Prévia do material em texto
SEGURANÇA EM CLOUD COMPUTING Simulado: NPG7966_AV_202302922163 (AG) 1a Questão Certa empresa sofreu um ataque de negação de serviço, que tem por objetivo sobrecarregar a rede com dados acima da capacidade dela. Para esta atividade, o atacante utilizou máquinas de usuários que estavam vulneráveis na internet, enviando dados para a rede da empresa. Podemos afirmar que este ataque é: Passivo De autenticação De fabricação Indireto Interno 2a Questão Certa empresa realizou uma análise dos riscos que existiam em suas redes e em seus sistemas. O consultor de segurança informou a detecção de vulnerabilidades que permitiam realizar invasões em diversos sistemas. Nesse caso, o atacante poderia assumir a identidade de usuários válidos na rede, caracterizando um ataque de personificação. Para minimizar o risco de esse ataque ter sucesso, devem ser implementados mecanismos de: Sistema de detecção de intrusão e controle de acesso. Sistema de detecção de risco. Autenticação e verificação de integridade. Antivírus e verificação de integridade. Autenticação e controle de acesso. 3a Questão Ao realizarmos compras em um site de comércio eletrônico, temos a preocupação de verificar se estamos utilizando o protocolo HTTPS para poder garantir: Autenticidade dos dados, o que assegurará a veracidade do emissor e do receptor de informações trocadas. A legalidade da transação, porque há integridade e autenticidade da transação. A disponibilidade, porque o HTTPS assegura a existência de redundância dos servidores. A confiabilidade dos dados, o que assegurará que os dados não serão interceptados. Confidencialidade dos dados, porque o HTTPS criptografará os dados trafegados. 4a Questão Alice e Bob estão conversando por meio de um aplicativo de chat no celular. As mensagens enviadas entre eles não possuem criptografia, e Dart está conseguindo ler todas as mensagens que eles enviam, mas sem modificá-las. Podemos afirmar que este é um exemplo de ataque: Ativo de fabricação. Passivo de personificação. Ativo de interceptação. Ativo de autenticação. Passivo de interceptação. 5a Questão Um dos problemas de configuração padrão é que quando instalamos um servidor web, algumas aplicações de exemplo já vêm instaladas por padrão. Assinale a alternativa correta com relação a aplicações de exemplo que já vem como padrão: As aplicações de exemplo podem possuir vulnerabilidade e a exploração destas pode, por parte do invasor, torná-las indisponíveis. As aplicações de exemplo estão sempre atualizadas e, por isso, é pouco provável que elas possam ser exploradas por um invasor. As aplicações de exemplo podem possuir vulnerabilidades que, ao ser exploradas, permitem o acesso do invasor ao sistema operacional. Ou seja, a partir de agora ele pode ter acesso às informações de outros sistemas instalados no mesmo servidor. As aplicações de exemplo devem ser instaladas para que o servidor web funcione corretamente Estas aplicações de exemplo são inofensivas do ponto de vista de segurança porque não contém dados sensíveis 6a Questão Por que manter as configurações padrão, por parte do administrador, de uma instalação de um CMS é um problema de segurança? Porque não é necessário conhecimento de programação nas configurações padrão do CMS - caso alguma seja alternada, necessariamente o administrador deve ser capaz de editar/alterar o código do CMS Porque a instalação padrão possui todas as atualizações de segurança e qualquer mudança pode acarretar uma vulnerabilidade. Porque o administrador provavelmente não tem conhecimento de segurança dos diversos componentes que envolvem o sistema e, por isso, mantém todas as configurações do CMS que eles desconhecem como padrão. Porque a configuração padrão geralmente é a mais completa e o administrador quer ter acesso a todos os recursos do CMS. Porque geralmente a configuração padrão é a recomendade pelos desenvolvedores de CMS 7a Questão Qual dos cenários abaixo apresenta um exemplo de configurações de segurança incorretas ? Um campo de um formulário web permite que sejam adicionados caracteres especiais. Com isso, o invasor, ao utilizar uma sequência de caracteres especiais no campo da senha, pode realizar o login com um usuário do sistema mesmo sem saber a senha dele. Em um servidor existem dois serviços expostos publicamente: O servidor web (Apache) e o servidor SSH. Ambos são utilizados comumente. O administrador de rede realiza a atualização de ambos os serviços 1 vez a cada 6 meses. Entre uma atualização e outra, um invasor conseguiu explorar uma vulnerabilidade e ter acesso ao servidor remoto. O sistema não tem nenhuma funcionalidade relacionada a não aceitar mais de 3 tentativas de autenticação do mesmo usuário por um período de tempo. Com isso, o invasor realizou um ataque de força bruta e obteve a senha de um usuário. Em um sistema que gerencia o trâmite de documentação, cada usuário possui duas contas: uma para documentos pessoais e outra para documentos administrativos. Durante a criação destes dois usuários, o administrador define a mesma senha para inicial para todos os usuários. Ao acessar determinado arquivo do sistema é verificado que o endereço do recurso é o seguinte: http://meuservidor.com.br/app/files/01/planilha.ods. Ao notar isso, o usuário coloca o seguinte endereço no servidor: http://meuservidor.com.br/app/files e ele obtém uma lista com todos os arquivos que se encontra na pasta files. 8a Questão Selecione a alternativa que representa a correta correlação entre as colunas: a - Domínio de Operação 1 - Resposta a incidentes 2 - Gestão de risco empresarial 3 - Criptografia e segurança de dados 4 - Compliance b - Domínio de Governança 5 - Aspectos legais 6 - Gerenciamento de acesso 7 - Virtualização e conteinerização 8 - Plano de continuidade do negócio a: 2, 3, 6, 7 e 8 ; b: 1, 4 e 5 a: 1, 3, 6, 5 e 8 ; b: 2, 4 e 7 a: 1, 3, 6, 7 e 8 ; b: 2, 4 e 5 a: 1, 3, 5, 7 e 8 ; b: 2, 4 e 6 a: 2, 3, 5, 6 e 7 ; b: 1, 4 e 8 9a Questão Leia as afirmativas a seguir e assinale a alternativa correta sobre elas. I - Sempre cabe ao cliente, como responsabilidade, visitar o ambiente de nuvem do provedor para verificar os mecanismos de segurança física para controle de acesso. II - Pelo novo paradigma de computação em nuvem, é possível que o dado do cliente esteja localizado em qualquer lugar do planeta. III - Na resposta a incidentes e no cumprimento a regulamentações normativas e legais, cabe responsabilidades tanto ao cliente como ao provedor. Apenas a I está correta. Apenas a III está correta. Apenas a II está correta. Apenas II e III estão corretas. Apenas I e II estão corretas. 10a Questão Assinale a opção que completa corretamente a lacuna da sentença abaixo. De acordo com a arquitetura modelo preconizada pelo CSA, a camada de _________________ intermedia a abordagem de Software como Serviço (SaaS) e Infraestrutura como Serviço (IaaS). API de conteinerização. Dados e metadados. Integração e Middleware. Sistema Operacional. Virtualização.