PARECERES E TESTES DE INVASÃO unidade VI unip

Prévia do material em texto

Pular para o conteúdo
UNIP EAD
CONTEÚDOS ACADÊMICOS
BIBLIOTECAS
MURAL DO ALUNO
TUTORIAIS
Menu global
 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV
PARECERES E TESTES DE INVASÃO (7287-60_54406_R_E1_20232)
CONTEÚDO
Usuário	mateus.silva286 @aluno.unip.br
Curso	PARECERES E TESTES DE INVASÃO
Teste	QUESTIONÁRIO UNIDADE IV
Iniciado	08/09/23 12:08
Enviado	08/09/23 12:30
Status	Completada
Resultado da tentativa	2,5 em 2,5 pontos 
Tempo decorrido	22 minutos
Resultados exibidos	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
Pergunta 1
0,25 em 0,25 pontos
Correta	Uma maneira de se identificar vulnerabilidades consiste em “desmontar”, “descompilar” uma aplicação para entender o seu funcionamento. A esse processo damos o nome de:
Resposta Selecionada:	
Corretab. Engenharia reversa.
Respostas:	
a. Engenharia de software.
Corretab. Engenharia reversa.
c. Engenharia de sistemas.
d. Engenharia orientada a objeto.
e. Engenharia de segurança.
Comentário da resposta:	Resposta: B
Comentário: A engenharia reversa consiste em entender e alterar o comportamento de binários, fazendo o caminho reverso e descompilando o funcionamento do binário.
Pergunta 2
0,25 em 0,25 pontos
Correta	A arte de ocultar informações em arquivos e/ou imagens recebe o nome de:
Resposta Selecionada:	
Corretab. Estenografia.
Respostas:	
a. Xilografia.
Corretab. Estenografia.
c. Pirografia.
d. Cintilografia.
e. Webgrafia.
Comentário da resposta:	Resposta: B
Comentário: Estenografia é ocultar informações em imagens ou arquivos; essa técnica é usada para esconder uma mensagem dentro de um arquivo que aparentemente não possui aquela informação.
Pergunta 3
0,25 em 0,25 pontos
Correta	O ________________ consiste em um treinamento para a identificação de vulnerabilidades. Complete a lacuna com a alternativa correta.
Resposta Selecionada:	
Corretab. Capture The Flag.
Respostas:	
a. Capture The Object.
Corretab. Capture The Flag.
c. Capture The Green.
d. Capture The Arm.
e. Capture The Flame.
Comentário da resposta:	Resposta: B
Comentário: Uma forma de iniciar o aprendizado em técnicas de hacking é estudar as plataformas de capture the flag (CTFs), competições cujos participantes têm como objetivo descobrir uma flag utilizando as mais variadas ferramentas e técnicas de subversão para desvendar o enigma de desafios propostos.
Pergunta 4
0,25 em 0,25 pontos
Correta	Complete as lacunas com a alternativa correta, quando o assunto é a exploração de vulnerabilidades:
Em um ________________, os ____________ exploram as vulnerabilidades, procurando identificar e avaliar de que forma os invasores podem obter informações valiosas da empresa após uma exploração bem-sucedida das falhas. Indique a alternativa que preenche as lacunas de forma correta.
Resposta Selecionada:	
Corretad. teste de invasão, pentesters.
Respostas:	
a. teste de invasão, pentest.
b. pentest, teste de invasão.
c. pentest, pentesters.
Corretad. teste de invasão, pentesters.
e. pentesters, pentest.
Comentário da resposta:	Resposta: D
Comentário: Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30).
Pergunta 5
0,25 em 0,25 pontos
Correta	Com uma equipe de segurança apta a executar um pentest, é possível prever uma possível invasão e evitá-la. Para que se obtenha êxito neste processo, após a realização do teste é necessário:
Resposta Selecionada:	
Corretac. fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras.
Respostas:	
a. enviar uma mensagem a todos os usuários informando que a empresa está segura.
b. informar as vulnerabilidades por ordem cronologia, pois vulnerabilidades antigas não são mais exploradas.
Corretac. fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras.
d. alterar todas as senhas dos sistemas e armazenar em um arquivo secreto.
e. promover a conexão dos aplicativos apenas no início e ao final do expediente, tornando mais fácil monitorar o tráfego na rede.
Comentário da resposta:	Resposta: C
Comentário: Todo o resultado obtido com os testes deve ser reportado em documento oficial para que seja válido e as correções sejam implementadas.
Pergunta 6
0,25 em 0,25 pontos
Correta	Além de levar muito tempo em sua execução, um pentest muito abrangente, em uma empresa de pequeno porte, pode trazer que tipo de consequência?
Resposta Selecionada:	
Corretae. As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática.
Respostas:	
a. A empresa é pequena, não precisa que sejam identificadas e exploradas as vulnerabilidades.
b. A se dar conta do tamanho do teste e as implicações dele, a empresa romperá o contrato.
c. Ao se dar conta do tamanho da empresa a equipe de profissionais optará por não realizar os testes.
d. Empresa pequena não é invadida.
Corretae. As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática.
Comentário da resposta:	Resposta: E
Comentário: É preciso bom senso ao dimensionar um pentest, conforme as necessidades de cada cliente.
Pergunta 7
0,25 em 0,25 pontos
Correta	Após a assinatura do contrato de prestação de serviço, é necessária a adoção de uma sequência para a execução do pentest. Indique qual é a sequência recomendada para a execução do serviço: pentest:
Resposta Selecionada:	
Corretae. pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting.
Respostas:	
a. pre-engagement, reporting, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation.
b. pre-engagement, exploitation, information-gathering, threat-modeling, vulnerability analysis, post-exploitation, reporting.
c. information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting, pre-engagement.
d. pre-engagement, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting, information-gathering.
Corretae. pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting.
Comentário da resposta:	Resposta: E
Comentário: A sequência correta de eventos conforme previsto em Pentest-standar Org é: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting.
Pergunta 8
0,25 em 0,25 pontos
Correta	Ao emitir o relatório para a equipe de gestores, quais itens devem ser levados em consideração, já que esta equipe pode não ter o conhecimento técnico necessário para o entendimento dos testes?
Resposta Selecionada:	
Corretae. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico.
Respostas:	
a. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão.
b. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição, Conclusão.
c. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão.
d. Conclusão, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Introdução.
Corretae. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico.Comentário da resposta:	Resposta: E
Comentário: O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança.
Pergunta 9
0,25 em 0,25 pontos
Correta	Quando a equipe de pentest termina seu trabalho, um relatório deve ser gerado para a equipe Técnica de TI. O roteiro para o relatório técnico deve ser:
Resposta Selecionada:	
Corretaa. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão.
Respostas:	
Corretaa. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão.
b. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição.
c. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades.
d. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidade.
e. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico.
Comentário da resposta:	Resposta: A
Comentário: O relatório técnico oferece detalhes técnicos e precisos a respeito do teste.
Pergunta 10
0,25 em 0,25 pontos
Correta	Senhas são atualmente o ponto fraco das instituições. Todas as portas de invasão são corrigidas e patches instalados, porém sempre haverá o fator humano a deixar uma brecha por causa da senha. Indique uma alternativa para fator usuário:
Resposta Selecionada:	
Corretaa. Utilizar a autenticação em dois níveis.
Respostas:	
Corretaa. Utilizar a autenticação em dois níveis.
b. Utilizar a autenticação autônoma do sistema.
c. Utilizar a inteligência artificial para a autenticação do sistema.
d. Utilizar a senha padrão do sistema.
e. Evitar a utilização de senhas.
Comentário da resposta:	Resposta: A
Comentário: As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas, e ataques por meio de força bruta e palpites embasados representam riscos sérios às senhas fracas. Muitas empresas utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para atenuar esses riscos.
Sexta-feira, 8 de Setembro de 2023 12h30min10s GMT-03:00
 OK