Baixe o app para aproveitar ainda mais
Prévia do material em texto
Exercicios Capitulo 13 Farias,Ovídio José 13.1 Explique as diferenças importantes entre a engenharia de segurança da informação das aplicações e a engenharia de segurança da informação da infraestrutura. R: A diferença principal entre as duas abordagens é que a Engenharia de Segurança da Informação é o processo de proteger as aplicações de ameaças à segurança, tais como ataques cibernéticos, vazamento de dados, entre outras, enquanto a Engenharia de Segurança da Informação da Infraestrutura é o processo de proteger a infraestrutura de tecnologia da informação (TI) de ameaças à segurança. A ISE da infraestrutura inclui a proteção de redes, servidores, dispositivos de armazenamento, entre outros componentes da TI. Ambas as abordagens são complementares e trabalham juntas para garantir a segurança de informações em um sistema informático. 13.2 Para o sistema Mentcare, sugira um exemplo de ativo, uma exposição, uma vulnerabilidade, um ataque, uma ameaça e um controle, além dos discutidos neste capítulo. R: Ativo: Dados dos pacientes armazenados no sistema Mentcare. Exposição: Acesso remoto ao sistema Mentcare via internet. Vulnerabilidade: Senhas fracas utilizadas pelos funcionários do Mentcare. Ataque: Ataque de força bruta às senhas dos funcionários do Mentcare. Ameaça: Roubo de dados dos pacientes por um hacker mal-intencionado. Controle: Implementação de políticas de senha forte e autenticação multifator para o acesso ao sistema Mentcare. 13.3 Explique por que há a necessidade de avaliação preliminar do risco à segurança da informação e avaliação de risco do projeto durante o desenvolvimento de um sistema. R: A avaliação preliminar do risco à segurança da informação e a avaliação de risco do projeto são importantes porque permitem identificar, avaliar e priorizar as ameaças à segurança da informação antes e durante o desenvolvimento de um sistema. A avaliação de risco do projeto é realizada durante o desenvolvimento do sistema e permite avaliar a exposição de risco de segurança da informação à medida que o sistema é construído. 13.4 Estenda a tabela na Figura 13.7 para identificar mais duas ameaças ao sistema Mentcare, assim como controles associados. Use essas ameaças como uma base para gerar requisitos de segurança da informação do software que implementem os controles propostos. Ataques de phishing: os usuários podem receber e-mails fraudulentos ou mensagens de texto que parecem legítimos, mas que contêm links maliciosos que levam a páginas falsas de login. Ao inserir suas credenciais nesses sites falsos, os usuários podem inadvertidamente fornecer acesso não autorizado a terceiros. Controle associado: Implementar treinamentos de conscientização sobre segurança da informação para todos os usuários do sistema Mentcare, incluindo como identificar e evitar ataques de phishing. Além disso, o sistema pode usar recursos de autenticação de dois fatores (2FA) para garantir que apenas usuários autorizados tenham acesso ao sistema. Ataques de injeção de SQL: se um invasor conseguir injetar código SQL malicioso no sistema Mentcare, eles podem acessar ou modificar dados sensíveis armazenados no banco de dados do sistema. Controle associado: Implementar práticas de codificação seguras para evitar vulnerabilidades de injeção de SQL, como validação de entrada de dados, escape de caracteres especiais e uso de parâmetros de consulta preparados. Além disso, o sistema pode usar firewalls de aplicativos da web para monitorar e bloquear solicitações maliciosas antes que elas alcancem o aplicativo Mentcare. 13.5 Explique, usando uma analogia extraída de um contexto alheio à engenharia de software, por que deve ser empregada uma abordagem em camadas para a proteção de ativos. R: Uma analogia possível para explicar a importância da abordagem em camadas para proteção de ativos é a segurança de um cofre. Assim como um cofre tem várias camadas de proteção, como uma fechadura complexa, paredes reforçadas, sistema de alarme, etc., um sistema de proteção de ativos também precisa de várias camadas para garantir a segurança do ativo. Se considerarmos apenas uma única camada de segurança, como uma simples senha, isso seria como confiar apenas em um pequeno cadeado para proteger as riquezas guardadas em um cofre. Se um invasor conseguir quebrar essa camada de proteção, ele terá acesso ao conteúdo do cofre. Da mesma forma, se um atacante conseguir quebrar a camada de proteção de uma senha fraca, ele poderá acessar o ativ 13.6 Explique por que é importante usar tecnologias diversas no desenvolvimento de sistemas seguros. R: Usar tecnologias diversas permite que você aproveite as vantagens de cada tecnologia e crie uma defesa em profundidade contra ameaças à segurança.Além disso, o uso de tecnologias diversas ajuda a mitigar o risco de falhas em uma única tecnologia. 13.7 Para o sistema de negociação de ações discutido na Seção 13.4.2, cuja arquitetura é exibida na Figura 13.14, sugira dois outros ataques plausíveis ao sistema e proponha possíveis estratégias que poderiam combater esses ataques. R: Ataque de negação de serviço (DoS): um ataque DoS poderia ser usado para sobrecarregar o sistema de mercado de ações, tornando-o inoperante. Isso poderia ser feito enviando uma grande quantidade de tráfego falso para o sistema, impedindo que os usuários legítimos acessem o mercado de ações. Para combater esse ataque, as estratégias incluem a implementação de sistemas de prevenção de DoS, como firewalls, limitação de tráfego e a adição de recursos adicionais para o sistema de mercado de ações. Ataque de manipulação do mercado: um ataque de manipulação do mercado ocorre quando um indivíduo ou grupo de indivíduos tenta influenciar os preços das ações para obter lucro. Isso poderia ser feito através da divulgação de informações falsas ou enganosas, ou pela realização de negociações em grande escala que afetam os preços das ações. Para combater esse tipo de ataque, as estratégias incluem a implementação de regulamentações mais rigorosas, maior transparência nos negócios, vigilância por parte dos reguladores e penalidades mais severas para os infratores. 13.8 Explique por que é importante, durante a codificação de sistemas seguros, validar todas as entradas do usuário e conferir se elas têm o formato esperado. R: A validação de entradas do usuário é importante durante a codificação de sistemas seguros porque as entradas do usuário são uma das principais fontes de ameaças à segurança. Ao validar as entradas, você pode garantir que elas tenham o formato esperado e evitar ataques como injeção de código, buffer overflow e outras vulnerabilidades de segurança. A validação de entradas também ajuda a garantir a integridade dos dados manipulados pelo sistema. Além disso, a validação de entradas ajuda a garantir a experiência do usuário, pois permite que o sistema forneça feedback claro e informativo sobre erros de entrada. Isso pode ajudar a minimizar a frustração do usuário e aumentar a confiança no sistema. 13.9 Sugira como você validaria um sistema de proteção com senha para uma aplicação que você desenvolveu. Explique a função de quaisquer ferramentas que acha que podem ser úteis. R: Utilizaria uma senha com o requisito de 8 caracteres, sendo eles necessariamente compostos por no mínimo 1 caractere maiúsculo, 1 minúsculo, e sem caracteres especiais. Auxiliando o usuário a não utilizar datas convenientes a documentos oficiais, porém indicar a mesclar palavras favoritas a datas pessoais ao usuário. Além disso, pode-se usar o sistema de biometria utilizado por alguns aparelhos celulares. 13.10 O sistema Mentcare tem de ser seguro contra os ataques que poderiam revelar informações confidenciais dos pacientes. Sugira três possíveis ataques contra esse sistema. Usando essas informações, estenda a lista de verificação na Figura 13.17 para guiar os testadores do sistema Mentcare. R: 1- Ataque de interceptação: Este tipo de ataque ocorre quando um invasor intercepta as informações transmitidas entre o sistema Mentcare e os pacientesou entre o sistema e outros sistemas associados. O invasor pode capturar informações confidenciais, como nomes de pacientes, históricos médicos, informações financeiras e outros dados sensíveis. 2- Ataque por força bruta: Este é um tipo de ataque em que o invasor tenta adivinhar a senha ou a chave de criptografia do sistema Mentcare. O invasor pode usar vários algoritmos para adivinhar a senha ou a chave, o que pode levar a uma brecha na segurança do sistema. 3- Ataque por engenharia social: Este é um tipo de ataque em que o invasor se passa por um usuário legítimo para obter informações confidenciais do sistema Mentcare. Por exemplo, o invasor pode se passar por um médico e enviar e-mails phishing para pacientes solicitando informações pessoais ou financeiras. A informação obtida desta forma pode ser usada para invadir o sistema ou para fins maliciosos
Compartilhar