1 0-Segurança e Auditoria de Sistemas - Atividade 2

Prévia do material em texto

Pergunta 1 
  
1 em 1 pontos 
	  
	  
	  
	Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, em que se podem abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não desejado”: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Ameaça. 
	Resposta Correta: 
	  
Ameaça. 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, que é um evento adverso em um sistema de informação e/ou em uma rede que representa uma ameaça à segurança do computador ou da rede em relação à disponibilidade, integridade e confidencialidade. 
	  
	  
	  
·  Pergunta 2 
  
0 em 1 pontos 
	  
	  
	  
	Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica de levantamento: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Contagem de dados. 
	Resposta Correta: 
	  
Brainstorming. 
  
  
	Feedback da resposta: 
	Sua resposta está errada. A alternativa está incorreta, pois, de acordo com o que foi estudado no livro-texto, as técnicas utilizadas geralmente estão envolvidas com grupos de pessoas, especialistas ou não. Nesse momento, esse grupo aproveita para discutir sobre os itens e chegar a um consentimento. Para compreender melhor quais técnicas são utilizadas, recomenda-se fortemente que você releia o seu material. 
	  
	  
	  
·  Pergunta 3 
  
1 em 1 pontos 
	  
	  
	  
	Avaliação de risco é um termo usado para descrever o processo ou método geral em que você identifica perigos e fatores de risco com potencial para causar danos. Precaver-se de riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se precaver, poderíamos obter os riscos de outras organizações e aplicá-las à nossa realidade.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos que uma organização deve considerar: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Objetivos e estratégias, leis e regras de negócio. 
	Resposta Correta: 
	  
Objetivos e estratégias, leis e regras de negócio. 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, de acordo com o que vimos durante nossos estudos, para se conhecer e levantar bem os riscos de uma organização deve-se considerar pelo menos os três requisitos básicos, que são: estratégia, visão e objetivos; leis/regulamentos; e, por fim, regras de negócio/manipulação de dados. 
	  
	  
	  
·  Pergunta 4 
  
1 em 1 pontos 
	  
	  
	  
	A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente com o seu número. Isso permite que se observem as tendências dos ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o antivírus, tornou tal ataque menos ineficiente.
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015.
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada ano: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos. 
	Resposta Correta: 
	  
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos. 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, apesar de ser um ataque bem antigo, a ameaça por e-mails trouxe uma abordagem nova, na qual se usa todo o poder do PowerShell (comandos de linha de comando para automatizar tarefas e processos dentro de sistemas operacionais). Com isso, os ataques podem gerar mais prejuízos. 
	  
	  
	  
·  Pergunta 5 
  
1 em 1 pontos 
	  
	  
	  
	Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Varreduras de vulnerabilidades, portas, captura de teclado etc. 
	Resposta Correta: 
	  
Varreduras de vulnerabilidades, portas, captura de teclado etc. 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida em que se pode identificar suas vulnerabilidades primeiramente. 
	  
	  
	  
·  Pergunta 6 
  
1 em 1 pontos 
	  
	  
	  
	Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é possível saber o momento que ela acontece.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que melhor descreva essa outra medida: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Repressão. 
	Resposta Correta: 
	  
Repressão. 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização, deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida, pode-se apenas invadir, mas, com ações adequadas, pode-se bloquear o agente causador antes de obter qualquer informação. 
	  
	  
	  
·  Pergunta 7 
  
1 em 1 pontos 
	  
	  
	  
	Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Tolerância, redução e prevenção. 
	Resposta Correta: 
	  
Tolerância, redução e prevenção. 
  
  
	Feedback da resposta:Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que, uma vez identificado o risco, devemos tomar uma contramedida, que, basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). Note que a escolha de qual contramedida tomar está associada ao custo e tempo despendidos para a contramedida. 
	  
	  
	  
·  Pergunta 8 
  
1 em 1 pontos 
	  
	  
	  
	Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente, recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-mails foram considerados desse tipo de ameaça.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Spam. 
	Resposta Correta: 
	  
Spam. 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de seus conteúdos interessantes, as vítimas se sentem atraídas e acabam clicando em algum link e comprando algum produto falso, caindo em golpes bem elaborados. Muitos exemplos disso são de produtos que realizam ações milagrosas, como queda de cabelo etc. 
	  
	  
	  
·  Pergunta 9 
  
1 em 1 pontos 
	  
	  
	  
	Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no
software (desenvolvedor).
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Portas dos fundos ( backdoor). 
	Resposta Correta: 
	  
Portas dos fundos (backdoor). 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois esse ataque é o de portas dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras vezes, esse ataque visa entrar em uma porta (brecha) na qual ninguém está acostumado a entrar. Este tipo de brecha pode ser algum caminho criado pelo desenvolvedor para manutenção do sistema, por exemplo, um usuário administrador e senha 123456. 
	  
	  
	  
·  Pergunta 10 
  
1 em 1 pontos 
	  
	  
	  
	Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Negação de serviço (DoS – Denial of Service). 
	Resposta Correta: 
	  
Negação de serviço (DoS – Denial of Service). 
  
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a negação de serviço visa indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo. Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que, com esse ataque, usam-se milhares de computadores sequestrados. 
	  
	  
	  
  
  
2 
victo 
· Novato(a)
· 
· 
· Usuários
· 2 
· 1 post
Postado November 17, 2020 
·         Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Negação de serviço (DoS – Denial of Service). 
	Resposta Correta: 
	  
Negação de serviço (DoS – Denial of Service). 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a negação de serviço visa indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo. Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que, com esse ataque, usam-se milhares de computadores sequestrados. 
	  
	  
	  
·         Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Tolerância, redução e prevenção. 
	Resposta Correta: 
	  
Tolerância, redução e prevenção. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que, uma vez identificado o risco, devemos tomar uma contramedida, que, basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). Note que a escolha de qual contramedida tomar está associada ao custo e tempo despendidos para a contramedida. 
	  
	  
	  
·         Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Resposta Correta: 
	  
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco. 
	  
	  
	  
·         Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças.KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Propriedade intelectual, dados financeiros e disponibilidade. 
	Resposta Correta: 
	  
Propriedade intelectual, dados financeiros e disponibilidade. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois os principais ativos de uma organização são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos para a definição apropriada de contramedidas. 
	  
	  
	  
·         Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Varreduras de vulnerabilidades, portas, captura de teclado etc. 
	Resposta Correta: 
	  
Varreduras de vulnerabilidades, portas, captura de teclado etc. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida em que se pode identificar suas vulnerabilidades primeiramente. 
	  
	  
	  
·         Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que recebem e-mails oferecendo ofertas encantadoras, produtos com preços abaixo do mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado a uma conta falsa e, sem saber, acaba sendo vítima de um golpe.
Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. 
	Resposta Correta: 
	  
Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, a cada dia que passa, percebemos que os golpes tendem a evoluir, para assim enganar mais gente de forma despercebida. Geralmente, os idosos caem bastante em golpes, pois confiam na palavra e na história contada. Resta-nos sempre alertá-los e termos um pé atrás em relação a qualquer coisa que envolva dinheiro. 
	  
	  
	  
·         Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente, recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-mails foram considerados desse tipo de ameaça.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Spam. 
	Resposta Correta: 
	  
Spam. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de seus conteúdos interessantes, as vítimas se sentem atraídas e acabam clicando em algum link e comprando algum produto falso, caindo em golpes bem elaborados. Muitos exemplos disso são de produtos que realizam ações milagrosas, como queda de cabelo etc. 
	  
	  
	  
·         Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente com o seu número. Isso permite que se observem as tendências dos ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o antivírus, tornou tal ataque menos ineficiente.
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015.
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada ano: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos. 
	Resposta Correta: 
	  
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, apesar de ser um ataque bem antigo, a ameaça por e-mails trouxe uma abordagem nova, na qual se usa todo o poder do PowerShell (comandos de linha de comando para automatizar tarefas e processos dentro de sistemas operacionais). Com isso, os ataques podem gerar mais prejuízos. 
	  
	  
	  
·         Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias apropriadas.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as principais formas de se medir um risco: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Quantitativa e qualitativa. 
	Resposta Correta: 
	  
Quantitativa e qualitativa. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, para se medir um risco, utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise quantitativa, consideram-se números tangíveis, como custos, quantidade de acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. 
	  
	  
	  
·         Pergunta 10 
1 em 1 pontos 
	  
	  
	  
	Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, em que se podem abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não desejado”: 
	  
	  
	  
	
		Resposta Selecionada: 
	  
Ameaça. 
	Resposta Correta: 
	  
Ameaça. 
  
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, que é um evento adverso em um sistema de informação e/ou em uma rede que representa uma ameaça à segurança do computador ou da rede em relação à disponibilidade, integridade e confidencialidade. 
	  
	  
	  
ATIVIDADE 2 (A2) - SEGURANCA E AUDITORIA DE SISTEMAS.pdf
2 
pPirate 
· Membro
· 
· 
· Usuários
· 7 
· 8 posts
Postado November 15, 2021 
		  
Uma organização sem o conhecimento de seusriscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos. 
		Resposta Selecionada: 
	  
Podem-se identificar, priorizar e medir os riscos. 
	Resposta Correta: 
	  
Podem-se identificar, priorizar e medir os riscos. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida. 
  
O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, além de alterar configurações no navegador.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva a definição apresentada: 
		Resposta Selecionada: 
	  
Spyware. 
	Resposta Correta: 
	  
Spyware. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois um spyware tem como objetivo obter informações confidenciais de suas vítimas. Por meio de softwares maliciosos, é possível capturar teclas e até prints da tela. Esse tipo de ataque é bastante usado para a obtenção de senhas e números de cartões de crédito.
  
1 
marcadans 
· Membro
· 
· 
· Usuários
· 9 
· 10 posts
Postado November 15, 2021 
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente, recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-mails foram considerados desse tipo de ameaça.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	
	
	
	
		Resposta Selecionada: 
	  
Spam. 
	Resposta Correta: 
	  
Spam. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de seus conteúdos interessantes, as vítimas se sentem atraídas e acabam clicando em algum link e comprando algum produto falso, caindo em golpes bem elaborados. Muitos exemplos disso são de produtos que realizam ações milagrosas, como queda de cabelo etc. 
	
	
	
  
· Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no
software (desenvolvedor).
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	
	
	
	
		Resposta Selecionada: 
	  
Portas dos fundos ( backdoor). 
	Resposta Correta: 
	  
Portas dos fundos (backdoor). 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois esse ataque é o de portas dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras vezes, esse ataque visa entrar em uma porta (brecha) na qual ninguém está acostumado a entrar. Este tipo de brecha pode ser algum caminho criado pelo desenvolvedor para manutenção do sistema, por exemplo, um usuário administrador e senha 123456. 
	
	
	
  
· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos. 
	
	
	
	
		Resposta Selecionada: 
	  
Podem-se identificar, priorizar e medir os riscos. 
	Resposta Correta: 
	  
Podem-se identificar, priorizar e medir os riscos. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida. 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: 
	
	
	
	
		Resposta Selecionada: 
	  
Tolerância, redução e prevenção. 
	Resposta Correta: 
	  
Tolerância, redução e prevenção. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que, uma vez identificado o risco, devemos tomar uma contramedida, que, basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). Note que a escolha de qual contramedida tomar está associada ao custo e tempo despendidos para a contramedida. 
	
	
	
  
· Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente com o seu número. Isso permite que se observem as tendências dos ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o antivírus, tornou tal ataque menos ineficiente.
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015.
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada ano: 
	
	
	
	
		Resposta Selecionada: 
	  
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos. 
	Resposta Correta: 
	  
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, apesar de ser um ataque bem antigo, a ameaça por e-mails trouxe uma abordagem nova, na qual se usa todo o poder do PowerShell (comandos de linha de comando para automatizar tarefas e processos dentro de sistemas operacionais). Com isso, os ataques podem gerar mais prejuízos. 
	
	
	
  
· Pergunta 6 
1 em 1 pontosNem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias apropriadas.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as principais formas de se medir um risco: 
	
	
	
	
		Resposta Selecionada: 
	  
Quantitativa e qualitativa. 
	Resposta Correta: 
	  
Quantitativa e qualitativa. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, para se medir um risco, utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise quantitativa, consideram-se números tangíveis, como custos, quantidade de acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. 
	
	
	
  
· Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	Há também um tipo de ataque de que visa obter informações sobre uma determinada organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que represente tal conceito: 
	
	
	
	
		Resposta Selecionada: 
	  
Engenharia social. 
	Resposta Correta: 
	  
Engenharia social. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois a engenharia social é, sem dúvida, um meio de ataque muito poderoso. Ele visa obter informações de pessoas novatas ou que não conhecem a importância da informação. Por meio dela, dados sigilosos/importantes podem ser obtidos com uma boa conversa e um sorriso no rosto. 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	Avaliação de risco é um termo usado para descrever o processo ou método geral em que você identifica perigos e fatores de risco com potencial para causar danos. Precaver-se de riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se precaver, poderíamos obter os riscos de outras organizações e aplicá-las à nossa realidade.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos que uma organização deve considerar: 
	
	
	
	
		Resposta Selecionada: 
	  
Objetivos e estratégias, leis e regras de negócio. 
	Resposta Correta: 
	  
Objetivos e estratégias, leis e regras de negócio. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, de acordo com o que vimos durante nossos estudos, para se conhecer e levantar bem os riscos de uma organização deve-se considerar pelo menos os três requisitos básicos, que são: estratégia, visão e objetivos; leis/regulamentos; e, por fim, regras de negócio/manipulação de dados. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é possível saber o momento que ela acontece.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que melhor descreva essa outra medida: 
	
	
	
	
		Resposta Selecionada: 
	  
Repressão. 
	Resposta Correta: 
	  
Repressão. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização, deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida, pode-se apenas invadir, mas, com ações adequadas, pode-se bloquear o agente causador antes de obter qualquer informação. 
	
	
	
  
· Pergunta 10 
1 em 1 pontos 
	  
	  
	  
	Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco: 
	
	
	
	
		Resposta Selecionada: 
	  
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Resposta Correta: 
	  
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco. 
	
	
	
1 
marcadans 
· Membro
· 
· 
· Usuários
· 9 
· 10 posts
Postado November 15, 2021 
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Uma auditoria de TI pode ser definida como qualquer auditoria que englobe a revisão e avaliação de sistemas automatizados de processamento de informações, processos não automatizados relacionados e as interfaces entre eles. As auditorias são sempre resultado de alguma preocupação com o gerenciamento de ativos. A parte envolvida pode ser uma agência reguladora, um proprietário de ativos ou qualquer parte interessada na operação do ambiente de sistemas.
Qual configuração de auditoria controla os logs locais
em um computador? 
	
	
	
	
		Resposta Selecionada: 
	  
Eventos de logon 
	Resposta Correta: 
	  
Eventos de logon 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois a política de eventos de logon define a auditoria de todos os eventos gerados em um computador, usados para validar as tentativas do usuário de efetuar logon ou logoff de outro computador. Para contas de usuário local (logins locais), esses eventos são gerados e armazenados no computador local quando um usuário local é autenticado nesse computador. 
	
	
	
  
· Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do invasor.
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a seguir e assinale a alternativa correta:
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um invasor pode tentar obter acesso não autorizado ao dispositivo
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações confidenciais
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional.
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos suscetíveis a invasores. 
	
	
	
	
		Resposta Selecionada: 
	  
I e II apenas. 
	Resposta Correta: 
	  
Ie II apenas. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois os dispositivos de IoT estão conectados a internet e, como foi visto durante os estudos, qualquer “coisa” conectada a internet é suscetível a invasores. Estes dispositivos se comunicam com um servidor ou broker por meio de conexão wireless (sem fio) ou conexão cabeada. De um modo ou de outro, o atacante pode controlar o dispositivo e, até mesmo, apossar-se das informações confidenciais que, por ventura, este dispositivo (ou conjunto deles) está a produzir. 
	
	
	
  
· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	O controle de acesso é um método para garantir que os usuários sejam quem eles dizem ser e que tenham acesso adequado aos dados da empresa. Existem diversos tipos de dispositivos de autenticação que contribuem para o controle de acesso, um destes dispositivos consistem de um leitor / scanner e software que criptografa e converte as informações digitalizadas em formato digital para que possam ser comparadas com registros anteriores.
Assinale a alternativa que evidencia qual é o dispositivo citado?
  
	
	
	
	
		Resposta Selecionada: 
	  
Biométrico 
	Resposta Correta: 
	  
Biométrico 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois Biometria é a medição e análise estatística das características físicas e comportamentais únicas das pessoas. A tecnologia é usada principalmente para identificação e controle de acesso ou para identificar indivíduos que estão sob vigilância. A premissa básica da autenticação biométrica é que cada pessoa pode ser identificada com precisão por seus traços físicos ou comportamentais intrínsecos. 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Uma empresa possui um sensor IoT que envia dados para um servidor físico que está em uma nuvem privada. Criminosos acessam o servidor de banco de dados e criptografam os arquivos e dados pessoais da empresa, inclusive os dados enviados pelo sensor. O usuário não pode acessar esses dados, a menos que pague aos criminosos para descriptografar os arquivos.
Assinale a alternativa que denomina qual é essa prática: 
	
	
	
	
		Resposta Selecionada: 
	  
Ransomware 
	Resposta Correta: 
	  
Ransomware 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois a ideia por trás do ransomware, uma forma de software malicioso, é simples: bloqueie e criptografe os dados do computador ou do dispositivo da vítima e, em seguida, exija um resgate para restaurar o acesso. Em muitos casos, a vítima deve pagar ao cibercriminoso dentro de um determinado período de tempo ou correr o risco de perder o acesso para sempre. 
	
	
	
  
· Pergunta 5 
0 em 1 pontos 
	  
	  
	  
	Às vezes, as linhas entre a computação local e a computação em nuvem se confundem. Isso ocorre porque a nuvem faz parte de quase tudo em nossos computadores atualmente. Você pode facilmente ter um software local que utiliza uma forma de computação em nuvem para armazenamento.
 
Qual é o benefício da disponibilidade de armazenamento na nuvem?
  
	
	
	
	
		Resposta Selecionada: 
	  
O armazenamento na nuvem tem uma disponibilidade mais alta do que os dispositivos de armazenamento na rede local 
	Resposta Correta: 
	  
O armazenamento adicional não requer orçamento para novos dispositivos de armazenamento maiores. 
	Comentário da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois a disponibilidade de dados, seja em ambiente local ou em nuvem é o mesmo. Porém, em relação ao tempo de acesso, espera-se que armazenar os dados na nuvem leve mais tempo do que armazenar localmente, uma vez que a latência de rede pode prejudicar o envio ou recebimento de dados entre o ambiente local e a nuvem. 
	
	
	
  
· Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	Nos termos mais simples, computação em nuvem significa armazenar e acessar dados e programas pela Internet, em vez do disco rígido do computador. A nuvem é apenas uma metáfora da Internet. Algumas empresas podem relutar em hospedar dados confidenciais em um serviço que também é usado por concorrentes. Mudar para um aplicativo SaaS (Software como Serviço) também pode significar que você está usando os mesmos aplicativos que um concorrente, o que pode dificultar a criação de qualquer vantagem competitiva se esse aplicativo for essencial para os seus negócios.
 
Qual dos seguintes riscos é realmente aumentado por tecnologias de segurança específicas da nuvem?
  
	
	
	
	
		Resposta Selecionada: 
	  
Ataque de superfície 
	Resposta Correta: 
	  
Ataque de superfície 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois um ataque de superfície é a soma total de vulnerabilidades que podem ser exploradas para realizar um ataque de segurança. Os ataques de superfície podem ser físicos ou digitais. Para manter a rede segura, os administradores de rede devem procurar proativamente maneiras de reduzir o número e o tamanho dos ataques de superfície. 
	
	
	
  
· Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser "alugado" por outras empresas.
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como Serviço)?
  
	
	
	
	
		Resposta Selecionada: 
	  
Transferência do custo de propriedade 
	Resposta Correta: 
	  
Transferência do custo de propriedade 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois os benefícios da computação em nuvem incluem economia de custos (os departamentos de TI não precisam investir em servidores, armazenamento, instalações licenças etc.). No entanto, as organizações também devem levar em consideração os benefícios de ter uma equipe de TI que possa reagir de maneira mais rápida e eficaz a mudanças e oportunidades de negócios. Logo, todos estes custos são transferidos para o fornecedor do serviço. 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	Para que seja considerada "computação em nuvem", você precisa acessar seus dados ou programas pela Internet, ou pelo menos ter esses dados sincronizados com outras informações na Web. No entanto, ainda existem preocupações com a segurança, especialmente para as empresas que movem seus dados entre muitos serviços em nuvem, o que levou ao crescimento de ferramentas de segurança em nuvem.
 
Como é possível obter a confidencialidade destes dados e informações na nuvem? 
	
	
	
	
		Resposta Selecionada: 
	  
Ao restringir o acesso à informação 
	Resposta Correta: 
	  
Ao restringir o acesso à informação 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois dados restritos são quaisquer informações confidenciais ou pessoais protegidas por lei ou política e que exigem o mais alto nível de controle de acesso e proteção de segurança, seja no armazenamento ou em trânsito. Restringindo o acesso aos dados podemos garantir a confidencialidade. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Vulnerabilidades na nuvem podem ser definidas como brechas na arquitetura de segurança da mesma, que podem ser exploradas por um adversário por meio de técnicas sofisticadas para obter acesso à rede e outros recursos de infraestrutura.
 
Em qual tipo de ataque, que tenta inundar a vítima enviando solicitações de hosts inocentes degradando a rede?
  
	
	
	
	
		Resposta Selecionada: 
	  
Zumbis 
	Resposta Correta: 
	  
Zumbis 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois um grupo de usuários mal-intencionados ou ilegítimos podem atacar o sistema, o que pode levar à negação dos serviços de usuários legítimos. Esses tipos de ataques são realizados pelosatacantes maliciosos (zumbis). O ataque de zumbis irá degradar o desempenho da rede em grande extensão. As técnicas tradicionais não são facilmente capazes de detectar o invasor zumbi na rede em nuvem. 
	
	
	
  
· Pergunta 10 
1 em 1 pontos 
	  
	  
	  
	Os serviços de computação em nuvem abrangem uma vasta gama de opções, desde o básico de armazenamento, rede e poder de processamento até processamento de linguagem natural e inteligência artificial, além de aplicativos padrões de escritório. Devido ao grande número de opções, cresce a preocupação com a segurança.
 
Dentre as afirmações a seguir, marque a correta: 
	
	
	
	
		Resposta Selecionada: 
	  
Diferentes tipos de modelos de serviço de computação em nuvem fornecem diferentes níveis de serviços de segurança 
	Resposta Correta: 
	  
Diferentes tipos de modelos de serviço de computação em nuvem fornecem diferentes níveis de serviços de segurança 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois cada tipo de serviço de computação em nuvem fornece diferentes níveis de serviço de segurança, por exemplo, você obtém a menor quantidade de segurança integrada com um provedor de Infraestrutura como serviço e o máximo com um provedor de software como serviço.