SEGURANÇA E AUDITORIA DE SISTEMAS ATV 4

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	A computação em nuvem é a prestação de serviços de computação sob demanda - de aplicativos a capacidade de armazenamento e processamento - geralmente pela Internet e com o pagamento conforme o uso. Em vez de possuir sua própria infraestrutura de computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de aplicativos a armazenamento, de um provedor de serviços em nuvem.
 
Qual das seguintes siglas refere-se a um modelo de distribuição de software no qual um provedor de nuvem gerencia e hospeda um aplicativo que os usuários acessam via Internet?
 
	
	
	
	
		Resposta Selecionada:
	 
SaaS
	Resposta Correta:
	 
SaaS
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois Software como serviço (SaaS) é a entrega de aplicativos como serviço, provavelmente a versão da computação em nuvem à qual a maioria das pessoas está acostumada no dia a dia. O hardware e o sistema operacional subjacentes são irrelevantes para o usuário final, que acessará o serviço por meio de um navegador ou aplicativo; geralmente é comprado por assento ou por usuário.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Os certificados digitais são emitidos para indivíduos por uma autoridade de certificação (CA), uma empresa privada que cobra do usuário ou do destinatário a emissão de um certificado. As organizações usam certificados digitais para verificar as identidades das pessoas e organizações com as quais fazem negócios e precisam confiar.
 
Quando um certificado é revogado, qual é o procedimento adequado?
 
	
	
	
	
		Resposta Selecionada:
	 
Atualizando a lista de revogação de certificado
	Resposta Correta:
	 
Atualizando a lista de revogação de certificado
	Feedback da resposta:
	Resposta correta. A resposta está correta, pois quando uma chave não é mais válida, a lista de revogação do certificado deve ser atualizada. Uma lista de revogação de certificados (CRL) é uma lista de certificados inválidos que não devem ser aceitos por nenhum membro da infraestrutura de chaves públicas.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Uma empresa possui um sensor IoT que envia dados para um servidor físico que está em uma nuvem privada. Criminosos acessam o servidor de banco de dados e criptografam os arquivos e dados pessoais da empresa, inclusive os dados enviados pelo sensor. O usuário não pode acessar esses dados, a menos que pague aos criminosos para descriptografar os arquivos.
Assinale a alternativa que denomina qual é essa prática:
	
	
	
	
		Resposta Selecionada:
	 
Ransomware
	Resposta Correta:
	 
Ransomware
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a ideia por trás do ransomware, uma forma de software malicioso, é simples: bloqueie e criptografe os dados do computador ou do dispositivo da vítima e, em seguida, exija um resgate para restaurar o acesso. Em muitos casos, a vítima deve pagar ao cibercriminoso dentro de um determinado período de tempo ou correr o risco de perder o acesso para sempre.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada é perfeito no mundo da tecnologia, nada está completamente seguro. Portanto, com o crescimento da IoT, há desafios para conter as ameaças relacionadas à IoT, a fim de alcançar todos os seus benefícios.
De posse destas informações e do conteúdo estudado, analise as técnicas disponíveis a seguir e associe-as com suas respectivas características.
I. Injeção SQL.
II. DDoS.
III. Rastreamento.
IV. Força bruta.
V. Phishing
 
(  ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de obter informações pessoais.
(  ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT.
(  ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando que uma funcione.
(  ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa responder às solicitações de serviço.
(  ) Este ataque executa uma consulta no banco de dados por meio dos dados de entrada do cliente para o servidor.
Agora, assinale a alternativa que apresenta a sequência correta:
 
	
	
	
	
		Resposta Selecionada:
	 
V, III, IV, II, I.
	Resposta Correta:
	 
V, III, IV, II, I.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a injeção SQL (1) executa comandos SQL os quais são inseridos na entrada do banco de dados para executar comandos predefinidos. DDoS (2) ou ataque de inundação, é um ataque aos recursos do sistema com o objetivo de deixa-lo indisponível. Rastreamento (3) é um tipo de ataque que monitora a localização do dispositivo de IoT no espaço e no tempo, fornecendo uma localização precisa. No ataque de força bruta (4), um algoritmo tenta de forma ininterrupta descobrir a senha almejada. O ataque de phishing (5) visa levar a vítima ao erro, tentando enganá-la com o objetivo de obter informações relevantes.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Existem dois tipos de ameaça à segurança em IoT: ameaça humana e uma ameaça natural (terremoto, incêndio, enchente, tsunami, etc). Qualquer ameaça que ocorra devido a calamidades naturais pode causar danos graves aos dispositivos de IoT. Nesses casos, é criada uma volta para proteger os dados. Entretanto, qualquer dano a esses dispositivos não pode ser reparado. Por outro lado, fazemos tudo para conter as ameaças humanas aos dispositivos IoT.
Assinale quais são os exemplos de ataque maliciosos:
	
	
	
	
		Resposta Selecionada:
	 
Reconhecimento cibernético e ataque de força bruta.
	Resposta Correta:
	 
Reconhecimento cibernético e ataque de força bruta.
	Feedback da resposta:
	Resposta correta.  A alternativa está correta, pois no reconhecimento cibernético o invasor usa técnicas para realizar espionagem no usuário alvo e obter acesso a informações secretas nos sistemas existentes. No ataque de força bruta os invasores tentam adivinhar a senha do usuário com a ajuda do software automatizado, que faz várias tentativas, a menos que obtenha a senha correta para conceder acesso.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do invasor.
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a seguir e assinale a alternativa correta:
I. Como os dispositivos habilitados para IoT são usados ​​e operados por humanos, um invasor pode tentar obter acesso não autorizado ao dispositivo
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações confidenciais
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional.
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos suscetíveis a invasores.
	
	
	
	
		Resposta Selecionada:
	 
I e II apenas.
	Resposta Correta:
	 
I e II apenas.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois os dispositivos de IoT estão conectados a internet e, como foi visto durante os estudos, qualquer “coisa” conectada a internet é suscetível a invasores. Estes dispositivos se comunicam com um servidor ou broker por meio de conexão wireless (sem fio) ou conexão cabeada. De um modo ou de outro, o atacante pode controlar o dispositivo e, até mesmo, apossar-se das informações confidenciais que, por ventura, este dispositivo (ou conjunto deles) está a produzir.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Os modelos de computação em nuvem são quase infinitamente escaláveis. A nuvem se estende ao lado das necessidades flutuantes da organização, oferecendo disponibilidade ideal de recursos o tempo todo. Embora possa ser fácil começar a usarum novo aplicativo na nuvem, migrar dados ou aplicativos existentes para a nuvem pode ser muito mais complicado e caro.
 
Qual modelo de implantação em nuvem é operado exclusivamente para uma única organização e seus usuários autorizados?
 
	
	
	
	
		Resposta Selecionada:
	 
Nuvem privada
	Resposta Correta:
	 
Nuvem privada
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois o modelo de implantação de nuvem privada se parece mais com o modelo de servidor interno tradicional. Em muitos casos, uma organização mantém uma nuvem privada no local e presta serviços a usuários internos por meio da intranet. Em outros casos, a organização contrata um fornecedor de nuvem de terceiros para hospedar e manter servidores exclusivos fora do local.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser "alugado" por outras empresas.
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como Serviço)?
 
	
	
	
	
		Resposta Selecionada:
	 
Escalabilidade
	Resposta Correta:
	 
Transferência do custo de propriedade
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois escalabilidade é a capacidade de um sistema aumentar a carga de trabalho em seus recursos atuais de hardware. Por outro lado, a elasticidade é a capacidade de um sistema aumentar a carga de trabalho em seus recursos de hardware atuais e adicionais (adicionados dinamicamente sob demanda). Note que nestes não são benefícios, mas características da nuvem. A elasticidade está fortemente relacionada a aplicativos implantados na nuvem.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Para que seja considerada "computação em nuvem", você precisa acessar seus dados ou programas pela Internet, ou pelo menos ter esses dados sincronizados com outras informações na Web. No entanto, ainda existem preocupações com a segurança, especialmente para as empresas que movem seus dados entre muitos serviços em nuvem, o que levou ao crescimento de ferramentas de segurança em nuvem.
 
Como é possível obter a confidencialidade destes dados e informações na nuvem?
	
	
	
	
		Resposta Selecionada:
	 
Ao restringir o acesso à informação
	Resposta Correta:
	 
Ao restringir o acesso à informação
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois dados restritos são quaisquer informações confidenciais ou pessoais protegidas por lei ou política e que exigem o mais alto nível de controle de acesso e proteção de segurança, seja no armazenamento ou em trânsito. Restringindo o acesso aos dados podemos garantir a confidencialidade.
	
	
	
· Pergunta 10
0 em 1 pontos
	
	
	
	O uso dos serviços de computação em nuvem parece oferecer vantagens de custo significativas. As empresas iniciantes, em particular, se beneficiam dessas vantagens, pois frequentemente não operam uma infraestrutura de TI interna. Entretanto, uma das maiores preocupações e o que leva algumas empresas a não optarem pela nuvem é o quesito segurança.
De fato, confiar os seus dados à um terceiro realmente é preocupante. Quando se trata de segurança, é correto dizer:
	
	
	
	
		Resposta Selecionada:
	 
As empresas podem terceirizar a infraestrutura (IaaS), o software (SaaS), alguns serviços e também a segurança.
	Resposta Correta:
	 
Deve haver um esforço conjunto entre o fornecedor de serviço de nuvem e a empresa contratante para garantir a segurança.
	Feedback da resposta:
	Sua resposta está incorreta.  A resposta está errada, a preocupação com a segurança em nuvem deve ser compartilhada tanto pelo provedor do serviço quanto pela empresa contratante. A empresa não pode terceirizar a segurança, pois ela precisa ter controle e domínio sobre seus dados. Deste modo, o provedor de serviços em nuvem é responsável pela segurança da nuvem e o cliente é responsável pela segurança na nuvem.
	
	
	
Sexta-feira, 19 de Junho de 2020 19h18min39s BRT