AV SEGURANCA EM CLOUD COMPUTING

Prévia do material em texto

SEGURANÇA EM CLOUD COMPUTING 
 
Simulado: NPG7966_AV_202302922163 (AG) 
 
 
 1a Questão 
 
Certa empresa sofreu um ataque de negação de serviço, que tem por objetivo sobrecarregar a rede 
com dados acima da capacidade dela. Para esta atividade, o atacante utilizou máquinas de 
usuários que estavam vulneráveis na internet, enviando dados para a rede da empresa. Podemos 
afirmar que este ataque é: 
 
 
Passivo 
 
De autenticação 
 
De fabricação 
 
Indireto 
 
Interno 
 
 
 
 2a Questão 
 
Certa empresa realizou uma análise dos riscos que existiam em suas redes e em seus sistemas. O 
consultor de segurança informou a detecção de vulnerabilidades que permitiam realizar invasões 
em diversos sistemas. Nesse caso, o atacante poderia assumir a identidade de usuários válidos na 
rede, caracterizando um ataque de personificação. 
 
Para minimizar o risco de esse ataque ter sucesso, devem ser implementados mecanismos de: 
 
 
Sistema de detecção de intrusão e controle de acesso. 
 
Sistema de detecção de risco. 
 
Autenticação e verificação de integridade. 
 
Antivírus e verificação de integridade. 
 
Autenticação e controle de acesso. 
 
 
 
 3a Questão 
 
Ao realizarmos compras em um site de comércio eletrônico, temos a preocupação de verificar se 
estamos utilizando o protocolo HTTPS para poder garantir: 
 
 
Autenticidade dos dados, o que assegurará a veracidade do emissor e do receptor de 
informações trocadas. 
 
A legalidade da transação, porque há integridade e autenticidade da transação. 
 
A disponibilidade, porque o HTTPS assegura a existência de redundância dos servidores. 
 
A confiabilidade dos dados, o que assegurará que os dados não serão interceptados. 
 
Confidencialidade dos dados, porque o HTTPS criptografará os dados trafegados. 
 
 
 
 4a Questão 
 
Alice e Bob estão conversando por meio de um aplicativo de chat no celular. As mensagens 
enviadas entre eles não possuem criptografia, e Dart está conseguindo ler todas as mensagens que 
eles enviam, mas sem modificá-las. Podemos afirmar que este é um exemplo de ataque: 
 
 
Ativo de fabricação. 
 
Passivo de personificação. 
 
Ativo de interceptação. 
 
Ativo de autenticação. 
 
Passivo de interceptação. 
 
 
 
 5a Questão 
 
Um dos problemas de configuração padrão é que quando instalamos um servidor web, algumas 
aplicações de exemplo já vêm instaladas por padrão. Assinale a alternativa correta com relação a 
aplicações de exemplo que já vem como padrão: 
 
 
As aplicações de exemplo podem possuir vulnerabilidade e a exploração destas pode, por parte do 
invasor, torná-las indisponíveis. 
 
As aplicações de exemplo estão sempre atualizadas e, por isso, é pouco provável que elas possam 
ser exploradas por um invasor. 
 
As aplicações de exemplo podem possuir vulnerabilidades que, ao ser exploradas, permitem o 
acesso do invasor ao sistema operacional. Ou seja, a partir de agora ele pode ter acesso às 
informações de outros sistemas instalados no mesmo servidor. 
 
As aplicações de exemplo devem ser instaladas para que o servidor web funcione corretamente 
 
Estas aplicações de exemplo são inofensivas do ponto de vista de segurança porque não contém 
dados sensíveis 
 
 
 
 6a Questão 
 
Por que manter as configurações padrão, por parte do administrador, de uma instalação de um CMS é 
um problema de segurança? 
 
 
Porque não é necessário conhecimento de programação nas configurações padrão do CMS - caso 
alguma seja alternada, necessariamente o administrador deve ser capaz de editar/alterar o código 
do CMS 
 
Porque a instalação padrão possui todas as atualizações de segurança e qualquer mudança pode 
acarretar uma vulnerabilidade. 
 
Porque o administrador provavelmente não tem conhecimento de segurança dos diversos 
componentes que envolvem o sistema e, por isso, mantém todas as configurações do CMS que 
eles desconhecem como padrão. 
 
Porque a configuração padrão geralmente é a mais completa e o administrador quer ter acesso a 
todos os recursos do CMS. 
 
Porque geralmente a configuração padrão é a recomendade pelos desenvolvedores de CMS 
 
 
 
 7a Questão 
 
Qual dos cenários abaixo apresenta um exemplo de configurações de segurança incorretas ? 
 
 
Um campo de um formulário web permite que sejam adicionados caracteres especiais. Com isso, o 
invasor, ao utilizar uma sequência de caracteres especiais no campo da senha, pode realizar o login 
com um usuário do sistema mesmo sem saber a senha dele. 
 
Em um servidor existem dois serviços expostos publicamente: O servidor web (Apache) e o servidor 
SSH. Ambos são utilizados comumente. O administrador de rede realiza a atualização de ambos os 
serviços 1 vez a cada 6 meses. Entre uma atualização e outra, um invasor conseguiu explorar uma 
vulnerabilidade e ter acesso ao servidor remoto. 
 
O sistema não tem nenhuma funcionalidade relacionada a não aceitar mais de 3 tentativas de 
autenticação do mesmo usuário por um período de tempo. Com isso, o invasor realizou um ataque 
de força bruta e obteve a senha de um usuário. 
 
Em um sistema que gerencia o trâmite de documentação, cada usuário possui duas contas: uma 
para documentos pessoais e outra para documentos administrativos. Durante a criação destes dois 
usuários, o administrador define a mesma senha para inicial para todos os usuários. 
 
Ao acessar determinado arquivo do sistema é verificado que o endereço do recurso é o seguinte: 
http://meuservidor.com.br/app/files/01/planilha.ods. Ao notar isso, o usuário coloca o seguinte 
endereço no servidor: http://meuservidor.com.br/app/files e ele obtém uma lista com todos os 
arquivos que se encontra na pasta files. 
 
 
 
 8a Questão 
 
Selecione a alternativa que representa a correta correlação entre as colunas: 
 
 
a - Domínio de Operação 
1 - Resposta a incidentes 
2 - Gestão de risco empresarial 
3 - Criptografia e segurança de dados 
4 - Compliance 
b - Domínio de Governança 
5 - Aspectos legais 
6 - Gerenciamento de acesso 
7 - Virtualização e conteinerização 
8 - Plano de continuidade do negócio 
 
 
 
a: 2, 3, 6, 7 e 8 ; b: 1, 4 e 5 
 
a: 1, 3, 6, 5 e 8 ; b: 2, 4 e 7 
 
a: 1, 3, 6, 7 e 8 ; b: 2, 4 e 5 
 
a: 1, 3, 5, 7 e 8 ; b: 2, 4 e 6 
 
a: 2, 3, 5, 6 e 7 ; b: 1, 4 e 8 
 
 
 
 9a Questão 
 
Leia as afirmativas a seguir e assinale a alternativa correta sobre elas. 
 
I - Sempre cabe ao cliente, como responsabilidade, visitar o ambiente de nuvem do provedor para 
verificar os mecanismos de segurança física para controle de acesso. 
II - Pelo novo paradigma de computação em nuvem, é possível que o dado do cliente esteja localizado 
em qualquer lugar do planeta. 
III - Na resposta a incidentes e no cumprimento a regulamentações normativas e legais, cabe 
responsabilidades tanto ao cliente como ao provedor. 
 
 
Apenas a I está correta. 
 
Apenas a III está correta. 
 
Apenas a II está correta. 
 
Apenas II e III estão corretas. 
 
Apenas I e II estão corretas. 
 
 
 
 10a Questão 
 
Assinale a opção que completa corretamente a lacuna da sentença abaixo. 
 
De acordo com a arquitetura modelo preconizada pelo CSA, a camada de _________________ 
intermedia a abordagem de Software como Serviço (SaaS) e Infraestrutura como Serviço (IaaS). 
 
 
API de conteinerização. 
 
Dados e metadados. 
 
Integração e Middleware. 
 
Sistema Operacional. 
 
Virtualização.