Baixe o app para aproveitar ainda mais
Prévia do material em texto
EXERCÍCIOS DE FIXAÇÃO Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos. Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito. Questão 1 A pessoa responsável pela classificação da informação em uma organização é: a) O proprietário da informação. b) A equipe de TI. c) O custodiante. d) Analista de Segurança. e) O diretor da organização. Questão 2 A pessoa responsável pela classificação da informação em uma organização é: a) O proprietário da informação. b) A equipe de TI. c) O custodiante. d) Analista de Segurança. e) O diretor da organização. Questão 3 A gestão do ciclo de vida da informação, no contexto da segurança da informação, tem se tornado um elemento fundamental para: a) A gestão dos usuários. b) A gestão dos negócios da organização. c) A gestão da área comercial. d) A gestão do ciclo da informação interna. e) A gestão de orçamento. Questão 4 O advento da internet e a globalização transformaram completamente o mundo que vivemos e, consequentemente, estão revolucionando o modo de operação das empresas. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? a) Somente pelo seu valor financeiro. b) Pelos seus valores estratégicos e financeiros. c) Somente pelos seus valores qualitativos e financeiros. d) Pelos seus valores estratégicos e qualitativos. e) Pelos seus valores internos e qualitativos. Questão 5 Carlos detectou, em uma máquina da empresa que trabalha, um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Nesse caso, podemos afirmar que Carlos encontrou um: a) Backdoor b) Worm c) Keylogger d) Screenlogger e) Trojan Questão 6 Você precisou realizar uma varredura à procura de software malicioso, nas máquinas de seu setor, e detectou um software especificamente projetado para apresentar propagandas através do navegador da internet. Nesse caso, você encontrou um: a) Spyware b) Java Script c) Active-x d) Adware e) Worm Questão 7 Você precisou realizar uma varredura à procura de software malicioso, nas máquinas de seu setor, e detectou além de vírus, uma variação de adware que foi especificamente projetado para observar as atividades do usuário de computador sem o seu consentimento, e enviar as informações por relatórios ao autor do software. Nesse caso, você encontrou um: a) Spyware b) Java Script c) Active-x d) Adware e) Worm Questão 8 Na empresa onde Pedro trabalha, ocorreu um incidente de segurança, um ataque onde foram expostas informações sigilosas da organização. Ao analisar o fato, Pedro percebeu que o ataque ocorreu por meio de um acesso privilegiado em um programa que acessava a base de dados. Nesse caso, podemos afirmar que o tipo de ataque ocorrido foi: a) Buffer Overflow b) Força bruta c) SYN Flooding d) IP Spoofing e) SQLinjection Questão 9 As __________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as __________. a) Vulnerabilidades, passivos, ameaças. b) Ameaças, ativos, vulnerabilidades. c) Vulnerabilidades, ativos, ameaças. d) Ameaças, essenciais, vulnerabilidades. e) Ameaças, passivos, vulnerabilidades. Questão 10 Em 2015, as companhias A, B e C reportaram diversas tentativas de invasão aos banco de dados do Grupo ABC. A única empresa afetada pela onda de ataques foi a empresa C, que teve seus dados expostos por hackers não identificados. O ataque utilizado foi o SQLinjection. Nesse caso, podemos afirmar que foi explorada a: a) Vulnerabilidade de comunicação. b) Vulnerabilidade de software. c) Vulnerabilidade de mídias. d) Vulnerabilidade física. e) Vulnerabilidade natural. Questão 11 Alfredo trabalha na empresa XPTO como analista de teste, e tem como principal responsabilidade a realização de prova de segurança. Com crise econômica a empresa resolveu suspender todos os treinamentos das equipes. Dessa forma, Alfredo não conseguiu fazer os cursos previstos para sua atualização, tendo em vista a empresa estar migrando todos os seus sistemas para JAVA. Um dos sistemas testados por Alfredo foi utilizado por hacker para invadir a organização. Nesse caso, podemos afirmar que ocorreu uma vulnerabilidade: a) Voluntária. b) Involuntária. c) Natural. d) De Hardware. e) De Comunicação. Questão 12 Por uma desorganização interna, a empresa Y não renovou o contrato de manutenção dos seus equipamentos de armazenamento. Nesses equipamentos, estão armazenados os arquivos de trabalho de todos da organização. Nesse ano, quatro discos já estão inutilizados, pois apresentaram erros. Esse incidente ocasionou problemas de indisponibilidade nos dados e várias áreas tiveram que solicitar o backup de seus arquivos. Nesse caso, estamos falando de qual tipo de vulnerabilidade? a) Voluntária. b) Involuntária. c) Natural. d) Hardware. e) Comunicação. Questão 13 Analise a figura acima e complete corretamente os desenhos: a) Agentes ameaçadores, vulnerabilidades, incidente de segurança, negócios, cliente e produtos. b) Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios. c) Ameaças, incidentes de segurança, negócios, vulnerabilidades, clientes e produtos. d) Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios. e) Vulnerabilidades, ataques, incidentes de segurança, clientes e produtos, negócios. Questão 14 João foi contratado para realizar a análise de vulnerabilidade da empresa XPTO e precisa utilizar uma ferramenta que realize a coleta de informações sobre as portas do protocolo TCP/IP, e ajude a descobrir serviços ou servidores nessa rede. Nesse caso, ele poderá utilizar qual ferramenta? a) NMAP. b) SQLMAP. c) PING. d) Acunetix. e) Aircrack. Questão 15 Para realizar a análise de vulnerabilidade de uma rede, o primeiro passo é reconhecer o tráfego e o comportamento dessa rede. Nesse caso, precisaremos utilizar qual das ferramentas? a) Metasploit. b) Wireshark. c) PING. d) Acunetix. e) Aircrack. Questão 16 Você é consultor de segurança de sua empresa e precisa verificar se as aplicações construídas estão vulneráveis a ataques do tipo SQLinjection. Nesse caso, qual seria a ferramenta mais indicada para utilização? a) SQLFORMS. b) SQLMAP. c) Wireshark. d) PING. e) Aircrack. Questão 17 O número de conexões que um servidor web pode manter com seus clientes é limitado. Nesse caso, se um usuário malicioso utilizar um programa para realizar requisições de conexão a esse servidor de forma a levá-lo à indisponibilidade, esse usuário está praticando um ataque do tipo: a) SQLInjection. b) Força bruta. c) Negação de serviço. d) Phising. e) Sequestro de sessão. Questão 18 Maria recebeu um e-mail com solicitação de seu banco para que atualizasse seu cadastro. Junto com esse e-mail foi enviado um link do site para atualização. Somente após passar as suas informações confidenciais é que Maria percebeu que o site era falso. Nesse caso, Maria sofreuum ataque do tipo: a) Cross-site Scripting. b) Força bruta. c) Negação de serviço. d) Phising. e) Sequestro de sessão. Questão 19 Maria utiliza um fórum na web e seu usuário tem permissão para incluir mensagens de sua própria autoria para que outros participantes possam ler. Esse aplicativo possui um erro, e um usuário mal intencionado conseguiu injetar instruções para enviar mensagens a todos os usuários do fórum. Nesse caso, esse fórum sofreu um ataque de: a) Cross-site Scripting. b) Força bruta. c) Negação de serviço. d) Phising. e) Sequestro de sessão. Questão 20 Quando um usuário mal intencionado utiliza um endereço de origem IP ou HTTP representando o cliente para se passar por ele, estamos nos referindo a um ataque do tipo: a) Cross-site Scripting. b) Força bruta. c) Negação de serviço. d) Phising. e) Sequestro de sessão. Questão 21 Na fase de levantamento de informações, o atacante pode utilizar dois tipos de levantamento: a) Formal e informal. b) Passivo e ativo. c) Interno e externo. d) Direto e indireto. e) Manual e automatizado. Questão 22 Qual das opções a seguir é utilizada pelo atacante para manutenção de acesso ao sistema após a realização de um ataque: a) Ataque DDoS. b) Scan de Rede. c) Engenharia Social. d) Backdoors. e) Buffer overflow. Questão 23 Ferramenta que pode ser utilizada por um atacante para a camuflagem das evidências de ataque: a) Cavalo de Troia. b) Rootkit. c) Scan de Host. d) Traceroute. e) Buffer Overflow. Questão 24 Fase que apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, além de prejudicar o desempenho do ambiente: a) Levantamento das informações. b) Mapeamento das informações. c) Exploração das informações. d) Visualização das informações. e) Manutenção das informações. Questão 25 João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Nesse caso, como denominamos este tipo de risco? a) Risco verdadeiro. b) Risco percebido. c) Risco real. d) Risco tratado. e) Risco residual. Questão 26 Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões a seguir e identifique a opção que NÃO representa um benefício: a) Melhorar a efetividade das decisões para controlar os riscos. b) Eliminar os riscos completamente e não precisar mais tratá-los. c) Melhorar a eficácia no controle de riscos. d) Manter a reputação e imagem da organização. e) Entender os riscos associados ao negócio e a gestão da informação. Questão 27 Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para atuar na equipe. Ao chegar, ele perguntou o conceito de risco. Você prontamente respondeu que risco é... : a) Probabilidade de uma ameaça explorar uma vulnerabilidade. b) Probabilidade de um incidente ocorrer mais vezes. c) Probabilidade de uma ameaça explorar um incidente. d) Probabilidade de um ativo explorar uma ameaça. e) Probabilidade de um ativo explorar uma vulnerabilidade. Questão 28 Pedro trabalha na área de gestão de risco da empresa Zanfas, e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da empresa e, portanto não vale a pena tratá-lo. Nesse caso, Pedro: a) Aceita o risco. b) Rejeita o risco. c) Ignora o risco. d) Comunica o risco. e) Trata o risco a qualquer custo. Questão 29 A partir das assertivas: “Forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades”, qual a alternativa correta? a) Risco verdadeiro; b) Risco percebido; c) Risco real; d) Risco tratado; e) Risco residual; Questão 30 No processo de análise e avaliação serão realizados todos os levantamentos em relação às ameaças, às vulnerabilidades, às probabilidades e ao impacto aos quais os ativos estão sujeitos. Existem duas metodologias que podemos aplicar, são elas: a) Análise quantitativa e análise qualitativa. b) Análise de processo e análise tecnológica. c) Análise financeira e qualitativa. d) Análise processo e análise financeira. e) Análise quantitativa e análise financeira. Questão 31 No processo de avaliação de risco, o grau de aceitação de um risco pode ser: a) Risco intolerável, risco aceitável, riscos tolerável. b) Risco bom, risco médio e risco alto. c) Risco financeiro, risco físico, risco de software. d) Risco tecnológico, risco financeiro, risco administrativo. e) Risco financeiro, risco de pessoal, riscos tecnológico. Questão 32 Qual alternativa indica a “Fase da gestão de riscos onde serão realizados todos os levantamentos em relação às ameaças, às vulnerabilidades, às probabilidades e ao impacto aos quais os ativos estão sujeitos”? a) Levantamento dos riscos. b) Análise e avaliação dos riscos. c) Tratamento dos riscos. d) Aceitação dos riscos. e) Comunicação dos riscos.
Compartilhar