Avaliação Final da Disciplina - Riscos, Vulnerabilidade e Segurança

Prévia do material em texto

Avaliação Final da Disciplina - Riscos, Vulnerabilidade e Segurança
Questão 1
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Um exemplo de ameaça ou risco a segurança da informação é:
a.
falha de processo no software.
b.
informações equivocadas.
c.
falha de processo no hardware.
d.
um intruso que acessa a rede por uma porta firewall.
Um introduzo que acessa a rede por meio de uma porta firewall é considerado uma ameaça à segurança do sistema da informação, pois pode roubar informações sigilosas ou comprometer o sistema.
e.
dados divergentes.
Questão 2
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Uma forma de obter informações sobre um alvo é recuperar arquivos antigos sobre as páginas de instituições. Qual ferramenta permite escolher a data na qual se deseja recuperar dados já apagados dos servidores web?
a.
Web Arquive.
A alternativa correta é a B, pois uma estratégia que realiza buscas de informações antigas já apagadas nos servidores é o Web Arquive, pelo qual é possível recuperar arquivos por datas.
b.
Googledorks.
c.
On-line Scanning.
d.
SQL Map.
e.
Injector de Scripts.
Questão 3
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema através de brechas ou sistemas adulterados denomina-se:
a.
Back door.
o chamado back door ou trap door procura encontrar vulnerabilidades de acesso ao sistema desenvolvido, podendo ser também via programas adulterados.
b.
Bomba lógica.
c.
Spyware.
d.
Screenloggers.
e.
Worm
Questão 4
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a.
Scanning de vulnerabilidades.
b.
Trojan horse.
c.
Port scanning.
d.
DoS – Denial of Service.
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço através do consumo da banda de rede, dos recursos de sistema ou até da adulteração das rotas/DNS, entre outras.
e.
Sniffing.
Questão 5
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados. Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de scripts. Para se evitar esse tipo de ataque é necessário:
a.
Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
b.
Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
c.
Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
d.
Refazer as implementações web nos scripts dos formulários da página web.
e.
Manter os dados separados dos comandos e consultas.
Manter os dados dos comandos e das consultas separados auxilia a evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor manipulá-los.
Questão 6
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os códigos maliciosos podem comprometer o computador e causar ameaças à segurança da informação. Com base nessa afirmação, assinale apenas a resposta correta que descreve sua ação.
a.
Executar arquivos infectados, obtidos em anexos de mensagens eletrônicas, mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos).
códigos maliciosos são programas criados para executar ações que comprometem o computador e o usuário não percebe que há infecção, ameaçando a segurança da informação.
b.
Acessar endereços da internet e ferramentas, utilizando navegadores confiáveis.
c.
Avaliação de atividades e de sistemas .
d.
Alternativas de coleta de dados no computador, incluem arquivos contendo códigos.
e.
Visualizar as diferentes vulnerabilidades existentes e assegurar programas instalados.
Questão 7
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
O que é vulnerabilidade?
a.
É um conjunto de bits armazenados (nome, endereço, datas, etc).
b.
É o conjunto de informações que agrega valor ao ser humano e a organização.
c.
Qualquer elemento que tenha valor para uma organização.
d.
Falha no ambiente que ameace algum ativo.
A alternativa está correta, pois apresenta a definição de vulnerabilidade, as outras opções referem-se a dados, a conhecimento, a ativos de informação e a incidente.
e.
Resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
Questão 8
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A gestão do risco utiliza um conceito amplamente aplicado na gestão de qualidade para o tratamento e análise do risco denominado ciclo PDCA. Em uma das etapas são identificadas ameaças, probabilidades de ocorrência e vulnerabilidades, e a estimativa do impacto potencial associado. Esta etapa refere-se a fase de:
a.
Programar.
b.
Proteger.
c.
Produzir.
d.
Preparar.
e.
Planejar.
A resposta correta é a letra C, porque refere-se à etapa de planejamento, em que são estabelecidos os objetivos, as metas e os meios de alcançá-los.
Questão 9
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A avaliação dos riscos envolve metodologias para medição do nível de risco, uma delas permite uma mensuração em termos de valor e podem ou não se relacionar aos custos conhecidos como análise quantitativa. Beal (2008) aponta que um dos métodos quantitativos mais utilizados é o cálculo da Expectativa de Perda Anual (ALE, do inglês, Annual Loss Expectation). Marque a alternativa correta sobre esse método.
a.
calcula o nível de satisfação quanto à perda prevista com a ocorrência de um incidente.
b.
mede o impacto da ocorrência de um incidente.
c.
calcula o tempo de perda previsto com a ocorrência de um incidente.
Esse método calcula o tempo de perda previsto com a ocorrência de um incidente e funciona da seguinte forma: adota-se o padrão de 12 meses para ocorrência de n incidentes para cada tipo de ameaça.
d.
mede a avaliação da direção quanto à eficiência na correção de um incidente
e.
mede os custos dos incidentes ocorridos no mês.
Questão 10
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a.
Identificar, localizar e modificar ou eliminar os scripts da página web.
b.
Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
c.
Manter os dados junto com os comandos de consulta SQL.
d.
Não utilizar os campos de formulários da aplicação web que não estejam corretamente implementados.
e.
Impedir a transmissão de entrada enviada pelo usuário para qualquer sistema de arquivo.
Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.