Exercícios - Segurança de sistemas 6

Prévia do material em texto

Você acertou 10 de 10 questões
Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas
vezes quiser.
Verificar Desempenho
A
B
1 Marcar para revisão
Você recebe uma ligação do gerente de suporte técnico informando que houve um
aumento nas ligações de usuários relatando que seus computadores estão infectados com
malware. Qual das seguintes etapas de resposta a incidentes deve ser concluída primeiro?
Contenção
Backup
Questão 1 de 10
Corretas �10�
Em branco �0�
1 2 3 4 5
6 7 8 9 10
Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 1/17
C
D
E
Erradicação
Pós-Incidente
Identificação
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Identificação
Justificativa: Em um cenário de incidente de segurança, como uma infecção por
malware, a primeira etapa a ser realizada é a identificação. Isso significa identificar o
tipo de malware e os computadores afetados. A etapa de contenção, que vem em
seguida, tem como objetivo minimizar os danos e prevenir que o problema se espalhe.
A erradicação é a fase onde o malware é removido e os sistemas afetados são
restaurados, o que pode incluir a recriação da imagem do disco rígido do sistema e a
instalação de patches. A etapa de pós-incidente é quando se avalia o ocorrido e se
identificam oportunidades de melhorias para prevenir incidentes futuros. O backup,
embora seja uma atividade importante, é apenas uma das várias atividades que
compõem o processo de resposta a incidentes como um todo.
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 2/17
A
B
C
D
E
2 Marcar para revisão
Quais fontes de dados podem ser capturadas por meio de uma cópia bit-a-bit que um
backup lógico não pode capturar? �Escolha duas)
I � Dados voláteis
II � Slack Space
III � Espaço Livre
IV � Evidência
I e II
I e III
II e IV
II e III
III e IV
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 3/17
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: II e III
Justificativa: A cópia bit-a-bit é capaz de capturar dados de Slack Space e Espaço
Livre, que não podem ser obtidos por meio de um backup lógico. Slack Space refere-
se ao espaço não utilizado em um bloco de armazenamento que pode conter dados
residuais. Espaço Livre é o espaço de armazenamento não alocado que pode conter
dados excluídos. As outras opções, Dados voláteis e Evidência, não são
especificamente capturadas por meio de uma cópia bit-a-bit.
3 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países.
Na segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma
rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados
com as novas imagens do sistema. O administrador, no entanto, digitou errado os
comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja
para todos os clientes mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às
21�00h.
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 4/17
A
B
C
D
E
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e
levar milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o
processo de restauração de backups antes que eles retornem à produção. A equipe de
disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas
para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por
mais de 3 dias.
Dado o cenário, responda qual é o tempo médio para reparo �MTTR� de cada servidor
afetado?
8 horas
6 horas
2 dias
3 dias
4 dias
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 5/17
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O MTTR �Mean Time To Repair) é uma métrica que indica o tempo médio necessário
para que um dispositivo seja recuperado após um incidente. No caso apresentado, a
equipe de disaster recovery da empresa XPTO avaliou que o processo de restauração
de backups e reinicialização completa de cada servidor levará, em média, 8 horas.
Portanto, o MTTR de cada servidor afetado é de 8 horas. É importante ressaltar que o
MTTR de um componente deve ser menor que o RTO �Recovery Time Objective), ou
seja, o tempo máximo tolerável de interrupção de um serviço, se o dispositivo for
relevante para esse esforço de recuperação.
4 Marcar para revisão
Quais são as informações que os MAC Times podem fornecer? �Escolha três)
I � Data/hora de Modificação
II � Data/hora de Acesso
III � Data/hora de Construção
IV � Data/hora de Criação
V � Data/hora de Arquivamento
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 6/17
A
B
C
D
E
I, II e III
II, IV e V
III, IV e V
I, II e IV
I, III e V
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I, II e IV
Justificativa: Os MAC Times são capazes de fornecer três tipos de informações
específicas: Data/hora de Modificação, que indica a última vez que o arquivo sofreu
uma alteração; Data/hora de Acesso, que registra a última vez que o arquivo foi
acessado; e Data/hora de Criação, que marca a data e hora em que o arquivo foi
inicialmente criado. As opções de Data/hora de Construção e Arquivamento não são
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 7/17
A
B
C
informações que os MAC Times podem fornecer, portanto, não são válidas neste
contexto.
5 Marcar para revisão
Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção
que só contém termos válidos.
I � ANULAR;
II � MITIGAR;
III � TRANSFERIR;
IV � ACEITAR; e
V � EVITAR.
II, III, IV e V
I, III, IV e V
I, II, IV e V
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 8/17
D
E
I, II, III e V
I, II, III e IV
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: II, III, IV e V
Justificativa: A alternativa correta é a letra A, que corresponde aos termos II, III, IV e V.
Cada um desses termos representa uma técnica válida de resposta a riscos. "Aceitar" é
a concordância com o risco e suas consequências, caso ele se concretize. "Transferir"
o risco é alocar a responsabilidade do risco paraum terceiro. "Evitar" o risco é eliminar
a possibilidade do risco ocorrer, juntamente com sua causa. "Mitigar" o risco envolve
técnicas que protegem os ativos de possíveis ataques e são implementadas quando o
impacto de um potencial risco é substancial. O termo "Anular", presente na opção I, não
é uma técnica de resposta a riscos, por isso as alternativas que o contêm estão
incorretas.
6 Marcar para revisão
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 9/17
A
B
C
D
E
Nos estágios iniciais de uma investigação forense, um analista forense recebeu do analista
de incidentes um disco rígido de uma estação de trabalho comprometida. Qual dos
procedimentos de aquisição de dados a seguir o analista forense precisaria realizar para
iniciar a análise? �Escolha dois.)
I � Calcular hashes
II � Fazer capturas de tela
III � Capturar a imagem do sistema
IV � Começar a ordem de volatilidade
V � Fazer varredura de vulnerabilidades
II e V
III e V
I e III
I e II
IV e V
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 10/17
Gabarito Comentado
Gabarito: I e III
Justificativa: O cálculo de hashes é um procedimento fundamental na análise forense,
pois permite preservar a integridade das evidências. Se o hash calculado não sofre
alterações, isso indica que os dados também não foram alterados. Além disso,
capturar a imagem do sistema é outro procedimento importante, pois envolve a criação
de uma cópia exata da unidade, que pode ser referenciada posteriormente durante a
investigação. Embora as capturas de tela possam ser úteis para coletar informações
visíveis na tela de um computador, elas não estão diretamente relacionadas ao disco
rígido. A ordem de volatilidade se refere à sequência em que as evidências devem ser
coletadas, começando pelas mais voláteis e avançando para as menos voláteis. Por
fim, as varreduras de vulnerabilidades, embora importantes em outros contextos, não
fazem parte do processo forense.
7 Marcar para revisão
Quais dos seguintes grupos de métricas compõem o cálculo da classificação de severidade
de uma vulnerabilidade? Escolha três.
I � Contexto
II � Tamanho
III � Base
IV � Temporal
V � Ambiental
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 11/17
A
B
C
D
E
I, II e III
III, IV e V
I, III e V
I, II e V
II, III e IV
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: III, IV e V
Justificativa: O cálculo da classificação de severidade de uma vulnerabilidade é
composto por três grupos de métricas: Base, Temporal e Ambiental. As métricas Base
geram uma pontuação que varia de 0.0 a 10. Essa pontuação pode ser modificada ao
se pontuar as métricas Temporal e Ambiental. Os grupos de métricas Contexto e
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 12/17
A
B
C
D
E
Tamanho não estão relacionados ao cálculo da classificação de severidade de uma
vulnerabilidade no CVSS �Common Vulnerability Scoring System).
8 Marcar para revisão
Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado
pelo crime organizado para armazenar informações roubadas de cartão de crédito. Um
analista forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados deve
ser coletada primeiro?
Memória RAM
Unidade USB
Disco Rígido
Swap Files
Slack Space
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 13/17
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Memória RAM
Justificativa: A memória RAM �Random Access Memory) é uma fonte de dados volátil,
o que significa que as informações armazenadas nela são perdidas quando o
dispositivo é desligado. Por isso, é crucial que a RAM seja a primeira a ser coletada em
uma investigação forense. As outras opções, como a unidade USB e o disco rígido,
mantêm seus dados mesmo quando a energia é removida, tornando-as menos voláteis.
O arquivo de troca �Swap File) é uma extensão da memória que é armazenada no disco
rígido, portanto, também é menos volátil que a RAM. Por fim, o Slack Space refere-se
ao espaço fragmentado em um disco rígido, correspondente a unidades de alocação
não totalmente utilizadas, que também mantém os dados após a remoção da energia.
9 Marcar para revisão
Um administrador de segurança descobriu um incidente de malware na rede da
organização. Qual das seguintes etapas do processo de resposta ao incidente ele deve
executar?
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 14/17
A
B
C
D
E
Recuperação
Erradicação
Contenção
Identificação
Varredura
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Contenção
Justificativa: Após a identificação de um incidente de malware, o próximo passo no
processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar que
o malware se propague pela rede e cause mais danos. A contenção também permite
que o administrador de segurança estude o incidente em detalhes para entender
melhor sua natureza e origem. As etapas de recuperação e erradicação são realizadas
posteriormente, após a contenção do malware. A identificação, como mencionado no
enunciado, já foi realizada. A varredura, embora seja uma atividade importante na
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 15/17
A
B
C
segurança da rede, não é considerada uma etapa no processo de resposta a
incidentes.
10 Marcar para revisão
Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de
resposta a incidentes? �Escolha três.)
I � Quando o problema foi detectado pela primeira vez e por quem
II � Como o problema foi contido e erradicado
III � O trabalho que foi executado durante a recuperação
IV � Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a
qualquer momento
V � Todas as credenciais comprometidas foram revisadas quanto à legitimidade e
reforçadas
I, II, IV
I, III, V
II, III, IV
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 16/17
D
E
I, II, III
III, IV, V
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I, II, III
Justificativa: Na fase de Pós-Incidente do processo de resposta a incidentes, as
informações que são descritas incluem quando o problema foi detectado pela primeira
vez e por quem �I�, como o problema foi contido e erradicado �II�, e o trabalho que foi
executado durante a recuperação �III�. Essas informações são essenciais para entender
o incidente, aprender com ele e melhorar as futuras respostas a incidentes. A
preparação da equipe para lidar com um incidente a qualquer momento �IV� e a revisão
das credenciais comprometidas �V� não são atividades que ocorrem na fasede Pós-
Incidente, mas sim em fases anteriores do processo de resposta a incidentes.
08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/663bb31f139d33d914901945/gabarito/ 17/17