Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Respostas01 - AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Compartilhar
Prévia do material em texto
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO Pergunta 1 Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve possuir o pentest, visto que, a cada dia, os criminosos estão melhores e os profissionais de segurança precisam estar testando sempre a segurança das empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta sobre qual seria o principal objetivo do Pentest. Resposta Selecionada: O Pentest é uma simulação de um ataque real. Resposta Correta: O Pentest é uma simulação de um ataque real. Comentário da resposta: Resposta correta. A alternativa está correta, pois o Pentest não é simplesmente uma análise de vulnerabilidade, sendo algo muito mais completo que somente achar as vulnerabilidades e mostrar que está vulnerável: é também simular um verdadeiro ataque naquela empresa e ajudá-la a ir corrigindo suas falhas. Pergunta 2 Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é preciso saber quais técnicas usar e em que momento utilizá-las. Existem vários ataques os quais possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que seriam esses Exploits? Resposta Selecionada: Exploração de falhas em softwares. Resposta Correta: Exploração de falhas em softwares. Comentário da resposta: Pergunta 3 Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informação quando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos. Resposta Selecionada: Kali Linux. Resposta Correta: Kali Linux. Comentário da resposta: Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, foi criado justamente para auditoria de segurança, seja para um Pentest interno ou externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD. Pergunta 4 Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos. Resposta Selecionada: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Resposta Correta: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Comentário da resposta: Resposta correta. A alternativa está correta, pois a autenticidade garante que uma mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e a legalidade, que todo o processo não tenha problemas com a lei. Pergunta 5 1 em 1 pontos O nome “engenharia” é comumente empregado, pelos populares, quando se constroem mecanismos para resolver um problema ou arquitetar uma solução. Na área da segurança da informação, a engenharia social tem um significado bastante particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social. Resposta Selecionada: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa. Resposta Correta: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa. Comentário da resposta: Resposta correta. A alternativa está correta, pois a engenharia social é utilizada justamente para evitar vestígios, então não é usado nenhum tipo de técnica de um computador, somente a lábia, uma ligação telefônica, em que o atacante extrai informações sem que a vítima perceba. O foco da engenharia social são as pessoas, e não diretamente a tecnologia em si. Portanto, a engenharia social tem bastante a ver com conceitos psicológicos do comportamento humano. Pergunta 6 1 em 1 pontos Há alguns principais tipos de Pentest que são efetuados, quando os testes vão ocorrer, e tudo depende exatamente do que a pessoa que irá contratar o serviço deseja, se vai querer um Pentest interno, externo ou via wi-fi. Existem muitos tipos os testes, de acordo com o que é pretendido pela empresa. De acordo com a questão, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Aplicativos web. II. ( ) Redes cabeadas. III. ( ) Antenas. IV. ( ) VoIP. Resposta Selecionada: V, V, F, V. Resposta Correta: V, V, F, V. Comentário da resposta: Resposta correta. A alternativa está correta, pois apresenta sequência adequada. Os principais tipos de Pentest são: as redes cabeadas (os testes são realizados numa rede interna dentro da empresa, verificando suas vulnerabilidades), os aplicativos web (sempre também no escopo do Pentest, pois quase tudo gira em torno da internet atualmente, todo software que usamos está on-line via web para utilizarmos) e o VoIP (é muito interessante estar no escopo do Pentest justamente para que a empresa não fique sem a comunicação desejada). Não são todos, mas são tópicos importantes de um teste de invasão numa companhia. Pergunta 7 1 em 1 pontos De acordo com a lei penal no Brasil, invadir qualquer tipo de sistema sem a devida autorização comprovada do dono do que foi vítima da invasão é um crime federal, passível de indenização e até prisão. Portanto, conseguir uma autorização do dono da empresa a qual terá seu sistema testado é muito importante. A seguir, assinale a alternativa correta. Resposta Selecionada: O profissional de segurança deve buscar sempre uma autorização prévia documentada para que se faça um teste de segurança depois. Resposta Correta: O profissional de segurança deve buscar sempre uma autorização prévia documentada para que se faça um teste de segurança depois. Comentário da resposta: Resposta correta. A alternativa está correta, pois, como já dito no procedimento padrão de uma auditoria de segurança, para que se faça uma exploração de falhas, deve-se ter autorização para realizar essa exploração de vulnerabilidade. Fazendo uma breve analogia, seria a mesma coisa que entrar no quintal de uma casa sem permissão, ou seja, é passível de crime. Um hacker ético sempre pedirá permissão antes de fazer qualquer coisa no sistema de outra pessoa, e, mesmo que seja combinado boca a boca, o profissional sempre deverá ter a assinatura do possível cliente autorizando um teste de invasão. Pergunta 8 1 em 1 pontos Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é um passo importante da auditoria, pois é nesse momento que você estará entregando o produto que o cliente pagou, e esse report deve ser descrito de uma maneira que as vulnerabilidades devam ser entendidas. De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report . Resposta Selecionada: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Resposta Correta: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Comentário da resposta: Resposta correta. A alternativa está correta, pois todas as vulnerabilidades devem ser organizadas de uma maneira que todos entendam, explicando-se quais geram pouco, médio e grande impacto. É muito importante colocar graus e separações por escalas de quais vulnerabilidade são maiores quais são menores. Pergunta 9 1em 1 pontos Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando. De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Um projeto de segurança. II. ( ) Somente assinatura do contratante liberando os testes. III. ( ) Uma programação de testes. IV. ( ) Um escopo do que será testado. Assinale a alternativa que apresenta a sequência correta. Resposta Selecionada: V, F, V, V Resposta Correta: V, F, V, V Comentário da resposta: Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança. Pergunta 10 1 em 1 pontos O teste de stress, mais conhecido como teste de estresse, é muito utilizado independente se o penetration testing é interno ou externo, pois esse teste possibilita que se tenha noção se existe algum ataque iminente dando prejuízo ou se é a tecnologia que é fraca. Acredite, é ótimo conseguir reconhecer e diferenciar isso. Assinale a alternativa correta sobre a função do teste de stress em um Pentest. Resposta Selecionada: Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga. Resposta Correta: Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga. Comentário da resposta: Resposta correta. A alternativa está correta, pois um teste de stress é feito para se verificar até quanto seu servidor aguenta, ou sua aplicação. Inclusive, ele consegue identificar quando seu servidor está caindo se a culpa é de um ataque DoS (negação de serviço) ou se simplesmente não está aguentando o fluxo.
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar