Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pular para o conteúdo UNIP EAD CONTEÚDOS ACADÊMICOS BIBLIOTECAS MURAL DO ALUNO TUTORIAIS Menu global Revisar envio do teste: QUESTIONÁRIO UNIDADE IV PARECERES E TESTES DE INVASÃO (7287-60_54406_R_E1_20232) CONTEÚDO Usuário mateus.silva286 @aluno.unip.br Curso PARECERES E TESTES DE INVASÃO Teste QUESTIONÁRIO UNIDADE IV Iniciado 08/09/23 12:08 Enviado 08/09/23 12:30 Status Completada Resultado da tentativa 2,5 em 2,5 pontos Tempo decorrido 22 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente Pergunta 1 0,25 em 0,25 pontos Correta Uma maneira de se identificar vulnerabilidades consiste em “desmontar”, “descompilar” uma aplicação para entender o seu funcionamento. A esse processo damos o nome de: Resposta Selecionada: Corretab. Engenharia reversa. Respostas: a. Engenharia de software. Corretab. Engenharia reversa. c. Engenharia de sistemas. d. Engenharia orientada a objeto. e. Engenharia de segurança. Comentário da resposta: Resposta: B Comentário: A engenharia reversa consiste em entender e alterar o comportamento de binários, fazendo o caminho reverso e descompilando o funcionamento do binário. Pergunta 2 0,25 em 0,25 pontos Correta A arte de ocultar informações em arquivos e/ou imagens recebe o nome de: Resposta Selecionada: Corretab. Estenografia. Respostas: a. Xilografia. Corretab. Estenografia. c. Pirografia. d. Cintilografia. e. Webgrafia. Comentário da resposta: Resposta: B Comentário: Estenografia é ocultar informações em imagens ou arquivos; essa técnica é usada para esconder uma mensagem dentro de um arquivo que aparentemente não possui aquela informação. Pergunta 3 0,25 em 0,25 pontos Correta O ________________ consiste em um treinamento para a identificação de vulnerabilidades. Complete a lacuna com a alternativa correta. Resposta Selecionada: Corretab. Capture The Flag. Respostas: a. Capture The Object. Corretab. Capture The Flag. c. Capture The Green. d. Capture The Arm. e. Capture The Flame. Comentário da resposta: Resposta: B Comentário: Uma forma de iniciar o aprendizado em técnicas de hacking é estudar as plataformas de capture the flag (CTFs), competições cujos participantes têm como objetivo descobrir uma flag utilizando as mais variadas ferramentas e técnicas de subversão para desvendar o enigma de desafios propostos. Pergunta 4 0,25 em 0,25 pontos Correta Complete as lacunas com a alternativa correta, quando o assunto é a exploração de vulnerabilidades: Em um ________________, os ____________ exploram as vulnerabilidades, procurando identificar e avaliar de que forma os invasores podem obter informações valiosas da empresa após uma exploração bem-sucedida das falhas. Indique a alternativa que preenche as lacunas de forma correta. Resposta Selecionada: Corretad. teste de invasão, pentesters. Respostas: a. teste de invasão, pentest. b. pentest, teste de invasão. c. pentest, pentesters. Corretad. teste de invasão, pentesters. e. pentesters, pentest. Comentário da resposta: Resposta: D Comentário: Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30). Pergunta 5 0,25 em 0,25 pontos Correta Com uma equipe de segurança apta a executar um pentest, é possível prever uma possível invasão e evitá-la. Para que se obtenha êxito neste processo, após a realização do teste é necessário: Resposta Selecionada: Corretac. fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras. Respostas: a. enviar uma mensagem a todos os usuários informando que a empresa está segura. b. informar as vulnerabilidades por ordem cronologia, pois vulnerabilidades antigas não são mais exploradas. Corretac. fornecer recomendações sobre como corrigir as falhas e como evitar vulnerabilidades futuras. d. alterar todas as senhas dos sistemas e armazenar em um arquivo secreto. e. promover a conexão dos aplicativos apenas no início e ao final do expediente, tornando mais fácil monitorar o tráfego na rede. Comentário da resposta: Resposta: C Comentário: Todo o resultado obtido com os testes deve ser reportado em documento oficial para que seja válido e as correções sejam implementadas. Pergunta 6 0,25 em 0,25 pontos Correta Além de levar muito tempo em sua execução, um pentest muito abrangente, em uma empresa de pequeno porte, pode trazer que tipo de consequência? Resposta Selecionada: Corretae. As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática. Respostas: a. A empresa é pequena, não precisa que sejam identificadas e exploradas as vulnerabilidades. b. A se dar conta do tamanho do teste e as implicações dele, a empresa romperá o contrato. c. Ao se dar conta do tamanho da empresa a equipe de profissionais optará por não realizar os testes. d. Empresa pequena não é invadida. Corretae. As ações realizadas durante o teste podem inviabilizar o funcionamento da empresa no instante da aplicação do teste, e o custo da implantação das correções pode ser muito alto, e não serem colocadas em prática. Comentário da resposta: Resposta: E Comentário: É preciso bom senso ao dimensionar um pentest, conforme as necessidades de cada cliente. Pergunta 7 0,25 em 0,25 pontos Correta Após a assinatura do contrato de prestação de serviço, é necessária a adoção de uma sequência para a execução do pentest. Indique qual é a sequência recomendada para a execução do serviço: pentest: Resposta Selecionada: Corretae. pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Respostas: a. pre-engagement, reporting, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation. b. pre-engagement, exploitation, information-gathering, threat-modeling, vulnerability analysis, post-exploitation, reporting. c. information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting, pre-engagement. d. pre-engagement, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting, information-gathering. Corretae. pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Comentário da resposta: Resposta: E Comentário: A sequência correta de eventos conforme previsto em Pentest-standar Org é: pre-engagement, information-gathering, threat-modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Pergunta 8 0,25 em 0,25 pontos Correta Ao emitir o relatório para a equipe de gestores, quais itens devem ser levados em consideração, já que esta equipe pode não ter o conhecimento técnico necessário para o entendimento dos testes? Resposta Selecionada: Corretae. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Respostas: a. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. b. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição, Conclusão. c. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. d. Conclusão, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Introdução. Corretae. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico.Comentário da resposta: Resposta: E Comentário: O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. Pergunta 9 0,25 em 0,25 pontos Correta Quando a equipe de pentest termina seu trabalho, um relatório deve ser gerado para a equipe Técnica de TI. O roteiro para o relatório técnico deve ser: Resposta Selecionada: Corretaa. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. Respostas: Corretaa. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidades, Pós-exploração de falhas, Risco/exposição, Conclusão. b. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Pós-exploração de falhas, Risco/exposição. c. Histórico, Postura geral, Coleta de informações, Avaliação de vulnerabilidades. d. Introdução, Coleta de informações, Avaliação de vulnerabilidades, Exploração de falhas/verificação de vulnerabilidade. e. Histórico, Postura geral, Perfil do risco, Descobertas gerais, Resumo das recomendações, Mapa estratégico. Comentário da resposta: Resposta: A Comentário: O relatório técnico oferece detalhes técnicos e precisos a respeito do teste. Pergunta 10 0,25 em 0,25 pontos Correta Senhas são atualmente o ponto fraco das instituições. Todas as portas de invasão são corrigidas e patches instalados, porém sempre haverá o fator humano a deixar uma brecha por causa da senha. Indique uma alternativa para fator usuário: Resposta Selecionada: Corretaa. Utilizar a autenticação em dois níveis. Respostas: Corretaa. Utilizar a autenticação em dois níveis. b. Utilizar a autenticação autônoma do sistema. c. Utilizar a inteligência artificial para a autenticação do sistema. d. Utilizar a senha padrão do sistema. e. Evitar a utilização de senhas. Comentário da resposta: Resposta: A Comentário: As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas, e ataques por meio de força bruta e palpites embasados representam riscos sérios às senhas fracas. Muitas empresas utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para atenuar esses riscos. Sexta-feira, 8 de Setembro de 2023 12h30min10s GMT-03:00 OK
Compartilhar