Avaliação Final (Objetiva) - Individual Análise de Vulnerabilidade de Riscos

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:1027240)
Peso da Avaliação 4,00
Prova 99332806
Qtd. de Questões 10
Acertos/Erros 7/3
Nota 7,00
A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). A avaliação de 
riscos é um componente essencial de um processo de gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos 
principais de atividades. 
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2021. NIST (National Institute of Standards and Technology). Guide 
for Conducting Risk Assessments - Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021.
Com base no exposto, analise as opções a seguir: 
I - Definição do contexto.
II - Probabilidade de risco.
III - Análise/Avaliação de riscos.
IV - Impacto do risco. 
Assinale a alternativa que apresenta a sequência correta: 
A I e III
B I, II e III 
C II e IV
D I e IV
E II e III
 VOLTAR
A+Aumentar, FonteAlterar modo de visualização
1
Revisar Conteúdo do Livro
A conectividade constante e a evolução das tecnologias como IoT e WoT trazem novos desafios de segurança. A exploração de vulnerabilidades em redes e dispositivos conectados pode levar a ataques significativos, como ataques 
de força bruta e comprometimento de servidores.
Fonte: AMAZON echo e kindle são vulneráveis a ataques cibernéticos. Olhar Digital, 2019. Disponível em: https://olhardigital.com.br/noticia/amazon-echo-e-kindle-saovulneraveis- a-ataques-ciberneticos/93777. Acesso em: 1 
ago. 2024.
CODY, B. Creepware: is someone watching you? Norton Blog, 2017. Disponível em: https://uk.norton. com/norton-blog/2017/03/creepware_is_someon.html. Acesso em: 1 ago. 2024.
MURPHY, D. How to prevent hacks like the tik tok breach. LifeHacker, 2020. Disponível em: https://lifehacker.com/how-to-prevent-hacks-like-the-tiktok-breach- 1840875110?
utm_source=lifehacker_twitter&utm_campaign=socialflow_lifehacker_ twitter&utm_medium=socialflow. Acesso em: 1 ago. 2024.
OWASP. Introduction: the OWASP testing project. Owasp, 2021. Disponível em: https://owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/README. html#Penetration-Testing. Acesso em: 1 ago. 2024.
Sobre as vulnerabilidades on-line e suas aplicações, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Os kits para ataques web, como o Creepware, são usados exclusivamente por criminosos cibernéticos para controlar remotamente dispositivos móveis.
( ) O ataque KRACK (Key Reinstallations Attack) explora vulnerabilidades no padrão WPA2, permitindo que um atacante intercepte informações em redes Wi-Fi.
( ) A vulnerabilidade de Sensitive Data Exposure no TikTok permitia que criminosos adicionassem ou excluíssem vídeos das contas dos usuários, além de acessar informações privadas.
( ) Dispositivos Wi-Fi como o Echo e o Kindle estavam suscetíveis ao ataque KRACK.
( ) A OWASP lista as dez vulnerabilidades mais críticas para aplicações web, incluindo Broken Authentication.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - F - V - V.
B F - F - V - V - V.
C F - F - V - F - F.
D F - V - V - V - V.
E V - V - F - F - V.
O Nmap é uma ferramenta poderosa e versátil utilizada para a varredura de redes e auditoria de segurança. Ele permite a detecção de sistemas operacionais, serviços ativos e vulnerabilidades em redes. A aplicação correta dos 
comandos do Nmap é essencial para obter informações precisas sobre a rede e garantir a segurança dos sistemas.
Fonte: LYON, G. F. Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning. [S. l.]: Insecure, 2008.
2
3
MELO, R. Técnicas de Varredura de Redes. Rio de Janeiro: Alta Books, 2017.
Sobre a utilização do Nmap para a aplicação das técnicas de varredura, analise as afirmativas a seguir:
I. O comando nmap -sV -p 3306 -oG 10.0.0-mysqls-032506.gnmap 10.0.0.0/24 realiza a detecção de versão de serviços em uma faixa de endereços IP, focando na porta 3306.
II. O comando nmap -A -oA /nmap-logs/wapscan -p 1-85,113,443,8080-8100 -T4 -min-hostgroup 50 -max-rtt-timeout 1000 -initial-rtt-timeout 300 -max-retries 3 -host-timeout 20m -max-scan-delay 1000 realiza 
uma varredura detalhada para detectar pontos de acesso wireless falsos.
III. O comando nmap -PN -p80 -oG logs/pb-port80scan-%D.gnmap 216.163.128.0/20 realiza uma varredura em uma grande rede, focando na porta 80.
É correto o que se afirma em:
A II e III, apenas.
B I, apenas.
C I e II, apenas.
D I, II e III.
E III, apenas.
A gestão de riscos é um processo essencial para garantir a segurança da informação nas organizações. Envolve a identificação, a avaliação e o tratamento de riscos, com o objetivo de proteger a confidencialidade, integridade e 
disponibilidade das informações.
Fonte: BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: BRASPORT, 2018.
Sobre os conceitos de risco na gestão de segurança da informação, assinale a alternativa correta:
A O risco é o potencial de uma ação ou atividade escolhida levar a uma perda ou evento indesejável.
B O risco é sempre controlável, independentemente de sua origem.
C O risco não está relacionado à incerteza e, portanto, não necessita de teoria da decisão.
4
D O risco de TI inclui apenas os riscos de origem externa.
E O risco é apenas o impacto negativo das operações e na prestação de serviços.
As vulnerabilidades on-line podem ser exploradas de diversas formas, incluindo injeções de código e ataques a caches web. Conhecer essas vulnerabilidades e suas aplicações é essencial para proteger sistemas e dados.
Fonte: DI PAOLA, S.; DABIRSIAGHI, A. Expression language injection. c2020. Disponível em: https://mindedsecurity.com/wp-content/uploads/2020/10/ ExpressionLanguageInjection.pdf. Acesso em: 24 nov. 2020.
GIL, O. White paper: web cache deception attack. 2017. Disponível em: https://www.blackhat.com/docs/us-17/wednesday/us-17-Gil-Web-Cache-Deception-Attack-wp.pdf. Acesso em: 1 ago. 2024.
JOHNSON, R. et al. Introduction to spring framework: part i. overview of spring framework. c2020. Disponível em: https://docs.spring.io/spring-framework/docs/3.2.x/spring-framework-reference/html/overview.html. Acesso 
em: 1 ago. 2024.
POPESCU, I. Less known web application vulnerabilities. c2021. Disponível em: https://owasp.org/www-pdf-archive/OWASP_-_Ionut_Popescu_-_Less_Known_Web_Application_Vulnerabilities.pdf. Acesso em: 1 ago. 2024.
Sobre as vulnerabilidades on-line e suas aplicações, classifique V para as sentenças verdadeiras e F para as falsas:
( ) A vulnerabilidade de Expression Language Injection pode ser explorada em frameworks como o Spring MVC JSP, permitindo a injeção de códigos maliciosos.
( ) O ataque Web Cache Deception ocorre quando um servidor web armazena em cache arquivos públicos estáticos, como stylesheets e scripts, sem verificar sua autenticidade.
( ) A técnica de Web Cache Deception Attack pode expor informações privadas e confidenciais de usuários, mas não pode evoluir para uma tomada completa de contas de usuários.
( ) A injeção de código baseada em EL pode ser usada para acessar informações privadas de usuários em aplicações específicas.
( ) O Spring Framework é uma plataforma Java que suporta o desenvolvimento de aplicações Java, mas não é suscetível a vulnerabilidades de injeção de código.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - V - V - F.
B V - F - F - V - F.
C F - V - V - V - F.
D V - V - F - V - F.
E F - V - V - F - F.
Revisar Conteúdo do Livro
5A avaliação de riscos é um componente essencial do processo de gerenciamento de riscos. Envolve a análise e classificação dos riscos para determinar se são aceitáveis e quais ações devem ser tomadas para mitigá-los.
Fonte: ISO/IEC. 27005:2018, Information Security Risk Management. ISO, 2018. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 2 ago. 2024.
Sobre os princípios da avaliação de risco, assinale a alternativa correta:
A A avaliação de risco não leva em consideração a natureza das vulnerabilidades.
B A avaliação de risco não é necessária para a tomada de decisão de aceitar e tratar um risco.
C A avaliação de risco não considera a probabilidade de um evento ocorrer.
D A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos.
E A avaliação de risco é realizada apenas uma vez durante o processo de gerenciamento de riscos.
A conectividade constante e a evolução das tecnologias como IoT e WoT trazem novos desafios de segurança. A exploração de vulnerabilidades em redes e dispositivos conectados pode levar a ataques significativos, como ataques 
de força bruta e comprometimento de servidores.
Fonte: BRASIL. Gabinete de Segurança Institucional. Departamento de Segurança da Informação. Estratégia nacional de segurança cibernética (E-Ciber). 2019. Disponível em: http://dsic.planalto.gov.br/noticias/estrategia-
nacional-de-segurancacibernetica-e-ciber. Acesso em: 1 ago. 2024.
FORTINET. The threat intelligence insider Latin America: executive summary q2- 2020. 2019. Disponível em: https://www.fortinetthreatinsiderlat.com/en/Q2-2020/BR/ pdf/trends?type=pdf. Acesso em: 1 ago. 2024.
Sobre as ameaças e vulnerabilidades on-line, analise as afirmativas a seguir:
I. Ataques de força bruta são comuns em servidores RDP (Remote Desktop Protocol) e podem comprometer credenciais de acesso.
II. A Fortinet indica que ataques de força bruta, como SSH.Connection.Brute.Force, estão entre os mais frequentes em determinadas regiões.
III. A Estratégia Nacional de Segurança Cibernética (E-Ciber) foi criada no Brasil para enfrentar o aumento das ameaças cibernéticas e crimes cibernéticos.
É correto o que se afirma em:
6
Revisar Conteúdo do Livro
7
A I, apenas. 
B II, apenas. 
C I, II e III.
D I e II, apenas. 
E II e III, apenas.
Cada vez mais indivíduos e organizações dependem da computação móvel para a transmissão eficiente de dados. Em contrapartida, as vulnerabilidades em dispositivos móveis podem estar presentes nos aplicativos instalados, 
tornando-os suscetíveis à exploração. Vulnerabilidades comuns de aplicativos podem incluir vários aspectos (WLOSINSKI, 2016). 
FONTE: WLOSINSKI, L. G. Mobile computing device threats, vulnerabilities and risk are ubiquitous. ISACA Journal, v. 4, 2016. Disponível em: https://www.isaca.org/resources/isaca-journal/issues/2016/volume-4/mobile-
computing-device-threats-vulnerabilities-and-risk-are-ubiquitous. Acesso em: 5 maio 2021.
Com base no exposto, analise as opções a seguir: 
I - Problemas de núcleo e computação tipicamente associados a CPUs, gráficos, visão, inteligência artificial, FPGA (Field Programmable Gate Array - Arranjo de Portas Programáveis em Campo) e microcontroladores.
II - A configuração incorreta de permissões permitindo acesso a funções controladas, como GPS (Global Positioning System - Sistema de Posicionamento Global), por exemplo.
III - Pontos fracos nas configurações de privacidade permitindo o acesso de aplicativos a informações confidenciais, tais como contatos, fotos, acesso Bluetooth, entre outros.
IV - Exposição de protocolos de comunicação interna que passam mensagens do dispositivo para ele mesmo ou para outros aplicativos. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A I e III
B II e III
C I, II e IV
D II, III e IV
8
E I e IV
A análise de vulnerabilidades é uma tarefa essencial para manter a segurança dos ambientes computacionais. Diversas ferramentas estão disponíveis para auxiliar na identificação e correção de vulnerabilidades, cada uma com suas 
características e funcionalidades específicas.
Fonte: ACUNETIX. Find, fix, and prevent vulnerabilities. 2020. Disponível em: https://www.acunetix.com/. Acesso em: 2 ago. 2024.
A análise de vulnerabilidades é uma tarefa essencial para manter a segurança dos ambientes computacionais. Diversas ferramentas estão disponíveis para auxiliar na identificação e correção de vulnerabilidades, cada uma com suas 
características e funcionalidades específicas. Sobre o exposto, assinale a alternativa correta:
A O GFI LanGuard é um scanner de vulnerabilidades que não realiza auditoria de hardware e software.
B O Nexpose é uma ferramenta de análise de vulnerabilidades que não possui integração com o Metasploit.
C O Nessus é uma ferramenta de análise de vulnerabilidades gratuita e de código aberto, desenvolvida pela Greenbone Networks.
D O Acunetix é um scanner de vulnerabilidades em web sites e APIs web, que segue as principais falhas estabelecidas pelo OWASP Top Ten.
E O OpenVAS é um scanner de vulnerabilidades comercial, mantido pela Tenable Network Security.
9
Para Martinelo e Bellezi (2014), podemos organizar as vulnerabilidades de sistemas computacionais nos seguintes tipos: software, hardware, humanas, físicas e naturais. 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014.
Considerando as definições tanto de software quanto de hardware diante deste contexto, analise as opções a seguir: 
I - Estão relacionadas a falhas de programação. Este tipo de vulnerabilidade abre brechas no sistema que podem ser exploradas por atacantes.
II - Estão relacionadas à ocorrência de desastres ocasionadas por fenômenos naturais (como tempestades, por exemplo), que podem vir a comprometer a segurança ou mesmo a disponibilidade dos dados armazenados.
III - Estão relacionadas à indisponibilidade do sistema, o que pode ocasionar perda de dados. Exemplo deste tipo de vulnerabilidade pode ainda incluir o uso de hardware malicioso, como um keylogger.
IV - Estão relacionadas ao mau uso do sistema ou de alguma função deste por parte do usuário. Neste caso, pode ocorrer o mau funcionamento do sistema ou a perda de informações. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A I e III
B I, II e IV
C I e IV
D Somente a I
E II e IV
10
Imprimir