Resposta Comentada de Prova Tempest

Prévia do material em texto

Conhecimento Gerais em Segurança/Computação
1. Para manter as boas práticas de segurança em roteadores, existem algumas ações que devemos validar e manter. Dentre as respostas abaixo, escolha a que não é relevante para esse ativo:
Validar o uso de credenciais de acesso ditas como fortes
Minimizar ao máximo usuários privilegiados administradores
Revisar os acessos privilegiados na console do ativo
Validar senha de usuários de domínio - Resposta V
Validar senha de usuários de domínio não é uma ação relevante para manter as boas práticas de segurança em roteadores.
Para manter as boas práticas de segurança em roteadores, é importante validar o uso de credenciais de acesso ditas como fortes, ou seja, senhas seguras que possuam uma combinação de letras, números e símbolos. Também é importante minimizar ao máximo o uso de usuários privilegiados administradores, pois esses usuários possuem privilégios de acesso mais elevados e podem realizar alterações críticas no sistema. Além disso, é importante revisar regularmente os acessos privilegiados na console do ativo para garantir que apenas usuários autorizados tenham acesso a essas funções.
2. Dos servidores abaixo, qual o que geralmente não fica localizado na DMZ?
Web.
Correio eletrônico. - Resposta V
FTP.
Arquivos.
Geralmente, o servidor de correio eletrônico não fica localizado na DMZ (zona desmilitarizada).
A DMZ é uma área de rede que fica entre a rede interna de uma empresa e a internet. Ela é projetada para ser uma camada de segurança adicional, permitindo que os servidores expostos à internet, como o servidor web e o servidor FTP, possam ser acessados externamente, enquanto ainda protegendo a rede interna. Os servidores de arquivos também podem ser colocados na DMZ se precisarem ser acessados externamente.
O servidor de correio eletrônico, por outro lado, geralmente fica localizado na rede interna da empresa, pois é um servidor crítico que armazena informações confidenciais e deve ser protegido de acessos não autorizados. Alguns administradores de rede podem colocar o servidor de correio eletrônico na DMZ, mas isso é menos comum do que colocar outros tipos de servidores nessa área.
3. Qual dos componentes listados é responsável por ditar especificamente como esta virtualização vai ocorrer no sistema?
Partição raiz.
Hypervisor. - Resposta V
Hyper-V.
VM.
O hypervisor é o componente responsável por ditar especificamente como a virtualização vai ocorrer no sistema.
O hypervisor é um software ou um hardware que permite a criação de múltiplas máquinas virtuais em um único sistema físico. Ele gerencia a alocação de recursos de hardware, como CPU, memória e armazenamento, entre as máquinas virtuais e o sistema físico. O hypervisor também é responsável por garantir que cada máquina virtual tenha acesso exclusivo aos recursos alocados a ela, o que permite que cada máquina virtual execute seu próprio sistema operacional e aplicativos de maneira independente.
A partição raiz é uma partição de disco rígido que é criada quando um sistema operacional é instalado e que armazena os arquivos de sistema essenciais para o funcionamento do sistema. O Hyper-V é um hypervisor criado pela Microsoft que é utilizado para criar e gerenciar máquinas virtuais no Windows. A VM (Virtual Machine, ou Máquina Virtual, em português) é o termo geralmente usado para se referir a uma máquina virtual, ou seja, um ambiente em que é possível executar um sistema operacional e aplicativos de maneira independente em um sistema físico.
4. Qual das características de um ambiente virtualizado é também uma característica presente na computação em nuvem?
Segurança.
Elasticidade. - Resposta V
Flexibilidade.
Disponibilidade.
Elasticidade é uma característica de um ambiente virtualizado que também é presente na computação em nuvem.
Elasticidade se refere à capacidade de um sistema de aumentar ou diminuir a capacidade de processamento, armazenamento ou outros recursos de acordo com a demanda. Isso é importante em ambientes virtualizados, pois permite que as máquinas virtuais compartilhem os recursos de hardware do sistema físico de maneira dinâmica, aumentando ou diminuindo a alocação de recursos de acordo com a necessidade. A elasticidade também é uma característica importante da computação em nuvem, pois permite que as empresas ajustem a capacidade de processamento e armazenamento de acordo com as necessidades do momento, sem a necessidade de adquirir e gerenciar hardware físico.
Além da elasticidade, a computação em nuvem também possui outras características, como flexibilidade, disponibilidade e segurança, que são também presentes em ambientes virtualizados. Flexibilidade se refere à capacidade de um sistema de ajustar rapidamente a demanda, enquanto disponibilidade se refere à capacidade de um sistema de manter altos níveis de performance e disponibilidade. Segurança é a proteção de dados e sistemas contra acessos não autorizados e outros tipos de ameaças.
5. Qual dos protocolos abaixo não é utilizado para proteger os dados em trânsito?
HTTPS.
TLS.
IPSec.
IPX. - Resposta V
IPX (Internetwork Packet Exchange) não é um protocolo utilizado para proteger os dados em trânsito.
HTTPS (Hypertext Transfer Protocol Secure) é um protocolo de rede utilizado para proteger a comunicação entre um cliente e um servidor através de criptografia. Ele é baseado no protocolo HTTP, mas adiciona criptografia para proteger os dados durante a transferência. TLS (Transport Layer Security) é um protocolo de segurança da camada de transporte que também é utilizado para criptografar a comunicação entre dois sistemas.
IPSec (Internet Protocol Security) é um conjunto de protocolos de segurança que protegem os dados em trânsito através da criptografia de pacotes de dados na camada de rede do modelo OSI. Ele é comumente utilizado para proteger a comunicação entre dois sistemas através de uma rede privada virtual (VPN).
IPX, por outro lado, é um protocolo de rede utilizado para comunicação entre computadores em uma rede local. Ele não é utilizado para proteger os dados em trânsito e não é amplamente utilizado atualmente, sendo substituído por outros protocolos mais modernos, como o TCP/IP.
6. Qual das seguintes frases melhor descreve o que é ITIL? 
Um modelo para gerenciamento de projetos. 
Um framework que contém orientações para gerenciamento de serviços de TI. - Resposta V
Uma biblioteca desenvolvida apenas para tratar de questões relacionadas ao gerenciamento de infraestrutura de TI. 
Uma norma de certificação de provedores de serviços de TI.
Um framework que contém orientações para gerenciamento de serviços de TI.
ITIL (Information Technology Infrastructure Library) é um framework de gerenciamento de serviços de TI que fornece orientações e melhores práticas para a gestão de serviços de TI. Ele foi desenvolvido pelo governo do Reino Unido e é amplamente utilizado em empresas e organizações em todo o mundo. O ITIL abrange uma ampla gama de tópicos relacionados ao gerenciamento de serviços de TI, incluindo a estrutura de gerenciamento de serviços, o ciclo de vida dos serviços, a medição e o gerenciamento de níveis de serviço, entre outros.
ITIL não é um modelo para gerenciamento de projetos, uma biblioteca desenvolvida apenas para tratar de questões relacionadas ao gerenciamento de infraestrutura de TI ou uma norma de certificação de provedores de serviços de TI. Ele é um framework de gerenciamento de serviços de TI que fornece orientações e melhores práticas para a gestão de serviços de TI em uma empresa ou organização.
7. Utilizando quais dos seguintes serviços podemos resolver nomes para endereços IP? (Escolha duas opções)
HTTPS.
WINS. - Resposta V
DHCP.
SMTP.
LDAP.
DNS. - Resposta V
8. Uma empresa necessita contratar um serviço em nuvem que contenha servidor de e-mail e que possua uma ferramenta que permita edição de textos e planilhas direto no navegador, sem a necessidade da instalação de softwares adicionais nos computadores. Sabendo dos requisitos acima, o modelo de serviço em nuvem adotado será?PaaS.
SaaS. - Resposta V
laaS.
DaaS.
SaaS (Software as a Service). Esse modelo de serviço em nuvem permite que a empresa acesse aplicativos e ferramentas via internet, sem precisar se preocupar com a instalação ou manutenção de softwares ou hardware. O provedor do serviço é responsável por gerenciar a infraestrutura e o acesso aos recursos, enquanto a empresa paga por um plano de assinatura que inclui os serviços que precisa. Nesse caso, a empresa poderia contratar um serviço de e-mail e ferramentas de edição de texto e planilhas via browser, sem precisar se preocupar com a instalação ou manutenção de qualquer software adicional.
9. Após um usuário verificar que não está sendo possível acessar determinado site, qual dos comandos abaixo um administrador solicita para o usuário executar no Windows, de modo a verificar o tráfego de saída ao destino?
traceroute
tracert - Resposta V
ping
telnet
tracert (trace route). O comando tracert é utilizado para rastrear o caminho que um pacote de dados percorre até um determinado destino. Ele exibe cada salto na rota e o tempo que leva para o pacote atingir cada um dos roteadores intermediários. Esse comando é útil para identificar problemas de conectividade e para identificar o local de falhas ou atrasos na rede. Para utilizá-lo, o usuário deve abrir o prompt de comando (cmd) e digitar o comando tracert seguido do endereço IP ou nome do domínio do destino. Por exemplo:
tracert www.google.com
Isso exibirá a rota que o pacote de dados percorre até chegar ao servidor do Google.
10. Há uma crescente preocupação em segurança da informação na criação dos produtos baseados software. Dado o cenário, qual a afirmação melhor descreve ações que mitiguem tal preocupação?
Utilizar um processo de ciclo de desenvolvimento seguro. - Resposta V
Não é necessário a adição de atividades extras no processo de desenvolvimento, visto que o DevSecOps mitiga tais problemas.
Cada empresa tem um modo próprio de aplicar os conceitos de segurança no desenvolvimento de seus softwares, o que normalmente é suficiente.
É necessária a contratação de terceiros para aplicar os conceitos de segurança.
Utilizar um processo de ciclo de desenvolvimento seguro. Adotar um processo de ciclo de desenvolvimento seguro (também conhecido como SDLC, ou "Software Development Life Cycle") pode ajudar a garantir que as considerações de segurança estejam integradas em todas as etapas do processo de desenvolvimento de software. Isso pode incluir a realização de testes de segurança durante o processo de desenvolvimento, a revisão de código para identificar possíveis vulnerabilidades e a validação de medidas de segurança antes do lançamento do software. Além disso, o DevSecOps (que é a integração contínua de práticas de segurança durante todo o ciclo de vida do software) pode ser uma abordagem útil para garantir que a segurança esteja integrada em todas as etapas do processo de desenvolvimento e entrega de software.
11. Uma empresa líder de TI no Brasil recebeu centenas de pacotes TCP/IP malformados, o que levou o sistema operacional do servidor principal a travar e, assim, restringiu o acesso dos funcionários aos seus recursos. Qual ataque o atacante usou na situação descrita acima?
DoS attack. - Resposta V
Session Hijacking.
Man-in-the-Middle.
Cross-Site-Scripting.
DoS attack (Denial of Service). O ataque DoS (Denial of Service) é um tipo de ataque que visa sobrecarregar um sistema ou rede, impedindo o acesso legítimo aos seus serviços ou recursos. Isso pode ser feito de diversas maneiras, como enviar um grande volume de pacotes de dados para o alvo, consumindo toda a sua capacidade de processamento ou largura de banda. Em alguns casos, o atacante pode utilizar técnicas sofisticadas para simular o tráfego legítimo e tornar mais difícil para o sistema ou rede identificar o ataque. No caso descrito, parece que o atacante enviou centenas de pacotes TCP/IP malformados para o servidor da empresa, o que levou o sistema operacional a travar e impediu o acesso dos funcionários aos recursos. Isso indica que o ataque foi um DoS.
12. Qual das alternativas abaixo explica o conceito de "false positive detection"?
Um falso positivo é um resultado que indica que uma determinada condição de detecção existe quando ela na verdade não está presente. - Resposta V
Um falso positivo é um resultado que indica a correta rejeição de hipótese nula quando ela é de fato falsa.
Um falso positivo é um resultado de um procedimento estatístico que permite tomar uma decisão.
Um falso positivo é um resultado que indica erroneamente que uma
condição não é válida.
Um falso positivo é um resultado que indica corretamente que uma condição não é válida.
Um falso positivo é um resultado que indica que uma determinada condição de detecção existe quando ela na verdade não está presente. O conceito de "falso positivo" é comumente utilizado em contextos de detecção e teste. Por exemplo, em sistemas de detecção de intrusiones, um falso positivo pode ocorrer quando o sistema indica que houve uma tentativa de intrusão, mas na verdade não houve. Isso pode ser frustrante para os administradores de sistema que precisam verificar cada alerta e pode levar ao "ruído de fundo" e à perda de confiança no sistema de detecção. Por isso, é importante que os sistemas de detecção tenham uma boa taxa de precisão e evitem falso positivos.
13. Vulnerabilidades abertamente conhecidas em softwares públicos recebem um identificador único para serem armazenadas em um banco de dados que registra vulnerabilidades e exposições relacionadas à segurança da informação. Este identificador único é conhecido
simplesmente como:
CVSS.
VULN-ID.
CVN.
CVE. - Resposta V
VULN-COD.
CVE (Common Vulnerabilities and Exposures). O CVE (Common Vulnerabilities and Exposures) é um identificador único atribuído a vulnerabilidades conhecidas em softwares públicos. Ele é utilizado para armazenar informações sobre vulnerabilidades em um banco de dados, de modo que os profissionais de segurança possam facilmente se referir a elas e entender o seu impacto e risco. O banco de dados CVE é mantido pelo MITRE Corporation, uma organização sem fins lucrativos que atua como intermediária entre governo, indústria e academia na área de tecnologia e segurança. O objetivo do CVE é fornecer uma linguagem comum para identificar e descrever vulnerabilidades de forma uniforme, de modo que possam ser compreendidas e gerenciadas de maneira eficaz.
14. O que a integridade de dados garante em segurança da informação?
A integridade garante que os dados sejam legíveis, auditáveis e disponíveis.
A integridade garante que os dados sejam criptografados, auditáveis e confiáveis.
A integridade garante que os dados sejam corretos, autênticos e confiáveis. - Resposta V
A integridade garante que os dados sejam corretos, autênticos e disponíveis.
A integridade garante que os dados sejam protegidos, somente leitura e confiáveis.
A integridade garante que os dados sejam corretos, autênticos e confiáveis. A integridade de dados é um conceito importante em segurança da informação, pois se refere à proteção dos dados contra alterações não autorizadas ou acidentais. Isso inclui garantir que os dados não sejam modificados de forma não intencional, sejam autênticos (isto é, não tenham sido alterados por terceiros mal-intencionados) e sejam confiáveis (isto é, possam ser confiáveis e não sejam incorretos ou corrompidos). A integridade de dados é fundamental para garantir a confiabilidade e a precisão das informações armazenadas em um sistema ou rede, e é um aspecto crucial da segurança da informação.
15. A disponibilidade em segurança da informação garante:
Que sistemas, aplicativos e dados estejam disponíveis e acessíveis através de VPN para usuários autorizados.
Que sistemas, aplicativos e dados estejam disponíveis e acessíveis para usuários autorizados quando eles precisarem. - Resposta V
Que sistemas, aplicativos e dados estejam disponíveis através de clusters de computadores em nuvem.
Que sistemas, aplicativos e dados estejamdisponíveis e acessíveis para usuários através da Internet somente por meio de um link confiável.
Que sistemas, aplicativos e dados estejam disponíveis e acessíveis para usuários autorizados dentro do horário comercial.
Que sistemas, aplicativos e dados estejam disponíveis e acessíveis para usuários autorizados quando eles precisarem. A disponibilidade em segurança da informação se refere à capacidade de um sistema, aplicativo ou conjunto de dados estar disponível e acessível para os usuários autorizados quando eles precisarem. Isso inclui garantir que os sistemas estejam sempre ativos e funcionando corretamente, que os aplicativos estejam disponíveis para uso e que os dados estejam acessíveis para serem lidos, escritos ou processados. A disponibilidade é um aspecto importante da segurança da informação, pois é fundamental para garantir que os usuários possam acessar os recursos de que precisam para realizar suas tarefas e tomar decisões informadas.
16. Qual vulnerabilidade abaixo pode ser mitigada através das boas práticas de hardening?
Injeção de Código.
Entidades Externas de XML.
Design Inseguro.
Configuração Incorreta de Segurança. - Resposta V
Cross-Site Scripting (XSS).
Configuração Incorreta de Segurança. O hardening é o processo de fortalecimento de um sistema ou aplicativo, a fim de reduzir suas vulnerabilidades e aumentar a sua resistência a ataques. Ele inclui a realização de uma série de medidas de segurança, como a remoção de componentes desnecessários, a configuração de políticas de segurança e a implementação de medidas de proteção de rede. Uma das vulnerabilidades que pode ser mitigada através das boas práticas de hardening é a Configuração Incorreta de Segurança. Isso inclui a configuração incorreta de senhas, permissões de acesso, firewalls e outras medidas de segurança, o que pode expor o sistema a riscos de segurança. Ao realizar o hardening, é possível garantir que o sistema esteja devidamente configurado para proteger contra essa vulnerabilidade.
17. O que é a estrutura MITRE ATT&CK? *
A estrutura MITRE ATT&CK fornece uma matriz sobre os comportamentos e as técnicas catalogadas que os hackers usam contra as organizações. - Resposta V
A estrutura MITRE ATT&CK funciona como uma autoridade sobre os comportamentos e as técnicas que os hackers usam para a realização de pentests.
A estrutura MITRE ATT&CK funciona como uma autoridade sobre os comportamentos e as técnicas que os profissionais de perícia forense usam nas organizações atacadas.
A estrutura MITRE ATT&CK funciona como um centro de treinamento sobre as técnicas de testes de segurança em software.
A estrutura MITRE ATT&CK funciona como uma entidade sem fins lucrativos sobre os comportamentos dos hackers e ferramentas utilizadas no dia a dia.
A estrutura MITRE ATT&CK fornece uma matriz sobre os comportamentos e as técnicas catalogadas que os hackers usam contra as organizações. A MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é uma estrutura de referência criada pelo MITRE Corporation, uma organização sem fins lucrativos que atua como intermediária entre governo, indústria e academia na área de tecnologia e segurança. A MITRE ATT&CK fornece uma visão geral das táticas, técnicas e procedimentos comumente utilizados por adversários cibernéticos para atacar organizações. Ela é composta por uma matriz que descreve os comportamentos e as técnicas usadas por hackers em diferentes fases do ciclo de ataque, incluindo a reconhecimento, o acesso, o persistência e a exposição de dados. A MITRE ATT&CK é amplamente utilizada como um recurso de referência para profissionais de segurança da informação e outros interessados em entender como os adversários cibernéticos atuam e o que eles podem fazer para proteger suas organizações.
18. Informe em qual camada do modelo OSI ocorrem as seguintes ações:
1-Criptografia de dados.
2- Escolha do caminho físico que os dados serão enviados.
Camada 6 e 2
Camada 7 e 3
Camada 5 e 4
Camada 5 e 1 - Resposta V
Nenhuma das opções anteriores
Camada 5 e 1
O modelo OSI (Modelo de Referência de Interconexão de Sistemas Aberto) é um modelo de referência que descreve como os sistemas de computadores se comunicam entre si. Ele é dividido em sete camadas, cada uma delas responsável por realizar uma série de funções específicas.
A criptografia de dados é uma técnica que é utilizada para proteger a privacidade e a integridade dos dados durante a transmissão. Ela é realizada na Camada 5 (Camada de Sessão) do modelo OSI, que é responsável por estabelecer, manter e encerrar sessões entre os dispositivos de comunicação.
A escolha do caminho físico que os dados serão enviados é uma função realizada na Camada 1 (Camada Física) do modelo OSI. Esta camada é responsável por gerenciar as conexões físicas entre os dispositivos de comunicação e por controlar o fluxo de dados através dessas conexõ
19. Dados os métodos a seguir, qual deles pode ser empregado como método criptográfico?
XOR
ROT53
Base64
FXO
Todas as alternativas - Resposta V
Todas as alternativas podem ser utilizadas como métodos criptográficos.
O XOR (Exclusive OR) é uma operação lógica que pode ser utilizada para criptografia de mensagens, pois ele permite cifrar e decifrar informação.
O ROT53 é uma técnica de criptografia que consiste em trocar os símbolos de uma mensagem pelos símbolos que estão 53 posições à frente na tabela ASCII. Ele pode ser usado como uma forma básica de criptografia.
O Base64 é um sistema de codificação de dados que permite representar qualquer conjunto de dados em forma de sequência de caracteres ASCII. Ele pode ser usado para criptografar dados, mas é mais comumente usado para transmitir dados binários através de canais que só permitem a transmissão de caracteres ASCII.
O FXO é uma técnica de criptografia que consiste em aplicar uma transformação sobre os símbolos de uma mensagem utilizando uma função pré-determinada. Ele pode ser utilizado para criptografar mensagens.
20. Qual informação está codificada dentro da seguinte string?
%4e%7a%4d%32%4e%54%59%7a%4e%7a%49%32%4e%54%63%30
password - Resposta V
secret
administrator
tempest
plaintext
Essa string é uma representação codificada em hexadecimal de uma sequência de caracteres ASCII. Para decodificar essa string, é preciso converter cada par de dígitos hexadecimais em um único caractere ASCII.
Por exemplo, o primeiro par de dígitos "%4e" corresponde ao caractere "N" na tabela ASCII. O segundo par de dígitos "%7a" corresponde ao caractere "z" na tabela ASCII. Assim por diante.
Depois de decodificar cada par de dígitos, a string resultante será: "NzM2NTYzNzQ5NzQ1YzMw"
Essa string não parece ser legível, então é possível que ela esteja codificada de alguma outra forma, como por exemplo, com a técnica Base64. É preciso aplicar a técnica adequada para tentar decodificar a mensagem.
21. A partir do comportamento da árvore representada nas quatro imagens a seguir, é possível concluir que esta é do tipo:
	
[Repetindo o enunciado da questão 21] A partir do comportamento da árvore representada nas quatro imagens anteriores, é possível concluir que essa é do tipo:
Árvore binária - Possível Resposta V
Árvore 2-3
Árvore trie
Árvore radix
Nenhuma das alternativas
22. Considere um endereço de 32 bits para paginação em dois níveis com tamanho de página de 8KB (offset). A tabela de página exterior possui 1024 entradas. Quantos bits são usados para representar a tabela de páginas do segundo nível?
10
9
7
3
8 - Resposta V
O tamanho de uma página é de 8KB, ou seja, 8192 bytes. Isso significa que há 2^13 bytes em cada página.
Como cada entrada da tabela de página exterior aponta para uma tabela de páginas do segundo nível, cada entrada precisa ter um endereço de 32 bits. Isso significa que há 32 - 13 = 19 bits disponíveis para representar a tabela de páginas do segundo nível.
Cada entrada da tabela de páginas do segundo nível também precisa ter um endereço de 32 bits, pois cada entrada aponta para uma página de 8KB. Isso significa que há 32 - 13 = 19 bits disponíveispara o offset dentro da página.
Em resumo, há 19 bits para representar a tabela de páginas do segundo nível. Portanto, a resposta é 19.
23. Em relação a sistemas de detecção de intrusão (IDS - Intrusion Detection Systems) e sistemas de prevenção de intrusão (IPS - Intrusion Prevention Systems), o que são assinaturas?
Uma assinatura eletrônica usada para autenticar a identidade de um usuário na rede.
Padrões de atividades ou códigos correspondentes a ataques. - Resposta V
Comportamentos normais.
Nenhuma das alternativas acima.
As assinaturas são padrões de atividades ou códigos correspondentes a ataques. Em sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), as assinaturas são usadas para detectar e bloquear ataques conhecidos.
Um IDS monitora o tráfego de rede e compara com uma lista de assinaturas de ataques conhecidos. Se o tráfego corresponder a uma assinatura de ataque, o IDS emitirá um alerta.
Um IPS, por outro lado, bloqueia o tráfego de rede que corresponde a uma assinatura de ataque. Ele age como um firewall ativo, bloqueando o tráfego malicioso antes que ele chegue ao seu destino.
As assinaturas são criadas por especialistas em segurança da informação que analisam ataques conhecidos e identificam padrões que podem ser usados para detectá-los. As assinaturas são atualizadas regularmente para incluir novas ameaças conhecidas.
24. O que é verdadeiro em relação a sistemas de detecção de intrusão (IDS - Intrusion Detection Systems) baseados em assinaturas?
Eles não podem funcionar com sistemas de prevenção de intrusão (IPS- Intrusion Prevention Systems).
Eles detectam anomalias que nunca foram vistas.
Eles identificam apenas assinaturas conhecidas. - Resposta V
Eles funcionam melhor em empresas grandes.
O que é verdadeiro em relação a sistemas de detecção de intrusão (IDS) baseados em assinaturas é que eles identificam apenas assinaturas conhecidas.
Um IDS baseado em assinaturas monitora o tráfego de rede e compara com uma lista pré-definida de assinaturas de ataques conhecidos. Se o tráfego corresponder a uma assinatura de ataque, o IDS emitirá um alerta.
Eles podem funcionar em conjunto com sistemas de prevenção de intrusão (IPS), que bloqueiam o tráfego de rede que corresponde a uma assinatura de ataque.
Eles podem ser usados em empresas de qualquer tamanho, mas podem ser especialmente úteis em ambientes com muito tráfego de rede, onde é importante identificar rapidamente ataques conhecidos.
Eles não detectam anomalias que nunca foram vistas, pois dependem de uma lista pré-definida de assinaturas. Para detectar anomalias, é necessário usar um IDS baseado em comportamento ou um sistema de detecção de anomalia (ADS - Anomaly Detection System).
25. Considerando o uso de modelos de machine learning para a detecção e análise de atividades maliciosas em um security operation center (SOC), marque a alternativa verdadeira:
Os modelos de machine learning devem usar a maior quantidade de features possível.
Os modelos de machine learning devem usar algoritmos supervisionados.
Apenas algoritmos de deep learning devem ser usados.
Nenhuma das alternativas acima é verdadeira. - Resposta V
Nenhuma das alternativas acima é verdadeira.
Em relação ao uso de modelos de machine learning para a detecção e análise de atividades maliciosas em um security operation center (SOC), algumas considerações importantes incluem:
· Os modelos de machine learning devem ser treinados com um conjunto de dados que seja o mais variado e representativo possível. Isso inclui exemplos de atividades benignas e maliciosas.
· O número de features (variáveis) a serem usadas nos modelos deve ser escolhido com cuidado, pois muitas features podem levar a overfitting (ajuste excessivo) do modelo, enquanto poucas features podem levar a underfitting (ajuste insuficiente).
· Os modelos de machine learning podem usar algoritmos supervisionados, não supervisionados ou semi-supervisionados, dependendo da natureza dos dados e do problema a ser resolvido. Algoritmos de deep learning também podem ser usados, mas não são a única opção.
26. Considerando o uso de modelos de machine learning para a detecção e análise de atividades maliciosas em um security operation center (SOC), marque a alternativa verdadeira:
Os modelos de machine learning usados podem apresentar muitos falsos positivos e falsos negativos.
Falsos negativos podem gerar muitos alertas que devem ser analisados, sobrecarregando a operação do SOC.
Falsos positivos podem gerar muitos alertas que devem ser analisados, sobrecarregando a operação do SOC.
Todas as alternativas estão corretas. - Resposta V
27. Considerando o uso de um modelo de machine learning supervisionado para a detecção de atividades maliciosas em um conjunto de dados não balanceado, marque a alternativa verdadeira
quanto as métricas de avaliação que podem ser usadas:
A acurácia é a principal métrica a ser usada.
A área sob a curva (AUC) receiver operating characteristic (ROC),
coletivamente AUCROC, baseia-se na escolha de um threshold.
A taxa F1-score deve ser considerada.
A taxa F1-score é a média harmônica das métricas de precisão e acurácia.
Questões de ADS- Administração de Dispositivos de Segurança
28. Qual a tecnologia que permite um controle de acesso à rede, através da criação de políticas, para determinar se a estação cliente está adequada de acordo com um conjunto de normas?
NAC. - Resposta V
Quarentena.
VPN. 
RAS.
A tecnologia que permite um controle de acesso à rede, através da criação de políticas, para determinar se a estação cliente está adequada de acordo com um conjunto de normas é o NAC (Network Access Control).
O NAC é uma tecnologia de segurança da rede que permite garantir que apenas estações cliente adequadas tenham acesso à rede. Ele faz isso através da verificação de um conjunto de políticas, que podem incluir requisitos de software, configuração do sistema operacional, atualizações de segurança, entre outros.
Se a estação cliente não atender aos requisitos das políticas, ela pode ser colocada em quarentena, ou seja, ter o acesso à rede restrito até que os problemas sejam corrigidos.
A VPN (Virtual Private Network) é uma tecnologia que permite criar uma conexão segura entre dois ou mais dispositivos através de uma rede pública, como a internet. Ela não tem relação com o controle de acesso à rede.
O RAS (Remote Access Service) é um serviço que permite que usuários remotos se conectem a uma rede corporativa. Ele também não tem relação com o controle de acesso à rede.
29. Qual o protocolo/porta usada pelo DNS para fazer uma consulta?
TCP 53 - Resposta V
UDP 23
UDP 53
TCP 23
O protocolo/porta usada pelo DNS para fazer uma consulta é o UDP 53.
O DNS (Domain Name System) é um sistema que permite a tradução de nomes de domínio em endereços IP. Quando um usuário digita um endereço de site em um navegador, o DNS é usado para traduzir o nome do domínio em um endereço IP.
O DNS usa o protocolo UDP (User Datagram Protocol) para transmitir as consultas e as respostas. O número da porta é 53.
O TCP (Transmission Control Protocol) é outro protocolo de rede que é usado para garantir a entrega confiável de pacotes de dados. Ele é geralmente usado para aplicações que precisam de uma conexão mais estável, como o tráfego de arquivos ou o acesso a bases de dados. A porta 23 é usada para conexões Telnet, que permitem acesso remoto a uma máquina.
30. Qual dos tipos de malware abaixo tem como principal característica violar a privacidade do usuário e monitorar o que está sendo feito na máquina deste usuário?
Spyware. - Resposta V
Adware.
Rootkit.
Worm.
O tipo de malware que tem como principal característica violar a privacidade do usuário e monitorar o que está sendo feito na máquina deste usuário é o spyware.
O spyware é um tipo de malware que se instala em um computador sem o conhecimento ou consentimento do usuário e coleta informações sobre o usuário e suas atividades online. Ele pode monitorar o que o usuário está fazendo, rastrear as teclas digitadas, coletarinformações de login e senhas, entre outras coisas.
O spyware é geralmente instalado junto com outro software, como jogos, aplicativos ou extensões de navegador, e pode ser difícil de detectar e remover. É importante usar um software de segurança atualizado para proteger o computador contra esse tipo de malware.
31. Escolha a opção abaixo que melhor completa a frase: Quando computadores fazem parte de um botnet, é possível que estes façam parte de um ataque de. contra uma determinada rede.
Heurística.
Armored Vírus.
Flood.
DDOS. - Possível Resposta
32. Escolha a opção abaixo que melhor completa a frase: De acordo com O NIST, publicação 800-30, o risco é uma função de de uma determinada ameaça de exercer uma vulnerabilidade.
TI.
Segurança.
Probabilidade. - Resposta V
Segmentação.
De acordo com O NIST, publicação 800-30, o risco é uma função de probabilidade de uma determinada ameaça de exercer uma vulnerabilidade.
O NIST (National Institute of Standards and Technology) é uma instituição do governo dos Estados Unidos responsável por padronizar e promover a tecnologia de informação e a segurança da informação. A publicação 800-30 é uma guia para a realização de avaliações de risco em sistemas de informação.
De acordo com essa publicação, o risco é a probabilidade de que uma determinada ameaça exerça uma vulnerabilidade. Ou seja, é a chance de que um ataque bem-sucedido ocorra. O risco é uma medida da exposição de um sistema às ameaças e às vulnerabilidades.
A TI (Tecnologia da Informação) e a segurança da informação são áreas relacionadas ao gerenciamento de riscos, mas não são sinônimos de risco. A segmentação é uma técnica de rede que divide a
33. O uso de CAPTCHA pode ser útil em cenários de mitigação de:
XSS.
Força Bruta. - Resposta V
SQL Injection.
LDAP Injection.
O uso de CAPTCHA pode ser útil em cenários de mitigação de força bruta.
O CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) é uma técnica usada para diferenciar usuários humanos de robôs ou programas automatizados. Ele é comumente usado em formulários de login e em páginas de cadastro para evitar que robôs spam ou abusem do sistema.
O CAPTCHA exibe uma imagem ou um desafio que é fácil de ser resolvido por um humano, mas difícil de ser resolvido por um programa. Por exemplo, a imagem pode conter uma série de caracteres distorcidos que o usuário precisa digitar corretamente para provar que é humano.
O CAPTCHA pode ser útil em cenários de mitigação de força bruta, que é um tipo de ataque que tenta adivinhar senhas ou chaves de acesso através de tentativa e erro.
34. Para mitigar as ameaças causadas por propagandas indevidas ou softwares que ficam monitorando as atividades do usuário, qual das soluções abaixo é a mais recomendada?
Antivírus.
Anti-spyware. - Resposta V
Anti-spam.
Anti-malware.
Para mitigar as ameaças causadas por propagandas indevidas ou softwares que ficam monitorando as atividades do usuário, a solução mais recomendada é o anti-spyware.
O anti-spyware é um tipo de software de segurança que detecta e remove o spyware, um tipo de malware que se instala em um computador sem o conhecimento ou consentimento do usuário e coleta informações sobre o usuário e suas atividades online.
O anti-spyware é especialmente útil para proteger a privacidade do usuário e evitar que as atividades dele sejam monitoradas por softwares indesejados. Ele também pode ajudar a proteger o sistema de outros tipos de malware, como adware e trojans.
O antivírus é um tipo de software de segurança que detecta e remove vírus, que são programas que se replicam e podem causar danos ao sistema. O anti-spam é um software que filtra e bloqueia mensagens de spam, ou seja, mensagens indesejadas de correio eletrônico. O anti-malware é um termo geral que se refere a qualquer tipo de software de segurança que detecta e remove malware.
Questões de Infraestrutura
35. Um analista de suporte recebeu um notebook para a instalação do sistema operacional Windows. Ao verificar o notebook, o analista percebeu que o mesmo não possuía leitor de CD-ROM. Neste caso, quais são alternativas podem ser consideradas para a instalação do Windows? Selecione duas alternativas.
Pen drive bootável pela interface USB. - Resposta V
PXE boot. - Possível resposta 2
CD-ROM.
Através da conexão bluetooth.
Interface infravermelho.
Duas alternativas que poderiam ser consideradas para a instalação do Windows neste caso seriam:
· Pen drive bootável pela interface USB: o analista poderia criar um pen drive bootável com o instalador do Windows e iniciar a instalação a partir do pen drive.
· PXE boot: o analista poderia configurar um servidor PXE (Preboot Execution Environment) para iniciar a instalação do Windows a partir de uma rede. Isso seria útil se o notebook tivesse uma placa de rede e o analista tivesse acesso a um servidor PXE.
Outras alternativas, como usar uma conexão bluetooth ou uma interface infravermelho, não seriam viáveis para a instalação do Windows neste caso.
36. Utilizando qual comando do Windows podemos consultar a quantidade de memória física instalada no computador?
lusrmgr.msc
msinfo32.exe - Resposta V
sysdm.cpl
msconfig.exe
mst.msc
Para consultar a quantidade de memória física instalada no computador com o sistema operacional Windows, você pode usar o comando "msinfo32.exe".
Esse comando abre o aplicativo "Informações do Sistema", que exibe informações detalhadas sobre o hardware e o software do computador. Na guia "Resumo", você pode ver a quantidade de memória física (RAM) instalada na seção "Memória Física".
Outros comandos que podem ser usados para acessar as configurações do sistema, mas que não exibem informações específicas sobre a memória física, são "lusrmgr.msc" (Gerenciador de Usuários), "sysdm.cpl" (Painel de Controle do Sistema) e "msconfig.exe" (Configuração do Sistema). O comando "mst.msc" (Gerenciador de Tarefas) permite gerenciar os processos em execução no sistema, mas também não exibe informações sobre a memória física.
37. Assuma que sua empresa possui um servidor de DHCP. Um usuário voltou de férias e ao conectar o notebook a rede, o mesmo ficou com a conexão de rede nula ou limitada. O usuário ligou para o Help Desk e você recebeu a ligação. Como o usuário trabalha no mesmo escritório que você, você decide ir ao local. Qual é a forma mais rápida para corrigir o problema?
Fazer um backup e formatar a máquina.
Localizar o switch no qual o ponto de rede do usuário está conectado e reiniciar o switch.
Entrar no prompt de comando e executar os comandos ipconfig /release e depois um ipconfig /renew.
Entrar em contato com o suporte de Redes para pedir ajuda.
38. Qual utilitário do Linux você pode usar para exibir dinamicamente a lista de processos em execução?
at
pstree
tcpdump
top - Resposta V
Para exibir dinamicamente a lista de processos em execução no Linux, você pode usar o utilitário top. Ele fornece uma lista dos processos em execução no sistema, incluindo informações como a quantidade de uso de CPU, memória e tempo de execução de cada processo. Você pode usar os comandos do teclado para navegar na lista de processos e ordená-los de diferentes maneiras. Além disso, o top atualiza a lista de processos automaticamente a intervalos regulares, permitindo que você veja como os processos estão sendo executados em tempo real.
39. Qual arquivo do Linux contém a lista de usuários do sistema?
/etc/passwd - Resposta V
/etc/users
/etc/password
/etc/user.conf
No Linux, a lista de usuários do sistema é armazenada no arquivo /etc/passwd. Esse arquivo é usado pelo sistema para autenticar usuários e determinar quais recursos eles têm acesso. Ele também armazena informações básicas sobre cada usuário, como o nome de exibição, o ID de usuário (UID) e o ID de grupo primário (GID).
O formato do arquivo /etc/passwd é simples: cada linha representa um usuário e as informações sobre ele são separadas por um caractere ":". Por exemplo, uma linha do arquivo /etc/passwd pode parecer assim:
Copy code
username:x:UID:GID:realname:/home/username:/bin/bash
Nessa linha, "username" é o nome de login do usuário, "x" indica que a senha do usuário está armazenada em outro arquivo (normalmente /etc/shadow), "UID" é o ID de usuário do usuário, "GID" é o ID de grupo primário do usuário, "real name" é o nome real do usuário (geralmente o nome completo), "/home/username" é o diretório home do usuário e "/bin/bash" é o shell padrão do usuário (o programa que será executado quando o usuário fizer login no sistema).
40. Qual o nome da topologia na qual cada computador da rede fica conectado em um ponto central?
Token-ring.
Estrela. - Resposta V
Topologia em malha (mesh).
Barramento.
A topologia em que cada computador da rede fica conectado em um ponto central é conhecida como topologia em estrela. Nessa topologia, todos os computadores da rede estão conectados a um dispositivo central, como um hub, um switch ou um roteador, que funciona como ponto de concentração para todas as comunicações da rede.
A vantagem da topologia em estrela é que ela é muito fácil de configurar e gerenciar, pois todas as conexões da rede passam pelo dispositivo central. Além disso, ela é relativamente segura, pois, se um computador da rede for comprometido, ele não poderá afetar diretamente os outros computadores. No entanto, a topologia em estrela também tem algumas desvantagens, como o fato de que o dispositivo central é um ponto único de falha e, se ele falhar, toda a rede pode ficar inacessível. Além disso, ela tende a ser mais cara do que outras topologias, pois é necessário um dispositivo central para concentrar todas as conexões da rede.
41. Qual dos endereços abaixo representa no IPV6 um endereço de loopback?
127.0.0.1
FECO:B7C0::AA02
::1 - Reposta V
FE80::1
No IPv6, o endereço de loopback é representado por "::1". Esse endereço é usado para se referir ao próprio host (computador) em que ele está sendo usado, independentemente de qualquer endereço de interface de rede específico que o host possa ter. Ele é usado principalmente para testes e para acessar serviços de rede locais, como servidores Web ou banco de dados.
O endereço de loopback IPv6 é semelhante ao endereço de loopback IPv4 "127.0.0.1", que também é usado para se referir ao próprio host. No entanto, enquanto o endereço de loopback IPv4 é um endereço privado e não pode ser usado para se comunicar com outros hosts na Internet, o endereço de loopback IPv6 é um endereço público e pode ser usado para se comunicar com outros hosts na Internet.
Os outros endereços que você mencionou ("FECO:B7C0::AA02" e "FE80::1") não são endereços de loopback e não podem ser usados ​​como tal. Eles são endereços IPv6 válidos, mas são usados ​​para outros propósitos. O endereço "FECO:B7C0::AA02" é um endereço global único (UGA) e pode ser usado para se comunicar com outros hosts na Internet. O endereço "FE80::1" é um endereço de link local (LLA) e pode ser usado para se comunicar com outros hosts na mesma rede local (por exemplo, na mesma LAN).
42. Com a rede 187.1.145.0/28, assumindo uma ordem crescente (ou seja, do menor para o maior), qual o último endereço IP disponível que podemos atribuir a um host?
187.1.145.12
187.1.145.15 
187.1.145.14 - Resposta V
187.1.145.16 
A rede 187.1.145.0/28 tem um total de 16 endereços IP disponíveis, que vão de 187.1.145.0 a 187.1.145.15. Desses endereços, os dois primeiros (187.1.145.0 e 187.1.145.1) são reservados para o endereço de rede e o endereço de broadcast, respectivamente, e os demais podem ser atribuídos a hosts.
Assumindo uma ordem crescente, o último endereço IP disponível que podemos atribuir a um host nessa rede é 187.1.145.14. Esse endereço é o penúltimo da faixa de endereços disponíveis e pode ser atribuído a um host normalmente. O último endereço da faixa, 187.1.145.15, é reservado para o endereço de broadcast e não pode ser atribuído a um host.
Portanto, a resposta correta é: 187.1.145.14
43. De acordo com as afirmações, responda:
i. Algoritmos definem os passos que devem ser seguidos para alcançar um objetivo.
ii. Fluxograma pode ser utilizado para representar graficamente algoritmos.
iii. Algoritmos precisam ser codificados em uma linguagem de programação para que sejam entendidos por pessoas.
Quais das afirmações são corretas?
a) Apenas i e ii. - Reposta V
b) Apenas i.
c) Apenas iii.
d) Apenas ii.
e) Todas as alternativas. 
Todas as afirmações são corretas. Algoritmos são sequências de passos bem definidas que devem ser seguidas para alcançar um objetivo. Eles podem ser representados graficamente por meio de fluxogramas, que são diagramas que mostram a lógica do algoritmo de maneira visual. Além disso, algoritmos precisam ser codificados em uma linguagem de programação para que possam ser entendidos por pessoas e executados por computadores.
Portanto, a resposta correta é: e) Todas as alternativas.
44. Considere os operadores a seguir:
i. Igual a.
ii. Não igual a.
iii. Ou lógico.
iv. And lógico.
Assinale a opção que indica a lista dos símbolos que, respectivamente, representam esses operadores em Shell Script:
= != || && - Resposta V
= != |&
== != || &&
- $@or and
== != || &&
Os operadores da lista são os operadores de comparação e de lógica, que são utilizados em Shell Script para realizar operações de comparação e para controlar o fluxo de execução de um script.
O operador de igualdade é representado pelo símbolo "==". Ele é utilizado para comparar dois valores e verificar se eles são iguais.
O operador de diferença é representado pelo símbolo "!=". Ele é utilizado para comparar dois valores e verificar se eles são diferentes.
O operador de "ou lógico" é representado pelo símbolo "||". Ele é utilizado para verificar se pelo menos uma das condições é verdadeira.
O operador de "and lógico" é representado pelo símbolo "&&". Ele é utilizado para verificar se todas as condições são verdadeiras.
Questões de SOC - Security Operations Center
45. Johny está realizando análises na rede organizacional para gerar um relatório e desenvolver políticas de segurança com base nos resultados adquiridos na análise. Qual das seguintes ferramentas descritas abaixo o ajudará a analisar o tráfego de rede?
Whois.
Burp Suite.
Wireshark.
FaceNiff.
46. Quais destes serviços não fazem parte de um Security Operation Center (SOC)?
Triagem de eventos.
Criação de política de segurança da informação.
Análise de alertas.
Resposta a incidente.
Nenhuma das anteriores. - Resposta V
Todos os serviços mencionados fazem parte de um Security Operation Center (SOC).
O SOC é uma equipe ou departamento responsável por monitorar e proteger a rede de uma empresa ou organização contra ameaças à segurança da informação. Ele é composto por profissionais especializados em segurança da informação que utilizam uma variedade de ferramentas e técnicas para monitorar a rede em tempo real, detectar possíveis ameaças e responder rapidamente a incidentes de segurança.
A triagem de eventos é o processo de classificar e avaliar os eventos de segurança detectados pelo SOC para determinar se eles representam ameaças reais ou são falsos positivos. A criação de políticas de segurança da informação envolve a definição de regras e procedimentos para proteger a informação confidêncial e garantir a integridade da rede. A análise de alertas é o processo de examinar os alertas gerados pelas ferramentas de segurança para determinar se eles representam ameaças reais e, se sim, qual a melhor maneira de responder a elas. E a resposta a incidentes é o processo de tomar medidas para conter, investigar e resolver incidentes de segurança quando eles ocorrem.
Portanto, a resposta correta é: Nenhum dos serviços mencionados não faz parte de um SOC.
47. No time de engenharia de detecção, você recebeu uma solicitação de * criação de um caso de uso com foco em um novo CVE, classificado como RCE, do servidor web Apache. Neste contexto, o acrônimo RCE significa:
Reset Commit Escalation.
Reconnection Capability Evolution.
Remote Commit Execution.
Restore Callback Evolution.
Remote Code Execution.
Remote CallbackExecution.
Remote Command Existeiton.
48. No time de engenharia de detecção, você recebeu uma solicitação de criação de um caso de uso de detecção com o objetivo de detectar a exploração de um novo CVE (um RCE) no servidor web Apache. Como deverá ser feita a avaliação preliminar, dentro do servidor vulnerável, para criação desta detecção?
Avaliar se o servidor tem alguma porta USB disponível para conexão do servidor de detecção.
Avaliar se o servidor tem alguma conexão X25 em execução porém com dump -x na crontab configurada.
Avaliar se o servidor possui algum log hstps no diretório /etc/var /www/x25/hstps.log.
Avaliar se o servidor possui algum log HTTP no diretório /home/x.
Avaliar se o servidor possui algum log HTTP que registre as requisições com objetivo de observar algum patch ou URI sendo explorado. Avaliar se o servidor possui algum registro de log HTTP (access.log) que exista registro de request com objetivo de observar algum path ou URI sendo explorado.
49. Durante a análise de um caso de falso positivo relativo ao caso de uso "detecção de cópia de arquivos em dispositivos removíveis", você recebeu o arquivo evidences.pcap. Informe que tipo de log contém o arquivo PCAP?
Log de tráfego de dispositivos removíveis via registro do Windows.
Log de conexão e remoção de dispositivos removíveis via tráfego de rede.
Log de tráfego de rede.
Log de tráfego de USB.
Log de tráfego de memória.
Log de tráfego de DLL.
50. Raquel foi notificada que o ambiente está recebendo muitos alertas de varreduras em sites institucionais, porém, não temos informações sobre a origem destas varreduras e que tipo de ataque foi realizado. Em qual dispositivo de segurança Raquel pode visualizar as informações para identificar a origem, o destino e o tipo de ataque em curso?
AD.
E-mail.
WAF.
Cofre de senha.
51. Qual ferramenta tem a função de: (i) realizar o gerenciamento e centralização dos dados, (ii) realizar a análise em tempo real dos dados e (iii) permitir criação de alertas para detecção de anomalias?
Event viewer.
Universal forwarder.
SIEM.
Syslog.
52. Vanessa recebeu uma demanda para realizar uma análise nos logs do site principal da instituição. Com intuito de identificar e classificar que tipos de ataques ocorreram, Vanessa recebeu um arquivo com aproximadamente 2 GB de log. Durante a análise, Vanessa identificou o seguinte parâmetro "<script>alert("teste")</script>". Com base nesta informação, que tipo de anomalia Vanessa deve classificar?
Path Traversal.
Cross-Site Scripting.
SQL Injection.
Web crawling.
Questões de Threat Intelligence
53. Qual das alternativas abaixo definem o acrônimo TTP, sobre gestão de inteligência de ameaças cibernéticas?
Telnet, TCP and POP3.
Tactics, Techniques and Procedures. - Resposta V
Think, Type and Post.
Threats, Trends and Protect.
Technology, Traffic and Protocol.
O acrônimo TTP se refere a Tactics, Techniques and Procedures, ou Táticas, Técnicas e Procedimentos, em português. Esse termo é usado no contexto de gestão de inteligência de ameaças cibernéticas para se referir às estratégias, técnicas e procedimentos usados ​​por atacantes cibernéticos para explorar vulnerabilidades e comprometer sistemas.
O conhecimento das TTPs é importante para as equipes de segurança da informação, pois permite que elas identifiquem e previnam possíveis ameaças cibernéticas, além de prepararem medidas de defesa para proteger os sistemas da organização.
Portanto, a resposta correta é: Tactics, Techniques and Procedures.
54. Qual das alternativas abaixo definem o acrônimo loC, sobre gestão de inteligência de ameaças cibernéticas?
Intelligence of Conduct.
Indicator of Course.
Intelligence of Course.
Indicator of Compromise. - Resposta V
Indicator of Conduct.
O acrônimo IoC se refere a Indicator of Compromise, ou Indicador de Comprometimento, em português. Esse termo é usado no contexto de gestão de inteligência de ameaças cibernéticas para se referir a qualquer elemento que possa ser usado para identificar a presença de uma ameaça cibernética em um sistema.
Os IoCs podem incluir elementos como endereços IP, hashes de arquivos maliciosos, URLs maliciosas, nomes de usuário e senhas usados ​​por atacantes, entre outros. O conhecimento dos IoCs é importante para as equipes de segurança da informação, pois permite que elas identifiquem e previnam possíveis ameaças cibernéticas, além de prepararem medidas de defesa para proteger os sistemas da organização.
Portanto, a resposta correta é: Indicator of Compromise.
55. Quando um loC é detectado em um ambiente corporativo, podemos afirmar que:
Há possibilidade de um ataque cibernético em curso no momento da detecção.
Há possibilidade de um ataque cibernético já ter ocorrido.
Um ataque de ransomware está em curso.
Um ataque de ransomware já ocorreu.
A conduta do atacante cibernético foi descoberta.
56. OSINT significa:
Termo usado para descrever informações obtidas em fontes disponíveis ao público em geral, como sites de notícias, fóruns abertos, redes sociais e etc.
Termo usado para descrever informações obtidas em fontes fechadas ao público em geral, como sites pagos por assinatura, fóruns de discussão restritos, feeds de informações de empresas especializadas e etc.
Termo usado para descrever informações obtidas em análises realizadas por equipes de resposta a incidentes após emissão de relatório final de avaliação de um incidente ocorrido.
Termo usado para descrever informações obtidas em análises de malware onde se obtém dados técnicos de comportamento malicioso e técnicas de prevenção da ameaça. Termo usado para descrever informações obtidas em varreduras cibernéticas com ferramentas específicas de detecção de vulnerabilidades e busca por falhas obtidas através de pentest.
57. OPSEC significa:
Operações Secretas e são compostos por times restritos e ocultos das forças armadas dos países que possuem tais práticas para realizar atividades em que o público em geral não pode ter conhecimento.
Operações Especiais e são compostos por profissionais de excelência para realizar atividades de detecção e análise de ameaças avançadas em ambientes governamentais.
Segurança de Operações e se trata de um processo que identifica informações críticas para determinar se ações amigas conseguem ser observadas pela inteligência inimiga. Operações Secretas e são compostos por profissionais de excelência para realizar atividades de detecção e análise de ameaças avançadas em ambientes governamentais ou de empresas do setor privado. Segurança de Operações e são compostos por profissionais de excelência para realizar atividades de detecção e análise de ameaças avançadas em ambientes corporativos de empresas do setor privado.
58. O que significa inteligência de ameaças cibernéticas?
É o conhecimento, habilidades e informações baseadas em análises estatísticas e uso de IA na ocorrência e avaliação de ameaças cibernéticas que se destinam a mitigar ataques e eventos prejudiciais contra empresas privadas e órgãos públicos.
É o conhecimento, habilidades e informações baseadas em experiência sobre a ocorrência e avaliação de artefatos que se destinam a compreender o comportamento de malwares no ciberespaço.
É o conhecimento, habilidades e informações baseadas em experiência cibernética de profissionais de alta senioridade com o objetivo de gerar ações práticas de defesa, tais como ajustes técnicos e escrita de procedimentos.
É o conhecimento, habilidades e informações baseadas em ferramentas especializadas sobre a ocorrência e avaliação de artefatos que se destinam a prevenir todos os tipos de malwares no ciberespaço.
É o conhecimento, habilidades e informações baseadas em experiência sobre a ocorrência e avaliação de ameaças cibernéticas que se destinam a ajudar a mitigar ataques potenciais e eventos prejudiciais que ocorrem no ciberespaço.
59. Lazarus, Equation, Fancy Bear, Bureau 121, REvil e DarkSide são exemplos de:
Malwares do tipo Ransomware.
Ferramentas de Inteligência de Ameaças.
Grupos de Ciberameaças. - Resposta V
Ferramentas de Análise de Malware.Cibercriminosos em atividade.
Lazarus, Equation, Fancy Bear, Bureau 121, REvil e DarkSide são exemplos de grupos de ciberameaças.
Os grupos de ciberameaças são grupos organizados de indivíduos ou empresas que se dedicam a explorar vulnerabilidades em sistemas e redes para obter lucro ou outras vantagens. Eles podem usar uma variedade de táticas e técnicas para atacar seus alvos, incluindo malware, phishing, ransomwares, ataques de negação de serviço (DoS), entre outros.
Os grupos de ciberameaças mencionados são conhecidos por seus ataques cibernéticos sofisticados e por terem alvo principalmente governos e grandes empresas. Eles são considerados uma das principais ameaças à segurança cibernética mundial e podem causar grandes danos e prejuízos aos seus alvos.
Portanto, a resposta correta é: Grupos de Ciberameaças.
Questões Consultoria
60. Você é responsável por proteger o perímetro da empresa Tempest SA. Seu gerente solicitou a criação de uma arquitetura de defesa em camadas para proteger as aplicações web públicas das principais ameaças listadas pela OWASP (SQL Injection, SSRF, XSS etc.). No momento, seu ambiente é apenas composto de um firewall e um proxy reverso.
Quais elementos de segurança você implementaria para alcançar esse objetivo?
WAF e anti-DDoS
WAF e IDS
Apenas IPS
WAF, IDS e IPS
WAF, IDS, IPS e anti-DDoS
61. Em relação a segurança na nuvem, quais das afirmações abaixo são falsas?
1- É interessante, mas não crítico, solicitar MFA para contas de administradores.
2- Recursos hospedados na nuvem não são imunes a ataques DDOS. 3- Não há necessidade de criptografar seus discos e dados na nuvem, essa proteção é fornecida por padrão.
4- A provedora de nuvem garante proteção física aos seus equipamentos.
5- É comum que provedores de nuvem empreguem um modelo de responsabilidade compartilhada, e esse modelo funciona sempre da mesma forma para serviços SaaS, PaaS e laas.
6 - Todas as provedoras de nuvem oferecem datacenters em diversos locais do mundo, por isso não é necessário se preocupar com a disponibilidade das aplicações hospedadas na nuvem.
1, 2, 3, 5, 6
1, 3, 5, 6
1, 2, 5 - Resposta V
3,5,6
1,2,5,6
As afirmações 1, 2 e 5 são falsas.
1- Solicitar MFA (Multifactor Authentication, ou Autenticação de Múltiplos Fatores, em português) para contas de administradores é muito importante e crítico para garantir a segurança da nuvem. A MFA exige que os usuários forneçam mais de um método de autenticação, como uma senha e um código de acesso gerado por um aplicativo de autenticação de dois fatores, para acessar uma conta. Isso aumenta significativamente a segurança, pois impede que atacantes acessem a conta com apenas a senha.
2- Recursos hospedados na nuvem podem ser afetados por ataques DDOS (Distributed Denial of Service, ou Negação de Serviço Distribuída, em português). Os ataques DDOS envolvem o envio de grandes quantidades de tráfego falso para um site ou serviço, com o objetivo de sobrecarregar os recursos do sistema e torná-lo inacessível. Embora os provedores de nuvem tenham medidas para proteger contra ataques DDOS, eles não são imunes a esses ataques e podem sofrer interrupções de serviço em caso de um ataque bem-sucedido.
5- A responsabilidade pelo gerenciamento da segurança da nuvem é comp
62. Examine o código-fonte PHP abaixo:
A partir desse código é possível afirmar que:
i) Essa página da aplicação está suscetível a ataques de SQL injection.
ii) Essa página da aplicação está suscetível a ataques de Cross-Site Scripting (XSS).
iii) Essa página da aplicação está suscetível a ataques de Server-Side Request Forgery (SSRF).
Apenas i - Resposta V
Apenas ii
Apenas iii
i e ii
i e iii
i) Correto. O código apresentado não está protegido contra ataques de SQL injection, pois ele concatena a variável $_GET['name'] diretamente na consulta SQL sem sanitizar ou validar o valor antes. Isso pode permitir que um atacante faça com que a consulta execute comandos maliciosos, por exemplo, alterando a consulta para retornar todas as linhas da tabela ou excluir informações importantes.
ii) Incorreto. Este código não apresenta nenhum elemento que possa ser suscetível a ataques de Cross-Site Scripting (XSS). XSS ocorre quando um atacante consegue injetar código malicioso, geralmente JavaScript, em uma página da web de maneira a executá-lo no navegador dos usuários. Isso geralmente é possível quando o site não valida ou sanitiza adequadamente os dados de entrada, permitindo que o atacante insira código malicioso no lugar de dados legítimos.
iii) Incorreto. Server-Side Request Forgery (SSRF) é um tipo de ataque em que um atacante consegue fazer com que um servidor realize requisições em seu nome para outros endereços da internet. Isso pode permitir que o atacante obtenha informações confidenciais ou execute ações maliciosas em outros sistemas. Este código não apresenta nenhum elemento que possa ser suscetível a ataques de SSRF.
63. A aplicação web TSIBET tem como negócio a realização de apostas online por usuários cadastrados e devidamente autenticados em sua plataforma. De modo a dificultar acessos indevidos às contas de seus usuários, os desenvolvedores da TSIBET implementaram uma proteção contra ataques automatizados em sua interface (página) de login, que funciona da seguinte forma:
-Quando a página de login é acessada pela primeira vez, a aplicação gera e envia para o navegador do usuário um Cookie chamado "FALHAS", cujo valor inicial é 0;
- Sempre que é submetida uma requisição de login contendo uma credencial (login/senha) inválida, a aplicação incrementa o valor do Cookie "FALHAS" em 1, e retorna uma mensagem de erro;
-No momento em que a aplicação recebe uma requisição de login contendo o Cookie FALHAS com valor 5 (FALHAS=5), ela simplesmente aborta essa tentativa de login, e retorna uma mensagem de erro informando que o usuário foi bloqueado;
-No momento em que o usuário se autentica com sucesso, informando login/senha corretamente, o valor do Cookie "FALHAS" é novamente definido como 0.
Sobre o que foi explanado acima, pode-se afirmar que:
A proteção é eficaz contra ataques automatizados de força bruta.
A proteção é parcialmente eficaz, funcionando apenas contra ataques de dicionário.
A proteção não é eficaz contra ataques automatizados, pois o valor do Cookie FALHAS pode ser controlado no client-side.
A proteção é eficaz contra a maioria dos ataques automatizados, porém não é eficaz contra ataques de dicionário.
A proteção é eficaz conta acessos indevidos, e funciona de forma semelhante a um CAPTCHA.
64. Escolha a opção que melhor completa a frase:
A técnica denominada consiste em configurar um aplicativo mobile para aceitar apenas certificados predefinidos.
Certificate verifying.
Certificate binding.
Certificate pinning.
Certificate validation.
Certificate distribution.
65. Qual a correção para ataques de força bruta num formulário de login? 
Bloquear o usuário após 5 tentativas de autenticação incorretas.
Inserir um CAPTCHA no formulário de autenticação.
Bloquear o IP do usuário após 5 tentativas de autenticação incorretas.
Capturar informações do navegador e criar blocklists de navegadores que tentaram senhas de múltiplos usuários várias vezes.
Não existe correção para ataques de força bruta. Deste modo, é necessário dificultar ao máximo investidas automatizadas, e garantir que a aplicação possua uma política de senhas robusta, 2FA, entre outras camadas de proteção.
66. O protocolo TLS Handshake é utilizado inicialmente para fechar uma conexão TLS entre um cliente e um servidor. Para que isto aconteça, são trocadas de 6 a 10 mensagens entre as partes. Das alternativas, qual ilustra o cenário onde é necessário as 10 mensagens?
Entenda a seta -> como uma mensagem indo do cliente para o servidor;
E a seta <- como uma mensagem vindo do servidor para o cliente.
Questões de P&D - Pesquisa e Desenvolvimento
67. O que você poderia fazer para lidar com a ausência de dados ou com dados corrompidos em um dataset?
Descartar as linhas e colunas com dados faltantes ou corrompidos.
Substituiros valores faltantes ou corrompidos por médias/medianas /moda.
Substituir os valores faltantes ou corrompidos por um valor fixo.
Todas as alternativas acima são possíveis.
68. Em um problema de regressão ou classificação, qual das seguintes alternativas é a correta para pré-processar os dados?
Normalizar os dados, PCA, treinamento.
PCA, normalizar as saídas do PCA, treinamento.
Normalizar os dados, PCA, normalizar as saídas do PCA, treinamento.
Nenhuma das alternativas acima.
69. Qual das alternativas abaixo não corresponde a aprendizagem supervisionada?
PCA. - Resposta V
Naive Bayesian.
Regressão linear.
Árvore de decisão
PCA (Principal Component Analysis ou Análise de Componentes Principais, em português) não corresponde a aprendizagem supervisionada.
Aprendizagem supervisionada é um tipo de aprendizado de máquina no qual os dados de treinamento são rotulados e o modelo precisa prever os rótulos para novos exemplos. Exemplos de algoritmos de aprendizagem supervisionada incluem regressão linear, árvore de decisão, Naive Bayesian e muitos outros.
PCA, por outro lado, é um método de análise de dados que é utilizado para reduzir a dimensionalidade de um conjunto de dados. Ele busca encontrar um conjunto de componentes principais que capturem a maior parte da variabilidade dos dados. PCA não é um algoritmo de aprendizagem de máquina, mas é comumente utilizado como pré-processamento de dados antes de aplicar técnicas de aprendizagem de máquina.
.
70. Qual dos fatores abaixo é uma desvantagem das árvores de decisão?
Tempo de inferência longo.
Robustez à outliers.
Tendência à overfitting.
Nenhuma das alternativas acima.
71. Em qual dos casos abaixo o algoritmo de clustering K-means falha em obter bons resultados?
1) Dados com outliers.
2) Dados com diferentes densidades.
3) Dados com formatos não convexos.
1 e 2.
2 e 3.
1 e 3.
1,2 e 3.
72. Qual é a função de perda mais comumente adotada no treinamento de autoencoders?
Binary cross-entropy
Cross-entropy
Mean-squared error
Hinge loss
73. Quais dos algoritmos abaixo podem ser usados na detecção não supervisionada de anomalias?
1) Isolation Forest
2) DBSCAN
3) Autoencoders
4) Generative Adversarial Networks
1, 3 e 4.
2, 3 e 4.
3 e 4.
1,2,3 e 4.
74. Enquanto candidato a uma vaga de estágio em uma renomada empresa do segmento de tecnologia, você descobriu, "sem querer querendo", os critérios de avaliação utilizados no processo seletivo:
i - A nota da avaliação teórica, que varia de 0 a 10;
ii - A nota do teste de inglês, que varia de 0 a 10;
iii - A nota da dinâmica de grupo, que varia de 0 a 10;
iv - A nota da entrevista com o time técnico, que varia de 0 a 10;
v - Ter sido monitor na faculdade, onde 0 é não e 1 é sim;
vi - Ter participado de projeto de iniciação científica, onde o é não e 1 é sim;
vii - Quantidade de vulnerabilidades reportadas.
Além dos critérios listados, você também descobriu que o algoritmo utilizado para decidir se um candidato será aprovado é uma regressão logística, e pasme!, os dados utilizados para treinar o modelo são os seguintes:
Confira os dados no link: https://docs.google.com/spreadsheets/d/1MHKICs-gbY-ptGood8mHEZYC7qqRbxU4/edit?usp=drivesdk&ouid=108756755938998534991&rtpof=true&sd=true
Com base nessas informações, quais afirmações podem ser realizadas sobre os seguintes candidatos:
Candidato 1: {'nota_avaliacao': 8, 'nota_ingles': 9, 'nota_dinamica': 7, 'nota entrevista': 9, 'monitoria': 1, iniciacao_cientifica:0, vulnerabilidades_reportadas":0}
Candidato 2: {nota_avaliacao: 6, 'nota_ingles: 10, 'nota_dinamica': 8, 'nota entrevista': 8, 'monitoria': 0, 'iniciacao_cientifica:0, vulnerabilidades_reportadas':1}
Candidato 3: {'nota_avaliacao: 8, 'nota ingles: 9, 'nota_dinamica': 8, 'nota_entrevista': 7, 'monitoria': 0, 'iniciacao_cientifica':0, vulnerabilidades_reportadas":0}
Observações:
Na coluna 'Aprovado', 1 quer dizer aprovado e 0 quer dizer não aprovado;
Use a proporção de 0,25 para os dados de teste e de 0,75 para os dados de treinamento;
Use os hyper-parámetros default do scikit-learn;
Não normalize os dados.
Esta questão é meramente ilustrativa e não reflete a forma que a Tempest realiza a seleção de seus candidatos.
Nenhum candidato foi aprovado.
Apenas o candidato 1 foi aprovado.
Apenas o candidato 2 foi aprovado.
Apenas o candidato 3 foi aprovado.
Apenas os candidatos 1 e 2 foram aprovados.