Respostas dos testes do curso cisco Cybersecurity Essentials dos capítulos 1 ao 8

Prévia do material em texto

Teste do Capítulo 1
1- Que nome é dado para hackers que fazem invasões por uma causa?
Select one:
hackers ativistas
azuis
“do bem”
hacker
Feedback
O termo é usado para descrever hackers “suspeitos” que se unem e protestam por uma
causa.
The correct answer is: hackers ativistas
2- Qual é o nome dado a um hacker amador?
Select one:
vermelho
“do mal”
equipe azul
hacker inexperiente
Feedback
Script kiddies é um termo usado para descrever hackers inexperientes.
The correct answer is: hacker inexperiente
3- Qual das opções é um exemplo de um castelo de dados da Internet?
Select one:
Palo Alto
LinkedIn
Cisco
Juniper
Feedback
Um castelo de dados é um repositório de dados.
The correct answer is: LinkedIn
4- O que o acrônimo IoE representa?
Select one:
Internet of Everything (Internet de Todas as Coisas)
Internet of Everyday (Internet do Dia a dia)
Insight into Everything (Informações de Todas as Coisas)
Intelligence on Everything (Inteligência de Todas as Coisas)
Feedback
A Internet de Todas as Coisas é o termo usado para os dispositivos conectados à Internet
The correct answer is: Internet of Everything (Internet de Todas as Coisas)
5- Escolha três tipos de registros que ladrões cibernéticos teriam interesse em roubar
de empresas. (Escolha três.)
Select one or more:
jogo
saúde
emprego
alimentos
educação
voo
rock
Feedback
É importante proteger registros de emprego, saúde e educação porque eles contêm
informações pessoais.
The correct answers are: saúde, educação, emprego
6- Que tipo de ataque utiliza muitos sistemas para inundar os recursos de um alvo, o
que o torna indisponível?
Select one:
spoof
DDoS
DoS
varredura de ping
Feedback
DDoS é um ataque que envolve vários sistemas. DoS envolve apenas um sistema de
ataque único.
The correct answer is: DDoS
7- O que o termo vulnerabilidade significa?
Select one:
um método de ataque para explorar um alvo
um alvo conhecido ou uma máquina vítima
um computador que contém informações confidenciais
uma ameaça em potencial criada por um hacker
uma fraqueza que torna um alvo suscetível a um ataque
Feedback
Uma vulnerabilidade não é uma ameaça, mas sim uma fraqueza que torna o PC ou o
software um alvo para ataques.
The correct answer is: uma fraqueza que torna um alvo suscetível a um ataque
8- Qual é a categoria da estrutura da força de trabalho que inclui análise e avaliação
altamente especializadas das informações de segurança cibernética recebidas para
determinar se elas são úteis para a inteligência?
Select one:
Análise
Proteger e defender
Supervisão e desenvolvimento
Provisão segura
Feedback
A categoria "Analisar" da estrutura da força de trabalho inclui áreas de especialidade
responsáveis pela avaliação e análise altamente especializadas de informações de
segurança cibernética recebidas para determinar sua utilidade.
The correct answer is: Análise
9- O que o termo BYOD representa?
Select one:
bring your own device (traga seu próprio dispositivo)
buy your own disaster (compre seu próprio desastre)
bring your own disaster (traga seu próprio desastre)
bring your own decision (traga sua própria decisão)
Feedback
O termo “traga seu próprio dispositivo” é utilizado para descrever dispositivos móveis como
iPhones, smartphones, tablets e outros dispositivos.
The correct answer is: bring your own device (traga seu próprio dispositivo)
10- Que tipo de ataque pode desativar um computador ao forçá-lo a usar a memória
ou ao sobrecarregar a CPU?
Select one:
ATAQUES APT (ADVANCED PERSISTENT THREAT)
DDoS
algoritmo
esgotamento
Feedback
Ataques de algoritmo podem forçar computadores a usar memória ou sobrecarregar a CPU.
The correct answer is: algoritmo
11- Frustrar os vilões cibernéticos inclui quais das seguintes opções? (Escolher
dois.)
Select one or more:
contratação de hackers
compartilhamento de informações de inteligência cibernética
estabelecimento de sistemas de aviso inicial
desligamento da rede
alteração de sistemas operacionais
Feedback
As empresas podem unir esforços para impedir o crime digital ao estabelecer sistemas de
aviso inicial e compartilhar inteligência cibernética.
The correct answers are: estabelecimento de sistemas de aviso inicial, compartilhamento de
informações de inteligência cibernética.
Teste do Capítulo 2
1- Para fins de autenticação, quais são os três métodos usados para verificar a
identidade? (Es-colha três.)
Select one or more:
algo que você tem
o local onde você está
algo que você sabe
algo que você faz
algo que você é
Feedback
As formas de autenticação são algo que você sabe, tem ou é.
The correct answers are: algo que você sabe, algo que você tem, algo que você é
2- Quais são os três estados de dados? (Escolha três.)
Select one or more:
criptografado
inativos
suspensos
na nuvem
em processo
em trânsito
Feedback
A proteção do mundo digital exige que os profissionais de segurança cibernética se
responsabilizem pela segurança dos dados em trânsito, na nuvem e inativos.
The correct answers are: inativos, em trânsito, em processo
3- Qual mecanismo as empresas podem usar para evitar alterações acidentais feitas
por usuários autorizados?
Select one:
criptografia
SHA-1
backups
controle da versão
hashing
Feedback
O controle da versão garante que dois usuários não consigam atualizar o mesmo objeto.
The correct answer is: controle da versão
4- Qual princípio impede a divulgação de informações para pessoas, recursos ou
processos não autorizados?
Select one:
auditoria
disponibilidade
integridade
confidencialidade
não-repúdio
Feedback
O princípio de segurança da confidencialidade refere-se à prevenção da divulgação de
informações para pessoas, recursos e processos não autorizados.
The correct answer is: confidencialidade
5- O que é identificado pela primeira dimensão do cubo de segurança cibernética?
Select one:
Ferramentas
regras
conhecimento
proteções
metas
Feedback
A primeira dimensão do cubo mágico da segurança cibernética identifica os objetivos da
proteção do mundo digital.
The correct answer is: metas
6- Quais são os três tipos de informações confidenciais? (Escolha três.)
Select one or more:
não confidenciais
públicas
confidenciais
corporativas
publicadas
PII
Feedback
Informações confidenciais são informações que, de outro modo, prejudicariam uma
empresa ou um indivíduo se fossem divulgadas publicamente.
The correct answers are: PII, corporativas, confidenciais
7- Quais são os três serviços de segurança de controle de acesso? (Escolha três.)
Select one or more:
autorização
disponibilidade
auditoria
acesso
rejeição
autenticação
Feedback
Esta pergunta refere-se à autenticação AAA, autorização e auditoria.
The correct answers are: autenticação, autorização, auditoria
8- Quais são os três métodos que ajudam a garantir a disponibilidade do sistema?
(Escolha três.)
Select one or more:
sistemas operacionais atualizados
backups de sistema
resiliência do sistema
verificações de integridade
extintores de incêndio
manutenção de equipamentos
Feedback
The correct answers are: backups de sistema, manutenção de equipamentos, sistemas
operacionais atualizados
9- Qual tipo de leis de segurança cibernética protege você de uma empresa que
possa querer compartilhar seus dados confidenciais?
Select one:
autenticação
integridade
confidencialidade
não-repúdio
privacidade
Feedback
As leis de privacidade controlam o uso adequado dos dados e o acesso a eles.
The correct answer is: privacidade
10- Qual nome é dado às alterações nos dados originais, como modificação manual
dos dados pelos usuários, processamento de programas e alteração dos dados, além
de falhas em equipamentos?
Select one:
divulgação
exclusão
modificação
backup
integridade
corrupção
Feedback
A modificação envolve alterações nos dados originais e não completa a exclusão dos
dados.
The correct answer is: modificação
11- Quais são as duas funções hash comuns? (Escolher dois.)
Select one or more:
RSA
ECC
Blowfish
MD5
RC4
SHAFeedback
SHA e MD5 usam algoritmos matemáticos complexos para calcular valores de hash.
The correct answers are: SHA, MD5
12- Quais das opções são dois métodos que garantem a confidencialidade? (Escolher
dois.)
Select one or more:
disponibilidade
não-repúdio
autenticação
integridade
autorização
criptografia
Feedback
Confidencialidade significa que as informações serão visualizadas apenas por aqueles que
precisam saber delas. Isso pode ser feito pela criptografia de dados e autenticação de
usuários que solicitarem acesso.
The correct answers are: criptografia, autenticação
13- Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade?
(Escolha três.)
Select one or more:
verificação de consistência dos dados
eliminação de pontos únicos de falha
garantia da confidencialidade
detecção de falhas à medida que ocorrem
fornecimento de cruzamento confiável
uso de criptografia
Feedback
Sistemas de alta disponibilidade normalmente incluem estes três princípios de projeto.
The correct answers are: detecção de falhas à medida que ocorrem, fornecimento de
cruzamento confiável, eliminação de pontos únicos de falha
14- Quais são os dois métodos que ajudam a garantir a integridade de dados?
(Escolher dois.)
Select one or more:
rejeição
hashing
autorização
disponibilidade
privacidade
verificações de consistência de dados
Feedback
Sistemas de integridade de dados incluem um dos dois métodos de integridade de dados.
The correct answers are: hashing, verificações de consistência de dados
15- Quais são as três tarefas realizadas por uma política de segurança abrangente?
(Escolha três.)
Select one or more:
imprecisão
definição das consequências jurídicas das violações
utilidade para a gestão
oferecimento de apoio da gestão aos funcionários de segurança
não ser juridicamente vinculativo
definição das regras de comportamento esperado
Feedback
A política define o estabelecimento de regras e diretrizes para a empresa.
The correct answers are: definição das regras de comportamento esperado, definição das
consequências jurídicas das violações, oferecimento de apoio da gestão aos funcionários
de segurança
16- Quais serviços determinam quais recursos os usuários podem acessar, além das
operações que podem executar?
Select one:
biometria
autenticação
autorização
token
auditoria
Feedback
A autorização determina se um usuário tem certos privilégios de acesso.
The correct answer is: autorização
17- Qual opção é um método de envio de informações de um dispositivo para outro
usando mídias removíveis?
Select one:
LAN (Rede de área local)
infravermelho
rede sigilosa
sem fio
pacote
com fio
Feedback
Rede sigilosa refere-se à entrega em mãos de dados removíveis.
The correct answer is: rede sigilosa
18- Quais são os três princípios fundamentais do mundo da segurança cibernética?
(Escolha três.)
Select one or more:
política
criptografia
segurança
disponibilidade
integridade
confidencialidade
Feedback
Três princípios fundamentais são confidencialidade, integridade e disponibilidade.
The correct answers are: confidencialidade, integridade, disponibilidade
19- Qual nome é dado a um dispositivo de armazenamento conectado a uma rede?
Select one:
DAS
RAID
Nuvem
SAN
NAS
Feedback
NAS se refere a um dispositivo de armazenamento conectado a uma rede que permite o
armazenamento e a recuperação de dados de um local centralizado por usuários de rede
autorizados.
The correct answer is: NAS
20- Como é chamada uma rede virtual segura que usa a rede pública?
Select one:
IDS
VPN
IPS
Firewall
MPLS
NAC
Feedback
O termo VPN descreve uma rede virtual que usa criptografia para proteger dados quando
trafegam pelos meios de comunicação da Internet.
The correct answer is: VPN
Teste do Capítulo 3
1- Qual é o nome dado a um programa ou código de programa que ignora a
autenticação normal?
Select one:
Cavalo de Troia
worm
backdoor
ransomware
vírus
Feedback
Um backdoor é um programa ou código de programa implementado por um criminoso para
ignorar a autenticação normal que é usada para acessar um sistema.
The correct answer is: backdoor
2- Que tipo de ataque é direcionado a um banco de dados SQL usando o campo de
entrada de um usuário?
Select one:
Script entre sites
Inserção de SQL
estouro de buffer
Injeção de XML
Feedback
Um criminoso pode inserir uma declaração de SQL mal-intencionada em um campo de
entrada em um site em que o sistema não filtra a entrada do usuário corretamente.
The correct answer is: Inserção de SQL
3- O que ocorre em um computador quando os dados ultrapassam os limites de um
buffer?
Select one:
uma exceção do sistema
script entre sites
uma inserção de SQL
uma saturação do buffer
Feedback
Uma saturação do buffer ocorre ao alterar os dados além das fronteiras de um buffer e pode
levar a uma falha no sistema, comprometimento de dados ou causar escalonamento de
privilégios.
The correct answer is: uma saturação do buffer
4- Qual é a principal diferença entre um vírus e um worm?
Select one:
Vírus se replicam, mas worms não.
Worms exigem um arquivo host, mas vírus não.
Worms se replicam, mas vírus não.
Vírus se escondem em programas legítimos, mas worms não.
Feedback
Worms são capazes de se replicar e explorar vulnerabilidades em redes de computadores
sem a participação do usuário.
The correct answer is: Worms se replicam, mas vírus não.
5- Quais opções são duas das táticas usadas por um engenheiro social para obter
informações pessoais de um alvo sem suspeitas? (Escolher dois.)
Select one or more:
urgência
compaixão
intimidação
honestidade
integridade
Feedback
Táticas de engenharia social incluem o seguinte:
● Autoridade
● Intimidação
● Consenso/Prova social
● de endereços
● Urgência
● Familiaridade/Preferência
Confiança
The correct answers are: intimidação, urgência
6- Quais são as duas maneiras de proteger um computador contra malware? (Escolha
duas)
Select one or more:
Desfragmentar o disco rígido.
Excluir softwares não utilizados.
Manter softwares atualizados.
Esvaziar o cache do navegador.
Usar software antivírus.
Feedback
No mínimo, um computador deve usar software antivírus e ter todo o software atualizado
para a defesa contra malware.
The correct answers are: Usar software antivírus., Manter softwares atualizados.
7- O que um rootkit modifica?
Select one:
programas aplicativos
Bloco de notas
Microsoft Word
protetores de tela
sistema operacional
Feedback
Um rootkit geralmente modifica um sistema operacional para criar um backdoor e ignorar
mecanismos de autenticação normais.
The correct answer is: sistema operacional
8- Um computador exibe para um usuário uma tela solicitando pagamento para
permitir que os dados do usuário sejam acessados pelo mesmo usuário. Que tipo de
malware é esse?
Select one:
um tipo de vírus
um tipo de bomba lógica
um tipo de ransomware
um tipo de worm
Feedback
O ransomware normalmente criptografa os dados em um computador e os indisponibiliza
até que o usuário do computador pague uma quantia específica em dinheiro.
The correct answer is: um tipo de ransomware
9- Um invasor está sentado em frente a uma loja e copia e-mails e listas de contato
por meio de uma conexão sem fio ficando próximo aos dispositivos, sem que eles
desconfiem. Que tipo de ataque é esse?
Select one:
smishing
congestionamento de RF
bluejacking
bluesnarfing
Feedback
Blusnarfing é a cópia de informações do usuário através de transmissões não autorizadas
de Bluetooth.
The correct answer is: bluesnarfing
10- Qual opção é uma vulnerabilidade que permite que criminosos injetem scripts em
páginas da Web vistas por usuários?
Select one:
Inserção de SQL
estouro de buffer
Injeção de XML
Script entre sites
Feedback
O script entre sites (XSS) permite que criminosos injetem scripts que contêm código
malicioso em aplicativos da Web.
The correct answer is: Script entre sites
11- Qual é o significado do termo bomba lógica?
Select one:
um worm mal-intencionado
um programa mal-intencionadoque utiliza um gatilho para despertar o código malicioso
um vírus mal-intencionado
um programa mal-intencionado que se esconde em um programa legítimo
Feedback
Uma bomba lógica permanece inativa até que um evento acionador ocorra. Assim que
ativada, a bomba lógica executa um código malicioso que danifica um computador.
The correct answer is: um programa mal-intencionado que utiliza um gatilho para despertar
o código malicioso
12- Qual é o termo usado para descrever um e-mail que tem como alvo uma pessoa
específica, funcionária de uma instituição financeira?
Select one:
spyware
vishing
spear phishing
spam
phishing direcionado
Feedback
Spear phishing é um ataque de phishing personalizado para chegar a uma pessoa ou a um
alvo específico.
The correct answer is: spear phishing
13- Quais são os dois motivos que descrevem por que o WEP é um protocolo fraco?
(Escolher dois.)
Select one or more:
A chave é transmitida em texto não criptografado.
A chave é estática e se repete em uma rede congestionada.
O WEP utiliza as mesmas funcionalidades de criptografia que o Bluetooth.
As configurações padrão não podem ser modificadas.
Todos na rede usam uma chave diferente.
Feedback
O vetor de inicialização (IV) do WEP é o seguinte:
● Um campo de 24 bits, que é muito pequeno
● Um texto sem criptografia e legível
● Estático e faz com que streams de chaves idênticas se repitam em uma rede
ocupada
The correct answers are: A chave é transmitida em texto não criptografado., A chave é
estática e se repete em uma rede congestionada.
14- Qual termo descreve o envio de uma mensagem curta de SMS enganosa usada
para convencer um alvo a visitar um site da Web?
Select one:
grayware
representação
smishing
spam
Feedback
Smishing também é conhecido como phishing SMS e é usado para enviar mensagens de
texto enganosas para fazer com que um usuário ligue para um número de telefone ou
acesse um site específico.
The correct answer is: smishing
15- Um criminoso usa um software para obter informações sobre o computador de
um usuário. Qual é o nome desse tipo de software?
Select one:
phishing
vírus
spyware
adware
Feedback
Spyware é um software que rastreia a atividade de um usuário e obtém informações sobre
ele.
The correct answer is: spyware
16- Qual nome é dado ao tipo de software que gera receita através da geração de
pop-ups irritantes?
Select one:
adware
pop-ups
spyware
rastreadores
Feedback
Adware é um tipo de malware que exibe pop-ups em um computador para gerar receita
para o criador do malware.
The correct answer is: adware
17- Quais são os dois indicadores comuns de e-mail de spam? (Escolher dois.)
Select one or more:
O e-mail é de um amigo.
O e-mail tem um anexo que é um recibo de uma compra recente.
O e-mail tem palavras com grafia incorreta, com erros de pontuação ou os dois.
O e-mail tem palavras-chave.
O e-mail não tem assunto.
O e-mail é do seu supervisor.
Feedback
Spam é um método comum de publicidade através do uso de e-mails não solicitados e pode
conter malware.
The correct answers are: O e-mail não tem assunto., O e-mail tem palavras com grafia
incorreta, com erros de pontuação ou os dois.
18- Qual é o termo usado quando uma parte mal-intencionada envia um e-mail
fraudulento disfarçado de uma fonte legítima e confiável?
Select one:
Cavalo de Troia
engenharia social
phishing
vishing
backdoor
Feedback
O phishing é usado por partes mal-intencionadas que criam mensagens fraudulentas que
tentam enganar um usuário para ele compartilhar informações confidenciais ou instalar
malware.
The correct answer is: phishing
Teste do Capítulo 4
1- Faça a correspondência entre a descrição e termo correto. (Nem todas as opções
são usadas.)
estenografia social
criar uma mensagem que diz uma coisa, mas significa outra para um público específico
estenografia
ocultar dados em um arquivo de áudio
ofuscação
tornar uma mensagem confusa para dificultar seu entendimento
esteganoanálise
descobrir que existem informações ocultas dentro de um arquivo gráfico
Feedback
The correct answer is: estenografia social → criar uma mensagem que diz uma coisa, mas
significa outra para um público específico, estenografia → ocultar dados em um arquivo de
áudio, ofuscação → tornar uma mensagem confusa para dificultar seu entendimento,
esteganoanálise → descobrir que existem informações ocultas dentro de um arquivo gráfico
2- Qual algoritmo de criptografia usa a mesma chave pré-compartilhada para
criptografar e descriptografar dados?
Select one:
hash
simétrico
cifra de uso único
assimétrico
Feedback
Algoritmos de criptografia simétrica usam a mesma chave pré-compartilhada para
criptografar e descriptografar dados?
The correct answer is: simétrico
3- Qual algoritmo de criptografia usa uma chave para criptografar os dados e uma
chave diferente para decifrá-los?
Select one:
transposição
cifra de uso único
simétrico
assimétrico
Feedback
A criptografia assimétrica usa uma chave para criptografar os dados e uma chave diferente
para decifrá-los.
The correct answer is: assimétrico
4- Qual algoritmo assimétrico fornece um método de troca de chave eletrônica para
compartilhar a chave secreta?
Select one:
hashing
RSA
WEP
DES
Diffie-Hellman
Feedback
O Diffie-Hellman fornece um método de troca eletrônica para compartilhar uma chave
secreta e é usado por vários protocolos seguros.
The correct answer is: Diffie-Hellman
5- Que tipo de criptografia codifica um byte de texto claro ou um bit de cada vez?
Select one:
hash
bloquear
enigma
elíptica
stream
Feedback
A criptografia de stream codifica um byte de texto claro ou um bit de cada vez e pode ser
muito mais rápida que codificações de bloco.
The correct answer is: stream
6- Qual termo é usado para descrever a tecnologia que substitui informações
confidenciais por uma versão não confidencial?
Select one:
apagamento
máscara
embaçamento
revogação
oculto
Feedback
O mascaramento de dados substitui informações confidenciais por informações não
confidenciais. Após a substituição, a versão pública é parecida e tem a função da original.
The correct answer is: máscara
7- Quais são os dois termos usados para descrever as chaves de criptografia?
(Escolher dois.)
Select one or more:
keylogging
comprimento da chave
aleatoriedade de chave
espaço da chave
Feedback
Os dois termos usados para descrever as chaves são os seguintes:
● Comprimento da chave - também chamado de chave, esta é a medida em bits.
● Espaço da chave - é o número de possibilidades que um comprimento de chave
específico pode gerar.
Com o aumento do comprimento da chave, o espaço da chave aumenta exponencialmente.
The correct answers are: comprimento da chave, espaço da chave
8- Qual é o termo usado para descrever a ciência de criar e quebrar códigos
secretos?
Select one:
criptologia
Spoofing
fatoração
congestionamento
representação
Feedback
A criptologia é a ciência de fazer e quebrar códigos para assegurar que criminosos virtuais
não consigam comprometer com facilidade informações protegidas.
The correct answer is: criptologia
9- Corresponda o tipo de autenticação multifatorial à descrição.
segurança por chave fob
algo que você tem
verificação por impressão digital
algo que você é
senha
algo que você sabe
Feedback
A autenticação de vários fatores usa um mínimo de dois métodos de verificação e pode
incluir o seguinte:
● Algo que você tem
● Algo que você sabe
● Algo que você é
The correct answer is: segurança por chave fob → algo que você tem, verificação por
impressão digital → algo que você é, senha → algo que você sabe
10- Qual é o nome do método no qual as letras são reorganizadas para criar o texto
codificado?
Select one:
enigma
cifra de uso único
transposição
substituição
Feedback
O texto codificado pode ser criado com o uso das seguintes opções:
● Transposição – as letras são reorganizadas
● Substituição – as letras são substituídas
● Cifra de uso único – texto claro combinado com uma chave secreta que cria um
novo caractere,que depois se combina com o texto claro para produzir texto
codificado
The correct answer is: transposição
11- Qual algoritmo de criptografia é usado pela NSA e inclui o uso de curvas elípticas
para troca de chaves e geração de assinatura digital?
Select one:
IDEA
AES
ECC
El-Gamal
RSA
Feedback
A criptografia de curva elíptica (ECC) utiliza curvas elípticas como parte do algoritmo para
troca de chaves e geração de assinatura digital.
The correct answer is: ECC
12- Quais são os três protocolos que usam algoritmos de chave assimétrica?
(Escolha três.)
Select one or more:
AES (Advanced Encryption Standard)
Telnet
Secure File Transfer Protocol (SFTP)
Pretty Good Privacy (PGP)
Secure Shell (SSH)
Camada de Soquetes Segura (SSL – Secure Sockets Layer)
Feedback
Quatro protocolos usam algoritmos de chave assimétrica.
●
● Troca de Chaves via Internet (IKE – Internet Key Exchange).
● SSL
● Secure Shell (SSH)
● Pretty Good Privacy (PGP)
The correct answers are: Pretty Good Privacy (PGP), Camada de Soquetes Segura (SSL –
Secure Sockets Layer), Secure Shell (SSH)
13- Qual termo descreve a tecnologia que protege o software de modificação ou
acesso não autorizado?
Select one:
copyright
marca comercial
controle de acesso
marca d'água
Feedback
O software de marca d'água insere uma mensagem secreta no programa como prova de
propriedade e protege o software de modificação ou acesso não autorizado.
The correct answer is: marca d'água
14- Quais são os três processos que são exemplos de controles de acesso lógicos?
(Escolha três.)
Select one or more:
guardas para monitorar telas de segurança
biometria para validar características físicas
cartões de acesso para permitir o acesso a uma área restrita
cercas para proteger o perímetro de um edifício
firewalls para monitorar o tráfego
sistema de detecção de invasão (IDS) para observar atividades suspeitas na rede
Feedback
Controles de acesso lógico incluem, entre outros itens, o seguinte:
● Criptografia
● Cartões inteligentes
● Senhas
● Biometria
● Access Control Lists (ACLs)
● Protocolos
● Firewalls
● Sistema de detecção de invasão (IDS)
The correct answers are: firewalls para monitorar o tráfego, biometria para validar
características físicas, sistema de detecção de invasão (IDS) para observar atividades
suspeitas na rede
15- Qual termo é usado para descrever a ocultação de dados em outro arquivo como
um gráfico, áudio ou outro arquivo de texto?
Select one:
máscara
ofuscação
estenografia
oculto
Feedback
A estenografia oculta dados em arquivos como gráficos, áudios ou outro arquivo de texto e
é utilizada para impedir que seja dada atenção extra aos dados criptografados, porque eles
não são vistos facilmente.
The correct answer is: estenografia
16- Qual algoritmo de criptografia que codifica um bloco de 128 bits o governo dos
EUA usa para proteger informações confidenciais?
Select one:
Skipjack
Vignere
Caesar
3DES
AES
Feedback
O Advanced Encryption Standard (AES) é usado para proteger as informações confidenciais
do governo dos EUA e é um forte algoritmo que usa comprimentos de chave mais longos.
The correct answer is: AES
17- Quais são três exemplos de controles de acesso administrativo? (Escolha três.)
Select one or more:
políticas e procedimentos
criptografia
cães de guarda
sistema de detecção de invasão (IDS)
verificação de antecedentes
práticas de contratação
Feedback
Controles de acesso administrativos são definidos pelas empresas para implementar e
aplicar todos os aspectos do controle de acesso não autorizado e incluem o seguinte:
● Políticas
● complexas
● Práticas de contratação
● Verificação de antecedentes
● Classificação de dados
● Treinamento de segurança
● Avaliações
The correct answers are: políticas e procedimentos, verificação de antecedentes, práticas
de contratação
18- Quais são os três dispositivos que representam exemplos de controles de acesso
físico? (Escolha três.)
Select one or more:
roteadores
cartões de acesso
firewalls
cadeados
câmeras de vídeo
servidores
Feedback
Controles de acesso físico incluem, entre outros itens, o seguinte:
● Guardas
● Cercas
● Detectores de movimento
● Cadeados de notebook
● Portas trancadas
● Cartões de acesso
● Cães de guarda
● Câmeras de vídeo
● Armadilhas
● Alarmes
The correct answers are: cadeados, cartões de acesso, câmeras de vídeo
19- Qual tipo de criptografia é capaz de criptografar um bloco de tamanho fixo de
texto claro em um bloco de 128 bits de texto codificado, a qualquer momento?
Select one:
hash
bloquear
simétrico
stream
transformar
Feedback
Codificações de bloco transformam um bloco de tamanho fixo de texto claro em um bloco
de texto codificado. Para descriptografar o texto codificado, é usada a mesma chave secreta
para criptografar no sentido inverso.
The correct answer is: bloquear
20- Um banner de aviso que lista os resultados negativos de violações da política da
empresa é exibido cada vez que um usuário do computador fizer login na máquina.
Qual tipo de controle de acesso é implementado?
Select one:
dissuasor
preventivo
máscara
detector
Feedback
Dissuasores são implementados para desencorajar ou mitigar uma ação ou o
comportamento de uma pessoa mal-intencionada.
The correct answer is: dissuasor
Teste do Capítulo 5
1- Um usuário está se conectando a um servidor de e-commerce para comprar alguns
widgets para uma empresa. O usuário se conecta ao site e percebe que não há um
cadeado na barra de status de segurança de navegador. O site solicita um nome de
usuário e a senha e o usuário consegue fazer login. Qual é o perigo em prosseguir
essa transação?
Select one:
Um software bloqueador de anúncios está impedindo que a barra de segurança funcione
corretamente, e, portanto, não há perigo com a transação.
O site não está usando um certificado digital para proteger a transação, o que significa que
tudo fica não codificado.
O usuário está usando o navegador errado para realizar a transação.
O certificado do site expirou, mas ele ainda é seguro.
Feedback
O cadeado na janela do navegador garante que uma conexão segura foi estabelecida e não
foi bloqueada por um complemento do navegador.
The correct answer is: O site não está usando um certificado digital para proteger a
transação, o que significa que tudo fica não codificado.
2- Um usuário criou um novo programa e deseja distribuí-lo para todos na empresa. O
usuário quer garantir que, quando o programa for baixado, não será alterado
enquanto estiver em trânsito. O que o usuário pode fazer para garantir que o
programa não será alterado quando for baixado?
Select one:
Instalar o programa em computadores individuais.
Desativar o antivírus em todos os computadores.
Criar um hash do arquivo do programa que pode ser usado para verificar a integridade do
arquivo depois que o download for feito.
Distribuir o programa em um pen drive.
Criptografar o programa e exigir uma senha depois que o download for feito.
Feedback
Hash é um método para assegurar a integridade e ele garante que os dados não serão
alterados.
The correct answer is: Criar um hash do arquivo do programa que pode ser usado para
verificar a integridade do arquivo depois que o download for feito.
3- Um usuário é instruído por um chefe a encontrar um método melhor para proteger
as senhas em trânsito. O usuário pesquisou vários meios para fazer isso e escolheu o
uso de HMAC. Quais são os elementos principais necessários para implementar o
HMAC?
Select one:
chave secreta e message digest
IPSec e soma de verificação
chave simétrica e chave assimétrica
message digest e chave assimétrica
Feedback
A implementação de HMAC é uma chave secreta adicionada a um hash.
The correct answer is: chave secreta e message digest
4- Qual é o processo passo a passo para criar uma assinatura digital?
Select one:
Criar uma message digest; criptografar a digest com a chave pública do remetente e
empacotar a mensagem, a síntese criptografada e a chave pública juntos para assinar o
documento.
Criar uma mensagem,criptografar a mensagem com um hash MD5 e enviar o pacote com
uma chave pública.
Criar uma message digest; criptografar a digest com a chave privada do remetente e
empacotar a mensagem, a digest criptografada e a chave pública juntos a fim de assinar o
documento.
Criar um hash de SHA-1; criptografar o hash com a chave privada do remetente e
empacotar a mensagem, o hash criptografado e a chave pública juntos para o documento
assinado.
Feedback
Para criar uma assinatura digital, devem ser seguidas estas etapas:
● A mensagem e a message digest são criadas.
● A digest e chave privada são criptografadas.
● A mensagem, a message digest criptografada e a chave pública são empacotadas
para criar o documento assinado.
The correct answer is: Criar uma message digest; criptografar a digest com a chave privada
do remetente e empacotar a mensagem, a digest criptografada e a chave pública juntos a
fim de assinar o documento.
5- Quais são os três critérios de validação utilizados para uma regra de validação?
(Escolha três.)
Select one or more:
tamanho
chave
formato
criptografia
intervalo
tipo
Feedback
Os critérios utilizados em uma regra de validação incluem formato, consistência, alcance e
dígito de verificação.
The correct answers are: tamanho, intervalo, formato
6- Qual a finalidade do CSPRNG?
Select one:
proteger um site
impedir que um computador seja um zumbi
processar buscas de hash
gerar o salt
Feedback
O salting impede que alguém use um ataque de dicionário para adivinhar uma senha. O
Gerador de Número Pseudo-Aleatório Protegido por Criptografia (CSPRNG) é uma forma (e
é a melhor) de gerar o salt.
The correct answer is: gerar o salt
7- Qual método tenta todas as senhas possíveis até que uma correspondência seja
encontrada?
Select one:
dicionário
data de nascimento
rainbow tables
força bruta
criptográfico
nuvem
Feedback
Dois métodos comuns para decifrar hashes são o dicionário e a força bruta. Depois de um
tempo, o método de força bruta sempre decifrará uma senha.
The correct answer is: força bruta
8- Foi solicitado que um usuário implementasse o IPSec para conexões externas de
entrada. O usuário planeja usar SHA-1 como parte da implementação. O usuário
deseja garantir a integridade e a autenticidade da conexão. Qual ferramenta de
segurança o usuário pode usar?
Select one:
MD5
SHA256
HMAC
ISAKMP
Feedback
O HMAC fornece uma chave secreta como recurso adicional para garantir a integridade e a
autenticação.
The correct answer is: HMAC
9- Identifique as três situações em que a função de criptografia pode ser aplicada.
(Escolha três)
Select one or more:
WPA
CHAP
PPoE
DES
PKI
IPsec
Feedback
Três situações em que uma função hash pode ser usada são:
● Quando o IPSec estiver sendo usado
● Quando a autenticação por roteamento estiver ativada
● Nas respostas de desafios dentro de protocolos, como PPP CHAP
● Em contratos assinados digitalmente e certificados PKI
The correct answers are: IPsec, CHAP, PKI
10- Qual das opções é um ponto forte do uso de uma função de hash?
Select one:
Pode levar apenas uma mensagem de tamanho fixo.
É uma função unidirecional e não reversível.
Tem uma saída de tamanho variável.
Não é usado comumente na segurança.
Dois arquivos diferentes podem ser criados com a mesma saída.
Feedback
Compreender as propriedades de uma função hash mostra sua aplicabilidade como função
unidirecional, tamanho de entrada arbitrária e saída fixa.
The correct answer is: É uma função unidirecional e não reversível.
11- Quais são os três algoritmos de assinatura digital aprovados pelo NIST? (Escolha
três.)
Select one or more:
RSA
MD5
DSA
SHA1
ECDSA
SHA256
Feedback
O NIST escolhe algoritmos aprovados com base em técnicas de chave públicas e ECC. Os
algoritmos de assinatura digital aprovados são DSA, RSA e ECDSA.
The correct answers are: DSA, RSA, ECDSA
12- Uma violação recente em uma empresa foi atribuída à capacidade de um hacker
de acessar o banco de dados corporativo por meio do site da empresa, com o uso de
dados malformados em um formulário de login. Qual é o problema com o site da
empresa?
Select one:
validação de entrada pobre
falta de patches de sistema operacional
nomes de usuário ruins
criptografia fraca
Feedback
A capacidade de transmitir dados malformados através de um site é uma forma de
validação de entrada pobre.
The correct answer is: validação de entrada pobre
13- Qual é o padrão para uma infraestrutura de chave pública gerenciar certificados
digitais?
Select one:
x.503
x.509
PKI
NIST-SP800
Feedback
O padrão x.509 é para uma infraestrutura PKI e x.500 é para estruturas de diretório.
The correct answer is: x.509
14- Um e-mail recente enviado para toda a empresa afirmou que haveria uma
mudança na política de segurança. O oficial de segurança que acreditava-se ter
enviado a mensagem afirmou que ela não foi enviada do departamento de segurança,
e a empresa pode ter sido vítima de um e-mail falso. O que poderia ter sido
adicionado à mensagem para garantir que ela de fato veio dessa pessoa?
Select one:
não rejeição
chave assimétrica
hashing
assinatura digital
Feedback
As assinaturas digitais garantem a não rejeição ou a capacidade de não negar que uma
pessoa específica enviou uma mensagem.
The correct answer is: assinatura digital
15- Um investigador encontra uma unidade de USB na cena do crime e quer
apresentá-lo como prova no tribunal. O investigador leva a unidade de USB, cria uma
imagem forense dela e leva um hash do dispositivo USB original e da imagem que foi
criada. O que o investigador deseja provar sobre a unidade de USB quando a prova
for apresentada no tribunal?
Select one:
Os dados da imagem são uma cópia exata, e nada foi alterado pelo processo.
Os dados estão todos lá.
Não pode ser feita uma cópia exata de um dispositivo.
O investigador encontrou uma unidade de USB e conseguiu fazer uma cópia dela.
Feedback
Uma função hash garante a integridade de um programa, arquivo ou dispositivo.
The correct answer is: Os dados da imagem são uma cópia exata, e nada foi alterado pelo
processo.
16- Um usuário baixa de um site um driver atualizado para uma placa de vídeo. Uma
mensagem de aviso aparece na tela dizendo que o driver não é aprovado. O que está
faltando nesta parte do software?
Select one:
assinatura digital
reconhecimento de código
código fonte
ID válida
Feedback
A assinatura de código é um método de verificação de integridade do código
The correct answer is: assinatura digital
17- Um usuário está avaliando a infraestrutura de segurança de uma empresa e
percebe que alguns sistemas de autenticação não estão usando as melhores práticas
relacionadas ao armazenamento de senhas. O usuário consegue decifrar senhas
muito rápido e acessar dados confidenciais. O usuário deseja apresentar uma
recomendação para a empresa sobre a implementação adequada de salting para
evitar técnicas de violação de senha. Quais são as três melhores práticas na
implementação de salting? (Escolha três.)
Select one or more:
Um salt deve ser exclusivo para cada senha.
Um salt deve ser exclusivo.
Salts devem ser curtos.
Um salt não deve ser reutilizado.
Salts não são uma prática recomendada eficiente.
O mesmo salt deve ser usado para cada senha.
Feedback
O salting deve ser exclusivo e não reutilizado. Fazer o oposto fará com que senhas sejam
quebradas facilmente.
The correct answers are: Um salt deve ser exclusivo para cada senha., Um salt não deve
ser reutilizado., Um salt deve ser exclusivo.
18- Alice e Bob usam a mesma senha para efetuar login na rede da empresa. Isto
significa que os dois têm o mesmo hash exato para suas senhas. O que poderia ser
implementado para impedir que os dois hashes das senhas sejam iguais?
Select one:
salting
gerador pseudoaleatório
granulação
RSA
Feedback
Uma senha é armazenada como uma combinação de um hash e um salt.
The correct answer is: salting
19- Quais são os três tipos de ataques que podem ser evitados ao utilizar salting?
(Escolha três.)
Select one or more:tabelas de pesquisa reversa
adivinhação
phishing
rainbow tables
navegação bisbilhoteira
engenharia social
tabelas de pesquisa
Feedback
O salting faz com que tabelas pré-calculadas não tenham efeito devido à sequência
aleatória que é usada.
The correct answers are: tabelas de pesquisa, tabelas de pesquisa reversa, rainbow tables
20- Um usuário é o administrador do banco de dados de uma empresa. Foi solicitado
que um usuário implementasse uma regra de integridade, que declarasse que todas
as tabelas devem ter uma chave primária e que a coluna ou as colunas escolhidas
como chave primária devem ser exclusivas e não nulas. Qual requisito de integridade
o usuário está implementando?
Select one:
integridade da anomalia
integridade do domínio
integridade referencial
integridade da entidade
Feedback
Existem três requisitos principais de integridade do banco de dados: entidade, referencial e
integridade do domínio.
The correct answer is: integridade da entidade
Teste do Capítulo 6
1- É solicitado que um usuário crie um plano de recuperação de desastres para uma
empresa. O usuário precisa de algumas respostas da gestão antes de prosseguir.
Quais são as três perguntas que o usuário deve fazer à gestão como parte do
processo de criação do plano? (Escolha três.)
Select one or more:
Qual é o processo?
Quanto tempo o processo demora?
Quem é o responsável pelo processo
Onde o indivíduo realiza o processo?
O processo precisa de aprovação?
O indivíduo consegue executar o processo?
Feedback
Planos de recuperação de desastres são feitos com base na importância de um serviço ou
processo. As respostas às perguntas quem, o quê, onde e por quê são necessárias para um
plano ser bem-sucedido.
The correct answers are: Qual é o processo?, Quem é o responsável pelo processo, Onde o
indivíduo realiza o processo?
2- Um usuário precisa adicionar redundância aos roteadores em uma empresa. Quais
são as três opções que ele pode usar? (Escolha três.)
Select one or more:
GLBP
IPFIX
VRRP
HSRP
STP
RAID
Feedback
Os três protocolos que fornecem redundância de gateway padrão incluem VRRP, HSRP e
GLBP.
The correct answers are: HSRP, VRRP, GLBP
3- Um usuário é um consultor contratado para preparar um relatório para o
Congresso sobre quais setores devem manter disponibilidade cinco noves
obrigatoriamente. Quais são os três setores que o usuário deve incluir no relatório?
(Escolha três.)
Select one or more:
serviços de saúde
serviços de alimentação
educação
varejo
finanças
segurança pública
Feedback
Setores importantes para a vida cotidiana como segurança pública, serviços de saúde e
finanças deveriam ter sistemas disponíveis 99,999% do tempo (o princípio dos cinco noves).
The correct answers are: finanças, serviços de saúde, segurança pública
4- Um usuário está executando uma auditoria de rotina do hardware do servidor no
data center da empresa. Vários servidores estão usando unidades únicas para
hospedar sistemas operacionais e vários tipos de soluções de conexão de
armazenamento para armazenar dados. O usuário quer oferecer uma solução melhor
para fornecer tolerância a falhas durante uma falha no disco. Qual é a melhor
solução?
Select one:
backup em fita
backup externo
UPS
RAID
Feedback
A tolerância a falhas aborda um ponto único de falha, que neste caso são os discos rígidos.
The correct answer is: RAID
5- Um usuário foi contratado como o novo chefe da segurança. Um dos primeiros
projetos foi fazer o inventário dos recursos da empresa e criar um banco de dados
abrangente. Quais são três elementos de informação que o usuário desejaria obter
para este banco de dados de ativos? (Escolha três.)
Select one or more:
dispositivos de rede de hardware
sistemas operacionais
senhas
estações de trabalho
usuários
grupos
Feedback
Os recursos incluem todos os dispositivos de hardware e seus sistemas operacionais.
The correct answers are: sistemas operacionais, dispositivos de rede de hardware, estações
de trabalho
6- Uma empresa está preocupada com o tráfego que flui através da rede. Há uma
preocupação de que possa haver malware que não está sendo bloqueado ou
erradicado pelo antivírus. Qual tecnologia pode ser implantada para detectar possível
tráfego de malware na rede?
Select one:
NAC
IDS
firewall
IPS
Feedback
Um sistema passivo que possa analisar o tráfego é necessário para detectar malware na
rede e enviar alertas.
The correct answer is: IDS
7- Um usuário está avaliando a infraestrutura de rede de uma empresa. O usuário
nota muitos sistemas redundantes e dispositivos em vigor, mas nenhuma avaliação
geral da rede. Em um relatório, o usuário enfatizou os métodos e as configurações
necessários como um todo para tornar a rede tolerante a falhas. Qual é o tipo de
projeto que o usuário está enfatizando?
Select one:
spanning tree
resiliente
abrangente
disponibilidade
Feedback
Para implantar um projeto resiliente, é fundamental compreender as necessidades de uma
empresa e depois incorporar a redundância para tratar dessas necessidades.
The correct answer is: resiliente
8- Um usuário concluiu um projeto de seis meses para identificar a localização de
dados e catalogá-las. O próximo passo é classificar os dados e produzir alguns
critérios sobre a confidencialidade dos dados. Quais são os dois passos que o
usuário pode seguir para classificar os dados? (Escolher dois.)
Select one or more:
Determinar com que frequência é feito o backup dos dados.
Determinar as permissões para os dados.
Estabelecer o proprietário dos dados.
Tratar todos os dados da mesma forma.
Identificar a confidencialidade dos dados.
Determinar o usuário dos dados.
Feedback
A categorização de dados é um processo para determinar primeiro o proprietário dos dados
e depois sua confidencialidade.
The correct answers are: Estabelecer o proprietário dos dados., Identificar a
confidencialidade dos dados.
9- Ocorreu uma violação de segurança em uma grande corporação. A equipe de
incidentes respondeu e executou seu plano de resposta a incidentes. Durante qual
fase são aplicadas as lições aprendidas?
Select one:
recuperação
detecção
pós-incidente
contenção
análise
preparação
Feedback
Um dos aspectos principais de um plano de resposta a incidentes é olhar como o
monitoramento pode ser melhorado e a gestão pode ajudar a minimizar o impacto nas
atividades. Isso geralmente ocorre após o incidente ser tratado.
The correct answer is: pós-incidente
10- É solicitado a um usuário que avalie a postura de segurança da empresa. O
usuário analisa as tentativas anteriores de invasão na empresa e avalia as ameaças e
os riscos para criar um relatório. Qual tipo de análise de risco o usuário pode
realizar?
Select one:
qualitativa
subjetiva
optativa
objetiva
Feedback
Duas abordagens para a análise de risco são a quantitativa e a qualitativa. A análise
qualitativa se baseia em opiniões e cenários.
The correct answer is: qualitativa
11- Um usuário está reprojetando uma rede para uma pequena empresa e quer
garantir segurança a um preço razoável. O usuário implanta um novo firewall com
reconhecimento de aplicativos com recursos de detecção de intrusão na conexão
com o ISP. O usuário instala um segundo firewall para separar a rede da empresa da
rede pública. Além disso, o usuário instala um IPS na rede interna da empresa. Qual
abordagem o usuário está implementando?
Select one:
baseada em risco
estruturada
sobreposta
baseada em ataque
Feedback
Usar diferentes defesas em vários pontos da rede cria uma abordagem sobreposta.
The correct answer is: sobreposta
12- É solicitado que um usuário avalie o data center para melhorar a disponibilidade
para os clientes. O usuário percebe que há apenas uma conexão ISP, parte do
equipamento está fora da garantia, há peças sobressalentes e ninguém estava
monitorando o UPS que foi acionado duas vezes em um mês. Quais são as três
deficiências de alta disponibilidade identificadas pelo usuário? (Escolha três.)
Select one or more:
falha ao proteger contra a manutenção ruim
falhaao evitar incidentes de segurança
falha do design para confiabilidade
falha ao identificar problemas de gestão
pontos únicos de falha
falha na detecção de erros à medida em que ocorrem
Feedback
Um data center precisa ser projetado desde o início para a alta disponibilidade sem pontos
únicos de falha.
The correct answers are: pontos únicos de falha, falha na detecção de erros à medida em
que ocorrem, falha do design para confiabilidade
13- Um usuário foi contratado por uma empresa para fornecer uma infraestrutura de
rede altamente disponível. O usuário quer implementar redundância de rede em caso
de falha de switch, mas quer evitar loop de camada 2. O que o usuário poderia
implementar na rede?
Select one:
HSRP
Spanning Tree Protocol
GLBP
VRRP
Feedback
Os loops e quadros duplicados lavam ao desempenho ruim de uma rede com switches. O
Spanning Tree Protocol (STP) fornece um caminho sem loop através da rede baseada em
switch.
The correct answer is: Spanning Tree Protocol
14- Um usuário está comprando um novo servidor para o data center da empresa. O
usuário quer que haja striping de disco com paridade em três discos. Qual o nível de
RAID o usuário deve implementar?
Select one:
1
1+0
5
0
Feedback
A distribuição de RAID 5 com paridade seria a melhor escolha.
The correct answer is: 5
15- Uma equipe foi convidada a criar um plano de resposta a incidentes para
incidentes de segurança. Em qual fase de um plano de resposta a incidentes a equipe
precisa que a administração aprove o plano?
Select one:
detecção
preparação
recuperação
análise
pós-incidente
contenção
Feedback
Ao criar um plano de incidentes para uma empresa, a equipe vai precisar conquistar a
gestão em relação ao plano durante a fase de planejamento inicial.
The correct answer is: preparação
16- O CEO de uma empresa está preocupado com a possibilidade de, no caso de
ocorrer uma violação de dados e dados de cliente serem expostos, a empresa ser
processada. O CEO toma a decisão de contratar um seguro para a empresa. Que tipo
de mitigação de risco o CEO está implementando?
Select one:
mitigação
avoidance (prevenção de congestionamento)
de transferência
redução
Feedback
Contratar seguro transfere o risco para terceiros.
The correct answer is: de transferência
Teste do Capítulo 7
1- O gerente do suporte de desktop quer minimizar o período de inatividade para
estações de trabalho que falham ou têm outros problemas relacionados ao software.
Quais são as três vantagens do uso da clonagem de disco? (Escolha três.)
Select one or more:
facilidade de implantar novos computadores na empresa
corte no número de funcionários necessários
garante a compatibilidade do sistema
pode fornecer um backup completo do sistema
garante uma máquina com imagem limpa
cria maior diversidade
Feedback
A clonagem de disco pode ser uma maneira eficaz de manter um parâmetro para servidores
e estações de trabalho. Não é um método de corte de gastos.
The correct answers are: facilidade de implantar novos computadores na empresa, pode
fornecer um backup completo do sistema, garante uma máquina com imagem limpa
2- Um administrador de um data center pequeno quer um método flexível e seguro de
conectar-se remotamente aos servidores. Qual protocolo seria melhor usar?
Select one:
Secure Shell
Telnet
Cópia segura
Área de Trabalho Remota
Feedback
Como hackers fazer sniffing de tráfego e conseguem ler senhas de texto sem criptografia,
todas as conexões precisam ser criptografadas. Além disso, uma solução não deve
depender do sistema operacional.
The correct answer is: Secure Shell
3- Um estagiário começou a trabalhar no grupo de suporte. Um de seus deveres é
definir a política local para senhas nas estações de trabalho. Qual ferramenta seria
melhor usar?
Select one:
administração de sistemas
controle de contas
secpol.msc
grpol.msc
política de senhas
Feedback
Políticas locais não são políticas de grupo e só funcionam na máquina local. As políticas
locais podem, no entanto, ser sobrescritas se a máquina fizer parte de um domínio do
Windows.
The correct answer is: secpol.msc
4- Quais são os três tipos de problemas de energia com os quais um técnico deve se
preocupar? (Escolha três.)
Select one or more:
spark
flicker
fuzzing
blecaute
blecaute parcial
Pico
Feedback
Problemas de energia podem incluir aumento, diminuição ou alteração repentinos na
energia e incluem o seguinte:
● Pico
● Surto de tensão
● Falha
● Blecaute
● Sag/dip
● Queda de energia
● Corrente de fluxo contrário
The correct answers are: Pico, blecaute parcial, blecaute
5- Pede-se para um usuário analisar o estado atual de um sistema operacional do
computador. A que o usuário deve comparar o estado atual do sistema a im de
identificar possíveis vulnerabilidades?
Select one:
um teste de intrusão
uma baseline
uma lista negra
uma lista de permissão
uma varredura de vulnerabilidade
Feedback
Uma baseline permite que um usuário execute uma comparação sobre o desempenho de
um sistema. O usuário pode, em seguida, comparar o resultado com a baseline esperada.
Esse processo permite que o usuário identifique possíveis vulnerabilidades.
The correct answer is: uma baseline
6- Qual é a diferença entre um HIDS e um firewall?
Select one:
Um HIDS bloqueia intrusões, enquanto um firewall as filtra.
Um HIDS funciona como um IPS, enquanto um firewall só monitora o tráfego.
Um firewall permite e nega o tráfego com base em regras e um HIDS monitora o tráfego de
rede.
Um firewall executa a filtragem de pacotes e, portanto, tem eficácia limitada, enquanto um
HIDS bloqueia intrusões.
Um HIDS monitora sistemas operacionais em computadores host e processa a atividade do
sistema de arquivos. Os firewalls permitem ou negam o tráfego entre o computador e outros
sistemas.
Feedback
Para monitorar a atividade local, um HIDS deve ser implementado. Monitores de atividade
de rede estão preocupados com a atividade de tráfego e não com o sistema operacional.
The correct answer is: Um HIDS monitora sistemas operacionais em computadores host e
processa a atividade do sistema de arquivos. Os firewalls permitem ou negam o tráfego
entre o computador e outros sistemas.
7- O gerente de um departamento suspeita que alguém está tentando invadir os
computadores à noite. É solicitado que você descubra se isso está mesmo
acontecendo. Qual tipo de registro você ativaria?
Select one:
sistema operacional
syslog
Windows
auditoria
Feedback
Registros de auditoria podem rastrear as tentativas de autenticação de usuário em estações
de trabalho e podem revelar se alguma tentativa de invasão foi feita.
The correct answer is: auditoria
8- Um usuário faz uma solicitação para implementar um serviço de gerenciamento de
patches para uma empresa. Como parte da requisição, o usuário precisa fornecer
uma justificativa para a solicitação. Quais são as três razões pelas quais o usuário
pode justificar o pedido? (Escolha três.)
Select one or more:
a capacidade dos usuários selecionarem atualizações
a probabilidade de economia em armazenamento
não oferta de oportunidade aos usuários de contornarem as atualizações
a capacidade de obter relatórios sobre sistemas
a necessidade de sistemas serem conectados diretamente à Internet
a capacidade de controlar quando ocorrem as atualizações
Feedback
Um serviço de gerenciamento de patches pode fornecer um controle maior sobre o
processo de atualização por um administrador. Ele elimina a necessidade da intervenção do
usuário.
The correct answers are: a capacidade de obter relatórios sobre sistemas, a capacidade de
controlar quando ocorrem as atualizações, não oferta de oportunidade aos usuários de
contornarem as atualizações
9- Por qual motivo WEP não deve ser usado em redes sem fio hoje em dia?
Select one:
seu uso de senhas de texto sem criptografia
pode ser facilmente decifrado
sua falta de compatibilidade
sua falta de criptografia
seu envelhecimento
Feedback
Apesar das melhorias, o WEP ainda é vulnerável a vários problemas de segurança,
inclusiveà capacidade de ser decifrada.
The correct answer is: pode ser facilmente decifrado
10- Um usuário propõe a compra de uma solução de gerenciamento de patches para
uma empresa. O usuário quer fornecer motivos pelos quais a empresa deveria gastar
dinheiro nessa solução. Quais benefícios o gerenciamento de patches oferece?
(Escolha três.)
Select one or more:
As atualizações podem ser forçadas imediatamente nos sistemas.
Os administradores podem aprovar ou negar patches.
As atualizações não podem ser contornadas pelo usuário.
Os patches podem ser gravados rapidamente.
Os patches podem ser escolhidos pelo usuário.
Os computadores exigem uma conexão à Internet para receber patches.
Feedback
Um sistema de gerenciamento de patches centralizado pode acelerar a implantação de
patches e automatizar o processo. Outras boas razões para usar um serviço de atualização
automática de patch incluem o seguinte:
● Os administradores controlam o processo de atualização.
● São gerados relatórios.
● As atualizações são fornecidas de um servidor local.
● Os usuários não podem contornar o processo de atualização.
The correct answers are: Os administradores podem aprovar ou negar patches., As
atualizações podem ser forçadas imediatamente nos sistemas., As atualizações não podem
ser contornadas pelo usuário.
11- Uma empresa deseja implementar o acesso biométrico em seu data center. A
empresa está preocupada com as pessoas conseguirem contornar o sistema ao
serem aceitas de forma incorreta como usuários legítimos. Que tipo de erro é a falsa
aceitação?
Select one:
rejeição falsa
CER
Tipo II
Tipo I
Feedback
Existem dois tipos de erros que a biometria pode ter: falsa aceitação e falsa rejeição.
Aceitação falsa é um erro Tipo II. Os dois tipos podem se cruzar em um ponto chamado
Crossover Error Rate.
The correct answer is: Tipo II
12- Um usuário liga para o suporte técnico e reclama que um aplicativo foi instalado
no computador e o aplicativo não consegue se conectar à Internet. Não há alertas de
antivírus e o usuário consegue navegar na Internet. Qual é a causa mais provável do
problema?
Select one:
aplicação corrompida
firewall do computador
necessidade de uma reinicialização do sistema
permissões
Feedback
Ao solucionar um problema do usuário, busque alguns problemas comuns que impediriam
que um usuário executasse uma função.
The correct answer is: firewall do computador
13- Quais dos três itens são malware? (Escolha três.)
Select one or more:
keylogger
cavalo de troia
vírus
anexos
Apt
e-mail
Feedback
O e-mail pode ser usado para entregar malware, mas ele sozinho não é o malware. O Apt é
usado para instalar ou remover o software em um sistema operacional Linux. Anexos
podem conter malware, mas nem sempre.
The correct answers are: cavalo de troia, vírus, keylogger
14- As empresas podem ter centros de operação diferentes que lidam com problemas
diferentes das operações de TI. Se um problema estiver relacionado à infraestrutura
de rede, qual centro de operação seria o responsável?
Select one:
SOC
NOC
RH
HVAC
Feedback
Centros de operação oferecem suporte a diferentes áreas de operação, inclusive de rede e
segurança. Cada um se concentra em partes específicas da estrutura de TI. O centro que
oferece suporte à segurança seria o SOC.
The correct answer is: NOC
15- Após uma auditoria de segurança de uma empresa, foi descoberto que várias
contas tinham acesso privilegiado a sistemas e dispositivos. Quais são as três
melhores práticas para proteger as contas privilegiadas que devem ser incluídas no
relatório de auditoria? (Escolha três.)
Select one or more:
Reduzir o número de contas privilegiadas.
Ninguém deve ter acesso privilegiado.
Apenas o CIO deve ter acesso privilegiado.
Somente os gerentes devem ter acesso privilegiado.
Proteger o armazenamento de senha.
Aplicação do princípio do privilégio mínimo.
Feedback
As melhores práticas implicam dar ao usuário apenas o que é necessário para fazer o
trabalho. Todos os privilégios adicionais devem ser acompanhados e auditados.
The correct answers are: Reduzir o número de contas privilegiadas., Proteger o
armazenamento de senha., Aplicação do princípio do privilégio mínimo.
16- O CIO quer proteger os dados nos notebooks da empresa com a implementação
de criptografia de arquivo. O técnico determina que o melhor método é criptografar
todos os discos rígidos usando o Windows BitLocker. Quais são as duas coisas
necessárias para implementar essa solução? (Escolher dois.)
Select one or more:
backup
TPM
gerenciamento de senha
pen drive USB
EFS
pelo menos dois volumes
Feedback
O Windows fornece um método para criptografar arquivos, pastas ou unidades de disco
rígido inteiras, dependendo da necessidade. No entanto, certas configurações e
configurações da BIOS são necessárias para implementar a criptografia em um disco rígido
inteiro.
The correct answers are: pelo menos dois volumes, TPM
17- Qual serviço resolve um endereço da Web específico em um endereço IP do
servidor da Web de destino?
Select one:
NTP
ICMP
DHCP
DNS
Feedback
O DNS resolve um endereço de site para o endereço IP real desse destino.
The correct answer is: DNS
18- A empresa tem muitos usuários remotos. Uma solução precisa ser encontrada
para que um canal de comunicação seguro seja estabelecido entre a empresa e o
local remoto dos usuários. Qual das opções é uma boa solução para essa situação?
Select one:
modem
PPP
VPN
T1
fibra
Feedback
Quando uma VPN é usada, um usuário pode estar em qualquer local remoto, como em
casa ou em um hotel. A solução VPN é flexível no sentido de que linhas públicas podem ser
usadas para se conectar com segurança a uma empresa.
The correct answer is: VPN
19- Por que WPA2 é melhor que WPA?
Select one:
espaço da chave reduzido
uso obrigatório de algoritmos AES
tempo de processamento reduzido
suporte ao TKIP
Feedback
Uma boa maneira de lembrar os padrões de segurança sem fio é considerar como eles
evoluíram de WEP para WPA e depois para WPA2. Cada evolução aumentou as medidas
de segurança.
The correct answer is: uso obrigatório de algoritmos AES
20- Um PC novo é retirado da caixa, inicializado e conectado à Internet. Os patches
foram baixados e instalados. O antivírus foi atualizado Para fortalecer mais o sistema
operacional, o que pode ser feito?
Select one:
Instalar um firewall de hardware.
Desconectar o computador da rede.
Remover serviços e programas desnecessários.
Dar um endereço não roteável ao computador.
Remover a conta administrativa.
Desativar o firewall.
Feedback
Ao blindar um sistema operacional, patches e antivírus fazem parte do processo. Muitos
componentes extras são adicionados pelo fabricante que não são necessariamente
obrigatórios.
The correct answer is: Remover serviços e programas desnecessários.
21- Um usuário liga para o suporte técnico reclamando que a senha para acessar a
rede sem fio foi alterada sem aviso prévio. O usuário tem permissão para alterar a
senha, mas, uma hora depois, a mesma coisa ocorre. O que pode estar acontecendo
nessa situação?
Select one:
access point invasor
política de senhas
notebook do usuário
senha fraca
erro do usuário
Feedback
Ataques man in the middle são uma ameaça que resulta em dados e credenciais perdidas.
Esse tipo de ataque pode ocorrer por motivos diferentes, inclusive sniffing de tráfego.
The correct answer is: access point invasor
Teste do Capítulo 8
1- Uma falha ocorre em uma empresa que processa informações de cartão de crédito.
Qual é a lei específica do setor que rege a proteção de dados de cartão de crédito?
Select one:
ECPA
PCI DSS
GLBA
SOX
Feedback
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
administra a proteção de dados de cartão de crédito à medida que comerciantes e bancos
fazem as transações.
The correct answer is: PCI DSS
2- Uma empresa implementou uma infraestrutura em nuvem privada. O administrador
de segurança é solicitado para proteger a infraestrutura de possíveis ameaças. Quaissão as três táticas que podem ser implementadas para proteger a nuvem privada?
(Escolha três.)
Select one or more:
Conceder direitos administrativos.
Atualizar dispositivos com correções e patches de segurança.
Testar tráfego de entrada e de saída.
Desativar firewalls.
Contratar um consultor.
Desativar ping, detecção e varredura de porta.
Feedback
As empresas podem gerenciar as ameaças para a nuvem privada usando os seguintes
métodos:
● Desativar ping, detecção e varredura de porta.
● Implementar sistemas de detecção e de prevenção contra invasão.
● Monitorar anomalias de tráfego IP de entrada.
● Atualizar dispositivos com correções e patches de segurança.
● Conduzir testes de penetração pós-configuração.
● Testar tráfego de entrada e de saída.
● Implementar um padrão de classificação de dados.
● Implementar o monitoramento e a varredura da transferência de arquivos para tipo
de arquivo desconhecido.
The correct answers are: Desativar ping, detecção e varredura de porta., Testar tráfego de
entrada e de saída., Atualizar dispositivos com correções e patches de segurança.
3- Como parte da política de recursos humanos em uma empresa, uma pessoa pode
recusar o compartilhamento de informações com terceiros que não sejam os
empregadores. Qual é a lei que protege a privacidade de informações pessoais
compartilhadas?
Select one:
SOX
GLBA
PCI
FIRPA
Feedback
O Gramm-Leach-Bliley Act (GLBA) inclui provisões de privacidade para os indivíduos e
fornece métodos para restringir o compartilhamento de informações com empresas de
terceiros.
The correct answer is: GLBA
4- Os visitantes não autorizados entraram em um escritório da empresa e estão
andando ao redor do edifício. Quais são as duas medidas que podem ser
implementadas para impedir o acesso de visitante não autorizado ao edifício?
(Escolher dois.)
Select one or more:
Estabelecer políticas e procedimentos para os convidados que visitam o edifício.
Realizar treinamento regularmente.
Fechar armários.
Proibir a saída do edifício durante o horário de trabalho.
Feedback
Qualquer pessoa não autorizada que acessa uma instalação pode representar uma possível
ameaça. As medidas comuns para aumentar a segurança física incluem o seguinte:
● Implementar controle de acesso e cobertura de circuito fechado de TV (CCTV) em
todas as entradas.
● Estabelecer políticas e procedimentos para os convidados que visitam as
instalações.
● Testar a segurança do edifício usando meios físicos para obter acesso de forma
secreta.
● Implementar a criptografia de crachá para acesso de entrada.
● Realizar treinamento regularmente.
● Implementar um sistema de identificação de ativo.
The correct answers are: Estabelecer políticas e procedimentos para os convidados que
visitam o edifício., Realizar treinamento regularmente.
5- Como um profissional de segurança, existe a possibilidade de ter acesso a dados
confidenciais e ativos. Qual é o item que um profissional de segurança deve
compreender para tomar decisões éticas informadas?
Select one:
provedores de nuvens
possível bônus
leis que regem os dados
parcerias
possível ganho
Feedback
A ética na profissão de segurança é extremamente importante por causa da
confidencialidade dos dados e ativos. A conformidade com requisitos de estado e de
governo é necessária para fazer bons julgamentos.
The correct answer is: leis que regem os dados
6- Um profissional de segurança é solicitado a executar uma análise da situação atual
da rede de uma empresa. Qual é a ferramenta que o profissional de segurança usaria
para verificar a rede apenas para os riscos de segurança?
Select one:
scanner de vulnerabilidades
pentest
malware
packet analyzer
Feedback
Os scanners de vulnerabilidades são comumente usados para verificar as seguintes
vulnerabilidades:
● Uso de senhas padrão ou senhas comuns
● Patches não instalados
● Portas abertas
● Erro de configuração de software e de sistemas operacionais
● Endereços IP ativos
The correct answer is: scanner de vulnerabilidades
7- Quais são os três serviços que o CERT proporciona? (Escolha três.)
Select one or more:
desenvolver ferramentas, produtos e métodos para realizar exames de computação forense
resolver vulnerabilidades de software
Impor padrões de software
desenvolver ferramentas, produtos e métodos para analisar vulnerabilidades
criar ferramentas de malware
desenvolver ferramentas de ataque
Feedback
O CERT proporciona vários serviços, incluindo:
● ajuda a resolver vulnerabilidades de software
● desenvolve ferramentas, produtos e métodos para realizar exames de computação
forense
● desenvolve ferramentas, produtos e métodos para analisar vulnerabilidades
● desenvolve ferramentas, produtos e métodos para monitorar redes grandes
● ajuda as empresas a determinar se suas práticas relacionadas à segurança são
eficazes
The correct answers are: resolver vulnerabilidades de software, desenvolver ferramentas,
produtos e métodos para analisar vulnerabilidades, desenvolver ferramentas, produtos e
métodos para realizar exames de computação forense
8- Uma empresa está tentando diminuir o custo na implantação de software comercial
e está considerando um serviço baseado em nuvem. Qual seria o melhor serviço
baseado em nuvem para hospedar o software?
Select one:
PaaS
Iaas
RaaS
SaaS
Feedback
O SaaS (software como serviço) proporciona o acesso ao software que é centralmente
hospedado e acessado por usuários por um navegador da Web na nuvem.
The correct answer is: SaaS
9- Um consultor é contratado para fazer recomendações sobre o gerenciamento de
ameaças do dispositivo em uma empresa. Quais são as três recomendações gerais
que podem ser feitas? (Escolha três.)
Select one or more:
Impor políticas rigorosas de RH.
Desativar os direitos de administrador dos usuários.
Ativar o bloqueio de tela.
Remover filtros de conteúdo.
Ativar verificações antivírus automatizadas.
Ativar dispositivos de mídia.
Feedback
As estações de trabalho podem ser fortalecidas com a remoção de permissões
desnecessárias, a automatização de processos e a ativação de funcionalidades de
segurança.
The correct answers are: Desativar os direitos de administrador dos usuários., Ativar o
bloqueio de tela., Ativar verificações antivírus automatizadas.
10- O que pode ser usado para avaliar ameaças por uma pontuação de impacto para
enfatizar vulnerabilidades importantes?
Select one:
ACSC
CERT
NVD
ISC
Feedback
O National Vulnerability Database (NVD) é usado para avaliar o impacto de vulnerabilidades
e pode auxiliar uma empresa a classificar a gravidade de vulnerabilidades encontradas em
uma rede.
The correct answer is: NVD
11- Um administrador de escola está preocupado com a divulgação de informações
de alunos devido a uma violação. As informações de alunos estão protegidas sob
qual lei?
Select one:
CIPA
FERPA
HIPPA
COPPA
Feedback
O Family Education Records and Privacy Act (FERPA) proíbe a divulgação inadequada de
registros de formação pessoal.
The correct answer is: FERPA
12- Quais são as duas possíveis ameaças para aplicações? (Escolher dois.)
Select one or more:
perda de dados
interrupções de energia
engenharia social
acesso não autorizado
Feedback
As ameaças a aplicações podem incluir o seguinte:
● Acesso não autorizado a data centers, salas de computador e armário de fiação
● Período de inatividade do servidor para manutenção
● Vulnerabilidade de software do sistema operacional de rede
● Acesso não autorizado a sistemas
● Perda de dados
● Período de inatividade de sistemas de TI por um tempo prolongado
● Vulnerabilidades de desenvolvimento de aplicativos cliente/servidor ou Web
The correct answers are: perda de dados, acesso não autorizado
13- Uma empresa teve vários incidentes envolvendo usuários que baixam software
não autorizado e usam sites não autorizados e dispositivos USB pessoais. O CIO
quer pôr em prática um esquema para gerenciar as ameaças do usuário. Quais são os
três itens que podem ser colocados em prática para gerenciar as ameaças? (Escolha
três.)
Selectone or more:
Monitorar todas as atividades pelos usuários.
Usar filtros de conteúdo.
Proporcionar treinamento.
Mudar para clientes finos.
Implementar a ação disciplinar.
Desativar o acesso de CD e USB.
Feedback
Se os usuários não receberem as instruções necessárias, não estarão a par dos problemas
que suas ações podem causar no computador. Com a implementação de várias práticas
técnicas e não técnicas, a ameaça pode ser reduzida.
The correct answers are: Desativar o acesso de CD e USB., Usar filtros de conteúdo.,
Proporcionar treinamento.
14- Quais são os dois itens que podem ser encontrados no site do Internet Storm
Center? (Escolher dois.)
Select one or more:
leis atuais
postagens de emprego InfoSec
relatórios InfoSec
informações históricas
Feedback
O site do Internet Storm Center tem um blog diário do InfoSec, ferramentas do InfoSec e
notícias entre outras informações do InfoSec.
The correct answers are: relatórios InfoSec, postagens de emprego InfoSec
15- Por que o Kali Linux é uma escolha comum para testar a segurança de rede de
uma empresa?
Select one:
Ele pode ser usado para interceptar e registrar o tráfego de rede.
É uma distribuição de segurança Linux de código aberto e contém mais de 300 ferramentas.
Ele pode ser usado para testar os pontos fracos apenas com software mal-intencionado.
É uma ferramenta de verificação de rede que prioriza os riscos de segurança.
Feedback
Kali é uma distribuição de segurança Linux de código aberto normalmente usada por
profissionais de TI para testar a segurança de redes.
The correct answer is: É uma distribuição de segurança Linux de código aberto e contém
mais de 300 ferramentas.
16- Um auditor é solicitado para avaliar a LAN de uma empresa em busca de
possíveis ameaças. Quais são as três ameaças possíveis que o auditor pode
apontar? (Escolha três.)
Select one or more:
detecção de rede e varredura de porta não autorizada
senhas complexas
um firewall desconfigurado
a política de uso aceitável
sistemas bloqueados
acesso desbloqueado ao equipamento de rede
Feedback
A LAN pode ter muitos dispositivos de terminal conectados. A análise dos dispositivos de
rede e dos endpoints conectados é importante na determinação de ameaças.
The correct answers are: acesso desbloqueado ao equipamento de rede, detecção de rede
e varredura de porta não autorizada, um firewall desconfigurado
17- Se uma pessoa acessar conscientemente um computador do governo sem
permissão, ela estará sujeita a quais leis federais?
Select one:
ECPA
GLBA
CFAA
SOX
Feedback
O Computer Fraud and Abuse Act (CFAA) fornece a base para as leis dos EUA que
criminalizam o acesso não autorizado a sistemas de computador.
The correct answer is: CFAA
18- Quais são as três maiores categorias para posições de segurança de
informações? (Escolha três.)
Select one or more:
seekers
monitores
criadores
infratores
construtores
definidores
Feedback
As posições de segurança de informações podem ser categorizadas como:
● definidores
● construtores
● monitores
The correct answers are: definidores, construtores, monitores