Unidade I - Questionário

Prévia do material em texto

Curso
	SEGURANÇA EM REDES DE COMPUTADORES
	Teste
	QUESTIONÁRIO UNIDADE I
	Iniciado
	09/09/20 14:47
	Enviado
	09/09/20 14:48
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	1 minuto
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Por meio dessa afirmação: “Os profissionais de redes devem estar atentos aos agentes das ameaças que podem explorar as vulnerabilidades”, devemos ter em mente os seguintes conceitos:
I- As vulnerabilidades representam brechas que podem representar portas de entrada para a concretização de um incidente ou ataque à segurança da informação e que possivelmente deverá causar impactos ao negócio da organização.
II- As ameaças são representadas por alguma ocasião ou evento que pode ter potencial para causar prejuízos aos ativos informação.
III- O impacto geralmente é representado pelo dano causado pela concretização do risco, quando é representado por prejuízos financeiros.
	
	
	
	
		Resposta Selecionada:
	e. 
As afirmativas I, II e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas II e III estão corretas.
	
	c. 
Apenas as afirmativas I e III estão corretas.
	
	d. 
Nenhuma das afirmativas está correta.
	
	e. 
As afirmativas I, II e III estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: Os profissionais de redes devem estar sempre preocupados em identificar as suas vulnerabilidades a fim de evitar que as ameaças venham a explorá-las, dessa forma, os profissionais devem conhecer as ameaças, mas se preocupar em fechar as vulnerabilidades para não ocorrer impactos que são representados por danos financeiros.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A análise de risco quantitativa é dividida em cinco etapas, sobre a etapa de identificar as ações é correto afirmar que:
	
	
	
	
		Resposta Selecionada:
	d. 
Implementa novas políticas organizacionais e procedimentos, assim como maiores controles técnicos e físicos.
	Respostas:
	a. 
Ocorre sobre as ameaças que possam afetar operações críticas e os ativos, como hackers, criminosos, terroristas, ameaças naturais etc.
	
	b. 
Estima a probabilidade de um evento ocorrer com base no histórico das informações e julgamentos individuais.
	
	c. 
Classifica o valor, o nível de sensibilidade e a criticidade das operações, as potenciais perdas ou danos que podem ocorrer se a ameaça se realizar, incluindo ainda os custos de recuperação.
	
	d. 
Implementa novas políticas organizacionais e procedimentos, assim como maiores controles técnicos e físicos.
	
	e. 
Expõe os resultados que devem ser documentados e posteriormente cria um plano de ação.
	Feedback da resposta:
	Resposta: D
Comentário: A etapa quatro refere-se a identificar as ações com base na análise de custo x benefício na condução da redução do risco.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Referente à gestão dos riscos quando a decisão é tomada, baseada em análise, é a simples aceitação do risco. Essa decisão pode ocorrer devido a:
	
	
	
	
		Resposta Selecionada:
	a. 
Quando o custo de proteger um ativo em relação a um determinado risco simplesmente não vale o benefício.
	Respostas:
	a. 
Quando o custo de proteger um ativo em relação a um determinado risco simplesmente não vale o benefício.
	
	b. 
Quando se procuram alternativas para balancear custo e benefício para proteção de um determinado ativo de informação.
	
	c. 
Quando simplesmente ignora a existência do risco.
	
	d. 
Quando são tomadas medidas paliativas de mitigação do risco.
	
	e. 
Quando não é implantada efetivamente uma análise de risco efetiva.
	Feedback da resposta:
	Resposta: A
Comentário: A aceitação de um risco não quer dizer que sua presença foi ignorada, pelo contrário, sua presença é reconhecida e a decisão de aceitar o risco também é considerada uma forma de tratamento do risco.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	As ameaças podem ser representadas por alguma ocasião ou evento que pode ter potencial para causar prejuízos aos ativos informação. Dessa maneira, é correto afirmar sobre os tipos de ameaças:
I- A origem das ameaças pode ser de três tipos.
II- As ameaças acidentais são causadas por invasões, terrorismo, chantagem, extorsão e até espionagem.
III- O principal agente de uma ameaça acidental são os crackers ou funcionários insatisfeitos.
IV- As ameaças naturais, como enchentes e furações, são causadas por fenômenos da natureza.
	
	
	
	
		Resposta Selecionada:
	c. 
Apenas as afirmativas I e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I, II e III estão corretas.
	
	b. 
Apenas as afirmativas II, III e IV estão corretas.
	
	c. 
Apenas as afirmativas I e IV estão corretas.
	
	d. 
As afirmativas I, II, III e IV estão corretas.
	
	e. 
Apenas as afirmativas I e II estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: As ameaças podem explorar vulnerabilidades e assim se concretizarem e a origem das ameaças pode ser: naturais, acidentais ou intencionais. Ameaças naturais, como fenômenos da natureza (enchentes, furações), têm como agentes a própria natureza, já as ameaças acidentais, como erros de usuários, falhas sistêmicas e falta de energia têm como agente falha ou falta de conhecimento, por fim, as ameaças intencionais têm como exemplo invasões/terrorismo, chantagem/extorsão, espionagem, os crackers ou funcionários insatisfeitos como agentes.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	As proteções são definidas a partir do valor e importância que o ativo de informação possui para a organização e podem ser desenvolvidas para processos como políticas e normas, para pessoas, portas, alarmes e treinamento ou para tecnologia, por exemplo: permissão de acesso, firewalls. Sobre os aspectos de implantação dos mecanismos de proteção, podemos destacar:
 
I- São sempre implantados sobre dois aspectos: o físico e o lógico.
II- No aspecto físico, podemos destacar as Políticas, Normas e Procedimentos de Segurança da Informação.
III- No aspecto lógico, podemos destacar os mecanismos como permissões em sistemas de arquivos, firewalls e perfis de usuários em aplicações, que influenciam diretamente a tecnologia.
IV- No aspecto físico, o elemento mais influenciado são as pessoas.
	
	
	
	
		Resposta Selecionada:
	c. 
Apenas as afirmativas III e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I, II e IV estão corretas.
	
	b. 
Apenas as afirmativas II, III e IV estão corretas.
	
	c. 
Apenas as afirmativas III e IV estão corretas.
	
	d. 
As afirmativas I, II, III e IV estão corretas.
	
	e. 
Apenas as afirmativas I e II estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: As proteções sempre são implantadas sobre três aspectos: lógico, físico e administrativo. No aspecto físico, como portas, fechaduras e vigilantes, visa influenciar o elemento pessoas, já no aspecto lógico, como permissões em sistemas de arquivos, firewalls e perfis de usuários em aplicações, influenciam diretamente a tecnologia, no aspecto administrativo, como em Políticas, Normas e Procedimentos de Segurança da Informação, influenciam o elemento processos.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Segundo Moraes (2010), a autenticação é o processo de determinar se alguma pessoa ou algo é realmente quem diz ser. Dessa forma, podemos afirmar sobre os sistemas de autenticação:
I- Para melhor eficiência do processo de autenticação, deve ser executada, para confirmar o acesso do usuário, em três esferas ou instâncias, a chamada triple A.
II- Os sistemas de autenticação podem ser eficazes quando verificam, de forma clara e objetiva, se o acesso é Autêntico, Autorizado e Auditado.
III- Soluções do tipo triple A não podem ser implantadas em conjunto, deve-se escolher qual dos As é o mais indicado à sua necessidade de autenticação e em quais sistemas se encaixa melhor.
	
	
	
	
		Resposta Selecionada:a. 
Apenas as afirmativas I e II estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas II e III estão corretas.
	
	c. 
Apenas as afirmativas I e III estão corretas.
	
	d. 
Nenhuma das afirmativas está correta.
	
	e. 
As afirmativas I, II e III estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: As instâncias triple A de autenticação não apenas podem como devem trabalhar em conjunto para assim atingir melhor eficácia no processo de autenticação.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Sobre as metodologias de autenticação, é correto afirmar que:
I- A senha é um exemplo de metodologia de acesso pelo que “você tenha”.
II- Os tokens são exemplos de metodologias de acesso baseadas no que “você é”.
III- Um exemplo de metodologia pelo que “você sabe” é a biometria.
	
	
	
	
		Resposta Selecionada:
	d. 
Nenhuma das afirmativas está correta.
	Respostas:
	a. 
Apenas a afirmativa I está correta.
	
	b. 
Apenas a afirmativa II está correta.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
Nenhuma das afirmativas está correta.
	
	e. 
As afirmativas I, II e III estão corretas.
	Feedback da resposta:
	Resposta: D
Comentário: O melhor exemplo da metodologia de acesso por algo que “você sabe” são as senhas de acesso ou os desafios e respostas. Já a metodologia de acesso por algo que “você tenha” está representada por algo que esteja sobre sua posse pessoal, a exemplo dos tokens e certificados digitais, por fim, quando a metodologia de autenticação solicita algo que “você é”, trata-se das características biológicas únicas de cada ser humano, como a biometria.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Dentro do processo de autenticação segura na ótica das três esferas ou instâncias de autenticação, a autorização de acesso tem como função determinar os diversos serviços que o usuário pode acessar na rede. Dessa forma, é correto afirmar que:
I- Quando utilizamos o método de autorização por serviços de diretórios, estamos utilizando repositórios de informações sobre diversos ativos, geralmente de TI, armazenados de maneira centralizada com o propósito de permitir o seu compartilhamento.
II- Quanto utilizamos a autorização por SSO ( single sign-on) , simplificamos o processo de logon dos usuários, permitindo que, após uma única autenticação, o usuário possa acessar todos os recursos a que tem direito sem a necessidade de repetir o processo.
III- O processo de autorização por AMS ( Account Management Systems) utiliza a criação de alocação por função e não por diretórios, através dos sistemas de gerência de identidades.
IV- Devo escolher, entre os formatos, a melhor forma de autorização de acesso a sistemas e informações, lembrando que eles nunca devem ser implantados em conjunto, pois deixariam a rede lenta.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas as afirmativas I, II e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I, II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: Não existe nenhuma restrição na implantação em conjunto das três formas de autorização de acesso, a união delas, inclusive, deixaria a gestão de acesso mais robusta e adequada às necessidades corporativas de acesso à rede, causando pouco aumento de lentidão na rede.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	O processo de autorização de acesso às informações dispostas nas redes corporativas deve ser bem administrado e gerenciado para evitar acessos não desejados, dessa forma, é correto afirmar sobre as técnicas de restrição de acesso às informações:
I- É viável alocar o mínimo possível de permissões para que o usuário execute suas atividades.
II- Sempre devem ser checados se os privilégios condizem com as atividades atuais do usuário.
III- Evitar e registrar tentativas de acessos indevidos.
IV- Não é necessário organizar e armazenar os logs quando está implantado um bom sistema de autorização de acesso.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas as afirmativas I, II e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I, II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: O armazenamento e guarda dos logs vai muito além da autorização de acesso à rede, também faz parte do processo de conformidade e auditoria.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Quando colocamos em prática uma solução AAA percebemos o quanto ela é fundamental para a segurança dos sistemas de autenticação em redes, dessa maneira, soluções são desenvolvidas para atingir maior eficácia ao processo. Podemos exemplificar essas soluções através dos protocolos RADIUS e Kerberos. É correto afirmar, sobre a aplicação prática desses protocolos de autenticação:
I- O protocolo RADIUS foi criado na metade dos anos 90 e foi padronizado em 96 através da RFC 2139. Tem como principal característica o conceito de cliente/servidor.
II- O protocolo Kerberos utiliza um processo de requisição de tíquete criptografado para autenticação que serve como uma requisição em particular de um servidor. Nesse processo o tíquete é enviado pela rede e não a senha do usuário.
III- O RADIUS pode servir de proxy para autenticação em outros RADIUS. Toda a comunicação ocorre com uma chave secreta, ou seja, os dados são criptografados para evitar acesso indevido.
IV- Entre os dois, somente o Kerberos utiliza criptografia para proteger os dados de acesso.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas as afirmativas I, II e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I, II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: Os protocolos RADIUS e Kerberos utilizam formatos diferentes para viabilizarem o triple A na autenticação de acessos às redes, o que os dois têm em comum é o uso de criptografia para proteger os dados de acesso dos usuários à rede.