Segurança de Hosts - Testes de Conhecimento

Prévia do material em texto

SEGURANÇA DE HOSTS
1a aula
 
A atualização (update) de um sistema operacional, instalando as chamadas correções ou patches, pode
evitar que determinados malwares explorem vulnerabilidades conhecidas. 
As medidas de controle adotadas por um usuário, que possam estar relacionadas ao antes, durante ou
depois da ocorrência do ato de atualizar o sistema operacional são:
I - Prevenção
II - Limitação
III - Contestação
IV - Reação
V - Segmentação
Pode-se dizer que estão corretas:
somente I, II e V
somente III, IV e V
somente I, II e III
somente II e III
 somente I, II e IV
Respondido em 14/04/2021 14:44:18
 
Ano: 2019 Banca: FCC Órgão: RIOPRETOPREV Prova: FCC - 2019 - RIOPRETOPREV - Analista
Previdenciário - Assistente Social
O computador de um usuário foi infectado por um ransomware, um tipo de malware que
 torna inacessíveis os dados armazenados no computador, geralmente usando criptografia, e
exige pagamento de resgate (via bitcoins) para restabelecer o acesso ao usuário.
monitora e captura informações referentes à navegação ou digitação do usuário, e envia estas
informações ao atacante.
assegura o acesso futuro do atacante ao computador comprometido, permitindo que ele seja
acessado remotamente por meio do protocolo Telnet.
após identificar potenciais computadores alvos, efetua cópias de si mesmo e tenta enviá-las para
estes computadores, por e-mail, chat etc.
torna o computador um zumbi, sendo controlado remotamente e desferindo automaticamente
ataques de negação de serviço a redes e servidores determinados pelo atacante.
Respondido em 14/04/2021 14:52:25
 
Qual é o propósito de um rootkit?
se replicar independentemente de quaisquer outros programas
se disfarçar como um programa legítimo
 obter acesso privilegiado a um dispositivo enquanto se esconde
entregar anúncios sem o consentimento do usuário
ganhar a confiança de um funcionário corporativo em um esforço para obter suas credenciais
Respondido em 14/04/2021 14:52:35
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
2a aula
 
Durante a análise de um malware é importante tomarmos certos cuidados, principalmente se tratando
de análise dinâmica, qual das alternativas apresenta uma medida fundamental para se tomar, durante o
processo de análise?
 Fazer a análise em um Sistema Operacional dentro de uma máquina virtual
Instalar um Firewall
Instalar um software anti-malware
Fazer a análise deixando o código do malware em um pendrive e este conectado ao computador
Instalar um software anti-vírus
Respondido em 14/04/2021 14:55:38
 
 
Explicação:
Fazer a análise do malware dentro de uma VM mantém o malware isolado do seu sistema principal, de
preferência com conectivade de rede desabilitada.
 
O processo de obtenção de um hash criptográfico do código, com o objetivo de comparar com outros
hashes conhecidos é denominado
Desmontagem
 Fingerprint
Análise heurística
Sandbox
Footprint
Respondido em 14/04/2021 14:58:00
 
Com o Mimikatz, você pode extrair senhas da memória do processo lsass.exe. Nenhuma ferramenta é
necessária para criar um arquivo com as informações da memória. Você somente precisa do privilégio de
administrador para realizar debugs. Esse processo de extração de informações da memória é chamado:
Process
 Dump
Exploit
Debug
Lsass
Respondido em 14/04/2021 14:58:05
 
 
Explicação:
O dump significa despejar para um arquivo o estado da memória em um determinado instante. Esse
arquivo pode ser utilizado para realizar vários tipos de análises.
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
3a aula
 
Um usuário fez um download de um arquivo chamado Suspeito.exe. Por sorte, ele tem a sua disposição uma aplicação
de segurança que analisou o arquivo e marcou como suspeito. Quando o usuário inicia o aplicativo, ele é colocado no
modo de prisão (jail), ou seja, pode mostrar sua interface do usuário, desde que não tente ler ou modificar nenhum
recurso protegido do sistema operacional. Essa aplicação de segurança aplicou um(a):
Engenharia reversa
Transação de dados
 Isolamento de aplicativo
Recursividade
Acesso direto à memória
Respondido em 14/04/2021 14:59:24
 
 
Explicação:
O isolamento de aplicativos complementa a detecção de malware, fazendo o bloqueio proativo do comportamento
malicioso usando um modelo de confiança zero para aplicativos conhecidos e possivelmente suspeitos.
 
Uma ferramenta de monitoramento comportamental pode apresentar falsos positivos, como por exemplo listar um
arquivo inofensivo como ameaça, ou um falso negativo, como um malware ser classificado como arquivo inofensivo. Um
exemplo de medida que pode ser usada em conjunto desse tipo de ferramenta para melhorar a tomada de decisão
automatizada é:
Inteligência artificial
 Servidor com boa configuração
Treinamento do operador humano
Antivírus
Engenharia social
Respondido em 14/04/2021 15:00:40
 
 
Explicação:
A prevenção de ataques pode mesclar os métodos mais recentes com as tecnologias tradicionais.
 
Em 2018 o Laboratório de Propulsão a Jato (JET) da NASA teve seu sistema invadido e dados sigilos roubados ao
deixarem um Raspberry Pi não autorizado conectado à sua rede. Há rumores que um funcionário utilizava a Raspberry
para monitorar um aquário! Qual das alternativas descreve melhor a necessidade de segurança no contexto descrito?
É importante reforçar a segurança dos start-points, tais como os dispositivos IoT.
 É importante reforçar a segurança dos end-points, tais como os dispositivos IoT.
É importante reforçar a segurança das máquinas virtuais, principalmente nas grandes instituições de pesquisa
e inovação
Sistemas IoT precisam ser autorizados antes de serem conectados em uma rede, se estivesse autorizado não
haveria tal incidente de segurança.
End-points necessitam estar protegidos contra ataques de negação de serviço.
Respondido em 14/04/2021 15:00:48
 
 
Explicação:
Hoje em dia, qualquer dispositivo com tecnologia computacional embarcada e acesso à rede pode ser chamado de
terminal (end-point), como dispositivos IoT em geral, smart TVs, câmeras IP, sensores, atuadores etc. Estes sistemas
precisam de cuidados com segurança com qualquer outro end-point.
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
4a aula
 
 
O arranjo lógico no qual os end-points enviam ou exportam eventos de ameaças para
centralização em um SIEM é chamada de:
 Hub-and-spoke
SOAR
Token
Ticket
Bus
Respondido em 14/04/2021 15:01:22
 
Um sistema operacional que adote um paradigma de sistema como serviço pode estimular
a adoção das características a seguir, exceto:
 Desligamento dos updates
Atualizações abrangentes
Atualizações categorizadas
Verificações constantes
Atualizações periódicas
Respondido em 14/04/2021 15:02:05
 
Considere um Sistema de Detecção de Intrusão (IDS). Qual alternativa melhor descreve
seu escopo de aplicação.
Somente na segurança de redes
 Na segurança de redes e na segurança de end-points
Somente na segurança de roteadores
Na segurança de end-points e na segurança de roteadores.
Somente na segurança de end-points
Respondido em 14/04/2021 15:02:14
 
 
Explicação:
Sistema de Detecção de Intrusão (IDS) podem ser aplicados em redes (NIDS) e em end-
points (HIDS).
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
5a aula
 
O que é um software Multi-AV?
É um anti-vírus especializado em detectar múltiplas variantes de um mesmo vírus
É um software que faz outras funções de segurança, além de antivírus, incluindo
firewall e IDS no mesmo pacote.
 É um software que agrega vários produtos antivírus diferentes
É um software antivírus indicado para sistemas multiprocessados.
É um antivírus que contém um banco de dados especializado em vírus polimórficos
Respondido em 14/04/2021 15:02:56
Explicação:
O uso de softwares multi-AV permite o envio de arquivos para verificá-los rapidamente
através de vários produtos antivírus diferentes.
 
Os antivírus mais antigos geralmente procuravampor certos padrões ou sequências de bytes.
Uma vez detectado, um vírus pode ser analisado com precisão em uma sequência única de
bytes extraídos do código do vírus. Esses padrões são chamados de:
Apontador
Fluxo
Stream
Verificador
 Assinatura
Respondido em 14/04/2021 15:04:00
 
Marque a alternativa correta quanto ao software antivírus:
Possui ótima eficiência para detectar malware personalizado, que adquire
características específicas no host.
É capaz de impedir infecções por ameaças desconhecidas
 Arquivos enviados a sites públicos podem ser compartilhados com outros
fornecedores e terceiros.
É suficiente para barrar todos os incidentes de malware.
Os antivírus atuais estão imunes à ocorrência de falsos positivos e de falsos
negativos.
Respondido em 14/04/2021 15:04:04
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
6a aula
 
Um sistema EDR executa as seguintes ações em um end-point:
"reunião das informações necessárias no máximo de detalhes definidos pela organização. Exemplos:
versões de firmware, os sistemas operacionais e softwares em execução, a situação dos softwares (se
estão corrigidos e atualizados), quais são as vulnerabilidades conhecidas pontuadas por sua
gravidade;"
Qual das alternativas expressa esta ação?
Proteção (Protect)
Descoberta (Discover)
Registro (Log)
Monitoramento (Monitor)
 Inventário (Inventory)
Respondido em 14/04/2021 15:04:30
Explicação:
Inventário (inventory): reunião das informações necessárias no máximo de detalhes definidos pela
organização. Exemplos: versões de firmware, os sistemas operacionais e softwares em execução, a
situação dos softwares (se estão corrigidos e atualizados), quais são as vulnerabilidades conhecidas
pontuadas por sua gravidade;
 
Qual é o nome específico do indicador, integrante de um dos métodos de detecção em um EDR, que se
concentra na análise forense de um comprometimento que já ocorreu, como por exemplo tráfego de
rede de saída incomum, anomalia com contas de usuário privilegiada, aumento substancial no volume
de leitura do banco de dados?
Indicador de conformidade
Indicador de segurança
Indicador de análise
Indicador de ataque
 Indicador de compromisso
Respondido em 14/04/2021 15:05:48
 
Qual é o termo associado ao processo de continuamente descobrir, monitorar, avaliar e priorizar os
terminais, usando dados de ameaças, vulnerabilidades e inteligência tais como notícias e alertas de
analistas?
Ataque de dados.
Terminais analistas.
Superfície rasa.
Sistema redundante.
 Superfície de ataque.
Respondido em 14/04/2021 15:05:52
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
7a aula
 
Na tarefa de detecção de um malware, uma boa abordagem de detecção de forma eficaz e em
tempo hábil é:
Esperar uma evidência visualmente perceptível do malware.
Encontrar todas as coisas ruins.
Montar um kit com todas as ferramentas disponíveis e redundantes.
 Reduzir os dados analisados.
Realizar análise completa em todos os arquivos do sistema.
Respondido em 14/04/2021 15:06:49
 
 
Um malware pode criar valores do registro do Windows para manter as informações de
configuração, como servidores para contato, valores para chaves de criptografia ou bits de
código para executar. As evidências da presença e da execução de malware pode ser feita
através dos seus:
Mecanismos de persistência
Vetores iniciais de infecção
Mecanismos de propagação
 Rastros
Mecanismos voláteis
Respondido em 14/04/2021 15:07:57
 
 
Um profissional de segurança pode realizar vários procedimentos para procurar arquivos
maliciosos em um sistema. Qual das alternativas não representa um procedimento dessa
natureza?
Verificação de geração de atividade suspeita na Internet
Análise de Registro (registry)
Verificação de Tempo de Compilação de arquivos PE
 Verificação e remoção de arquivos duplicados no sistema
Verificação do registro mestre de inicialização (MBR) em busca de um infestador
Respondido em 14/04/2021 15:07:58
 
 
Explicação:
A verificação e remoção de arquivos duplicados no sistema não condiz com uma atividade válida
em busca de malware, as demais alternativas são procedimentos válidos para se encontrar
malwares.
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
8a aula
 
 
O serviço do ClamAV que baixa e armazena as bases de assinaturas de vírus (CVD ¿
ClamAV Virus Database)
no diretório /var/lib/clamav/ é o:
 freshclam
sigtool
clamscan
devel
clamav
Respondido em 14/04/2021 15:08:18
 
 
O arquivo do ClamAV que possui a base principal de assinaturas é denominado:
main.hdb
main.info
 main.cvd
main.ndb
main.fp
Respondido em 14/04/2021 15:09:06
 
 
A denominação do arquivo de testes desenvolvido pelo Instituto Europeu de Pesquisa
de Antivírus de Computador, que pode ser utilizado para testes de detecção de vírus
conhecidos, sem oferecer risco de infecção para o computador, é o:
 EICAR
ETCAP
EPCAR
PCAP
LIBPCAP
Respondido em 14/04/2021 15:09:12
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
9a aula
 
Qual é a fase da estrutura de investigação digital do DFRW que protege das
evidências, após a identificação, de qualquer tipo de modificação ou exclusão,
com a finalidade de impedir o acesso de um sistema suspeito por qualquer
usuário?
Análise
Identificação
 Preservação
Exame
Coleta
Respondido em 14/04/2021 15:10:13
 
A categoria de CSIRT que provê serviço para um país é:
CSIRT nacionais
 Grupos de empresas fornecedoras de hardware e software
Centros de Coordenação
Centros de Análise
CSIRT internos
Respondido em 14/04/2021 15:10:36
 
A análise forense digital realizada ao vivo com o equipamento ligado, após um
flagrante, também é denominada:
Equipment forensics
 Live forensics
Post mortem forensics
Analysis forensics
Digital forensics
Respondido em 14/04/2021 15:10:39
 Questão1
 Questão2
 Questão3
 SEGURANÇA DE HOSTS
10a aula
 
Quando o usuário clica no botão Timeline do Autopsy, terá acesso, especificamente, a
qual tipo de funcionalidade?
Visualizador de imagens
Artefatos da web
Visualizador hexadecimal
 Análise da linha do tempo
Gravação de e-mail
Respondido em 14/04/2021 15:11:27
 
Alguns tipos incidentes podem trazer a necessidade de examinar um sistema em busca
de evidências de atividade maliciosa conduzida por um usuário. Dentre as opções a
seguir, o exemplo de situação que melhor pode ser enquadrada como um incidente de
segurança é:
Um analista de TI efetuou o acesso remoto ao end-point de um dos funcionários
da empresa.
Um aluno espetou o pen-drive na porta USB do computador da universidade.
O tráfego na rede corporativa esteve com um volume de dados anormal no
período na manhã.
Um usuário realizou o acesso ao armazenamento baseado em nuvem e carregou
documentos confidenciais.
 Um funcionário desavisado navegou para um site comprometido e baixou um
software malicioso.
Respondido em 14/04/2021 15:13:05
 
Um software forense destinado à análise do tráfego de pacotes de rede, que extrai os
dados brutos e reconstrói as páginas e conteúdo da web, é o:
FTK
Redline
 Xplico
X-Ways
Rekall
Respondido em 14/04/2021 15:13:11
 Questão1
 Questão2
 Questão3