Princípios De Software Seguro

Prévia do material em texto

<p>Verifique o seu desempenho e continue</p><p>treinando! Você pode refazer o exercício</p><p>quantas vezes quiser.</p><p>A</p><p>B</p><p>C</p><p>1</p><p>No mundo ideal, um software deveria ficar</p><p>disponível a qualquer momento para os</p><p>usuários legítimos do sistema. Na prática,</p><p>sabemos que há diversos fatores que</p><p>impedem que isso ocorra. Nesse sentido,</p><p>selecione a opção correta que apresente um</p><p>fator positivo para que um software não</p><p>esteja disponível.</p><p>Problemas com o hardware</p><p>Inconsistências no funcionamento</p><p>da rede</p><p>Vulnerabilidades conhecidas do</p><p>software</p><p>Questão de 10</p><p>Corretas</p><p>Incorretas</p><p>Em branco</p><p>1 2 3 4 5</p><p>6 7 8 9 10</p><p>Feedback</p><p>Princípios De Software</p><p>Seguro</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>1 of 15 17/09/2024, 10:48</p><p>D</p><p>E</p><p>Excesso de requisições</p><p>Realização de manutenções</p><p>preventivas</p><p>Parabéns, você selecionou a</p><p>alternativa correta. Confira o</p><p>gabarito comentado!</p><p>O único fator positivo para a</p><p>indisponibilidade de um software ocorre</p><p>no caso das manutenções preventivas</p><p>que visam realizar testes e correção de</p><p>problemas. As demais opções estão</p><p>erradas, pois todas elas são exemplos</p><p>de situações ruins para deixar um</p><p>software indisponível.</p><p>2</p><p>Risco em segurança da informação se refere</p><p>à probabilidade de uma ameaça explorar</p><p>uma vulnerabilidade em um sistema e causar</p><p>prejuízos aos ativos de informação. Nesse</p><p>sentido, considere o seguinte comentário:</p><p>“Como não é possível eliminar todos os</p><p>riscos a que um software está sujeito, pelo</p><p>menos, tentamos mensurar quais os</p><p>possíveis danos que podem ser causados</p><p>por um invasor”</p><p>Agora, selecione a opção correta a respeito</p><p>desse texto.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>2 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Uma forma de atingir o objetivo do</p><p>comentário é usar privilégios</p><p>mínimos para cada perfil de</p><p>usuário.</p><p>Para mensurar os possíveis danos</p><p>de um ataque, precisamos utilizar</p><p>segmentação de funções.</p><p>Sempre devemos garantir que não</p><p>existem riscos para um software,</p><p>caso contrário, ele não pode ser</p><p>considerado seguro.</p><p>A forma ideal para mensurar riscos</p><p>para um software é estudar o</p><p>comportamento de cada usuário</p><p>quando opera o sistema.</p><p>Só é possível tomar decisões sobre</p><p>a mensuração de riscos de um</p><p>software depois de realizarmos</p><p>testes.</p><p>Parabéns, você selecionou a</p><p>alternativa correta. Confira o</p><p>gabarito comentado!</p><p>Ao utilizarmos a técnica de privilégios</p><p>mínimos associada a cada perfil de</p><p>usuário, podemos mensurar sobre o que</p><p>um usuário com um determinado perfil</p><p>pode fazer. No caso de uma invasão ao</p><p>sistema, devemos identificar qual foi o</p><p>perfil que o invasor usou e, a partirFeedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>3 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>disso, podemos desenvolver uma linha</p><p>de investigação sobre os possíveis</p><p>danos que ele causou. As demais</p><p>opções estão erradas, pois não se</p><p>aplicam para mensurar danos ao</p><p>sistema, além de serem inadequadas do</p><p>ponto de vista operacional.</p><p>3</p><p>Existe muita informação disponível na</p><p>Internet sobre vulnerabilidades de softwares.</p><p>O melhor exemplo disso é a OWASP. Nesse</p><p>sentido, selecione a opção correta sobre a</p><p>OWASP.</p><p>Fornece uma visão muito genérica</p><p>sobre vulnerabilidades de</p><p>softwares.</p><p>Pessoas mal-intencionadas podem</p><p>utilizar as informações contidas</p><p>nela para sofisticar os ataques.</p><p>É focada, exclusivamente, em</p><p>vulnerabilidades de servidores de</p><p>bancos de dados.</p><p>Apresenta o passo a passo de</p><p>como identificar as principais</p><p>vulnerabilidades em qualquer</p><p>sistema.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>4 of 15 17/09/2024, 10:48</p><p>E</p><p>Só fornece informações úteis para</p><p>especialistas avançados em</p><p>desenvolvimento de software</p><p>seguro.</p><p>Opa! A alternativa correta é a</p><p>letra B. Confira o gabarito</p><p>comentado!</p><p>A OWASP é o principal exemplo de uma</p><p>fonte de informações disponível na</p><p>Internet para quem queira acessar e</p><p>aprender mais sobre vulnerabilidades de</p><p>softwares. O objetivo é pedagógico, no</p><p>sentido dos profissionais e estudantes</p><p>aprenderem a evitar as vulnerabilidades.</p><p>No entanto, essas informações também</p><p>podem ser usadas por pessoas mal-</p><p>intencionadas para explorar sistemas</p><p>que não tem mecanismos de segurança.</p><p>As demais estão erradas, pois a OWASP</p><p>não é focada em apenas um tipo de</p><p>aplicação e também não aborda todas as</p><p>aplicações. Ela fornece informações</p><p>técnicas importantes, mas funciona</p><p>apenas como um guia para realizar</p><p>estudos mais profundos.</p><p>4</p><p>Uma boa prática para a definição de um</p><p>projeto seguro é estabelecer, desde o início,</p><p>as boas práticas de segurança. Infelizmente,</p><p>ainda é bastante comum que muitasFeedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>5 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>empresas não incentivem que os</p><p>desenvolvedores de software trabalhem</p><p>dessa forma. Nesse sentido, selecione a</p><p>opção que contém o nome do princípio</p><p>descrito no começo da questão.</p><p>Segurança Inicial</p><p>Diretrizes de Segurança</p><p>Princípios de Segurança</p><p>Static Security</p><p>Security by Design</p><p>Opa! A alternativa correta é a</p><p>letra E. Confira o gabarito</p><p>comentado!</p><p>A Security by Design é focada na</p><p>definição de atribuições de</p><p>responsabilidade desde o início do</p><p>projeto. Dessa forma, ela auxilia a criar</p><p>um software seguro desde a concepção</p><p>dele. As demais opções estão erradas,</p><p>pois não correspondem a princípios de</p><p>segurança válidos.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>6 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>5</p><p>A segurança de dados é extremamente</p><p>importante nos dias de hoje, já que vivemos</p><p>em um mundo cada vez mais digital e</p><p>conectado. Nesse sentido, considere a</p><p>seguinte afirmação a respeito dos princípios</p><p>de segurança:</p><p>“Uma das dificuldades para implementar</p><p>software seguro é a dificuldade de acesso a</p><p>informações sobre os princípios da</p><p>informação”</p><p>Agora, selecione a opção correta a respeito</p><p>da afirmação:</p><p>Está errada, pois é bastante simples</p><p>encontrar informações sobre</p><p>qualquer princípio da informação</p><p>aplicado a qualquer tipo de</p><p>software</p><p>Está errada, pois existem diversos</p><p>profissionais especialistas em</p><p>segurança de dados que estão à</p><p>disposição para fornecer</p><p>informações sobre software seguro</p><p>Está correta, pois é um assunto</p><p>ainda pouco explorado e restrito</p><p>apenas a umas empresas</p><p>especializadas</p><p>Está errada, pois os princípios de</p><p>segurança são bem conhecidos e</p><p>há bastante material disponível para</p><p>estudá-los com mais profundidade</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>7 of 15 17/09/2024, 10:48</p><p>E</p><p>Está correta, pois é um assunto que</p><p>não é muito valorizado pelo</p><p>mercado</p><p>Parabéns, você selecionou a</p><p>alternativa correta. Confira o</p><p>gabarito comentado!</p><p>A resposta para esta questão é direta: a</p><p>afirmação está completamente errada.</p><p>Atualmente, temos muitas informações</p><p>sobre os princípios de segurança</p><p>disponíveis em livros, artigos e outras</p><p>fontes oficiais. As opções estão erradas,</p><p>pois tentam restringir a importância do</p><p>assunto a profissionais especializados,</p><p>além de afirmar, de forma</p><p>completamente errada, que o mercado</p><p>não valoriza esse tópico. Nunca houve</p><p>uma época em que o profissional de</p><p>segurança estivesse tão valorizado</p><p>como atualmente e a tendência é que</p><p>isso aumente nos próximos anos.</p><p>6</p><p>Ainda sobre os princípios de um software</p><p>seguro, temos diversos recursos. Entre eles,</p><p>está o controle de acesso. Nesse sentido,</p><p>selecione a opção correta sobre o controle</p><p>de acesso de um software seguro:</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>8 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Associa um conjunto de privilégios</p><p>mínimos aos perfis dos usuários</p><p>Faz uma renovação de privilégios</p><p>periodicamente para cada perfil de</p><p>usuário</p><p>Está diretamente relacionado a um</p><p>usuário</p><p>Aplica algoritmos de criptografia</p><p>para evitar acesso indevido aos</p><p>dados</p><p>Elimina as vulnerabilidades de um</p><p>software, uma vez que reduz o</p><p>acesso apenas a usuários legítimos</p><p>Parabéns, você selecionou a</p><p>alternativa correta. Confira o</p><p>gabarito comentado!</p><p>O controle de acesso trabalha com a</p><p>restrição de direitos para perfis de</p><p>usuários. A ideia é que os perfis tenham</p><p>apenas os privilégios essenciais para</p><p>que os usuários possam realizar suas</p><p>tarefas. As outras opções estão erradas,</p><p>pois fazem afirmações sobre associação</p><p>direta entre usuário e privilégios, ou uso</p><p>de algoritmos de criptografia. Ainda há</p><p>uma afirmação errada que afirma que o</p><p>controle de acesso elimina as</p><p>vulnerabilidades de um software.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>9 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>7</p><p>Para utilizar um sistema, precisamos entrar</p><p>com o nosso login de usuário e senha. Além</p><p>disso, no caso de sistemas seguros, ainda</p><p>precisamos confirmar nossa identificação em</p><p>outro dispositivo pré-cadastrado. Com base</p><p>nas informações acima, selecione a opção</p><p>correta que contém o nome dessa técnica.</p><p>autenticação multifator</p><p>recursos móveis</p><p>autenticação móvel.</p><p>Senha de segurança dupla.</p><p>Autenticação por criptografia.</p><p>Parabéns, você selecionou a</p><p>alternativa correta. Confira o</p><p>gabarito comentado!</p><p>O nome da técnica que utiliza mais de</p><p>uma etapa de validação do usuário é</p><p>autenticação multifator. As outras</p><p>opções estão erradas, pois não são</p><p>técnicas válidas de autenticação.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>10 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>8</p><p>Os dados podem ser classificados como</p><p>sensíveis ou confidenciais. Nesse sentido,</p><p>considere a seguinte situação:</p><p>“Depois de muita deliberação, os gestores de</p><p>uma empresa em recuperação decidiram</p><p>injetar uma grande quantidade de recursos</p><p>próprios para aumentar a credibilidade dos</p><p>investidores e marcaram uma data específica</p><p>para realizar essa ação.”</p><p>Com base nessa afirmação, escolha a opção</p><p>correta.</p><p>A afirmação é uma informação</p><p>sensível, pois é necessário que os</p><p>gestores tracem uma estratégia</p><p>para evitar instabilidades no</p><p>mercado</p><p>A afirmação trata de uma</p><p>informação confidencial, pois</p><p>expõem os valores que serão</p><p>injetados na empresa</p><p>É o caso típico de uma informação</p><p>sensível, pois ela pode afetar o</p><p>comportamento dos investidores</p><p>Claramente, é uma informação</p><p>sensível, pois expõem os nomes</p><p>dos investidores</p><p>Trata-se de uma informação</p><p>confidencial, pois está relacionada</p><p>à estratégia da empresa</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>11 of 15 17/09/2024, 10:48</p><p>A</p><p>Parabéns, você selecionou a</p><p>alternativa correta. Confira o</p><p>gabarito comentado!</p><p>A questão é um exemplo típico de</p><p>informação confidencial, pois ela está</p><p>relacionada à estratégia dos gestores da</p><p>empresa. As outras opções estão</p><p>erradas, pois fazem afirmações erradas</p><p>sobre as informações serem sensíveis,</p><p>ou associar – também de forma errada –</p><p>informações confidenciais com dados</p><p>sensíveis.</p><p>9</p><p>Para conseguirmos garantir que os dados</p><p>sejam seguros, precisamos de um</p><p>gerenciador deles que ofereça segurança.</p><p>Esse gestor é o que chamamos de software</p><p>seguro que pode ter diversas</p><p>funcionalidades que vão do armazenamento</p><p>a visualização e processamento dos dados.</p><p>Neste sentido, selecione a opção correta que</p><p>viabiliza desenvolvermos um código seguro.</p><p>Através de diversos testes antes de</p><p>entregar o software para o usuário</p><p>final.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>12 of 15 17/09/2024, 10:48</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Com o uso de técnicas de</p><p>embaralhamento de código que</p><p>dificultam o entendimento deles por</p><p>parte de invasores.</p><p>Deixar que o próprio programa trate</p><p>os erros e os exiba para o usuário</p><p>final.</p><p>Fazer uso de códigos obtidos em</p><p>fóruns na Internet sem realizar</p><p>testes.</p><p>Através da aplicação de práticas de</p><p>codificação segura.</p><p>Opa! A alternativa correta é a</p><p>letra E. Confira o gabarito</p><p>comentado!</p><p>A codificação segura aplica diversas</p><p>técnicas que atuam em diferentes níveis</p><p>dentro do sistema para garantir a</p><p>proteção dos dados. As demais opções</p><p>estão erradas, pois tratam, de forma</p><p>equivocada, a codificação segura com</p><p>base na terceirização das</p><p>responsabilidades. Isso, infelizmente, é</p><p>bastante comum e tem um potencial de</p><p>danos muito alto.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>13 of 15 17/09/2024, 10:48</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>10</p><p>Um aspecto básico para a construção de um</p><p>software seguro é aplicar os princípios de</p><p>segurança. Então, considere a seguinte</p><p>afirmação:</p><p>“O princípio de segurança mais importante é</p><p>o da confidencialidade.”</p><p>Nesse sentido, selecione a opção correta a</p><p>respeito da afirmação.</p><p>Está errada, pois existem outros</p><p>aspectos dos princípios de</p><p>segurança que se somam para</p><p>minimizar a exposição a riscos</p><p>Está errada, pois o princípio de</p><p>segurança mais importante é o de</p><p>autorização.</p><p>Está errada, pois não há como</p><p>garantir a confidencialidade dos</p><p>dados através de um software</p><p>Está correta, pois restringe o</p><p>acesso aos dados apenas para as</p><p>pessoas que tem a devida</p><p>autorização de utilizá-los</p><p>Está correta, pois é a partir dela que</p><p>eliminamos todas as</p><p>vulnerabilidades de um software.</p><p>Opa! A alternativa correta é a</p><p>letra A. Confira o gabarito</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>14 of 15 17/09/2024, 10:48</p><p>comentado!</p><p>A afirmação está completamente errada,</p><p>pois os princípios de segurança são uma</p><p>combinação de elementos – entre os</p><p>quais está a confidencialidade – que</p><p>contribuem para reduzir as chances de</p><p>que um software esteja vulnerável a</p><p>ataques. As demais opções estão</p><p>erradas, pois fazem afirmações de que</p><p>outros princípios são mais importantes,</p><p>quando já vimos que é uma combinação</p><p>deles e não apenas um que reduz a</p><p>exposição a riscos.</p><p>Feedback</p><p>Firefox https://estacio.saladeavaliacoes.com.br/exercicio/66e9857...</p><p>15 of 15 17/09/2024, 10:48</p>