Segurança da Informação e de Redes

Prévia do material em texto

<p>1</p><p>Segurança da Informação e de Redes</p><p>Questão 1</p><p>Correta</p><p>Um cracker pode realizar ataques em variados ativos. Uma das principais modalidades de</p><p>ataques é a pichação de sites Web, por meio da qual eles modificam as páginas originais e</p><p>colocam mensagens próprias de acordo com os seus interesses. Quando estas mensagens</p><p>são de protesto ou possuem cunho político, os ataques são também conhecidos como</p><p>hacktivismo.</p><p>Assinale a alternativa que apresenta corretamente o objetivo desses ataques:</p><p>Sua resposta</p><p>Correta</p><p>Visam afetar a Integridade.</p><p>2</p><p>Questão 2</p><p>Incorreta</p><p>Em uma transação bancária a partir de um smartphone, o usuário instala um aplicativo do</p><p>banco, realiza um login e entra com as informações da transação, incluindo a senha. Ao clicar</p><p>em “enviar”, a transação sai do smartphone, trafega pela Internet e chega ao banco. No banco,</p><p>a transação passa pelos firewalls, pelo servidor Web, por outros firewalls, pelo servidor de</p><p>aplicação e chega ao mainframe. Lá o usuário é autenticado e a transação é efetivada. Todo o</p><p>caminho de volta leva à resposta do sucesso da transação para o usuário.</p><p>Sob o ponto de vista do responsável pela segurança do banco, qual (is) elemento (s) você deve</p><p>proteger neste cenário de transação bancária, a fim de projetar os mecanismos de defesa?</p><p>Sua resposta</p><p>Incorreta</p><p>A segurança deve ser do usuário.</p><p>Solução esperada</p><p>Aplicativo móvel.</p><p>3</p><p>Questão 3</p><p>Correta</p><p>A gestão de segurança da informação possui uma estreita relação com a gestão de riscos e a</p><p>gestão de continuidade de negócios. Enquanto a gestão de segurança da informação trata da</p><p>prevenção, detecção e resposta, a gestão de continuidade de negócios trata da resposta e do</p><p>restabelecimento do funcionamento da empresa. Já a gestão de riscos trata da probabilidade</p><p>de algo acontecer no futuro.</p><p>Assinale a alternativa que apresenta corretamente as propriedades básicas da segurança da</p><p>informação tratadas pela gestão de segurança da informação:</p><p>Sua resposta</p><p>Correta</p><p>Confidencialidade, integridade e disponibilidade.</p><p>4</p><p>Questão 4</p><p>Correta</p><p>Um dos ataques mais conhecidos e realizados contra as empresas é o da negação de serviço,</p><p>ou DoS (Denial-of-Service). Quando este ataque acontece, o resultado é a “queda” do serviço</p><p>da vitima, o que impede os usuários legítimos de terem acesso às informações.</p><p>O ataque descrito visa afetar a:</p><p>Sua resposta</p><p>Correta</p><p>disponibilidade.</p><p>5</p><p>Questão 5</p><p>Correta</p><p>A segurança da informação é uma área que engloba diferentes aspectos, tais como pessoas,</p><p>tecnologias e processos. A principal responsabilidade da segurança da informação é de garantir</p><p>algumas propriedades básicas da informação. Os ataques visam afetar estas propriedades.</p><p>Quais são as propriedades básicas da segurança da informação?</p><p>Sua resposta</p><p>Correta</p><p>Confidencialidade, integridade e disponibilidade.</p><p>6</p><p>Questão 1</p><p>Correta</p><p>As vulnerabilidades representam fraquezas em ativos. Estas fraquezas podem ser atacadas</p><p>por agentes de ameaça. Quando um ataque acontece, uma ameaça acaba se tornando um</p><p>incidente de segurança, que por sua vez resulta em impactos para a vítima.</p><p>Serviços online podem possuir uma série de vulnerabilidades. Como você pode identificar as</p><p>vulnerabilidades de um determinado serviço do servidor?</p><p>Sua resposta</p><p>Correta</p><p>Realizando uma varredura de vulnerabilidades nos serviços identificados.</p><p>7</p><p>Questão 2</p><p>Correta</p><p>Em uma transação bancária a partir de um smartphone, o usuário instala um aplicativo do</p><p>banco, realiza um login e entra com as informações da transação, incluindo a senha. Ao clicar</p><p>em “enviar”, a transação sai do smartphone, trafega pela Internet e chega ao banco. No banco,</p><p>a transação passa pelos firewalls, pelo servidor Web, por outros firewalls, pelo servidor de</p><p>aplicação e chega ao mainframe. Lá, o usuário é autenticado e a transação é efetivada. Todo o</p><p>caminho de volta leva à resposta do sucesso da transação para o usuário.</p><p>Considerando o dispositivo móvel do usuário, para ter sucesso no ataque à transação bancária,</p><p>um cracker poderia explorar:</p><p>Sua resposta</p><p>Correta</p><p>aplicativo do banco e sistema operacional.</p><p>8</p><p>Questão 3</p><p>Correta</p><p>As vulnerabilidades representam fraquezas em ativos. Estas fraquezas podem ser atacadas</p><p>por agentes de ameaça. Quando um ataque acontece, uma ameaça acaba se tornando um</p><p>incidente de segurança, que por sua vez resulta em impactos para a vítima.</p><p>Um ataque realizado por um cracker envolve a exploração de uma vulnerabilidade de um ativo.</p><p>Assinale a alternativa que apresenta os principais passos para que o cracker chegue no</p><p>resultado final (ataque bem-sucedido):</p><p>Sua resposta</p><p>Correta</p><p>Varredura de portas, depois varredura de vulnerabilidades, depois a exploração.</p><p>9</p><p>Questão 4</p><p>Incorreta</p><p>Dentre as diferentes técnicas de ataques cibernéticos que podem ser utilizadas contra as</p><p>empresas, estão o IP Spoofing, sniffing e o sequestro de conexões. Estas técnicas ocorrem em</p><p>nível de rede, e podem ser utilizadas em conjunto com outros ataques que ocorrem no nível de</p><p>aplicação, como o SQL Injection.</p><p>Assinale a alternativa que apresenta corretamente as quais propriedades básicas são</p><p>comprometidas com o IP Spoofing, sniffing e o sequestro de conexões:</p><p>Sua resposta</p><p>Incorreta</p><p>Confidencialidade e integridade.</p><p>Solução esperada</p><p>Confidencialidade, integridade e disponibilidade.</p><p>10</p><p>Questão 5</p><p>Correta</p><p>As vulnerabilidades representam fraquezas em ativos. Estas fraquezas podem ser atacadas</p><p>por agentes de ameaça. Quando um ataque acontece, uma ameaça acaba se tornando um</p><p>incidente de segurança, que por sua vez resulta em impactos para a vítima.</p><p>Serviços on-line podem possuir uma série de vulnerabilidades. Como você pode identificar os</p><p>serviços que estão funcionando em um determinado servidor?</p><p>Sua resposta</p><p>Correta</p><p>Realizando uma varredura de portas no servidor.</p><p>11</p><p>Questão 1</p><p>Correta</p><p>Três pessoas ("A", "B" e "C") possuem cada um seu próprio par de chaves (pública e privada).</p><p>Elas pretendem utilizar estas chaves para várias situações, principalmente para a troca de</p><p>mensagens seguras entre si.</p><p>Para enviar mensagens cifradas para "A" e "B", a pessoa "C" precisa utilizar:</p><p>Sua resposta</p><p>Correta</p><p>as chaves públicas de "A" e "B".</p><p>12</p><p>Questão 2</p><p>Correta</p><p>proteção de uma empresa é feita com o uso de mecanismos de segurança tecnológicos,</p><p>físicos, processuais e regulatórios. É com a sua implementação que as finalidades de</p><p>prevenção, detecção e resposta a incidentes são cumpridas. A rede de uma empresa é um dos</p><p>escopos que devem ser protegidos, representando informações em meio digital que existem</p><p>principalmente em transmissão. O desafio de proteção à rede é ainda maior porque é pela rede</p><p>que informações digitais armazenadas em servidores podem ser acessadas. Assim, uma</p><p>organização básica para a proteção à rede envolve:</p><p>I. Proteção de informações que trafegam pela rede.</p><p>II. Proteção contra acesso a informações armazenadas em servidores.</p><p>III. Proteção contra o acesso de usuários contaminados com malware ou contra a</p><p>contaminação dos servidores com malwares.</p><p>Assinale a alternativa correta:</p><p>Sua resposta</p><p>Correta</p><p>Apenas as afirmativas I, II e III estão corretas.</p><p>13</p><p>Questão 3</p><p>Incorreta</p><p>A função essencial da criptografia é proporcionar uma comunicação fim a fim através de um</p><p>canal de comunicação seguro, onde aconfidencialidade, a integridade, a autenticidade, o não</p><p>repúdio ou a irretratabilidade sejam sempre garantidos.</p><p>A Figura 1 ilustra uma comunicação através de um canal inseguro entre Alice e Beto, no</p><p>qualum cracker intercepta as mensagens trocadas.</p><p>Figura 1.Alice envia mensagem para Beto por um canal inseguro.</p><p>Para sua segurança, Alice vai utilizar um processo que utiliza criptografia assimética na sua</p><p>comunicação com o Beto. Sobre esse tipo de criptografia, assinale aalternativa correta.</p><p>Sua resposta</p><p>Incorreta</p><p>A criptografia de chave pública ou assimétrica é computacionalmente menos pesada, porém</p><p>não é adequada para ser utilizada na troca de chaves.</p><p>Solução esperada</p><p>A criptografia assimétrica possui algoritmos baseados em dois tipos, sendo: Cifras de fluxo: a</p><p>cifragem é feita normalmente a cada dígito (byte); Cifras de blocos: agrupa um conjunto</p><p>de bits da mensagem em blocos, e a cifragem é feita sobre cada um desses blocos.</p><p>14</p><p>Questão 4</p><p>Incorreta</p><p>Três pessoas ("A", "B" e "C") possuem cada um seu próprio par de chaves (pública e privada).</p><p>Eles pretendem utilizar estas chaves para várias situações, principalmente para a troca de</p><p>mensagens seguras entre si.</p><p>O que ocorre quando "A" utiliza a sua chave privada para enviar uma mensagem para "B"?</p><p>Sua resposta</p><p>Incorreta</p><p>"B" recebe uma mensagem cifrada.</p><p>Solução esperada</p><p>"A" assina a mensagem enviada.</p><p>15</p><p>Questão 5</p><p>Correta</p><p>A criptografia é muito mais do que sigilo e garantia de confidencialidade. Pense em variadas</p><p>aplicações: autenticação de mensagens, assinatura digital, protocolos para troca de chaves</p><p>secretas, protocolos de autenticação, leilões e eleições eletrônicos, dinheiro digital.</p><p>A segurança da criptografia não pode ser medida somente pelo tamanho da chave utilizada,</p><p>sendo necessário:</p><p>Sua resposta</p><p>Correta</p><p>conhecer o algoritmo e a matemática envolvida no processo de codificação de dados.</p><p>16</p><p>Questão 1</p><p>Incorreta</p><p>A segurança da informação visa à manutenção da tríade CID: confidencialidade, integridade e</p><p>disponibilidade. Para que este objetivo seja alcançado, é preciso trabalhar com os elementos</p><p>do risco, que incluem os ativos, os agentes de ameaças, as ameaças e as vulnerabilidades,</p><p>além da probabilidade e do impacto.</p><p>Sobre a engenharia social, ela corresponde a qual elemento do risco?</p><p>Sua resposta</p><p>Incorreta</p><p>Agente de ameaça.</p><p>Solução esperada</p><p>Ameaça.</p><p>17</p><p>Questão 2</p><p>Correta</p><p>A gestão de segurança da informação possui uma estreita relação com a gestão de riscos e a</p><p>gestão de continuidade de negócios. Enquanto a gestão de segurança da informação trata da</p><p>prevenção, detecção e resposta, a gestão de continuidade de negócios trata da resposta e do</p><p>restabelecimento do funcionamento da empresa. Já a gestão de riscos trata da probabilidade</p><p>de algo acontecer no futuro.</p><p>A gestão de continuidade de negócios trata da:</p><p>Sua resposta</p><p>Correta</p><p>disponibilidade.</p><p>18</p><p>Questão 3</p><p>Correta</p><p>Um dos principais controles de segurança da informação e de redes é o firewall, que realiza</p><p>uma proteção de borda, atuando na rede e, em alguns casos, nas aplicações. Para que</p><p>um firewall exerça seu papel de uma forma efetiva, é preciso configurá-lo corretamente. De</p><p>fato, ataques podem ocorrer no caso de um firewall mal configurado.</p><p>Qual controle de segurança exerce a função de minimizar os erros nas configurações</p><p>de firewalls?</p><p>Sua resposta</p><p>Correta</p><p>Política de segurança, que direciona as configurações.</p><p>19</p><p>Questão 4</p><p>Correta</p><p>A segurança da informação visa à manutenção da tríade CID: confidencialidade, integridade e</p><p>disponibilidade. Para que este objetivo seja alcançado, é preciso trabalhar com os elementos</p><p>de risco, que incluem os ativos, os agentes de ameaças, as ameaças e as vulnerabilidades,</p><p>além da probabilidade e do impacto.</p><p>Sobre a informação a ser protegida, quais tipos devem ser objetos da segurança da</p><p>informação?</p><p>Sua resposta</p><p>Correta</p><p>Informação em meio digital, em meio físico e na cabeça das pessoas.</p><p>20</p><p>Questão 5</p><p>Correta</p><p>A Política de Segurança é composta dediretrizes, objetivos, direcionadores e normas, enquanto</p><p>os processos e os procedimentos se destinam a aspectos específicos (Figura 1). Com isso,</p><p>elaofereceuma estrutura que deve facilitar o acesso de todos da organização para os</p><p>documentos ou capítulos que são de responsabilidade de cada um.</p><p>Figura 1.Estrutura de uma política de segurança.</p><p>Uma política de segurança só possui utilidade se for conhecida de seus funcionários. Com</p><p>relação às estratégias básicas, para que todos da empresa tenham conhecimento da política</p><p>de segurança, marque a alternativa correta.</p><p>Sua resposta</p><p>Correta</p><p>Termo assinado de que o funcionário leu a política de segurança e que se compromete a</p><p>cumpri-la: as empresas adotam o termo normalmente em conjunto com a assinatura do</p><p>contrato de trabalho, na admissão.</p><p>21</p><p>Questão 1</p><p>Respondida</p><p>A segurança da informação possui como característica a constante evolução, que advém do</p><p>surgimento de novas tecnologias e de novos negócios, que trazem consigo novas</p><p>vulnerabilidades e necessidades de proteção da confidencialidade, integridade e</p><p>disponibilidade. No caso da Internet das coisas, considere:</p><p>I. Maior conectividade.</p><p>II. Maior número de vulnerabilidades.</p><p>III. Maior uso de criptografia.</p><p>Qual (is) do (s) item (s) faz com que a Internet das coisas precise considerar e implementar a</p><p>segurança da informação?</p><p>• Apenas I.</p><p>• Apenas II.</p><p>• Apenas III.</p><p>• Apenas I e II.</p><p>• I, II e III.</p><p>Sua resposta</p><p>I, II e III.</p><p>A Internet das coisas, com maior conectividade e maior número de vulnerabilidades, que é</p><p>natural no processo de desenvolvimento, faz com que a segurança da informação deva ser</p><p>considerada desde o início do desenvolvimento.</p><p>22</p><p>Questão 4</p><p>Respondida</p><p>Um dos principais controles de segurança da informação e de redes é o firewall, que realiza</p><p>uma proteção de borda, atuando na rede e, em alguns casos, nas aplicações. Para que</p><p>um firewall exerça seu papel de uma forma efetiva, é preciso configurá-lo corretamente. De</p><p>fato, ataques podem ocorrer no caso de um firewall mal configurado.</p><p>Mesmo firewalls configurados corretamente não são capazes de evitar ataques de</p><p>acontecerem. Considere os elementos:</p><p>I. Definição de regras do firewall.</p><p>II. Configuração das regras do firewall.</p><p>III. Revisão das regras do firewall.</p><p>IV. Revisão das configurações.</p><p>Quais elementos devem fazer parte de uma política de firewall?</p><p>• Apenas I e II.</p><p>• Apenas II.</p><p>• Apenas I, II e III.</p><p>• I, II, III e IV.</p><p>• Apenas II e IV.</p><p>Sua resposta</p><p>I, II, III e IV.</p><p>23</p><p>Questão 8</p><p>Sem resposta</p><p>Normas e padrões exercem um papel importante também na segurança da informação, ao</p><p>direcionarem a implementação de controles de segurança e também a formalização de</p><p>estratégias e direcionadores. A governança de TI só é possível com a segurança da</p><p>informação. Qual é o padrão relacionado com a governança de TI?</p><p>Assinale a alternativa que apresenta corretamente a norma relacionada com a governança de</p><p>TI:</p><p>• ISO 27001</p><p>• ISO 27002</p><p>• ISO 27005</p><p>• ISO 22301</p><p>• COBIT</p><p>Sua resposta</p><p>COBIT</p><p>24</p><p>Questão 10</p><p>Sem resposta</p><p>Normas e padrões exercem um papel importante também</p><p>na segurança da informação, ao</p><p>direcionarem a implementação de controles de segurança e também a formalização de</p><p>estratégias e direcionadores.</p><p>Qual é a norma de segurança da informação relacionada com controles de segurança?</p><p>• ISO 27001</p><p>• ISO 27002</p><p>• ISO 27005</p><p>• ISO 22301</p><p>• COBIT</p><p>Sua resposta</p><p>ISO 27002</p>