SEGURANÇA E AUDITORIA DE SISTEMAS - ATIVIDADE 02

Prévia do material em texto

Curso CCO04090 SEGURANÇA E AUDITORIA DE SISTEMAS 
GR3032202 - 202020.ead-11078.01 
Teste ATIVIDADE 2 (A2) 
Iniciado 29/10/20 11:31 
Enviado 29/10/20 11:37 
Status Completada 
Resultado da 
tentativa 
10 em 10 pontos 
Tempo decorrido 6 minutos 
Resultados 
exibidos 
Respostas enviadas, Respostas corretas, Comentários 
• Pergunta 1 
1 em 1 pontos 
 
Uma organização deve conhecer bem as suas ameaças. Por meio da 
identificação delas, é possível definir contramedidas que podem resolver, 
amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado 
aos ativos da organização. Em uma organização, têm-se ativos que são os 
alvos favoritos de ameaças. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique os principais ativos de 
uma organização: 
 
Resposta 
Selecionada: 
 
Propriedade intelectual, dados financeiros e 
disponibilidade. 
Resposta Correta: 
Propriedade intelectual, dados financeiros e 
disponibilidade. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois os principais 
ativos de uma organização são a infraestrutura de TI e rede, 
propriedade intelectual, dados financeiros e disponibilidade. Cada 
organização deve gerenciar os riscos, a fim de priorizar seus riscos 
para a definição apropriada de contramedidas. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-
alvo e em um tempo oportuno efetuar uma série de coletas de informações 
ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, 
números de cartões, informações de redes sociais etc. Por meio desse tipo 
de ataque, é possível se instalar novos programas, além de alterar 
configurações no navegador. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva a definição 
apresentada: 
 
Resposta Selecionada: 
Spyware. 
Resposta Correta: 
Spyware. 
Feedback 
da resposta: 
Resposta correta. A alternativa está correta, pois um spyware tem 
como objetivo obter informações confidenciais de suas vítimas. Por 
meio de softwares maliciosos, é possível capturar teclas e até prints 
da tela. Esse tipo de ataque é bastante usado para a obtenção de 
senhas e números de cartões de crédito. 
 
 
• Pergunta 3 
1 em 1 pontos 
 
A cada ano, o número de ameaças cresce. Algumas empresas, como a 
Symantec (área de segurança), fazem um balanço anual, a fim de 
conhecer os tipos de ataques juntamente com o seu número. Isso permite 
que se observem as tendências dos ataques ao longo do tempo. Nota-se 
que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o 
alerta das mídias (TVs, Internet, revistas etc.) e do avanço de 
contramedidas, como o antivírus, tornou tal ataque menos ineficiente. 
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à 
segurança e o que fazer. São Paulo: Brasport, 2015. 
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm 
crescendo a cada ano: 
 
Resposta 
Selecionada: 
 
Com o uso de scripts PowerShell, aumentou-se 1000% o 
número de e-mails maliciosos. 
Resposta Correta: 
Com o uso de scripts PowerShell, aumentou-se 1000% o 
número de e-mails maliciosos. 
 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, apesar de ser um 
ataque bem antigo, a ameaça por e-mails trouxe uma abordagem 
nova, na qual se usa todo o poder do PowerShell (comandos de 
linha de comando para automatizar tarefas e processos dentro de 
sistemas operacionais). Com isso, os ataques podem gerar mais 
prejuízos. 
 
• Pergunta 4 
1 em 1 pontos 
 
Com um gerenciamento de risco bem definido em uma organização, com 
base em normas e padrões, é possível identificar e priorizar os principais 
ativos de uma organização. Dentre o universo de diferentes tipos de 
ataques, existe um, que é muito comum e que visa sobrecarregar algum 
serviço (por exemplo, de um site) enviando milhares de requisições. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação . São Paulo: LTC, 2014. 
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a 
ameaça que visa sobrecarregar algum serviço enviando milhares de 
requisições: 
 
Resposta Selecionada: 
Negação de serviço (DoS – Denial of Service). 
Resposta Correta: 
Negação de serviço (DoS – Denial of Service). 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a negação de 
serviço visa indisponibilizar as operações oferecidas. Por meio de 
inúmeras requisições, é possível sobrecarregar o servidor e desligar, 
ou torná-lo tão lento que não será viável operá-lo. Existe uma 
variante dele, que é a negação de serviço distribuída. A sua 
diferença é que, com esse ataque, usam-se milhares de 
computadores sequestrados. 
 
 
• Pergunta 5 
1 em 1 pontos 
 
Há também um tipo de ataque de que visa obter informações sobre uma 
determinada organização ou indivíduo por meio de seus 
funcionários/pessoas próximos. Ele busca explorar a boa-fé das pessoas a 
fim de obter algum tipo de informação sigilosa. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
 
informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que represente tal conceito: 
Resposta Selecionada: 
Engenharia social. 
Resposta Correta: 
Engenharia social. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a engenharia social 
é, sem dúvida, um meio de ataque muito poderoso. Ele visa obter 
informações de pessoas novatas ou que não conhecem a 
importância da informação. Por meio dela, dados 
sigilosos/importantes podem ser obtidos com uma boa conversa e 
um sorriso no rosto. 
 
 
• Pergunta 6 
1 em 1 pontos 
 
Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. 
Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto 
de dados de uma instituição financeira. Na avaliação de riscos, 
independentemente do modelo de processo utilizado temos de saber a 
dimensão do risco. A partir dele, podemos definir custos e estratégias 
apropriadas. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
De acordo com o conhecimento adquirido durante os estudos, assinale a 
alternativa que identifique as principais formas de se medir um risco: 
 
Resposta Selecionada: 
Quantitativa e qualitativa. 
Resposta Correta: 
Quantitativa e qualitativa. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, para se medir um 
risco, utilizam-se duas formas básicas: quantitativa e qualitativa. Na 
análise quantitativa, consideram-se números tangíveis, como 
custos, quantidade de acesso etc. Já a qualitativo não considera 
números, mas sim cálculos sobre a probabilidade da ocorrência do 
risco. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Uma organização que reconhece suas vulnerabilidades é capaz de se 
prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, 
não é um trabalho fácil, é necessário medir o risco para posteriormente, 
definir prioridade e custo de contramedida. Nem sempre é possível 
minimizar um risco, pois seu valor de contramedida pode exceder o próprio 
dano em si. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
A respeito da análise qualitativa de risco, assinale a alternativa que 
apresente uma técnica de levantamento: 
 
Resposta Selecionada: 
Brainstorming. 
Resposta Correta: 
Brainstorming. 
Feedback 
da resposta: 
Resposta correta. A alternativa está correta, pois, conforme 
estudado durante a leitura do livro-texto, as principais técnicas 
utilizadasna análise qualitativa são: brainstorming, Delphi, 
entrevistas, discussões etc. Observa-se aqui que são exploradas 
técnicas que envolvem um grupo de pessoas. 
 
 
• Pergunta 8 
1 em 1 pontos 
 
Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira 
manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e 
objetivo. Para isso, pode-se contar com sistemas que visam automatizar 
seus ataques, trazendo uma maior e mais eficiente organização. Um 
exemplo desse tipo de ferramenta é o Kali do Linux. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique quais os tipos de 
ferramentas utilizadas em ataques: 
 
Resposta 
Selecionada: 
 
Varreduras de vulnerabilidades, portas, captura de teclado 
etc. 
Resposta Correta: 
Varreduras de vulnerabilidades, portas, captura de teclado 
etc. 
 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois as ferramentas 
visam buscar alvos fáceis em um conjunto de inúmeras 
possibilidades. Por exemplo, com o Kali do Linux, é possível ver se 
um determinado sistema possui brecha para SQL Injection, senhas 
comuns etc. Porém, tais ferramentas podem ser úteis para uma 
organização, na medida em que se pode identificar suas 
vulnerabilidades primeiramente. 
 
• Pergunta 9 
1 em 1 pontos 
 
Uma avaliação de risco é uma análise completa do seu local de trabalho 
para identificar coisas, situações, processos etc. que podem causar danos, 
principalmente às pessoas. Após a identificação, você analisa e avalia a 
probabilidade e a gravidade do risco. Com base em um gerenciamento, 
pode-se priorizá-los e verificar seus custos de acordo com o grau de 
importância da organização. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que apresenta exemplos de 
processos de gerenciamento de risco: 
 
Resposta 
Selecionada: 
 
Podem-se utilizar normas específicas da ISO e boas prática 
do PMI (Project Management Institute). 
Resposta Correta: 
Podem-se utilizar normas específicas da ISO e boas prática 
do PMI (Project Management Institute). 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, de acordo com o 
que foi visto durante os estudos e baseado na citação do enunciado, 
as referências para o gerenciamento de riscos são as ISOs 27001 e 
27002, bem como o PMBOK da PMI. Desse modo, por meio 
dessas boas práticas pode-se gerenciar melhor o risco. 
 
 
• Pergunta 10 
1 em 1 pontos 
 
Infelizmente, uma ameaça está presente em todas as organizações. Uma 
das opções de medida de proteção mais simples é a que usa a detecção. 
Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é 
possível saber o momento que ela acontece. 
 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Apesar de a medida de detecção ser bastante utilizada, existe outra 
medida cujo principal objetivo é solucionar/reduzir o dano causado pelo 
incidente. Assinale a alternativa que melhor descreva essa outra medida: 
Resposta Selecionada: 
Repressão. 
Resposta Correta: 
Repressão. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a medida de 
repressão é executada quando uma ameaça é detectada e deve-se 
resolver/reduzir os danos causados pelo incidente. Se houve a 
detecção de uma invasão a uma rede da organização, deve-se o 
mais rápido possível realizar medidas de repressão para reduzir o 
dano causado. Com essa medida, pode-se apenas invadir, mas, com 
ações adequadas, pode-se bloquear o agente causador antes de obter 
qualquer informação.