Gestão De Riscos, Ameaças E Vulnerabilidades

Prévia do material em texto

EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
A pessoa responsável pela classificação da informação em uma organização é:
Certo -a) O proprietário da informação.
b) A equipe de TI.
c) O custodiante.
d) Analista de Segurança.
e) O diretor da organização.
Questão 2
A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Nesse sentido, devemos proteger os diferentes momentos vividos por essa informação que chamamos de ciclo de vida. Analise as opções e assinale a alternativa que Não pertence a esse ciclo de vida:
Certo--	a) Auditoria
b) Armazenamento
c) Transporte
d) Descarte
e) Manuseio
Questão 3
A gestão do ciclo de vida da informação, no contexto da segurança da informação, tem se tornado um elemento fundamental para:
a) A gestão dos usuários.
Certo__b) A gestão dos negócios da organização.
c) A gestão da área comercial.
d) A gestão do ciclo da informação interna.
e) A gestão de orçamento.
Questão 4
O advento da internet e a globalização transformaram completamente o mundo que vivemos e, consequentemente, estão revolucionando o modo de operação das empresas. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações?
a) Somente pelo seu valor financeiro.
Certo b) Pelos seus valores estratégicos e financeiros.
c) Somente pelos seus valores qualitativos e financeiros.
d) Pelos seus valores estratégicos e qualitativos.
e) Pelos seus valores internos e qualitativos. 
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
Carlos detectou, em uma máquina da empresa que trabalha, um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Nesse caso, podemos afirmar que Carlos encontrou um: 
a) Backdoor
b) Worm
Certo_c) Keylogger
d) Screenlogger
e) Trojan
Questão 2
Você precisou realizar uma varredura à procura de software malicioso, nas máquinas de seu setor, e detectou um software especificamente projetado para apresentar propagandas através do navegador da internet. Nesse caso, você encontrou um: 
a) Spyware
b) Java Script
c) Active-x
Certo_d) Adware
e) Worm
Questão 3
Você precisou realizar uma varredura à procura de software malicioso, nas máquinas de seu setor, e detectou além de vírus, uma variação de adware que foi especificamente projetado para observar as atividades do usuário de computador sem o seu consentimento, e enviar as informações por relatórios ao autor do software. Nesse caso, você encontrou um:
Certo_a) Spyware
b) Java Script
c) Active-x
d) Adware
e) Worm
Questão 4
Na empresa onde Pedro trabalha, ocorreu um incidente de segurança, um ataque onde foram expostas informações sigilosas da organização. Ao analisar o fato, Pedro percebeu que o ataque ocorreu por meio de um acesso privilegiado em um programa que acessava a base de dados. Nesse caso, podemos afirmar que o tipo de ataque ocorrido foi:
a) Buffer Overflow
b) Força bruta
c) SYN Flooding
d) IP Spoofing
Certo___e) SQLinjection 
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
As __________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as __________.
Certo __a) Vulnerabilidades, passivos, ameaças.
b) Ameaças, ativos, vulnerabilidades.
c) Vulnerabilidades, ativos, ameaças.
d) Ameaças, essenciais, vulnerabilidades.
e) Ameaças, passivos, vulnerabilidades.
Questão 2
Em 2015, as companhias A, B e C reportaram diversas tentativas de invasão aos banco de dados do Grupo ABC. A única empresa afetada pela onda de ataques foi a empresa C, que teve seus dados expostos por hackers não identificados. O ataque utilizado foi o SQLinjection. Nesse caso, podemos afirmar que foi explorada a:
a) Vulnerabilidade de comunicação.
Certo__b) Vulnerabilidade de software.
c) Vulnerabilidade de mídias.
d) Vulnerabilidade física.
e) Vulnerabilidade natural.
Questão 3
Alfredo trabalha na empresa XPTO como analista de teste, e tem como principal responsabilidade a realização de prova de segurança. Com crise econômica a empresa resolveu suspender todos os treinamentos das equipes. Dessa forma, Alfredo não conseguiu fazer os cursos previstos para sua atualização, tendo em vista a empresa estar migrando todos os seus sistemas para JAVA. Um dos sistemas testados por Alfredo foi utilizado por hacker para invadir a organização. Nesse caso, podemos afirmar que ocorreu uma vulnerabilidade:
a) Voluntária.
Certo___b) Involuntária.
c) Natural.
d) De Hardware.
e) De Comunicação.
Questão 4
Por uma desorganização interna, a empresa Y não renovou o contrato de manutenção dos seus equipamentos de armazenamento. Nesses equipamentos, estão armazenados os arquivos de trabalho de todos da organização. Nesse ano, quatro discos já estão inutilizados, pois apresentaram erros. Esse incidente ocasionou problemas de indisponibilidade nos dados e várias áreas tiveram que solicitar o backup de seus arquivos. Nesse caso, estamos falando de qual tipo de vulnerabilidade?
a) Voluntária.
b) Involuntária.
c) Natural.
Certo__d) Hardware.
e) Comunicação.
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
Analise a figura acima e complete corretamente os desenhos:
Certo__a) Agentes ameaçadores, vulnerabilidades, incidente de segurança, negócios, cliente e produtos.
b) Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios.
c) Ameaças, incidentes de segurança, negócios, vulnerabilidades, clientes e produtos.
d) Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios.
e) Vulnerabilidades, ataques, incidentes de segurança, clientes e produtos, negócios.
Questão 2
João foi contratado para realizar a análise de vulnerabilidade da empresa XPTO e precisa utilizar uma ferramenta que realize a coleta de informações sobre as portas do protocolo TCP/IP, e ajude a descobrir serviços ou servidores nessa rede. Nesse caso, ele poderá utilizar qual ferramenta?
Cero__a) NMAP.
b) SQLMAP.
c) PING.
d) Acunetix.
e) Aircrack.
Questão 3
Para realizar a análise de vulnerabilidade de uma rede, o primeiro passo é reconhecer o tráfego e o comportamento dessa rede. Nesse caso, precisaremos utilizar qual das ferramentas? 
a) Metasploit.
Certo__b) Wireshark.
c) PING.
d) Acunetix.
e) Aircrack.
Questão 4
Você é consultor de segurança de sua empresa e precisa verificar se as aplicações construídas estão vulneráveis a ataques do tipoSQLinjection. Nesse caso, qual seria a ferramenta mais indicada para utilização?
a) SQLFORMS.
Certo_b) SQLMAP.
c) Wireshark.
d) PING.
e) Aircrack.
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
O número de conexões que um servidor web pode manter com seus clientes é limitado. Nesse caso, se um usuário malicioso utilizar um programa para realizar requisições de conexão a esse servidor de forma a levá-lo à indisponibilidade, esse usuário está praticando um ataque do tipo:
a) SQLInjection.
b) Força bruta.
Certo__c) Negação de serviço.
d) Phising.
e) Sequestro de sessão.
Questão 2
Maria recebeu um e-mail com solicitação de seu banco para que atualizasse seu cadastro. Junto com esse e-mail foi enviado um link do site para atualização. Somente após passar as suas informações confidenciais é que Maria percebeu que o site era falso. Nesse caso, Maria sofreu um ataque do tipo:
a) Cross-site Scripting.
b) Força bruta.
c) Negação de serviço.
Certo__d) Phising.
e) Sequestro de sessão.
Questão 3
Maria utiliza um fórum na web e seu usuário tem permissão para incluir mensagens de sua própria autoria para que outros participantes possam ler. Esse aplicativo possui um erro, e um usuário mal intencionado conseguiu injetar instruções para enviar mensagens a todos os usuários do fórum. Nesse caso, esse fórum sofreu um ataque de: 
Cert__a) Cross-site Scripting.
b) Força bruta.
c) Negação de serviço.
d) Phising.
e) Sequestro de sessão.
Questão 4
Quando um usuário mal intencionado utiliza um endereço de origem IP ou HTTP representando o cliente para se passar por ele, estamos nos referindo a um ataque do tipo:
a) Cross-site Scripting.
b) Força bruta.
c) Negação de serviço.
d) Phising.
Certo__e) Sequestro de sessão.
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
Na fase de levantamento de informações, o atacante pode utilizar dois tipos de levantamento: 
a) Formal e informal.
Certo__b) Passivo e ativo.
c) Interno e externo.
d) Direto e indireto.
e) Manual e automatizado.
Questão 2
Qual das opções a seguir é utilizada pelo atacante para manutenção de acesso ao sistema após a realização de um ataque:
a) Ataque DDoS.
b) Scan de Rede.
c) Engenharia Social.
Certo__d) Backdoors.
e) Buffer overflow.
Questão 3
Ferramenta que pode ser utilizada por um atacante para a camuflagem das evidências de ataque: 
a) Cavalo de Troia.
Certo___b) Rootkit.
c) Scan de Host.
d) Traceroute.
e) Buffer Overflow.
Questão 4
Fase que apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, além de prejudicar o desempenho do ambiente:
a) Levantamento das informações.
b) Mapeamento das informações.
Certo__c) Exploração das informações.
d) Visualização das informações.
e) Manutenção das informações.
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Nesse caso, como denominamos este tipo de risco?
a) Risco verdadeiro.
b) Risco percebido.
c) Risco real.
d) Risco tratado.
Certo__e) Risco residual.
Questão 2
Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões a seguir e identifique a opção que NÃO representa um benefício:
a) Melhorar a efetividade das decisões para controlar os riscos.
Certo__b) Eliminar os riscos completamente e não precisar mais tratá-los.
c) Melhorar a eficácia no controle de riscos.
d) Manter a reputação e imagem da organização.
e) Entender os riscos associados ao negócio e a gestão da informação. 
Questão 3
Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para atuar na equipe. Ao chegar, ele perguntou o conceito de risco. Você prontamente respondeu que risco é... :
certo_ a) Probabilidade de uma ameaça explorar uma vulnerabilidade. 
b) Probabilidade de um incidente ocorrer mais vezes.
c) Probabilidade de uma ameaça explorar um incidente.
d) Probabilidade de um ativo explorar uma ameaça.
e) Probabilidade de um ativo explorar uma vulnerabilidade. 
Questão 4
Pedro trabalha na área de gestão de risco da empresa Zanfas, e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da empresa e, portanto não vale a pena tratá-lo. Nesse caso, Pedro:
Certo__a) Aceita o risco.
b) Rejeita o risco.
c) Ignora o risco.
d) Comunica o risco.
e) Trata o risco a qualquer custo.
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
A partir das assertivas: “Forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades”, qual a alternativa correta?
a) Risco verdadeiro;
Certo__b) Risco percebido;
c) Risco real;
d) Risco tratado;
e) Risco residual;
Questão 2
No processo de análise e avaliação serão realizados todos os levantamentos em relação às ameaças, às vulnerabilidades, às probabilidades e ao impacto aos quais os ativos estão sujeitos. Existem duas metodologias que podemos aplicar, são elas:
Certo__a) Análise quantitativa e análise qualitativa.
b) Análise de processo e análise tecnológica.
c) Análise financeira e qualitativa.
d) Análise processo e análise financeira.
e) Análise quantitativa e análise financeira.
Questão 3
No processo de avaliação de risco, o grau de aceitação de um risco pode ser: 
Certo__a) Risco intolerável, risco aceitável, riscos tolerável.
b) Risco bom, risco médio e risco alto.
c) Risco financeiro, risco físico, risco de software.
d) Risco tecnológico, risco financeiro, risco administrativo.
e) Risco financeiro, risco de pessoal, riscos tecnológico.
Questão 4
Qual alternativa indica a “Fase da gestão de riscos onde serão realizados todos os levantamentos em relação às ameaças, às vulnerabilidades, às probabilidades e ao impacto aos quais os ativos estão sujeitos”?
a) Levantamento dos riscos.
Certo__b) Análise e avaliação dos riscos.
c) Tratamento dos riscos.
d) Aceitação dos riscos.
e) Comunicação dos riscos.