QUESTIONÁRIO UNIDADE IV PARECERES E TESTES DE INVASÃO

Prévia do material em texto

Revisar envio do teste: QUESTIONÁRIO UNIDADE IV
PARECERES E TESTES DE INVASÃO 7287-60_54406_R_E1_20222 CONTEÚDO
Usuário jade.costa1 @aluno.unip.br
Curso PARECERES E TESTES DE INVASÃO
Teste QUESTIONÁRIO UNIDADE IV
Iniciado 12/09/22 13:37
Enviado 12/09/22 13:40
Status Completada
Resultado da
tentativa
2,5 em 2,5 pontos  
Tempo decorrido 2 minutos
Resultados
exibidos
Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas
respondidas incorretamente
Pergunta 1
Resposta Selecionada: b. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
Uma maneira de se identi�car vulnerabilidades consiste em “desmontar”, “descompilar”
uma aplicação para entender o seu funcionamento. A esse processo damos o nome de:
Engenharia reversa.
Engenharia de software.
Engenharia reversa.
Engenharia de sistemas.
Engenharia orientada a objeto.
Engenharia de segurança.
Resposta: B 
Comentário: A engenharia reversa consiste em entender e alterar o
comportamento de binários, fazendo o caminho reverso e descompilando o
funcionamento do binário.
Pergunta 2
Resposta Selecionada: b. 
A arte de ocultar informações em arquivos e/ou imagens recebe o nome de:
Estenogra�a.
UNIP EAD BIBLIOTECAS MURAL DO ALUNO TUTORIAISCONTEÚDOS ACADÊMICOS
0,25 em 0,25 pontos
0,25 em 0,25 pontos
http://company.blackboard.com/
https://ava.ead.unip.br/webapps/blackboard/execute/courseMain?course_id=_241054_1
https://ava.ead.unip.br/webapps/blackboard/content/listContent.jsp?course_id=_241054_1&content_id=_2932321_1&mode=reset
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_10_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_27_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_47_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_29_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_25_1
https://ava.ead.unip.br/webapps/login/?action=logout
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
Xilogra�a.
Estenogra�a.
Pirogra�a.
Cintilogra�a.
Webgra�a.
Resposta: B 
Comentário: Estenogra�a é ocultar informações em imagens ou arquivos;
essa técnica é usada para esconder uma mensagem dentro de um arquivo
que aparentemente não possui aquela informação.
Pergunta 3
Resposta Selecionada: b. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
O ________________ consiste em um treinamento para a identi�cação de vulnerabilidades.
Complete a lacuna com a alternativa correta.
Capture The Flag.
Capture The Object.
Capture The Flag.
Capture The Green.
Capture The Arm.
Capture The Flame.
Resposta: B 
Comentário: Uma forma de iniciar o aprendizado em técnicas de hacking é
estudar as plataformas de capture the �ag (CTFs), competições cujos
participantes têm como objetivo descobrir uma �ag utilizando as mais
variadas ferramentas e técnicas de subversão para desvendar o enigma de
desa�os propostos.
Pergunta 4
Resposta Selecionada: d. 
Respostas: a. 
Complete as lacunas com a alternativa correta, quando o assunto é a exploração de
vulnerabilidades: 
Em um ________________, os ____________ exploram as vulnerabilidades, procurando identi�car
e avaliar de que forma os invasores podem obter informações valiosas da empresa após
uma exploração bem-sucedida das falhas. Indique a alternativa que preenche as lacunas de
forma correta.
teste de invasão, pentesters.
teste de invasão, pentest.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
b. 
c. 
d. 
e. 
Comentário
da
resposta:
pentest, teste de invasão.
pentest, pentesters.
teste de invasão, pentesters.
pentesters, pentest.
Resposta: D 
Comentário: Em um teste de invasão (em oposição a uma avaliação de
vulnerabilidades), os pentesters não só identi�cam vulnerabilidades que
poderiam ser usadas pelos invasores, mas também exploram essas
vulnerabilidades, sempre que possível, para avaliar o que os invasores
poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN,
2014, p. 30).
Pergunta 5
Resposta
Selecionada:
c.
Respostas: a.
b.
c.
d.
e.
Comentário
da
resposta:
Com uma equipe de segurança apta a executar um pentest, é possível prever uma possível
invasão e evitá-la. Para que se obtenha êxito neste processo, após a realização do teste é
necessário:
fornecer recomendações sobre como corrigir as falhas e como evitar
vulnerabilidades futuras.
enviar uma mensagem a todos os usuários informando que a empresa está
segura.
informar as vulnerabilidades por ordem cronologia, pois vulnerabilidades
antigas não são mais exploradas.
fornecer recomendações sobre como corrigir as falhas e como evitar
vulnerabilidades futuras.
alterar todas as senhas dos sistemas e armazenar em um arquivo secreto.
promover a conexão dos aplicativos apenas no início e ao �nal do
expediente, tornando mais fácil monitorar o tráfego na rede.
Resposta: C 
Comentário: Todo o resultado obtido com os testes deve ser reportado em
documento o�cial para que seja válido e as correções sejam implementadas.
Pergunta 6
0,25 em 0,25 pontos
0,25 em 0,25 pontos
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d. 
e.
Comentário da
resposta:
Além de levar muito tempo em sua execução, um pentest muito abrangente, em uma
empresa de pequeno porte, pode trazer que tipo de consequência?
As ações realizadas durante o teste podem inviabilizar o funcionamento da
empresa no instante da aplicação do teste, e o custo da implantação das
correções pode ser muito alto, e não serem colocadas em prática.
A empresa é pequena, não precisa que sejam identi�cadas e exploradas as
vulnerabilidades.
A se dar conta do tamanho do teste e as implicações dele, a empresa
romperá o contrato.
Ao se dar conta do tamanho da empresa a equipe de pro�ssionais optará
por não realizar os testes.
Empresa pequena não é invadida.
As ações realizadas durante o teste podem inviabilizar o funcionamento da
empresa no instante da aplicação do teste, e o custo da implantação das
correções pode ser muito alto, e não serem colocadas em prática.
Resposta: E 
Comentário: É preciso bom senso ao dimensionar um pentest,
conforme as necessidades de cada cliente.
Pergunta 7
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Após a assinatura do contrato de prestação de serviço, é necessária a adoção de uma
sequência para a execução do pentest. Indique qual é a sequência recomendada para a
execução do serviço: pentest:
pre-engagement, information-gathering, threat-modeling, vulnerability
analysis, exploitation, post-exploitation, reporting.
pre-engagement, reporting, information-gathering, threat-modeling,
vulnerability analysis, exploitation, post-exploitation.
pre-engagement, exploitation, information-gathering, threat-modeling,
vulnerability analysis, post-exploitation, reporting.
information-gathering, threat-modeling, vulnerability analysis, exploitation,
post-exploitation, reporting, pre-engagement.
pre-engagement, threat-modeling, vulnerability analysis, exploitation, post-
exploitation, reporting, information-gathering.
0,25 em 0,25 pontos
Comentário
da
resposta:
pre-engagement, information-gathering, threat-modeling, vulnerability
analysis, exploitation, post-exploitation, reporting.
Resposta: E 
Comentário: A sequência correta de eventos conforme previsto em Pentest-
standar Org é: pre-engagement, information-gathering, threat-modeling,
vulnerability analysis, exploitation, post-exploitation, reporting.
Pergunta 8
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Comentário
da
resposta:
Ao emitir o relatório para a equipe de gestores, quais itens devem ser levados em
consideração, já que esta equipe pode não ter o conhecimento técnico necessário para o
entendimento dos testes?
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das
recomendações, Mapa estratégico.
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades,Pós-exploração de
falhas, Risco/exposição, Conclusão.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração
de falhas, Risco/exposição, Conclusão.
Histórico, Postura geral, Coleta de informações, Avaliação de
vulnerabilidades, Exploração de falhas/veri�cação de vulnerabilidades, Pós-
exploração de falhas, Risco/exposição, Conclusão.
Conclusão, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Introdução.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das
recomendações, Mapa estratégico.
Resposta: E 
Comentário: O sumário executivo descreve os objetivos do teste e oferece
uma visão geral das descobertas. O público-alvo que se pretende atingir são
os executivos responsáveis pelo programa de segurança.
Pergunta 9
Quando a equipe de pentest termina seu trabalho, um relatório deve ser gerado para a
equipe Técnica de TI. O roteiro para o relatório técnico deve ser:
0,25 em 0,25 pontos
0,25 em 0,25 pontos
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Conclusão.
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidades, Pós-exploração de
falhas, Risco/exposição, Conclusão.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Pós-exploração
de falhas, Risco/exposição.
Histórico, Postura geral, Coleta de informações, Avaliação de
vulnerabilidades.
Introdução, Coleta de informações, Avaliação de vulnerabilidades,
Exploração de falhas/veri�cação de vulnerabilidade.
Histórico, Postura geral, Per�l do risco, Descobertas gerais, Resumo das
recomendações, Mapa estratégico.
Resposta: A 
Comentário: O relatório técnico oferece detalhes técnicos e precisos a
respeito do teste.
Pergunta 10
Resposta
Selecionada:
a. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário
da
resposta:
Senhas são atualmente o ponto fraco das instituições. Todas as portas de invasão são
corrigidas e patches instalados, porém sempre haverá o fator humano a deixar uma brecha
por causa da senha. Indique uma alternativa para fator usuário:
Utilizar a autenticação em dois níveis.
Utilizar a autenticação em dois níveis.
Utilizar a autenticação autônoma do sistema.
Utilizar a inteligência arti�cial para a autenticação do sistema.
Utilizar a senha padrão do sistema.
Evitar a utilização de senhas.
Resposta: A 
Comentário: As empresas estão despertando para os riscos inerentes à
autenticação baseada em senhas, e ataques por meio de força bruta e
palpites embasados representam riscos sérios às senhas fracas. Muitas
empresas utilizam a biometria (impressões digitais ou scan de retina) ou
uma autenticação de dois fatores para atenuar esses riscos.
OK
0,25 em 0,25 pontos
Segunda-feira, 12 de Setembro de 2022 13h40min11s GMT-03:00 ← OK