Auditoria de Segurança da Informação - Teste Final (N2) - 1

Prévia do material em texto

Questão 1
Ainda não respondida
Vale 1,00 ponto(s).
Questão 2
Ainda não respondida
Vale 1,00 ponto(s).
Muitas pessoas confundem o teste de invasão com a análise de vulnerabilidade, cometendo erros até na
prática na hora de entregar o produto para a empresa. Dessa forma, assinale a alternativa correta que descreva
o que seria o processo de análise de vulnerabilidade.
a. A análise de vulnerabilidade apenas encontra vulnerabilidades, e não as reporta.
b. A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las.
c. A análise de vulnerabilidade é somente uma fase de exploração das falhas.
d. A análise de vulnerabilidade encontra todas as vulnerabilidades possíveis e ainda corrige as falhas.
e. A análise de vulnerabilidades é a mesma coisa que utilizar um scan de antivírus e um firewall.
Limpar minha escolha
Existem diversos sistemas operacionais para fazer teste de invasões e focados na parte de segurança nos dias
atuais, porém é importante saber no que esses sistemas foram baseados, onde começaram e qual é sua base.
Tecnicamente, são informações importantes que ajudam o profissional de segurança da informação a resolver
algumas situações. Nesse sentido, assinale a alternativa que indica um sistema operacional de propósito geral,
que não é focado especificamente em testes de invasão.
a. Linux Security Auditing Tool(LSAT).
b. Ubuntu Linux.
c. BackTrack.
d. GFI LanGuard.
e. QualysGuard.
Limpar minha escolha
sti-luis
A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las.
sti-luis
Ubuntu Linux.
Questão 3
Ainda não respondida
Vale 1,00 ponto(s).
Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve possuir o
pentest, visto que, a cada dia, os criminosos estão melhores e os profissionais de segurança precisam estar
testando sempre a segurança das empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse
modo, assinale a alternativa correta sobre qual seria o principal objetivo do Pentest.
a. O Pentest é basicamente uma detecção de erros no sistema.
b. O Pentest é um programa para detectar falhas e vulnerabilidades nos sistemas.
c. O Pentest é um antivírus e um firewall.
d. O Pentest é uma simulação de um ataque real.
e. O Pentest é um teste de invasão que somente enumera as vulnerabilidades.
Limpar minha escolha
sti-luis
O Pentest é uma simulação de um ataque real.
Questão 4
Ainda não respondida
Vale 1,00 ponto(s).
Questão 5
Ainda não respondida
Vale 1,00 ponto(s).
Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em
2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha
de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e
começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o
Hardening.
a. Consiste na implementação de máquinas seguras.
b. Consiste na defesa de antivírus.
c. Consiste na defesa por firewall web.
d. Consiste na defesa de um firewall.
e. Consiste em análises de acordo com scan.
Limpar minha escolha
Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é um passo importante da
auditoria, pois é nesse momento que você estará entregando o produto que o cliente pagou, e esse report deve
ser descrito de uma maneira que as vulnerabilidades devam ser entendidas.
De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report.
a. O report deve ser mostrado na prática e sem relatório, mostrando o verdadeiro impacto que elas
causam.
b. O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto
perigo e baixo perigo.
c. O report deve ser organizado se mantendo a ordem em que as vulnerabilidades são descobertas.
d. O report deve ser feito, e as vulnerabilidades devem ser separados de acordo com o gosto do
profissional de segurança.
e. O report deve ser feito e organizado de maneira com que só apareçam as vulnerabilidades de grande
impacto.
Limpar minha escolha
sti-luis
Consiste na implementação de máquinas seguras.
sti-luis
O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto
perigo e baixo perigo.
Questão 6
Ainda não respondida
Vale 1,00 ponto(s).
Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X
e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando
o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando.
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na
documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Um projeto de segurança.
II. ( ) Somente assinatura do contratante liberando os testes.
III. ( ) Uma programação de testes.
IV. ( ) Um escopo do que será testado.
 
Assinale a alternativa que apresenta a sequência correta.
a. V, V, F, F.
b. V, V, V, V.
c. V, F, V, V
d. F, F, F, F.
e. F, V, F, V.
Limpar minha escolha
sti-luis
V, F, V, V
Questão 7
Ainda não respondida
Vale 1,00 ponto(s).
Para uma empresa se proteger, principalmente na parte técnica, é fundamental trabalhar na sua prevenção,
para que atacantes criminosos não consigam entrar facilmente no sistema dela. Quanto mais a empresa se
encontra blindada e com prevenções bem definidas, mais difícil é algum atacante hacker conseguir ter êxito no
hackeamento.
 
A respeito da questão colocada sobre prevenção, analise as afirmativas a seguir e assinale V para a(s)
Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Para que as empresas estejam prevenidas, é muito importante contratar ou ter um profissional de
segurança para fazer um teste de invasão no próprio sistema. Assim, verifica-se se existem vulnerabilidades e,
caso existam, confirmam-se quais são.
II. ( ) É muito importante esperar a empresa ser atacada primeiro, para depois verificar e fazer a prevenção.
III. ( ) Sem que a empresa seja atacada por criminosos, não há como saber quais medidas de segurança se
deve tomar.
IV. ( ) Para uma segurança forte e preventiva, basta colocar qualquer funcionário de TI para fazer as
seguranças básicas, mesmo não sendo especialista na área, pois todo TI entende de tudo o que envolve
tecnologia.
 
Assinale a alternativa que apresenta a sequência correta.
a. V, V, V, V.
b. V, V, F, F.
c. F, V, F, V.
d. F, F, F, F.
e. V, F, F, F.
Limpar minha escolha
sti-luis
V, F, F, F.
Questão 8
Ainda não respondida
Vale 1,00 ponto(s).
Questão 9
Ainda não respondida
Vale 1,00 ponto(s).
Há alguns principais tipos de Pentest que são efetuados, quando os testes vão ocorrer, e tudo depende
exatamente do que a pessoa que irá contratar o serviço deseja, se vai querer um Pentest interno, externo ou
via wi-fi. Existem muitos tipos os testes, de acordo com o que é pretendido pela empresa.
De acordo com a questão, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s)
Falsa(s).
 
I. ( ) Aplicativos web.
II. ( ) Redes cabeadas.
III. ( ) Antenas.
IV. ( ) VoIP.
a. V, V, F, V.
b. V, F, V, V
c. F, F, F, F.
d. F, V, F, V.
e. V, V, V, V.
 
 
Limpar minha escolha
O nome “engenharia” é comumente empregado, pelos populares, quando se constroem mecanismos para
resolver um problema ou arquitetar uma solução. Na área da segurança da informação, a engenharia social tem
um significado bastante particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social.
a. Engenharia social é quando o engenheiro quer usar tecnologia para fazer tecnologia artificial para
praticar o social com a sociedade.
b. Engenharia social é um ataque que extrai falhas de senhas das empresas por meio do hijack de seus
e-mails.
c. Engenharia social é um ataque que extraifalhas de informações públicas sobre a infraestrutura
tecnológica da empresa que podem ser facilmente encontradas no Google.
d. Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque
por meio de técnicas como enganar alguém por conversa.
e. Engenharia social é um ataque que extrai falhas nos servidores das empresas, por meio da aplicação
de exploits via conexão de Internet.
Limpar minha escolha
sti-luis
Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque
por meio de técnicas como enganar alguém por conversa.
sti-luis
V, V, F, V.
Questão 10
Ainda não respondida
Vale 1,00 ponto(s).
Há muitos especialistas na área de segurança da informação que dizem não existir sistema seguro, quando se
tomam medidas de prevenção e protetiva nos sistemas, as quais fazem com que o seu sistema seja mais difícil
de ser invadido, mas não que ele esteja 100% seguro.
Existem dois tipos de ameaças classificadas: a lógica e a física.
 
De acordo com essa afirmação, analise as afirmativas sobre a descrição do que são as ameaças lógica e física.
 
I. Alagamentos, que podem fazer com que o sistema pare de funcionar, fazendo, consequentemente, uma
empresa parar, e, caso não tiver backup, ela ainda perde todas as informações obtidas.
II. A quebra de senhas é um ataque mais conhecido como “brute force”, sendo uma das técnicas usadas para
entrar em sistemas nos quais não se tem autorização.
III. Um malware tem mil utilidades, dependendo do que foi programado para fazer. É um código em
funcionamento, moldado para prejudicar o sistema.
IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o sistema está localizado.
 
Está correto o que se afirma em:
a. II e III, apenas.
b. I, II e III, apenas.
c. I e II, apenas.
d. I, II, III e IV.
e. I, II e IV, apenas.