AUDITORIA DE SEGURANÇA DA INFORMAÇÃO - N2

Prévia do material em texto

AUDITORIA DE SEGURANÇA DA INFORMAÇÃO – N2
1
Existem diversos sistemas operacionais para fazer teste de invasões e focados na parte de segurança nos dias atuais, porém é importante saber no que esses sistemas foram baseados, onde começaram e qual é sua base. Tecnicamente, são informações importantes que ajudam o profissional de segurança da informação a resolver algumas situações. Nesse sentido, assinale a alternativa que indica um sistema operacional de propósito geral, que não é focado especificamente em testes de invasão.
R: Ubuntu Linux
2
O teste de stress, mais conhecido como teste de estresse, é muito utilizado independente se o penetration testing é interno ou externo, pois esse teste possibilita que se tenha noção se existe algum ataque iminente dando prejuízo ou se é a tecnologia que é fraca. Acredite, é ótimo conseguir reconhecer e diferenciar isso.
 
Assinale a alternativa correta sobre a função do teste de stress em um Pentest.
R:  Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga.
3
Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é um passo importante da auditoria, pois é nesse momento que você estará entregando o produto que o cliente pagou, e esse report deve ser descrito de uma maneira que as vulnerabilidades devam ser entendidas.
De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report.
R: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo.
4
Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as técnicas de invasões possíveis, saber apresentar um relatório perfeito para o cliente, se não tiver os recursos necessários para conseguir executar tudo isso, desde o hardware, sistemas operacionais, até programas.
Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se de hardware, para usar os sistemas operacionais focados em segurança.
R: Instalar o SO na máquina física.
5
Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando.
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Um projeto de segurança.
II. ( ) Somente assinatura do contratante liberando os testes.
III. ( ) Uma programação de testes.
IV. ( ) Um escopo do que será testado.
 
Assinale a alternativa que apresenta a sequência correta.
R: V,F,V,V
6
O nome “engenharia” é comumente empregado, pelos populares, quando se constroem mecanismos para resolver um problema ou arquitetar uma solução. Na área da segurança da informação, a engenharia social tem um significado bastante particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social.
R: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa.
7
Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos.
R: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade.
8
Um ataque de engenharia social, caso tenha-se êxito, pode trazer grandes implicações e prejuízos à empresa, e, dependendo de que tipo de informação sigilosa o hacker conseguir, pode vir até a causar a falência de uma empresa e deixar diversas pessoas desempregadas, como já ocorreu.
Assim sendo, assinale a alternativa correta sobre as implicações de um ataque de engenharia social e quais são os agravantes.
R: Coagir alguém para obter informações que levam a ganhos ilícitos.
9
As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado.
 
De acordo com a introdução, assinale a norma descrita que está correta.
R: ISO 27001 – Norma antiga substituída pela atual norma BS779-2.
10
Para uma empresa se proteger, principalmente na parte técnica, é fundamental trabalhar na sua prevenção, para que atacantes criminosos não consigam entrar facilmente no sistema dela. Quanto mais a empresa se encontra blindada e com prevenções bem definidas, mais difícil é algum atacante hacker conseguir ter êxito no hackeamento.
 
A respeito da questão colocada sobre prevenção, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Para que as empresas estejam prevenidas, é muito importante contratar ou ter um profissional de segurança para fazer um teste de invasão no próprio sistema. Assim, verifica-se se existem vulnerabilidades e, caso existam, confirmam-se quais são.
II. ( ) É muito importante esperar a empresa ser atacada primeiro, para depois verificar e fazer a prevenção.
III. ( ) Sem que a empresa seja atacada por criminosos, não há como saber quais medidas de segurança se deve tomar.
IV. ( ) Para uma segurança forte e preventiva, basta colocar qualquer funcionário de TI para fazer as seguranças básicas, mesmo não sendo especialista na área, pois todo TI entende de tudo o que envolve tecnologia.
 
Assinale a alternativa que apresenta a sequência correta.
R: V,F,F,F
11
Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é preciso saber quais técnicas usar e em que momento utilizá-las. Existem vários ataques os quais possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que seriam esses Exploits?
R: Exploração de falhas em softwares.
12
Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informação quando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos.
R: Kali Linux
13
Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo de profissional, até encontrar um da área de segurança. Muitas vezes, os casos são resolvidos, enquanto, em outras, os profissionais até descobrem de que forma a empresa sofreu a invasão, porém, em diversas vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a alternativa que apresenta a análise forense computacional.
R: Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros.
14
Muitas pessoas confundem o teste de invasão com a análise de vulnerabilidade, cometendo erros até na prática na hora de entregar o produto para a empresa. Dessa forma, assinale a alternativa correta que descreva o que seria o processo de análise de vulnerabilidade.
R: A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las.
15
Após realizar todos os tipos de testes técnicos, análises, auditorias e testes de intrusão, ainda existem falhas que comprometem as empresas, e essas falhas geralmente são os seres humanos, que, muitas vezes, podem ser persuadidos sem perceber e passar informações sigilosas.
 
Assinale a alternativa correta
R: Sempre forneça senha do wi-fi diferente entre visitante e colaborador.16
Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve possuir o pentest, visto que, a cada dia, os criminosos estão melhores e os profissionais de segurança precisam estar testando sempre a segurança das empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta sobre qual seria o principal objetivo do Pentest.
R: O Pentest é uma simulação de um ataque real.
17
Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o Hardening.
R: Consiste na implementação de máquinas seguras.