Atividade 4 - Segurança e Auditoria de Sistemas

Prévia do material em texto

22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 1/4
Pergunta 1
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
A computação em nuvem é a prestação de serviços de computação sob demanda - de aplicativos a
capacidade de armazenamento e processamento - geralmente pela Internet e com o pagamento
conforme o uso. Em vez de possuir sua própria infraestrutura de computação ou data centers, as
empresas podem alugar acesso a qualquer coisa, de aplicativos a armazenamento, de um provedor de
serviços em nuvem.
 
Qual das seguintes siglas refere-se a um modelo de distribuição de software no qual um provedor de
nuvem gerencia e hospeda um aplicativo que os usuários acessam via Internet?
 
SaaS
SaaS
Resposta correta. A alternativa está correta, pois Software como serviço (SaaS) é a
entrega de aplicativos como serviço, provavelmente a versão da computação em nuvem
à qual a maioria das pessoas está acostumada no dia a dia. O hardware e o sistema
operacional subjacentes são irrelevantes para o usuário final, que acessará o serviço por
meio de um navegador ou aplicativo; geralmente é comprado por assento ou por usuário.
Pergunta 2
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Um dos principais objetivos de uma política de segurança é fornecer proteção - proteção para sua
organização e seus funcionários. As políticas de segurança protegem as informações
críticas/propriedade intelectual de sua organização, descrevendo claramente as responsabilidades dos
funcionários com relação a quais informações precisam ser protegidas e por quê. 
Qual das seguintes opções MELHOR ajuda os proprietários das informações a classificar os dados
corretamente?
Entendendo quais pessoas/setores precisam acessar os dados
Entendendo quais pessoas/setores precisam acessar os dados
Resposta correta. A alternativa está correta, pois em termos de proteção dos dados, os
requisitos de dados dos usuários finais são críticos, mas se o proprietário dos dados não
entender qual esquema de classificação de dados está em vigor, é provável que o
acesso inadequado aos dados sensíveis possa ser concedido para pessoas não
autorizadas.
Pergunta 3
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Existem dois tipos de ameaça à segurança em IoT: ameaça humana e uma ameaça natural (terremoto,
incêndio, enchente, tsunami, etc). Qualquer ameaça que ocorra devido a calamidades naturais pode
causar danos graves aos dispositivos de IoT. Nesses casos, é criada uma volta para proteger os
dados. Entretanto, qualquer dano a esses dispositivos não pode ser reparado. Por outro lado, fazemos
tudo para conter as ameaças humanas aos dispositivos IoT. 
Assinale quais são os exemplos de ataque maliciosos:
Reconhecimento cibernético e ataque de força bruta.
Reconhecimento cibernético e ataque de força bruta.
Resposta correta. A alternativa está correta, pois no reconhecimento cibernético o
invasor usa técnicas para realizar espionagem no usuário alvo e obter acesso a
informações secretas nos sistemas existentes. No ataque de força bruta os invasores
tentam adivinhar a senha do usuário com a ajuda do software automatizado, que faz
várias tentativas, a menos que obtenha a senha correta para conceder acesso.
Pergunta 4
Uma empresa possui um sensor IoT que envia dados para um servidor físico que está em uma nuvem
privada. Criminosos acessam o servidor de banco de dados e criptografam os arquivos e dados
pessoais da empresa, inclusive os dados enviados pelo sensor. O usuário não pode acessar esses
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 2/4
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
dados, a menos que pague aos criminosos para descriptografar os arquivos. 
Assinale a alternativa que denomina qual é essa prática:
Ransomware
Ransomware
Resposta correta. A alternativa está correta, pois a ideia por trás do ransomware, uma
forma de software malicioso, é simples: bloqueie e criptografe os dados do computador
ou do dispositivo da vítima e, em seguida, exija um resgate para restaurar o acesso. Em
muitos casos, a vítima deve pagar ao cibercriminoso dentro de um determinado período
de tempo ou correr o risco de perder o acesso para sempre.
Pergunta 5
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software
como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS
(Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se
esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um
backbone que pode ser "alugado" por outras empresas.
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como
Serviço)?
 
Transferência do custo de propriedade
Transferência do custo de propriedade
Resposta correta. A alternativa está correta, pois os benefícios da computação em
nuvem incluem economia de custos (os departamentos de TI não precisam investir em
servidores, armazenamento, instalações licenças etc.). No entanto, as organizações
também devem levar em consideração os benefícios de ter uma equipe de TI que possa
reagir de maneira mais rápida e eficaz a mudanças e oportunidades de negócios. Logo,
todos estes custos são transferidos para o fornecedor do serviço.
Pergunta 6
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Os modelos de computação em nuvem são quase infinitamente escaláveis. A nuvem se estende ao
lado das necessidades flutuantes da organização, oferecendo disponibilidade ideal de recursos o
tempo todo. Embora possa ser fácil começar a usar um novo aplicativo na nuvem, migrar dados ou
aplicativos existentes para a nuvem pode ser muito mais complicado e caro.
 
Qual modelo de implantação em nuvem é operado exclusivamente para uma única organização e seus
usuários autorizados?
 
Nuvem privada
Nuvem privada
Resposta correta. A alternativa está correta, pois o modelo de implantação de nuvem
privada se parece mais com o modelo de servidor interno tradicional. Em muitos casos,
uma organização mantém uma nuvem privada no local e presta serviços a usuários
internos por meio da intranet. Em outros casos, a organização contrata um fornecedor de
nuvem de terceiros para hospedar e manter servidores exclusivos fora do local.
Pergunta 7
Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração lança luz
sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não identifiquemos as
ameaças pela Internet, não poderemos tomar medidas para proteger nosso sistema de computador
contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O objetivo pode diferir dependendo
do alvo do invasor. 
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a seguir e
assinale a alternativa correta:
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um invasor pode
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 3/4
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
tentar obter acesso não autorizado ao dispositivo
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações confidenciais
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional.
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos suscetíveis a
invasores.
I e II apenas.
I e II apenas.
Resposta correta. A alternativa está correta, pois os dispositivos de IoT estão conectados
a internet e, como foi vistodurante os estudos, qualquer “coisa” conectada a internet é
suscetível a invasores. Estes dispositivos se comunicam com um servidor ou broker por
meio de conexão wireless (sem fio) ou conexão cabeada. De um modo ou de outro, o
atacante pode controlar o dispositivo e, até mesmo, apossar-se das informações
confidenciais que, por ventura, este dispositivo (ou conjunto deles) está a produzir.
Pergunta 8
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
O controle de acesso é um método para garantir que os usuários sejam quem eles dizem ser e que
tenham acesso adequado aos dados da empresa. Existem diversos tipos de dispositivos de
autenticação que contribuem para o controle de acesso, um destes dispositivos consistem de um leitor
/ scanner e software que criptografa e converte as informações digitalizadas em formato digital para
que possam ser comparadas com registros anteriores. 
Assinale a alternativa que evidencia qual é o dispositivo citado?
 
Biométrico
Biométrico
Resposta correta. A alternativa está correta, pois Biometria é a medição e análise
estatística das características físicas e comportamentais únicas das pessoas. A
tecnologia é usada principalmente para identificação e controle de acesso ou para
identificar indivíduos que estão sob vigilância. A premissa básica da autenticação
biométrica é que cada pessoa pode ser identificada com precisão por seus traços físicos
ou comportamentais intrínsecos.
Pergunta 9
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, mas agora está
conectado aos objetos circundantes, trocando dados e informações. Duas características de um objeto
em IoT é que ele possa ser localizado e identificado em qualquer lugar no espaço e no tempo. Em IoT,
depois que um dispositivo é identificado e autenticado, o sistema de controle de acesso precisa atribuí-
lo a um segmento de rede específico automaticamente. 
 
Dentro deste contexto, quais são os três tipos de controle de acesso para um dispositivo IoT em um
sistema de informação?
 
administrativo, físico e técnico
administrativo, físico e técnico
Resposta correta. A alternativa está correta, pois os controles físicos descrevem qualquer
coisa tangível usada para impedir ou detectar acesso não autorizado a áreas, sistemas
ou ativos físicos (cercas, portões, biometria, etc). Os controles técnicos (também
conhecidos como controles lógicos) incluem mecanismos de hardware ou software
usados para proteger ativos (firewall, antivírus). Os controles administrativos referem-se
a políticas, procedimentos ou diretrizes que definem práticas de pessoal ou de negócios
de acordo com as metas de segurança da organização (treinamento de funcionários, por
exemplo).
Pergunta 10
Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada é perfeito no
mundo da tecnologia, nada está completamente seguro. Portanto, com o crescimento da IoT, há
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 4/4
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
desafios para conter as ameaças relacionadas à IoT, a fim de alcançar todos os seus benefícios. 
De posse destas informações e do conteúdo estudado, analise as técnicas disponíveis a seguir e
associe-as com suas respectivas características.
I. Injeção SQL.
II. DDoS.
III. Rastreamento.
IV. Força bruta.
V. Phishing
 
( ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de obter
informações pessoais.
( ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT.
( ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando que uma
funcione.
( ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa responder às
solicitações de serviço.
( ) Este ataque executa uma consulta no banco de dados por meio dos dados de entrada do cliente
para o servidor.
Agora, assinale a alternativa que apresenta a sequência correta:
 
V, III, IV, II, I.
V, III, IV, II, I.
Resposta correta. A alternativa está correta, pois a injeção SQL (1) executa comandos
SQL os quais são inseridos na entrada do banco de dados para executar comandos
predefinidos. DDoS (2) ou ataque de inundação, é um ataque aos recursos do sistema
com o objetivo de deixa-lo indisponível. Rastreamento (3) é um tipo de ataque que
monitora a localização do dispositivo de IoT no espaço e no tempo, fornecendo uma
localização precisa. No ataque de força bruta (4), um algoritmo tenta de forma
ininterrupta descobrir a senha almejada. O ataque de phishing (5) visa levar a vítima ao
erro, tentando enganá-la com o objetivo de obter informações relevantes.