Seguranca cibernetica - Resposta À Incidentes e Recuperação - exercicios estacio

Prévia do material em texto

Você acertou 2 de 10 questões
Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas vezes
quiser.
Verificar Desempenho
A
B
1 Marcar para revisão
Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado pelo
crime organizado para armazenar informações roubadas de cartão de crédito. Um analista
forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados deve ser coletada
primeiro?
Memória RAM.
Unidade USB.
Feedback
C
D
E
Disco Rígido.
Swap Files.
Slack Space.
Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Memória RAM.
Justificativa: A memória RAM �Random Access Memory) é uma fonte de dados volátil, o
que significa que as informações armazenadas nela são perdidas quando o dispositivo é
desligado. Por isso, é crucial que a RAM seja a primeira a ser coletada em uma investigação
forense. As outras opções, como a unidade USB e o disco rígido, mantêm seus dados
mesmo quando a energia é removida, tornando-as menos voláteis. O arquivo de troca �Swap
File) é uma extensão da memória que é armazenada no disco rígido, portanto, também é
menos volátil que a RAM. Por fim, o Slack Space refere-se ao espaço fragmentado em um
disco rígido, correspondente a unidades de alocação não totalmente utilizadas, que também
mantém os dados após a remoção da energia.
A
B
C
D
E
2 Marcar para revisão
Um administrador foi instruído a introduzir um sistema afetado de volta no ambiente da
organização e certificar-se de que isso não levará a outro incidente. Ele deve testar, monitorar e
validar se o sistema não está sendo comprometido por nenhum outro meio. Qual dos processos
de resposta a incidentes você concluiu?
Pós-incidente.
Correção de Vulnerabilidade.
Preparação.
Recuperação.
Contenção.
Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Recuperação
A
B
C
D
E
Justificativa: A etapa de recuperação traz os sistemas afetados de volta ao ambiente de
produção da empresa com cuidado para evitar levar a outro incidente. A etapa de pós-
incidente é a fase em que são levantadas oportunidades de melhorias para evitar incidentes
semelhantes no futuro. A etapa de preparação prepara a equipe de uma organização para
estar pronta para lidar com um incidente a qualquer momento. O processo de contenção é
projetado para minimizar os danos e evitar que outros danos decorrentes aconteçam.
3 Marcar para revisão
Um administrador de segurança descobriu um incidente de malware na rede da organização.
Qual das seguintes etapas do processo de resposta ao incidente ele deve executar?
Recuperação.
Erradicação.
Contenção.
Identificação.
Varredura.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Contenção
Justificativa: Após a identificação de um incidente de malware, o próximo passo no
processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar que o
malware se propague pela rede e cause mais danos. A contenção também permite que o
administrador de segurança estude o incidente em detalhes para entender melhor sua
natureza e origem. As etapas de recuperação e erradicação são realizadas posteriormente,
após a contenção do malware. A identificação, como mencionado no enunciado, já foi
realizada. A varredura, embora seja uma atividade importante na segurança da rede, não é
considerada uma etapa no processo de resposta a incidentes.
4 Marcar para revisão
Um investigador forense precisa seguir um processo apropriado para a coleta, análise e
preservação de evidências. Qual dos termos a seguir representa o processo que ele precisa
seguir?
A
B
C
D
E
Tratamento de incidentes.
Retenção legal.
Ordem de volatilidade.
Cadeia de custódia.
Backup.
Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!
Gabarito Comentado
O termo que representa o processo que um investigador forense precisa seguir para a
coleta, análise e preservação de evidências é a "Cadeia de custódia". Este termo se refere à
documentação cronológica que registra a custódia, controle, transferência, análise e
disposição das evidências físicas ou eletrônicas. É importante destacar que os outros
termos apresentados nas alternativas têm significados diferentes dentro do contexto
forense. "Tratamento de incidentes" é um guia que detalha o processo e os procedimentos
para lidar com incidentes. "Retenção legal" é uma diretiva escrita emitida por advogados
que instrui os clientes a preservarem as evidências pertinentes em um litígio. "Ordem de
volatilidade" representa a sequência em que as evidências devem ser coletadas,
A
B
C
começando pela mais volátil e avançando para a menos volátil. Por fim, "Backup" não está
diretamente relacionado ao processo forense, embora possa ser uma parte importante da
preservação de dados.
5 Marcar para revisão
Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de resposta a
incidentes? �Escolha três.)
I � Quando o problema foi detectado pela primeira vez e por quem.
II � Como o problema foi contido e erradicado.
III � O trabalho que foi executado durante a recuperação.
IV � Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a qualquer
momento.
V � Todas as credenciais comprometidas foram revisadas quanto à legitimidade e reforçadas.
I, II, IV.
I, III, V.
II, III, IV.
D
E
I, II, III.
III, IV, V.
Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I, II, III.
Justificativa: Na fase de Pós-Incidente do processo de resposta a incidentes, as
informações que são descritas incluem quando o problema foi detectado pela primeira vez e
por quem �I�, como o problema foi contido e erradicado �II�, e o trabalho que foi executado
durante a recuperação �III�. Essas informações são essenciais para entender o incidente,
aprender com ele e melhorar as futuras respostas a incidentes. A preparação da equipe para
lidar com um incidente a qualquer momento �IV) e a revisão das credenciais comprometidas
�V) não são atividades que ocorrem na fase de Pós-Incidente, mas sim em fases anteriores
do processo de resposta a incidentes.
6 Marcar para revisão
Nos estágios iniciais de uma investigação forense, um analista forense recebeu do analista de
incidentes um disco rígido de uma estação de trabalho comprometida. Qual dos procedimentos
A
B
C
D
E
de aquisição de dados a seguir o analista forense precisaria realizar para iniciar a análise?
�Escolha dois).
I � Calcular hashes.
II � Fazer capturas de tela.
III � Capturar a imagem do sistema.
IV � Começar a ordem de volatilidade
V � Fazer varredura de vulnerabilidades
II e V.
III e V.
I e III.
I e II.
IV e V.
Resposta incorreta
Opa! A alternativa correta é a letra C. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I e III.
Justificativa: O cálculo de hashes é um procedimento fundamental na análise forense, pois
permite preservar a integridade das evidências. Se o hash calculado não sofre alterações,
isso indica que os dados também não foram alterados. Além disso, capturar a imagem do
sistema é outro procedimento importante, pois envolve a criação de uma cópia exata da
unidade, que pode ser referenciada posteriormente durante a investigação. Embora as
capturas de tela possam ser úteis para coletar informações visíveis na tela de um
computador, elas não estão diretamente relacionadas ao disco rígido. A ordem de
volatilidade se refere à sequência em que as evidências devem ser coletadas, começando
pelas mais voláteis e avançando para as menos voláteis. Por fim, as varreduras de
vulnerabilidades, embora importantes em outros contextos, não fazem parte do processo
forense.
7 Marcar para revisãoA maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requererem reembolsos.
A
B
C
D
E
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, responda qual é o tempo médio para reparo �MTTR) de cada servidor afetado?
8 horas.
6 horas.
2 dias.
3 dias.
4 dias
Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!
Gabarito Comentado
A
B
C
O MTTR �Mean Time To Repair) é uma métrica que indica o tempo médio necessário para
que um dispositivo seja recuperado após um incidente. No caso apresentado, a equipe de
disaster recovery da empresa XPTO avaliou que o processo de restauração de backups e
reinicialização completa de cada servidor levará, em média, 8 horas. Portanto, o MTTR de
cada servidor afetado é de 8 horas. É importante ressaltar que o MTTR de um componente
deve ser menor que o RTO �Recovery Time Objective), ou seja, o tempo máximo tolerável de
interrupção de um serviço, se o dispositivo for relevante para esse esforço de recuperação.
8 Marcar para revisão
Os termos a seguir  são etapas do processo de resposta a incidentes. Marque a opção que
representa a ordem cronológica correta destas etapas.
I � Preparação;
II � Contenção, erradicação e recuperação;
III � Atividade pós-incidente;
IV � Detecção e Análise.
I, II, III, IV.
I, IV, II, III.
IV, I, II, III.
D
E
II, I, III, IV.
IV, II, I, III.
Resposta incorreta
Opa! A alternativa correta é a letra B. Confira o gabarito comentado!
Gabarito Comentado
O processo de resposta a incidentes é composto, respectivamente, pelas etapas de
Preparação; Detecção e Análise; Contenção erradicação e recuperação; Atividade pós-
incidente.
9 Marcar para revisão
Quais fontes de dados podem ser capturadas por meio de uma cópia bit-a-bit que um backup
lógico não pode capturar? �Escolha duas).
I � Dados voláteis.
II � Slack Space.
III � Espaço Livre.
IV � Evidência.
A
B
C
D
E
I e II.
I e III.
II e IV.
II e III.
III e IV.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: II e III.
Justificativa: A cópia bit-a-bit é capaz de capturar dados de Slack Space e Espaço Livre,
que não podem ser obtidos por meio de um backup lógico. Slack Space refere-se ao espaço
não utilizado em um bloco de armazenamento que pode conter dados residuais. Espaço
Livre é o espaço de armazenamento não alocado que pode conter dados excluídos. As
outras opções, Dados voláteis e Evidência, não são especificamente capturadas por meio de
uma cópia bit-a-bit.
Questão 7 de 10
Corretas �2�
Incorretas �8�
� �
1 2 3 4 5
6 7 8 9 10
Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair
10 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, responda qual é o objetivo do tempo de inatividade máximo tolerável �MTD) da
XPTO para esse incidente?
Em branco �0�
A
B
C
D
E
8 horas.
6 horas.
2 dias.
3 dias.
4 dias.
Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!
Gabarito Comentado
O Tempo de Inatividade Máximo Tolerável �MTD) é o período máximo que um sistema pode
ficar inoperante sem que isso cause um impacto irrecuperável ao negócio. No caso da
empresa XPTO, uma avaliação prévia determinou que a empresa não poderia continuar suas
operações sem a loja online por mais de 3 dias. Portanto, o MTD para este incidente
específico é de 3 dias. Isso significa que a empresa tem até 3 dias para restaurar a loja
online antes que o impacto seja considerado irrecuperável para o negócio.
Você acertou 3 de 10 questões
Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas vezes
quiser.
Verificar Desempenho
A
B
1 Marcar para revisão
Você recebe uma ligação do gerente de suporte técnico informando que houve um aumento nas
ligações de usuários relatando que seus computadores estão infectados com malware. Qual das
seguintes etapas de resposta a incidentes deve ser concluída primeiro?
Contenção.
Backup.
Feedback
C
D
E
Erradicação.
Pós-Incidente.
Identificação.
Resposta incorreta
Opa! A alternativa correta é a letra E. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Identificação.
Justificativa: Em um cenário de incidente de segurança, como uma infecção por malware, a
primeira etapa a ser realizada é a identificação. Isso significa identificar o tipo de malware e
os computadores afetados. A etapa de contenção, que vem em seguida, tem como objetivo
minimizar os danos e prevenir que o problema se espalhe. A erradicação é a fase onde o
malware é removido e os sistemas afetados são restaurados, o que pode incluir a recriação
da imagem do disco rígido do sistema e a instalação de patches. A etapa de pós-incidente é
quando se avalia o ocorrido e se identificam oportunidades de melhorias para prevenir
incidentes futuros. O backup, embora seja uma atividade importante, é apenas uma das
várias atividades que compõem o processo de resposta a incidentes como um todo.
2 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os harddrives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, responda qual é o objetivo do tempo de inatividade máximo tolerável �MTD) da
XPTO para esse incidente?
A
B
C
D
E
8 horas.
6 horas.
2 dias.
3 dias.
4 dias.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O Tempo de Inatividade Máximo Tolerável �MTD) é o período máximo que um sistema pode
ficar inoperante sem que isso cause um impacto irrecuperável ao negócio. No caso da
empresa XPTO, uma avaliação prévia determinou que a empresa não poderia continuar suas
operações sem a loja online por mais de 3 dias. Portanto, o MTD para este incidente
específico é de 3 dias. Isso significa que a empresa tem até 3 dias para restaurar a loja
online antes que o impacto seja considerado irrecuperável para o negócio.
A
B
C
D
E
3 Marcar para revisão
Um administrador de segurança descobriu um incidente de malware na rede da organização.
Qual das seguintes etapas do processo de resposta ao incidente ele deve executar?
Recuperação.
Erradicação.
Contenção.
Identificação.
Varredura.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Contenção
Justificativa: Após a identificação de um incidente de malware, o próximo passo no
processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar que o
malware se propague pela rede e cause mais danos. A contenção também permite que o
administrador de segurança estude o incidente em detalhes para entender melhor sua
natureza e origem. As etapas de recuperação e erradicação são realizadas posteriormente,
após a contenção do malware. A identificação, como mencionado no enunciado, já foi
realizada. A varredura, embora seja uma atividade importante na segurança da rede, não é
considerada uma etapa no processo de resposta a incidentes.
4 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requerer reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja completamente em aproximadamente 2
dias.
A
B
C
D
E
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, quantas horas de dados a XPTO perdeu, excedendo o objetivo do ponto de
recuperação �RPO) para esse evento?
3 horas.
6 horas.
9 horas.
12 horas.
15 horas.
Resposta incorreta
Opa! A alternativa correta é a letra B. Confira o gabarito comentado!
Gabarito Comentado
O Objetivo do Ponto de Recuperação �RPO) é o período máximo tolerável de perda de dados
que uma organização pode suportar após um desastre. Este é geralmente expresso em
horas e, na maioria dos cenários de TI, determina a frequência adequada de backups. No
caso da empresa XPTO, o último backup dos servidores foi realizado às 21�00h do domingo
anterior e o incidente ocorreu às 09�00h de segunda-feira, ou seja, 12 horas após o backup.
A empresa estabeleceu que 6 horas é o tempo limite para recuperar a operação, pois perdas
que se estendem além desse prazo poderiam impactar seriamente o processo de venda e
levar a um grande número de clientes insatisfeitos solicitando reembolsos. Portanto,
considerando o cenário apresentado, a XPTO excedeu o RPO em 6 horas, pois a perda de
dados se estendeu por 12 horas, 6 horas além do limite estabelecido pela empresa.
5 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
A
B
C
D
E
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, responda qual é o tempo médio para reparo �MTTR) de cada servidor afetado?
8 horas.
6 horas.
2 dias.
3 dias.
4 dias
Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!
Gabarito Comentado
O MTTR �Mean Time To Repair) é uma métrica que indica o tempo médio necessário para
que um dispositivo seja recuperado após um incidente. No caso apresentado, a equipe de
disaster recovery da empresa XPTO avaliou que o processo de restauração de backups e
reinicialização completa de cada servidor levará, em média, 8 horas. Portanto, o MTTR de
cada servidor afetado é de 8 horas. É importante ressaltar que o MTTR de um componente
A
B
C
D
E
deve ser menor que o RTO �Recovery Time Objective), ou seja, o tempo máximo tolerável de
interrupção de um serviço, se o dispositivo for relevante para esse esforço de recuperação.
6 Marcar para revisão
Um administrador foi instruído a introduzir um sistema afetado de volta no ambiente daorganização e certificar-se de que isso não levará a outro incidente. Ele deve testar, monitorar e
validar se o sistema não está sendo comprometido por nenhum outro meio. Qual dos processos
de resposta a incidentes você concluiu?
Pós-incidente.
Correção de Vulnerabilidade.
Preparação.
Recuperação.
Contenção.
Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Recuperação
Justificativa: A etapa de recuperação traz os sistemas afetados de volta ao ambiente de
produção da empresa com cuidado para evitar levar a outro incidente. A etapa de pós-
incidente é a fase em que são levantadas oportunidades de melhorias para evitar incidentes
semelhantes no futuro. A etapa de preparação prepara a equipe de uma organização para
estar pronta para lidar com um incidente a qualquer momento. O processo de contenção é
projetado para minimizar os danos e evitar que outros danos decorrentes aconteçam.
7 Marcar para revisão
Quais dos seguintes grupos de métricas compõem o cálculo da classificação de severidade de
uma vulnerabilidade? Escolha três.
I � Contexto.
II � Tamanho.
III � Base.
IV � Temporal.
V � Ambiental.
A
B
C
D
E
I, II e III.
III, IV e V.
I, III e V.
I, II e V.
II, III e IV.
Resposta incorreta
Opa! A alternativa correta é a letra B. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: III, IV e V.
Justificativa: O cálculo da classificação de severidade de uma vulnerabilidade é composto
por três grupos de métricas: Base, Temporal e Ambiental. As métricas Base geram uma
pontuação que varia de 0.0 a 10. Essa pontuação pode ser modificada ao se pontuar as
métricas Temporal e Ambiental. Os grupos de métricas Contexto e Tamanho não estão
relacionados ao cálculo da classificação de severidade de uma vulnerabilidade no CVSS
�Common Vulnerability Scoring System).
A
B
C
D
E
8 Marcar para revisão
Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de resposta a
incidentes? �Escolha três.)
I � Quando o problema foi detectado pela primeira vez e por quem.
II � Como o problema foi contido e erradicado.
III � O trabalho que foi executado durante a recuperação.
IV � Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a qualquer
momento.
V � Todas as credenciais comprometidas foram revisadas quanto à legitimidade e reforçadas.
I, II, IV.
I, III, V.
II, III, IV.
I, II, III.
III, IV, V.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I, II, III.
Justificativa: Na fase de Pós-Incidente do processo de resposta a incidentes, as
informações que são descritas incluem quando o problema foi detectado pela primeira vez e
por quem �I�, como o problema foi contido e erradicado �II�, e o trabalho que foi executado
durante a recuperação �III�. Essas informações são essenciais para entender o incidente,
aprender com ele e melhorar as futuras respostas a incidentes. A preparação da equipe para
lidar com um incidente a qualquer momento �IV) e a revisão das credenciais comprometidas
�V) não são atividades que ocorrem na fase de Pós-Incidente, mas sim em fases anteriores
do processo de resposta a incidentes.
9 Marcar para revisão
Quais são as informações que os MAC Times podem fornecer? �Escolha três).
I � Data/hora de Modificação.
II � Data/hora de Acesso.
III � Data/hora de Construção.
IV � Data/hora de Criação.
V � Data/hora de Arquivamento.
Questão 10 de 10
Corretas �3�
Incorretas �7�
1 2 3 4 5
6 7 8 9 10
Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair
A
B
C
D
E
I, II e III.
II, IV e V.
III, IV e V.
I, II e IV.
I, III e V.
Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I, II e IV.
Justificativa: Os MAC Times são capazes de fornecer três tipos de informações
específicas: Data/hora de Modificação, que indica a última vez que o arquivo sofreu uma
alteração; Data/hora de Acesso, que registra a última vez que o arquivo foi acessado; e
Data/hora de Criação, que marca a data e hora em que o arquivo foi inicialmente criado. As
opções de Data/hora de Construção e Arquivamento não são informações que os MAC
Times podem fornecer, portanto, não são válidas neste contexto.
Incorretas �7�
Em branco �0�
A
B
C
D
E
10 Marcar para revisão
Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção que só
contém termos válidos.
I � ANULAR;
II � MITIGAR;
III � TRANSFERIR;
IV � ACEITAR;
V � EVITAR.
II, III, IV e V.
I, III, IV e V.
I, II, IV e V.
I, II, III e V.
I, II, III e IV.
Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: II, III, IV e V
Justificativa: A alternativa correta é a  que corresponde aos termos II, III, IV e V. Cada um
desses termos representa uma técnica válida de resposta a riscos. "Aceitar" é a
concordância com o risco e suas consequências, caso ele se concretize. "Transferir" o risco
é alocar a responsabilidade do risco para um terceiro. "Evitar" o risco é eliminar a
possibilidade do risco ocorrer, juntamente com sua causa. "Mitigar" o risco envolve técnicas
que protegem os ativos de possíveis ataques e são implementadas quando o impacto de um
potencial risco é substancial. O termo "Anular", presente na opção I, não é uma técnica de
resposta a riscos, por isso as alternativas que o contêm estão incorretas.
Você acertou 9 de 10 questões
Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas vezes
quiser.
Verificar Desempenho
A
B
1 Marcar para revisão
Um administrador foi instruído a introduzir um sistema afetado de volta no ambiente da
organização e certificar-se de que isso não levará a outro incidente. Ele deve testar, monitorar e
validar se o sistema não está sendo comprometido por nenhum outro meio. Qual dos processos
de resposta a incidentes você concluiu?
Pós-incidente.
Correção de Vulnerabilidade.
Feedback
C
D
E
Preparação.
Recuperação.
Contenção.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Recuperação
Justificativa: A etapa de recuperação traz os sistemas afetados de volta ao ambiente de
produção da empresa com cuidado para evitar levar a outro incidente. A etapa de pós-
incidente é a fase em que são levantadas oportunidades de melhorias para evitar incidentes
semelhantes no futuro. A etapa de preparação prepara a equipe de uma organização para
estar pronta para lidar com um incidente a qualquer momento. O processo de contenção é
projetado para minimizar os danos e evitar que outros danos decorrentes aconteçam.
2 Marcar para revisão
Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção que só
contém termos válidos.
A
B
C
D
E
I � ANULAR;
II � MITIGAR;
III � TRANSFERIR;
IV � ACEITAR;
V � EVITAR.
II, III, IV e V.
I, III, IV e V.
I, II, IV e V.
I, II, III e V.
I, II, III e IV.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: II, III, IV e V
Justificativa: A alternativa correta é a  que corresponde aos termos II, III, IV e V. Cada um
desses termos representa uma técnica válida de resposta a riscos. "Aceitar" é a
A
B
concordância com o risco e suas consequências, caso ele se concretize. "Transferir" o risco
é alocar a responsabilidade do risco para um terceiro. "Evitar" o risco é eliminar a
possibilidade do risco ocorrer, juntamente com sua causa. "Mitigar" o risco envolve técnicas
que protegem os ativos de possíveis ataques e são implementadas quando o impacto de um
potencial risco é substancial. O termo "Anular", presente na opção I, não é uma técnica de
resposta a riscos, por isso as alternativas que o contêm estãoincorretas.
3 Marcar para revisão
Nos estágios iniciais de uma investigação forense, um analista forense recebeu do analista de
incidentes um disco rígido de uma estação de trabalho comprometida. Qual dos procedimentos
de aquisição de dados a seguir o analista forense precisaria realizar para iniciar a análise?
�Escolha dois).
I � Calcular hashes.
II � Fazer capturas de tela.
III � Capturar a imagem do sistema.
IV � Começar a ordem de volatilidade
V � Fazer varredura de vulnerabilidades
II e V.
III e V.
C
D
E
I e III.
I e II.
IV e V.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I e III.
Justificativa: O cálculo de hashes é um procedimento fundamental na análise forense, pois
permite preservar a integridade das evidências. Se o hash calculado não sofre alterações,
isso indica que os dados também não foram alterados. Além disso, capturar a imagem do
sistema é outro procedimento importante, pois envolve a criação de uma cópia exata da
unidade, que pode ser referenciada posteriormente durante a investigação. Embora as
capturas de tela possam ser úteis para coletar informações visíveis na tela de um
computador, elas não estão diretamente relacionadas ao disco rígido. A ordem de
volatilidade se refere à sequência em que as evidências devem ser coletadas, começando
pelas mais voláteis e avançando para as menos voláteis. Por fim, as varreduras de
vulnerabilidades, embora importantes em outros contextos, não fazem parte do processo
forense.
A
B
C
D
E
4 Marcar para revisão
Os termos a seguir  são etapas do processo de resposta a incidentes. Marque a opção que
representa a ordem cronológica correta destas etapas.
I � Preparação;
II � Contenção, erradicação e recuperação;
III � Atividade pós-incidente;
IV � Detecção e Análise.
I, II, III, IV.
I, IV, II, III.
IV, I, II, III.
II, I, III, IV.
IV, II, I, III.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O processo de resposta a incidentes é composto, respectivamente, pelas etapas de
Preparação; Detecção e Análise; Contenção erradicação e recuperação; Atividade pós-
incidente.
5 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requerer reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
A
B
C
D
E
Dado o cenário, responda qual é o objetivo do tempo de recuperação �RTO) da XPTO para esse
evento?
6 horas.
8 horas.
2 dias.
3 dias.
4 dias.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O Objetivo do Tempo de Recuperação �RTO, do inglês Recovery Time Objective) é o período
de tempo que uma empresa estabelece como meta para a recuperação de suas operações
normais após um incidente. No caso da empresa XPTO, apesar de terem ocorrido vários
contratempos, como a perda de dados e a necessidade de reinicialização completa dos
servidores, a empresa estima que pode recuperar a loja online completamente em
aproximadamente 2 dias. Portanto, o RTO para esse evento é de 2 dias. Isso significa que a
A
B
C
empresa planeja ter suas operações normais restauradas dentro desse período após o
incidente.
6 Marcar para revisão
Quais dos seguintes grupos de métricas compõem o cálculo da classificação de severidade de
uma vulnerabilidade? Escolha três.
I � Contexto.
II � Tamanho.
III � Base.
IV � Temporal.
V � Ambiental.
I, II e III.
III, IV e V.
I, III e V.
D
E
I, II e V.
II, III e IV.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: III, IV e V.
Justificativa: O cálculo da classificação de severidade de uma vulnerabilidade é composto
por três grupos de métricas: Base, Temporal e Ambiental. As métricas Base geram uma
pontuação que varia de 0.0 a 10. Essa pontuação pode ser modificada ao se pontuar as
métricas Temporal e Ambiental. Os grupos de métricas Contexto e Tamanho não estão
relacionados ao cálculo da classificação de severidade de uma vulnerabilidade no CVSS
�Common Vulnerability Scoring System).
7 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
A
B
C
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requerer reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja completamente em aproximadamente 2
dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, quantas horas de dados a XPTO perdeu, excedendo o objetivo do ponto de
recuperação �RPO) para esse evento?
3 horas.
6 horas.
9 horas.
D
E
12 horas.
15 horas.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O Objetivo do Ponto de Recuperação �RPO) é o período máximo tolerável de perda de dados
que uma organização pode suportar após um desastre. Este é geralmente expresso em
horas e, na maioria dos cenários de TI, determina a frequência adequada de backups. No
caso da empresa XPTO, o último backup dos servidores foi realizado às 21�00h do domingo
anterior e o incidente ocorreu às 09�00h de segunda-feira, ou seja, 12 horas após o backup.
A empresa estabeleceu que 6 horas é o tempo limite para recuperar a operação, pois perdas
que se estendem além desse prazo poderiam impactar seriamente o processo de venda e
levar a um grande número de clientes insatisfeitos solicitando reembolsos. Portanto,
considerando o cenário apresentado, a XPTO excedeu o RPO em 6 horas, pois a perda de
dados se estendeu por12 horas, 6 horas além do limite estabelecido pela empresa.
8 Marcar para revisão
Quais fontes de dados podem ser capturadas por meio de uma cópia bit-a-bit que um backup
lógico não pode capturar? �Escolha duas).
A
B
C
D
E
I � Dados voláteis.
II � Slack Space.
III � Espaço Livre.
IV � Evidência.
I e II.
I e III.
II e IV.
II e III.
III e IV.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: II e III.
Justificativa: A cópia bit-a-bit é capaz de capturar dados de Slack Space e Espaço Livre,
que não podem ser obtidos por meio de um backup lógico. Slack Space refere-se ao espaço
não utilizado em um bloco de armazenamento que pode conter dados residuais. Espaço
A
B
C
D
E
Livre é o espaço de armazenamento não alocado que pode conter dados excluídos. As
outras opções, Dados voláteis e Evidência, não são especificamente capturadas por meio de
uma cópia bit-a-bit.
9 Marcar para revisão
Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado pelo
crime organizado para armazenar informações roubadas de cartão de crédito. Um analista
forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados deve ser coletada
primeiro?
Memória RAM.
Unidade USB.
Disco Rígido.
Swap Files.
Slack Space.
Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Memória RAM.
Justificativa: A memória RAM �Random Access Memory) é uma fonte de dados volátil, o
que significa que as informações armazenadas nela são perdidas quando o dispositivo é
desligado. Por isso, é crucial que a RAM seja a primeira a ser coletada em uma investigação
forense. As outras opções, como a unidade USB e o disco rígido, mantêm seus dados
mesmo quando a energia é removida, tornando-as menos voláteis. O arquivo de troca �Swap
File) é uma extensão da memória que é armazenada no disco rígido, portanto, também é
menos volátil que a RAM. Por fim, o Slack Space refere-se ao espaço fragmentado em um
disco rígido, correspondente a unidades de alocação não totalmente utilizadas, que também
mantém os dados após a remoção da energia.
10 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Questão 9 de 10
Corretas �9�
Incorretas �1�
Em branco �0�
1 2 3 4 5
6 7 8 9 10
Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair
A
B
C
D
E
Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, responda qual é o tempo médio para reparo �MTTR) de cada servidor afetado?
8 horas.
6 horas.
2 dias.
3 dias.
4 dias
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O MTTR �Mean Time To Repair) é uma métrica que indica o tempo médio necessário para
que um dispositivo seja recuperado após um incidente. No caso apresentado, a equipe de
disaster recovery da empresa XPTO avaliou que o processo de restauração de backups e
reinicialização completa de cada servidor levará, em média, 8 horas. Portanto, o MTTR de
cada servidor afetado é de 8 horas. É importante ressaltar que o MTTR de um componente
deve ser menor que o RTO �Recovery Time Objective), ou seja, o tempo máximo tolerável de
interrupção de um serviço, se o dispositivo for relevante para esse esforço de recuperação.
Você acertou 10 de 10 questões
Verifique o seu desempenho e continue treinando! Você pode refazer o exercício quantas vezes
quiser.
Verificar Desempenho
A
B
C
1 Marcar para revisão
Um administrador de segurança descobriu um incidente de malware na rede da organização.
Qual das seguintes etapas do processo de resposta ao incidente ele deve executar?
Recuperação.
Erradicação.
Contenção.
Feedback
D
E
Identificação.
Varredura.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Contenção
Justificativa: Após a identificação de um incidente de malware, o próximo passo no
processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar que o
malware se propague pela rede e cause mais danos. A contenção também permite que o
administrador de segurança estude o incidente em detalhes para entender melhor sua
natureza e origem. As etapas de recuperação e erradicação são realizadas posteriormente,
após a contenção do malware. A identificação, como mencionado no enunciado, já foi
realizada. A varredura, embora seja uma atividade importante na segurança da rede, não é
considerada uma etapa no processo de resposta a incidentes.
2 Marcar para revisão
Quais são as informações que os MAC Times podem fornecer? �Escolha três).
I � Data/hora de Modificação.
II � Data/hora de Acesso.
A
B
C
D
E
III � Data/hora de Construção.
IV � Data/hora de Criação.
V � Data/hora de Arquivamento.
I, II e III.
II, IV e V.
III, IV e V.
I, II e IV.
I, III e V.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I, II e IV.
Justificativa: Os MAC Times são capazes de fornecer três tipos de informações
específicas: Data/hora de Modificação, que indica a última vez que o arquivo sofreu uma
alteração; Data/hora de Acesso, que registra a última vez que o arquivo foi acessado; e
Data/hora de Criação, que marca a data e hora em que o arquivo foi inicialmente criado. As
A
B
C
opções de Data/hora de Construção e Arquivamento não são informações que os MAC
Times podem fornecer, portanto, não são válidas neste contexto.
3 Marcar para revisão
Nos estágios iniciais de uma investigação forense, um analista forense recebeu do analista de
incidentes um disco rígido de uma estação de trabalho comprometida. Qual dos procedimentos
de aquisição de dados a seguir o analista forense precisaria realizar para iniciar a análise?
�Escolha dois).
I � Calcular hashes.
II � Fazer capturas de tela.
III � Capturar a imagem do sistema.
IV � Começar a ordem de volatilidade
V � Fazer varredura de vulnerabilidades
II e V.
III e V.
I e III.
D
E
I e II.
IV e V.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: I e III.
Justificativa: O cálculo de hashes é um procedimento fundamental na análise forense, pois
permite preservar a integridade das evidências. Se o hash calculado não sofre alterações,
isso indica que os dados também não foram alterados. Além disso, capturar a imagem do
sistema é outro procedimento importante, pois envolve a criação de uma cópia exata da
unidade, que pode ser referenciada posteriormente durantea investigação. Embora as
capturas de tela possam ser úteis para coletar informações visíveis na tela de um
computador, elas não estão diretamente relacionadas ao disco rígido. A ordem de
volatilidade se refere à sequência em que as evidências devem ser coletadas, começando
pelas mais voláteis e avançando para as menos voláteis. Por fim, as varreduras de
vulnerabilidades, embora importantes em outros contextos, não fazem parte do processo
forense.
4 Marcar para revisão
A
B
C
D
E
Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado pelo
crime organizado para armazenar informações roubadas de cartão de crédito. Um analista
forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados deve ser coletada
primeiro?
Memória RAM.
Unidade USB.
Disco Rígido.
Swap Files.
Slack Space.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Memória RAM.
Justificativa: A memória RAM �Random Access Memory) é uma fonte de dados volátil, o
que significa que as informações armazenadas nela são perdidas quando o dispositivo é
desligado. Por isso, é crucial que a RAM seja a primeira a ser coletada em uma investigação
A
B
C
forense. As outras opções, como a unidade USB e o disco rígido, mantêm seus dados
mesmo quando a energia é removida, tornando-as menos voláteis. O arquivo de troca �Swap
File) é uma extensão da memória que é armazenada no disco rígido, portanto, também é
menos volátil que a RAM. Por fim, o Slack Space refere-se ao espaço fragmentado em um
disco rígido, correspondente a unidades de alocação não totalmente utilizadas, que também
mantém os dados após a remoção da energia.
5 Marcar para revisão
Um administrador foi instruído a introduzir um sistema afetado de volta no ambiente da
organização e certificar-se de que isso não levará a outro incidente. Ele deve testar, monitorar e
validar se o sistema não está sendo comprometido por nenhum outro meio. Qual dos processos
de resposta a incidentes você concluiu?
Pós-incidente.
Correção de Vulnerabilidade.
Preparação.
D
E
Recuperação.
Contenção.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Recuperação
Justificativa: A etapa de recuperação traz os sistemas afetados de volta ao ambiente de
produção da empresa com cuidado para evitar levar a outro incidente. A etapa de pós-
incidente é a fase em que são levantadas oportunidades de melhorias para evitar incidentes
semelhantes no futuro. A etapa de preparação prepara a equipe de uma organização para
estar pronta para lidar com um incidente a qualquer momento. O processo de contenção é
projetado para minimizar os danos e evitar que outros danos decorrentes aconteçam.
6 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
A
B
C
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requerer reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, responda qual é o objetivo do tempo de recuperação �RTO) da XPTO para esse
evento?
6 horas.
8 horas.
2 dias.
D
E
3 dias.
4 dias.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O Objetivo do Tempo de Recuperação �RTO, do inglês Recovery Time Objective) é o período
de tempo que uma empresa estabelece como meta para a recuperação de suas operações
normais após um incidente. No caso da empresa XPTO, apesar de terem ocorrido vários
contratempos, como a perda de dados e a necessidade de reinicialização completa dos
servidores, a empresa estima que pode recuperar a loja online completamente em
aproximadamente 2 dias. Portanto, o RTO para esse evento é de 2 dias. Isso significa que a
empresa planeja ter suas operações normais restauradas dentro desse período após o
incidente.
7 Marcar para revisão
Um investigador forense precisa seguir um processo apropriado para a coleta, análise e
preservação de evidências. Qual dos termos a seguir representa o processo que ele precisa
seguir?
A
B
C
D
E
Tratamento de incidentes.
Retenção legal.
Ordem de volatilidade.
Cadeia de custódia.
Backup.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O termo que representa o processo que um investigador forense precisa seguir para a
coleta, análise e preservação de evidências é a "Cadeia de custódia". Este termo se refere à
documentação cronológica que registra a custódia, controle, transferência, análise e
disposição das evidências físicas ou eletrônicas. É importante destacar que os outros
termos apresentados nas alternativas têm significados diferentes dentro do contexto
forense. "Tratamento de incidentes" é um guia que detalha o processo e os procedimentos
para lidar com incidentes. "Retenção legal" é uma diretiva escrita emitida por advogados
que instrui os clientes a preservarem as evidências pertinentes em um litígio. "Ordem de
volatilidade" representa a sequência em que as evidências devem ser coletadas,
começando pela mais volátil e avançando para a menos volátil. Por fim, "Backup" não está
diretamente relacionado ao processo forense, embora possa ser uma parte importante da
preservação de dados.
8 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
A
B
CD
E
Dado o cenário, responda qual é o objetivo do tempo de inatividade máximo tolerável �MTD) da
XPTO para esse incidente?
8 horas.
6 horas.
2 dias.
3 dias.
4 dias.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O Tempo de Inatividade Máximo Tolerável �MTD) é o período máximo que um sistema pode
ficar inoperante sem que isso cause um impacto irrecuperável ao negócio. No caso da
empresa XPTO, uma avaliação prévia determinou que a empresa não poderia continuar suas
operações sem a loja online por mais de 3 dias. Portanto, o MTD para este incidente
A
B
C
D
E
específico é de 3 dias. Isso significa que a empresa tem até 3 dias para restaurar a loja
online antes que o impacto seja considerado irrecuperável para o negócio.
9 Marcar para revisão
Você recebe uma ligação do gerente de suporte técnico informando que houve um aumento nas
ligações de usuários relatando que seus computadores estão infectados com malware. Qual das
seguintes etapas de resposta a incidentes deve ser concluída primeiro?
Contenção.
Backup.
Erradicação.
Pós-Incidente.
Identificação.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
Gabarito: Identificação.
Justificativa: Em um cenário de incidente de segurança, como uma infecção por malware, a
primeira etapa a ser realizada é a identificação. Isso significa identificar o tipo de malware e
os computadores afetados. A etapa de contenção, que vem em seguida, tem como objetivo
minimizar os danos e prevenir que o problema se espalhe. A erradicação é a fase onde o
malware é removido e os sistemas afetados são restaurados, o que pode incluir a recriação
da imagem do disco rígido do sistema e a instalação de patches. A etapa de pós-incidente é
quando se avalia o ocorrido e se identificam oportunidades de melhorias para prevenir
incidentes futuros. O backup, embora seja uma atividade importante, é apenas uma das
várias atividades que compõem o processo de resposta a incidentes como um todo.
10 Marcar para revisão
A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por diversos
servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na
segunda-feira às 9�00 h, durante uma manutenção, um administrador executa uma rotina para
limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas
imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de
forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes
mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Questão 6 de 10
Corretas �10�
Em branco �0�
1 2 3 4 5
6 7 8 9 10
Exercicio Resposta À Incidentes e Recuperação (disaster Recovery) Sair
A
B
C
D
E
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21�00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar
milhares de clientes insatisfeitos a requerer reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o processo
de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery
revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja completamente em aproximadamente 2
dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais
de 3 dias.
Dado o cenário, quantas horas de dados a XPTO perdeu, excedendo o objetivo do ponto de
recuperação �RPO) para esse evento?
3 horas.
6 horas.
9 horas.
12 horas.
15 horas.
Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!
Gabarito Comentado
O Objetivo do Ponto de Recuperação �RPO) é o período máximo tolerável de perda de dados
que uma organização pode suportar após um desastre. Este é geralmente expresso em
horas e, na maioria dos cenários de TI, determina a frequência adequada de backups. No
caso da empresa XPTO, o último backup dos servidores foi realizado às 21�00h do domingo
anterior e o incidente ocorreu às 09�00h de segunda-feira, ou seja, 12 horas após o backup.
A empresa estabeleceu que 6 horas é o tempo limite para recuperar a operação, pois perdas
que se estendem além desse prazo poderiam impactar seriamente o processo de venda e
levar a um grande número de clientes insatisfeitos solicitando reembolsos. Portanto,
considerando o cenário apresentado, a XPTO excedeu o RPO em 6 horas, pois a perda de
dados se estendeu por 12 horas, 6 horas além do limite estabelecido pela empresa.
	05 - Resposta À Incidentes e Recuperação01
	05 - Resposta À Incidentes e Recuperação02
	05 - Resposta À Incidentes e Recuperação03
	05 - Resposta À Incidentes e Recuperação04