GEN vulnerabilidades

Prévia do material em texto

1 
 
 
 
1. 
 
 
As ferramentas de verificação de vulnerabilidades podem 
escanear servidores de rede e também servidores web com 
suas aplicações web. Nesse sentido, selecione a única opção 
CORRETA que demonstra qual a ferramenta específica para 
aplicações web: 
 
 
OWASP ZAP. 
 
 
Scanner. 
 
 
Nessus. 
 
 
NMAP. 
 
 
OpenVas. 
 
 
 
 
2. 
 
 
Conhecer os ativos de uma organização e classificar os dados 
é fundamental para definirmos o escopo de uma verificação de 
vulnerabilidades, e também para outras atividades 
subsequentes ao resultado final apresentado pela ferramenta 
de escaneamento. Assinale a única opção CORRETA que 
indica qual outra atividade depende desses 
pré-requisitos para ser eficaz após o escaneamento: 
 
 
Definir se o processo de gerenciamento de vulnerabilidades vai continuar. 
 
 
A definição escopo. 
 
 
Definir a data do início do escaneamento. 
 
 
Definir a quantidade de pessoal empregado para o escaneamento. 
 
A definição da criticidade das vulnerabilidades e sua priorização na mitigação ou correção. 
 
 
 
 
3. 
 
 
As ferramentas de escaneamento de vulnerabilidades 
possuem plugins para escolher e que otimizam a verificação 
de vulnerabilidades, pois evitam dispender tempo na sua 
execução sem necessidade. Selecione a opção CORRETA 
que indica o plugin utilizado pelo Nessus: 
 
 
 
CCE. 
 
 
NVT. 
 
 
CVE. 
 
 
CTF. 
 
NASL. 
https://simulado.estacio.br/bdq_simulados_exercicio.asp
https://simulado.estacio.br/bdq_simulados_exercicio.asp
https://simulado.estacio.br/bdq_simulados_exercicio.asp
 
 
 
 
2 
 Questão 
 
O gerenciamento de vulnerabilidades melhora a resiliência da segurança cibernética de uma 
organização. Existe uma fase nesse processo que se for executada isoladamente, ou seja, 
fora de um processo de gerenciamento de vulnerabilidades, não será tão efetiva para essa 
melhora da resiliência. Selecione a opção CORRETA sobre essa fase: 
 
 
Relatório. 
 
Preparação. 
 
Monitoramento contínuo. 
 Escaneamento. 
 
Validação. 
 
 
O gerenciamento de vulnerabilidades contém diversas fases e é um processo que se 
caracteriza pela amplitude de seu alcance para aumentar a resiliência cibernética de uma 
organização. Selecione a opção CORRETA que indica a fase que consolida esse processo 
como perene: 
 
 
 
Escaneamento. 
 
Cíclica. 
 
Validação. 
 Monitoramento contínuo. 
 
Preparação. 
 
As fases de preparação da remediação e da remediação propriamente dita do processo 
gerenciamento de vulnerabilidades são muito importantes para o êxito da correção ou 
mitigação de vulnerabilidades. Nesse sentido, selecione a única opção que é um exemplo do 
que NÃO se deve fazer nessas fases: 
 
 
Análise e priorização das vulnerabilidades. 
 
Executar o Plano de Mudanças. 
 Varreduras dos sistemas e redes. 
 
Correção de vulnerabilidades. 
 
Checar os possíveis falsos positivos nas vulnerabilidades encontradas. 
 
Quando acessamos uma aplicação web em um determinado site e um script é executado no 
lado do servidor sem que saibamos, direcionando a conexão para outro que é falso. Selecione 
a opção CORRETA que indica qual a vulnerabilidade correspondente a esse fato: 
 
 
 
XSS Modificado. 
 XSS Armazenado. 
 
Configuração Incorreta. 
 
Injeção web. 
 
Cross Site Scripting Refletido. 
 
Uma ameaça permanece em uma organização, realizando movimentos laterais, escalação de 
privilégios e extraindo documentos sensíveis durante 150 dias sem ser detectada pela equipe 
 
 
 
 
3 
de resposta a incidentes. Nesse sentido, selecione a única opção CORRETA que demonstra 
qual o tipo de vulnerabilidade do TOP 10 do OWASP foi explorada: 
 
 
Desserialização Insegura. 
 
Injeção SQL. 
 
Quebra de Autenticação. 
 Registro e Monitoramento Insuficientes. 
 
Configurações Incorretas. 
 
 
Uma exposição de dados sensíveis é uma vulnerabilidade que pode causar sérios danos a 
uma organização, principalmente com a LGPD (Lei Geral de Proteção de Dados) entrando em 
vigor. Selecione a opção CORRETA que demonstra a principal causa dessa vulnerabilidade: 
 
 
 
Falta de zelo. 
 
Falta de controle de acesso. 
 Falta de criptografia. 
 
Desorganização. 
 
Funcionários desmotivados. 
 
 
1 
 Questão 
 
 
A verificação de vulnerabilidades deve ser contínua e ter uma periodicidade 
pré-determinada durante o planejamento dessa atividade. Com base nisso, selecione a única 
opção CORRETA que indica qual padrão de segurança sugere escaneamentos a cada três 
meses: 
 
 
NVT. 
 
CVE. 
 
CVSS. 
 PCI-DSS. 
 
CPE. 
Respondido em 27/05/2023 14:17:36 
 
 
Explicação: 
PCI-DSS. 
 
 
 
2 
 Questão 
 
 
É possível fazer uma classificação de risco de forma manual e baseada em padrões 
internacionais de classificação de risco após obtermos a lista de vulnerabilidades com uma 
ferramenta de escaneamento. Selecione a opção CORRETA que aponta qual o padrão 
 
 
 
 
4 
utilizado pelo OpenVas que podemos aproveitar nessa classificação manual: 
 
 
 
CPE. 
 CVSS. 
 
UDP. 
 
RDP. 
 
CVE. 
Respondido em 27/05/2023 14:18:00 
 
 
Explicação: 
CVSS. 
 
 
 
3 
 Questão 
 
 
O OWASP ZAP é uma ferramenta de escaneamento de vulnerabilidades web e utiliza padrões 
de vulnerabilidades voltados para aplicações web. Essa ferramenta ser um complemento para 
o OpenVas, que é direcionado para vulnerabilidades em servidores de rede. Nesse sentido, 
selecione a única opção CORRETA que demonstra qual o padrão básico melhor representa as 
vulnerabilidades testadas: 
 
 OWASP TOP 10. 
 
CVE. 
 
SCAP. 
 
CPE. 
 
CVSS. 
Respondido em 27/05/2023 14:18:03 
 
 
Explicação: 
OWASP TOP 10. 
 
 
1 
 Questão 
 
 
Selecione a única opção CORRETA que aponta a característica da gestão de ativos a qual 
centraliza todas as informações sobre os ativos em um mesmo local e favorece o 
gerenciamento de uma forma ampla, podendo correlacionar os grupos de ativos ou ativos, 
facilitando a tomada de decisão quanto às medidas de proteção principalmente: 
 
 
 
O ciclo de vida dos ativos. 
 
O mapeamento dos grupos de ativos. 
 
Inventário de bens. 
 
Alertas automatizados. 
 Integração das informações. 
 
 
 
 
5 
Respondido em 27/05/2023 14:19:16 
 
 
Explicação: 
Integração das informações. 
 
 
 
2 
 Questão 
 
 
Selecione a única opção CORRETA que demonstra qual a métrica que possui a característica 
de que o período para quantificar o seu índice não pode ser menor do que o tempo médio da 
métrica ¿o ciclo de vida das vulnerabilidades¿, tendo em vista evitar uma interpretação errada: 
 
 
 
Índice de Patches aplicados. 
 
Tempo médio entre incidentes. 
 
Tempo médio para remediação de vulnerabilidades. 
 Quantidade de vulnerabilidades por período. 
 
Tempo médio para detectar um incidente ocorrido ou que está ocorrendo. 
Respondido em 27/05/2023 14:19:22 
 
 
Explicação: 
Quantidade de vulnerabilidades por período. 
 
 
 
3 
 Questão 
 
 
Assinale a única opção CORRETA que retrata um ativo da informação: 
 
 
Habilidade de uma pessoa para Penteste. 
 Trilhas de auditoria. 
 
Equipamentos. 
 
Iluminação. 
 
Sistemas. 
Respondido em 27/05/2023 14:19:27 
 
 
Explicação: 
Trilhas de auditoria. 
 
1 
 Questão 
 
 
 
 
 
 
6 
Alguns critérios básicos podem ser levados em consideração para a construção de uma trilha 
de auditoria voltada para prevenção de ameaças e identificação de vulnerabilidades, além dos 
estudos particularizados e os frameworks com as melhores práticas. Em face disso, assinale 
a única opção que NÃO representa um desses critérios: 
 
 
Metodologias utilizadas pelas principais ameaças aos ativos da organização. 
 
Aspectos inerentes à política de segurança da informação. 
 
Ativos mais importantes ou mais prioritários. 
 
Eventos definidospara a identificação de vulnerabilidades. 
 O tempo para correção ou mitigação de uma vulnerabilidade. 
Respondido em 27/05/2023 14:20:07 
 
 
 
2 
 Questão 
 
 
Assinale a única opção CORRETA que representa um framework comumente utilizado em 
trilhas de auditoria 
 
 
National Institute of Standards and Technology. 
 
Common Platform Enumeration. 
 
Common vulnerabilities and exposures. 
 Common Criteria Framework. 
 
Common Vulnerability Scoring System. 
Respondido em 27/05/2023 14:20:14 
 
 
 
3 
 Questão 
 
 
Selecione a única opção que NÃO apresenta uma informação relevante que deve estar em 
um relatório básico de gestão de vulnerabilidades: 
 
 Capacitação em gestão de vulnerabilidades. 
 
Informações do que aconteceu na fase de detecção de vulnerabilidades 
 
As vulnerabilidades identificadas 
 
As ferramentas utilizadas. 
 
A validação das vulnerabilidades 
 
1 
 Questão 
 
 
Um método inovador para priorização das vulnerabilidades chamado priorização preditiva é 
focado na possibilidade de uma vulnerabilidade ser explorada por um atacante. Com esse 
método é possível ter um escopo bem menor de risco alto e muito alto. Em face disso, 
assinale a única opção CORRETA que indica essa porcentagem: 
 
 
Em torno de 33%. 
 
 
 
 
 
7 
 
Em torno de 97%. 
 
Em torno de 10%. 
 
Em torno de 5%. 
 Em torno de 3%. 
Respondido em 27/05/2023 14:20:58 
 
 
 
2 
 Questão 
 
 
Na remediação existe uma ação ou processo de diminuição do risco que determinada 
vulnerabilidade oferece ao ativo da informação que a contém. Com base nisso, selecione a 
única opção CORRETA que indica essa ação: 
 
 
Correção. 
 
Aplicação de patches. 
 
Aceite. 
 
Monitoramento. 
 Mitigação. 
Respondido em 27/05/2023 14:21:01 
 
 
 
3 
 Questão 
 
 
Uma atividade de remediação só pode ser considerada finalizada quando todas as 
vulnerabilidades que foram indicadas para mitigação ou correção têm seu risco diminuído ou 
completamente excluído para cada uma delas. Selecione a opção CORRETA que define qual 
a atividade que vai certificar que as vulnerabilidades foram corrigidas ou mitigadas: 
 
 
Monitoramento contínuo. 
 
Controle de mudança. 
 
Aplicação de patches. 
 Validação. 
 
Plano de rollback. 
 
 
1 
 Questão 
 
 
Assinale a única opção que NÃO representa uma característica de uma varredura autenticada no 
OpenVas: 
 
 
Identifica vulnerabilidades em aplicações instaladas localmente 
 Embora seja mais profunda, ela dificulta a identificação de falsos positivos 
 
É muito mais profunda que uma varredura não autenticada 
 
Identifica um número maior de vulnerabilidades 
 
 
 
 
8 
 
Identifica vulnerabilidades com privilégios locais e que possam ser escalados com as 
credenciais configuradas no dispositivo de destino 
Respondido em 27/05/2023 14:21:45 
 
 
 
2 
 Questão 
 
 
Na ferramenta automatizada de verificação de vulnerabilidades chamada OpenVas, é possível 
configurar uma função que detecta automaticamente e descarta falsos positivos confirmados em 
uma varredura autenticada. Com base nisso, selecione a única opção CORRETA que indica essa 
função: 
 
 
Severity 
 Apply Overrides 
 
QoD 
 
Alert 
 
Reports 
Respondido em 27/05/2023 14:21:48 
 
 
 
3 
 Questão 
 
 
Assinale a opção CORRETA que melhor caracteriza uma exceção no gerenciamento de 
vulnerabilidades: 
 
 
A vulnerabilidade foi remediada e não oferece risco para o ambiente de negócio 
 
Ação que identifica vulnerabilidades que são muito difíceis de serem remediadas 
 
Um risco que é alto, mas a vulnerabilidade não pode ser remediada 
 
Uma vulnerabilidade que não existe 
 Uma situação em que a vulnerabilidade existe e não pode ser explorada nem corrigida 
se considerado o ambiente de negócio 
 
1 
 Questão 
 
 
O aumento exponencial do número de vulnerabilidades pode trazer consequências para uma 
organização e para o processo de gerenciamento de vulnerabilidades. Assinale a única opção 
CORRETA que melhor representa uma dessas consequências: 
 
 
Melhora o processo de escaneamento de vulnerabilidades 
 
Piora no processo de gestão de ativos 
 
Piora na eficácia do processo de gerenciamento de vulnerabilidades 
 Aumento contínuo da superfície de ataque e das ameaças 
 
Aumento de ativos 
Respondido em 27/05/2023 14:22:32 
 
 
 
 
 
9 
 
 
2 
 Questão 
 
 
Qual destas vantagens está diretamente ligada à facilidade em acompanhar as atualizações ou 
mudanças em tempo real? 
 
 Melhoria no processo de gerenciamento de patches 
 
Centralização de dados e informações de outras ferramentas utilizadas 
 
Otimização do tempo 
 
Otimização de recursos 
 
Gráficos e indicadores dinâmicos 
Respondido em 27/05/2023 14:22:37 
 
 
 
3 
 Questão 
 
 
Diversas ferramentas podem ser integradas em um SIEM (security information and event 
management), o qual centraliza diversas informações e dados, gerando inclusive alertas para que 
as tarefas não sejam proteladas. Com base nisso, selecione a única opção CORRETA que indica 
quais as características nas quais um SIEM está baseado: 
 
 
Segurança, rastreabilidade e 
operação 
 
Segurança, rastreabilidade e 
orquestração 
 
Gerenciamento, operação e 
orquestração 
 
Gerenciamento, 
rastreabilidade e resposta 
 Gerenciamento, 
rastreabilidade e orquestração 
Respondido em 27/05/2023 14:22:40 
 
1 
 Questão 
 
 
Assinale a única opção CORRETA que representa uma funcionalidade indireta de um SIEM 
em que é possível fazer uso de normatizações nacionais e internacionais para melhorar a 
resiliência cibernética da organização, tais como o modelo PCI-DSS: 
 
 
Resposta a incidentes 
 
Identificação de vulnerabilidades. 
 
Monitoramento contínuo 
 
Dashboards 
 Auditorias. 
Respondido em 27/05/2023 14:23:13 
 
 
 
 
 
 
10 
 
2 
 Questão 
 
 
Assinale a única opção que NÃO representa uma vantagem ou funcionalidade de uma plataforma 
de gestão integrada no gerenciamento de vulnerabilidades 
 
 
Otimização de tempo e tarefas por meio de automatização 
 Contribui para o controle de acessos aos servidores 
 
Contribuir na tomada de decisão nas atividades de segurança da informação 
 
Visão amplificada da situação dos ativos e suas vulnerabilidades 
 
Identificação de vulnerabilidades 
Respondido em 27/05/2023 14:23:16 
 
 
 
3 
 Questão 
 
 
Assinale a seguir a única opção CORRETA que indica uma funcionalidade de um SIEM que alinha 
as atividades de segurança da informação de uma organização com as diferentes normatizações 
apropriadas para este fim: 
 
 
Registro de eventos 
 
Gerenciamento de ativos 
 Conformidade 
 
Inteligência de ameaças 
 
Dashboards 
 
1a 
 Questão 
Acerto: 1,0 / 1,0 
 
O gerenciamento de vulnerabilidades contém diversas fases e é um processo que se 
caracteriza pela amplitude de seu alcance para aumentar a resiliência cibernética de 
uma organização. Selecione a opção CORRETA que indica a fase que consolida 
esse processo como perene: 
 
 
 
Cíclica. 
 
Escaneamento. 
 
Validação. 
 
Preparação. 
 Monitoramento contínuo. 
Respondido em 06/05/2023 20:04:55 
 
Explicação: 
Monitoramento contínuo. 
 
 
 
 
 
11 
 
2a 
 Questão 
Acerto: 1,0 / 1,0 
 
Uma exposição de dados sensíveis é uma vulnerabilidade que pode causar sérios 
danos a uma organização, principalmente com a LGPD (Lei Geral de Proteção de 
Dados) entrando em vigor. Selecione a opção CORRETA que demonstra a principal 
causa dessa vulnerabilidade: 
 
 
 
Desorganização. 
 
Falta de zelo. 
 Falta de criptografia. 
 
Funcionários desmotivados. 
 
Falta de controle de acesso. 
Respondido em 06/05/2023 20:06:31 
 
Explicação: 
Falta de criptografia. 
 
 
3aQuestão 
Acerto: 1,0 / 1,0 
 
As ferramentas de verificação de vulnerabilidades podem escanear servidores de 
rede e também servidores web com suas aplicações web. Nesse sentido, selecione a 
única opção CORRETA que demonstra qual a ferramenta específica para aplicações 
web: 
 
 
 
OpenVas. 
 
Scanner. 
 
NMAP. 
 OWASP ZAP. 
 
Nessus. 
Respondido em 06/05/2023 20:08:57 
 
Explicação: 
OWASP ZAP. 
 
 
4a 
 Questão 
Acerto: 1,0 / 1,0 
 
É possível fazer uma classificação de risco de forma manual e baseada em padrões 
internacionais de classificação de risco após obtermos a lista de vulnerabilidades 
com uma ferramenta de escaneamento. Selecione a opção CORRETA que aponta 
qual o padrão utilizado pelo OpenVas que podemos aproveitar nessa classificação 
 
 
 
 
12 
manual: 
 
 
 
RDP. 
 
CPE. 
 
UDP. 
 
CVE. 
 CVSS. 
Respondido em 06/05/2023 20:34:37 
 
Explicação: 
CVSS. 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a única opção CORRETA que retrata um ativo da informação: 
 
 
Iluminação. 
 
Equipamentos. 
 Trilhas de auditoria. 
 
Habilidade de uma pessoa para Penteste. 
 
Sistemas. 
Respondido em 06/05/2023 20:15:11 
 
Explicação: 
Trilhas de auditoria. 
 
 
6a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a única opção CORRETA que representa um framework comumente 
utilizado em trilhas de auditoria 
 
 
Common Vulnerability Scoring System. 
 
National Institute of Standards and Technology. 
 Common Criteria Framework. 
 
Common vulnerabilities and exposures. 
 
Common Platform Enumeration. 
Respondido em 06/05/2023 20:16:09 
 
 
 
 
 
 
13 
7a 
 Questão 
Acerto: 1,0 / 1,0 
 
Na remediação existe uma ação ou processo de diminuição do risco que 
determinada vulnerabilidade oferece ao ativo da informação que a contém. Com 
base nisso, selecione a única opção CORRETA que indica essa ação: 
 
 
Correção. 
 
Monitoramento. 
 
Aceite. 
 
Aplicação de patches. 
 Mitigação. 
Respondido em 06/05/2023 20:33:03 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a opção CORRETA que melhor caracteriza uma exceção no gerenciamento de 
vulnerabilidades: 
 
 
Um risco que é alto, mas a vulnerabilidade não pode ser remediada 
 
Ação que identifica vulnerabilidades que são muito difíceis de serem 
remediadas 
 
A vulnerabilidade foi remediada e não oferece risco para o ambiente de 
negócio 
 Uma situação em que a vulnerabilidade existe e não pode ser explorada nem 
corrigida se considerado o ambiente de negócio 
 
Uma vulnerabilidade que não existe 
Respondido em 06/05/2023 20:28:58 
 
 
9a 
 Questão 
Acerto: 1,0 / 1,0 
 
Diversas ferramentas podem ser integradas em um SIEM (security information and event 
management), o qual centraliza diversas informações e dados, gerando inclusive alertas para que 
as tarefas não sejam proteladas. Com base nisso, selecione a única opção CORRETA que indica 
quais as características nas quais um SIEM está baseado: 
 
 
Segurança, rastreabilidade e orquestração 
 
Gerenciamento, rastreabilidade e resposta 
 
Gerenciamento, operação e orquestração 
 
Segurança, rastreabilidade e operação 
 Gerenciamento, rastreabilidade e orquestração 
Respondido em 06/05/2023 20:30:06 
 
 
10a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a única opção que NÃO representa uma vantagem ou funcionalidade de uma plataforma 
de gestão integrada no gerenciamento de vulnerabilidades 
 
 
 
 
 
14 
 
Identificação de vulnerabilidades 
 
Contribuir na tomada de decisão nas atividades de segurança da informação 
 
Otimização de tempo e tarefas por meio de automatização 
 Contribui para o controle de acessos aos servidores 
 
Visão amplificada da situação dos ativos e suas vulnerabilidades 
Respondido em 06/05/2023 20:31:33