segurança cibernética

Prévia do material em texto

Para a implementação de redes seguras em uma empresa, um técnico pode valer-se de medidas como segmentação e segregação das redes corporativa e de visitantes, bem como adotar soluções como adoção de sistema de log para auditoria de atividades em rede. A implementação dessas medidas é documentada em qual fase da estruturação do Plano de Cibersegurança?
		
	
	Identificação.
	
	Recuperação.
	
	Resposta.
	
	Detecção.
	 Certo
	Proteção.
	Respondido em 28/03/2023 10:40:27
	
	Explicação:
A fase de Proteção é responsável por várias medidas com o intuito de adotar-se medidas de diminuição ou anulação do impacto do incidente cibernético. Dessa forma, adoção de sistemas com logs de auditoria, com o intuito de registrar ações anômalas de incidentes, além da segregação e segmentação de redes, fazem parte do escopo dessa fase. O enunciado apresenta uma situação em que se busca segregar as redes de visitantes e corporativa para impedir o acesso não autorizado de indivíduos à rede corporativa. Também apresenta a adoção de um sistema de log para verificar atividades em rede, com o intuito de assegurar que eventuais incidentes sejam gravados em log e notificados. Essas ações estão vinculadas à fase de Proteção.
	
		2a
          Questão
	Acerto: 0,0  / 1,0
	
	Uma empresa está realizando cálculos para entender como os vários tipos de ameaças cibernéticas, caso causem incidentes em vários dos ativos do ciberespaço que possui, poderão afetá-la financeiramente. Em uma das hipóteses de incidente, uma ameaça cibernética poderia exfiltrar todos os dados críticos e impedir o funcionamento da empresa por alguns dias, causando um prejuízo estimado em R$ 245.000,00. Diante disso, qual fórmula final e justificativa correspondem ao cálculo para foi utilizada para chegar-se a esse valor?
		
	
	ALE (expectativa de perda singular), pois representa o valor esperado para a perda.
	
	EF (fator de exposição), pois representa a porcentagem da perda provocada por uma ameaça.
	 Certo
	SLE (expectativa de perda singular), pois representa a perda baseando-se em apenas um evento de uma ameaça específica.
	 Errado
	ALE (expectativa de perda anual), pois representa a perda baseando-se no efeito de longo período causado pela ameaça.
	
	SLE (expectativa de perda única), pois representa a perda baseando-se no efeito de longo período causado pela ameaça.
	Respondido em 28/03/2023 10:41:22
	
	Explicação:
A SLE (expectativa de perda singular) representa a perda estimada baseando-se apenas em uma ameaça específica. A EF (fator de exposição) representa a perda em porcentagem, o que não é o apresentado pelo enunciado. A ALE (expectativa de perda anual) representa a perda no período de um ano, o que também não é visualizado no enunciado, pois o período está representado em dias.
	
		3a
          Questão
	Acerto: 0,0  / 1,0
	
	Em um ambiente de trabalho, a equipe de TI sabiamente configurou seus servidores para não responderem aos pacotes do protocolo ICMP, aumentando a segurança dos ativos.
Com base na situação descrita, como o atacante prossegue no ataque?
		
	 Certo
	O atacante irá utilizar a ferramenta nmap, que envia pacotes TCP para as portas 443 e 80, além dos pacotes ICMP comuns.
	 Errado
	O atacante pode usar ferramentas como fping e ping para verificar quais hosts estão ativos na rede.
	
	É possível identificar quais hosts estão ativos com a ferramenta aircrack-ng, mesmo que eles não respondam pacotes ICMP.
	
	É impossível verificar quais hosts estão ativos em uma rede, portanto o atacante irá encerrar o ataque.
	
	O atacante irá utilizar a ferramenta fping, que pode testar outros tipos de protocolo.
	Respondido em 28/03/2023 10:43:22
	
	Explicação:
O nmap, por padrão, envia pacotes TCP nas portas 80 e 443 para os alvos, além dos pacotes de protocolo ICMP. As ferramentas ping e fping utilizam apenas o protocolo ICMP.
	
		4a
          Questão
	Acerto: 1,0  / 1,0
	
	A empresa Tecnologia & Comunicações teve seus servidores comprometidos e os seus clientes não estavam conseguindo acessá-los. O técnico de TI da empresa verificou que os servidores não foram invadidos, mas estavam recebendo diversas conexões TCP que não completavam o 3-way handshake.
O técnico de TI então identificou o ataque como:
		
	
	DDoS do tipo UDP reflection.
	
	Buffer Overflow.
	
	Ataque de força bruta no servidor.
	 Certo
	DDoS do tipo SYN Flood.
	
	Varredura de portas com o nmap.
	Respondido em 28/03/2023 10:44:19
	
	Explicação:
O ataque de SYN Flood é responsável por enviar vários pacotes SYN para um servidor e não manter a conexão.
	
		5a
          Questão
	Acerto: 0,0  / 1,0
	
	Um dos motivos para se realizar o correto registro de eventos e monitoramento está apresentado a seguir:
		
	
	prevenir ataques de força bruta
	 Certo
	identificar quando um ataque de força bruta ocorreu
	
	diminuir a superfície de ataques ás vulnerabilidades de entidades externas de XML
	 Errado
	dificultar o uso de dicionário em ataques de força bruta
	
	evitar que aconteça casos de injeção nas aplicações web
	Respondido em 28/03/2023 10:46:45
	
	Explicação:
O uso de registro de eventos e monitoramente serve para auditoria, ou seja, para que se possa levantar mais informações sobre uma falha de segurança. De forma alguma o regsitro de eventos ou monitoramente serve para prevenir, evitar, dificultar ou diminuir a superfície de ataques.
	
		6a
          Questão
	Acerto: 0,0  / 1,0
	
	Cross-site scripting é uma vulnerabilidade bastante comum, ainda atualmente. Uma forma de se evitar a exploração desta vulnerabilidade é:
		
	
	utilizar autenticação multifator
	
	criar uma aplicação de página única (SPA - single page application)
	
	deixar disponível no servidor apenas serviços necessários.
	 Errado
	atualizar a versão do servidor web
	 Certo
	realizar a validação ade todos os campos de entradas e as saídas apresentadas aos usuários
	Respondido em 28/03/2023 10:50:51
	
	Explicação:
A exploração do cross-site scripting se inicia com a inserção de código (por exemplo Javascript) em campos de entrada de sistemas web (como por exemplo, um campo de um formulário). O valor deste campo é apresentado de volta para o usuário, estas são condições para se iniciar um ataque de cross-site scripting. A forma mais comum de se evitar isso é validar as entradas (não permitindo que sejam inseridos código nos campos) e validar as saídas apresentadas ao usuário.
	
		7a
          Questão
	Acerto: 0,0  / 1,0
	
	Avalie as assertivas a seguir, referentes a algoritmos criptológicos:
	Um importante recurso suportado pela criptografia assimétrica é a irretratabilidade, a partir das garantias de AUTENTICIDADE e INTEGRIDADE que o mecanismo oferece.
	A criptografia assimétrica é um recurso necessário quando existe a demanda de assinatura digital de uma informação.
	Algoritmos de hash são usados especialmente em operações de assinaturas digitais.
	Nos algoritmos de bloco, as chaves efetivamente usadas nas operações criptográficas devem ter o mesmo tamanho do bloco.
	Algoritmos simétricos de fluxo são importantes por não permitirem análises estatísticas e possuírem grande entropia nos seus resultados.
É correto apenas o que afirma em:
		
	 Errado
	I, II e III
	
	II, IV e V
	 Certo
	I, III e IV
	
	I, II e V
	
	III, IV e V
	Respondido em 28/03/2023 10:54:00
	
	Explicação:
Gabarito: I, III e IV
Justificativa: Apesar da criptografia assimétrica ser especialmente utilizada nos procedimentos de assinaturas digitais, elas podem ser feitas usando-se chaves secretas combinadas, como nos algoritmos MAC (Message Authentication Code). Na outra assertiva errada, o que se usa para evitar análise estatística e aumentar a entropia do criptograma obtido são os MODOS DE CIFRA. Algoritmos de fluxo tem a busca da entropia como um desafio, e eles também são passíveis de análise estatística, como os de bloco.
	
		8a
          Questão
	Acerto: 1,0  / 1,0
	
	Em um sistema Linux, umperito deseja averiguar se foram feitas tentativas de autenticação local por adivinhação de senha. Qual recurso ele deveria prioritariamente avaliar?
		
	
	No firewall da empresa
	
	No arquivo de registro da máquina
	 Certo
	No arquivo /var/log/auth.log
	
	No NIDS da rede
	
	No Kernel do Linux
	Respondido em 28/03/2023 10:55:11
	
	Explicação:
Gabarito: No arquivo /var/log/auth.log
Justificativa: arquivo de registro é recurso do Windows. O Firewall e o NIDS da rede não "pegariam" uma ocorrência local. O Kernel é compilado e apenas possui os componentes do sistema operacional. O arquivo /var/log/auth é o log que contém todas as ocorrências de autenticação, bem ou malsucedidas, logo, deve ser o primeiro a ser avaliado.
	
		9a
          Questão
	Acerto: 0,0  / 1,0
	
	A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na segunda-feira às 9:00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes mundialmente.
Fatos adicionais importantes sobre o evento incluem:
	Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21:00h.
	A organização determinou previamente que uma perda de dados de transação se estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes insatisfeitos a requerer reembolsos.
	Todos os servidores requerem uma reinicialização completa para completarem o processo de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
	No geral, a XPTO acredita que pode recuperar a loja online completamente em aproximadamente 2 dias.
	Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 dias.
Dado o cenário, responda qual é o objetivo do tempo de recuperação (RTO) da XPTO para esse evento?
		
	
	4 dias
	 Errado
	3 dias
	 Certo
	2 dias
	
	8 horas
	
	6 horas
	Respondido em 28/03/2023 10:58:58
	
	Explicação:
Gabarito: 2 dias
Justificativa: RTO é a duração de tempo dentro do qual as operações e atividades de negócio normais podem ser recuperados após um incidente. Ele inclui o tempo de recuperação necessário para retornar para o RPO, reinstalar o sistema e retomar o processamento a partir de seu status atual. A XPTO informou que pode executar todo esse processo e restabelecer os sistemas em até 2 dias.
	
		10a
          Questão
	Acerto: 0,0  / 1,0
	
	Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de resposta a incidentes? (Escolha três.)
I - Quando o problema foi detectado pela primeira vez e por quem
II - Como o problema foi contido e erradicado
III - O trabalho que foi executado durante a recuperação
IV - Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a qualquer momento
V - Todas as credenciais comprometidas foram revisadas quanto à legitimidade e reforçadas
		
	
	III, IV, V
	 Errado
	II, III, IV
	
	I, II, IV
	 Certo
	I, II, III
	
	I, III, V
	Respondido em 28/03/2023 10:59:28
	
	Explicação:
Gabarito: I, II, III
Justificativa: São atividades da CSIRT no pós evento: Identificação do incidente e escopo, etapas realizadas para conter, erradicar e recuperar.