Prévia do material em texto
Você acertou 10 de 10 questões Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas vezes quiser. Verificar Desempenho 1 Marcar para revisão Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção que só contém termos válidos. I � ANULAR; II � MITIGAR; III � TRANSFERIR; IV � ACEITAR; e V � EVITAR. Questão 1 de 10 Corretas �10� Em branco �0� 1 2 3 4 5 6 7 8 9 10 Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 1/18 A B C D E II, III, IV e V I, III, IV e V I, II, IV e V I, II, III e V I, II, III e IV Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: II, III, IV e V Justificativa: A alternativa correta é a letra A, que corresponde aos termos II, III, IV e V. Cada um desses termos representa uma técnica válida de resposta a riscos. "Aceitar" é a concordância com o risco e suas consequências, caso ele se concretize. "Transferir" o risco é alocar a responsabilidade do risco para um terceiro. "Evitar" o risco é eliminar a possibilidade do risco ocorrer, juntamente com sua causa. "Mitigar" o risco envolve técnicas que protegem os ativos de possíveis ataques e são implementadas quando o impacto de um potencial risco é substancial. O termo "Anular", presente na opção I, não 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 2/18 A B C é uma técnica de resposta a riscos, por isso as alternativas que o contêm estão incorretas. 2 Marcar para revisão Quais são as informações que os MAC Times podem fornecer? �Escolha três) I � Data/hora de Modificação II � Data/hora de Acesso III � Data/hora de Construção IV � Data/hora de Criação V � Data/hora de Arquivamento I, II e III II, IV e V III, IV e V 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 3/18 D E I, II e IV I, III e V Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: I, II e IV Justificativa: Os MAC Times são capazes de fornecer três tipos de informações específicas: Data/hora de Modificação, que indica a última vez que o arquivo sofreu uma alteração; Data/hora de Acesso, que registra a última vez que o arquivo foi acessado; e Data/hora de Criação, que marca a data e hora em que o arquivo foi inicialmente criado. As opções de Data/hora de Construção e Arquivamento não são informações que os MAC Times podem fornecer, portanto, não são válidas neste contexto. 3 Marcar para revisão Nos estágios iniciais de uma investigação forense, um analista forense recebeu do analista de incidentes um disco rígido de uma estação de trabalho comprometida. Qual dos 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 4/18 A B C D E procedimentos de aquisição de dados a seguir o analista forense precisaria realizar para iniciar a análise? �Escolha dois.) I � Calcular hashes II � Fazer capturas de tela III � Capturar a imagem do sistema IV � Começar a ordem de volatilidade V � Fazer varredura de vulnerabilidades II e V III e V I e III I e II IV e V Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 5/18 Gabarito: I e III Justificativa: O cálculo de hashes é um procedimento fundamental na análise forense, pois permite preservar a integridade das evidências. Se o hash calculado não sofre alterações, isso indica que os dados também não foram alterados. Além disso, capturar a imagem do sistema é outro procedimento importante, pois envolve a criação de uma cópia exata da unidade, que pode ser referenciada posteriormente durante a investigação. Embora as capturas de tela possam ser úteis para coletar informações visíveis na tela de um computador, elas não estão diretamente relacionadas ao disco rígido. A ordem de volatilidade se refere à sequência em que as evidências devem ser coletadas, começando pelas mais voláteis e avançando para as menos voláteis. Por fim, as varreduras de vulnerabilidades, embora importantes em outros contextos, não fazem parte do processo forense. 4 Marcar para revisão A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes mundialmente. Fatos adicionais importantes sobre o evento incluem: Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h. 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 6/18 A B C D E A organização determinou previamente que uma perda de dados de transação se estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes insatisfeitos a requererem reembolsos. Todos os servidores requerem uma reinicialização completa para completarem o processo de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor. No geral, a XPTO acredita que pode recuperar a loja online completamente em aproximadamente 2 dias. Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 dias. Dado o cenário, responda qual é o objetivo do tempo de inatividade máximo tolerável �MTD� da XPTO para esse incidente? 8 horas 6 horas 2 dias 3 dias 4 dias 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 7/18 A B Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado O Tempo de Inatividade Máximo Tolerável �MTD� é o período máximo que um sistema pode ficar inoperante sem que isso cause um impacto irrecuperável ao negócio. No caso da empresa XPTO, uma avaliação prévia determinou que a empresa não poderia continuar suas operações sem a loja online por mais de 3 dias. Portanto, o MTD para este incidente específico é de 3 dias, conforme indicado na alternativa D. Isso significa que a empresa tem até 3 dias para restaurar a loja online antes que o impacto seja considerado irrecuperável para o negócio. 5 Marcar para revisão Um administrador de segurança descobriu um incidente de malware na rede da organização. Qual das seguintes etapas do processo de resposta ao incidente ele deve executar? Recuperação Erradicação 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 8/18 C D E Contenção Identificação Varredura Resposta corretaParabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: Contenção Justificativa: Após a identificação de um incidente de malware, o próximo passo no processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar que o malware se propague pela rede e cause mais danos. A contenção também permite que o administrador de segurança estude o incidente em detalhes para entender melhor sua natureza e origem. As etapas de recuperação e erradicação são realizadas posteriormente, após a contenção do malware. A identificação, como mencionado no enunciado, já foi realizada. A varredura, embora seja uma atividade importante na segurança da rede, não é considerada uma etapa no processo de resposta a incidentes. 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 9/18 A B C D E 6 Marcar para revisão Quais fontes de dados podem ser capturadas por meio de uma cópia bit-a-bit que um backup lógico não pode capturar? �Escolha duas) I � Dados voláteis II � Slack Space III � Espaço Livre IV � Evidência I e II I e III II e IV II e III III e IV 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 10/18 Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: II e III Justificativa: A cópia bit-a-bit é capaz de capturar dados de Slack Space e Espaço Livre, que não podem ser obtidos por meio de um backup lógico. Slack Space refere- se ao espaço não utilizado em um bloco de armazenamento que pode conter dados residuais. Espaço Livre é o espaço de armazenamento não alocado que pode conter dados excluídos. As outras opções, Dados voláteis e Evidência, não são especificamente capturadas por meio de uma cópia bit-a-bit. 7 Marcar para revisão A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes mundialmente. Fatos adicionais importantes sobre o evento incluem: Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h. 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 11/18 A B C D E A organização determinou previamente que uma perda de dados de transação se estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes insatisfeitos a requererem reembolsos. Todos os servidores requerem uma reinicialização completa para completarem o processo de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor. No geral, a XPTO acredita que pode recuperar a loja online completamente em aproximadamente 2 dias. Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 dias. Dado o cenário, responda qual é o tempo médio para reparo �MTTR� de cada servidor afetado? 8 horas 6 horas 2 dias 3 dias 4 dias 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 12/18 Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado O MTTR �Mean Time To Repair) é uma métrica que indica o tempo médio necessário para que um dispositivo seja recuperado após um incidente. No caso apresentado, a equipe de disaster recovery da empresa XPTO avaliou que o processo de restauração de backups e reinicialização completa de cada servidor levará, em média, 8 horas. Portanto, o MTTR de cada servidor afetado é de 8 horas. É importante ressaltar que o MTTR de um componente deve ser menor que o RTO �Recovery Time Objective), ou seja, o tempo máximo tolerável de interrupção de um serviço, se o dispositivo for relevante para esse esforço de recuperação. 8 Marcar para revisão Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de resposta a incidentes? �Escolha três.) I � Quando o problema foi detectado pela primeira vez e por quem II � Como o problema foi contido e erradicado III � O trabalho que foi executado durante a recuperação IV � Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a qualquer momento 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 13/18 A B C D E V � Todas as credenciais comprometidas foram revisadas quanto à legitimidade e reforçadas I, II, IV I, III, V II, III, IV I, II, III III, IV, V Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado Gabarito: I, II, III Justificativa: Na fase de Pós-Incidente do processo de resposta a incidentes, as informações que são descritas incluem quando o problema foi detectado pela primeira vez e por quem �I�, como o problema foi contido e erradicado �II�, e o trabalho que foi executado durante a recuperação �III�. Essas informações são essenciais para entender 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 14/18 A B C D E o incidente, aprender com ele e melhorar as futuras respostas a incidentes. A preparação da equipe para lidar com um incidente a qualquer momento �IV� e a revisão das credenciais comprometidas �V� não são atividades que ocorrem na fase de Pós- Incidente, mas sim em fases anteriores do processo de resposta a incidentes. 9 Marcar para revisão Um investigador forense precisa seguir um processo apropriado para a coleta, análise e preservação de evidências. Qual dos termos a seguir representa o processo que ele precisa seguir? Tratamento de incidentes Retenção legal Ordem de volatilidade Cadeia de custódia Backup 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 15/18 Resposta correta Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado! Gabarito Comentado O termo que representa o processo que um investigador forense precisa seguir para a coleta, análise e preservação de evidências é a "Cadeia de custódia". Este termo se refere à documentação cronológica que registra a custódia, controle, transferência, análise e disposição das evidências físicas ou eletrônicas. É importante destacar que os outros termos apresentados nas alternativas têm significados diferentes dentro do contexto forense. "Tratamento de incidentes" é um guia que detalha o processo e os procedimentos para lidar com incidentes. "Retenção legal" é uma diretiva escrita emitida por advogados que instrui os clientes a preservarem as evidências pertinentes em um litígio. "Ordem de volatilidade" representa a sequência em que as evidências devem ser coletadas, começando pela mais volátil e avançando para a menos volátil. Por fim, "Backup" não está diretamente relacionadoao processo forense, embora possa ser uma parte importante da preservação de dados. 10 Marcar para revisão A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no entanto, digitou errado os 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 16/18 A B C comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes mundialmente. Fatos adicionais importantes sobre o evento incluem: Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21�00h. A organização determinou previamente que uma perda de dados de transação se estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes insatisfeitos a requerer reembolsos. Todos os servidores requerem uma reinicialização completa para completarem o processo de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor. No geral, a XPTO acredita que pode recuperar a loja completamente em aproximadamente 2 dias. Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 dias. Dado o cenário, quantas horas de dados a XPTO perdeu, excedendo o objetivo do ponto de recuperação �RPO� para esse evento? 3 horas 6 horas 9 horas 08/05/2024, 14:41 estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/663bb6f3257ea9c026c82d10/gabarito/ 17/18