Prévia do material em texto
Você acertou 10 de 10 questões Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas vezes quiser. Verificar Desempenho A B 1 Marcar para revisão Você recebe uma ligação do gerente de suporte técnico informando que houve um aumento nas ligações de usuários relatando que seus computadores estão infectados com malware. Qual das seguintes etapas de resposta a incidentes deve ser concluída primeiro? Contenção Backup Questão 1 de 10 Corretas �10� Em branco �0� 1 2 3 4 5 6 7 8 9 10 Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 1/17 C D E Erradicação Pós-Incidente Identificação Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: Identificação Justificativa: Em um cenário de incidente de segurança, como uma infecção por malware, a primeira etapa a ser realizada é a identificação. Isso significa identificar o tipo de malware e os computadores afetados. A etapa de contenção, que vem em seguida, tem como objetivo minimizar os danos e prevenir que o problema se espalhe. A erradicação é a fase onde o malware é removido e os sistemas afetados são restaurados, o que pode incluir a recriação da imagem do disco rígido do sistema e a instalação de patches. A etapa de pós-incidente é quando se avalia o ocorrido e se identificam oportunidades de melhorias para prevenir incidentes futuros. O backup, embora seja uma atividade importante, é apenas uma das várias atividades que compõem o processo de resposta a incidentes como um todo. 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 2/17 A B C D E 2 Marcar para revisão Quais fontes de dados podem ser capturadas por meio de uma cópia bit-a-bit que um backup lógico não pode capturar? �Escolha duas) I � Dados voláteis II � Slack Space III � Espaço Livre IV � Evidência I e II I e III II e IV II e III III e IV 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 3/17 Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: II e III Justificativa: A cópia bit-a-bit é capaz de capturar dados de Slack Space e Espaço Livre, que não podem ser obtidos por meio de um backup lógico. Slack Space refere- se ao espaço não utilizado em um bloco de armazenamento que pode conter dados residuais. Espaço Livre é o espaço de armazenamento não alocado que pode conter dados excluídos. As outras opções, Dados voláteis e Evidência, não são especificamente capturadas por meio de uma cópia bit-a-bit. 3 Marcar para revisão A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes mundialmente. Fatos adicionais importantes sobre o evento incluem: Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h. 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 4/17 A B C D E A organização determinou previamente que uma perda de dados de transação se estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes insatisfeitos a requererem reembolsos. Todos os servidores requerem uma reinicialização completa para completarem o processo de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor. No geral, a XPTO acredita que pode recuperar a loja online completamente em aproximadamente 2 dias. Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 dias. Dado o cenário, responda qual é o tempo médio para reparo �MTTR� de cada servidor afetado? 8 horas 6 horas 2 dias 3 dias 4 dias 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 5/17 Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado O MTTR �Mean Time To Repair) é uma métrica que indica o tempo médio necessário para que um dispositivo seja recuperado após um incidente. No caso apresentado, a equipe de disaster recovery da empresa XPTO avaliou que o processo de restauração de backups e reinicialização completa de cada servidor levará, em média, 8 horas. Portanto, o MTTR de cada servidor afetado é de 8 horas. É importante ressaltar que o MTTR de um componente deve ser menor que o RTO �Recovery Time Objective), ou seja, o tempo máximo tolerável de interrupção de um serviço, se o dispositivo for relevante para esse esforço de recuperação. 4 Marcar para revisão Quais são as informações que os MAC Times podem fornecer? �Escolha três) I � Data/hora de Modificação II � Data/hora de Acesso III � Data/hora de Construção IV � Data/hora de Criação V � Data/hora de Arquivamento 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 6/17 A B C D E I, II e III II, IV e V III, IV e V I, II e IV I, III e V Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: I, II e IV Justificativa: Os MAC Times são capazes de fornecer três tipos de informações específicas: Data/hora de Modificação, que indica a última vez que o arquivo sofreu uma alteração; Data/hora de Acesso, que registra a última vez que o arquivo foi acessado; e Data/hora de Criação, que marca a data e hora em que o arquivo foi inicialmente criado. As opções de Data/hora de Construção e Arquivamento não são 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 7/17 A B C informações que os MAC Times podem fornecer, portanto, não são válidas neste contexto. 5 Marcar para revisão Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção que só contém termos válidos. I � ANULAR; II � MITIGAR; III � TRANSFERIR; IV � ACEITAR; e V � EVITAR. II, III, IV e V I, III, IV e V I, II, IV e V 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 8/17 D E I, II, III e V I, II, III e IV Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: II, III, IV e V Justificativa: A alternativa correta é a letra A, que corresponde aos termos II, III, IV e V. Cada um desses termos representa uma técnica válida de resposta a riscos. "Aceitar" é a concordância com o risco e suas consequências, caso ele se concretize. "Transferir" o risco é alocar a responsabilidade do risco paraum terceiro. "Evitar" o risco é eliminar a possibilidade do risco ocorrer, juntamente com sua causa. "Mitigar" o risco envolve técnicas que protegem os ativos de possíveis ataques e são implementadas quando o impacto de um potencial risco é substancial. O termo "Anular", presente na opção I, não é uma técnica de resposta a riscos, por isso as alternativas que o contêm estão incorretas. 6 Marcar para revisão 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 9/17 A B C D E Nos estágios iniciais de uma investigação forense, um analista forense recebeu do analista de incidentes um disco rígido de uma estação de trabalho comprometida. Qual dos procedimentos de aquisição de dados a seguir o analista forense precisaria realizar para iniciar a análise? �Escolha dois.) I � Calcular hashes II � Fazer capturas de tela III � Capturar a imagem do sistema IV � Começar a ordem de volatilidade V � Fazer varredura de vulnerabilidades II e V III e V I e III I e II IV e V Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 10/17 Gabarito Comentado Gabarito: I e III Justificativa: O cálculo de hashes é um procedimento fundamental na análise forense, pois permite preservar a integridade das evidências. Se o hash calculado não sofre alterações, isso indica que os dados também não foram alterados. Além disso, capturar a imagem do sistema é outro procedimento importante, pois envolve a criação de uma cópia exata da unidade, que pode ser referenciada posteriormente durante a investigação. Embora as capturas de tela possam ser úteis para coletar informações visíveis na tela de um computador, elas não estão diretamente relacionadas ao disco rígido. A ordem de volatilidade se refere à sequência em que as evidências devem ser coletadas, começando pelas mais voláteis e avançando para as menos voláteis. Por fim, as varreduras de vulnerabilidades, embora importantes em outros contextos, não fazem parte do processo forense. 7 Marcar para revisão Quais dos seguintes grupos de métricas compõem o cálculo da classificação de severidade de uma vulnerabilidade? Escolha três. I � Contexto II � Tamanho III � Base IV � Temporal V � Ambiental 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 11/17 A B C D E I, II e III III, IV e V I, III e V I, II e V II, III e IV Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: III, IV e V Justificativa: O cálculo da classificação de severidade de uma vulnerabilidade é composto por três grupos de métricas: Base, Temporal e Ambiental. As métricas Base geram uma pontuação que varia de 0.0 a 10. Essa pontuação pode ser modificada ao se pontuar as métricas Temporal e Ambiental. Os grupos de métricas Contexto e 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 12/17 A B C D E Tamanho não estão relacionados ao cálculo da classificação de severidade de uma vulnerabilidade no CVSS �Common Vulnerability Scoring System). 8 Marcar para revisão Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado pelo crime organizado para armazenar informações roubadas de cartão de crédito. Um analista forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados deve ser coletada primeiro? Memória RAM Unidade USB Disco Rígido Swap Files Slack Space 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 13/17 Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: Memória RAM Justificativa: A memória RAM �Random Access Memory) é uma fonte de dados volátil, o que significa que as informações armazenadas nela são perdidas quando o dispositivo é desligado. Por isso, é crucial que a RAM seja a primeira a ser coletada em uma investigação forense. As outras opções, como a unidade USB e o disco rígido, mantêm seus dados mesmo quando a energia é removida, tornando-as menos voláteis. O arquivo de troca �Swap File) é uma extensão da memória que é armazenada no disco rígido, portanto, também é menos volátil que a RAM. Por fim, o Slack Space refere-se ao espaço fragmentado em um disco rígido, correspondente a unidades de alocação não totalmente utilizadas, que também mantém os dados após a remoção da energia. 9 Marcar para revisão Um administrador de segurança descobriu um incidente de malware na rede da organização. Qual das seguintes etapas do processo de resposta ao incidente ele deve executar? 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 14/17 A B C D E Recuperação Erradicação Contenção Identificação Varredura Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: Contenção Justificativa: Após a identificação de um incidente de malware, o próximo passo no processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar que o malware se propague pela rede e cause mais danos. A contenção também permite que o administrador de segurança estude o incidente em detalhes para entender melhor sua natureza e origem. As etapas de recuperação e erradicação são realizadas posteriormente, após a contenção do malware. A identificação, como mencionado no enunciado, já foi realizada. A varredura, embora seja uma atividade importante na 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 15/17 A B C segurança da rede, não é considerada uma etapa no processo de resposta a incidentes. 10 Marcar para revisão Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de resposta a incidentes? �Escolha três.) I � Quando o problema foi detectado pela primeira vez e por quem II � Como o problema foi contido e erradicado III � O trabalho que foi executado durante a recuperação IV � Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a qualquer momento V � Todas as credenciais comprometidas foram revisadas quanto à legitimidade e reforçadas I, II, IV I, III, V II, III, IV 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 16/17 D E I, II, III III, IV, V Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: I, II, III Justificativa: Na fase de Pós-Incidente do processo de resposta a incidentes, as informações que são descritas incluem quando o problema foi detectado pela primeira vez e por quem �I�, como o problema foi contido e erradicado �II�, e o trabalho que foi executado durante a recuperação �III�. Essas informações são essenciais para entender o incidente, aprender com ele e melhorar as futuras respostas a incidentes. A preparação da equipe para lidar com um incidente a qualquer momento �IV� e a revisão das credenciais comprometidas �V� não são atividades que ocorrem na fasede Pós- Incidente, mas sim em fases anteriores do processo de resposta a incidentes. 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 17/17