Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO – N2 Questão 1: Há muitos especialistas na área de segurança da informação que dizem não existir sistema seguro, quando se tomam medidas de prevenção e protetiva nos sistemas, as quais fazem com que o seu sistema seja mais difícil de ser invadido, mas não que ele esteja 100% seguro. Existem dois tipos de ameaças classificadas: a lógica e a física. De acordo com essa afirmação, analise as afirmativas sobre a descrição do que são as ameaças lógica e física. I. Alagamentos, que podem fazer com que o sistema pare de funcionar, fazendo, consequentemente, uma empresa parar, e, caso não tiver backup, ela ainda perde todas as informações obtidas. II. A quebra de senhas é um ataque mais conhecido como “brute force”, sendo uma das técnicas usadas para entrar em sistemas nos quais não se tem autorização. III. Um malware tem mil utilidades, dependendo do que foi programado para fazer. É um código em funcionamento, moldado para prejudicar o sistema. IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o sistema está localizado. Resposta: I, II, III, IV Resposta correta. A alternativa está correta, pois a segurança da informação tem como base dois supostos caminhos de ataques: os físicos e os lógicos. Os físicos são representados por aqueles que a natureza pode acabar estragando o sistema ou a até a empresa. Já os ataques lógicos são programados por algum hacker atacante que quer prejudicar de alguma maneira sua empresa. Questão 2: Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos. Resposta: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Resposta correta. A alternativa está correta, pois a autenticidade garante que uma mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e a legalidade, que todo o processo não tenha problemas com a lei. Questão 3: Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando. De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Um projeto de segurança. II. ( ) Somente assinatura do contratante liberando os testes. III. ( ) Uma programação de testes. IV. ( ) Um escopo do que será testado. Assinale a alternativa que apresenta a sequência correta. Resposta: V, F, V, V Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança. Questão 4: Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é um passo importante da auditoria, pois é nesse momento que você estará entregando o produto que o cliente pagou, e esse report deve ser descrito de uma maneira que as vulnerabilidades devam ser entendidas. De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report. Resposta: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Resposta correta. A alternativa está correta, pois todas as vulnerabilidades devem ser organizadas de uma maneira que todos entendam, explicando-se quais geram pouco, médio e grande impacto. É muito importante colocar graus e separações por escalas de quais vulnerabilidade são maiores quais são menores. Questão 5: O teste de stress, mais conhecido como teste de estresse, é muito utilizado independente se o penetration testing é interno ou externo, pois esse teste possibilita que se tenha noção se existe algum ataque iminente dando prejuízo ou se é a tecnologia que é fraca. Acredite, é ótimo conseguir reconhecer e diferenciar isso. Assinale a alternativa correta sobre a função do teste de stress em um Pentest. Resposta: Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga. Resposta correta. A alternativa está correta, pois um teste de stress é feito para se verificar até quanto seu servidor aguenta, ou sua aplicação. Inclusive, ele consegue identificar quando seu servidor está caindo se a culpa é de um ataque DoS (negação de serviço) ou se simplesmente não está aguentando o fluxo. Questão 6: As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado. De acordo com a introdução, assinale a norma descrita que está correta. Resposta: ISO 27001 – Norma antiga substituída pela atual norma BS779-2. Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a padrões da segurança da informação, sendo um certificado muito interessante e que dá credibilidade ao profissional. Questão 7: Existem diversos sistemas operacionais para fazer teste de invasões e focados na parte de segurança nos dias atuais, porém é importante saber no que esses sistemas foram baseados, onde começaram e qual é sua base. Tecnicamente, são informações importantes que ajudam o profissional de segurança da informação a resolver algumas situações. Nesse sentido, assinale a alternativa que indica um sistema operacional de propósito geral, que não é focado especificamente em testes de invasão. Resposta: Ubuntu Linux Resposta correta. A alternativa está correta, pois o Ubuntu Linux é somente uma distribuição Linux, para usuários comuns utilizarem para fazer suas tarefas do dia a dia, e não para realizar testes de segurança. É possível baixar ferramentas no Ubuntu, porém não é o foco dele Questão 8: Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é preciso saber quais técnicas usar e em que momento utilizá-las. Existem vários ataques os quais possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que seriam esses Exploits? Resposta: Exploração de falhas em softwares. Resposta correta. A alternativa está correta, pois os Exploits são utilizados justamente para se localizarem falhas em softwares, ou seja, vulnerabilidades em aplicações. Há Exploits que podem causar até mesmo paralisação de uma aplicação e de um sistema inteiro. Ferramentas dessetipo estão disponíveis, por exemplo, em sistemas operacionais como o Kali Linux. Questão 9: Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o Hardening. Resposta: Consiste na implementação de máquinas seguras. Resposta correta. A alternativa está correta, pois a ideia do Hardening é justamente saber se aquele hardware está seguro para uso ou não. Acredite-se ou não, existem hackers especializados somente em achar vulnerabilidades usando hardware. Questão 10: Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informação quando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos. Resposta: Kali Linux Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, foi criado justamente para auditoria de segurança, seja para um Pentest interno ou externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD.
Compartilhar