Pareceres e Teste de Invasão QUESTIONÁRIO UNIDADE IV

Prévia do material em texto

08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 1/7
 
Revisar envio do teste: QUESTIONÁRIO UNIDADE IV
PARECERES E TESTES DE INVASÃO 7287-60_54406_R_E1_20222 CONTEÚDO
Usuário WAGNER LUIZ CAVALCANTE MARIA
Curso PARECERES E TESTES DE INVASÃO
Teste QUESTIONÁRIO UNIDADE IV
Iniciado 08/09/22 16:08
Enviado 08/09/22 16:11
Status Completada
Resultado da
tentativa
2,5 em 2,5 pontos  
Tempo decorrido 3 minutos
Resultados
exibidos
Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas
respondidas incorretamente
Pergunta 1
Resposta Selecionada: b. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
Uma maneira de se identi�car vulnerabilidades consiste em “desmontar”, “descompilar”
uma aplicação para entender o seu funcionamento. A esse processo damos o nome de:
Engenharia reversa.
Engenharia de software.
Engenharia reversa.
Engenharia de sistemas.
Engenharia orientada a objeto.
Engenharia de segurança.
Resposta: B 
Comentário: A engenharia reversa consiste em entender e alterar o
comportamento de binários, fazendo o caminho reverso e descompilando o
funcionamento do binário.
Pergunta 2
Resposta Selecionada: b. 
A arte de ocultar informações em arquivos e/ou imagens recebe o nome de:
Estenogra�a.
UNIP EAD BIBLIOTECAS MURAL DO ALUNO TUTORIAISCONTEÚDOS ACADÊMICOS
0,25 em 0,25 pontos
0,25 em 0,25 pontos
http://company.blackboard.com/
https://ava.ead.unip.br/webapps/blackboard/execute/courseMain?course_id=_241054_1
https://ava.ead.unip.br/webapps/blackboard/content/listContent.jsp?course_id=_241054_1&content_id=_2932321_1&mode=reset
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_10_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_27_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_47_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_29_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_25_1
https://ava.ead.unip.br/webapps/login/?action=logout
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 2/7
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
Xilogra�a.
Estenogra�a.
Pirogra�a.
Cintilogra�a.
Webgra�a.
Resposta: B 
Comentário: Estenogra�a é ocultar informações em imagens ou arquivos;
essa técnica é usada para esconder uma mensagem dentro de um arquivo
que aparentemente não possui aquela informação.
Pergunta 3
Resposta Selecionada: b. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
O ________________ consiste em um treinamento para a identi�cação de vulnerabilidades.
Complete a lacuna com a alternativa correta.
Capture The Flag.
Capture The Object.
Capture The Flag.
Capture The Green.
Capture The Arm.
Capture The Flame.
Resposta: B 
Comentário: Uma forma de iniciar o aprendizado em técnicas de hacking é
estudar as plataformas de capture the �ag (CTFs), competições cujos
participantes têm como objetivo descobrir uma �ag utilizando as mais
variadas ferramentas e técnicas de subversão para desvendar o enigma de
desa�os propostos.
Pergunta 4
Resposta Selecionada: d. 
Respostas: a. 
Complete as lacunas com a alternativa correta, quando o assunto é a exploração de
vulnerabilidades: 
Em um ________________, os ____________ exploram as vulnerabilidades, procurando identi�car
e avaliar de que forma os invasores podem obter informações valiosas da empresa após
uma exploração bem-sucedida das falhas. Indique a alternativa que preenche as lacunas de
forma correta.
teste de invasão, pentesters.
teste de invasão, pentest.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 3/7
b. 
c. 
d. 
e. 
Comentário
da
resposta:
pentest, teste de invasão.
pentest, pentesters.
teste de invasão, pentesters.
pentesters, pentest.
Resposta: D 
Comentário: Em um teste de invasão (em oposição a uma avaliação de
vulnerabilidades), os pentesters não só identi�cam vulnerabilidades que
poderiam ser usadas pelos invasores, mas também exploram essas
vulnerabilidades, sempre que possível, para avaliar o que os invasores
poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN,
2014, p. 30).
Pergunta 5
Resposta
Selecionada:
c.
Respostas: a.
b.
c.
d.
e.
Comentário
da
resposta:
Com uma equipe de segurança apta a executar um pentest, é possível prever uma possível
invasão e evitá-la. Para que se obtenha êxito neste processo, após a realização do teste é
necessário:
fornecer recomendações sobre como corrigir as falhas e como evitar
vulnerabilidades futuras.
enviar uma mensagem a todos os usuários informando que a empresa está
segura.
informar as vulnerabilidades por ordem cronologia, pois vulnerabilidades
antigas não são mais exploradas.
fornecer recomendações sobre como corrigir as falhas e como evitar
vulnerabilidades futuras.
alterar todas as senhas dos sistemas e armazenar em um arquivo secreto.
promover a conexão dos aplicativos apenas no início e ao �nal do
expediente, tornando mais fácil monitorar o tráfego na rede.
Resposta: C 
Comentário: Todo o resultado obtido com os testes deve ser reportado em
documento o�cial para que seja válido e as correções sejam implementadas.
Pergunta 6
0,25 em 0,25 pontos
0,25 em 0,25 pontos
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 4/7
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d. 
e.
Comentário da
resposta:
Além de levar muito tempo em sua execução, um pentest muito abrangente, em uma
empresa de pequeno porte, pode trazer que tipo de consequência?
As ações realizadas durante o teste podem inviabilizar o funcionamento da
empresa no instante da aplicação do teste, e o custo da implantação das
correções pode ser muito alto, e não serem colocadas em prática.
A empresa é pequena, não precisa que sejam identi�cadas e exploradas as
vulnerabilidades.
A se dar conta do tamanho do teste e as implicações dele, a empresa
romperá o contrato.
Ao se dar conta do tamanho da empresa a equipe de pro�ssionais optará
por não realizar os testes.
Empresa pequena não é invadida.
As ações realizadas durante o teste podem inviabilizar o funcionamento da
empresa no instante da aplicação do teste, e o custo da implantação das
correções pode ser muito alto, e não serem colocadas em prática.
Resposta: E 
Comentário: É preciso bom senso ao dimensionar um pentest,
conforme as necessidades de cada cliente.
Pergunta 7
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Após a assinatura do contrato de prestação de serviço, é necessária a adoção de uma
sequência para a execução do pentest. Indique qual é a sequência recomendada para a
execução do serviço: pentest:
pre-engagement, information-gathering, threat-modeling, vulnerability
analysis, exploitation, post-exploitation, reporting.
pre-engagement, reporting, information-gathering, threat-modeling,
vulnerability analysis, exploitation, post-exploitation.
pre-engagement, exploitation, information-gathering, threat-modeling,
vulnerability analysis, post-exploitation, reporting.
information-gathering, threat-modeling, vulnerability analysis, exploitation,
post-exploitation, reporting, pre-engagement.
pre-engagement, threat-modeling, vulnerability analysis, exploitation, post-
exploitation, reporting, information-gathering.
0,25 em 0,25 pontos
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIOUNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 5/7
Comentário
da
resposta:
pre-engagement, information-gathering, threat-modeling, vulnerability
analysis, exploitation, post-exploitation, reporting.
Resposta: E 
Comentário: A sequência correta de eventos conforme previsto em Pentest-
standar Org é: pre-engagement, information-gathering, threat-modeling,
vulnerability analysis, exploitation, post-exploitation, reporting.
Pergunta 8
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Comentário
da
resposta:
Ao emitir o relatório para a equipe de gestores, quais itens devem ser levados em
consideração, já que esta equipe pode não ter o conhecimento técnico necessário para o
entendimento dos testes?
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das
recomendações, Mapa estratégico.
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Conclusão.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração
de falhas, Risco/exposição, Conclusão.
Histórico, Postura geral, Coleta de informações, Avaliação de
vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-
exploração de falhas, Risco/exposição, Conclusão.
Conclusão, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Introdução.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das
recomendações, Mapa estratégico.
Resposta: E 
Comentário: O sumário executivo descreve os objetivos do teste e oferece
uma visão geral das descobertas. O público-alvo que se pretende atingir são
os executivos responsáveis pelo programa de segurança.
Pergunta 9
Quando a equipe de pentest termina seu trabalho, um relatório deve ser gerado para a
equipe Técnica de TI. O roteiro para o relatório técnico deve ser:
0,25 em 0,25 pontos
0,25 em 0,25 pontos
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 6/7
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Conclusão.
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Conclusão.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração
de falhas, Risco/exposição.
Histórico, Postura geral, Coleta de informações, Avaliação de
vulnerabilidades.
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidade.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das
recomendações, Mapa estratégico.
Resposta: A 
Comentário: O relatório técnico oferece detalhes técnicos e precisos a
respeito do teste.
Pergunta 10
Resposta
Selecionada:
a. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
Senhas são atualmente o ponto fraco das instituições. Todas as portas de invasão são
corrigidas e patches instalados, porém sempre haverá o fator humano a deixar uma brecha
por causa da senha. Indique uma alternativa para fator usuário:
Utilizar a autenticação em dois níveis.
Utilizar a autenticação em dois níveis.
Utilizar a autenticação autônoma do sistema.
Utilizar a inteligência arti�cial para a autenticação do sistema.
Utilizar a senha padrão do sistema.
Evitar a utilização de senhas.
Resposta: A 
Comentário: As empresas estão despertando para os riscos inerentes à
autenticação baseada em senhas, e ataques por meio de força bruta e
palpites embasados representam riscos sérios às senhas fracas. Muitas
empresas utilizam a biometria (impressões digitais ou scan de retina) ou
uma autenticação de dois fatores para atenuar esses riscos.
OK
0,25 em 0,25 pontos
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 7/7
Quinta-feira, 8 de Setembro de 2022 16h11min34s GMT-03:00 ← OK