Buscar

ATIVIDADE 4 SEGURANÇA E AUDITORIA DE SISTEMAS

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 6 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 6 páginas

Prévia do material em texto

Curso 20202 - Segurança E Auditoria De Sistemas (ON) 
Teste ATIVIDADE 4 (A4) 
Iniciado 20/10/20 19:16 
Enviado 20/10/20 19:29 
Status Completada 
Resultado da tentativa 10 em 10 pontos 
Tempo decorrido 12 minutos 
Resultados exibidos Respostas enviadas, Respostas corretas, Comentários 
• Pergunta 1 
1 em 1 pontos 
 
Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração 
lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que 
não identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger 
nosso sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um 
propósito. O objetivo pode diferir dependendo do alvo do invasor. 
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a 
seguir e assinale a alternativa correta: 
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um 
invasor pode tentar obter acesso não autorizado ao dispositivo 
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações 
confidenciais 
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade 
computacional. 
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos 
suscetíveis a invasores. 
 
Resposta Selecionada: 
I e II apenas. 
Resposta Correta: 
I e II apenas. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois os dispositivos 
de IoT estão conectados a internet e, como foi visto durante os 
estudos, qualquer “coisa” conectada a internet é suscetível a 
invasores. Estes dispositivos se comunicam com um servidor ou 
broker por meio de conexão wireless (sem fio) ou conexão 
cabeada. De um modo ou de outro, o atacante pode controlar o 
dispositivo e, até mesmo, apossar-se das informações 
confidenciais que, por ventura, este dispositivo (ou conjunto 
deles) está a produzir. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
A computação em nuvem é a prestação de serviços de computação sob demanda - de 
aplicativos a capacidade de armazenamento e processamento - geralmente pela Internet e 
com o pagamento conforme o uso. Em vez de possuir sua própria infraestrutura de 
computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de 
aplicativos a armazenamento, de um provedor de serviços em nuvem. 
 
Qual das seguintes siglas refere-se a um modelo de distribuição de software no qual um 
provedor de nuvem gerencia e hospeda um aplicativo que os usuários acessam via 
Internet? 
 
 
Resposta Selecionada: 
SaaS 
Resposta Correta: 
SaaS 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois Software como 
serviço (SaaS) é a entrega de aplicativos como serviço, 
provavelmente a versão da computação em nuvem à qual a 
maioria das pessoas está acostumada no dia a dia. O hardware 
e o sistema operacional subjacentes são irrelevantes para o 
usuário final, que acessará o serviço por meio de um navegador 
ou aplicativo; geralmente é comprado por assento ou por 
usuário. 
 
• Pergunta 3 
1 em 1 pontos 
 
Uma auditoria de TI pode ser definida como qualquer auditoria que englobe a revisão e 
avaliação de sistemas automatizados de processamento de informações, processos não 
automatizados relacionados e as interfaces entre eles. As auditorias são sempre resultado 
de alguma preocupação com o gerenciamento de ativos. A parte envolvida pode ser uma 
agência reguladora, um proprietário de ativos ou qualquer parte interessada na operação 
do ambiente de sistemas. 
Qual configuração de auditoria controla os logs locais 
em um computador? 
 
Resposta Selecionada: 
Eventos de logon 
Resposta Correta: 
Eventos de logon 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a política de 
eventos de logon define a auditoria de todos os eventos gerados 
em um computador, usados para validar as tentativas do usuário 
de efetuar logon ou logoff de outro computador. Para contas de 
usuário local (logins locais), esses eventos são gerados e 
armazenados no computador local quando um usuário local é 
autenticado nesse computador. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
Nos termos mais simples, computação em nuvem significa armazenar e acessar dados e 
programas pela Internet, em vez do disco rígido do computador. A nuvem é apenas uma 
metáfora da Internet. Algumas empresas podem relutar em hospedar dados confidenciais 
em um serviço que também é usado por concorrentes. Mudar para um aplicativo SaaS 
(Software como Serviço) também pode significar que você está usando os mesmos 
aplicativos que um concorrente, o que pode dificultar a criação de qualquer vantagem 
competitiva se esse aplicativo for essencial para os seus negócios. 
 
Qual dos seguintes riscos é realmente aumentado por tecnologias de segurança 
específicas da nuvem? 
 
 
Resposta Selecionada: 
Ataque de superfície 
Resposta Correta: 
 
Ataque de superfície 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois um ataque de 
superfície é a soma total de vulnerabilidades que podem ser 
exploradas para realizar um ataque de segurança. Os ataques 
de superfície podem ser físicos ou digitais. Para manter a rede 
segura, os administradores de rede devem procurar 
proativamente maneiras de reduzir o número e o tamanho dos 
ataques de superfície. 
 
• Pergunta 5 
1 em 1 pontos 
 
O uso dos serviços de computação em nuvem parece oferecer vantagens de custo 
significativas. As empresas iniciantes, em particular, se beneficiam dessas vantagens, pois 
frequentemente não operam uma infraestrutura de TI interna. Entretanto, uma das maiores 
preocupações e o que leva algumas empresas a não optarem pela nuvem é o quesito 
segurança. 
De fato, confiar os seus dados à um terceiro realmente é preocupante. Quando se trata de 
segurança, é correto dizer: 
 
Resposta 
Selecionada: 
 
Deve haver um esforço conjunto entre o fornecedor de 
serviço de nuvem e a empresa contratante para garantir a 
segurança. 
Resposta 
Correta: 
 
Deve haver um esforço conjunto entre o fornecedor de 
serviço de nuvem e a empresa contratante para garantir a 
segurança. 
Feedback 
da 
resposta: 
Respostas correta. A resposta está correta, note que deve 
haver um esforço dos dois lados: o provedor de serviços em 
nuvem é responsável pela segurança da nuvem e de garantir a 
disponibilidade, confidencialidade e a integridade dos dados; do 
outro lado, o cliente é responsável pela segurança na nuvem. 
 
 
• Pergunta 6 
1 em 1 pontos 
 
O controle de acesso é um método para garantir que os usuários sejam quem eles dizem 
ser e que tenham acesso adequado aos dados da empresa. Existem diversos tipos de 
dispositivos de autenticação que contribuem para o controle de acesso, um destes 
dispositivos consistem de um leitor / scanner e software que criptografa e converte as 
informações digitalizadas em formato digital para que possam ser comparadas com 
registros anteriores. 
Assinale a alternativa que evidencia qual é o dispositivo citado? 
 
 
Resposta Selecionada: 
Biométrico 
Resposta Correta: 
Biométrico 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois Biometria é a 
medição e análise estatística das características físicas e 
comportamentais únicas das pessoas. A tecnologia é usada 
principalmente para identificação e controle de acesso ou para 
 
identificar indivíduos que estão sob vigilância. A premissa básica 
da autenticação biométrica é que cada pessoa pode ser 
identificada com precisão por seus traços físicos ou 
comportamentais intrínsecos. 
 
• Pergunta 7 
1 em 1 pontos 
 
Existem dois tipos de ameaça à segurança em IoT: ameaça humana e uma ameaça natural 
(terremoto, incêndio, enchente, tsunami, etc). Qualquer ameaça que ocorra devido a 
calamidades naturais pode causar danos graves aos dispositivos de IoT. Nesses casos, é 
criada uma volta para protegeros dados. Entretanto, qualquer dano a esses dispositivos 
não pode ser reparado. Por outro lado, fazemos tudo para conter as ameaças humanas aos 
dispositivos IoT. 
Assinale quais são os exemplos de ataque maliciosos: 
 
Resposta Selecionada: 
Reconhecimento cibernético e ataque de força bruta. 
Resposta Correta: 
Reconhecimento cibernético e ataque de força bruta. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois no 
reconhecimento cibernético o invasor usa técnicas para realizar 
espionagem no usuário alvo e obter acesso a informações 
secretas nos sistemas existentes. No ataque de força bruta os 
invasores tentam adivinhar a senha do usuário com a ajuda do 
software automatizado, que faz várias tentativas, a menos que 
obtenha a senha correta para conceder acesso. 
 
 
• Pergunta 8 
1 em 1 pontos 
 
O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, mas 
agora está conectado aos objetos circundantes, trocando dados e informações. Duas 
características de um objeto em IoT é que ele possa ser localizado e identificado em 
qualquer lugar no espaço e no tempo. Em IoT, depois que um dispositivo é identificado e 
autenticado, o sistema de controle de acesso precisa atribuí-lo a um segmento de rede 
específico automaticamente. 
 
Dentro deste contexto, quais são os três tipos de controle de acesso para um dispositivo 
IoT em um sistema de informação? 
 
 
Resposta Selecionada: 
administrativo, físico e técnico 
Resposta Correta: 
administrativo, físico e técnico 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois os controles 
físicos descrevem qualquer coisa tangível usada para impedir ou 
detectar acesso não autorizado a áreas, sistemas ou ativos 
físicos (cercas, portões, biometria, etc). Os controles técnicos 
(também conhecidos como controles lógicos) incluem 
mecanismos de hardware ou software usados para proteger 
ativos (firewall, antivírus). Os controles administrativos referem-
se a políticas, procedimentos ou diretrizes que definem práticas 
de pessoal ou de negócios de acordo com as metas de 
 
segurança da organização (treinamento de funcionários, por 
exemplo). 
 
• Pergunta 9 
1 em 1 pontos 
 
Os certificados digitais são emitidos para indivíduos por uma autoridade de certificação 
(CA), uma empresa privada que cobra do usuário ou do destinatário a emissão de um 
certificado. As organizações usam certificados digitais para verificar as identidades das 
pessoas e organizações com as quais fazem negócios e precisam confiar. 
 
Quando um certificado é revogado, qual é o procedimento adequado? 
 
 
Resposta Selecionada: 
Atualizando a lista de revogação de certificado 
Resposta Correta: 
Atualizando a lista de revogação de certificado 
Feedback 
da 
resposta: 
Resposta correta. A resposta está correta, pois quando uma 
chave não é mais válida, a lista de revogação do certificado 
deve ser atualizada. Uma lista de revogação de certificados 
(CRL) é uma lista de certificados inválidos que não devem ser 
aceitos por nenhum membro da infraestrutura de chaves 
públicas. 
 
 
• Pergunta 10 
1 em 1 pontos 
 
Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada é 
perfeito no mundo da tecnologia, nada está completamente seguro. Portanto, com o 
crescimento da IoT, há desafios para conter as ameaças relacionadas à IoT, a fim de 
alcançar todos os seus benefícios. 
De posse destas informações e do conteúdo estudado, analise as técnicas disponíveis a 
seguir e associe-as com suas respectivas características. 
I. Injeção SQL. 
II. DDoS. 
III. Rastreamento. 
IV. Força bruta. 
V. Phishing 
 
( ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de obter 
informações pessoais. 
( ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT. 
( ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando que 
uma funcione. 
( ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa responder 
às solicitações de serviço. 
( ) Este ataque executa uma consulta no banco de dados por meio dos dados de entrada 
do cliente para o servidor. 
Agora, assinale a alternativa que apresenta a sequência correta: 
 
 
Resposta Selecionada: 
V, III, IV, II, I. 
Resposta Correta: 
V, III, IV, II, I. 
 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a injeção SQL 
(1) executa comandos SQL os quais são inseridos na entrada do 
banco de dados para executar comandos predefinidos. DDoS 
(2) ou ataque de inundação, é um ataque aos recursos do 
sistema com o objetivo de deixa-lo indisponível. Rastreamento 
(3) é um tipo de ataque que monitora a localização do 
dispositivo de IoT no espaço e no tempo, fornecendo uma 
localização precisa. No ataque de força bruta (4), um algoritmo 
tenta de forma ininterrupta descobrir a senha almejada. O 
ataque de phishing (5) visa levar a vítima ao erro, tentando 
enganá-la com o objetivo de obter informações relevantes. 
 
Quinta-feira, 22 de Outubro de 2020 21h55min07s BRT

Outros materiais

Outros materiais