GESTÃO DE RISCOS, AMEAÇAS E VULNERABILIDADES

Prévia do material em texto

1.
		A pessoa responsável pela classificação da informação em uma organização é :
	
	
	
	
	
	Analista de Segurança
	
	
	O custodiante
	
	
	A equipe de TI
	
	
	O proprietário da informação
	
	
	O diretor da organização
	
	
		2.
		A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para:
	
	
	
	
	
	A gestão de orçamento.
	
	
	A gestão dos usuários.
	
	
	A gestão dos negócios da organização.
	
	
	A gestão do ciclo da informação interna.
	
	
	A gestão da área comercial.
	
	
		3.
		A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que chamamos de ciclo de vida. Analise as opções abaixo e assinale a alternativa que não pertence a este ciclo de vida:
	
	
	
	
	
	Descarte
	
	
	Manuseio
	
	
	Transporte
	
	
	Auditoria
	
	
	Armazenamento
	
	
		4.
		O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações?
	
	
	
	
	
	Pelos seus valores internos e qualitativos.
	
	
	Pelos seus valores estratégicos e qualitativos.
	
	
	Pelos seus valores estratégicos e financeiros.
	
	
	Somente pelos seus valores qualitativos e financeiros.
	
	
	Somente pelo seu valor financeiro.
		1.
		Na empresa onde Pedro trabalha ocorreu um incidente de segurança. Neste incidente ocorreu um ataque onde foram expostas informações sigilosas da organização. Ao analisar o ataque, Pedro percebeu que o ataque ocorreu através de um acesso privilegiado em um programa que acessava a Base de dados. Neste caso podemos afirmar que ocorreu um ataque do tipo:
	
	
	
	
	
	Força bruta
	
	
	SYN Flooding
	
	
	SQLinjection
	
	
	IP Spoofing
	
	
	Buffer Overflow
	
	
		2.
		Você precisou realizar uma varredura à procura de software malicioso nas máquinas de seu setor e detectou um software especificamente projetado para apresentar propagandas através do software de navegação da Internet. Neste caso você encontrou um :
	
	
	
	
	
	Active-x
	
	
	Worm
	
	
	Adware
	
	
	Java Script
	
	
	Spyware
	
	
		3.
		Você precisou realizar uma varredura à procura de software malicioso nas máquinas de seu setor e detectou além de vírus, uma variação de adware que foi especificamente projetado para observa as atividades do usuário de computador sem o seu consentimento e enviar as informações por relatórios ao autor do software. Neste caso você encontrou um :
	
	
	
	
	
	Java Script
	
	
	Worm
	
	
	Active-x
	
	
	Spyware
	
	
	Adware
	
	
		4.
		Carlos detectou em uma máquina da empresa que trabalha um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Carlos encontrou um:
	
	
	
	
	
	Keylogger
	
	
	Screenlogger
	
	
	Backdoor
	
	
	Trojan
	
	
	Worm
		1.
		Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
	
	
	
	
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
	
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	
		2.
		Alfredo trabalha na empresa XPTO como analista de teste e tem como principal responsabilidade a realização de teste de segurança. Com crise econômica a empresa resolveu suspender todos os treinamentos das equipes. Desta forma Alfredo não conseguiu fazer os cursos previstos para sua atualização, tendo em vista a empresa estar migrando todos os seus sistemas para JAVA. Um dos sistemas testados por Alfredo foi utilizado por Hacker para invadir a organização. Neste caso podemos afirmar que ocorreu uma vulnerabilidade:
	
	
	
	
	
	Involuntária
	
	
	Hardware
	
	
	Voluntária
	
	
	Comunicação
	
	
	Natural
	
	
		3.
		Sobre o gerenciamento de riscos é correto afirmar:
	
	
	
	
	
	Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto.
	
	
	A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio, porém, não deve ser repetida periodicamente.
	
	
	A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes.
	
	
	Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos.
	
	
	Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero.
	
	
		4.
		As ________________________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as ___________________.
	
	
	
	
	
	Ameaças, ativos, vulnerabilidades
	
	
	Vulnerabilidades, ativos, ameaças
	
	
	Ameaças, essenciais, vulnerabilidades
	
	
	Ameaças, passivos, vulnerabilidades
	
	
	Vulnerabilidades, passivos, ameaças
	
	
		5.
		Em 2015, as companhias A, B e C reportaram diversas tentativas de invasão aos banco de dados do Grupo ABC. A única empresa afetada pela onda de ataques foi a empresa C, que teve seus dados expostos por hackers não identificados. O ataque utilizados foi o SQLinjection. Neste caso podemos afirmar que foi explorada a :
	
	
	
	
	
	Vulnerabilidade Física
	
	
	Vulnerabilidade de Comunicação
	
	
	Vulnerabilidade de Mídias
	
	
	Vulnerabilidade de Software
	
	
	Vulnerabilidade Natural
	
	
		6.
		A ocorrência de um roubo de computadores na organização, caso aconteça, provocará a perda de ativos materiais e informações. Este contexto representa o conceito de:
	
	
	
	
	
	Impacto
	
	
	Ameaça
	
	
	Vulnerabilidade
	
	
	Risco
	
	
	Probabilidade
	
	
		7.
		Por uma desorganização interna, a empresa Y não renovou o contrato de manutenção dos seus equipamentos de armazenamento. Nestes equipamentos estão armazenados os arquivos de trabalho de todos da organização. Neste ano quatro discosjá estão inutilizados, pois apresentaram erros. Este incidente ocasionou problemas de indisponibilidade nos dados e várias áreas tiveram que solicitar o backup de seus arquivos. Neste caso estamos falando de qual tipo de vulnerabilidade?
	
	
	
	
	
	Involuntária
	
	
	Natural
	
	
	Comunicação
	
	
	Voluntária
	
	
	Hardware
		1.
		Você é consultor de segurança de sua empresa e precisa verificar se as aplicações construídas estão vulneráveis a ataques do tipo SQLinjection. Neste caso qual seria a ferramenta mais indicada para utilização?
	
	
	
	
	
	PING
	
	
	SQLMAP
	
	
	Aircrack
	
	
	Wireshark
	
	
	SQLFORMS
	
	
		2.
		Para realizar a análise de vulnerabilidade de uma rede, o primeiro passo é conhecer o tráfego e o comportamento desta rede. Neste caso precisaremos utilizar qual das ferramentas abaixo?
	
	
	
	
	
	Aircrack
	
	
	Metasploit
	
	
	Wireshark
	
	
	PING
	
	
	Acunetix
	
	
		3.
		João foi contratado para realizar a análise de vulnerabilidade da empresa XPTO e precisa utilizar uma ferramenta que realize a coleta de informações sobre as portas do protocolo TCP/IP e ajude a descobrir serviços ou servidores nesta rede. Neste caso ele poderá utilizar qual ferramenta?
	
	
	
	
	
	Acunetix
	
	
	NMAP
	
	
	Aircrack
	
	
	PING
	
	
	SQLMAP
		1.
		Maria utiliza um fórum na web e seu usuário tem permissão para incluir mensagens de sua própria autoria para que outros participantes possam ler. Este aplicativo possui um erro e um usuário mal intencionado conseguiu injetar instruções para enviar mensagens para todos os usuários do fórum. Neste caso este fórum sofreu um ataque de:
	
	
	
	
	
	Negação de serviço
	
	
	Força-Bruta
	
	
	Phising
	
	
	Cross-site Scripting
	
	
	Sequestro de sessão
	
	
		2.
		O número de conexões que um servidor Web pode manter com seus clientes é limitado. Neste caso se um usuário malicioso utilizar um programa para realizar requisições de conexão a este servidor de forma a leva-lo a indisponibilidade , este usuário está praticando um ataque do tipo:
	
	
	
	
	
	Negação de serviço
	
	
	Força-Bruta
	
	
	Phising
	
	
	Sequestro de sessão
	
	
	SQLInjection
	
	
		3.
		Maria recebeu um email com solicitação de seu banco para que atualizasse seu cadastro. Junto com este email foi enviado um link do site para atualização. Somente após passar as suas informações confidenciais é que Maria percebeu que o site era falso. Neste caso Maria sofreu um ataque do tipo:
	
	
	
	
	
	Força-Bruta
	
	
	Cross-site Scripting
	
	
	Phising
	
	
	Negação de serviço
	
	
	Sequestro de sessão
	
	
		4.
		Dentre os diversos tipos conhecidos de ataque, assinale a opção que melhor define o que vem a ser um Backdoor?
	
	
	
	
	
	Backdoor é uma técnica que o invasor usa para deixar uma porta aberta depois de uma invasão para que ele possa voltar facilmente ao sistema invadido para novas realizações.
	
	
	Backdoor é um pequeno programa criado para causar algum tipo de dano a um computador. Este dano pode ser lentidão, exclusão de arquivos e até a inutilização do Sistema Operacional.
	
	
	Backdoor é um pequeno programas escrito geralmente em linguagem C que explora vulnerabilidades conhecidas. Geralmente é escrito pelos ¿verdadeiros hackers¿ e é utilizado por pessoas sem conhecimento da vulnerabilidade. Este tipo de programa atrai o público por que geralmente é muito pequeno, fácil de usar e o ¿benefício¿ que ele proporciona é imediato e satisfatório
	
	
	Backdoor é um programa auto-replicante completo que não precisa de outro programa para se propagar.
	
	
	Backdoor consiste no software que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário.
	
	
		5.
		Quando um usuário mal intencionado utiliza um endereço de origem IP ou HTTP representando o cliente para se fazer passar por ele, estamos nos referindo a um ataque do tipo:
	
	
	
	
	
	Força-Bruta
	
	
	Cross-site Scripting
	
	
	Phising
	
	
	Negação de serviço
	
	
	Sequestro de sessão
		1.
		Fase que apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, além de prejudicar o desempenho do ambiente:
	
	
	
	
	
	Visualização das informações
	
	
	Manutenção das informações
	
	
	Exploração das informações
	
	
	Mapeamento das informações
	
	
	Levantamento das informações
	
	
		2.
		Qual das opções abaixo é utilizada pelo atacante para manutenção de acesso ao sistema após a realização de um ataque:
	
	
	
	
	
	Buffer Overflow
	
	
	Scan de Rede
	
	
	Backdoors
	
	
	Engenharia Social
	
	
	Ataque DDoS
	
	
		3.
		Ferramenta que pode ser utilizada por um atacante para a camuflagem das evidências de ataque:
	
	
	
	
	
	Traceroute
	
	
	Rootkit
	
	
	Scan de Host
	
	
	Cavalo de Tróia
	
	
	Buffer Overflow
	
	
		4.
		Na fase de levantamento de informações o atacante pode utilizar para este levantamento dois tipos de levantamento:
	
	
	
	
	
	Manual e automatizado
	
	
	Passivo e Ativo
	
	
	Interno e externo
	
	
	Formal e informal
	
	
	Direto e indireto
	
	
		5.
		Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico.
	
	
	
	
	
	Trojans.
	
	
	Hijackers.
	
	
	Wabbit.
	
	
	Exploits.
	
	
	Phishing.
		1.
		Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para trabalhar na equipe. Ao chegar ele perguntou o conceito de risco. Você prontamente respondeu que Risco é....:
	
	
	
	
	
	Probabilidade de um ativo explorar uma vulnerabilidade
	
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	
	Probabilidade de uma ameaça explorar um incidente.
	
	
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	
	Probabilidade de um ativo explorar uma ameaça.
	
	
		2.
		Qual dos testes abaixo não é um que é comumente utilizado para verificação de vulnerabilidades?
	
	
	
	
	
	Monitoramento de Rede
	
	
	Scan de Vulnerabilidades
	
	
	Mapeamento de Rede
	
	
	Scan de Portas
	
	
	Quebra de Conta
	
	
		3.
		Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões abaixo e identifique a opção que NÂO representa um benefício:
	
	
	
	
	
	Manter a reputação e imagem da organização
	
	
	Melhorar a efetividade das decisões para controlar os riscos
	
	
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	
	Entender os riscos associados ao negócio e a gestão da informação
	
	
	Melhorar a eficácia no controle de riscos
	
	
		4.
		Um dos aspectos mais importantes da política de segurança é o processo de análise de riscos. Suas partes, quando isoladas, quase nada representam, mas, alinhadas e geridas adequadamente,apontam caminhos na busca de segurança de uma organização. Integram as partes do processo de análise de riscos:
I. Identificação e Classificação dos Processos de Negócio;
II. Identificação e Classificação dos Ativos;
III. Análise de Ameaças e Danos;
IV. Análise de Vulnerabilidades;
V. Análise de Risco.
É correto o que consta em:
	
	
	
	
	
	I, II, III, IV e V.
	
	
	I, III e IV, apenas.
	
	
	II, III, IV e V, apenas.
	
	
	I, III, IV e V, apenas.
	
	
	II, III e IV, apenas.
	
	
		5.
		João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso como denominamos este tipo de risco?
	
	
	
	
	
	Risco real
	
	
	Risco verdadeiro
	
	
	Risco percebido
	
	
	Risco residual
	
	
	Risco tratado
	
	
		6.
		João trabalha na área de gestão de risco da empresa Zanfas e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e, portanto não vale a pena tratá-lo. Neste caso João:
	
	
	
	
	
	Trata o risco a qualquer custo.
	
	
	Rejeita o risco.
	
	
	Aceita o risco.
	
	
	Ignora o risco.
	
	
	Comunica o risco.
	
	
		1.
		Fase da gestão de riscos onde serão realizados todos os levantamentos em relação às ameaças, vulnerabilidades, probabilidades e impacto aos quais os ativos estão sujeitos:
	
	
	
	
	
	Levantamento dos riscos
	
	
	Aceitação dos riscos
	
	
	Tratamento dos riscos
	
	
	Análise e avaliação dos riscos
	
	
	Comunicação dos riscos
	
	
		2.
		No processo de avaliação de risco o nível de aceitação de um risco pode ser:
	
	
	
	
	
	Risco intolerável, risco aceitável, riscos tolerável
	
	
	Risco tecnológico, risco financeiro, risco administrativo
	
	
	Risco financeiro, risco de pessoal, riscos tecnológico
	
	
	Risco financeiro, risco físico, risco de software
	
	
	Risco bom, risco médio e risco alto
	
	
		3.
		No processo de análise e avaliação serão realizados todos os levantamentos em relação às ameaças, vulnerabilidades, probabilidades e impacto aos quais os ativos estão sujeitos. Existem duas metodologias que podemos aplicar:
	
	
	
	
	
	análise quantitativa e análise financeira
	
	
	análise de processo e análise tecnológica
	
	
	análise financeira e qualitativa
	
	
	análise quantitativa e análise qualitativa
	
	
	análise processo e análise financeira
	
	
		4.
		Forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades.
	
	
	
	
	
	Risco verdadeiro
	
	
	Risco percebido
	
	
	Risco residual
	
	
	Risco tratado
	
	
	Risco real
Questão 1
Analise a figura acima e complete corretamente os desenhos:
a) Agentes ameaçadores, vulnerabilidades, incidente de segurança, negócios, cliente e produtos.
b) Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios.
c) Ameaças, incidentes de segurança, negócios, vulnerabilidades, clientes e produtos.
d) Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios.
e) Vulnerabilidades, ataques, incidentes de segurança, clientes e produtos, negócios.