Segurança da Informação

Prévia do material em texto

Segurança da Informação
Exercícios do tema 1 á 5
Exercícios
Qual é a categoria da estrutura da força de trabalho que inclui 
análise e avaliação altamente especializadas das informações 
de segurança cibernética recebidas para determinar se elas são 
úteis para a inteligência?
Análise
A categoria "Analisar" da estrutura da força de trabalho inclui 
áreas de especialidade responsáveis pela avaliação e análise 
altamente especializadas de informações de segurança 
cibernética recebidas para determinar sua utilidade.
Qual das opções é um exemplo de um castelo de dados da 
Internet?
LinkedIn
Um castelo de dados é um repositório de dados
Exercícios
Que tipo de ataque pode desativar um computador ao forçá-lo a 
usar a memória ou ao sobrecarregar a CPU?
algoritmo
(Ataques de algoritmo podem forçar computadores a usar 
memória ou sobrecarregar a CPU.)
Frustrar os vilões cibernéticos inclui quais das seguintes 
opções? (Escolher dois.)
estabelecimento de sistemas de aviso inicial, 
compartilhamento de informações de inteligência cibernética
As empresas podem unir esforços para impedir o crime digital 
ao estabelecer sistemas de aviso inicial e compartilhar 
inteligência cibernética
Exercícios
O que o acrônimo IoE representa?
 Internet of Everything (Internet de Todas as Coisas)
A Internet de Todas as Coisas é o termo usado para os 
dispositivos conectados à Internet
O que o termo vulnerabilidade significa?
uma fraqueza que torna um alvo suscetível a um ataque
Uma vulnerabilidade não é uma ameaça, mas sim uma fraqueza 
que torna o PC ou o software um alvo para ataques.
Exercícios
Qual é o nome dado a um hacker amador?
hacker inexperiente
Script kiddies é um termo usado para descrever hackers 
inexperientes.
Escolha três tipos de registros que ladrões cibernéticos teriam 
interesse em roubar de empresas. (Escolha três.)
saúde, educação, emprego
É importante proteger registros de emprego, saúde e educação 
porque eles contêm informações pessoais.
Exercícios
O que o termo BYOD representa?
bring your own device (traga seu próprio dispositivo)
O termo “traga seu próprio dispositivo” é utilizado para 
descrever dispositivos móveis como iPhones, smartphones, 
tablets e outros dispositivos
Que nome é dado para hackers que fazem invasões por uma 
causa?
hackers ativistas
O termo é usado para descrever hackers “suspeitos” que se 
unem e protestam por uma causa.
Exercícios
Que tipo de ataque utiliza muitos sistemas para inundar os 
recursos de um alvo, o que o torna indisponível?
DDoS
DDoS é um ataque que envolve vários sistemas. DoS envolve 
apenas um sistema de ataque único
Quais serviços determinam quais recursos os usuários podem 
acessar, além das operações que podem executar?
autorização
A autorização determina se um usuário tem certos privilégios de 
acesso
Exercícios
Quais são os dois métodos que ajudam a garantir a integridade 
de dados? (Escolher dois.)
Sistemas de integridade de dados incluem um dos dois métodos 
de integridade de dados.
hashing, verificações de consistência de dado
Qual mecanismo as empresas podem usar para evitar 
alterações acidentais feitas por usuários autorizados?
O controle da versão garante que dois usuários não consigam 
atualizar o mesmo objeto.
controle da versão
Exercícios
Qual princípio impede a divulgação de informações para 
pessoas, recursos ou processos não autorizados?
O princípio de segurança da confidencialidade refere-se à 
prevenção da divulgação de informações para pessoas, 
recursos e processos não autorizados.
confidencialidade
Quais são os três serviços de segurança de controle de acesso? 
(Escolha três.)
Esta pergunta refere-se à autenticação AAA, autorização e 
auditoria.
autenticação, autorização, auditoria
Exercícios
Qual nome é dado às alterações nos dados originais, como 
modificação manual dos dados pelos usuários, processamento 
de programas e alteração dos dados, além de falhas em 
equipamentos?
A modificação envolve alterações nos dados originais e não 
completa a exclusão dos dados.
modificação
Quais são os três estados de dados?
A proteção do mundo digital exige que os profissionais de 
segurança cibernética se responsabilizem pela segurança dos 
dados em trânsito, na nuvem e inativos.
The correct answers are: inativos, em trânsito, em processo
Exercícios
Quais das opções são dois métodos que garantem a 
confidencialidade?
Confidencialidade significa que as informações serão 
visualizadas apenas por aqueles que precisam saber delas. Isso 
pode ser feito pela criptografia de dados e autenticação de 
usuários que solicitarem acesso.
The correct answers are: criptografia, autenticação
Para fins de autenticação, quais são os três métodos usados 
para verificar a identidade?
As formas de autenticação são algo que você sabe, tem ou é.
algo que você sabe, algo que você tem, algo que você é
Exercícios
Qual opção é um método de envio de informações de um 
dispositivo para outro usando mídias removíveis?
Rede sigilosa refere-se à entrega em mãos de dados 
removíveis.
rede sigilosa
O que é identificado pela primeira dimensão do cubo de 
segurança cibernética?
A primeira dimensão do cubo mágico da segurança cibernética 
identifica os objetivos da proteção do mundo digital.
metas
Exercícios
Quais são os princípios de projeto que ajudam a garantir a alta 
disponibilidade?
Sistemas de alta disponibilidade normalmente incluem estes 
três princípios de projeto.
detecção de falhas à medida que ocorrem, fornecimento de 
cruzamento confiável, eliminação de pontos únicos de falha
Quais são as duas funções hash comuns?
SHA, MD5
Exercícios
Qual nome é dado a um dispositivo de armazenamento 
conectado a uma rede?
NAS se refere a um dispositivo de armazenamento conectado a 
uma rede que permite o armazenamento e a recuperação de 
dados de um local centralizado por usuários de rede 
autorizados.
NAS
Quais são as três tarefas realizadas por uma política de 
segurança abrangente?
A política define o estabelecimento de regras e diretrizes para a 
empresa.
definição das regras de comportamento esperado, definição das 
consequências jurídicas das violações, oferecimento de apoio 
da gestão aos funcionários de segurança
Exercícios
Quais são os três métodos que ajudam a garantir a 
disponibilidade do sistema?
backups de sistema, manutenção de equipamentos, sistemas 
operacionais atualizados
Qual tipo de leis de segurança cibernética protege você de uma 
empresa que possa querer compartilhar seus dados 
confidenciais?
As leis de privacidade controlam o uso adequado dos dados e o 
acesso a eles.
privacidade
Exercícios
Quais são os três princípios fundamentais do mundo da 
segurança cibernética?
Três princípios fundamentais são confidencialidade, integridade 
e disponibilidade.
confidencialidade, integridade, disponibilidade
Como é chamada uma rede virtual segura que usa a rede 
pública?
O termo VPN descreve uma rede virtual que usa criptografia 
para proteger dados quando trafegam pelos meios de 
comunicação da Internet.
VPN
Exercícios
Quais são os três tipos de informações confidenciais?
Informações confidenciais são informações que, de outro 
modo, prejudicariam uma empresa ou um indivíduo se 
fossem divulgadas publicamente.
PII, corporativas, confidenciais
Quais são os dois indicadores comuns de e-mail de spam?
Spam é um método comum de publicidade através do uso 
de e-mails não solicitados e pode conter malware.
O e-mail não tem assunto., O e-mail tem palavras com grafia 
incorreta, com erros de pontuação ou os dois.
Exercícios
Qual é o significado do termo bomba lógica?
Uma bomba lógica permanece inativa até que um evento 
acionador ocorra. Assim que ativada, a bomba lógica 
executa um código malicioso que danifica um computador.
um programa mal-intencionado que utiliza um gatilho para 
despertar o código malicioso
Quais são as duas maneiras de proteger um computador contra 
malware? (Escolha duas)
No mínimo, um computador deve usar software antivíruse 
ter todo o software atualizado para a defesa contra 
malware.
Usar software antivírus., Manter softwares atualizados.
Exercícios
Qual é o termo usado para descrever um e-mail que tem como 
alvo uma pessoa específica, funcionária de uma instituição 
financeira?
Spear phishing é um ataque de phishing personalizado para 
chegar a uma pessoa ou a um alvo específico.
spear phishing
Que tipo de ataque é direcionado a um banco de dados SQL 
usando o campo de entrada de um usuário?
Um criminoso pode inserir uma declaração de SQL 
mal-intencionada em um campo de entrada em um site em 
que o sistema não filtra a entrada do usuário corretamente.
Inserção de SQL
Exercícios
Qual opção é uma vulnerabilidade que permite que criminosos 
injetem scripts em páginas da Web vistas por usuários?
O script entre sites (XSS) permite que criminosos injetem 
scripts que contêm código malicioso em aplicativos da 
Web.
Script entre sites
O que ocorre em um computador quando os dados ultrapassam 
os limites de um buffer?
Uma saturação do buffer ocorre ao alterar os dados além 
das fronteiras de um buffer e pode levar a uma falha no 
sistema, comprometimento de dados ou causar 
escalonamento de privilégios.
uma saturação do buffer
Exercícios
Qual é o nome dado a um programa ou código de programa que 
ignora a autenticação normal?
Um backdoor é um programa ou código de programa 
implementado por um criminoso para ignorar a 
autenticação normal que é usada para acessar um sistema.
backdoor
Um computador exibe para um usuário uma tela solicitando 
pagamento para permitir que os dados do usuário sejam 
acessados pelo mesmo usuário. Que tipo de malware é esse?
O ransomware normalmente criptografa os dados em um 
computador e os indisponibiliza até que o usuário do 
computador pague uma quantia específica em dinheiro.
um tipo de ransomware
Exercícios
Um criminoso usa um software para obter informações sobre o 
computador de um usuário. Qual é o nome desse tipo de 
software?
Spyware é um software que rastreia a atividade de um 
usuário e obtém informações sobre ele.
spyware
Qual nome é dado ao tipo de software que gera receita através 
da geração de pop-ups irritantes?
Adware é um tipo de malware que exibe pop-ups em um 
computador para gerar receita para o criador do malware.
adware
Exercícios
Quais são os dois motivos que descrevem por que o WEP é um 
protocolo fraco? 
O vetor de inicialização (IV) do WEP é o seguinte:
● Um campo de 24 bits, que é muito pequeno
● Um texto sem criptografia e legível
● Estático e faz com que streams de chaves idênticas 
se repitam em uma rede ocupada
A chave é transmitida em texto não criptografado., A chave 
é estática e se repete em uma rede congestionada.
O que um rootkit modifica?
Um rootkit geralmente modifica um sistema operacional 
para criar um backdoor e ignorar mecanismos de 
autenticação normais.
sistema operacional
Exercícios
Quais opções são duas das táticas usadas por um engenheiro 
social para obter informações pessoais de um alvo sem 
suspeitas?
Táticas de engenharia social incluem o seguinte:
● Autoridade
● Intimidação
● Consenso/Prova social
● de endereços
● Urgência
● Familiaridade/Preferência
● Confiança
The correct answers are: intimidação, urgência
Um invasor está sentado em frente a uma loja e copia e-mails e 
listas de contato por meio de uma conexão sem fio ficando 
próximo aos dispositivos, sem que eles desconfiem. Que tipo de 
ataque é esse?
Blusnarfing é a cópia de informações do usuário através de 
transmissões não autorizadas de Bluetooth.
bluesnarfing
Exercícios
Qual termo descreve o envio de uma mensagem curta de SMS 
enganosa usada para convencer um alvo a visitar um site da 
Web?
Smishing também é conhecido como phishing SMS e é 
usado para enviar mensagens de texto enganosas para 
fazer com que um usuário ligue para um número de telefone 
ou acesse um site específico.
smishing
Qual é o termo usado quando uma parte mal-intencionada envia 
um e-mail fraudulento disfarçado de uma fonte legítima e 
confiável?
O phishing é usado por partes mal-intencionadas que criam 
mensagens fraudulentas que tentam enganar um usuário 
para ele compartilhar informações confidenciais ou instalar 
malware.
phishing
Exercícios
Qual é a principal diferença entre um vírus e um worm?
Worms são capazes de se replicar e explorar 
vulnerabilidades em redes de computadores sem a 
participação do usuário.
Worms se replicam, mas vírus não.
Quais são os três protocolos que usam algoritmos de chave 
assimétrica?
Quatro protocolos usam algoritmos de chave assimétrica.
● Troca de Chaves via Internet (IKE – Internet Key 
Exchange).
● SSL
● Secure Shell (SSH)
● Pretty Good Privacy (PGP)
Pretty Good Privacy (PGP), Camada de Soquetes Segura (SSL 
– Secure Sockets Layer), Secure Shell (SSH)
Exercícios
Corresponda o tipo de autenticação multifatorial à descrição.
A autenticação de vários fatores usa um mínimo de dois 
métodos de verificação e pode incluir o seguinte:
segurança por chave fob → algo que você tem
verificação por impressão digital → algo que você é 
senha → algo que você sabe
Qual algoritmo de criptografia que codifica um bloco de 128 bits 
o governo dos EUA usa para proteger informações 
confidenciais?
O Advanced Encryption Standard (AES) é usado para proteger 
as informações confidenciais do governo dos EUA e é um forte 
algoritmo que usa comprimentos de chave mais longos.
Exercícios
Qual termo descreve a tecnologia que protege o software de 
modificação ou acesso não autorizado?
O software de marca d'água insere uma mensagem secreta no 
programa como prova de propriedade e protege o software de 
modificação ou acesso não autorizado.
Qual algoritmo de criptografia é usado pela NSA e inclui o uso 
de curvas elípticas para troca de chaves e geração de 
assinatura digital?
A criptografia de curva elíptica (ECC) utiliza curvas elípticas 
como parte do algoritmo para troca de chaves e geração de 
assinatura digital.
Exercícios
Quais são os três processos que são exemplos de controles de 
acesso lógicos? (Escolha três.)
Controles de acesso lógico incluem, entre outros itens, o 
seguinte:
● Criptografia
● Cartões inteligentes
● Senhas
● Biometria
● Access Control Lists (ACLs)
● Protocolos
● Firewalls
● Sistema de detecção de invasão (IDS)
RS:firewalls para monitorar o tráfego, biometria para validar 
características físicas, sistema de detecção de invasão (IDS) 
para observar atividades suspeitas na rede
Faça a correspondência entre a descrição e o termo correto. 
(Nem todas as opções são usadas.)
estenografia social → criar uma mensagem que diz uma coisa, 
mas significa outra para um público específico;
esteganoanálise → descobrir que existem informações ocultas 
dentro de um arquivo gráfico;
 ofuscação → tornar uma mensagem confusa para dificultar seu 
entendimento;
estenografia → ocultar dados em um arquivo de áudio
Exercícios
Qual termo é usado para descrever a tecnologia que substitui 
informações confidenciais por uma versão não confidencial?
O mascaramento de dados substitui informações confidenciais 
por informações não confidenciais. Após a substituição, a 
versão pública é parecida e tem a função da original.
RESP:máscara
Qual algoritmo de criptografia usa uma chave para criptografar 
os dados e uma chave diferente para decifrá-los?
A criptografia assimétrica usa uma chave para criptografar os 
dados e uma chave diferente para decifrá-los.
The correct answer is: assimétrico
Exercícios
Que tipo de criptografia codifica um byte de texto claro ou um bit 
de cada vez?
A criptografia de stream codifica um byte de texto claro ou um 
bit de cada vez e pode ser muito mais rápida que codificações 
de bloco.
The correct answer is: stream
Qual é o nome do método no qual as letras são reorganizadas 
para criar o texto codificado?
O texto codificado pode ser criado com o uso das seguintes 
opções:
● Transposição – as letras são reorganizadas
● Substituição – as letras são substituídas
●Cifra de uso único – texto claro combinado com uma 
chave secreta que cria um novo caractere, que depois 
se combina com o texto claro para produzir texto 
codificado
● 
The correct answer is: transposição
Exercícios
Quais são três exemplos de controles de acesso administrativo?
políticas e procedimentos, verificação de antecedentes, práticas 
de contratação
Qual é o termo usado para descrever a ciência de criar e 
quebrar códigos secretos?
A criptologia é a ciência de fazer e quebrar códigos para 
assegurar que criminosos virtuais não consigam comprometer 
com facilidade informações protegidas.
The correct answer is: criptologia
Exercícios
Quais são os dois termos usados para descrever as chaves de 
criptografia? (Escolher dois.)
The correct answers are: comprimento da chave, espaço da 
chave
Qual algoritmo assimétrico fornece um método de troca de 
chave eletrônica para compartilhar a chave secreta?
O Diffie-Hellman fornece um método de troca eletrônica para 
compartilhar uma chave secreta e é usado por vários protocolos 
seguros.
The correct answer is: Diffie-Hellman
Exercícios
Qual termo é usado para descrever a ocultação de dados em 
outro arquivo como um gráfico, áudio ou outro arquivo de texto?
A estenografia oculta dados em arquivos como gráficos, áudios 
ou outro arquivo de texto e é utilizada para impedir que seja 
dada atenção extra aos dados criptografados, porque eles não 
são vistos facilmente.
The correct answer is: estenografia
Um banner de aviso que lista os resultados negativos de 
violações da política da empresa é exibido cada vez que um 
usuário do computador fizer login na máquina. Qual tipo de 
controle de acesso é implementado?
Dissuasores são implementados para desencorajar ou mitigar 
uma ação ou o comportamento de uma pessoa 
mal-intencionada.
The correct answer is: dissuasor
Exercícios
Qual algoritmo de criptografia usa a mesma chave 
pré-compartilhada para criptografar e descriptografar dados?
Algoritmos de criptografia simétrica usam a mesma chave 
pré-compartilhada para criptografar e descriptografar dados?
The correct answer is: simétrico
Qual tipo de criptografia é capaz de criptografar um bloco de 
tamanho fixo de texto claro em um bloco de 128 bits de texto 
codificado, a qualquer momento?
Codificações de bloco transformam um bloco de tamanho fixo 
de texto claro em um bloco de texto codificado. Para 
descriptografar o texto codificado, é usada a mesma chave 
secreta para criptografar no sentido inverso.
The correct answer is: bloquear
Exercícios
Quais são os três dispositivos que representam exemplos de 
controles de acesso físico? (Escolha três.)
The correct answers are: cadeados, cartões de acesso, 
câmeras de vídeo
Qual a finalidade do CSPRNG?
O salting impede que alguém use um ataque de dicionário para 
adivinhar uma senha. O Gerador de Número Pseudo-Aleatório 
Protegido por Criptografia (CSPRNG) é uma forma (e é a 
melhor) de gerar o salt.
The correct answer is: gerar o salt
Exercícios
Quais são os três algoritmos de assinatura digital aprovados 
pelo NIST? (Escolha três.)
O NIST escolhe algoritmos aprovados com base em técnicas de 
chave públicas e ECC. Os algoritmos de assinatura digital 
aprovados são DSA, RSA e ECDSA.
The correct answers are: DSA, RSA, ECDSA
Um usuário baixa de um site um driver atualizado para uma 
placa de vídeo. Uma mensagem de aviso aparece na tela 
dizendo que o driver não é aprovado. O que está faltando nesta 
parte do software?
A assinatura de código é um método de verificação de 
integridade do código
The correct answer is: assinatura digital
Exercícios
Um usuário é instruído por um chefe a encontrar um método 
melhor para proteger as senhas em trânsito. O usuário 
pesquisou vários meios para fazer isso e escolheu o uso de 
HMAC. Quais são os elementos principais necessários para 
implementar o HMAC?
A implementação de HMAC é uma chave secreta adicionada a 
um hash.
The correct answer is: chave secreta e message digest
Quais são os três tipos de ataques que podem ser evitados ao 
utilizar salting? (Escolha três.)
O salting faz com que tabelas pré-calculadas não tenham efeito 
devido à sequência aleatória que é usada.
The correct answers are: tabelas de pesquisa, tabelas de 
pesquisa reversa, rainbow tables
Exercícios
Quais são os três critérios de validação utilizados para uma 
regra de validação? (Escolha três.)
Os critérios utilizados em uma regra de validação incluem 
formato, consistência, alcance e dígito de verificação.
The correct answers are: tamanho, intervalo, formato
‘
Um investigador encontra uma unidade de USB na cena do 
crime e quer apresentá-lo como prova no tribunal. O 
investigador leva a unidade de USB, cria uma imagem forense 
dela e leva um hash do dispositivo USB original e da imagem 
que foi criada. O que o investigador deseja provar sobre a 
unidade de USB quando a prova for apresentada no tribunal?
Uma função hash garante a integridade de um programa, 
arquivo ou dispositivo.
The correct answer is: Os dados da imagem são uma cópia 
exata, e nada foi alterado pelo processo.
Exercícios
Qual método tenta todas as senhas possíveis até que uma 
correspondência seja encontrada?
Dois métodos comuns para decifrar hashes são o dicionário e a 
força bruta. Depois de um tempo, o método de força bruta 
sempre decifrará uma senha.
The correct answer is: força bruta
Qual é o padrão para uma infraestrutura de chave pública 
gerenciar certificados digitais?
O padrão x.509 é para uma infraestrutura PKI e x.500 é para 
estruturas de diretório.
The correct answer is: x.509
Exercícios
Uma violação recente em uma empresa foi atribuída à 
capacidade de um hacker de acessar o banco de dados 
corporativo por meio do site da empresa, com o uso de dados 
malformados em um formulário de login. Qual é o problema com 
o site da empresa?
A capacidade de transmitir dados malformados através de um 
site é uma forma de validação de entrada pobre.
The correct answer is: validação de entrada pobre
Um usuário está avaliando a infraestrutura de segurança de 
uma empresa e percebe que alguns sistemas de autenticação 
não estão usando as melhores práticas relacionadas ao 
armazenamento de senhas. O usuário consegue decifrar 
senhas muito rápido e acessar dados confidenciais. O usuário 
deseja apresentar uma recomendação para a empresa sobre a 
implementação adequada de salting para evitar técnicas de 
violação de senha. Quais são as três melhores práticas na 
implementação de salting? (Escolha três.)
O salting deve ser exclusivo e não reutilizado. Fazer o oposto 
fará com que senhas sejam quebradas facilmente.
The correct answers are: Um salt deve ser exclusivo para cada 
senha., Um salt não deve ser reutilizado., Um salt deve ser 
exclusivo.
Exercícios
Um e-mail recente enviado para toda a empresa afirmou que 
haveria uma mudança na política de segurança. O oficial de 
segurança que acreditava-se ter enviado a mensagem afirmou 
que ela não foi enviada do departamento de segurança, e a 
empresa pode ter sido vítima de um e-mail falso. O que poderia 
ter sido adicionado à mensagem para garantir que ela de fato 
veio dessa pessoa?
As assinaturas digitais garantem a não rejeição ou a capacidade 
de não negar que uma pessoa específica enviou uma 
mensagem.
The correct answer is: assinatura digital
Alice e Bob usam a mesma senha para efetuar login na rede da 
empresa. Isto significa que os dois têm o mesmo hash exato 
para suas senhas. O que poderia ser implementado para 
impedir que os dois hashes das senhas sejam iguais?
Uma senha é armazenada como uma combinação de um hash 
e um salt.
The correct answer is: salting
Exercícios
Foi solicitado que um usuário implementasse o IPSec para 
conexões externas de entrada. O usuário planeja usar SHA-1 
como parte da implementação. O usuário deseja garantir a 
integridade e a autenticidade da conexão. Qual ferramenta de 
segurança o usuário pode usar?
O HMAC fornece uma chave secreta como recurso adicional 
paragarantir a integridade e a autenticação.
The correct answer is: HMAC
Um usuário está se conectando a um servidor de e-commerce 
para comprar alguns widgets para uma empresa. O usuário se 
conecta ao site e percebe que não há um cadeado na barra de 
status de segurança de navegador. O site solicita um nome de 
usuário e a senha e o usuário consegue fazer login. Qual é o 
perigo em prosseguir essa transação?
O cadeado na janela do navegador garante que uma conexão 
segura foi estabelecida e não foi bloqueada por um 
complemento do navegador.
The correct answer is: O site não está usando um certificado 
digital para proteger a transação, o que significa que tudo fica 
não codificado.
Exercícios
Qual das opções é um ponto forte do uso de uma função de 
hash?
Compreender as propriedades de uma função hash mostra sua 
aplicabilidade como função unidirecional, tamanho de entrada 
arbitrária e saída fixa.
The correct answer is: É uma função unidirecional e não 
reversível.
Um usuário criou um novo programa e deseja distribuí-lo para 
todos na empresa. O usuário quer garantir que, quando o 
programa for baixado, não será alterado enquanto estiver em 
trânsito. O que o usuário pode fazer para garantir que o 
programa não será alterado quando for baixado?
Hash é um método para assegurar a integridade e ele garante 
que os dados não serão alterados.
The correct answer is: Criar um hash do arquivo do programa 
que pode ser usado para verificar a integridade do arquivo 
depois que o download for feito.
Exercícios
Identifique as três situações em que a função de criptografia 
pode ser aplicada. (Escolha três)
Três situações em que uma função hash pode ser usada são:
● Quando o IPSec estiver sendo usado
● Quando a autenticação por roteamento estiver ativada
● Nas respostas de desafios dentro de protocolos, como 
PPP CHAP
● Em contratos assinados digitalmente e certificados PKI
The correct answers are: IPsec, CHAP, PKI
Qual é o processo passo a passo para criar uma assinatura 
digital?
Para criar uma assinatura digital, devem ser seguidas estas 
etapas:
1. A mensagem e a message digest são criadas.
2. A digest e chave privada são criptografadas.
3. A mensagem, a message digest criptografada e a chave 
pública são empacotadas para criar o documento 
assinado.
The correct answer is: Criar uma message digest; criptografar a 
digest com a chave privada do remetente e empacotar a 
mensagem, a digest criptografada e a chave pública juntos a fim 
de assinar o documento.
Exercícios
Um usuário é o administrador do banco de dados de uma 
empresa. Foi solicitado que um usuário implementasse uma 
regra de integridade, que declarasse que todas as tabelas 
devem ter uma chave primária e que a coluna ou as colunas 
escolhidas como chave primária devem ser exclusivas e não 
nulas. Qual requisito de integridade o usuário está 
implementando?
Existem três requisitos principais de integridade do banco de 
dados: entidade, referencial e integridade do domínio.
The correct answer is: integridade da entidade
Um usuário propõe a compra de uma solução de gerenciamento de 
patches para uma empresa. O usuário quer fornecer motivos pelos 
quais a empresa deveria gastar dinheiro nessa solução. Quais 
benefícios o gerenciamento de patches oferece? (Escolha três.)
Um sistema de gerenciamento de patches centralizado pode acelerar 
a implantação de patches e automatizar o processo. Outras boas 
razões para usar um serviço de atualização automática de patch 
incluem o seguinte:
● Os administradores controlam o processo de atualização.
● São gerados relatórios.
● As atualizações são fornecidas de um servidor local.
● Os usuários não podem contornar o processo de atualização.
The correct answers are: Os administradores podem aprovar ou 
negar patches., As atualizações podem ser forçadas imediatamente 
nos sistemas., As atualizações não podem ser contornadas pelo 
usuário.
Exercícios
Por que WPA2 é melhor que WPA?
Uma boa maneira de lembrar os padrões de segurança sem fio 
é considerar como eles evoluíram de WEP para WPA e depois 
para WPA2. Cada evolução aumentou as medidas de 
segurança.
The correct answer is: uso obrigatório de algoritmos AES
Qual é a diferença entre um HIDS e um firewall?
Para monitorar a atividade local, um HIDS deve ser 
implementado. Monitores de atividade de rede estão 
preocupados com a atividade de tráfego e não com o sistema 
operacional.
The correct answer is: Um HIDS monitora sistemas operacionais 
em computadores host e processa a atividade do sistema de 
arquivos. Os firewalls permitem ou negam o tráfego entre o 
computador e outros sistemas.
Exercícios
Pede-se para um usuário analisar o estado atual de um sistema 
operacional do computador. A que o usuário deve comparar o 
estado atual do sistema a im de identificar possíveis 
vulnerabilidades?
Uma baseline permite que um usuário execute uma comparação 
sobre o desempenho de um sistema. O usuário pode, em 
seguida, comparar o resultado com a baseline esperada. Esse 
processo permite que o usuário identifique possíveis 
vulnerabilidades.
The correct answer is: uma baseline
Um estagiário começou a trabalhar no grupo de suporte. Um de 
seus deveres é definir a política local para senhas nas estações 
de trabalho. Qual ferramenta seria melhor usar?
Políticas locais não são políticas de grupo e só funcionam na 
máquina local. As políticas locais podem, no entanto, ser 
sobrescritas se a máquina fizer parte de um domínio do 
Windows.
The correct answer is: secpol.msc
Exercícios
Um PC novo é retirado da caixa, inicializado e conectado à 
Internet. Os patches foram baixados e instalados. O antivírus foi 
atualizado Para fortalecer mais o sistema operacional, o que 
pode ser feito?
Ao blindar um sistema operacional, patches e antivírus fazem 
parte do processo. Muitos componentes extras são adicionados 
pelo fabricante que não são necessariamente obrigatórios.
The correct answer is: Remover serviços e programas 
desnecessários.
Qual serviço resolve um endereço da Web específico em um 
endereço IP do servidor da Web de destino?
O DNS resolve um endereço de site para o endereço IP real 
desse destino.
The correct answer is: DNS
Exercícios
Quais dos três itens são malware? (Escolha três.)
O e-mail pode ser usado para entregar malware, mas ele 
sozinho não é o malware. O Apt é usado para instalar ou 
remover o software em um sistema operacional Linux. Anexos 
podem conter malware, mas nem sempre.
The correct answers are: cavalo de troia, vírus, keylogger
Um usuário faz uma solicitação para implementar um serviço de 
gerenciamento de patches para uma empresa. Como parte da 
requisição, o usuário precisa fornecer uma justificativa para a 
solicitação. Quais são as três razões pelas quais o usuário pode 
justificar o pedido? (Escolha três.)
Um serviço de gerenciamento de patches pode fornecer um 
controle maior sobre o processo de atualização por um 
administrador. Ele elimina a necessidade da intervenção do 
usuário.
The correct answers are: a capacidade de obter relatórios sobre 
sistemas, a capacidade de controlar quando ocorrem as 
atualizações, não oferta de oportunidade aos usuários de 
contornarem as atualizações
Exercícios
Um administrador de um data center pequeno quer um método 
flexível e seguro de conectar-se remotamente aos servidores. 
Qual protocolo seria melhor usar?
Como hackers fazer sniffing de tráfego e conseguem ler senhas 
de texto sem criptografia, todas as conexões precisam ser 
criptografadas. Além disso, uma solução não deve depender do 
sistema operacional.
The correct answer is: Secure Shell
Uma empresa deseja implementar o acesso biométrico em seu 
data center. A empresa está preocupada com as pessoas 
conseguirem contornar o sistema ao serem aceitas de forma 
incorreta como usuários legítimos. Que tipo de erro é a falsa 
aceitação?
Existem dois tipos de erros que a biometria pode ter: falsa 
aceitação e falsa rejeição. Aceitação falsa é um erro Tipo II. Os 
dois tipos podem se cruzarem um ponto chamado Crossover 
Error Rate.
The correct answer is: Tipo II
Exercícios
Quais são os três tipos de problemas de energia com os quais 
um técnico deve se preocupar? (Escolha três.)
Problemas de energia podem incluir aumento, diminuição ou 
alteração repentinos na energia e incluem o seguinte:
● Pico
● Surto de tensão
● Falha
● Blecaute
● Sag/dip
● Queda de energia
● Corrente de fluxo contrário
The correct answers are: Pico, blecaute parcial, blecaute
Após uma auditoria de segurança de uma empresa, foi 
descoberto que várias contas tinham acesso privilegiado a 
sistemas e dispositivos. Quais são as três melhores práticas 
para proteger as contas privilegiadas que devem ser incluídas 
no relatório de auditoria? (Escolha três.)
As melhores práticas implicam dar ao usuário apenas o que é 
necessário para fazer o trabalho. Todos os privilégios adicionais 
devem ser acompanhados e auditados.
The correct answers are: Reduzir o número de contas 
privilegiadas., Proteger o armazenamento de senha., Aplicação 
do princípio do privilégio mínimo.
Exercícios
Por qual motivo WEP não deve ser usado em redes sem fio hoje 
em dia?
Apesar das melhorias, o WEP ainda é vulnerável a vários 
problemas de segurança, inclusive à capacidade de ser 
decifrada.
The correct answer is: pode ser facilmente decifrado
Um usuário liga para o suporte técnico reclamando que a senha 
para acessar a rede sem fio foi alterada sem aviso prévio. O 
usuário tem permissão para alterar a senha, mas, uma hora 
depois, a mesma coisa ocorre. O que pode estar acontecendo 
nessa situação?
Ataques man in the middle são uma ameaça que resulta em 
dados e credenciais perdidas. Esse tipo de ataque pode ocorrer 
por motivos diferentes, inclusive sniffing de tráfego.
The correct answer is: access point invasor
Exercícios
O gerente de um departamento suspeita que alguém está 
tentando invadir os computadores à noite. É solicitado que você 
descubra se isso está mesmo acontecendo. Qual tipo de 
registro você ativaria?
Registros de auditoria podem rastrear as tentativas de 
autenticação de usuário em estações de trabalho e podem 
revelar se alguma tentativa de invasão foi feita.
The correct answer is: auditoria
O gerente do suporte de desktop quer minimizar o período de 
inatividade para estações de trabalho que falham ou têm outros 
problemas relacionados ao software. Quais são as três 
vantagens do uso da clonagem de disco? (Escolha três.)
A clonagem de disco pode ser uma maneira eficaz de manter 
um parâmetro para servidores e estações de trabalho. Não é um 
método de corte de gastos.
The correct answers are: facilidade de implantar novos 
computadores na empresa, pode fornecer um backup completo 
do sistema, garante uma máquina com imagem limpa
Exercícios
A empresa tem muitos usuários remotos. Uma solução precisa 
ser encontrada para que um canal de comunicação seguro seja 
estabelecido entre a empresa e o local remoto dos usuários. 
Qual das opções é uma boa solução para essa situação?
Quando uma VPN é usada, um usuário pode estar em qualquer 
local remoto, como em casa ou em um hotel. A solução VPN é 
flexível no sentido de que linhas públicas podem ser usadas 
para se conectar com segurança a uma empresa.
The correct answer is: VPN
O CIO quer proteger os dados nos notebooks da empresa com 
a implementação de criptografia de arquivo. O técnico determina 
que o melhor método é criptografar todos os discos rígidos 
usando o Windows BitLocker. Quais são as duas coisas 
necessárias para implementar essa solução? (Escolher dois.)
O Windows fornece um método para criptografar arquivos, 
pastas ou unidades de disco rígido inteiras, dependendo da 
necessidade. No entanto, certas configurações e configurações 
da BIOS são necessárias para implementar a criptografia em 
um disco rígido inteiro.
The correct answers are: pelo menos dois volumes, TPM
Exercícios
As empresas podem ter centros de operação diferentes que 
lidam com problemas diferentes das operações de TI. Se um 
problema estiver relacionado à infraestrutura de rede, qual 
centro de operação seria o responsável?
Centros de operação oferecem suporte a diferentes áreas de 
operação, inclusive de rede e segurança. Cada um se concentra 
em partes específicas da estrutura de TI. O centro que oferece 
suporte à segurança seria o SOC.
The correct answer is: NOC
Um usuário liga para o suporte técnico e reclama que um 
aplicativo foi instalado no computador e o aplicativo não 
consegue se conectar à Internet. Não há alertas de antivírus e o 
usuário consegue navegar na Internet. Qual é a causa mais 
provável do problema?
Ao solucionar um problema do usuário, busque alguns 
problemas comuns que impediriam que um usuário executasse 
uma função.
The correct answer is: firewall do computador
Exercícios
Uma falha ocorre em uma empresa que processa informações 
de cartão de crédito. Qual é a lei específica do setor que rege a 
proteção de dados de cartão de crédito?
O Padrão de Segurança de Dados do Setor de Cartões de 
Pagamento (PCI DSS) administra a proteção de dados de 
cartão de crédito à medida que comerciantes e bancos fazem as 
transações.
The correct answer is: PCI DSS
Uma empresa teve vários incidentes envolvendo usuários que 
baixam software não autorizado e usam sites não autorizados e 
dispositivos USB pessoais. O CIO quer pôr em prática um 
esquema para gerenciar as ameaças do usuário. Quais são os 
três itens que podem ser colocados em prática para gerenciar 
as ameaças? (Escolha três.)
Se os usuários não receberem as instruções necessárias, não 
estarão a par dos problemas que suas ações podem causar no 
computador. Com a implementação de várias práticas técnicas e 
não técnicas, a ameaça pode ser reduzida.
The correct answers are: Desativar o acesso de CD e USB., 
Usar filtros de conteúdo., Proporcionar treinamento.
Exercícios
Como parte da política de recursos humanos em uma empresa, 
uma pessoa pode recusar o compartilhamento de informações 
com terceiros que não sejam os empregadores. Qual é a lei que 
protege a privacidade de informações pessoais compartilhadas?
O Gramm-Leach-Bliley Act (GLBA) inclui provisões de 
privacidade para os indivíduos e fornece métodos para restringir 
o compartilhamento de informações com empresas de terceiros.
The correct answer is: GLBA
Quais são as duas possíveis ameaças para aplicações? 
(Escolher dois.)
As ameaças a aplicações podem incluir o seguinte:
● Acesso não autorizado a data centers, salas de 
computador e armário de fiação
● Período de inatividade do servidor para manutenção
● Vulnerabilidade de software do sistema operacional de 
rede
● Acesso não autorizado a sistemas
● Perda de dados
● Período de inatividade de sistemas de TI por um tempo 
prolongado
● Vulnerabilidades de desenvolvimento de aplicativos 
cliente/servidor ou Web
The correct answers are: perda de dados, acesso não 
autorizado
Exercícios
Uma empresa está tentando diminuir o custo na implantação de 
software comercial e está considerando um serviço baseado em 
nuvem. Qual seria o melhor serviço baseado em nuvem para 
hospedar o software?
O SaaS (software como serviço) proporciona o acesso ao 
software que é centralmente hospedado e acessado por 
usuários por um navegador da Web na nuvem.
The correct answer is: SaaS
Como um profissional de segurança, existe a possibilidade de 
ter acesso a dados confidenciais e ativos. Qual é o item que um 
profissional de segurança deve compreender para tomar 
decisões éticas informadas?
A ética na profissão de segurança é extremamente importante 
por causa da confidencialidade dos dados e ativos. A 
conformidade com requisitos de estado e de governo é 
necessária para fazer bons julgamentos.
The correct answer is: leis que regem os dados
Exercícios
Um administrador de escola está preocupado com a divulgação 
de informações de alunos devido a uma violação. As 
informações de alunos estão protegidas sob qual lei?
O Family Education Records and Privacy Act (FERPA) proíbea 
divulgação inadequada de registros de formação pessoal.
The correct answer is: FERPA
Quais são os três serviços que o CERT proporciona? (Escolha 
três.)
O CERT proporciona vários serviços, incluindo:
● ajuda a resolver vulnerabilidades de software
● desenvolve ferramentas, produtos e métodos para 
realizar exames de computação forense
● desenvolve ferramentas, produtos e métodos para 
analisar vulnerabilidades
● desenvolve ferramentas, produtos e métodos para 
monitorar redes grandes
● ajuda as empresas a determinar se suas práticas 
relacionadas à segurança são eficazes
The correct answers are: resolver vulnerabilidades de software, 
desenvolver ferramentas, produtos e métodos para analisar 
vulnerabilidades, desenvolver ferramentas, produtos e métodos 
para realizar exames de computação forense
Exercícios
Quais são os dois itens que podem ser encontrados no site do 
Internet Storm Center? (Escolher dois.)
O site do Internet Storm Center tem um blog diário do InfoSec, 
ferramentas do InfoSec e notícias entre outras informações do 
InfoSec.
The correct answers are: relatórios InfoSec, postagens de 
emprego InfoSec
O que pode ser usado para avaliar ameaças por uma pontuação 
de impacto para enfatizar vulnerabilidades importantes?
O National Vulnerability Database (NVD) é usado para avaliar o 
impacto de vulnerabilidades e pode auxiliar uma empresa a 
classificar a gravidade de vulnerabilidades encontradas em uma 
rede.
The correct answer is: NVD
Exercícios
Um consultor é contratado para fazer recomendações sobre o 
gerenciamento de ameaças do dispositivo em uma empresa. 
Quais são as três recomendações gerais que podem ser feitas? 
(Escolha três.)
As estações de trabalho podem ser fortalecidas com a remoção 
de permissões desnecessárias, a automatização de processos e 
a ativação de funcionalidades de segurança.
The correct answers are: Desativar os direitos de administrador 
dos usuários., Ativar o bloqueio de tela., Ativar verificações 
antivírus automatizadas.
Um auditor é solicitado para avaliar a LAN de uma empresa em 
busca de possíveis ameaças. Quais são as três ameaças 
possíveis que o auditor pode apontar? (Escolha três.)
A LAN pode ter muitos dispositivos de terminal conectados. A 
análise dos dispositivos de rede e dos endpoints conectados é 
importante na determinação de ameaças.
The correct answers are: acesso desbloqueado ao equipamento 
de rede, detecção de rede e varredura de porta não autorizada, 
um firewall desconfigurado
Exercícios
Uma empresa implementou uma infraestrutura em nuvem privada. O 
administrador de segurança é solicitado para proteger a infraestrutura de 
possíveis ameaças. Quais são as três táticas que podem ser 
implementadas para proteger a nuvem privada? (Escolha três.)
As empresas podem gerenciar as ameaças para a nuvem privada usando 
os seguintes métodos:
● Desativar ping, detecção e varredura de porta.
● Implementar sistemas de detecção e de prevenção contra invasão.
● Monitorar anomalias de tráfego IP de entrada.
● Atualizar dispositivos com correções e patches de segurança.
● Conduzir testes de penetração pós-configuração.
● Testar tráfego de entrada e de saída.
● Implementar um padrão de classificação de dados.
● Implementar o monitoramento e a varredura da transferência de 
arquivos para tipo de arquivo desconhecido.
The correct answers are: Desativar ping, detecção e varredura de porta., 
Testar tráfego de entrada e de saída., Atualizar dispositivos com correções 
e patches de segurança.
Se uma pessoa acessar conscientemente um computador do 
governo sem permissão, ela estará sujeita a quais leis federais?
O Computer Fraud and Abuse Act (CFAA) fornece a base para 
as leis dos EUA que criminalizam o acesso não autorizado a 
sistemas de computador.
The correct answer is: CFAA
Exercícios
Por que o Kali Linux é uma escolha comum para testar a 
segurança de rede de uma empresa?
Kali é uma distribuição de segurança Linux de código aberto 
normalmente usada por profissionais de TI para testar a 
segurança de redes.
The correct answer is: É uma distribuição de segurança Linux 
de código aberto e contém mais de 300 ferramentas
Quais são as três maiores categorias para posições de 
segurança de informações? (Escolha três.)
As posições de segurança de informações podem ser 
categorizadas como:
● definidores
● construtores
● monitores
The correct answers are: definidores, construtores, monitores
Exercícios
Um profissional de segurança é solicitado a executar uma 
análise da situação atual da rede de uma empresa. Qual é a 
ferramenta que o profissional de segurança usaria para verificar 
a rede apenas para os riscos de segurança?
Os scanners de vulnerabilidades são comumente usados para 
verificar as seguintes vulnerabilidades:
● Uso de senhas padrão ou senhas comuns
● Patches não instalados
● Portas abertas
● Erro de configuração de software e de sistemas 
operacionais
● Endereços IP ativos
The correct answer is: scanner de vulnerabilidades
Os visitantes não autorizados entraram em um escritório da empresa e 
estão andando ao redor do edifício. Quais são as duas medidas que podem 
ser implementadas para impedir o acesso de visitante não autorizado ao 
edifício? (Escolher dois.)
Qualquer pessoa não autorizada que acessa uma instalação pode 
representar uma possível ameaça. As medidas comuns para aumentar a 
segurança física incluem o seguinte:
● Implementar controle de acesso e cobertura de circuito fechado de 
TV (CCTV) em todas as entradas.
● Estabelecer políticas e procedimentos para os convidados que 
visitam as instalações.
● Testar a segurança do edifício usando meios físicos para obter 
acesso de forma secreta.
● Implementar a criptografia de crachá para acesso de entrada.
● Realizar treinamento regularmente.
● Implementar um sistema de identificação de ativo.
The correct answers are: Estabelecer políticas e procedimentos para os 
convidados que visitam o edifício., Realizar treinamento regularmente.