Avaliação de Riscos e Ferramentas de Ataque

Prévia do material em texto

 Pergunta 1 
1 em 1 pontos
	
	
	
	Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos. 
	
	
	
	
		Resposta Selecionada: 
	
Podem-se identificar, priorizar e medir os riscos. 
	Resposta Correta: 
	
Podem-se identificar, priorizar e medir os riscos. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida. 
	
	
	
 Pergunta 2 
0 em 1 pontos
	
	
	
	Avaliação de risco é um termo usado para descrever o processo ou método geral em que você identifica perigos e fatores de risco com potencial para causar danos. Precaver-se de riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se precaver, poderíamos obter os riscos de outras organizações e aplicá-las à nossa realidade.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos que uma organização deve considerar: 
	
	
	
	
		Resposta Selecionada: 
	
Eventos, incidentes e estratégias. 
  
	Resposta Correta: 
	
Objetivos e estratégias, leis e regras de negócio. 
	Feedback da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois uma organização deve levar em consideração, no mínimo, três tipos de requisitos de segurança básicos: estratégia, visão e objetivos. Eles estão diretamente envolvidos com o negócio dela. Recomenda-se fortemente que você releia o material e compreenda melhor esses requisitos. 
	
	
	
 Pergunta 3 
1 em 1 pontos
	
	
	
	Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques: 
	
	
	
	
		Resposta Selecionada: 
	
Varreduras de vulnerabilidades, portas, captura de teclado etc. 
	Resposta Correta: 
	
Varreduras de vulnerabilidades, portas, captura de teclado etc. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida em que se pode identificar suas vulnerabilidades primeiramente. 
	
	
	
 Pergunta 4 
0 em 1 pontos
	
	
	
	Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: 
	
	
	
	
		Resposta Selecionada: 
	
Quantitativa, qualitativa e mitigação. 
	Resposta Correta: 
	
Tolerância, redução e prevenção. 
	Feedback da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois você assinalou uma alternativa que envolve métricas ou técnicas para se obterem informações sobre um risco. Veja que, uma vez identificado o risco, devemos tomar contramedidas, que podem estar associadas a custo e tempo despendidos. Desse modo, para compreender melhor o tema releia seu material de estudo. 
	
	
	
 Pergunta 5 
1 em 1 pontos
	
	
	
	Há também um tipo de ataque de que visa obter informações sobre uma determinada organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que represente tal conceito: 
	
	
	
	
		Resposta Selecionada: 
	
Engenharia social. 
	Resposta Correta: 
	
Engenharia social. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a engenharia social é, sem dúvida, um meio de ataque muito poderoso. Ele visa obter informações de pessoas novatas ou que não conhecem a importância da informação. Por meio dela, dados sigilosos/importantes podem ser obtidos com uma boa conversa e um sorriso no rosto. 
	
	
	
 Pergunta 6 
1 em 1 pontos
	
	
	
	Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições: 
	
	
	
	
		Resposta Selecionada: 
	
Negação de serviço (DoS – Denial of Service). 
	Resposta Correta: 
	
Negação de serviço (DoS – Denial of Service). 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a negação de serviço visa indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo. Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que, com esse ataque, usam-se milhares de computadores sequestrados. 
	
	
	
 Pergunta 7 
1 em 1 pontos
	
	
	
	Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no
software (desenvolvedor). 
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	
	
	
	
		Resposta Selecionada: 
	
Portas dos fundos ( backdoor). 
	Resposta Correta: 
	
Portas dos fundos (backdoor). 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois esse ataque é o de portas dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras vezes, esse ataque visa entrar em uma porta (brecha) na qual ninguém está acostumado a entrar. Este tipo de brecha pode ser algum caminho criado pelo desenvolvedor para manutenção do sistema, por exemplo, um usuário administrador e senha 123456. 
	
	
	
 Pergunta 8 
1 em 1 pontos
	
	
	
	Um dos ataques mais utilizados na Internet é o de negação deserviço (DoS – Denial of Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar determinados arquivos contendo informações sigilosas da organização, mas lhe é permitido.
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
	
	
	
	
		Resposta Selecionada: 
	
Política de navegação aceitável. 
	Resposta Correta: 
	
Política de navegação aceitável. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois em uma organização devem-se definir políticas para indicar quem deve ter acesso a determinados tipos de recursos. Isso impossibilita que pessoas não autorizadas tenham acesso a arquivos confidenciais dela. Aqui, também se define o que os empregados podem acessar na rede, limitando os tipos de sites, por exemplo sites pornográficos, que pratiquem pirataria etc. 
	
	
	
 Pergunta 9 
0 em 1 pontos
	
	
	
	Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco: 
	
	
	
	
		Resposta Selecionada: 
	
Cada organização faz seu próprio processo; infelizmente, não há um exemplo de processo a ser seguido ou adaptado. 
	Resposta Correta: 
	
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Feedback da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois não é necessário reinventar a roda criando novos processos de gerência de risco. Existem várias normas/boas práticas que são amplamente utilizadas e aceitas no mundo todo. Em caso de dúvidas, é recomendado que você pesquise no material e também na bibliografia exemplos de processos de gerenciamento de risco. 
	
	
	
 Pergunta 10 
1 em 1 pontos
	
	
	
	No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que recebem e-mails oferecendo ofertas encantadoras, produtos com preços abaixo do mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado a uma conta falsa e, sem saber, acaba sendo vítima de um golpe.
Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: 
	
	
	
	
		Resposta Selecionada: 
	
Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. 
	Resposta Correta: 
	
Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois, a cada dia que passa, percebemos que os golpes tendem a evoluir, para assim enganar mais gente de forma despercebida. Geralmente, os idosos caem bastante em golpes, pois confiam na palavra e na história contada. Resta-nos sempre alertá-los e termos um pé atrás em relação a qualquer coisa que envolva dinheiro.