SEGURANÇA E AUDITORIA DE SISTEMAS A4

Prévia do material em texto

Atividade 4 
Uma auditoria de TI pode ser definida como qualquer auditoria que englobe a revisão 
e avaliação de sistemas automatizados de processamento de informações, processos 
não automatizados relacionados e as interfaces entre eles. As auditorias são sempre 
resultado de alguma preocupação com o gerenciamento de ativos. A parte envolvida 
pode ser uma agência reguladora, um proprietário de ativos ou qualquer parte 
interessada na operação do ambiente de sistemas. 
Qual configuração de auditoria controla os logs locais 
em um computador? 
 
 
 
 
 
 
 
 
 
 
Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa 
declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. 
A menos que não identifiquemos as ameaças pela Internet, não poderemos tomar 
medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à 
IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do 
invasor. 
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções 
a seguir e assinale a alternativa correta: 
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um 
invasor pode tentar obter acesso não autorizado ao dispositivo 
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de 
informações confidenciais 
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade 
computacional. 
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são 
menos suscetíveis a invasores. 
 
 
 
 
 
Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada 
é perfeito no mundo da tecnologia, nada está completamente seguro. Portanto, com o 
crescimento da IoT, há desafios para conter as ameaças relacionadas à IoT, a fim de 
alcançar todos os seus benefícios. 
De posse destas informações e do conteúdo estudado, analise as técnicas disponíveis 
a seguir e associe-as com suas respectivas características. 
I. Injeção SQL. 
II. DDoS. 
III. Rastreamento. 
IV. Força bruta. 
V. Phishing 
 
 
( ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de 
obter informações pessoais. 
( ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT. 
( ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando 
que uma funcione. 
( ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa 
responder às solicitações de serviço. 
( ) Este ataque executa uma consulta no banco de dados por meio dos dados de 
entrada do cliente para o servidor. 
Agora, assinale a alternativa que apresenta a sequência correta: 
 
 
 
 
 
Quando falamos em computação em nuvem, algumas empresas optam por 
implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo 
que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma 
empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa 
infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone 
que pode ser "alugado" por outras empresas. 
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS 
(Infraestrutura como Serviço)? 
 
 
 
Para que seja considerada "computação em nuvem", você precisa acessar seus dados 
ou programas pela Internet, ou pelo menos ter esses dados sincronizados com outras 
informações na Web. No entanto, ainda existem preocupações com a segurança, 
especialmente para as empresas que movem seus dados entre muitos serviços em 
nuvem, o que levou ao crescimento de ferramentas de segurança em nuvem. 
 
Como é possível obter a confidencialidade destes dados e informações na nuvem? 
 
 
 
 
 
 
O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, 
mas agora está conectado aos objetos circundantes, trocando dados e informações. 
Duas características de um objeto em IoT é que ele possa ser localizado e identificado 
em qualquer lugar no espaço e no tempo. Em IoT, depois que um dispositivo é 
identificado e autenticado, o sistema de controle de acesso precisa atribuí-lo a um 
segmento de rede específico automaticamente. 
 
Dentro deste contexto, quais são os três tipos de controle de acesso para um 
dispositivo IoT em um sistema de informação? 
 
 
 
Um dos principais objetivos de uma política de segurança é fornecer proteção - 
proteção para sua organização e seus funcionários. As políticas de segurança 
protegem as informações críticas/propriedade intelectual de sua organização, 
descrevendo claramente as responsabilidades dos funcionários com relação a quais 
informações precisam ser protegidas e por quê. 
Qual das seguintes opções MELHOR ajuda os proprietários das informações a 
classificar os dados corretamente? 
 
 
 
 
 
Existem dois tipos de ameaça à segurança em IoT: ameaça humana e uma ameaça 
natural (terremoto, incêndio, enchente, tsunami, etc). Qualquer ameaça que ocorra 
devido a calamidades naturais pode causar danos graves aos dispositivos de IoT. 
Nesses casos, é criada uma volta para proteger os dados. Entretanto, qualquer dano a 
esses dispositivos não pode ser reparado. Por outro lado, fazemos tudo para conter as 
ameaças humanas aos dispositivos IoT. 
Assinale quais são os exemplos de ataque maliciosos: 
 
 
 
 
 
 
 
 
Os serviços de computação em nuvem abrangem uma vasta gama de opções, desde 
o básico de armazenamento, rede e poder de processamento até processamento de 
linguagem natural e inteligência artificial, além de aplicativos padrões de escritório. 
Devido ao grande número de opções, cresce a preocupação com a segurança. 
 
Dentre as afirmações a seguir, marque a correta: 
 
 
 
 
Os certificados digitais são emitidos para indivíduos por uma autoridade de certificação 
(CA), uma empresa privada que cobra do usuário ou do destinatário a emissão de um 
certificado. As organizações usam certificados digitais para verificar as identidades das 
pessoas e organizações com as quais fazem negócios e precisam confiar. 
 
Quando um certificado é revogado, qual é o procedimento adequado?