Baixe o app para aproveitar ainda mais
Prévia do material em texto
08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 1/7 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV PARECERES E TESTES DE INVASÃO 7287-60_54406_R_E1_20222 CONTEÚDO Usuário WAGNER LUIZ CAVALCANTE MARIA Curso PARECERES E TESTES DE INVASÃO Teste QUESTIONÁRIO UNIDADE IV Iniciado 08/09/22 16:08 Enviado 08/09/22 16:11 Status Completada Resultado da tentativa 2,5 em 2,5 pontos Tempo decorrido 3 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente Pergunta 1 Resposta Selecionada: b. Respostas: a. b. c. d. e. Comentário da resposta: Uma maneira de se identi�car vulnerabilidades consiste em “desmontar”, “descompilar” uma aplicação para entender o seu funcionamento. A esse processo damos o nome de: Engenharia reversa. Engenharia de software. Engenharia reversa. Engenharia de sistemas. Engenharia orientada a objeto. Engenharia de segurança. Resposta: B Comentário: A engenharia reversa consiste em entender e alterar o comportamento de binários, fazendo o caminho reverso e descompilando o funcionamento do binário. Pergunta 2 Resposta Selecionada: b. A arte de ocultar informações em arquivos e/ou imagens recebe o nome de: Estenogra�a. UNIP EAD BIBLIOTECAS MURAL DO ALUNO TUTORIAISCONTEÚDOS ACADÊMICOS 0,25 em 0,25 pontos 0,25 em 0,25 pontos http://company.blackboard.com/ https://ava.ead.unip.br/webapps/blackboard/execute/courseMain?course_id=_241054_1 https://ava.ead.unip.br/webapps/blackboard/content/listContent.jsp?course_id=_241054_1&content_id=_2932321_1&mode=reset https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_10_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_27_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_47_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_29_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_25_1 https://ava.ead.unip.br/webapps/login/?action=logout 08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 2/7 Respostas: a. b. c. d. e. Comentário da resposta: Xilogra�a. Estenogra�a. Pirogra�a. Cintilogra�a. Webgra�a. Resposta: B Comentário: Estenogra�a é ocultar informações em imagens ou arquivos; essa técnica é usada para esconder uma mensagem dentro de um arquivo que aparentemente não possui aquela informação. Pergunta 3 Resposta Selecionada: b. Respostas: a. b. c. d. e. Comentário da resposta: O ________________ consiste em um treinamento para a identi�cação de vulnerabilidades. Complete a lacuna com a alternativa correta. Capture The Flag. Capture The Object. Capture The Flag. Capture The Green. Capture The Arm. Capture The Flame. Resposta: B Comentário: Uma forma de iniciar o aprendizado em técnicas de hacking é estudar as plataformas de capture the �ag (CTFs), competições cujos participantes têm como objetivo descobrir uma �ag utilizando as mais variadas ferramentas e técnicas de subversão para desvendar o enigma de desa�os propostos. Pergunta 4 Resposta Selecionada: d. Respostas: a. Complete as lacunas com a alternativa correta, quando o assunto é a exploração de vulnerabilidades: Em um ________________, os ____________ exploram as vulnerabilidades, procurando identi�car e avaliar de que forma os invasores podem obter informações valiosas da empresa após uma exploração bem-sucedida das falhas. Indique a alternativa que preenche as lacunas de forma correta. teste de invasão, pentesters. teste de invasão, pentest. 0,25 em 0,25 pontos 0,25 em 0,25 pontos 08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 3/7 b. c. d. e. Comentário da resposta: pentest, teste de invasão. pentest, pentesters. teste de invasão, pentesters. pentesters, pentest. Resposta: D Comentário: Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identi�cam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30). Pergunta 5 Resposta Selecionada: c. Respostas: a. b. c. d. e. Comentário da resposta: Com uma equipe de segurança apta a executar um pentest, é possível prever uma possível invasão e evitá-la. Para que se obtenha êxito neste processo, após a realização do teste é necessário: fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras. enviar uma mensagem a todos os usuários informando que a empresa está segura. informar as vulnerabilidades por ordem cronologia, pois vulnerabilidades antigas não são mais exploradas. fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras. alterar todas as senhas dos sistemas e armazenar em um arquivo secreto. promover a conexão dos aplicativos apenas no início e ao �nal do expediente, tornando mais fácil monitorar o tráfego na rede. Resposta: C Comentário: Todo o resultado obtido com os testes deve ser reportado em documento o�cial para que seja válido e as correções sejam implementadas. Pergunta 6 0,25 em 0,25 pontos 0,25 em 0,25 pontos 08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 4/7 Resposta Selecionada: e. Respostas: a. b. c. d. e. Comentário da resposta: Além de levar muito tempo em sua execução, um pentest muito abrangente, em uma empresa de pequeno porte, pode trazer que tipo de consequência? As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática. A empresa é pequena, não precisa que sejam identi�cadas e exploradas as vulnerabilidades. A se dar conta do tamanho do teste e as implicações dele, a empresa romperá o contrato. Ao se dar conta do tamanho da empresa a equipe de pro�ssionais optará por não realizar os testes. Empresa pequena não é invadida. As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática. Resposta: E Comentário: É preciso bom senso ao dimensionar um pentest, conforme as necessidades de cada cliente. Pergunta 7 Resposta Selecionada: e. Respostas: a. b. c. d. e. Após a assinatura do contrato de prestação de serviço, é necessária a adoção de uma sequência para a execução do pentest. Indique qual é a sequência recomendada para a execução do serviço: pentest: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. pre-engagement, reporting, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation. pre-engagement, exploitation, information-gathering, threat-modeling, vulnerability analysis, post-exploitation, reporting. information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting, pre-engagement. pre-engagement, threat-modeling, vulnerability analysis, exploitation, post- exploitation, reporting, information-gathering. 0,25 em 0,25 pontos 08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIOUNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 5/7 Comentário da resposta: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Resposta: E Comentário: A sequência correta de eventos conforme previsto em Pentest- standar Org é: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Pergunta 8 Resposta Selecionada: e. Respostas: a. b. c. d. e. Comentário da resposta: Ao emitir o relatório para a equipe de gestores, quais itens devem ser levados em consideração, já que esta equipe pode não ter o conhecimento técnico necessário para o entendimento dos testes? Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição, Conclusão. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós- exploração de falhas, Risco/exposição, Conclusão. Conclusão, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Introdução. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Resposta: E Comentário: O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. Pergunta 9 Quando a equipe de pentest termina seu trabalho, um relatório deve ser gerado para a equipe Técnica de TI. O roteiro para o relatório técnico deve ser: 0,25 em 0,25 pontos 0,25 em 0,25 pontos 08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 6/7 Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidade. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Resposta: A Comentário: O relatório técnico oferece detalhes técnicos e precisos a respeito do teste. Pergunta 10 Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: Senhas são atualmente o ponto fraco das instituições. Todas as portas de invasão são corrigidas e patches instalados, porém sempre haverá o fator humano a deixar uma brecha por causa da senha. Indique uma alternativa para fator usuário: Utilizar a autenticação em dois níveis. Utilizar a autenticação em dois níveis. Utilizar a autenticação autônoma do sistema. Utilizar a inteligência arti�cial para a autenticação do sistema. Utilizar a senha padrão do sistema. Evitar a utilização de senhas. Resposta: A Comentário: As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas, e ataques por meio de força bruta e palpites embasados representam riscos sérios às senhas fracas. Muitas empresas utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para atenuar esses riscos. OK 0,25 em 0,25 pontos 08/09/22, 16:13 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84210911_1&course_id=_241054_1&content_id=_2933069_1&retur… 7/7 Quinta-feira, 8 de Setembro de 2022 16h11min34s GMT-03:00 ← OK
Compartilhar