Segurança e Auditoria de Sistemas - Atividade 4

Prévia do material em texto

AUDITORIA DE SISTEMAS 
Criado por fabiola, June 19, 2020
7 posts neste tópico
· 
· Anterior
· 1
· 2
· Página 2 de 2   
Parte superior do formulário
pPirate 
· Membro
· 
· 
· Usuários
· 7 
· 8 posts
Postado November 25, 2021 
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Os certificados digitais são emitidos para indivíduos por uma autoridade de certificação (CA), uma empresa privada que cobra do usuário ou do destinatário a emissão de um certificado. As organizações usam certificados digitais para verificar as identidades das pessoas e organizações com as quais fazem negócios e precisam confiar.
 
Quando um certificado é revogado, qual é o procedimento adequado?
  
	
	
	
	
		Resposta Selecionada: 
	  
Atualizando a lista de revogação de certificado 
	Resposta Correta: 
	  
Atualizando a lista de revogação de certificado 
	Comentário da resposta: 
	Resposta correta. A resposta está correta, pois quando uma chave não é mais válida, a lista de revogação do certificado deve ser atualizada. Uma lista de revogação de certificados (CRL) é uma lista de certificados inválidos que não devem ser aceitos por nenhum membro da infraestrutura de chaves públicas. 
	
	
	
  
· Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	Com a computação em nuvem, em vez de possuir sua própria infraestrutura de computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de aplicativos a armazenamento, de um provedor de serviços em nuvem. Um benefício do uso de serviços de computação em nuvem é que as empresas podem evitar o custo inicial e a complexidade de possuir e manter sua própria infraestrutura de TI e, em vez disso, simplesmente pagar pelo que usam, quando a usam.
 
Qual das seguintes alternativas é verdadeira sobre a computação em nuvem:
  
	
	
	
	
		Resposta Selecionada: 
	  
Você pode acessar seus dados de qualquer lugar do mundo, desde que tenha uma conexão com a internet. 
	Resposta Correta: 
	  
Você pode acessar seus dados de qualquer lugar do mundo, desde que tenha uma conexão com a internet. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois uma grande vantagem da computação em nuvem é o fato de você poder acessar os seus arquivos, dados e aplicações de qualquer lugar e a partir de qualquer computador, desde que conectado à internet. Deste modo, na nuvem você terá uma grande capacidade de armazenamento, sem se preocupar com a atualização do seu hardware, comprar mais discos ou mais memória para o computador. 
	
	
	
  
· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser "alugado" por outras empresas.
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como Serviço)?
  
	
	
	
	
		Resposta Selecionada: 
	  
Transferência do custo de propriedade 
	Resposta Correta: 
	  
Transferência do custo de propriedade 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois os benefícios da computação em nuvem incluem economia de custos (os departamentos de TI não precisam investir em servidores, armazenamento, instalações licenças etc.). No entanto, as organizações também devem levar em consideração os benefícios de ter uma equipe de TI que possa reagir de maneira mais rápida e eficaz a mudanças e oportunidades de negócios. Logo, todos estes custos são transferidos para o fornecedor do serviço. 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Um dos principais objetivos de uma política de segurança é fornecer proteção - proteção para sua organização e seus funcionários. As políticas de segurança protegem as informações críticas/propriedade intelectual de sua organização, descrevendo claramente as responsabilidades dos funcionários com relação a quais informações precisam ser protegidas e por quê.
Qual das seguintes opções MELHOR ajuda os proprietários das informações a classificar os dados corretamente? 
	
	
	
	
		Resposta Selecionada: 
	  
Entendendo quais pessoas/setores precisam acessar os dados 
	Resposta Correta: 
	  
Entendendo quais pessoas/setores precisam acessar os dados 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois em termos de proteção dos dados, os requisitos de dados dos usuários finais são críticos, mas se o proprietário dos dados não entender qual esquema de classificação de dados está em vigor, é provável que o acesso inadequado aos dados sensíveis possa ser concedido para pessoas não autorizadas. 
	
	
	
  
· Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	Para que seja considerada "computação em nuvem", você precisa acessar seus dados ou programas pela Internet, ou pelo menos ter esses dados sincronizados com outras informações na Web. No entanto, ainda existem preocupações com a segurança, especialmente para as empresas que movem seus dados entre muitos serviços em nuvem, o que levou ao crescimento de ferramentas de segurança em nuvem.
 
Como é possível obter a confidencialidade destes dados e informações na nuvem? 
	
	
	
	
		Resposta Selecionada: 
	  
Ao restringir o acesso à informação 
	Resposta Correta: 
	  
Ao restringir o acesso à informação 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois dados restritos são quaisquer informações confidenciais ou pessoais protegidas por lei ou política e que exigem o mais alto nível de controle de acesso e proteção de segurança, seja no armazenamento ou em trânsito. Restringindo o acesso aos dados podemos garantir a confidencialidade. 
	
	
	
  
· Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do invasor.
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a seguir e assinale a alternativa correta:
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um invasor pode tentar obter acesso não autorizado ao dispositivo
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações confidenciais
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional.
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos suscetíveis a invasores. 
	
	
	
	
		Resposta Selecionada: 
	  
I e II apenas. 
	Resposta Correta: 
	  
I e II apenas. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois os dispositivos de IoT estão conectados a internet e, como foi visto durante os estudos, qualquer “coisa” conectada a internet é suscetível a invasores. Estes dispositivos se comunicam com um servidor ou broker por meio de conexão wireless (sem fio) ou conexão cabeada. De um modo ou de outro, o atacante pode controlar o dispositivo e, até mesmo, apossar-se das informações confidenciais que, por ventura, este dispositivo (ou conjunto deles) está a produzir. 
	
	
	
  
· Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, mas agora está conectado aos objetos circundantes, trocando dados e informações. Duas características de um objeto em IoT é que ele possa ser localizado e identificado em qualquer lugar no espaço e no tempo. Em IoT, depois que um dispositivo é identificado e autenticado, o sistema de controle de acesso precisa atribuí-lo a um segmento de rede específico automaticamente.Dentro deste contexto, quais são os três tipos de controle de acesso para um dispositivo IoT em um sistema de informação?
  
	
	
	
	
		Resposta Selecionada: 
	  
administrativo, físico e técnico 
	Resposta Correta: 
	  
administrativo, físico e técnico 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois os controles físicos descrevem qualquer coisa tangível usada para impedir ou detectar acesso não autorizado a áreas, sistemas ou ativos físicos (cercas, portões, biometria, etc). Os controles técnicos (também conhecidos como controles lógicos) incluem mecanismos de hardware ou software usados para proteger ativos (firewall, antivírus). Os controles administrativos referem-se a políticas, procedimentos ou diretrizes que definem práticas de pessoal ou de negócios de acordo com as metas de segurança da organização (treinamento de funcionários, por exemplo). 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada é perfeito no mundo da tecnologia, nada está completamente seguro. Portanto, com o crescimento da IoT, há desafios para conter as ameaças relacionadas à IoT, a fim de alcançar todos os seus benefícios.
De posse destas informações e do conteúdo estudado, analise as técnicas disponíveis a seguir e associe-as com suas respectivas características.
I. Injeção SQL.
II. DDoS.
III. Rastreamento.
IV. Força bruta.
V. Phishing
 
(  ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de obter informações pessoais.
(  ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT.
(  ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando que uma funcione.
(  ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa responder às solicitações de serviço.
(  ) Este ataque executa uma consulta no banco de dados por meio dos dados de entrada do cliente para o servidor.
Agora, assinale a alternativa que apresenta a sequência correta:
  
	
	
	
	
		Resposta Selecionada: 
	  
V, III, IV, II, I. 
	Resposta Correta: 
	  
V, III, IV, II, I. 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois a injeção SQL (1) executa comandos SQL os quais são inseridos na entrada do banco de dados para executar comandos predefinidos. DDoS (2) ou ataque de inundação, é um ataque aos recursos do sistema com o objetivo de deixa-lo indisponível. Rastreamento (3) é um tipo de ataque que monitora a localização do dispositivo de IoT no espaço e no tempo, fornecendo uma localização precisa. No ataque de força bruta (4), um algoritmo tenta de forma ininterrupta descobrir a senha almejada. O ataque de phishing (5) visa levar a vítima ao erro, tentando enganá-la com o objetivo de obter informações relevantes. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Nos termos mais simples, computação em nuvem significa armazenar e acessar dados e programas pela Internet, em vez do disco rígido do computador. A nuvem é apenas uma metáfora da Internet. Algumas empresas podem relutar em hospedar dados confidenciais em um serviço que também é usado por concorrentes. Mudar para um aplicativo SaaS (Software como Serviço) também pode significar que você está usando os mesmos aplicativos que um concorrente, o que pode dificultar a criação de qualquer vantagem competitiva se esse aplicativo for essencial para os seus negócios.
 
Qual dos seguintes riscos é realmente aumentado por tecnologias de segurança específicas da nuvem?
  
	
	
	
	
		Resposta Selecionada: 
	  
Ataque de superfície 
	Resposta Correta: 
	  
Ataque de superfície 
	Comentário da resposta: 
	Resposta correta. A alternativa está correta, pois um ataque de superfície é a soma total de vulnerabilidades que podem ser exploradas para realizar um ataque de segurança. Os ataques de superfície podem ser físicos ou digitais. Para manter a rede segura, os administradores de rede devem procurar proativamente maneiras de reduzir o número e o tamanho dos ataques de superfície. 
	
	
	
  
· Pergunta 10 
0 em 1 pontos 
	  
	  
	  
	Vulnerabilidades na nuvem podem ser definidas como brechas na arquitetura de segurança da mesma, que podem ser exploradas por um adversário por meio de técnicas sofisticadas para obter acesso à rede e outros recursos de infraestrutura.
 
Em qual tipo de ataque, que tenta inundar a vítima enviando solicitações de hosts inocentes degradando a rede?
  
	
	
	
	
		Resposta Selecionada: 
	  
DDoS 
	Resposta Correta: 
	  
Zumbis 
	Comentário da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois em um ataque intermediário (homem no meio), os atacantes se colocam entre dois dispositivos (geralmente um navegador e um servidor) e interceptam ou modificam as comunicações entre os dois. Os ataques distribuídos de negação de serviço (DDoS) têm como alvo sites e serviços online. O objetivo é sobrecarregá-los com mais tráfego do que o servidor ou a rede pode acomodar. 
	
	
	
1 
Keith 
· Novato(a)
· 
· 
· Usuários
· 1 
· 1 post
Postado September 3 
Pergunta 1.
Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser "alugado" por outras empresas.
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como Serviço)?
  
a. 
Transferência do custo de propriedade 
b. 
Elasticidade 
c. 
Serviço Medido 
d. 
Eficiência energética 
e. 
Escalabilidade
Pergunta 2. 
O uso dos serviços de computação em nuvem parece oferecer vantagens de custo significativas. As empresas iniciantes, em particular, se beneficiam dessas vantagens, pois frequentemente não operam uma infraestrutura de TI interna. Entretanto, uma das maiores preocupações e o que leva algumas empresas a não optarem pela nuvem é o quesito segurança.
De fato, confiar os seus dados à um terceiro realmente é preocupante. Quando se trata de segurança, é correto dizer: 
a. 
Deve haver um esforço conjunto entre o fornecedor de serviço de nuvem e a empresa contratante para garantir a segurança. 
b. 
A segurança em nuvem é garantida utilizando firewall de borda, bem como programas de antivírus próprios para este fim. 
c. 
A preocupação das empresas em confiar seus dados à terceiros é válida, uma vez que eles não assumem, em contrato, responsabilidade pelos dados. 
d. 
As empresas podem terceirizar a infraestrutura (IaaS), o software (SaaS), alguns serviços e também a segurança. 
e. 
A preocupação com a segurança em nuvem deve ser maior que a preocupação com a segurança local, uma vez que os dados estão fora da empresa. 
  
Pergunta 3. 
Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do invasor.
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a seguir e assinale a alternativa correta:
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um invasor pode tentar obter acesso não autorizado ao dispositivo
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações confidenciais
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional.
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos suscetíveis a invasores. 
a. 
I e IV apenas. 
b. 
II e IV apenas. 
c. 
I e III apenas. 
d. 
I e II apenas. 
e. 
II e IIIapenas. 
  
Pergunta 4.
  
Os modelos de computação em nuvem são quase infinitamente escaláveis. A nuvem se estende ao lado das necessidades flutuantes da organização, oferecendo disponibilidade ideal de recursos o tempo todo. Embora possa ser fácil começar a usar um novo aplicativo na nuvem, migrar dados ou aplicativos existentes para a nuvem pode ser muito mais complicado e caro.
 
Qual modelo de implantação em nuvem é operado exclusivamente para uma única organização e seus usuários autorizados?
  
a. 
Nuvem privada 
b. 
Nuvem pública 
c. 
Nuvem escalável 
d. 
Nuvem híbrida 
e. 
Nuvem comunitária 
  
Pergunta 5. 
Às vezes, as linhas entre a computação local e a computação em nuvem se confundem. Isso ocorre porque a nuvem faz parte de quase tudo em nossos computadores atualmente. Você pode facilmente ter um software local que utiliza uma forma de computação em nuvem para armazenamento.
 
Qual é o benefício da disponibilidade de armazenamento na nuvem?
  
a. 
O armazenamento na nuvem é mais fácil de proteger contra invasões, garantindo a confidencialidade das informações 
b. 
O armazenamento na nuvem requer atenção especial do contratante, o qual deverá adquirir novo dispositivo de armazenamento quando o antigo estiver cheio 
c. 
O armazenamento na nuvem tem uma disponibilidade mais alta do que os dispositivos de armazenamento na rede local 
d. 
O armazenamento na nuvem tem tempos de acesso mais curtos que o armazenamento na rede local 
e. 
O armazenamento adicional não requer orçamento para novos dispositivos de armazenamento maiores. 
  
Pergunta 6. 
O controle de acesso é um método para garantir que os usuários sejam quem eles dizem ser e que tenham acesso adequado aos dados da empresa. Existem diversos tipos de dispositivos de autenticação que contribuem para o controle de acesso, um destes dispositivos consistem de um leitor / scanner e software que criptografa e converte as informações digitalizadas em formato digital para que possam ser comparadas com registros anteriores.
Assinale a alternativa que evidencia qual é o dispositivo citado?
  
a. 
Honeypot 
b. 
Stateful inspection 
c. 
Chave privada
  
d. 
Biométrico 
e. 
Troca de chaves 
Pergunta 7. 
Os serviços de computação em nuvem abrangem uma vasta gama de opções, desde o básico de armazenamento, rede e poder de processamento até processamento de linguagem natural e inteligência artificial, além de aplicativos padrões de escritório. Devido ao grande número de opções, cresce a preocupação com a segurança.
 
Dentre as afirmações a seguir, marque a correta: 
a. 
A adaptação de seus sistemas locais a um modelo em nuvem requer que você mapeie os mecanismos de segurança 
b. 
A segurança da nuvem depende do provedor de serviço, tirando do cliente qualquer tipo de responsabilidade 
c. 
Os elementos da segurança em nuvem devem ser mapeados pelo fornecedor de serviço no caso de nuvem privada 
d. 
Diferentes tipos de modelos de serviço de computação em nuvem fornecem diferentes níveis de serviços de segurança 
e. 
Os dados devem ser armazenados em um formato criptografado para fins de segurança, porém a transferência pode ser sem criptografia 
Pergunta 8.
  
Um dos principais objetivos de uma política de segurança é fornecer proteção - proteção para sua organização e seus funcionários. As políticas de segurança protegem as informações críticas/propriedade intelectual de sua organização, descrevendo claramente as responsabilidades dos funcionários com relação a quais informações precisam ser protegidas e por quê.
Qual das seguintes opções MELHOR ajuda os proprietários das informações a classificar os dados corretamente? 
a. 
Treinamento com padrões organizacionais 
b. 
Uso de ferramentas automatizadas de prevenção de vazamento de dados 
c. 
Compreensão dos controles técnicos que protegem os dados 
d. 
Treinamento com políticas de segurança 
e. 
Entendendo quais pessoas/setores precisam acessar os dados
Pergunta 9. 
Vulnerabilidades na nuvem podem ser definidas como brechas na arquitetura de segurança da mesma, que podem ser exploradas por um adversário por meio de técnicas sofisticadas para obter acesso à rede e outros recursos de infraestrutura.
 
Em qual tipo de ataque, que tenta inundar a vítima enviando solicitações de hosts inocentes degradando a rede?
  
a. 
DDoS 
b. 
Homem no meio 
c. 
Zumbis 
d. 
DoS 
e. 
Phishing 
Pergunta 10. 
A computação em nuvem é a prestação de serviços de computação sob demanda - de aplicativos a capacidade de armazenamento e processamento - geralmente pela Internet e com o pagamento conforme o uso. Em vez de possuir sua própria infraestrutura de computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de aplicativos a armazenamento, de um provedor de serviços em nuvem.
 
Qual das seguintes siglas refere-se a um modelo de distribuição de software no qual um provedor de nuvem gerencia e hospeda um aplicativo que os usuários acessam via Internet?
  
a. 
IotaS 
b. 
SaaS 
c. 
PaaS 
d. 
DaaS 
e. 
IaaS 
1 
Parte inferior do formulário