Lista2-ExercicioRevisaoMod2282023-0129

Prévia do material em texto

Pontifícia Universidade Católica de Minas Gerais - Barreiro
 Sistemas de Informação – Segurança de Sistemas de Informação
 Lista 2 - Revisão Módulo 2 – Prof. Fábio Cordeiro - 2023-01 
 Aluno:________________________________________________________ 
ENTREGA DIGITAL VIA CANVAS EM DOCUMENTO NESTE PDF EDITADO
1) Qual o papel do Chief Security Officer na organização em relação a politica de segurança
da informação. Cite um exemplo de atuação discutido em sala de aula. ____________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
2) Sobre os Fatores Críticos de Sucesso, qual a razão de aplicação do diagrama de Pareto 
em relação aos riscos à segurança da informação?_________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
3) Dos papeis e/ou pessoas abaixo, todos fazem parte do Grupo de Trabalho de Segurança 
da Informação , exceto:
a) CSO 
b) Consultor de Segurança 
c) Analista de Segurança 
d) Auditores 
e) Alta Administração
4) Em relação às responsabilidades, domínio e apoio da estrutura organizacional de 
segurança da informação, é correto afirmar que:
a) A gestão de ativos e segurança de recursos humanos pertencem à área de negócio e é 
apoiada pelo departamento jurídico.
b) É de responsabilidade de peritos em investigação forense e departamento jurídico a 
Gestão de Incidentes de Segurança da Informação com apoio da equipe de segurança da 
informação.
c) A aquisição, desenvolvimento e Manutenção de Sistemas de Informação fica sob respon-
sabilidade primária da equipe de desenvolvimento de aplicações com apoio da equipe de 
segurança da informação. 
d) O domínio da conformidade é de responsabilidade primária do departamento jurídico.
e) Segurança física e do ambiente é considerado uma facilities e fica sobre responsabilida-
de primária da equipe do Departamento de operações do Datacenter. 
5) Ainda sobre as responsabilidades associe Domínio da Segurança com Responsabilidade 
Primária:
a) Gestão de Ativos ( ) Segurança da Informação 
b) Controle de Acesso ( ) Garantia que ativos tenham aparato em normas legais
c)Gestão de incidentes ( ) Garantia de que a informação será acessada por quem
 tem autorização. 
d) Conformidade ( ) Área de negócio
6) Explique e cite pelo menos um exemplo de cada um dos tipos de vulnerabilidades do 
TOP 10 OWASP:
a) Code Injection:___________________________________________________________________________
____________________________________________________________________________________________
b) Security Misconfiguration: _______________________________________________________________
____________________________________________________________________________________________
c) Unvalidated Redirects: __________________________________________________________________
___________________________________________________________________________________________
d) Insecure Cryptographic Storage:_________________________________________________________
____________________________________________________________________________________________
7) A integridade de dados deve ser obtida em diversos pontos da aplicação por meio de 
recursos de validação dos dados por regras bem definidas em métodos e funções. Existe 
um recurso no Java que dão suporte a esse tipo de validação no processo de 
desenvolvimento conhecido como:
a) Beans Validation 
b) EJB Validantion 
c) Java Secutiry Transaction 
d) JavaSec 
e) Spring Secutiry
8) O que é o Secutiry Develptment Lifecycle (SDL) e quais os principais pontos que ele traz 
para a etapa de codificação no ciclo de desenvolvimento de Software?_____________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
9) Todas as alternativas abaixo apresentam assertivas acerca do desenvolvimento de 
aplicações distribuídas com foco em segurança, exceto?
a) Deve-se projetar os componentes do SD tendo em mente que os demais componentes 
não são confiáveis até que provem o contrário.
b) É necessário construir um sistema em que assume-se que o mínimo de componentes é 
confiável.
c) A autoridade de um principal depende de seu nome e dos recursos do sistema para 
garantir sua autenticidade.
d) O estado de conhecimento é alcançado através do uso de protocolos de autenticação.
e) Ataques de DDoS (Distributed Deny-of-Services) só são possíveis contra sistemas 
distribuídos.
10) Como funciona o mecanismo de chave publica/chave privada?
______________________________________________
______________________________________________
______________________________________________
______________________________________________
______________________________________________
______________________________________________
______________________________________________
______________________________________________
______________________________________________
_______________________________________________
_______________________________________________
________________________________________________________________________________________
_________________________________________________________________________________________
_________________________________________________________________________________________
11) Julgue os itens abaixo de acordo com conhecimentos de Firewall vistos em sala:
I) Um Firewall é um software ou hardware capaz de verificar informações oriundas da 
Internet e/ou de uma rede permitindo ou bloqueando seus acessos.
II) Firewalls são infalíveis, a simples instalação deles garante que sua rede esteja segura 
contra invasores.
III) Dentre as funções do firewall podem ser destacadas não só a integridade dos dados na 
rede, mas também a confidencialidade dos dados.
IV) Os filtros de pacotes estáticos, chamados de stateless packet filter, tomam decisões de 
filtragem tendo como referências os cabeçalhos e a tabela de estados das conexões.
V) Ao contrário da filtragem de pacotes de inspeção, o firewall stateful acompanha cada 
conexão em uma tabela de estado que incluem os endereços de IP de origem, destino, 
números de portas e informações sobre o estado da conexão.
Qual das alternativas está apresenta a resposta correta em relação às afirmações acima:
a) I, III e V estão corretas apenas 
b) I, II e IV estão corretas apenas
c) Todas estão corretas
d) Todas estão erradas
e) Nenhuma das alternativas 
12) Associe as colunas de acordo com os conceitos de Funcionalidades do Firewall:
a - Filtros b - Proxy c - Bastion Hosts d - DMZ e - NAT f - VPN g - Autenticação 
( ) Objetiva certificação dos usuários baseadas em IPs, senhas certificados digitais et. al.
( ) Foi criada para prover interoperabilidade entre redes distintas, como X.25, Apple Talk
ou Novel. 
( ) Pode esconder endereços dos equipamentos internos dificultando eventuais ataques 
externos 
( ) Sub-rede que contem os serviços que serão oferecidos à internet 
( ) Equipamentos que contem os serviços oferecidos para a rede externa
( ) Através do protocolo IPSec,como protocolo padrão, possibilita integridade e 
autenticação.
( ) Atuam como gateways entre duas redes, atuando na camada de aplicação do modelo
OSI.
13) Das opções abaixo todas apresentam somente serviços extras de segurança presentes
em Firewall, exceto:
a ) Autenticação, Criptografia (VPN);
b ) Filtragem de conteúdo, Antivirus;
c ) Filtragem de palavras-chave para e-mails, Filtragem de spam
d ) Qualidade de serviço, Filtragem de URL;
e ) Qualidade de vasão, Confirmação de entrega.
14) Dentre as tecnologias de Firewall qual tem a característica de misturar elementos de 
três tecnologias diferentes: filtragem de pacotes stateless, stateful e proxy melhorando 
assim o grau de segurança do serviço de segurança:
a) Firewall Adaptativo 
b) Firewall Híbridos 
c) Proxy Transparente
d) Proxy Adaptativo 
e) Firewall Baseado em estados
15) Descreva cada uma das tabelas padrão do IPtables, duas delas descrição breve, 
escolha uma para fazer uma descrição mais detalhada, com um exemplo prático de 
utilização:
a)Tabela _______ : (Descrição completa com exemplo):__________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
b) Tabela _____: (Descrição breve):________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
c) Tabela _____: (Descrição breve):_______________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
16) O iptables é uma ferramenta para administrar regras de firewall e assim filtrar pacotes 
de redes.
Assinale a opção que contém o comando indicado para adicionar uma regra ao firewall em 
um Linux, de modo a bloquear a entrada de tráfego oriundos do IP 206.1999.30.12.
a) iptables -A INPUT -s "206.1999.30.12" -j DROP
b) iptables -A INPUT -s "206.1999.30.12" -j ACCEPT
c) iptables -I INPUT -s "206.1999.30.12" -j ACCEPT
d) iptables -D INPUT -s "206.1999.30.12" -j DROP
e) iptables -D INPUT -s "206.1999.30.12" -j ACCEPT