Prévia do material em texto
Prova Impressa GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:745552) Peso da Avaliação 3,00 Prova 51546009 Qtd. de Questões 10 Acertos/Erros 9/1 Nota 9,00 Vulnerabilidades são definidas como fraquezas, condições que, quando exploradas, tornam um sistema suscetível a ataques, que podem resultar em alguma violação de segurança. As falhas que ocasionam as vulnerabilidades em um sistema computacional são geralmente não intencionais, e costumam apresentar diversas origens, desde aspectos relacionados a software ou hardware, até falhas de origem humana ou mesmo naturais (MARTINELO; BELLEZI, 2014). Ao organizar os tipos de vulnerabilidades de sistemas computacionais, Ribera (2021) os resume em três formas. Considerando essas definições, classifique V para as sentenças verdadeiras e F para as falsas: ( ) As vulnerabilidades de projeto. ( ) As vulnerabilidades de implementação. ( ) As vulnerabilidades de conexão. ( ) As vulnerabilidades de uso. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014. RIBERA, J. I. M. Analisis de vulnerabilidades web. [s.l.]: OWASP, 2021c. Disponível em: ttps://owasp.org/www-pdf-archive//Analisis_de_vulnerabilidades_web.pdf. Acesso em: 4 maio 2021. A V - F - F - V. B V - F - V - F. C F - V - V - F. D V - V - F - V. O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) consideramos isto através da aplicação de métodos neste sentido. Com base no exposto, assinale a alternativa CORRETA: A Tríade de segurança da informação. B Gerenciamento de riscos. C Risco comercial. D Gestão de Segurança da Informação. VOLTAR A+ Alterar modo de visualização 1 2 g ç ç Ao estudar a literatura especializada, é comum perceber diferentes formas de organizar ou mesmo identificar os tipos de vulnerabilidades de sistemas computacionais. Segundo Mather (2012, p. 3), podemos organizá-las através de alguns tipos. Com base nesses tipos, analise as opções a seguir: I- Projeto. II- Infraestrutura ou rede. III- Aplicativo ou software. IV- Uso. Assinale a alternativa CORRETA: FONTE: MATHER, B. Streamlining application vulnerability management: communication between development and security teams. Denim Group, OWASP Boston Application Security Conference, 2012. Disponível em: https://owasp.org/www-pdf- archive//DenimGroup_Streamlining_Application_Vulnerability_Management.pdf. Acesso em: 26 abr. 2021. A As opções I e IV estão corretas. B Somente a opção I está correta. C As opções II e III estão corretas. D As opções I, II e IV estão corretas. Para Martinelo e Bellezi (2014), podemos organizar as vulnerabilidades de sistemas computacionais nos seguintes tipos: software, hardware, humanas, físicas e naturais. Considerando as definições tanto de software quanto de hardware diante deste contexto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Estão relacionadas a falhas de programação. Este tipo de vulnerabilidade abre brechas no sistema que podem ser exploradas por atacantes. ( ) Estão relacionadas à ocorrência de desastres ocasionadas por fenômenos naturais (como tempestades, por exemplo), que podem vir a comprometer a segurança ou mesmo a disponibilidade dos dados armazenados. ( ) Estão relacionadas à indisponibilidade do sistema, o que pode ocasionar perda de dados. Exemplo deste tipo de vulnerabilidade pode ainda incluir o uso de hardware malicioso, como um keylogger. ( ) Estão relacionadas ao mau uso do sistema ou de alguma função deste por parte do usuário. Neste caso, pode ocorrer o mau funcionamento do sistema ou a perda de informações. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014. A V - F - F - V. B F - V - V - F. 3 4 C V - F - V - F. D V - V - F - V. Os testes de invasão possuem muitos sinônimos como: Pen Testing, PT, Hacking, Hacking Ético, Segurança Ofensiva e Equipe Vermelha. Apesar dessas denominações apresentadas, convencionalmente, adotaremos um termo simplificado: pentest, como forma de indicar um teste de penetração ou teste de invasão. Assim, a discussão sobre os objetivos de execução de um pentest, envolvendo aspectos profissionais e morais, posiciona o executor do teste de algumas formas. Sobre essas formas, analise as opções a seguir: I- White hat (chapéu branco). II- Black hat (chapéu preto). III- Grey hat (chapéu cinza). IV- Blue hat (chapéu azul).Assinale a alternativa CORRETA: A As opções I, II e III estão corretas. B As opções I, III e IV estão corretas. C As opções II e IV estão corretas. D Somente a opção I está correta. Com relação ao cenário nacional, preocupado com o crescimento dos ataques cibernéticos, o governo brasileiro criou a Estratégia Nacional de Segurança Cibernética (E-Ciber). O seu objetivo é evidenciar a importância dada à segurança on-line em conformidade com o cenário internacional (NOGUEIRA, 2020). Brasil (2019) aponta os elementos que motivaram a criação da E-Ciber em território brasileiro, aos quais, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Falta de alinhamento macropolítico e estratégico nas ações de segurança cibernética. ( ) Coletar informações confidenciais dos usuários, visando protegê-los. ( ) Boas iniciativas em segurança cibernética, porém fragmentadas. ( ) Confirmar dados pessoais e financeiros dos usuários, pela utilização combinada de meios técnicos e engenharia social. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: BRASIL. Gabinete de Segurança Institucional. Departamento de Segurança da Informação. Estratégia nacional de segurança cibernética (E-Ciber). 2019. Disponível em: http://dsic.planalto.gov.br/noticias/estrategia-nacional-de-seguranca-cibernetica-e-ciber. Acesso em: 4 maio 2021. NOGUEIRA, L. Governo cria estratégia para enfrentar ataques cibernéticos. 2020. Disponível em: https://olhardigital.com.br/noticia/governo-cria-estrategia-para-enfrentar-ataques-ciberneticos/96407. Acesso em: 4 maio 2021. A V - V - F - V. B F - V - V - V. 5 6 C V - F - V - F. D V - F - F - V. A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação, do inglês PDCA. Visando identificar esta sigla, analise as opções a seguir: I- PLAN. II- DO. III- ALL. IV- CHECK. Assinale a alternativa CORRETA: A Somente a opção III está correta. B As opções III e IV estão corretas. C Somente a opção I está correta. D As opções I, II e IV estão corretas. O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é compatível com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do processo de gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist, classifique V para as opções verdadeiras e F para as falsas: ( ) Estruturação. ( ) Processamento. ( ) Avaliação. ( ) Monitoramento. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - V - V. B F - V - V - F. C V - F - F - F. D V - F - V - V. A varredura em redes de computadores é uma forma importante de garantir a manutenção de serviços e verificar as atividades de hosts em uma grande rede. Para executá-la são usados os chamados programas de varreduras de portas, que podem ser utilizados não só pelos administradores de redes, mas também por pessoas mal-intencionadas que queiram explorar vulnerabilidades da rede. 7 8 9 Com relação às técnicas de varredurabaseadas em portas, assinale a alternativa CORRETA: A White Hat, Black Hat e Grey Hat. B CVE e CWE. C Open Scan, Half-Open, Stealth, Methods, Sweeps e Services. D White Box, Gray Box e Black Box. A varredura em redes de computadores é uma forma importante de garantir a manutenção de serviços e verificar as atividades de hosts (qualquer dispositivo cliente conectado) em uma grande rede. Para executá-la, são usados os chamados programas de varreduras de portas. Com base em como são conhecidos esses programas, analise as opções a seguir: I- Nmap ou Nmap Scan. II- Ping Scan ou Scan. III- Advanced Scan ou Scan. IV- Port Scanners ou Scanners. Assinale a alternativa CORRETA: A As opções III e IV estão corretas. B As opções I e IV estão corretas. C Somente a opção IV está correta. D As opções I, II e IV estão corretas. 10 Imprimir