Baixe o app para aproveitar ainda mais
Prévia do material em texto
Revisar envio do teste: QUESTIONÁRIO UNIDADE IV PARECERES E TESTES DE INVASÃO 7287-60_54406_R_E1_20222 CONTEÚDO Usuário jade.costa1 @aluno.unip.br Curso PARECERES E TESTES DE INVASÃO Teste QUESTIONÁRIO UNIDADE IV Iniciado 12/09/22 13:37 Enviado 12/09/22 13:40 Status Completada Resultado da tentativa 2,5 em 2,5 pontos Tempo decorrido 2 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente Pergunta 1 Resposta Selecionada: b. Respostas: a. b. c. d. e. Comentário da resposta: Uma maneira de se identi�car vulnerabilidades consiste em “desmontar”, “descompilar” uma aplicação para entender o seu funcionamento. A esse processo damos o nome de: Engenharia reversa. Engenharia de software. Engenharia reversa. Engenharia de sistemas. Engenharia orientada a objeto. Engenharia de segurança. Resposta: B Comentário: A engenharia reversa consiste em entender e alterar o comportamento de binários, fazendo o caminho reverso e descompilando o funcionamento do binário. Pergunta 2 Resposta Selecionada: b. A arte de ocultar informações em arquivos e/ou imagens recebe o nome de: Estenogra�a. UNIP EAD BIBLIOTECAS MURAL DO ALUNO TUTORIAISCONTEÚDOS ACADÊMICOS 0,25 em 0,25 pontos 0,25 em 0,25 pontos http://company.blackboard.com/ https://ava.ead.unip.br/webapps/blackboard/execute/courseMain?course_id=_241054_1 https://ava.ead.unip.br/webapps/blackboard/content/listContent.jsp?course_id=_241054_1&content_id=_2932321_1&mode=reset https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_10_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_27_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_47_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_29_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_25_1 https://ava.ead.unip.br/webapps/login/?action=logout Respostas: a. b. c. d. e. Comentário da resposta: Xilogra�a. Estenogra�a. Pirogra�a. Cintilogra�a. Webgra�a. Resposta: B Comentário: Estenogra�a é ocultar informações em imagens ou arquivos; essa técnica é usada para esconder uma mensagem dentro de um arquivo que aparentemente não possui aquela informação. Pergunta 3 Resposta Selecionada: b. Respostas: a. b. c. d. e. Comentário da resposta: O ________________ consiste em um treinamento para a identi�cação de vulnerabilidades. Complete a lacuna com a alternativa correta. Capture The Flag. Capture The Object. Capture The Flag. Capture The Green. Capture The Arm. Capture The Flame. Resposta: B Comentário: Uma forma de iniciar o aprendizado em técnicas de hacking é estudar as plataformas de capture the �ag (CTFs), competições cujos participantes têm como objetivo descobrir uma �ag utilizando as mais variadas ferramentas e técnicas de subversão para desvendar o enigma de desa�os propostos. Pergunta 4 Resposta Selecionada: d. Respostas: a. Complete as lacunas com a alternativa correta, quando o assunto é a exploração de vulnerabilidades: Em um ________________, os ____________ exploram as vulnerabilidades, procurando identi�car e avaliar de que forma os invasores podem obter informações valiosas da empresa após uma exploração bem-sucedida das falhas. Indique a alternativa que preenche as lacunas de forma correta. teste de invasão, pentesters. teste de invasão, pentest. 0,25 em 0,25 pontos 0,25 em 0,25 pontos b. c. d. e. Comentário da resposta: pentest, teste de invasão. pentest, pentesters. teste de invasão, pentesters. pentesters, pentest. Resposta: D Comentário: Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identi�cam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30). Pergunta 5 Resposta Selecionada: c. Respostas: a. b. c. d. e. Comentário da resposta: Com uma equipe de segurança apta a executar um pentest, é possível prever uma possível invasão e evitá-la. Para que se obtenha êxito neste processo, após a realização do teste é necessário: fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras. enviar uma mensagem a todos os usuários informando que a empresa está segura. informar as vulnerabilidades por ordem cronologia, pois vulnerabilidades antigas não são mais exploradas. fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras. alterar todas as senhas dos sistemas e armazenar em um arquivo secreto. promover a conexão dos aplicativos apenas no início e ao �nal do expediente, tornando mais fácil monitorar o tráfego na rede. Resposta: C Comentário: Todo o resultado obtido com os testes deve ser reportado em documento o�cial para que seja válido e as correções sejam implementadas. Pergunta 6 0,25 em 0,25 pontos 0,25 em 0,25 pontos Resposta Selecionada: e. Respostas: a. b. c. d. e. Comentário da resposta: Além de levar muito tempo em sua execução, um pentest muito abrangente, em uma empresa de pequeno porte, pode trazer que tipo de consequência? As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática. A empresa é pequena, não precisa que sejam identi�cadas e exploradas as vulnerabilidades. A se dar conta do tamanho do teste e as implicações dele, a empresa romperá o contrato. Ao se dar conta do tamanho da empresa a equipe de pro�ssionais optará por não realizar os testes. Empresa pequena não é invadida. As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática. Resposta: E Comentário: É preciso bom senso ao dimensionar um pentest, conforme as necessidades de cada cliente. Pergunta 7 Resposta Selecionada: e. Respostas: a. b. c. d. e. Após a assinatura do contrato de prestação de serviço, é necessária a adoção de uma sequência para a execução do pentest. Indique qual é a sequência recomendada para a execução do serviço: pentest: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. pre-engagement, reporting, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation. pre-engagement, exploitation, information-gathering, threat-modeling, vulnerability analysis, post-exploitation, reporting. information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting, pre-engagement. pre-engagement, threat-modeling, vulnerability analysis, exploitation, post- exploitation, reporting, information-gathering. 0,25 em 0,25 pontos Comentário da resposta: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Resposta: E Comentário: A sequência correta de eventos conforme previsto em Pentest- standar Org é: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Pergunta 8 Resposta Selecionada: e. Respostas: a. b. c. d. e. Comentário da resposta: Ao emitir o relatório para a equipe de gestores, quais itens devem ser levados em consideração, já que esta equipe pode não ter o conhecimento técnico necessário para o entendimento dos testes? Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades,Pós-exploração de falhas, Risco/exposição, Conclusão. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição, Conclusão. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós- exploração de falhas, Risco/exposição, Conclusão. Conclusão, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Introdução. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Resposta: E Comentário: O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. Pergunta 9 Quando a equipe de pentest termina seu trabalho, um relatório deve ser gerado para a equipe Técnica de TI. O roteiro para o relatório técnico deve ser: 0,25 em 0,25 pontos 0,25 em 0,25 pontos Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidade. Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Resposta: A Comentário: O relatório técnico oferece detalhes técnicos e precisos a respeito do teste. Pergunta 10 Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: Senhas são atualmente o ponto fraco das instituições. Todas as portas de invasão são corrigidas e patches instalados, porém sempre haverá o fator humano a deixar uma brecha por causa da senha. Indique uma alternativa para fator usuário: Utilizar a autenticação em dois níveis. Utilizar a autenticação em dois níveis. Utilizar a autenticação autônoma do sistema. Utilizar a inteligência arti�cial para a autenticação do sistema. Utilizar a senha padrão do sistema. Evitar a utilização de senhas. Resposta: A Comentário: As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas, e ataques por meio de força bruta e palpites embasados representam riscos sérios às senhas fracas. Muitas empresas utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para atenuar esses riscos. OK 0,25 em 0,25 pontos Segunda-feira, 12 de Setembro de 2022 13h40min11s GMT-03:00 ← OK
Compartilhar