Questionário I - Pareceres e Testes de Invasão

Prévia do material em texto

Revisar envio do teste: QUESTIONÁRIO UNIDADE IPARECERES E TESTES DE INVASÃO CONTEÚDO
Usuário
Curso PARECERES E TESTES DE INVASÃO
Teste QUESTIONÁRIO UNIDADE I
Iniciado
Enviado
Status Completada
Resultado da
tentativa
2,5 em 2,5 pontos
Tempo decorrido 10 minutos
Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas
incorretamente
Pergunta 1
Resposta Selecionada: d.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Teste aplicado no sistema em que todos os parâmetros de funcionamento da nova aplicação são
conhecidos, tais como mensagens de erro, reações da aplicação na interação com outros aplicativos,
foram informadas à equipe de testes. Desta maneira, é possível dizer que o tipo de teste utilizado foi:
O White box.
O Black box.
O Gray box.
O Red box.
O White box.
O Yellow box.
Resposta: D
Comentário: White Box: método de teste de software em que a estrutura (design)
interna do item sendo testado é conhecida pelo testador.
Pergunta 2
A equipe de Testes de Invasão foi chamada para conduzir uma vericação a respeito da segurança em
uma empresa, porém não tem à sua disposição os parâmetros a serem analisados, não tem orientação
por parte da equipe de desenvolvimento a respeito do desempenho esperado para a aplicação. Com
UNIP EAD BIBLIOTECAS MURAL DO ALUNO TUTORIAISCONTEÚDOS ACADÊMICOS
0,25 em 0,25 pontos
0,25 em 0,25 pontos
← OK
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
1 of 7 22/08/2023, 10:34
Resposta Selecionada: b.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
base na informação do texto, qual foi o tipo de teste conduzido pela equipe?
O Black box.
O Gray box.
O Black box.
O Red box.
O White box.
O Yellow box.
Resposta: B
Comentário: Black Box: conhecido como teste comportamental, é um método de
teste de software no qual a estrutura interna do item que está sendo testado não é
conhecida pelo testador. Esses testes podem ser funcionais ou não funcionais,
embora geralmente sejam funcionais.
Pergunta 3
Resposta Selecionada: c.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Para garantir a melhor forma de se conduzir um teste de vulnerabilidade, indique a alternativa que
aponta as metodologias para este tipo de trabalho, com o objetivo de validar sistemas.
ISSAF, OSSTMM, OWASP.
Apache JMeter, DBMonster, DBTester.
Metasploit, NMap, SQLMap.
ISSAF, OSSTMM, OWASP.
DBMonster, Nmap, OWASP.
SQLMap, DBTester, ISSAF.
Resposta: C
Comentário: São metodologias utilizadas para testes de penetração, para
identicar vulnerabilidades e validar sistemas ISSAF, OSSTMM, OWASP.
Pergunta 4
Resposta
Selecionada:
d.
Qual procedimento deve ser adotado para que sejam evitados problemas judiciais, visto que a
diferença entre um teste de invasão e um ataque real é muito pequena quando se pesquisa
vulnerabilidade em um sistema terceirizado?
Solicitar a autorização às empresas terceirizadas, informando os procedimentos
a serem realizados.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
2 of 7 22/08/2023, 10:34
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Como a diferença é pequena, basta realizar o teste.
Como trata-se de um teste, basta coletar as informações para fazer o report.
Após a realização mandar um e-mail tranquilizando a empresa terceirizada.
Solicitar a autorização às empresas terceirizadas, informando os procedimentos
a serem realizados.
Enviar um comunicado interno noticando que o serviço de terceiros poderá
passar por instabilidades.
Resposta: D
Comentário: Solicitar a autorização às empresas terceirizadas através de
documentação, para evitar problemas para quem estiver realizando a atividade.
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
3 of 7 22/08/2023, 10:34
Pergunta 5
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Se a aplicação e a rigidez em um teste de vulnerabilidade excederem o bom senso, qual o principal
risco ao processo? Lembrando que a proteção das informações é mandatória.
Assinale a alternativa que justique a informação contida no texto acima.
Toda informação deve ser protegida, porém de acordo com a maturidade de uma
empresa no âmbito da segurança da informação um teste muito longo e rigoroso
pode trazer prejuízo e as recomendações nais não serem implantadas.
Toda informação deve ser protegida, portanto quanto maior a profundidade do
escopo melhor.
Toda informação deve ser protegida, desta forma todo o sistema deve ser
bloqueado.
Toda informação deve ser protegida, basta monitorar o sistema e neutralizar um
ataque.
Toda informação deve ser protegida, enviar um e-mail a todos os funcionários
solicitando cuidado com as informações.
Toda informação deve ser protegida, porém de acordo com a maturidade de uma
empresa no âmbito da segurança da informação um teste muito longo e rigoroso
pode trazer prejuízo e as recomendações nais não serem implantadas.
Resposta: E
Comentário: O prossional de segurança da informação, durante a fase de
planejamento, deve entender a necessidade da empresa e o seu grau de
maturidade para preparar o teste mais adequado à estrutura da empresa.
Pergunta 6
Resposta Selecionada: a.
Respostas: a.
b.
c.
d.
É comum que as organizações tenham representação na internet. Pode haver desde simplesmente um
website demonstrando minimamente do que a empresa se trata, quais são seus serviços e suas
informações de contato e/ou um perl em redes sociais com nome, logotipo e alguns dados sobre sua
atividade, até grandes portais complexos, com vários sistemas interligados. Baseado nesta armação,
em qual fase do processo de aplicação o teste de vulnerabilidade se encontra?
Obtenção de informação.
Obtenção de informação.
Modelagem de ameaças.
Análise de vulnerabilidade.
Exploração.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
4 of 7 22/08/2023, 10:34
e.
Comentário da
resposta:
Pós-exploração.
Resposta: A
Comentário: A investigação das mídias sociais se apresenta como uma
importante ferramenta na coleta de informações a respeito da empresa-alvo.
Pergunta 7
Resposta Selecionada: e.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Funcionários descontentes podem ser um risco à segurança da empresa. Após a saída de um
funcionário demitido da empresa, o sistema começou a apresentar instabilidades e indisponibilidades,
ou seja, perda de comunicação com servidores, serviços indisponíveis. A equipe de segurança da
informação foi solicitada a investigar. Baseado nas informações acima, qual a causa mais provável a ser
investigada?
Problemas de ataques externos motivados por ressentimentos.
Problemas com as comunicações (internet).
Problemas de hardware.
Problemas com aplicativos.
Problemas elétricos.
Problemas de ataques externos motivados por ressentimentos.
Resposta: E
Comentário: A motivação desses indivíduos varia de acordo com o ramo de
atividade, o posicionamento na sociedade, a relação com o mercado e a política. As
motivações mais comuns são: benefícios diretos ou indiretos; hackitivismo;
ressentimento; desao ou reconhecimento; espionagem.
Pergunta 8
Resposta Selecionada: d.
Respostas: a.
b.
c.
d.
e.
Durante a rotina de monitoramento do sistema, foram percebidas tentativas de acessos oriundos de
estruturas externas à empresa, estavam tentando efetuar o login remoto. Qual a ação a ser tomada
pela equipe de segurança ao perceber a tentativa de invasão?
Congurar as regras do �rewall, para inibir o objetivo do ataque.
Cortar o acesso à internet da empresa.
Cortar o acesso de todos os usuários da empresa.
Congurar todos os privilégios dosusuários novamente.
Congurar as regras do �rewall, para inibir o objetivo do ataque.
Congurar novas senhas.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
5 of 7 22/08/2023, 10:34
Comentário
da resposta:
Resposta: D
Comentário: Firewall trata-se de uma estrutura colocada antes do tráfego de rede ser
encaminhado diretamente para aplicação web. Sua função é detectar pacotes
malformados e técnicas de injeção de scriptsmaliciosos. De modo geral, �rewalls são
baseados em regras, assim, caso essas regras sejam mal conguradas ou existam
formas de contorná-las, o ataque poderá ser bem-sucedido.
Pergunta 9
Resposta Selecionada: c.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Os testes de vulnerabilidade foram concluídos, é chegada a hora de identicar quais são as áreas que
apresentam a maior fragilidade e, portanto, uma grande capacidade de comprometer a empresa. De
acordo com o planejamento realizado e apresentado aos responsáveis pelo projeto, em que fase do
processo o prossional que conduziu o teste se encontra?
Pós-exploração.
Obtenção de informações.
Modelagem de ameaças.
Pós-exploração.
Análise de vulnerabilidade.
Exploração.
Resposta: C
Comentário: O objetivo principal da pós-exploração é vericar quais são os ativos
armazenados nas estruturas das redes e a sua capacidade de comprometer outras
estruturas internas, assim como a rede como um todo.
Pergunta 10
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
Houve um vazamento de informações de dados de clientes. Além do prejuízo nanceiro gerado pelo
vazamento, foram necessárias ações para se identicar a forma que o evento ocorreu. Localizado o que
causou a falha, quais são as ações a serem tomadas pela equipe de teste a partir deste momento?
Corrigir a falha e realizar o reporte para as áreas competentes.
Corrigir a falha e realizar o reporte para as áreas competentes.
Identicar o aplicativo que originou a falha e solicitar a troca.
Identicar o departamento de desenvolvimento e culpá-lo.
Proibir o uso da ferramenta de trabalho que causou a falha.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
6 of 7 22/08/2023, 10:34
e.
Comentário da
resposta:
Romper o contrato, pois sua equipe não identicou a causa do problema.
Resposta: A
Comentário: Em caso de um vazamento de dados, esse reporte traz informações
valiosas do que poderá ser realizado contra a organização, suas medidas protetivas
e se há possibilidade de contornar essas medidas.
Revisar envio do teste: QUESTIONÁRIO UNIDADE I – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_...
7 of 7 22/08/2023, 10:34