Gest seg da infor

Prévia do material em texto

Avaliação: CCT0185_AV1_201101202238 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV1
	Aluno: 201101202238 - ALINE APARECIDA DE OLIVEIRA QUEIROZ
	Professor:
	SERGIO RODRIGUES AFFONSO FRANCO
	Turma: 9002/AB
	Nota da Prova: 4,0 de 8,0        Nota do Trabalho:        Nota de Participação: 2        Data: 23/04/2013 19:01:12
	�
	 1a Questão (Cód.: 58909)
	Pontos: 1,0  / 1,0
	Segundo a RFC 2828 os ataques podem ser definidos como ¿um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema¿. Os ataques ser classificados como:
	
	 
	Passivo e Ativo
	
	Passivo e Vulnerável
	
	Secreto e Vulnerável
	
	Secreto e Ativo
	
	Forte e Fraco
	
	�
	 2a Questão (Cód.: 59359)
	Pontos: 0,5  / 0,5
	A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
	
	
	Dado - Informação - Informação Bruta
	
	Dado - Informação - Dados Brutos
	 
	Dado - Informação - Conhecimento
	
	Dado - Conhecimento Bruto - Informação Bruta
	
	Dado - Conhecimento - Informação
	
	�
	 3a Questão (Cód.: 61984)
	Pontos: 0,5  / 0,5
	Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:
	
	 
	Confidencialidade, Disponibilidade e Integridade.
	
	Confidencialidade, Descrição e Integridade.
	
	Confiabilidade, Disponibilidade e Integridade.
	
	Confiabilidade, Disponibilidade e Intencionalidade.
	
	Confidencialidade, Indisponibilidade e Integridade.
	
	�
	 4a Questão (Cód.: 58907)
	Pontos: 0,0  / 0,5
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
	
	
	Forte
	 
	Passivo
	
	Secreto
	
	Fraco
	 
	Ativo
	
	�
	 5a Questão (Cód.: 58957)
	Pontos: 0,0  / 0,5
	A utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping pode estar associada a qual dos passos abaixo realizados por um Atacante?
	
	 
	Obtenção de Acesso.
	
	Manutenção do Acesso
	 
	Exploração das Informações
	
	Camuflagem das Evidências
	
	Levantamento das Informações
	
	�
	 6a Questão (Cód.: 62106)
	Pontos: 1,0  / 1,0
	Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será _________.¿
	
	
	O risco associado a ameaça.
	
	O valor do Impacto.
	
	A Vulnerabilidade do Risco.
	 
	O risco associado a este incidente.
	
	A Vulnerabilidade do Ativo.
	
	�
	 7a Questão (Cód.: 58911)
	Pontos: 0,0  / 1,0
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
	
	
	Fraggle
	 
	SQL Injection
	
	Fragmentação de Pacotes IP
	 
	Buffer Overflow
	
	Smurf
	
	�
	 8a Questão (Cód.: 58939)
	Pontos: 1,0  / 1,0
	Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque?
	
	
	Exploração das Informações
	
	Obtenção de Acesso
	
	Divulgação do Ataque
	
	Levantamento das Informações
	 
	Camuflagem das Evidências
	
	�
	 9a Questão (Cód.: 58921)
	Pontos: 0,0  / 1,0
	A empresa ABC está desenvolvendo um política de segurança da Informação e uma de suas maiores preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC?
	
	
	SYN Flooding
	 
	Phishing Scan
	
	Smurf
	 
	Dumpster diving ou trashing
	
	Fraggle
	
	�
	 10a Questão (Cód.: 62110)
	Pontos: 0,0  / 1,0
	João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a registrar as operações realizadas pelos usuários e serviços do sistema. Neste caso, João está implementando uma propriedade de segurança relacionada à(o):
	
	 
	Não-Repúdio;
	
	Confidencialidade;
	
	Disponibilidade;
	
	Integridade;
	 
	Auditoria;
	Avaliação: CCT0185_AV2_201101202238 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV2
	Aluno: 201101202238 - ALINE APARECIDA DE OLIVEIRA QUEIROZ
	Professor:
	SERGIO RODRIGUES AFFONSO FRANCO
	Turma: 9002/AB
	Nota da Prova: 7,5 de 8,0        Nota do Trabalho:        Nota de Participação: 1        Data: 14/06/2013 18:03:07
	�
	 1a Questão (Cód.: 139617)
	Pontos: 1,5  / 1,5
	No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça.
	
	
Resposta: Ativo-Qualquer coisa que tenha valor na organização. Vulnerabilidade- A ausência de um mecanismo de proteção existente. Ameaça- Evento que tem potencial em si proprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuizo decorrente da situação.
	
Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas.
	
	�
	 2a Questão (Cód.: 58972)
	Pontos: 0,5  / 0,5
	Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da Informação:
	
	
	Probabilidade de um ativo explorar uma vulnerabilidade
	
	Probabilidade de um ativo explorar uma ameaça.
	 
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	Probabilidade de uma ameaça explorar um incidente.
	
	�
	 3a Questão (Cód.: 45779)
	Pontos: 0,5  / 0,5
	Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
	
	
	Autenticidade, originalidade e abrangência
	
	Integridade, prevenção e proteção
	 
	Integridade, confidencialidade e disponibilidade
	
	Flexibilidade, agilidade e conformidade
	
	Prevenção, proteção e reação
	
	�
	 4a Questão (Cód.: 139659)
	Pontos: 0,5  / 0,5
	Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA :
	
	
	A Chave Publica pode ser divulgada livremente
	
	Cada pessoa ou entidade mantém duas chaves
	
	Chave Publica e Privada são utilizadas por algoritmos assimétricos
	 
	A Chave Publica não pode ser divulgada livremente, somente a Chave Privada
	
	A Chave Privada deve ser mantida em segredo pelo seu Dono
	
	�
	 5a Questão (Cód.: 139625)
	Pontos: 1,5  / 1,5
	Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf.
	
	
Resposta: Fraggle- Consiste no envio de um excessivo numero de PING para o dominio de Broadcast. Smurf- é identico ao fraggle, alterando apenas o fato que utiliza-se de pacote do protocolo UDP.
	
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotesPING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
	
	�
	 6a Questão (Cód.: 132980)
	Pontos: 1,0  / 1,0
	Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque?
	
	 
	Vulnerabilidade Software
	
	Vulnerabilidade Mídias
	
	Vulnerabilidade Física
	
	Vulnerabilidade Natural
	
	Vulnerabilidade Comunicação
	
	�
	 7a Questão (Cód.: 139631)
	Pontos: 1,0  / 1,0
	Analise a frase abaixo: ¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual das opções representa o conceito correto da frase acima:
	
	 
	Resiliência
	
	Restauração
	
	Rescaldo
	
	Resistência
	
	Recuperação
	
	�
	 8a Questão (Cód.: 62123)
	Pontos: 0,0  / 0,5
	Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:
	
	 
	Confidencialidade;
	
	Autenticidade;
	 
	Integridade;
	
	Auditoria;
	
	Não-Repúdio;
	
	�
	 9a Questão (Cód.: 59365)
	Pontos: 0,5  / 0,5
	Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
	
	
	falsa, pois não devemos considerar que diferentes ameaças existem .
	
	falsa, pois não depende do ativo afetado.
	
	parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
	
	falsa, pois os impactos são sempre iguais para ameaças diferentes.
	 
	verdadeira
	
	�
	 10a Questão (Cód.: 59360)
	Pontos: 0,5  / 0,5
	Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que:
	
	
	A afirmativa é verdadeira somente para vulnerabilidades físicas.
	
	A afirmativa é verdadeira somente para vulnerabilidades lógicas.
	 
	A afirmativa é verdadeira.
	
	A afirmativa é falsa.
	
	A afirmativa é verdadeira somente para ameaças identificadas.