GESTÃO DE RISCOS, AMEAÇAS E VULNERABILIDADES

Prévia do material em texto

1a Questão (Ref.: 201708845007) Fórum de Dúvidas (0) Saiba (0)
A pessoa responsável pela classificação da informação em uma organização é :
O custodiante
 O proprietário da informação
Analista de Segurança
A equipe de TI
O diretor da organização
 
 2a Questão (Ref.: 201708845009) Fórum de Dúvidas (0) Saiba (0)
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento
fundamental para:
A gestão de orçamento.
 A gestão dos negócios da organização.
A gestão da área comercial.
A gestão do ciclo da informação interna.
A gestão dos usuários.
 
 3a Questão (Ref.: 201708845008) Fórum de Dúvidas (0) Saiba (0)
A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem
competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que chamamos
de ciclo de vida. Analise as opções abaixo e assinale a alternativa que não pertence a este ciclo de vida:
Descarte
Transporte
Armazenamento
Manuseio
 Auditoria
 
 4a Questão (Ref.: 201708845010) Fórum de Dúvidas (0) Saiba (0)
O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente
estão revolucionando o modo de operação das empresas. A demanda gradual por armazenamento de conhecimento
tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem
proteger as suas informações?
Pelos seus valores internos e qualitativos.
Pelos seus valores estratégicos e qualitativos.
 Pelos seus valores estratégicos e financeiros.
Somente pelo seu valor financeiro.
Somente pelos seus valores qualitativos e financeiros.
 
 1a Questão (Ref.: 201708845014) Fórum de Dúvidas (0) Saiba (0)
Na empresa onde Pedro trabalha ocorreu um incidente de segurança. Neste incidente ocorreu um ataque onde
foram expostas informações sigilosas da organização. Ao analisar o ataque, Pedro percebeu que o ataque ocorreu
através de um acesso privilegiado em um programa que acessava a Base de dados. Neste caso podemos afirmar
que ocorreu um ataque do tipo:
SYN Flooding
IP Spoofing
 SQLinjection
Buffer Overflow
Força bruta
 
 2a Questão (Ref.: 201708845012) Fórum de Dúvidas (0) Saiba (0)
Você precisou realizar uma varredura à procura de software malicioso nas máquinas de seu setor e detectou um
software especificamente projetado para apresentar propagandas através do software de navegação da Internet.
Neste caso você encontrou um :
Worm
Spyware
 Adware
Java Script
Active-x
 
 3a Questão (Ref.: 201708845013) Fórum de Dúvidas (0) Saiba (0)
Você precisou realizar uma varredura à procura de software malicioso nas máquinas de seu setor e detectou além
de vírus, uma variação de adware que foi especificamente projetado para observa as atividades do usuário de
computador sem o seu consentimento e enviar as informações por relatórios ao autor do software. Neste caso você
encontrou um :
Adware
 Spyware
Worm
Active-x
Java Script
 
 4a Questão (Ref.: 201708845011) Fórum de Dúvidas (0) Saiba (0)
Carlos detectou em uma máquina da empresa que trabalha um software malicioso capaz de capturar e armazenar
as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Carlos encontrou um:
Worm
Screenlogger
Backdoor
 Keylogger
Trojan
 1a Questão (Ref.: 201708848005) Fórum de Dúvidas (0) Saiba (0)
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com
a ABNT NBR ISO/IEC 27005.
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem
humana.
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de
incidentes de segurança.
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente
estabelecido.
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
 
 2a Questão (Ref.: 201708845017) Fórum de Dúvidas (0) Saiba (0)
Alfredo trabalha na empresa XPTO como analista de teste e tem como principal responsabilidade a realização de
teste de segurança. Com crise econômica a empresa resolveu suspender todos os treinamentos das equipes. Desta
forma Alfredo não conseguiu fazer os cursos previstos para sua atualização, tendo em vista a empresa estar
migrando todos os seus sistemas para JAVA. Um dos sistemas testados por Alfredo foi utilizado por Hacker para
invadir a organização. Neste caso podemos afirmar que ocorreu uma vulnerabilidade:
Hardware
Voluntária
 Involuntária
Natural
Comunicação
 
 3a Questão (Ref.: 201709041706) Fórum de Dúvidas (0) Saiba (0)
Sobre o gerenciamento de riscos é correto afirmar:
A seleção de controles de segurança da informação depende exclusivamente das decisões da organização,
baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais
são irrelevantes.
 Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais
apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a
implementação dos controles selecionados para a proteção contra estes riscos.
A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a
continuidade do negócio, porém, não deve ser repetida periodicamente.
Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações,
e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes
nesse contexto.
 Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido
tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam
eliminados, ou seja, reduzidos zero.
 
 4a Questão (Ref.: 201708845015) Fórum de Dúvidas (0) Saiba (0)
As ________________________ por si só não provocam acidentes, pois são elementos __________, para que
ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as
___________________.
 Vulnerabilidades, passivos, ameaças
Ameaças, essenciais, vulnerabilidades
Vulnerabilidades, ativos, ameaças
Ameaças, passivos, vulnerabilidades
Ameaças, ativos, vulnerabilidades
 
 5a Questão (Ref.: 201708845016) Fórum de Dúvidas (0) Saiba (0)
Em 2015, as companhias A, B e C reportaram diversas tentativas de invasão aos banco de dados do Grupo ABC. A
única empresa afetada pela onda de ataques foi a empresa C, que teve seus dados expostos por hackers não
identificados. O ataque utilizados foi o SQLinjection. Neste caso podemos afirmar que foi explorada a :
Vulnerabilidade de Comunicação
Vulnerabilidade de Mídias
 Vulnerabilidade de Software
Vulnerabilidade Física
Vulnerabilidade Natural
 
 6a Questão (Ref.: 201709041709) Fórum de Dúvidas (0) Saiba (0)
A ocorrência de um roubo de computadores na organização, caso aconteça, provocará a perda de ativos materiais e
informações. Este contexto representa o conceito de:
Probabilidade
Vulnerabilidade
Risco
Impacto
 Ameaça
 
 7a Questão (Ref.: 201708845018) Fórum de Dúvidas (0) Saiba (0)
Por uma desorganização interna, a empresa Y não renovou o contrato de manutenção dos seus equipamentos de
armazenamento. Nestes equipamentos estão armazenados os arquivos de trabalho de todos da organização. Neste
ano quatro discos já estão inutilizados, pois apresentaram erros. Esteincidente ocasionou problemas de
indisponibilidade nos dados e várias áreas tiveram que solicitar o backup de seus arquivos. Neste caso estamos
falando de qual tipo de vulnerabilidade?
Voluntária
Involuntária
Comunicação
 Hardware
Natural
 1a Questão (Ref.: 201708845022) Fórum de Dúvidas (0) Saiba (0)
Você é consultor de segurança de sua empresa e precisa verificar se as aplicações construídas estão vulneráveis a
ataques do tipo SQLinjection. Neste caso qual seria a ferramenta mais indicada para utilização?
PING
SQLFORMS
 SQLMAP
Aircrack
Wireshark
 
 2a Questão (Ref.: 201708845020) Fórum de Dúvidas (0) Saiba (0)
Para realizar a análise de vulnerabilidade de uma rede, o primeiro passo é conhecer o tráfego e o comportamento
desta rede. Neste caso precisaremos utilizar qual das ferramentas abaixo?
Acunetix
 Wireshark
Aircrack
Metasploit
PING
 
 3a Questão (Ref.: 201708845019) Fórum de Dúvidas (0) Saiba (0)
João foi contratado para realizar a análise de vulnerabilidade da empresa XPTO e precisa utilizar uma ferramenta
que realize a coleta de informações sobre as portas do protocolo TCP/IP e ajude a descobrir serviços ou servidores
nesta rede. Neste caso ele poderá utilizar qual ferramenta?
PING
 NMAP
SQLMAP
Acunetix
Aircrack
 1a Questão (Ref.: 201708845025) Fórum de Dúvidas (0) Saiba (0)
Maria utiliza um fórum na web e seu usuário tem permissão para incluir mensagens de sua própria autoria para que
outros participantes possam ler. Este aplicativo possui um erro e um usuário mal intencionado conseguiu injetar
instruções para enviar mensagens para todos os usuários do fórum. Neste caso este fórum sofreu um ataque de:
Força-Bruta
 Cross-site Scripting
Sequestro de sessão
Phising
Negação de serviço
 
 2a Questão (Ref.: 201708845023) Fórum de Dúvidas (0) Saiba (0)
O número de conexões que um servidor Web pode manter com seus clientes é limitado. Neste caso se um usuário
malicioso utilizar um programa para realizar requisições de conexão a este servidor de forma a leva-lo a
indisponibilidade , este usuário está praticando um ataque do tipo:
Sequestro de sessão
 Negação de serviço
Phising
Força-Bruta
SQLInjection
 
 3a Questão (Ref.: 201708845024) Fórum de Dúvidas (0) Saiba (0)
Maria recebeu um email com solicitação de seu banco para que atualizasse seu cadastro. Junto com este email foi
enviado um link do site para atualização. Somente após passar as suas informações confidenciais é que Maria
percebeu que o site era falso. Neste caso Maria sofreu um ataque do tipo:
 Phising
Negação de serviço
Sequestro de sessão
Cross-site Scripting
Força-Bruta
 
 4a Questão (Ref.: 201708848003) Fórum de Dúvidas (0) Saiba (0)
Dentre os diversos tipos conhecidos de ataque, assinale a opção que melhor define o que vem a ser um Backdoor?
Backdoor é um pequeno programa criado para causar algum tipo de dano a um computador. Este dano
pode ser lentidão, exclusão de arquivos e até a inutilização do Sistema Operacional.
Backdoor consiste no software que recolhe a informação sobre um usuário do computador e transmite
então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do
usuário.
Backdoor é um pequeno programas escrito geralmente em linguagem C que explora vulnerabilidades
conhecidas. Geralmente é escrito pelos ¿verdadeiros hackers¿ e é utilizado por pessoas sem conhecimento
da vulnerabilidade. Este tipo de programa atrai o público por que geralmente é muito pequeno, fácil de usar
e o ¿benefício¿ que ele proporciona é imediato e satisfatório
Backdoor é um programa auto-replicante completo que não precisa de outro programa para se propagar.
 Backdoor é uma técnica que o invasor usa para deixar uma porta aberta depois de uma invasão para que
ele possa voltar facilmente ao sistema invadido para novas realizações.
 
 5a Questão (Ref.: 201708845026) Fórum de Dúvidas (0) Saiba (0)
Quando um usuário mal intencionado utiliza um endereço de origem IP ou HTTP representando o cliente para se
fazer passar por ele, estamos nos referindo a um ataque do tipo:
Força-Bruta
Cross-site Scripting
 Sequestro de sessão
Phising
Negação de serviço
 1a Questão (Ref.: 201708845032) Fórum de Dúvidas (0) Saiba (0)
Fase que apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-
ataque envolve a utilização de diferentes técnicas e softwares, além de prejudicar o desempenho do ambiente:
 Mapeamento das informações
Visualização das informações
 Exploração das informações
Manutenção das informações
Levantamento das informações
 
 2a Questão (Ref.: 201708845029) Fórum de Dúvidas (0) Saiba (0)
Qual das opções abaixo é utilizada pelo atacante para manutenção de acesso ao sistema após a realização de um
ataque:
Ataque DDoS
Buffer Overflow
Engenharia Social
Scan de Rede
 Backdoors
 
 3a Questão (Ref.: 201708845031) Fórum de Dúvidas (0) Saiba (0)
Ferramenta que pode ser utilizada por um atacante para a camuflagem das evidências de ataque:
Buffer Overflow
Scan de Host
Traceroute
Cavalo de Tróia
 Rootkit
 
 4a Questão (Ref.: 201708845027) Fórum de Dúvidas (0) Saiba (0)
Na fase de levantamento de informações o atacante pode utilizar para este levantamento dois tipos de
levantamento:
Interno e externo
Formal e informal
 Passivo e Ativo
Manual e automatizado
Direto e indireto
 
 5a Questão (Ref.: 201708848006) Fórum de Dúvidas (0) Saiba (0)
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias
maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma
mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de
cartão de crédito ou um site de comércio eletrônico.
Hijackers.
Wabbit.
Exploits.
 Phishing.
Trojans.
 1a Questão (Ref.: 201708845036) Fórum de Dúvidas (0) Saiba (0)
Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para trabalhar na equipe. Ao chegar
ele perguntou o conceito de risco. Você prontamente respondeu que Risco é....:
Probabilidade de uma ameaça explorar um incidente.
Probabilidade de um ativo explorar uma vulnerabilidade
Probabilidade de um incidente ocorrer mais vezes.
Probabilidade de um ativo explorar uma ameaça.
 Probabilidade de uma ameaça explorar uma vulnerabilidade
 
 2a Questão (Ref.: 201709041713) Fórum de Dúvidas (0) Saiba (0)
Qual dos testes abaixo não é um que é comumente utilizado para verificação de vulnerabilidades?
 Mapeamento de Rede
Scan de Portas
Scan de Vulnerabilidades
 Quebra de Conta
Monitoramento de Rede
 
 3a Questão (Ref.: 201708845034) Fórum de Dúvidas (0) Saiba (0)
Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões
abaixo e identifique a opção que NÂO representa um benefício:
Manter a reputação e imagem da organização
Melhorar a eficácia no controle de riscos
Entender os riscos associados ao negócio e a gestão da informação
 Eliminar os riscos completamente e não precisar mais tratá-los
Melhorar a efetividade das decisões para controlar os riscos
 
 4a Questão (Ref.: 201709041716) Fórum de Dúvidas (0) Saiba (0)
Um dos aspectos mais importantes da política de segurança é o processo de análise de riscos. Suas partes, quando
isoladas, quase nada representam, mas, alinhadas e geridas adequadamente, apontam caminhos na busca de
segurança de uma organização. Integram as partes do processo de análise de riscos:
I. Identificação e Classificação dos Processos de Negócio;
II. Identificaçãoe Classificação dos Ativos;
III. Análise de Ameaças e Danos;
IV. Análise de Vulnerabilidades;
V. Análise de Risco.
É correto o que consta em:
II, III, IV e V, apenas.
I, III e IV, apenas.
I, III, IV e V, apenas.
 I, II, III, IV e V.
II, III e IV, apenas.
 
 5a Questão (Ref.: 201708845033) Fórum de Dúvidas (0) Saiba (0)
João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas
de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso
como denominamos este tipo de risco?
Risco real
Risco tratado
 Risco residual
Risco percebido
Risco verdadeiro
 
 6a Questão (Ref.: 201708845037) Fórum de Dúvidas (0) Saiba (0)
João trabalha na área de gestão de risco da empresa Zanfas e verificou que o custo de proteção contra um
determinado risco está muito além das possibilidades da organização e, portanto não vale a pena tratá-lo. Neste
caso João:
Rejeita o risco.
Comunica o risco.
Ignora o risco.
 Aceita o risco.
Trata o risco a qualquer custo.
 1a Questão (Ref.: 201708845045) Fórum de Dúvidas (0) Saiba (0)
Fase da gestão de riscos onde serão realizados todos os levantamentos em relação às ameaças, vulnerabilidades,
probabilidades e impacto aos quais os ativos estão sujeitos:
Tratamento dos riscos
 Análise e avaliação dos riscos
Aceitação dos riscos
 Levantamento dos riscos
Comunicação dos riscos
 
 2a Questão (Ref.: 201708845043) Fórum de Dúvidas (0) Saiba (0)
No processo de avaliação de risco o nível de aceitação de um risco pode ser:
Risco financeiro, risco físico, risco de software
 Risco tecnológico, risco financeiro, risco administrativo
Risco financeiro, risco de pessoal, riscos tecnológico
 Risco intolerável, risco aceitável, riscos tolerável
Risco bom, risco médio e risco alto
 
 3a Questão (Ref.: 201708845042) Fórum de Dúvidas (0) Saiba (0)
No processo de análise e avaliação serão realizados todos os levantamentos em relação às ameaças,
vulnerabilidades, probabilidades e impacto aos quais os ativos estão sujeitos. Existem duas metodologias que
podemos aplicar:
 análise quantitativa e análise qualitativa
análise financeira e qualitativa
análise de processo e análise tecnológica
análise processo e análise financeira
análise quantitativa e análise financeira
 
 4a Questão (Ref.: 201708845039) Fórum de Dúvidas (0) Saiba (0)
Forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e
prioridades.
 Risco verdadeiro
Risco tratado
 Risco percebido
Risco residual
Risco real