Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Em segurança de informação, temos dois termos muito utilizados, a ameaça e as vulnerabilidades. A ameaça pode ser entendida por situação que pode ocorrer e causar algum dano ou perda, e a vulnerabilidade pode ser descrita pela fraqueza ou fragilidade que permite que uma ameaça a explore, possibilitando o acesso a bens ou pessoas, causando algum impacto de dano ou perda. Com relação às ameaças e vulnerabilidades em segurança de informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um colaborador mal-intencionado é exemplo de ameaça. ( ) A falta de controle de acesso a um sistema é um exemplo de ameaça. ( ) Vírus de script são recebidos ao acessar alguma página da internet ou por e- mail. ( ) Worms são parecidos com vírus, porém conseguem copiar a si mesmo de um computador para outro. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - V - V. B F - V - V - F. C V - F - F - V. D V - F - V - V. 2 É interessante sempre utilizar as boas práticas para a criação de uma nova senha, pois a boa utilização dela é um grande passo para garantir segurança e evitar complicações, danos morais e até prejuízos com perda de dados ou financeiros. Neste contexto, a definição de uma senha adequada para utilização de um sistema é uma forma de realizar a proteção das informações e dados de acessos não autorizados. Referente ao roubo de dados de usuários e senhas, analise as afirmativas a seguir: I- Senhas bem definidas não podem ser quebradas ou descobertas. II- O roubo de senhas pode ocorrer pelo envio de phishing. III- DNS Poisoning é uma forma de enviar o usuário a uma página falsa. IV- O envenenamento de DNS é uma das formas de roubar dados de acesso. Assinale a alternativa CORRETA: A As afirmativas I e III estão corretas. B As afirmativas I e IV estão corretas. C Somente a afirmativa I está correta. D As afirmativas II, III e IV estão corretas. 3 O teste da caixa-cinza é considerado uma mistura do teste de caixa-branca com o teste de caixa-preta, pois este repassa ao auditor informações do alvo a ser atacado, sendo que estas infomações, o cibercriminoso conseguiria obter de alguma forma, talvez por um período de tempo maior, em um processo de invasão real. Com relação a testes de invasão caixa-preta, caixa-branca e caixa-cinza, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Teste de caixa-cinza possui o foco de tornar mais rápida a execução do teste de invasão em relação ao teste de caixa-branca. ( ) O teste de caixa-cinza possui acesso às informações internas, como a topologia de rede, por exemplo. ( ) O teste de caixa-preta possui acesso às informações intermediárias, como reconhecimento e mapeamento da aplicação e da organização. ( ) O teste de caixa-branca não possui acesso a informações de códigos-fonte e endereçamento interno. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - V - F. B F - V - V - V. C V - F - V - V. D V - F - F - F. 4 A vulnerabilidade de uma aplicação web (site ou aplicativo de celular) possui, muitas vezes, a possibilidade de acorrer devido a um simples erro humano, o qual pode ser corrigido por um programador, através de controles do código-fonte. Neste contexto, a segurança deve ser encarada como um requisito durante a fase de design, construção, implementação e testes do software. Referente à segurança em aplicações web, analise as afirmativas a seguir: I- Falhas de segurança em aplicações web, isto é, um ataque, pode ocorrer por um defeito na codificação do software. II- Uma das possibilidades para se evitar falhas de segurança em uma aplicação web é analisar documentos de requisitos, projeto e arquitetura. III- A análise de código-fonte é uma das técnicas utilizadas que permitem descobrir falhas de segurança. IV- Teste de invasão é uma das técnicas utilizadas, a qual possui a finalidade de descobrir quais os requisitos de segurança podem ser burlados. Assinale a alternativa CORRETA: A As afirmativas I, II, III e IV estão corretas. B Somente a afirmativa III está correta. C Somente a afirmativa II está correta. D Somente a afirmativa IV está correta. 5 A segurança da informação possui alguns pilares que a constituem, como a confidencialidade, a integridade e a disponibilidade. Com estas propriedades, é possível garantir que as informações sejam acessadas somente por pessoas autorizadas, garantir que elas sejam armazenadas corretamente e garantir sua disponibilidade. Referente à segurança de informação, analise as afirmativas a seguir: I- O conceito de autenticidade é a garantia de que um conteúdo é elaborado ou distribuído ao autor a quem este está atribuído. II- O conceito de legalidade é a garantia de que ações sejam realizadas em conformidade com a lei vigente e tenham validade jurídica. III- O conceito de não repúdio não possui relação com as tecnologias de certificação digital e assinatura digital. IV- O conceito privacidade é o controle de uma informação acerca de si com relação a sua exposição e disponibilização a terceiros. Assinale a alternativa CORRETA: A As afirmativas I, III e IV estão corretas. B As afirmativas I, II e III estão corretas. C Somente a afirmativa IV está correta. D As afirmativas I, II e IV estão corretas. 6 A utilização de senhas na rotina diária das pessoas é algo normal, pois geralmente as pessoas estão habituadas a utilizá-las nas mais variadas aplicações, como sistemas profissionais, sites de e-commerce, aplicativos de celular, entre outros. Muitas pessoas utilizam senhas consideradas fáceis de lembrar, principalmente em suas redes sociais e para acesso a seus e-mails, e além disso, muitas utilizam a mesma senha para vários aplicações diferentes. Com relação à disponibilidade de bancos de dados, assinale a alternativa CORRETA: A A senha ou password serve para realizar a autenticação de uma conta em uma aplicação. B A senha ou password serve para realizar a autenticação de uma conta em uma aplicação, porém, não é utilizada no processo de verificação da identidade do usuário. C Dentre os objetivos do processo de autenticação, ter a garantia que a origem dos dados é a de quem alega ser, não faz parte da autenticação. D A autenticação é um processo de verificação do usuário, porém não é necessário sua implementação, mesmo que em aplicações com dados sensíveis, pois o importante é ser utilizado usuário e senha para acesso. 7 Testes de invasão servem para medir a habilidade de uma equipe de tecnologia de informação em detectar e realizar a defesa da aplicação contra invasões reais, medir o nível de sofisticação que um cibercriminoso deve ter para afetar a aplicação, medir o quanto o sistema da aplicação consegue suportar ataques, entre outras medidas. Com relação a testes de invasão, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Testes de invasão costumam ser divididos em seis classificações, que são os testes, como o teste caixa-preta e o teste caixa-branca, por exemplo. ( ) O teste caixa preta simula as mesmas condições de um atacante real, que possua acesso a endereços de IP externos, nomes de domínio e ramo de negócio da organização. ( ) O teste caixa-branca fornece ao auditor apenas informações da topologia da rede e das plataformas utilizadas, e com isso, ele deve ser capaz de realizar um ataque à aplicação web. ( ) O teste caixa-branca fornece informações suficientes para o atacante simular ataques que podem ser realizados por ex-funcionários ou colaboradores. Assinale a alternativa que apresenta a sequência CORRETA: A V - V - F - V. B V - F - V - F. C F - V - V - F. D F - V - V - V. 8 A injeção de SQL pode ser compreendida por um tipo de ataque cibernético, no qual o cibercriminoso realiza a inserção de códigos-fonte em um formulário de um site, para então conseguir realizar a violaçãoda segurança, e com isso acessar os dados protegidos. Neste sentido, referente a ataques a bancos de dados, assinale a alternativa CORRETA: A Um ataque por Sql Injection pode prejudicar um banco de dados através da manipulação não autorizada de dados, mas não é possível o acesso aos dados sigilosos. B Injeção de SQL, cuja abreviação é SQLi, é uma ameaça muito comum em sistemas de bancos de dados. C Instruções em SQL não são interpretadas logo após sua execução, e por este motivo a injeção de código de consultas maliciosas é possível. D Normalmente pode ser utilizado o mesmo comando SQL em vários bancos de dados diferentes para realizar um ataque por Sql Injection. 9 Dentre os tipos de segurança de informação, existem diferentes formas, devendo ser avaliado o tipo de ameaça, assim como qual a necessidade que a organização, empresa ou instituição possui em relação à segurança de seus dados e, assim, optar por soluções mais adequadas. Além de soluções de segurança, é necessária a adoção de uma política de segurança para conseguir atingir o nível de segurança adequado, sendo que existem alguns tipos de segurança. Com relação aos agentes de segurança do acesso à nuvem ou CASB, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Auxilia o profissional de segurança da informação a realizar controles de forma restrita ao uso das informações. ( ) A visibilidade é uma das finalidades do tipo de segurança CASB, e serve para fornecer visibilidade das aplicações hospedadas nos servidores da nuvem. ( ) O Compliance, que são um conjunto de políticas e diretrizes, atende somente a regulamentação PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), é um dos controles da CASB. ( ) A segurança de dados é a classificação de informações trafegadas em uma aplicação, com identificação de informações sensíveis, identificação de alterações realizadas e monitoração completa de atividades de usuários. Assinale a alternativa que apresenta a sequência CORRETA: A V - V - V - F. B V - V - F - V. C F - V - V - V. D F - V - V - F. 10 As ameaças causadas por seres humanos, como funcionários por exemplo, são mais complicados de se tratar do que as ameaças ambientais e técnicas, como energia elétrica ou mesmo ataques. Neste contexto, as ameaças ocasionadas por seres humanos não são tão previsíveis como nas ameaças físicas, pois estas ameaças normalmente são realizadas para burlar medidas de prevenções. Com relação às ameaças causadas por seres humanos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Acesso físico não autorizado é uma destas ameaças, sendo caracterizada pelo acesso a certas partes de um edifício, sem autorização, por exemplo. ( ) Roubo é uma destas ameaças, caracterizado pelo roubo de equipamentos físicos, por exemplo. ( ) Utilização indevida é uma destas ameaças, sendo caracterizada pela destruição de equipamentos e dados. ( ) Utilização de phishing é uma destas ameaças, podendo ser exemplificadas pelo envio de códigos maliciosos. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - V - V. B V - V - V - F. C V - F - F - V. D V - V - F - F.
Compartilhar