Auditoria de Segurança da Informação - Teste Final (N2) - 4

Prévia do material em texto

Questão 1
Incorreto
Atingiu 0,00 de 1,00
Muitas pessoas confundem o teste de invasão com a análise de vulnerabilidade, cometendo erros
até na prática na hora de entregar o produto para a empresa. Dessa forma, assinale a alternativa
correta que descreva o que seria o processo de análise de vulnerabilidade.
a. A análise de
vulnerabilidade
apenas encontra
vulnerabilidades,
e não as
reporta.
Sua resposta está incorreta. A alternativa está incorreta, pois as
vulnerabilidades, em uma análise de vulnerabilidades, devem sim
ser reportadas, já que elas fazem parte do escopo. Essa análise
não corrige as falhas. Isso está no escopo do Pentest e passa
muito longe de ser um scan de antivírus ou uma exploração de
falhas como um Google Hacking.
b. A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-
las.
c. A análise de vulnerabilidade é somente uma fase de exploração das falhas.
d. A análise de vulnerabilidade encontra todas as vulnerabilidades possíveis e ainda corrige as
falhas.
e. A análise de vulnerabilidades é a mesma coisa que utilizar um scan de antivírus e
um firewall.
A resposta correta é: A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando
consertá-las.
Questão 2
Correto
Atingiu 1,00 de 1,00
Questão 3
Correto
Atingiu 1,00 de 1,00
Existem diversos sistemas operacionais para fazer teste de invasões e focados na parte de
segurança nos dias atuais, porém é importante saber no que esses sistemas foram baseados, onde
começaram e qual é sua base. Tecnicamente, são informações importantes que ajudam o
profissional de segurança da informação a resolver algumas situações. Nesse sentido, assinale a
alternativa que indica um sistema operacional de propósito geral, que não é focado especificamente
em testes de invasão.
a. Linux Security Auditing Tool(LSAT).
b. Ubuntu
Linux.
Resposta correta. A alternativa está correta, pois o Ubuntu Linux é somente
uma distribuição Linux, para usuários comuns utilizarem para fazer suas
tarefas do dia a dia, e não para realizar testes de segurança. É possível
baixar ferramentas no Ubuntu, porém não é o foco dele.
c. BackTrack.
d. GFI LanGuard.
e. QualysGuard.
A resposta correta é: Ubuntu Linux.
Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve
possuir o pentest, visto que, a cada dia, os criminosos estão melhores e os profissionais de
segurança precisam estar testando sempre a segurança das empresas para que nunca ocorra
nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta sobre qual seria o
principal objetivo do Pentest.
a. O Pentest é basicamente uma detecção de erros no sistema.
b. O Pentest é um programa para detectar falhas e vulnerabilidades nos sistemas.
c. O Pentest é um antivírus e um firewall.
d. O Pentest
é uma
simulação
de um
ataque
real.
Resposta correta. A alternativa está correta, pois
o Pentest não é simplesmente uma análise de vulnerabilidade, sendo algo
muito mais completo que somente achar as vulnerabilidades e mostrar
que está vulnerável: é também simular um verdadeiro ataque naquela
empresa e ajudá-la a ir corrigindo suas falhas.
e. O Pentest é um teste de invasão que somente enumera as vulnerabilidades.
A resposta correta é: O Pentest é uma simulação de um ataque real.
Questão 4
Correto
Atingiu 1,00 de 1,00
Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco
protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela
Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então,
muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a
alternativa que apresenta no que consiste o Hardening.
a. Consiste na
implementação
de máquinas
seguras.
Resposta correta. A alternativa está correta, pois a ideia do
Hardening é justamente saber se aquele hardware está seguro para
uso ou não. Acredite-se ou não, existem hackers especializados
somente em achar vulnerabilidades usando hardware.
b. Consiste na defesa de antivírus.
c. Consiste na defesa por firewall web.
d. Consiste na defesa de um firewall.
e. Consiste em análises de acordo com scan.
A resposta correta é: Consiste na implementação de máquinas seguras.
Questão 5
Correto
Atingiu 1,00 de 1,00
Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é um passo
importante da auditoria, pois é nesse momento que você estará entregando o produto que o cliente
pagou, e esse report deve ser descrito de uma maneira que as vulnerabilidades devam ser
entendidas.
De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report.
a. O report deve ser mostrado na prática e sem relatório, mostrando o verdadeiro impacto que
elas causam.
b. O report deve ser
organizado de
maneira que mostre
a prioridade das
vulnerabilidades,
entre alto perigo e
baixo perigo.
Resposta correta. A alternativa está correta, pois todas as
vulnerabilidades devem ser organizadas de uma maneira que
todos entendam, explicando-se quais geram pouco, médio e
grande impacto. É muito importante colocar graus e
separações por escalas de quais vulnerabilidade são maiores
quais são menores.
c. O report deve ser organizado se mantendo a ordem em que as vulnerabilidades são
descobertas.
d. O report deve ser feito, e as vulnerabilidades devem ser separados de acordo com o gosto
do profissional de segurança.
e. O report deve ser feito e organizado de maneira com que só apareçam as vulnerabilidades
de grande impacto.
A resposta correta é: O report deve ser organizado de maneira que mostre a prioridade das
vulnerabilidades, entre alto perigo e baixo perigo.
Questão 6
Correto
Atingiu 1,00 de 1,00
Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar
que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar
sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será
feito e pelo que está pagando.
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter
na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s)
Falsa(s).
 
I. ( ) Um projeto de segurança.
II. ( ) Somente assinatura do contratante liberando os testes.
III. ( ) Uma programação de testes.
IV. ( ) Um escopo do que será testado.
 
Assinale a alternativa que apresenta a sequência correta.
a. V, V, F, F.
b. V, V, V, V.
c. V,
F,
V,
V
Resposta correta. A alternativa está correta, pois apresenta sequência adequada.
É muito importante que um projeto seja apresentado, que seja especificado tudo o
que será testado e se determinarem datas para os testes que não atrapalhem a
produção da empresa. O projeto de segurança deve ter todo um escopo,
mostrando cada detalhe do projeto. A programação de testes deve sempre
mostrar o que será alterado, que horário, que dia da semana, sempre o mais
específico possível, e o escopo do que será testado sempre deverá estar em
ordem e atualizado para que o contratante saiba exatamente o que será testado.
Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de
segurança.
d. F, F, F, F.
e. F, V, F, V.
A resposta correta é: V, F, V, V
Questão 7
Correto
Atingiu 1,00 de 1,00
Para uma empresa se proteger, principalmente na parte técnica, é fundamental trabalhar na sua
prevenção, para que atacantes criminosos não consigam entrar facilmente no sistema dela. Quanto
mais a empresa se encontra blindada e com prevenções bem definidas, mais difícil é algum
atacante hacker conseguir ter êxito no hackeamento.
 
A respeito da questão colocada sobre prevenção, analise as afirmativas a seguir e assinale V para
a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Para que as empresas estejam prevenidas, é muito importante contratar ou ter um profissional
de segurança para fazer um teste de invasão no própriosistema. Assim, verifica-se se existem
vulnerabilidades e, caso existam, confirmam-se quais são.
II. ( ) É muito importante esperar a empresa ser atacada primeiro, para depois verificar e fazer a
prevenção.
III. ( ) Sem que a empresa seja atacada por criminosos, não há como saber quais medidas de
segurança se deve tomar.
IV. ( ) Para uma segurança forte e preventiva, basta colocar qualquer funcionário de TI para fazer as
seguranças básicas, mesmo não sendo especialista na área, pois todo TI entende de tudo o que
envolve tecnologia.
 
Assinale a alternativa que apresenta a sequência correta.
a. V, V, V, V.
b. V, V, F, F.
c. F, V, F, V.
d. F, F, F, F.
e. V,
F,
F,
F.
Resposta correta. A alternativa está correta, pois apresenta sequência adequada.
Para que as empresas tenham uma segurança acertada, é bastante recomendado
pelo menos um teste de invasão a cada seis meses, pois a tecnologia se renova a
cada dia, mais atualizações são feitas, e as vulnerabilidades vão surgindo.
Quando espera sofrer um ataque antes de ser feita uma prevenção, você não
estará prevenindo a empresa, e sim estancando apenas uma sangria. Você
mesmo pode simular um ataque na empresa ou pedir para um terceirizado fazer
isso, procurando vulnerabilidades e sempre ir blindando a empresa. E, de
preferência, esse profissional deve ser especialista na área e segurança da
informação.
A resposta correta é: V, F, F, F.
Questão 8
Correto
Atingiu 1,00 de 1,00
Há alguns principais tipos de Pentest que são efetuados, quando os testes vão ocorrer, e tudo
depende exatamente do que a pessoa que irá contratar o serviço deseja, se vai querer um Pentest
interno, externo ou via wi-fi. Existem muitos tipos os testes, de acordo com o que é pretendido pela
empresa.
De acordo com a questão, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F
para a(s) Falsa(s).
 
I. ( ) Aplicativos web.
II. ( ) Redes cabeadas.
III. ( ) Antenas.
IV. ( ) VoIP.
a. V,
V,
F,
V.
Resposta correta. A alternativa está correta, pois apresenta sequência adequada.
Os principais tipos de Pentest são: as redes cabeadas (os testes são realizados
numa rede interna dentro da empresa, verificando suas vulnerabilidades), os
aplicativos web (sempre também no escopo do Pentest, pois quase tudo gira em
torno da internet atualmente, todo software que usamos está on-line via web para
utilizarmos) e o VoIP (é muito interessante estar no escopo do Pentest justamente
para que a empresa não fique sem a comunicação desejada). Não são todos, mas
são tópicos importantes de um teste de invasão numa companhia.
b. V, F, V, V
c. F, F, F, F.
d. F, V, F, V.
e. V, V, V, V.
 
 
A resposta correta é: V, V, F, V.
Questão 9
Correto
Atingiu 1,00 de 1,00
O nome “engenharia” é comumente empregado, pelos populares, quando se constroem
mecanismos para resolver um problema ou arquitetar uma solução. Na área da segurança da
informação, a engenharia social tem um significado bastante particular. Assim sendo, assinale a
alternativa correta sobre o que é engenharia social.
a. Engenharia social é quando o engenheiro quer usar tecnologia para fazer tecnologia
artificial para praticar o social com a sociedade.
b. Engenharia social é um ataque que extrai falhas de senhas das empresas por meio do
hijack de seus e-mails.
c. Engenharia social é um ataque que extrai falhas de informações públicas sobre a
infraestrutura tecnológica da empresa que podem ser facilmente encontradas no Google.
d. Engenharia social
é quando um
atacante
consegue
informações de
uma empresa,
fazendo um
ataque por meio
de técnicas como
enganar alguém
por conversa.
Resposta correta. A alternativa está correta, pois a engenharia
social é utilizada justamente para evitar vestígios, então não é
usado nenhum tipo de técnica de um computador, somente a
lábia, uma ligação telefônica, em que o atacante extrai
informações sem que a vítima perceba. O foco da engenharia
social são as pessoas, e não diretamente a tecnologia em si.
Portanto, a engenharia social tem bastante a ver com conceitos
psicológicos do comportamento humano.
e. Engenharia social é um ataque que extrai falhas nos servidores das empresas, por meio da
aplicação de exploits via conexão de Internet.
A resposta correta é: Engenharia social é quando um atacante consegue informações de uma
empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa.
Questão 10
Correto
Atingiu 1,00 de 1,00
Há muitos especialistas na área de segurança da informação que dizem não existir sistema seguro,
quando se tomam medidas de prevenção e protetiva nos sistemas, as quais fazem com que o seu
sistema seja mais difícil de ser invadido, mas não que ele esteja 100% seguro.
Existem dois tipos de ameaças classificadas: a lógica e a física.
 
De acordo com essa afirmação, analise as afirmativas sobre a descrição do que são as ameaças
lógica e física.
 
I. Alagamentos, que podem fazer com que o sistema pare de funcionar, fazendo,
consequentemente, uma empresa parar, e, caso não tiver backup, ela ainda perde todas as
informações obtidas.
II. A quebra de senhas é um ataque mais conhecido como “brute force”, sendo uma das técnicas
usadas para entrar em sistemas nos quais não se tem autorização.
III. Um malware tem mil utilidades, dependendo do que foi programado para fazer. É um código em
funcionamento, moldado para prejudicar o sistema.
IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o sistema está localizado.
 
Está correto o que se afirma em:
a. II e III, apenas.
b. I, II e III, apenas.
c. I e II, apenas.
d. I,
II,
III
e
IV.
Resposta correta. A alternativa está correta, pois a segurança da informação tem
como base dois supostos caminhos de ataques: os físicos e os lógicos. Os físicos
são representados por aqueles que a natureza pode acabar estragando o sistema
ou a até a empresa. Já os ataques lógicos são programados por algum hacker
atacante que quer prejudicar de alguma maneira sua empresa.
e. I, II e IV, apenas.
 
 
A resposta correta é: I, II, III e IV.