Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prova Impressa GABARITO | Avaliação Final (Discursiva) - Individual (Cod.:745551) Peso da Avaliação 4,00 Prova 51547573 Qtd. de Questões 2 Nota 10,00 O processo de classificação de vulnerabilidade representa um desafio, uma vez que não se pode ainda afirmar que existe uma única forma correta para se realizar esta tarefa. Temos atualmente várias organizações de pesquisa que vêm trabalhando e mantendo padrões para enumerar e classificar vulnerabilidades (GODINHO, 2016; MALERBA, 2010). Alguns são os fatores que justificam a busca por uma padronização nesta classificação. Disserte sobre esses fatores. FONTE: GODINHO, P. X. M. Preventive vulnerability scanner: sistema de detecção de vulnerabilidade em aplicações instaladas em sistemas Windows. 2016. 85 f. (Dissertação) - Escola Superior de Tecnologia e Gestão, Instituto Politécnico de Beja. Portugal: 2016. Disponível em: https://repositorio.ipbeja.pt/bitstream/20.500.12207/4718/1/Pedro%20Godinho.pdf. Acesso em: 4 maio 2021. MALERBA, C. Vulnerabilidades e exploits: técnicas, detecção e prevenção. jun. 2010. 68 f. (Monografia) Instituto de Informática, Universidade Federal do Rio Grande do Sul. Porto Alegre: 2010. Disponível em: https://www.lume.ufrgs.br/bitstream/handle/10183/26337/000757768.pdf? sequence=1&isAllowed=y. Acesso em: 4 maio 2021. Resposta esperada - O entendimento das ameaças que elas representam. - Correlacionamento de incidentes, de exploits e de artefatos. - Avaliação da efetividade das ações de defesa. - Descoberta de tendências de vulnerabilidades. Minha resposta Os 4 fatores mencionados para justificar a busca por uma padronização de classificação: • O entendimento das ameaças que elas representam; • Correlacionamento de incidentes, de exploits e de artefatos; • Avaliação da efetividade das ações de defesa; • Descoberta de tendências de vulnerabilidades. Também são interligados a vários fatores de negócios que buscam uma métrica de ambiente objetivando a mensuração de gravidade e impacto em uma infraestrutura para que auxiliem nas decisões de correções a serem tomadas pelas empresa, até mesmo de priorização das correções. Por exemplo, a nota indicativa de risco CVSS, hoje é uma nota globalmente utilizada para mensurar o nível de risco de um ambiente, muitas empresas utilizam-na como embasamento para indicar o risco do ambiente e justificar investimentos em segurança para correções de vulnerabilidades e como consequência a melhoria desta nota, isso estar relacionado há pensamentos arcaicos de que muitas vezes algumas empresas optam por estarem "funcionando" do que estarem "funcionando e seguros", e esse tipo de pensamento que gerou para muitas empresas a consequência de serem atacadas por hackers devido ao pouco ou nenhum investimento em segurança. Com isso, as métricas geradas a partir de classificação de um ambiente tem sido um fator de negocio crucial para auxiliar nas verificações de compliance que as empresas precisam ter, por exemplo, a plataforma Security Scorecard é utilizada por muitas empresas, investidores, sócios e até bolsas de valores para avalia as posturas de segurança cibernética de entidades corporativas por meio da conclusão de análises pontuadas de sinais de inteligência de ameaças cibernéticas para fins de gerenciamento de terceiros e gerenciamento de VOLTAR A+ Alterar modo de visualização 1 riscos de TI, portanto, as cobranças e verificações de segurança se torna mais transparentes, eficaz e seguros. As técnicas de varredura são formas utilizadas no contexto da segurança de redes que objetivam garantir o funcionamento confiável de dispositivos e serviços pertencentes a essa rede. Além disso, a varredura em redes de computadores é uma forma importante de garantir a manutenção de serviços e verificar as atividades de hosts (qualquer dispositivo cliente conectado) em uma grande rede. Disserte sobre a varredura em redes. Resposta esperada *Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, *por exemplo, serviços disponibilizados e programas instalados. *Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. Minha resposta As varreduras em redes são importantes alicerce para que as empresas possam cotidianamente avaliar seus riscos e criar planos de ação para corrigi-los de maneira dinâmica, com isso, possam diminuir os vetores de ataque que um atacante utilizaria para adentrar ao seu ambiente e realizar ações que possam prejudicar financeiramente e socialmente a reputação daquela empresa. As realização de scans em todo ambiente é essencial para a equipe responsável possa mapear todos as vulnerabilidades do ambiente, priorizar as correções destas correlacionando os impactos e tomando as melhores e mais seguras decisões para o ambiente. 2 Imprimir
Compartilhar