Segurança e Auditoria de Sistemas - Atividade 04

Prévia do material em texto

Pergunta 1 
 
O planejamento da auditoria de TI envolve duas etapas principais. O primeiro passo é 
coletar informações e planejar um pouco. O segundo passo é entender a estrutura de 
controle interno existente. Mais e mais organizações estão adotando uma abordagem 
de auditoria baseada em riscos, usada para avaliar riscos e ajuda um auditor de TI a 
decidir se deve executar testes de conformidade ou substantivos. 
Quais ferramentas você pode usar para controlar a política de auditoria em 
computadores na sua rede? 
 
o Configuração avançada de permissão e Diretiva de Grupo 
o Segurança Local e Configuração avançada de permissão 
o Segurança Local e Diretiva de Grupo 
o Visualizador de Eventos e Configuração avançada de permissão 
o Visualizador de Eventos e Segurança Local 
 
 
 
Pergunta 2 
 
Um dos principais objetivos de uma política de segurança é fornecer proteção - proteção 
para sua organização e seus funcionários. As políticas de segurança protegem as 
informações críticas/propriedade intelectual de sua organização, descrevendo 
claramente as responsabilidades dos funcionários com relação a quais informações 
precisam ser protegidas e por quê. 
Qual das seguintes opções MELHOR ajuda os proprietários das informações a 
classificar os dados corretamente? 
 
o Treinamento com políticas de segurança 
o Uso de ferramentas automatizadas de prevenção de vazamento de dados 
o Treinamento com padrões organizacionais 
Resposta correta. A alternativa está correta, pois a diretiva de grupo é um 
recurso que adiciona controles adicionais às contas de usuário e computador. 
Essas diretivas fornecem configurações centralizadas de sistemas operacionais 
e de gerenciamento dos ambientes de computação do usuário. Toda a auditoria é 
local e pode ser realizada através de ferramenta de Segurança Local no 
computador ou através da Diretiva de Grupo. 
o Compreensão dos controles técnicos que protegem os dados 
o Entendendo quais pessoas/setores precisam acessar os dados 
 
 
 
Pergunta 3 
 
Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa 
declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A 
menos que não identifiquemos as ameaças pela Internet, não poderemos tomar 
medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à 
IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do invasor. 
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções 
a seguir e assinale a alternativa correta: 
 
I. Como os dispositivos habilitados para IoT são usados e operados por 
humanos, um invasor pode tentar obter acesso não autorizado ao dispositivo 
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de 
informações confidenciais 
III. III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade 
computacional. 
IV. IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, 
são menos suscetíveis a invasores. 
 
o I e II apenas. 
o II e III apenas. 
o I e IV apenas. 
o I e III apenas. 
o II e IV apenas. 
Resposta correta. A alternativa está correta, pois em termos de proteção dos 
dados, os requisitos de dados dos usuários finais são críticos, mas se o 
proprietário dos dados não entender qual esquema de classificação de dados 
está em vigor, é provável que o acesso inadequado aos dados sensíveis possa ser 
concedido para pessoas não autorizadas. 
 
 
 
Pergunta 4 
 
O uso dos serviços de computação em nuvem parece oferecer vantagens de custo 
significativas. As empresas iniciantes, em particular, se beneficiam dessas vantagens, 
pois frequentemente não operam uma infraestrutura de TI interna. Entretanto, uma das 
maiores preocupações e o que leva algumas empresas a não optarem pela nuvem é o 
quesito segurança. 
De fato, confiar os seus dados à um terceiro realmente é preocupante. Quando se trata 
de segurança, é correto dizer: 
 
o A preocupação com a segurança em nuvem deve ser maior que a preocupação 
com a segurança local, uma vez que os dados estão fora da empresa. 
o Deve haver um esforço conjunto entre o fornecedor de serviço de nuvem e 
a empresa contratante para garantir a segurança. 
o As empresas podem terceirizar a infraestrutura (IaaS), o software (SaaS), alguns 
serviços e também a segurança. 
o A preocupação das empresas em confiar seus dados à terceiros é válida, uma 
vez que eles não assumem, em contrato, responsabilidade pelos dados. 
o A segurança em nuvem é garantida utilizando firewall de borda, bem como 
programas de antivírus próprios para este fim. 
 
 
 
Resposta correta. A alternativa está correta, pois os dispositivos de IoT estão 
conectados a internet e, como foi visto durante os estudos, qualquer “coisa” 
conectada a internet é suscetível a invasores. Estes dispositivos se comunicam 
com um servidor ou broker por meio de conexão wireless (sem fio) ou conexão 
cabeada. De um modo ou de outro, o atacante pode controlar o dispositivo e, até 
mesmo, apossar-se das informações confidenciais que, por ventura, este 
dispositivo (ou conjunto deles) está a produzir. 
Respostas correta. A resposta está correta, note que deve haver um esforço dos 
dois lados: o provedor de serviços em nuvem é responsável pela segurança da 
nuvem e de garantir a disponibilidade, confidencialidade e a integridade dos 
dados; do outro lado, o cliente é responsável pela segurança na nuvem. 
Pergunta 5 
 
Quando falamos em computação em nuvem, algumas empresas optam por implementar 
o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela 
Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar 
seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como 
serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser 
"alugado" por outras empresas. 
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS 
(Infraestrutura como Serviço)? 
 
o Eficiência energética 
o Transferência do custo de propriedade 
o Escalabilidade 
o Elasticidade 
o Serviço Medido 
 
 
 
 
 
 
 
 
 
 
 
 
Resposta correta. A alternativa está correta, pois os benefícios da computação 
em nuvem incluem economia de custos (os departamentos de TI não precisam 
investir em servidores, armazenamento, instalações licenças etc.). No entanto, 
as organizações também devem levar em consideração os benefícios de ter uma 
equipe de TI que possa reagir de maneira mais rápida e eficaz a mudanças e 
oportunidades de negócios. Logo, todos estes custos são transferidos para o 
fornecedor do serviço. 
 
Pergunta 6 
 
O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, 
mas agora está conectado aos objetos circundantes, trocando dados e informações. 
Duas características de um objeto em IoT é que ele possa ser localizado e identificado 
em qualquer lugar no espaço e no tempo. Em IoT, depois que um dispositivo é 
identificado e autenticado, o sistema de controle de acesso precisa atribuí-lo a um 
segmento de rede específico automaticamente. 
 
Dentro deste contexto, quais são os três tipos de controle de acesso para um dispositivo 
IoT em um sistema de informação? 
 
o administrativo, físico e técnico 
o monitoramento, autorização e validação 
o obrigatório, físico e autorização 
o identificação, autenticação e autorização 
o autenticação, autorização e administrativo 
 
 
 
 
 
 
 
 
 
 
 
 
 
Resposta correta. A alternativa está correta, pois os controles físicos descrevem 
qualquer coisa tangível usada para impedir ou detectar acesso não autorizado a 
áreas, sistemas ou ativos físicos (cercas, portões, biometria, etc). Os controles 
técnicos (também conhecidos como controles lógicos) incluem mecanismos de 
hardware ou software usados para proteger ativos (firewall,antivírus). Os 
controles administrativos referem-se a políticas, procedimentos ou diretrizes que 
definem práticas de pessoal ou de negócios de acordo com as metas de 
segurança da organização (treinamento de funcionários, por exemplo). 
Pergunta 7 
 
A computação em nuvem é a prestação de serviços de computação sob demanda - de 
aplicativos a capacidade de armazenamento e processamento - geralmente pela 
Internet e com o pagamento conforme o uso. Em vez de possuir sua própria 
infraestrutura de computação ou data centers, as empresas podem alugar acesso a 
qualquer coisa, de aplicativos a armazenamento, de um provedor de serviços em 
nuvem. 
 
Qual das seguintes siglas refere-se a um modelo de distribuição de software no qual um 
provedor de nuvem gerencia e hospeda um aplicativo que os usuários acessam via 
Internet? 
 
o DaaS 
o IotaS 
o SaaS 
o IaaS 
o PaaS 
 
 
 
 
 
 
 
 
 
 
 
 
 
Resposta correta. A alternativa está correta, pois Software como serviço (SaaS) é 
a entrega de aplicativos como serviço, provavelmente a versão da computação 
em nuvem à qual a maioria das pessoas está acostumada no dia a dia. O 
hardware e o sistema operacional subjacentes são irrelevantes para o usuário 
final, que acessará o serviço por meio de um navegador ou aplicativo; geralmente 
é comprado por assento ou por usuário. 
Pergunta 8 
Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada 
é perfeito no mundo da tecnologia, nada está completamente seguro. Portanto, com o 
crescimento da IoT, há desafios para conter as ameaças relacionadas à IoT, a fim de 
alcançar todos os seus benefícios. De posse destas informações e do conteúdo 
estudado, analise as técnicas disponíveis a seguir e associe-as com suas respectivas 
características. 
 
I. Injeção SQL. 
II. DDoS. 
III. Rastreamento. 
IV. Força bruta. 
V. Phishing 
 
( ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de 
obter informações pessoais. 
( ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT. 
( ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando 
que uma funcione. 
( ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa 
responder às solicitações de serviço. 
( ) Este ataque executa uma consulta no banco de dados por meio dos dados de 
entrada do cliente para o servidor. 
Agora, assinale a alternativa que apresenta a sequência correta: 
 
o V, II, IV, III, I. 
o II, III, IV, V, I. 
o IV, V, III, II, I. 
o II, IV, III, I, V. 
o V, III, IV, II, I. 
 
 
 
Pergunta 9 
 
Uma empresa possui um sensor IoT que envia dados para um servidor físico que está 
em uma nuvem privada. Criminosos acessam o servidor de banco de dados e 
criptografam os arquivos e dados pessoais da empresa, inclusive os dados enviados 
pelo sensor. O usuário não pode acessar esses dados, a menos que pague aos 
criminosos para descriptografar os arquivos. 
Assinale a alternativa que denomina qual é essa prática: 
 
o Ransomware 
o Phishing 
o Spam 
o Botnet 
o Engenharia social 
 
 
 
 
 
 
 
Resposta correta. A alternativa está correta, pois a injeção SQL (1) executa 
comandos SQL os quais são inseridos na entrada do banco de dados para 
executar comandos predefinidos. DDoS (2) ou ataque de inundação, é um ataque 
aos recursos do sistema com o objetivo de deixa-lo indisponível. Rastreamento 
(3) é um tipo de ataque que monitora a localização do dispositivo de IoT no 
espaço e no tempo, fornecendo uma localização precisa. No ataque de força 
bruta (4), um algoritmo tenta de forma ininterrupta descobrir a senha almejada. 
O ataque de phishing (5) visa levar a vítima ao erro, tentando enganá-la com o 
objetivo de obter informações relevantes. 
Resposta correta. A alternativa está correta, pois a ideia por trás do ransomware, 
uma forma de software malicioso, é simples: bloqueie e criptografe os dados do 
computador ou do dispositivo da vítima e, em seguida, exija um resgate para 
restaurar o acesso. Em muitos casos, a vítima deve pagar ao cibercriminoso 
dentro de um determinado período de tempo ou correr o risco de perder o acesso 
para sempre. 
Pergunta 10 
 
Com a computação em nuvem, em vez de possuir sua própria infraestrutura de 
computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de 
aplicativos a armazenamento, de um provedor de serviços em nuvem. Um benefício do 
uso de serviços de computação em nuvem é que as empresas podem evitar o custo 
inicial e a complexidade de possuir e manter sua própria infraestrutura de TI e, em vez 
disso, simplesmente pagar pelo que usam, quando a usam. 
 
Qual das seguintes alternativas é verdadeira sobre a computação em nuvem: 
 
o Como poucas empresas fornecem os serviços em nuvem, o empreendimento 
torna-se arriscado. 
o Em todos os casos, a computação em nuvem será mais segura do que a 
computação local. 
o Você pode acessar seus dados de qualquer lugar do mundo, desde que 
tenha uma conexão com a internet. 
o A computação em nuvem pode ser dividida em dois modelos: Serviço e 
Comodato. 
o Nuvem pública e nuvem privada diferenciam-se pelo nível de segurança, a 
primeira é mais segunda que a segunda pois utiliza criptografia assimétrica. 
 
Resposta correta. A alternativa está correta, pois uma grande vantagem da 
computação em nuvem é o fato de você poder acessar os seus arquivos, dados e 
aplicações de qualquer lugar e a partir de qualquer computador, desde que 
conectado à internet. Deste modo, na nuvem você terá uma grande capacidade de 
armazenamento, sem se preocupar com a atualização do seu hardware, comprar 
mais discos ou mais memória para o computador.