Perguntas de Segurança

Prévia do material em texto

Pergunta 1 
2 / 2 pts 
Frustrar os vilões cibernéticos inclui quais das seguintes opções? (Escolher dois.) 
 
contratação de hackers 
 
 
desligamento da rede 
 
Correto! 
 
compartilhamento de informações de inteligência cibernética 
 
Correto! 
 
estabelecimento de sistemas de aviso inicial 
 
 
alteração de sistemas operacionais 
 
Refer to curriculum topic: 1.2.2 
As empresas podem unir esforços para impedir o crime digital ao estabelecer sistemas de aviso 
inicial e compartilhar inteligência cibernética. 
 
Pergunta 2 
2 / 2 pts 
Que nome é dado para hackers que fazem invasões por uma causa? 
 
“do bem” 
 
 
azuis 
 
Correto! 
 
hackers ativistas 
 
 
hacker 
 
Refer to curriculum topic: 1.2.1 
O termo é usado para descrever hackers “suspeitos” que se unem e protestam por uma causa. 
 
Pergunta 3 
2 / 2 pts 
Escolha três tipos de registros que ladrões cibernéticos teriam interesse em roubar de 
empresas. (Escolha três.) 
Correto! 
 
saúde 
 
 
jogo 
 
 
voo 
 
 
rock 
 
Correto! 
 
emprego 
 
Correto! 
 
educação 
 
 
alimentos 
 
Refer to curriculum topic: 1.3.1 
É importante proteger registros de emprego, saúde e educação porque eles contêm 
informações pessoais. 
 
Pergunta 4 
2 / 2 pts 
O que o termo vulnerabilidade significa? 
 
um computador que contém informações confidenciais 
 
 
um alvo conhecido ou uma máquina vítima 
 
 
uma ameaça em potencial criada por um hacker 
 
Correto! 
 
uma fraqueza que torna um alvo suscetível a um ataque 
 
 
um método de ataque para explorar um alvo 
 
Refer to curriculum topic: 1.3.1 
Uma vulnerabilidade não é uma ameaça, mas sim uma fraqueza que torna o PC ou o software 
um alvo para ataques. 
 
Pergunta 5 
2 / 2 pts 
O que o acrônimo IoE representa? 
 
Insight into Everything (Informações de Todas as Coisas) 
 
 
Intelligence on Everything (Inteligência de Todas as Coisas) 
 
 
Internet of Everyday (Internet do Dia a dia) 
 
Correto! 
 
Internet of Everything (Internet de Todas as Coisas) 
 
Refer to curriculum topic: 1.1.1 
A Internet de Todas as Coisas é o termo usado para os dispositivos conectados à Internet 
 
Pergunta 6 
2 / 2 pts 
Que tipo de ataque pode desativar um computador ao forçá-lo a usar a memória ou ao 
sobrecarregar a CPU? 
 
esgotamento 
 
 
DDoS 
 
Correto! 
 
algoritmo 
 
 
ATAQUES APT (ADVANCED PERSISTENT THREAT) 
 
Refer to curriculum topic: 1.4.2 
Ataques de algoritmo podem forçar computadores a usar memória ou sobrecarregar a CPU. 
 
Pergunta 7 
2 / 2 pts 
Qual é o nome dado a um hacker amador? 
 
vermelho 
 
Correto! 
 
hacker inexperiente 
 
 
equipe azul 
 
 
“do mal” 
 
Refer to curriculum topic: 1.2.1 
Script kiddies é um termo usado para descrever hackers inexperientes. 
 
Pergunta 8 
2 / 2 pts 
Qual das opções é um exemplo de um castelo de dados da Internet? 
 
Cisco 
 
 
Juniper 
 
Correto! 
 
LinkedIn 
 
 
Palo Alto 
 
Refer to curriculum topic: 1.1.1 
Um castelo de dados é um repositório de dados. 
 
Pergunta 9 
2 / 2 pts 
O que o termo BYOD representa? 
 
buy your own disaster (compre seu próprio desastre) 
 
 
bring your own disaster (traga seu próprio desastre) 
 
 
bring your own decision (traga sua própria decisão) 
 
Correto! 
 
bring your own device (traga seu próprio dispositivo) 
 
Refer to curriculum topic: 1.4.1 
O termo “traga seu próprio dispositivo” é utilizado para descrever dispositivos móveis como 
iPhones, smartphones, tablets e outros dispositivos. 
 
Pergunta 10 
2 / 2 pts 
Que tipo de ataque utiliza muitos sistemas para inundar os recursos de um alvo, o que o torna 
indisponível? 
 
varredura de ping 
 
Correto! 
 
DDoS 
 
 
DoS 
 
 
spoof 
 
Refer to curriculum topic: 1.4.2 
DDoS é um ataque que envolve vários sistemas. DoS envolve apenas um sistema de ataque 
único. 
 
Pergunta 11 
2 / 2 pts 
Qual é a categoria da estrutura da força de trabalho que inclui análise e avaliação altamente 
especializadas das informações de segurança cibernética recebidas para determinar se elas são 
úteis para a inteligência? 
 
Provisão segura 
 
 
Proteger e defender 
 
Correto! 
 
Análise 
 
 
Supervisão e desenvolvimento 
 
Refer to curriculum topic: 1.5.1 
A categoria "Analisar" da estrutura da força de trabalho inclui áreas de especialidade 
responsáveis pela avaliação e análise altamente especializadas de informações de segurança 
cibernética recebidas para determinar sua utilidade. 
 
Cap 2 
Pergunta 1 
2 / 2 pts 
Para fins de autenticação, quais são os três métodos usados para verificar a identidade? (Es-
colha três.) 
Correto! 
 
algo que você tem 
 
Correto! 
 
algo que você sabe 
 
 
algo que você faz 
 
 
o local onde você está 
 
Correto! 
 
algo que você é 
 
Refer to curriculum topic: 2.2.1 
As formas de autenticação são algo que você sabe, tem ou é. 
 
Pergunta 2 
2 / 2 pts 
Como é chamada uma rede virtual segura que usa a rede pública? 
Correto! 
 
VPN 
 
 
NAC 
 
 
Firewall 
 
 
IPS 
 
 
IDS 
 
 
MPLS 
 
Refer to curriculum topic: 2.4.1 
O termo VPN descreve uma rede virtual que usa criptografia para proteger dados quando 
trafegam pelos meios de comunicação da Internet. 
 
Pergunta 3 
2 / 2 pts 
Qual nome é dado a um dispositivo de armazenamento conectado a uma rede? 
Correto! 
 
NAS 
 
 
RAID 
 
 
DAS 
 
 
SAN 
 
 
Nuvem 
 
Refer to curriculum topic: 2.3.1 
NAS se refere a um dispositivo de armazenamento conectado a uma rede que permite o 
armazenamento e a recuperação de dados de um local centralizado por usuários de rede 
autorizados. 
 
Pergunta 4 
2 / 2 pts 
Quais são as três tarefas realizadas por uma política de segurança abrangente? (Escolha três.) 
 
utilidade para a gestão 
 
 
não ser juridicamente vinculativo 
 
 
imprecisão 
 
Correto! 
 
definição das consequências jurídicas das violações 
 
Correto! 
 
definição das regras de comportamento esperado 
 
Correto! 
 
oferecimento de apoio da gestão aos funcionários de segurança 
 
Refer to curriculum topic: 2.4.3 
A política define o estabelecimento de regras e diretrizes para a empresa. 
 
Pergunta 5 
2 / 2 pts 
Quais são os dois métodos que ajudam a garantir a disponibilidade do sistema? (Escolher dois.) 
 
resiliência do sistema 
 
Correto! 
 
manutenção de equipamentos 
 
 
verificações de integridade 
 
 
extintores de incêndio 
 
 
backups de sistema 
 
Correto! 
 
sistemas operacionais atualizados 
 
Refer to curriculum topic: 2.2.3 
 
Pergunta 6 
2 / 2 pts 
Qual princípio impede a divulgação de informações para pessoas, recursos ou processos não 
autorizados? 
 
auditoria 
 
 
não-repúdio 
 
 
disponibilidade 
 
 
integridade 
 
Correto! 
 
confidencialidade 
 
Refer to curriculum topic: 2.2.1 
O princípio de segurança da confidencialidade refere-se à prevenção da divulgação de 
informações para pessoas, recursos e processos não autorizados. 
 
Pergunta 7 
2 / 2 pts 
Quais são os três princípios fundamentais do mundo da segurança cibernética? (Escolha três.) 
 
política 
 
Correto! 
 
confidencialidade 
 
Correto! 
 
integridade 
 
Correto! 
 
disponibilidade 
 
 
segurança 
 
 
criptografia 
 
Refer to curriculum topic: 2.1.1 
Três princípios fundamentais são confidencialidade, integridade e disponibilidade. 
 
Pergunta 8 
2 / 2 pts 
Qual opção é um método de envio de informações de um dispositivo para outro usando mídias 
removíveis? 
 
com fio 
 
 
pacote 
 
Correto! 
 
rede sigilosaLAN (Rede de área local) 
 
 
sem fio 
 
 
infravermelho 
 
Refer to curriculum topic: 2.3.2 
Rede sigilosa refere-se à entrega em mãos de dados removíveis. 
 
Pergunta 9 
2 / 2 pts 
Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade? (Escolha três.) 
Correto! 
 
detecção de falhas à medida que ocorrem 
 
Correto! 
 
eliminação de pontos únicos de falha 
 
 
uso de criptografia 
 
 
garantia da confidencialidade 
 
Correto! 
 
fornecimento de cruzamento confiável 
 
 
verificação de consistência dos dados 
 
Refer to curriculum topic: 2.2.3 
Sistemas de alta disponibilidade normalmente incluem estes três princípios de projeto. 
 
Pergunta 10 
0 / 2 pts 
Qual tipo de leis de segurança cibernética protege você de uma empresa que possa querer 
compartilhar seus dados confidenciais? 
 
integridade 
 
Resposta correta 
 
privacidade 
 
Você respondeu 
 
confidencialidade 
 
 
não-repúdio 
 
 
autenticação 
 
Refer to curriculum topic: 2.2.1 
As leis de privacidade controlam o uso adequado dos dados e o acesso a eles. 
 
Pergunta 11 
2 / 2 pts 
Qual mecanismo as empresas podem usar para evitar alterações acidentais feitas por usuários 
autorizados? 
 
backups 
 
 
hashing 
 
 
SHA-1 
 
 
criptografia 
 
Correto! 
 
controle da versão 
 
Refer to curriculum topic: 2.2.2 
O controle da versão garante que dois usuários não consigam atualizar o mesmo objeto. 
 
Pergunta 12 
2 / 2 pts 
Quais são os três tipos de informações confidenciais? (Escolha três.) 
 
não confidenciais 
 
 
publicadas 
 
Correto! 
 
corporativas 
 
 
públicas 
 
Correto! 
 
confidenciais 
 
Correto! 
 
PII 
 
Refer to curriculum topic: 2.2.1 
Informações confidenciais são informações que, de outro modo, prejudicariam uma empresa 
ou um indivíduo se fossem divulgadas publicamente. 
 
Pergunta 13 
0 / 2 pts 
Quais são os dois métodos que ajudam a garantir a integridade de dados? (Escolher dois.) 
Correto! 
 
verificações de consistência de dados 
 
 
privacidade 
 
 
autorização 
 
Você respondeu 
 
disponibilidade 
 
Resposta correta 
 
hashing 
 
 
rejeição 
 
Refer to curriculum topic: 2.2.2 
Sistemas de integridade de dados incluem um dos dois métodos de integridade de dados. 
 
Pergunta 14 
2 / 2 pts 
O que é identificado pela primeira dimensão do cubo de segurança cibernética? 
 
regras 
 
 
Ferramentas 
 
 
proteções 
 
 
conhecimento 
 
Correto! 
 
metas 
 
Refer to curriculum topic: 2.1.1 
A primeira dimensão do cubo mágico da segurança cibernética identifica os objetivos da 
proteção do mundo digital. 
 
Pergunta 15 
2 / 2 pts 
Quais são os três estados de dados? (Escolha três.) 
Correto! 
 
inativos 
 
 
suspensos 
 
 
na nuvem 
 
 
criptografado 
 
Correto! 
 
em processo 
 
Correto! 
 
em trânsito 
 
Refer to curriculum topic: 2.3.1 
A proteção do mundo digital exige que os profissionais de segurança cibernética se 
responsabilizem pela segurança dos dados em trânsito, na nuvem e inativos. 
 
Pergunta 16 
2 / 2 pts 
Quais serviços determinam quais recursos os usuários podem acessar, além das operações que 
podem executar? 
 
biometria 
 
Correto! 
 
autorização 
 
 
token 
 
 
autenticação 
 
 
auditoria 
 
Refer to curriculum topic: 2.2.1 
A autorização determina se um usuário tem certos privilégios de acesso. 
 
Pergunta 17 
2 / 2 pts 
Quais são os três serviços de segurança de controle de acesso? (Escolha três.) 
 
disponibilidade 
 
Correto! 
 
auditoria 
 
 
rejeição 
 
Correto! 
 
autorização 
 
 
acesso 
 
Correto! 
 
autenticação 
 
Refer to curriculum topic: 2.2.1 
Esta pergunta refere-se à autenticação AAA, autorização e auditoria. 
 
Pergunta 18 
2 / 2 pts 
Quais são as duas funções hash comuns? (Escolher dois.) 
 
ECC 
 
 
Blowfish 
 
Correto! 
 
SHA 
 
Correto! 
 
MD5 
 
 
RC4 
 
 
RSA 
 
Refer to curriculum topic: 2.2.2 
SHA e MD5 usam algoritmos matemáticos complexos para calcular valores de hash. 
 
Pergunta 19 
2 / 2 pts 
Qual nome é dado às alterações nos dados originais, como modificação manual dos dados 
pelos usuários, processamento de programas e alteração dos dados, além de falhas em 
equipamentos? 
 
exclusão 
 
 
backup 
 
 
divulgação 
 
 
integridade 
 
 
corrupção 
 
Correto! 
 
modificação 
 
Refer to curriculum topic: 2.3.3 
A modificação envolve alterações nos dados originais e não completa a exclusão dos dados. 
 
Pergunta 20 
1 / 2 pts 
Quais das opções são dois métodos que garantem a confidencialidade? (Escolher dois.) 
Correto! 
 
criptografia 
 
Você respondeu 
 
autorização 
 
 
não-repúdio 
 
 
integridade 
 
 
disponibilidade 
 
Correto! 
 
autenticação 
 
Refer to curriculum topic: 2.2.1 
Confidencialidade significa que as informações serão visualizadas apenas por aqueles que 
precisam saber delas. Isso pode ser feito pela criptografia de dados e autenticação de usuários 
que solicitarem acesso. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Cap 3 
Que tipo de ataque é direcionado a um banco de dados SQL usando o campo de entrada de 
um usuário? 
 
Injeção de XML 
 
Correto! 
 
Inserção de SQL 
 
 
Script entre sites 
 
 
estouro de buffer 
 
Refer to curriculum topic: 3.3.3 
Um criminoso pode inserir uma declaração de SQL mal-intencionada em um campo de entrada 
em um site em que o sistema não filtra a entrada do usuário corretamente. 
 
Pergunta 2 
2 / 2 pts 
Qual é o significado do termo bomba lógica? 
 
um worm mal-intencionado 
 
 
um programa mal-intencionado que se esconde em um programa legítimo 
 
 
um vírus mal-intencionado 
 
Correto! 
 
um programa mal-intencionado que utiliza um gatilho para despertar o código malicioso 
 
Refer to curriculum topic: 3.1.1 
Uma bomba lógica permanece inativa até que um evento acionador ocorra. Assim que ativada, 
a bomba lógica executa um código malicioso que danifica um computador. 
 
Pergunta 3 
2 / 2 pts 
Qual é o termo usado quando uma parte mal-intencionada envia um e-mail fraudulento 
disfarçado de uma fonte legítima e confiável? 
 
Cavalo de Troia 
 
Correto! 
 
phishing 
 
 
backdoor 
 
 
vishing 
 
 
engenharia social 
 
Refer to curriculum topic: 3.1.2 
O phishing é usado por partes mal-intencionadas que criam mensagens fraudulentas que 
tentam enganar um usuário para ele compartilhar informações confidenciais ou instalar 
malware. 
 
Pergunta 4 
2 / 2 pts 
O que ocorre em um computador quando os dados ultrapassam os limites de um buffer? 
 
uma inserção de SQL 
 
Correto! 
 
uma saturação do buffer 
 
 
script entre sites 
 
 
uma exceção do sistema 
 
Refer to curriculum topic: 3.3.3 
Uma saturação do buffer ocorre ao alterar os dados além das fronteiras de um buffer e pode 
levar a uma falha no sistema, comprometimento de dados ou causar escalonamento de 
privilégios. 
 
Pergunta 5 
2 / 2 pts 
Qual é o nome dado a um programa ou código de programa que ignora a autenticação 
normal? 
 
vírus 
 
 
worm 
 
 
ransomware 
 
 
Cavalo de Troia 
 
Correto! 
 
backdoor 
 
Refer to curriculum topic: 3.1.1 
Um backdoor é um programa ou código de programa implementado por um criminoso para 
ignorar a autenticação normal que é usada para acessar um sistema. 
 
Pergunta 6 
0 / 2 pts 
Qual é o termo usado para descrever um e-mail que tem como alvo uma pessoa específica, 
funcionária de uma instituição financeira? 
Você respondeu 
 
phishing direcionado 
 
Respostacorreta 
 
spear phishing 
 
 
vishing 
 
 
spam 
 
 
spyware 
 
Refer to curriculum topic: 3.1.2 
Spear phishing é um ataque de phishing personalizado para chegar a uma pessoa ou a um alvo 
específico. 
 
Pergunta 7 
2 / 2 pts 
Um computador exibe para um usuário uma tela solicitando pagamento para permitir que os 
dados do usuário sejam acessados pelo mesmo usuário. Que tipo de malware é esse? 
 
um tipo de worm 
 
 
um tipo de vírus 
 
Correto! 
 
um tipo de ransomware 
 
 
um tipo de bomba lógica 
 
Refer to curriculum topic: 3.1.1 
O ransomware normalmente criptografa os dados em um computador e os indisponibiliza até 
que o usuário do computador pague uma quantia específica em dinheiro. 
 
Pergunta 8 
0 / 2 pts 
Quais são os dois motivos que descrevem por que o WEP é um protocolo fraco? (Escolher 
dois.) 
Correto! 
 
A chave é estática e se repete em uma rede congestionada. 
 
Você respondeu 
 
O WEP utiliza as mesmas funcionalidades de criptografia que o Bluetooth. 
 
 
Todos na rede usam uma chave diferente. 
 
 
As configurações padrão não podem ser modificadas. 
 
Resposta correta 
 
A chave é transmitida em texto não criptografado. 
 
Refer to curriculum topic: 3.3.2 
O vetor de inicialização (IV) do WEP é o seguinte: 
Um campo de 24 bits, que é muito pequeno 
Um texto sem criptografia e legível 
Estático e faz com que streams de chaves idênticas se repitam em uma rede ocupada 
 
Pergunta 9 
2 / 2 pts 
Quais são os dois indicadores comuns de e-mail de spam? (Escolher dois.) 
Correto! 
 
O e-mail não tem assunto. 
 
 
O e-mail é do seu supervisor. 
 
 
O e-mail é de um amigo. 
 
 
O e-mail tem um anexo que é um recibo de uma compra recente. 
 
Correto! 
 
O e-mail tem palavras com grafia incorreta, com erros de pontuação ou os dois. 
 
 
O e-mail tem palavras-chave. 
 
Refer to curriculum topic: 3.1.2 
Spam é um método comum de publicidade através do uso de e-mails não solicitados e pode 
conter malware. 
 
Pergunta 10 
0 / 2 pts 
Um criminoso usa um software para obter informações sobre o computador de um usuário. 
Qual é o nome desse tipo de software? 
 
vírus 
 
Você respondeu 
 
adware 
 
Resposta correta 
 
spyware 
 
 
phishing 
 
Refer to curriculum topic: 3.1.2 
Spyware é um software que rastreia a atividade de um usuário e obtém informações sobre ele. 
 
Pergunta 11 
2 / 2 pts 
Qual é a principal diferença entre um vírus e um worm? 
Correto! 
 
Worms se replicam, mas vírus não. 
 
 
Vírus se escondem em programas legítimos, mas worms não. 
 
 
Vírus se replicam, mas worms não. 
 
 
Worms exigem um arquivo host, mas vírus não. 
 
Refer to curriculum topic: 3.1.1 
Worms são capazes de se replicar e explorar vulnerabilidades em redes de computadores sem 
a participação do usuário. 
 
Pergunta 12 
2 / 2 pts 
Qual opção é uma vulnerabilidade que permite que criminosos injetem scripts em páginas da 
Web vistas por usuários? 
 
estouro de buffer 
 
 
Injeção de XML 
 
Correto! 
 
Script entre sites 
 
 
Inserção de SQL 
 
Refer to curriculum topic: 3.3.3 
O script entre sites (XSS) permite que criminosos injetem scripts que contêm código malicioso 
em aplicativos da Web. 
 
Pergunta 13 
2 / 2 pts 
Qual termo descreve o envio de uma mensagem curta de SMS enganosa usada para convencer 
um alvo a visitar um site da Web? 
Correto! 
 
smishing 
 
 
spam 
 
 
grayware 
 
 
representação 
 
Refer to curriculum topic: 3.3.2 
Smishing também é conhecido como phishing SMS e é usado para enviar mensagens de texto 
enganosas para fazer com que um usuário ligue para um número de telefone ou acesse um 
site específico. 
 
Pergunta 14 
0 / 2 pts 
Quais opções são duas das táticas usadas por um engenheiro social para obter informações 
pessoais de um alvo sem suspeitas? (Escolher dois.) 
 
compaixão 
 
Você respondeu 
 
honestidade 
 
Resposta correta 
 
intimidação 
 
Resposta correta 
 
urgência 
 
Você respondeu 
 
integridade 
 
Refer to curriculum topic: 3.2.1 
Táticas de engenharia social incluem o seguinte: 
Autoridade 
Intimidação 
Consenso/Prova social 
de endereços 
Urgência 
Familiaridade/Preferência 
Confiança 
 
Pergunta 15 
0 / 2 pts 
Qual nome é dado ao tipo de software que gera receita através da geração de pop-ups 
irritantes? 
 
rastreadores 
 
Você respondeu 
 
spyware 
 
 
pop-ups 
 
Resposta correta 
 
adware 
 
Refer to curriculum topic: 3.1.2 
Adware é um tipo de malware que exibe pop-ups em um computador para gerar receita para o 
criador do malware. 
 
Pergunta 16 
0 / 2 pts 
Um invasor está sentado em frente a uma loja e copia e-mails e listas de contato por meio de 
uma conexão sem fio ficando próximo aos dispositivos, sem que eles desconfiem. Que tipo de 
ataque é esse? 
 
smishing 
 
Resposta correta 
 
bluesnarfing 
 
 
bluejacking 
 
Você respondeu 
 
congestionamento de RF 
 
Refer to curriculum topic: 3.3.2 
Blusnarfing é a cópia de informações do usuário através de transmissões não autorizadas de 
Bluetooth. 
 
Pergunta 17 
2 / 2 pts 
O que um rootkit modifica? 
 
programas aplicativos 
 
 
protetores de tela 
 
 
Microsoft Word 
 
Correto! 
 
sistema operacional 
 
 
Bloco de notas 
 
Refer to curriculum topic: 3.1.1 
Um rootkit geralmente modifica um sistema operacional para criar um backdoor e ignorar 
mecanismos de autenticação normais. 
 
Pergunta 18 
2 / 2 pts 
Quais são as duas maneiras de proteger um computador contra malware? (Escolha duas) 
Correto! 
 
Manter softwares atualizados. 
 
 
Esvaziar o cache do navegador. 
 
Correto! 
 
Usar software antivírus. 
 
 
Excluir softwares não utilizados. 
 
 
Desfragmentar o disco rígido. 
 
Refer to curriculum topic: 3.1.1 
No mínimo, um computador deve usar software antivírus e ter todo o software atualizado para 
a defesa contra malware. 
 
 
 
 
 
 
Cap 4 
Qual é o nome do método no qual as letras são reorganizadas para criar o texto codificado? 
 
cifra de uso único 
 
Correto! 
 
transposição 
 
 
enigma 
 
 
substituição 
 
Refer to curriculum topic: 4.1.1 
O texto codificado pode ser criado com o uso das seguintes opções: 
Transposição – as letras são reorganizadas 
Substituição – as letras são substituídas 
Cifra de uso único – texto claro combinado com uma chave secreta que cria um novo 
caractere, que depois se combina com o texto claro para produzir texto codificado 
 
 
Pergunta 2 
0 / 2 pts 
Quais são três exemplos de controles de acesso administrativo? (Escolha três.) 
Resposta correta 
 
práticas de contratação 
 
Você respondeu 
 
criptografia 
 
Você respondeu 
 
sistema de detecção de invasão (IDS) 
 
 
cães de guarda 
 
Resposta correta 
 
políticas e procedimentos 
 
Correto! 
 
verificação de antecedentes 
 
Refer to curriculum topic: 4.2.1 
Controles de acesso administrativos são definidos pelas empresas para implementar e aplicar 
todos os aspectos do controle de acesso não autorizado e incluem o seguinte: 
Políticas 
complexas 
Práticas de contratação 
Verificação de antecedentes 
Classificação de dados 
Treinamento de segurança 
Avaliações 
 
Pergunta 3 
2 / 2 pts 
Quais são os dois termos usados para descrever as chaves de criptografia? (Escolher dois.) 
 
aleatoriedade de chave 
 
Correto! 
 
espaço da chave 
 
Correto! 
 
comprimento da chave 
 
 
keylogging 
 
Refer to curriculum topic: 4.1.4 
Os dois termos usados para descrever as chaves são os seguintes: 
Comprimento da chave - também chamado de chave, esta é a medida em bits. 
Espaço da chave - é o númerode possibilidades que um comprimento de chave específico 
pode gerar. 
Com o aumento do comprimento da chave, o espaço da chave aumenta exponencialmente. 
 
Pergunta 4 
0 / 2 pts 
Qual algoritmo assimétrico fornece um método de troca de chave eletrônica para compartilhar 
a chave secreta? 
Você respondeu 
 
RSA 
 
 
DES 
 
Resposta correta 
 
Diffie-Hellman 
 
 
WEP 
 
 
hashing 
 
Refer to curriculum topic: 4.1.3 
O Diffie-Hellman fornece um método de troca eletrônica para compartilhar uma chave secreta 
e é usado por vários protocolos seguros. 
 
Pergunta 5 
2 / 2 pts 
Qual algoritmo de criptografia usa a mesma chave pré-compartilhada para criptografar e 
descriptografar dados? 
 
hash 
 
Correto! 
 
simétrico 
 
 
assimétrico 
 
 
cifra de uso único 
 
Refer to curriculum topic: 4.1.1 
Algoritmos de criptografia simétrica usam a mesma chave pré-compartilhada para criptografar 
e descriptografar dados? 
 
Pergunta 6 
2 / 2 pts 
Corresponda o tipo de autenticação multifatorial à descrição. 
Correto! 
segurança por chave fob 
 
 
algo que você tem
 
Correto! 
verificação por impressão digital 
 
 
algo que você é
 
Correto! 
senha 
 
 
algo que você sabe
 
Refer to curriculum topic: 4.2.4 
A autenticação de vários fatores usa um mínimo de dois métodos de verificação e pode incluir 
o seguinte: 
Algo que você tem 
Algo que você sabe 
Algo que você é 
 
Pergunta 7 
2 / 2 pts 
Um banner de aviso que lista os resultados negativos de violações da política da empresa é 
exibido cada vez que um usuário do computador fizer login na máquina. Qual tipo de controle 
de acesso é implementado? 
Correto! 
 
dissuasor 
 
 
preventivo 
 
 
detector 
 
 
máscara 
 
Refer to curriculum topic: 4.2.7 
Dissuasores são implementados para desencorajar ou mitigar uma ação ou o comportamento 
de uma pessoa mal-intencionada. 
 
Pergunta 8 
2 / 2 pts 
Qual algoritmo de criptografia usa uma chave para criptografar os dados e uma chave 
diferente para decifrá-los? 
 
transposição 
 
 
cifra de uso único 
 
Correto! 
 
assimétrico 
 
 
simétrico 
 
Refer to curriculum topic: 4.1.1 
A criptografia assimétrica usa uma chave para criptografar os dados e uma chave diferente 
para decifrá-los. 
 
Pergunta 9 
0 / 2 pts 
Que tipo de criptografia codifica um byte de texto claro ou um bit de cada vez? 
Resposta correta 
 
stream 
 
Você respondeu 
 
elíptica 
 
 
bloquear 
 
 
hash 
 
 
enigma 
 
Refer to curriculum topic: 4.1.2 
A criptografia de stream codifica um byte de texto claro ou um bit de cada vez e pode ser 
muito mais rápida que codificações de bloco. 
 
Pergunta 10 
0,67 / 2 pts 
Quais são os três protocolos que usam algoritmos de chave assimétrica? (Escolha três.) 
Correto! 
 
Secure Shell (SSH) 
 
 
Secure File Transfer Protocol (SFTP) 
 
 
Telnet 
 
Você respondeu 
 
AES (Advanced Encryption Standard) 
 
Resposta correta 
 
Pretty Good Privacy (PGP) 
 
Correto! 
 
Camada de Soquetes Segura (SSL – Secure Sockets Layer) 
 
Refer to curriculum topic: 4.1.4 
Quatro protocolos usam algoritmos de chave assimétrica. 
Troca de Chaves via Internet (IKE – Internet Key Exchange). 
SSL 
Secure Shell (SSH) 
Pretty Good Privacy (PGP) 
 
Pergunta 11 
0 / 2 pts 
Qual algoritmo de criptografia é usado pela NSA e inclui o uso de curvas elípticas para troca de 
chaves e geração de assinatura digital? 
Você respondeu 
 
IDEA 
 
 
El-Gamal 
 
 
AES 
 
Resposta correta 
 
ECC 
 
 
RSA 
 
Refer to curriculum topic: 4.1.3 
A criptografia de curva elíptica (ECC) utiliza curvas elípticas como parte do algoritmo para troca 
de chaves e geração de assinatura digital. 
 
Pergunta 12 
2 / 2 pts 
Qual termo é usado para descrever a tecnologia que substitui informações confidenciais por 
uma versão não confidencial? 
 
revogação 
 
 
apagamento 
 
 
embaçamento 
 
Correto! 
 
máscara 
 
 
oculto 
 
Refer to curriculum topic: 4.3.1 
O mascaramento de dados substitui informações confidenciais por informações não 
confidenciais. Após a substituição, a versão pública é parecida e tem a função da original. 
 
Pergunta 13 
2 / 2 pts 
Qual termo descreve a tecnologia que protege o software de modificação ou acesso não 
autorizado? 
 
controle de acesso 
 
Correto! 
 
marca d'água 
 
marca comercial 
 
 
copyright 
 
Refer to curriculum topic: 4.3.3 
O software de marca d'água insere uma mensagem secreta no programa como prova de 
propriedade e protege o software de modificação ou acesso não autorizado. 
 
Pergunta 14 
2 / 2 pts 
Quais são os três dispositivos que representam exemplos de controles de acesso físico? 
(Escolha três.) 
Correto! 
 
câmeras de vídeo 
 
Correto! 
 
cadeados 
 
 
roteadores 
 
Correto! 
 
cartões de acesso 
 
 
servidores 
 
 
firewalls 
 
Refer to curriculum topic: 4.2.1 
Controles de acesso físico incluem, entre outros itens, o seguinte: 
 
Guardas 
Cercas 
Detectores de movimento 
Cadeados de notebook 
Portas trancadas 
Cartões de acesso 
Cães de guarda 
Câmeras de vídeo 
Armadilhas 
Alarmes 
 
Pergunta 15 
0,67 / 2 pts 
Quais são os três processos que são exemplos de controles de acesso lógicos? (Escolha três.) 
 
cercas para proteger o perímetro de um edifício 
 
Correto! 
 
sistema de detecção de invasão (IDS) para observar atividades suspeitas na rede 
 
Correto! 
 
firewalls para monitorar o tráfego 
 
Resposta correta 
 
biometria para validar características físicas 
 
 
guardas para monitorar telas de segurança 
 
Você respondeu 
 
cartões de acesso para permitir o acesso a uma área restrita 
 
Refer to curriculum topic: 4.2.1 
Controles de acesso lógico incluem, entre outros itens, o seguinte: 
Criptografia 
Cartões inteligentes 
Senhas 
Biometria 
Access Control Lists (ACLs) 
Protocolos 
Firewalls 
Sistema de detecção de invasão (IDS) 
 
Pergunta 16 
0 / 2 pts 
Qual tipo de criptografia é capaz de criptografar um bloco de tamanho fixo de texto claro em 
um bloco de 128 bits de texto codificado, a qualquer momento? 
 
stream 
 
Você respondeu 
 
simétrico 
 
 
transformar 
 
 
hash 
 
Resposta correta 
 
bloquear 
 
Refer to curriculum topic: 4.1.2 
Codificações de bloco transformam um bloco de tamanho fixo de texto claro em um bloco de 
texto codificado. Para descriptografar o texto codificado, é usada a mesma chave secreta para 
criptografar no sentido inverso. 
 
Pergunta 17 
2 / 2 pts 
Qual termo é usado para descrever a ocultação de dados em outro arquivo como um gráfico, 
áudio ou outro arquivo de texto? 
Correto! 
 
estenografia 
 
 
oculto 
 
 
ofuscação 
 
 
máscara 
 
Refer to curriculum topic: 4.3.2 
A estenografia oculta dados em arquivos como gráficos, áudios ou outro arquivo de texto e é 
utilizada para impedir que seja dada atenção extra aos dados criptografados, porque eles não 
são vistos facilmente. 
 
Pergunta 18 
1,5 / 2 pts 
Faça a correspondência entre a descrição e termo correto. (Nem todas as opções são usadas.) 
Correto! 
estenografia 
 
 
ocultar dados em um arquivo de áudio
 
Correto! 
esteganoanálise 
 
 
descobrir que existem informações ocultas dentro de um arquivo gráfico
 
Você respondeu 
estenografia social 
 
 
substituir informações confidenciais em um arquivo por informações públicas
 
 
 
Resposta correta 
criar uma mensagem que diz uma coisa, mas significa outra para um público específico 
Correto! 
ofuscação 
 
 
tornar uma mensagem confusa para dificultar seu entendimento
 
Outrasopções de respostas incorretas: 
substituir informações confidenciais em um arquivo por informações públicas 
Refer to curriculum topic: 4.3.2 
 
Pergunta 19 
2 / 2 pts 
Qual é o termo usado para descrever a ciência de criar e quebrar códigos secretos? 
 
congestionamento 
 
 
representação 
 
 
fatoração 
 
Correto! 
 
criptologia 
 
 
Spoofing 
 
Refer to curriculum topic: 4.1.1 
A criptologia é a ciência de fazer e quebrar códigos para assegurar que criminosos virtuais não 
consigam comprometer com facilidade informações protegidas. 
 
Pergunta 20 
2 / 2 pts 
Qual algoritmo de criptografia que codifica um bloco de 128 bits o governo dos EUA usa para 
proteger informações confidenciais? 
 
Caesar 
 
 
Skipjack 
 
 
3DES 
 
 
Vignere 
 
Correto! 
 
AES 
 
Refer to curriculum topic: 4.1.2 
O Advanced Encryption Standard (AES) é usado para proteger as informações confidenciais do 
governo dos EUA e é um forte algoritmo que usa comprimentos de chave mais longos. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Cap. 05 
Pergunta 1 
2 / 2 pts 
Alice e Bob usam a mesma senha para efetuar login na rede da empresa. Isto significa que os 
dois têm o mesmo hash exato para suas senhas. O que poderia ser implementado para impedir 
que os dois hashes das senhas sejam iguais? 
 
RSA 
 
 
gerador pseudoaleatório 
 
 
granulação 
 
Correto! 
 
salting 
 
Refer to curriculum topic: 5.1.2 
Uma senha é armazenada como uma combinação de um hash e um salt. 
 
Pergunta 2 
2 / 2 pts 
Qual a finalidade do CSPRNG? 
 
impedir que um computador seja um zumbi 
 
 
processar buscas de hash 
 
 
proteger um site 
 
Correto! 
 
gerar o salt 
 
Refer to curriculum topic: 5.1.2 
O salting impede que alguém use um ataque de dicionário para adivinhar uma senha. O 
Gerador de Número Pseudo-Aleatório Protegido por Criptografia (CSPRNG) é uma forma (e é a 
melhor) de gerar o salt. 
 
Pergunta 3 
2 / 2 pts 
Qual das opções é um ponto forte do uso de uma função de hash? 
Correto! 
 
É uma função unidirecional e não reversível. 
 
 
Não é usado comumente na segurança. 
 
 
Pode levar apenas uma mensagem de tamanho fixo. 
 
 
Tem uma saída de tamanho variável. 
 
 
Dois arquivos diferentes podem ser criados com a mesma saída. 
 
Refer to curriculum topic: 5.1.1 
Compreender as propriedades de uma função hash mostra sua aplicabilidade como função 
unidirecional, tamanho de entrada arbitrária e saída fixa. 
 
Pergunta 4 
0,67 / 2 pts 
Quais são os três tipos de ataques que podem ser evitados ao utilizar salting? (Escolha três.) 
 
navegação bisbilhoteira 
 
 
phishing 
 
Você respondeu 
 
adivinhação 
 
Correto! 
 
tabelas de pesquisa reversa 
 
Correto! 
 
rainbow tables 
 
Resposta correta 
 
tabelas de pesquisa 
 
 
engenharia social 
 
Refer to curriculum topic: 5.1.2 
O salting faz com que tabelas pré-calculadas não tenham efeito devido à sequência aleatória 
que é usada. 
 
Pergunta 5 
0 / 2 pts 
Uma violação recente em uma empresa foi atribuída à capacidade de um hacker de acessar o 
banco de dados corporativo por meio do site da empresa, com o uso de dados malformados 
em um formulário de login. Qual é o problema com o site da empresa? 
 
falta de patches de sistema operacional 
 
Você respondeu 
 
criptografia fraca 
 
 
nomes de usuário ruins 
 
Resposta correta 
 
validação de entrada pobre 
 
Refer to curriculum topic: 5.4.2 
A capacidade de transmitir dados malformados através de um site é uma forma de validação 
de entrada pobre. 
 
Pergunta 6 
0,67 / 2 pts 
Quais são os três critérios de validação utilizados para uma regra de validação? (Escolha três.) 
Correto! 
 
tamanho 
 
 
chave 
 
Correto! 
 
formato 
 
 
tipo 
 
Resposta correta 
 
intervalo 
 
Você respondeu 
 
criptografia 
 
Refer to curriculum topic: 5.4.2 
Os critérios utilizados em uma regra de validação incluem formato, consistência, alcance e 
dígito de verificação. 
 
Pergunta 7 
0,67 / 2 pts 
Quais são os três algoritmos de assinatura digital aprovados pelo NIST? (Escolha três.) 
 
MD5 
 
 
SHA1 
 
Resposta correta 
 
DSA 
 
Você respondeu 
 
SHA256 
 
Correto! 
 
ECDSA 
 
Correto! 
 
RSA 
 
Refer to curriculum topic: 5.2.2 
O NIST escolhe algoritmos aprovados com base em técnicas de chave públicas e ECC. Os 
algoritmos de assinatura digital aprovados são DSA, RSA e ECDSA. 
 
Pergunta 8 
2 / 2 pts 
Um investigador encontra uma unidade de USB na cena do crime e quer apresentá-lo como 
prova no tribunal. O investigador leva a unidade de USB, cria uma imagem forense dela e leva 
um hash do dispositivo USB original e da imagem que foi criada. O que o investigador deseja 
provar sobre a unidade de USB quando a prova for apresentada no tribunal? 
Correto! 
 
Os dados da imagem são uma cópia exata, e nada foi alterado pelo processo. 
 
 
Os dados estão todos lá. 
 
 
O investigador encontrou uma unidade de USB e conseguiu fazer uma cópia dela. 
 
 
Não pode ser feita uma cópia exata de um dispositivo. 
 
Refer to curriculum topic: 5.1.1 
Uma função hash garante a integridade de um programa, arquivo ou dispositivo. 
 
Pergunta 9 
2 / 2 pts 
Qual é o padrão para uma infraestrutura de chave pública gerenciar certificados digitais? 
 
NIST-SP800 
 
Correto! 
 
x.509 
 
 
PKI 
 
 
x.503 
 
Refer to curriculum topic: 5.3.2 
O padrão x.509 é para uma infraestrutura PKI e x.500 é para estruturas de diretório. 
 
Pergunta 10 
2 / 2 pts 
Um usuário baixa de um site um driver atualizado para uma placa de vídeo. Uma mensagem de 
aviso aparece na tela dizendo que o driver não é aprovado. O que está faltando nesta parte do 
software? 
 
reconhecimento de código 
 
 
ID válida 
 
 
código fonte 
 
Correto! 
 
assinatura digital 
 
Refer to curriculum topic: 5.2.2 
A assinatura de código é um método de verificação de integridade do código 
 
Pergunta 11 
2 / 2 pts 
Foi solicitado que um usuário implementasse o IPSec para conexões externas de entrada. O 
usuário planeja usar SHA-1 como parte da implementação. O usuário deseja garantir a 
integridade e a autenticidade da conexão. Qual ferramenta de segurança o usuário pode usar? 
Correto! 
 
HMAC 
 
 
SHA256 
 
 
MD5 
 
 
ISAKMP 
 
Refer to curriculum topic: 5.1.3 
O HMAC fornece uma chave secreta como recurso adicional para garantir a integridade e a 
autenticação. 
 
Pergunta 12 
0 / 2 pts 
Identifique as três situações em que a função de criptografia pode ser aplicada. (Escolha três) 
Você respondeu 
 
DES 
 
Correto! 
 
IPsec 
 
Você respondeu 
 
WPA 
 
 
PPoE 
 
Resposta correta 
 
PKI 
 
Resposta correta 
 
CHAP 
 
Refer to curriculum topic: 5.1.1 
Três situações em que uma função hash pode ser usada são: 
Quando o IPSec estiver sendo usado 
Quando a autenticação por roteamento estiver ativada 
Nas respostas de desafios dentro de protocolos, como PPP CHAP 
Em contratos assinados digitalmente e certificados PKI 
 
Pergunta 13 
0 / 2 pts 
Um e-mail recente enviado para toda a empresa afirmou que haveria uma mudança na política 
de segurança. O oficial de segurança que acreditava-se ter enviado a mensagem afirmou que 
ela não foi enviada do departamento de segurança, e a empresa pode ter sido vítima de um e-
mail falso. O que poderia ter sido adicionado à mensagem para garantir que ela de fato veio 
dessa pessoa? 
Você respondeu 
 
chave assimétrica 
 
 
hashing 
 
 
não rejeição 
 
Resposta correta 
 
assinatura digital 
 
Refer to curriculum topic: 5.2.1 
As assinaturas digitais garantema não rejeição ou a capacidade de não negar que uma pessoa 
específica enviou uma mensagem. 
 
Pergunta 14 
2 / 2 pts 
Qual método tenta todas as senhas possíveis até que uma correspondência seja encontrada? 
 
criptográfico 
 
 
dicionário 
 
 
rainbow tables 
 
 
data de nascimento 
 
Correto! 
 
força bruta 
 
 
nuvem 
 
Refer to curriculum topic: 5.1.1 
Dois métodos comuns para decifrar hashes são o dicionário e a força bruta. Depois de um 
tempo, o método de força bruta sempre decifrará uma senha. 
 
Pergunta 15 
2 / 2 pts 
Qual é o processo passo a passo para criar uma assinatura digital? 
 
Criar um hash de SHA-1; criptografar o hash com a chave privada do remetente e empacotar a 
mensagem, o hash criptografado e a chave pública juntos para o documento assinado. 
 
 
Criar uma message digest; criptografar a digest com a chave pública do remetente e 
empacotar a mensagem, a síntese criptografada e a chave pública juntos para assinar o 
documento. 
 
 
Criar uma mensagem, criptografar a mensagem com um hash MD5 e enviar o pacote com uma 
chave pública. 
 
Correto! 
 
Criar uma message digest; criptografar a digest com a chave privada do remetente e 
empacotar a mensagem, a digest criptografada e a chave pública juntos a fim de assinar o 
documento. 
 
Refer to curriculum topic: 5.2.2 
Para criar uma assinatura digital, devem ser seguidas estas etapas: 
A mensagem e a message digest são criadas. 
A digest e chave privada são criptografadas. 
A mensagem, a message digest criptografada e a chave pública são empacotadas para criar o 
documento assinado. 
 
Pergunta 16 
0 / 2 pts 
Um usuário é o administrador do banco de dados de uma empresa. Foi solicitado que um 
usuário implementasse uma regra de integridade, que declarasse que todas as tabelas devem 
ter uma chave primária e que a coluna ou as colunas escolhidas como chave primária devem 
ser exclusivas e não nulas. Qual requisito de integridade o usuário está implementando? 
Você respondeu 
 
integridade da anomalia 
 
 
integridade referencial 
 
 
integridade do domínio 
 
Resposta correta 
 
integridade da entidade 
 
Refer to curriculum topic: 5.4.1 
Existem três requisitos principais de integridade do banco de dados: entidade, referencial e 
integridade do domínio. 
 
Pergunta 17 
2 / 2 pts 
Um usuário está se conectando a um servidor de e-commerce para comprar alguns widgets 
para uma empresa. O usuário se conecta ao site e percebe que não há um cadeado na barra de 
status de segurança de navegador. O site solicita um nome de usuário e a senha e o usuário 
consegue fazer login. Qual é o perigo em prosseguir essa transação? 
 
O certificado do site expirou, mas ele ainda é seguro. 
 
Correto! 
 
O site não está usando um certificado digital para proteger a transação, o que significa que 
tudo fica não codificado. 
 
 
O usuário está usando o navegador errado para realizar a transação. 
 
 
Um software bloqueador de anúncios está impedindo que a barra de segurança funcione 
corretamente, e, portanto, não há perigo com a transação. 
 
Refer to curriculum topic: 5.3.1 
O cadeado na janela do navegador garante que uma conexão segura foi estabelecida e não foi 
bloqueada por um complemento do navegador. 
 
Pergunta 18 
2 / 2 pts 
Um usuário criou um novo programa e deseja distribuí-lo para todos na empresa. O usuário 
quer garantir que, quando o programa for baixado, não será alterado enquanto estiver em 
trânsito. O que o usuário pode fazer para garantir que o programa não será alterado quando 
for baixado? 
 
Desativar o antivírus em todos os computadores. 
 
 
Instalar o programa em computadores individuais. 
 
 
Criptografar o programa e exigir uma senha depois que o download for feito. 
 
Correto! 
 
Criar um hash do arquivo do programa que pode ser usado para verificar a integridade do 
arquivo depois que o download for feito. 
 
 
Distribuir o programa em um pen drive. 
 
Refer to curriculum topic: 5.1.1 
Hash é um método para assegurar a integridade e ele garante que os dados não serão 
alterados. 
 
Pergunta 19 
0 / 2 pts 
Um usuário é instruído por um chefe a encontrar um método melhor para proteger as senhas 
em trânsito. O usuário pesquisou vários meios para fazer isso e escolheu o uso de HMAC. 
Quais são os elementos principais necessários para implementar o HMAC? 
Você respondeu 
 
message digest e chave assimétrica 
 
 
chave simétrica e chave assimétrica 
 
Resposta correta 
 
chave secreta e message digest 
 
 
IPSec e soma de verificação 
 
Refer to curriculum topic: 5.1.3 
A implementação de HMAC é uma chave secreta adicionada a um hash. 
 
Pergunta 20 
0,67 / 2 pts 
Um usuário está avaliando a infraestrutura de segurança de uma empresa e percebe que 
alguns sistemas de autenticação não estão usando as melhores práticas relacionadas ao 
armazenamento de senhas. O usuário consegue decifrar senhas muito rápido e acessar dados 
confidenciais. O usuário deseja apresentar uma recomendação para a empresa sobre a 
implementação adequada de salting para evitar técnicas de violação de senha. Quais são as 
três melhores práticas na implementação de salting? (Escolha três.) 
Resposta correta 
 
Um salt deve ser exclusivo. 
 
 
O mesmo salt deve ser usado para cada senha. 
 
Correto! 
 
Um salt deve ser exclusivo para cada senha. 
 
 
Salts não são uma prática recomendada eficiente. 
 
 
Salts devem ser curtos. 
 
Resposta correta 
 
Um salt não deve ser reutilizado. 
 
Refer to curriculum topic: 5.1.2 
O salting deve ser exclusivo e não reutilizado. Fazer o oposto fará com que senhas sejam 
quebradas facilmente. 
 
 
 
 
 
 
 
 
Cap. 6 
Pergunta 1 
0 / 2 pts 
Um usuário concluiu um projeto de seis meses para identificar a localização de dados e 
catalogá-las. O próximo passo é classificar os dados e produzir alguns critérios sobre a 
confidencialidade dos dados. Quais são os dois passos que o usuário pode seguir para 
classificar os dados? (Escolher dois.) 
 
Tratar todos os dados da mesma forma. 
 
 
Determinar com que frequência é feito o backup dos dados. 
 
Você respondeu 
 
Determinar as permissões para os dados. 
 
Resposta correta 
 
Estabelecer o proprietário dos dados. 
 
Correto! 
 
Identificar a confidencialidade dos dados. 
 
 
Determinar o usuário dos dados. 
 
Refer to curriculum topic: 6.2.1 
A categorização de dados é um processo para determinar primeiro o proprietário dos dados e 
depois sua confidencialidade. 
 
Pergunta 2 
0 / 2 pts 
Uma equipe foi convidada a criar um plano de resposta a incidentes para incidentes de 
segurança. Em qual fase de um plano de resposta a incidentes a equipe precisa que a 
administração aprove o plano? 
 
contenção 
 
 
detecção 
 
 
pós-incidente 
 
Você respondeu 
 
análise 
 
Resposta correta 
 
preparação 
 
 
recuperação 
 
Refer to curriculum topic: 6.3.1 
Ao criar um plano de incidentes para uma empresa, a equipe vai precisar conquistar a gestão 
em relação ao plano durante a fase de planejamento inicial. 
 
Pergunta 3 
0 / 2 pts 
Um usuário precisa adicionar redundância aos roteadores em uma empresa. Quais são as três 
opções que ele pode usar? (Escolha três.) 
 
STP 
 
 
IPFIX 
 
Você respondeu 
 
RAID 
 
Correto! 
 
HSRP 
 
Resposta correta 
 
VRRP 
 
Resposta correta 
 
GLBP 
 
Refer to curriculum topic: 6.2.3 
Os três protocolos que fornecem redundância de gateway padrão incluem VRRP, HSRP e GLBP. 
 
Pergunta 4 
2 / 2 pts 
É solicitado que um usuário crie um plano de recuperação de desastres para uma empresa. O 
usuário precisa de algumas respostas da gestão antes de prosseguir. Quais são as três 
perguntas queo usuário deve fazer à gestão como parte do processo de criação do plano? 
(Escolha três.) 
 
O processo precisa de aprovação? 
 
Correto! 
 
Onde o indivíduo realiza o processo? 
 
Correto! 
 
Quem é o responsável pelo processo 
 
Correto! 
 
Qual é o processo? 
 
 
O indivíduo consegue executar o processo? 
 
 
Quanto tempo o processo demora? 
 
Refer to curriculum topic: 6.4.1 
Planos de recuperação de desastres são feitos com base na importância de um serviço ou 
processo. As respostas às perguntas quem, o quê, onde e por quê são necessárias para um 
plano ser bem-sucedido. 
 
Pergunta 5 
0 / 2 pts 
Um usuário foi contratado como o novo chefe da segurança. Um dos primeiros projetos foi 
fazer o inventário dos recursos da empresa e criar um banco de dados abrangente. Quais são 
três elementos de informação que o usuário desejaria obter para este banco de dados de 
ativos? (Escolha três.) 
Você respondeu 
 
usuários 
 
Resposta correta 
 
estações de trabalho 
 
Correto! 
 
sistemas operacionais 
 
 
grupos 
 
Você respondeu 
 
senhas 
 
Resposta correta 
 
dispositivos de rede de hardware 
 
Refer to curriculum topic: 6.2.1 
Os recursos incluem todos os dispositivos de hardware e seus sistemas operacionais. 
 
Pergunta 6 
0,67 / 2 pts 
É solicitado que um usuário avalie o data center para melhorar a disponibilidade para os 
clientes. O usuário percebe que há apenas uma conexão ISP, parte do equipamento está fora 
da garantia, há peças sobressalentes e ninguém estava monitorando o UPS que foi acionado 
duas vezes em um mês. Quais são as três deficiências de alta disponibilidade identificadas pelo 
usuário? (Escolha três.) 
 
falha ao identificar problemas de gestão 
 
Correto! 
 
pontos únicos de falha 
 
Resposta correta 
 
falha do design para confiabilidade 
 
Você respondeu 
 
falha ao evitar incidentes de segurança 
 
Correto! 
 
falha na detecção de erros à medida em que ocorrem 
 
 
falha ao proteger contra a manutenção ruim 
 
Refer to curriculum topic: 6.1.1 
Um data center precisa ser projetado desde o início para a alta disponibilidade sem pontos 
únicos de falha. 
 
Pergunta 7 
2 / 2 pts 
Um usuário foi contratado por uma empresa para fornecer uma infraestrutura de rede 
altamente disponível. O usuário quer implementar redundância de rede em caso de falha de 
switch, mas quer evitar loop de camada 2. O que o usuário poderia implementar na rede? 
 
GLBP 
 
Correto! 
 
Spanning Tree Protocol 
 
 
HSRP 
 
 
VRRP 
 
Refer to curriculum topic: 6.2.3 
Os loops e quadros duplicados lavam ao desempenho ruim de uma rede com switches. O 
Spanning Tree Protocol (STP) fornece um caminho sem loop através da rede baseada em 
switch. 
 
Pergunta 8 
0 / 2 pts 
Um usuário está reprojetando uma rede para uma pequena empresa e quer garantir 
segurança a um preço razoável. O usuário implanta um novo firewall com reconhecimento de 
aplicativos com recursos de detecção de intrusão na conexão com o ISP. O usuário instala um 
segundo firewall para separar a rede da empresa da rede pública. Além disso, o usuário instala 
um IPS na rede interna da empresa. Qual abordagem o usuário está implementando? 
 
baseada em ataque 
 
Você respondeu 
 
baseada em risco 
 
Resposta correta 
 
sobreposta 
 
 
estruturada 
 
Refer to curriculum topic: 6.2.2 
Usar diferentes defesas em vários pontos da rede cria uma abordagem sobreposta. 
 
Pergunta 9 
0 / 2 pts 
Ocorreu uma violação de segurança em uma grande corporação. A equipe de incidentes 
respondeu e executou seu plano de resposta a incidentes. Durante qual fase são aplicadas as 
lições aprendidas? 
Você respondeu 
 
contenção 
 
 
análise 
 
 
preparação 
 
Resposta correta 
 
pós-incidente 
 
 
recuperação 
 
 
detecção 
 
Refer to curriculum topic: 6.3.1 
Um dos aspectos principais de um plano de resposta a incidentes é olhar como o 
monitoramento pode ser melhorado e a gestão pode ajudar a minimizar o impacto nas 
atividades. Isso geralmente ocorre após o incidente ser tratado. 
 
Pergunta 10 
0 / 2 pts 
Um usuário está comprando um novo servidor para o data center da empresa. O usuário quer 
que haja striping de disco com paridade em três discos. Qual o nível de RAID o usuário deve 
implementar? 
 
1+0 
 
 
0 
 
Você respondeu 
 
1 
 
Resposta correta 
 
5 
 
Refer to curriculum topic: 6.2.3 
A distribuição de RAID 5 com paridade seria a melhor escolha. 
 
Pergunta 11 
0,67 / 2 pts 
Um usuário é um consultor contratado para preparar um relatório para o Congresso sobre 
quais setores devem manter disponibilidade cinco noves obrigatoriamente. Quais são os três 
setores que o usuário deve incluir no relatório? (Escolha três.) 
 
serviços de alimentação 
 
Resposta correta 
 
finanças 
 
Você respondeu 
 
educação 
 
Correto! 
 
serviços de saúde 
 
 
varejo 
 
Correto! 
 
segurança pública 
 
Refer to curriculum topic: 6.1.1 
Setores importantes para a vida cotidiana como segurança pública, serviços de saúde e 
finanças deveriam ter sistemas disponíveis 99,999% do tempo (o princípio dos cinco noves). 
 
Pergunta 12 
0 / 2 pts 
Uma empresa está preocupada com o tráfego que flui através da rede. Há uma preocupação 
de que possa haver malware que não está sendo bloqueado ou erradicado pelo antivírus. Qual 
tecnologia pode ser implantada para detectar possível tráfego de malware na rede? 
 
firewall 
 
 
NAC 
 
Você respondeu 
 
IPS 
 
Resposta correta 
 
IDS 
 
Refer to curriculum topic: 6.3.2 
Um sistema passivo que possa analisar o tráfego é necessário para detectar malware na rede e 
enviar alertas. 
 
Pergunta 13 
2 / 2 pts 
É solicitado a um usuário que avalie a postura de segurança da empresa. O usuário analisa as 
tentativas anteriores de invasão na empresa e avalia as ameaças e os riscos para criar um 
relatório. Qual tipo de análise de risco o usuário pode realizar? 
 
optativa 
 
 
subjetiva 
 
Correto! 
 
qualitativa 
 
 
objetiva 
 
Refer to curriculum topic: 6.2.1 
Duas abordagens para a análise de risco são a quantitativa e a qualitativa. A análise qualitativa 
se baseia em opiniões e cenários. 
 
Pergunta 14 
0 / 2 pts 
Um usuário está avaliando a infraestrutura de rede de uma empresa. O usuário nota muitos 
sistemas redundantes e dispositivos em vigor, mas nenhuma avaliação geral da rede. Em um 
relatório, o usuário enfatizou os métodos e as configurações necessários como um todo para 
tornar a rede tolerante a falhas. Qual é o tipo de projeto que o usuário está enfatizando? 
Você respondeu 
 
spanning tree 
 
 
abrangente 
 
Resposta correta 
 
resiliente 
 
 
disponibilidade 
 
Refer to curriculum topic: 6.2.4 
Para implantar um projeto resiliente, é fundamental compreender as necessidades de uma 
empresa e depois incorporar a redundância para tratar dessas necessidades. 
 
Pergunta 15 
0 / 2 pts 
Um usuário está executando uma auditoria de rotina do hardware do servidor no data center 
da empresa. Vários servidores estão usando unidades únicas para hospedar sistemas 
operacionais e vários tipos de soluções de conexão de armazenamento para armazenar dados. 
O usuário quer oferecer uma solução melhor para fornecer tolerância a falhas durante uma 
falha no disco. Qual é a melhor solução? 
Resposta correta 
 
RAID 
 
Você respondeu 
 
backup externo 
 
 
UPS 
 
 
backup em fita 
 
Refer to curriculum topic: 6.2.3 
A tolerância a falhas aborda um ponto único de falha, que neste caso são os discos rígidos. 
 
Pergunta 16 
0 / 2 pts 
É solicitado que um usuário execute uma análise de risco de uma empresa. O usuário solicita o 
banco de dadosde ativos da empresa que contém uma lista de todos os equipamentos. O 
usuário usa essas informações como parte de uma análise de risco. Qual tipo de análise de 
risco pode ser realizada? 
Resposta correta 
 
quantitativa 
 
Você respondeu 
 
qualitativa 
 
 
hardware 
 
 
fator de exposição 
 
Refer to curriculum topic: 6.2.1 
Para itens físicos podem ser atribuídos valores para análise quantitativa. 
 
Pergunta 17 
2 / 2 pts 
O CEO de uma empresa está preocupado com a possibilidade de, no caso de ocorrer uma 
violação de dados e dados de cliente serem expostos, a empresa ser processada. O CEO toma a 
decisão de contratar um seguro para a empresa. Que tipo de mitigação de risco o CEO está 
implementando? 
 
mitigação 
 
 
redução 
 
 
avoidance (prevenção de congestionamento) 
 
Correto! 
 
de transferência 
 
Refer to curriculum topic: 6.2.1 
Contratar seguro transfere o risco para terceiros. 
 
 
 
 
Cap. 07 
Um usuário liga para o suporte técnico reclamando que a senha para acessar a rede sem fio foi 
alterada sem aviso prévio. O usuário tem permissão para alterar a senha, mas, uma hora 
depois, a mesma coisa ocorre. O que pode estar acontecendo nessa situação? 
 
política de senhas 
 
 
erro do usuário 
 
 
senha fraca 
 
Correto! 
 
access point invasor 
 
 
notebook do usuário 
 
Refer to curriculum topic: 7.1.2 
Ataques man in the middle são uma ameaça que resulta em dados e credenciais perdidas. Esse 
tipo de ataque pode ocorrer por motivos diferentes, inclusive sniffing de tráfego. 
 
Pergunta 2 
0 / 2 pts 
O CIO quer proteger os dados nos notebooks da empresa com a implementação de 
criptografia de arquivo. O técnico determina que o melhor método é criptografar todos os 
discos rígidos usando o Windows BitLocker. Quais são as duas coisas necessárias para 
implementar essa solução? (Escolher dois.) 
 
EFS 
 
 
pen drive USB 
 
Você respondeu 
 
backup 
 
 
gerenciamento de senha 
 
Correto! 
 
pelo menos dois volumes 
 
Resposta correta 
 
TPM 
 
Refer to curriculum topic: 7.1.3 
O Windows fornece um método para criptografar arquivos, pastas ou unidades de disco rígido 
inteiras, dependendo da necessidade. No entanto, certas configurações e configurações da 
BIOS são necessárias para implementar a criptografia em um disco rígido inteiro. 
 
Pergunta 3 
2 / 2 pts 
Qual serviço resolve um endereço da Web específico em um endereço IP do servidor da Web 
de destino? 
 
DHCP 
 
Correto! 
 
DNS 
 
 
ICMP 
 
 
NTP 
 
Refer to curriculum topic: 7.3.1 
O DNS resolve um endereço de site para o endereço IP real desse destino. 
 
Pergunta 4 
2 / 2 pts 
Quais são os três tipos de problemas de energia com os quais um técnico deve se preocupar? 
(Escolha três.) 
 
fuzzing 
 
Correto! 
 
Pico 
 
 
flicker 
 
Correto! 
 
blecaute parcial 
 
Correto! 
 
blecaute 
 
 
spark 
 
Refer to curriculum topic: 7.2.3 
Problemas de energia podem incluir aumento, diminuição ou alteração repentinos na energia 
e incluem o seguinte: 
Pico 
Surto de tensão 
Falha 
Blecaute 
Sag/dip 
Queda de energia 
Corrente de fluxo contrário 
 
Pergunta 5 
0 / 2 pts 
O gerente do suporte de desktop quer minimizar o período de inatividade para estações de 
trabalho que falham ou têm outros problemas relacionados ao software. Quais são as três 
vantagens do uso da clonagem de disco? (Escolha três.) 
Você respondeu 
 
cria maior diversidade 
 
Resposta correta 
 
garante uma máquina com imagem limpa 
 
Resposta correta 
 
facilidade de implantar novos computadores na empresa 
 
 
corte no número de funcionários necessários 
 
Correto! 
 
pode fornecer um backup completo do sistema 
 
 
garante a compatibilidade do sistema 
 
Refer to curriculum topic: 7.1.4 
A clonagem de disco pode ser uma maneira eficaz de manter um parâmetro para servidores e 
estações de trabalho. Não é um método de corte de gastos. 
 
Pergunta 6 
0 / 2 pts 
Um usuário propõe a compra de uma solução de gerenciamento de patches para uma 
empresa. O usuário quer fornecer motivos pelos quais a empresa deveria gastar dinheiro nessa 
solução. Quais benefícios o gerenciamento de patches oferece? (Escolha três.) 
Resposta correta 
 
As atualizações podem ser forçadas imediatamente nos sistemas. 
 
Você respondeu 
 
Os patches podem ser escolhidos pelo usuário. 
 
Você respondeu 
 
Os patches podem ser gravados rapidamente. 
 
Correto! 
 
Os administradores podem aprovar ou negar patches. 
 
Resposta correta 
 
As atualizações não podem ser contornadas pelo usuário. 
 
 
Os computadores exigem uma conexão à Internet para receber patches. 
 
Refer to curriculum topic: 7.1.1 
Um sistema de gerenciamento de patches centralizado pode acelerar a implantação de 
patches e automatizar o processo. Outras boas razões para usar um serviço de atualização 
automática de patch incluem o seguinte: 
Os administradores controlam o processo de atualização. 
São gerados relatórios. 
As atualizações são fornecidas de um servidor local. 
Os usuários não podem contornar o processo de atualização. 
 
Pergunta 7 
2 / 2 pts 
Por qual motivo WEP não deve ser usado em redes sem fio hoje em dia? 
 
seu uso de senhas de texto sem criptografia 
 
 
seu envelhecimento 
 
Correto! 
 
pode ser facilmente decifrado 
 
 
sua falta de compatibilidade 
 
 
sua falta de criptografia 
 
Refer to curriculum topic: 7.1.2 
Apesar das melhorias, o WEP ainda é vulnerável a vários problemas de segurança, inclusive à 
capacidade de ser decifrada. 
 
Pergunta 8 
0 / 2 pts 
O gerente de um departamento suspeita que alguém está tentando invadir os computadores à 
noite. É solicitado que você descubra se isso está mesmo acontecendo. Qual tipo de registro 
você ativaria? 
Você respondeu 
 
syslog 
 
 
Windows 
 
 
sistema operacional 
 
Resposta correta 
 
auditoria 
 
Refer to curriculum topic: 7.2.2 
Registros de auditoria podem rastrear as tentativas de autenticação de usuário em estações de 
trabalho e podem revelar se alguma tentativa de invasão foi feita. 
 
Pergunta 9 
2 / 2 pts 
Um administrador de um data center pequeno quer um método flexível e seguro de conectar-
se remotamente aos servidores. Qual protocolo seria melhor usar? 
 
Telnet 
 
 
Área de Trabalho Remota 
 
Correto! 
 
Secure Shell 
 
 
Cópia segura 
 
Refer to curriculum topic: 7.2.1 
Como hackers fazer sniffing de tráfego e conseguem ler senhas de texto sem criptografia, 
todas as conexões precisam ser criptografadas. Além disso, uma solução não deve depender 
do sistema operacional. 
 
Pergunta 10 
0 / 2 pts 
Qual é a diferença entre um HIDS e um firewall? 
Resposta correta 
 
Um HIDS monitora sistemas operacionais em computadores host e processa a atividade do 
sistema de arquivos. Os firewalls permitem ou negam o tráfego entre o computador e outros 
sistemas. 
 
Você respondeu 
 
Um firewall permite e nega o tráfego com base em regras e um HIDS monitora o tráfego de 
rede. 
 
 
Um HIDS bloqueia intrusões, enquanto um firewall as filtra. 
 
 
Um firewall executa a filtragem de pacotes e, portanto, tem eficácia limitada, enquanto um 
HIDS bloqueia intrusões. 
 
 
Um HIDS funciona como um IPS, enquanto um firewall só monitora o tráfego. 
 
Refer to curriculum topic: 7.1.1 
Para monitorar a atividade local, um HIDS deve ser implementado. Monitores de atividade de 
rede estão preocupados com a atividade de tráfego e não com o sistema operacional. 
 
Pergunta 11 
0 / 2 pts 
Pede-se para um usuário analisar o estado atual de um sistema operacional do computador. A 
que o usuário deve comparar o estado atual do sistema a im deidentificar possíveis 
vulnerabilidades? 
Resposta correta 
 
uma baseline 
 
Você respondeu 
 
uma varredura de vulnerabilidade 
 
 
um teste de intrusão 
 
 
uma lista de permissão 
 
 
uma lista negra 
 
Refer to curriculum topic: 7.1.1 
Uma baseline permite que um usuário execute uma comparação sobre o desempenho de um 
sistema. O usuário pode, em seguida, comparar o resultado com a baseline esperada. Esse 
processo permite que o usuário identifique possíveis vulnerabilidades. 
 
Pergunta 12 
0 / 2 pts 
Um PC novo é retirado da caixa, inicializado e conectado à Internet. Os patches foram baixados 
e instalados. O antivírus foi atualizado Para fortalecer mais o sistema operacional, o que pode 
ser feito? 
 
Desconectar o computador da rede. 
 
 
Desativar o firewall. 
 
 
Remover a conta administrativa. 
 
Resposta correta 
 
Remover serviços e programas desnecessários. 
 
 
Dar um endereço não roteável ao computador. 
 
Você respondeu 
 
Instalar um firewall de hardware. 
 
Refer to curriculum topic: 7.1.1 
Ao blindar um sistema operacional, patches e antivírus fazem parte do processo. Muitos 
componentes extras são adicionados pelo fabricante que não são necessariamente 
obrigatórios. 
 
Pergunta 13 
0 / 2 pts 
Um estagiário começou a trabalhar no grupo de suporte. Um de seus deveres é definir a 
política local para senhas nas estações de trabalho. Qual ferramenta seria melhor usar? 
 
administração de sistemas 
 
Resposta correta 
 
secpol.msc 
Você respondeu 
 
política de senhas 
 
 
controle de contas 
 
 
grpol.msc 
Refer to curriculum topic: 7.2.2 
Políticas locais não são políticas de grupo e só funcionam na máquina local. As políticas locais 
podem, no entanto, ser sobrescritas se a máquina fizer parte de um domínio do Windows. 
 
Pergunta 14 
2 / 2 pts 
Após uma auditoria de segurança de uma empresa, foi descoberto que várias contas tinham 
acesso privilegiado a sistemas e dispositivos. Quais são as três melhores práticas para proteger 
as contas privilegiadas que devem ser incluídas no relatório de auditoria? (Escolha três.) 
 
Ninguém deve ter acesso privilegiado. 
 
 
Apenas o CIO deve ter acesso privilegiado. 
 
Correto! 
 
Proteger o armazenamento de senha. 
 
Correto! 
 
Aplicação do princípio do privilégio mínimo. 
 
 
Somente os gerentes devem ter acesso privilegiado. 
 
Correto! 
 
Reduzir o número de contas privilegiadas. 
 
Refer to curriculum topic: 7.2.2 
As melhores práticas implicam dar ao usuário apenas o que é necessário para fazer o trabalho. 
Todos os privilégios adicionais devem ser acompanhados e auditados. 
 
Pergunta 15 
0 / 2 pts 
Uma empresa deseja implementar o acesso biométrico em seu data center. A empresa está 
preocupada com as pessoas conseguirem contornar o sistema ao serem aceitas de forma 
incorreta como usuários legítimos. Que tipo de erro é a falsa aceitação? 
Resposta correta 
 
Tipo II 
 
 
CER 
 
Você respondeu 
 
rejeição falsa 
 
 
Tipo I 
 
Refer to curriculum topic: 7.4.1 
Existem dois tipos de erros que a biometria pode ter: falsa aceitação e falsa rejeição. Aceitação 
falsa é um erro Tipo II. Os dois tipos podem se cruzar em um ponto chamado Crossover Error 
Rate. 
 
Pergunta 16 
2 / 2 pts 
Quais dos três itens são malware? (Escolha três.) 
 
anexos 
 
Correto! 
 
vírus 
 
Correto! 
 
keylogger 
 
Correto! 
 
cavalo de troia 
 
 
Apt 
 
 
e-mail 
 
Refer to curriculum topic: 7.1.1 
O e-mail pode ser usado para entregar malware, mas ele sozinho não é o malware. O Apt é 
usado para instalar ou remover o software em um sistema operacional Linux. Anexos podem 
conter malware, mas nem sempre. 
 
Pergunta 17 
0,67 / 2 pts 
Um usuário faz uma solicitação para implementar um serviço de gerenciamento de patches 
para uma empresa. Como parte da requisição, o usuário precisa fornecer uma justificativa para 
a solicitação. Quais são as três razões pelas quais o usuário pode justificar o pedido? (Escolha 
três.) 
 
a probabilidade de economia em armazenamento 
 
Você respondeu 
 
a capacidade dos usuários selecionarem atualizações 
 
Resposta correta 
 
não oferta de oportunidade aos usuários de contornarem as atualizações 
 
 
a necessidade de sistemas serem conectados diretamente à Internet 
 
Correto! 
 
a capacidade de obter relatórios sobre sistemas 
 
Correto! 
 
a capacidade de controlar quando ocorrem as atualizações 
 
Refer to curriculum topic: 7.1.1 
Um serviço de gerenciamento de patches pode fornecer um controle maior sobre o processo 
de atualização por um administrador. Ele elimina a necessidade da intervenção do usuário. 
 
Pergunta 18 
2 / 2 pts 
A empresa tem muitos usuários remotos. Uma solução precisa ser encontrada para que um 
canal de comunicação seguro seja estabelecido entre a empresa e o local remoto dos usuários. 
Qual das opções é uma boa solução para essa situação? 
 
fibra 
 
 
T1 
 
 
modem 
 
 
PPP 
 
Correto! 
 
VPN 
 
Refer to curriculum topic: 7.1.1 
Quando uma VPN é usada, um usuário pode estar em qualquer local remoto, como em casa ou 
em um hotel. A solução VPN é flexível no sentido de que linhas públicas podem ser usadas 
para se conectar com segurança a uma empresa. 
 
Pergunta 19 
0 / 2 pts 
As empresas podem ter centros de operação diferentes que lidam com problemas diferentes 
das operações de TI. Se um problema estiver relacionado à infraestrutura de rede, qual centro 
de operação seria o responsável? 
 
SOC 
 
Você respondeu 
 
HVAC 
 
Resposta correta 
 
NOC 
 
 
RH 
 
Refer to curriculum topic: 7.3.1 
Centros de operação oferecem suporte a diferentes áreas de operação, inclusive de rede e 
segurança. Cada um se concentra em partes específicas da estrutura de TI. O centro que 
oferece suporte à segurança seria o SOC. 
 
Pergunta 20 
0 / 2 pts 
Um usuário liga para o suporte técnico e reclama que um aplicativo foi instalado no 
computador e o aplicativo não consegue se conectar à Internet. Não há alertas de antivírus e o 
usuário consegue navegar na Internet. Qual é a causa mais provável do problema? 
 
necessidade de uma reinicialização do sistema 
 
 
aplicação corrompida 
 
Resposta correta 
 
firewall do computador 
 
Você respondeu 
 
permissões 
 
Refer to curriculum topic: 7.1.1 
Ao solucionar um problema do usuário, busque alguns problemas comuns que impediriam que 
um usuário executasse uma função. 
 
Pergunta 21 
2 / 2 pts 
Por que WPA2 é melhor que WPA? 
 
espaço da chave reduzido 
 
Correto! 
 
uso obrigatório de algoritmos AES 
 
 
suporte ao TKIP 
 
 
tempo de processamento reduzido 
 
Refer to curriculum topic: 7.1.2 
Uma boa maneira de lembrar os padrões de segurança sem fio é considerar como eles 
evoluíram de WEP para WPA e depois para WPA2. Cada evolução aumentou as medidas de 
segurança. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CAP. 8 
Pergunta 1 
2 / 2 pts 
Um auditor é solicitado para avaliar a LAN de uma empresa em busca de possíveis ameaças. 
Quais são as três ameaças possíveis que o auditor pode apontar? (Escolha três.) 
Correto! 
 
um firewall desconfigurado 
 
Correto! 
 
acesso desbloqueado ao equipamento de rede 
 
Correto! 
 
detecção de rede e varredura de porta não autorizada 
 
 
senhas complexas 
 
 
a política de uso aceitável 
 
 
sistemas bloqueados 
 
Refer to curriculum topic: 8.1.3 
A LAN pode ter muitos dispositivos de terminal conectados. A análise dos dispositivos de rede 
e dos endpoints conectados é importante na determinação de ameaças. 
 
Pergunta 2 
2 / 2 pts 
Quais são as duas possíveis ameaças para aplicações?(Escolher dois.) 
 
interrupções de energia 
 
 
engenharia social 
 
Correto! 
 
acesso não autorizado 
 
Correto! 
 
perda de dados 
 
Refer to curriculum topic: 8.1.7 
As ameaças a aplicações podem incluir o seguinte: 
Acesso não autorizado a data centers, salas de computador e armário de fiação 
Período de inatividade do servidor para manutenção 
Vulnerabilidade de software do sistema operacional de rede 
Acesso não autorizado a sistemas 
Perda de dados 
Período de inatividade de sistemas de TI por um tempo prolongado 
Vulnerabilidades de desenvolvimento de aplicativos cliente/servidor ou Web 
 
Pergunta 3 
2 / 2 pts 
O que pode ser usado para avaliar ameaças por uma pontuação de impacto para enfatizar 
vulnerabilidades importantes? 
Correto! 
 
NVD 
 
 
ACSC 
 
 
ISC 
 
 
CERT 
 
Refer to curriculum topic: 8.2.3 
O National Vulnerability Database (NVD) é usado para avaliar o impacto de vulnerabilidades e 
pode auxiliar uma empresa a classificar a gravidade de vulnerabilidades encontradas em uma 
rede. 
 
Pergunta 4 
2 / 2 pts 
Como parte da política de recursos humanos em uma empresa, uma pessoa pode recusar o 
compartilhamento de informações com terceiros que não sejam os empregadores. Qual é a lei 
que protege a privacidade de informações pessoais compartilhadas? 
 
PCI 
 
 
SOX 
 
Correto! 
 
GLBA 
 
 
FIRPA 
 
Refer to curriculum topic: 8.2.2 
O Gramm-Leach-Bliley Act (GLBA) inclui provisões de privacidade para os indivíduos e fornece 
métodos para restringir o compartilhamento de informações com empresas de terceiros. 
 
Pergunta 5 
2 / 2 pts 
Um profissional de segurança é solicitado a executar uma análise da situação atual da rede de 
uma empresa. Qual é a ferramenta que o profissional de segurança usaria para verificar a rede 
apenas para os riscos de segurança? 
 
malware 
 
Correto! 
 
scanner de vulnerabilidades 
 
 
packet analyzer 
 
 
pentest 
 
Refer to curriculum topic: 8.2.4 
Os scanners de vulnerabilidades são comumente usados para verificar as seguintes 
vulnerabilidades: 
Uso de senhas padrão ou senhas comuns 
Patches não instalados 
Portas abertas 
Erro de configuração de software e de sistemas operacionais 
Endereços IP ativos 
 
Pergunta 6 
0 / 2 pts 
Os visitantes não autorizados entraram em um escritório da empresa e estão andando ao 
redor do edifício. Quais são as duas medidas que podem ser implementadas para impedir o 
acesso de visitante não autorizado ao edifício? (Escolher dois.) 
 
Proibir a saída do edifício durante o horário de trabalho. 
 
Resposta correta 
 
Realizar treinamento regularmente. 
 
Você respondeu 
 
Fechar armários. 
 
Correto! 
 
Estabelecer políticas e procedimentos para os convidados que visitam o edifício. 
 
Refer to curriculum topic: 8.1.6 
Qualquer pessoa não autorizada que acessa uma instalação pode representar uma possível 
ameaça. As medidas comuns para aumentar a segurança física incluem o seguinte: 
Implementar controle de acesso e cobertura de circuito fechado de TV (CCTV) em todas as 
entradas. 
Estabelecer políticas e procedimentos para os convidados que visitam as instalações. 
Testar a segurança do edifício usando meios físicos para obter acesso de forma secreta. 
Implementar a criptografia de crachá para acesso de entrada. 
Realizar treinamento regularmente. 
Implementar um sistema de identificação de ativo. 
 
Pergunta 7 
0 / 2 pts 
Uma falha ocorre em uma empresa que processa informações de cartão de crédito. Qual é a 
lei específica do setor que rege a proteção de dados de cartão de crédito? 
Você respondeu 
 
ECPA 
 
 
GLBA 
 
 
SOX 
 
Resposta correta 
 
PCI DSS 
 
Refer to curriculum topic: 8.2.2 
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) administra a 
proteção de dados de cartão de crédito à medida que comerciantes e bancos fazem as 
transações. 
 
Pergunta 8 
0 / 2 pts 
Um administrador de escola está preocupado com a divulgação de informações de alunos 
devido a uma violação. As informações de alunos estão protegidas sob qual lei? 
 
COPPA 
 
 
CIPA 
 
Você respondeu 
 
HIPPA 
 
Resposta correta 
 
FERPA 
 
Refer to curriculum topic: 8.2.2 
O Family Education Records and Privacy Act (FERPA) proíbe a divulgação inadequada de 
registros de formação pessoal. 
 
Pergunta 9 
0 / 2 pts 
Quais são as três maiores categorias para posições de segurança de informações? (Escolha 
três.) 
Você respondeu 
 
infratores 
 
Você respondeu 
 
criadores 
 
Resposta correta 
 
definidores 
 
Resposta correta 
 
construtores 
 
 
seekers 
 
Correto! 
 
monitores 
 
Refer to curriculum topic: 8.3.1 
As posições de segurança de informações podem ser categorizadas como: 
definidores 
construtores 
monitores 
 
Pergunta 10 
0,67 / 2 pts 
Uma empresa implementou uma infraestrutura em nuvem privada. O administrador de 
segurança é solicitado para proteger a infraestrutura de possíveis ameaças. Quais são as três 
táticas que podem ser implementadas para proteger a nuvem privada? (Escolha três.) 
Resposta correta 
 
Desativar ping, detecção e varredura de porta. 
 
 
Desativar firewalls. 
 
 
Conceder direitos administrativos. 
 
Você respondeu 
 
Contratar um consultor. 
 
Correto! 
 
Testar tráfego de entrada e de saída. 
 
Correto! 
 
Atualizar dispositivos com correções e patches de segurança. 
 
Refer to curriculum topic: 8.1.4 
As empresas podem gerenciar as ameaças para a nuvem privada usando os seguintes 
métodos: 
Desativar ping, detecção e varredura de porta. 
Implementar sistemas de detecção e de prevenção contra invasão. 
Monitorar anomalias de tráfego IP de entrada. 
Atualizar dispositivos com correções e patches de segurança. 
Conduzir testes de penetração pós-configuração. 
Testar tráfego de entrada e de saída. 
Implementar um padrão de classificação de dados. 
Implementar o monitoramento e a varredura da transferência de arquivos para tipo de arquivo 
desconhecido. 
 
Pergunta 11 
0,67 / 2 pts 
Quais são as três isenções de divulgação que pertencem ao FOIA? (Escolha três.) 
Você respondeu 
 
informações públicas de instituições financeiras 
 
 
informações não geológicas sobre poços 
 
Resposta correta 
 
registros de segurança pública que implicam um de um conjunto de preocupações 
enumeradas 
 
Correto! 
 
informações de política externa e de segurança nacional 
 
Correto! 
 
informações comerciais confidenciais 
 
 
informações especificamente não isentas por estatuto 
 
Refer to curriculum topic: 8.2.2 
As nove isenções do Freedom of Information Act (FOIA) incluem o seguinte: 
Informações de política externa e de segurança nacional 
Pessoal interno, regras e práticas de uma agência 
Informações especificamente isentadas pelo estatuto 
Informações comerciais confidenciais 
Comunicação entre ou intra-agência sujeita a processo deliberativo, de litígio e outros 
privilégios 
Informações que, se divulgadas, constituiriam uma invasão claramente injustificada da 
privacidade pessoal 
Registros de segurança pública que implicam um de um conjunto de preocupações 
enumeradas 
Informações da agência de instituições financeiras 
Informações geológicas e geofísicas sobre poços 
 
Pergunta 12 
2 / 2 pts 
Por que o Kali Linux é uma escolha comum para testar a segurança de rede de uma empresa? 
 
Ele pode ser usado para testar os pontos fracos apenas com software mal-intencionado. 
 
Correto! 
 
É uma distribuição de segurança Linux de código aberto e contém mais de 300 ferramentas. 
 
 
É uma ferramenta de verificação de rede que prioriza os riscos de segurança. 
 
 
Ele pode ser usado para interceptar e registrar o tráfego de rede.