
Resposta: 
Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele 
aguenta a sobrecarga. 
Resposta correta. A alternativa está correta, pois um teste de stress é feito para se 
verificar até quanto seu servidor aguenta, ou sua aplicação. Inclusive, ele consegue 
identificar quando seu servidor está caindo se a culpa é de um ataque DoS (negação 
de serviço) ou se simplesmente não está aguentando o fluxo. 
 
Questão 6: 
As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor 
gestão e administração do negócio. Assim, as empresas utilizam desses certificados 
que são ganhos para propagandear e mostrar que estão preocupados com a 
segurança dos dados de seus clientes. Assim, geralmente a empresa consegue 
demonstrar muito mais confiança no mercado. 
 
De acordo com a introdução, assinale a norma descrita que está correta. 
Resposta: 
ISO 27001 – Norma antiga substituída pela atual norma BS779-2. 
Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante 
atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a 
padrões da segurança da informação, sendo um certificado muito interessante e que 
dá credibilidade ao profissional. 
 
Questão 7: 
Existem diversos sistemas operacionais para fazer teste de invasões e focados na 
parte de segurança nos dias atuais, porém é importante saber no que esses sistemas 
foram baseados, onde começaram e qual é sua base. Tecnicamente, são informações 
importantes que ajudam o profissional de segurança da informação a resolver algumas 
situações. Nesse sentido, assinale a alternativa que indica um sistema operacional de 
propósito geral, que não é focado especificamente em testes de invasão. 
Resposta: Ubuntu Linux 
Resposta correta. A alternativa está correta, pois o Ubuntu Linux é somente uma 
distribuição Linux, para usuários comuns utilizarem para fazer suas tarefas do dia a 
dia, e não para realizar testes de segurança. É possível baixar ferramentas no 
Ubuntu, porém não é o foco dele 
 
Questão 8: 
 
Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse 
processo, é preciso saber quais técnicas usar e em que momento utilizá-las. Existem 
vários ataques os quais possibilitam que sejam feitos testes de invasões, sendo um 
muito utilizado: os Exploits. O que seriam esses Exploits? 
Resposta: 
Exploração de falhas em softwares. 
Resposta correta. A alternativa está correta, pois os Exploits são utilizados 
justamente para se localizarem falhas em softwares, ou seja, vulnerabilidades em 
aplicações. Há Exploits que podem causar até mesmo paralisação de uma aplicação 
e de um sistema inteiro. Ferramentas dessetipo estão disponíveis, por exemplo, em 
sistemas operacionais como o Kali Linux. 
 
 
Questão 9: 
Quando falamos da área de segurança da informação, o Hardening atualmente é 
muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos 
processadores fabricados pela Intel, ocasionando uma falha de segurança notada por 
usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e 
começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta 
no que consiste o Hardening. 
Resposta: 
Consiste na implementação de máquinas seguras. 
Resposta correta. A alternativa está correta, pois a ideia do Hardening é justamente 
saber se aquele hardware está seguro para uso ou não. Acredite-se ou não, existem 
hackers especializados somente em achar vulnerabilidades usando hardware. 
 
 
Questão 10: 
Hoje, muito se fala em recursos para hacking, contudo existem também recursos que 
nos possibilitam chegar longe na área de segurança da informação quando 
combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de 
indivíduos e organizações. Assinale a alternativa correta que aponta um desses 
recursos. 
Resposta: 
Kali Linux 
Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, 
foi criado justamente para auditoria de segurança, seja para um Pentest interno ou 
externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD.