GERENCIAMENTO DE VULNERABILIDADES

Prévia do material em texto

O gerenciamento de vulnerabilidades contém diversas fases e é um processo que se caracteriza pela amplitude de seu alcance para aumentar a resiliência cibernética de uma organização. Selecione a opção CORRETA que indica a fase que consolida esse processo como perene:
 
	
	
	
	Escaneamento.
	
	
	Monitoramento contínuo.
	
	
	Validação.
	
	
	Preparação.
	
	
	Cíclica.
		As fases de preparação da remediação e da remediação propriamente dita do processo gerenciamento de vulnerabilidades são muito importantes para o êxito da correção ou mitigação de vulnerabilidades. Nesse sentido, selecione a única opção que é um exemplo do que NÃO se deve fazer nessas fases:
	
	
	
	Executar o Plano de Mudanças.
	
	
	Varreduras dos sistemas e redes.
	
	
	Correção de vulnerabilidades.
	
	
	Checar os possíveis falsos positivos nas vulnerabilidades encontradas.  
	
	
	Análise e priorização das vulnerabilidades.
		O gerenciamento de vulnerabilidades melhora a resiliência da segurança cibernética de uma organização. Existe uma fase nesse processo que se for executada isoladamente, ou seja, fora de um processo de gerenciamento de vulnerabilidades, não será tão efetiva para essa melhora da resiliência. Selecione a opção CORRETA sobre essa fase:
	
	
	
	Monitoramento contínuo.
	
	
	Escaneamento.
	
	
	Relatório.
	
	
	Validação.
	
	
	Preparação.
		Uma exposição de dados sensíveis é uma vulnerabilidade que pode causar sérios danos a uma organização, principalmente com a LGPD (Lei Geral de Proteção de Dados) entrando em vigor. Selecione a opção CORRETA que demonstra a principal causa dessa vulnerabilidade:
 
	
	
	
	Funcionários desmotivados.
	
	
	Falta de zelo.
	
	
	Falta de criptografia.
	
	
	Falta de controle de acesso.
	
	
	Desorganização.
		Uma ameaça permanece em uma organização, realizando movimentos laterais, escalação de privilégios e extraindo documentos sensíveis durante 150 dias sem ser detectada pela equipe de resposta a incidentes. Nesse sentido, selecione a única opção CORRETA que demonstra qual o tipo de vulnerabilidade do TOP 10 do OWASP foi explorada:
	
	
	
	Desserialização Insegura.
	
	
	Registro e Monitoramento Insuficientes.   
	
	
	Quebra de Autenticação.
	
	
	Injeção SQL.
	
	
	Configurações Incorretas.
		Quando acessamos uma aplicação web em um determinado site e um script é executado no lado do servidor sem que saibamos, direcionando a conexão para outro que é falso. Selecione a opção CORRETA que indica qual a vulnerabilidade correspondente a esse fato:
 
	
	
	
	Injeção web.
	
	
	Configuração Incorreta.
	
	
	XSS Armazenado.
	
	
	Cross Site Scripting Refletido.
	
	
	XSS Modificado.
		As ferramentas de verificação de vulnerabilidades podem escanear servidores de rede e também servidores web com suas aplicações web. Nesse sentido, selecione a única opção CORRETA que demonstra qual a ferramenta específica para aplicações web:
 
	
	
	
	OpenVas.
	
	
	NMAP.
	
	
	OWASP ZAP.
	
	
	Nessus.    
	
	
	Scanner.
		Conhecer os ativos de uma organização e classificar os dados é fundamental para definirmos o escopo de uma verificação de vulnerabilidades, e também para outras atividades subsequentes ao resultado final apresentado pela ferramenta de escaneamento. Assinale a única opção CORRETA que indica qual outra atividade depende desses 
pré-requisitos para ser eficaz após o escaneamento:
	
	
	
	Definir a data do início do escaneamento.
	
	
	A definição escopo.
	
	
	A definição da criticidade das vulnerabilidades e sua priorização na mitigação ou correção.
	
	
	Definir se o processo de gerenciamento de vulnerabilidades vai continuar.
	
	
	Definir a quantidade de pessoal empregado para o escaneamento.
	
Explicação:
A definição da criticidade das vulnerabilidades e sua priorização na mitigação ou correção.
		As ferramentas de escaneamento de vulnerabilidades possuem plugins para escolher e que otimizam a verificação de vulnerabilidades, pois evitam dispender tempo na sua execução sem necessidade. Selecione a opção CORRETA que indica o plugin utilizado pelo Nessus:
 
	
	
	
	CVE.
	
	
	CTF. 
	
	
	NVT.
	
	
	NASL.
	
	
	CCE.
		É possível fazer uma classificação de risco de forma manual e baseada em padrões internacionais de classificação de risco após obtermos a lista de vulnerabilidades com uma ferramenta de escaneamento. Selecione a opção CORRETA que aponta qual o padrão utilizado pelo OpenVas que podemos aproveitar nessa classificação manual:
 
	
	
	
	RDP.
	
	
	CVSS.
	
	
	UDP.
	
	
	CVE.
	
	
	CPE.
		O OWASP ZAP é uma ferramenta de escaneamento de vulnerabilidades web e utiliza padrões de vulnerabilidades voltados para aplicações web. Essa ferramenta ser um complemento para o OpenVas, que é direcionado para vulnerabilidades em servidores de rede. Nesse sentido, selecione a única opção CORRETA que demonstra qual o padrão básico melhor representa as vulnerabilidades testadas:
	
	
	
	SCAP.
	
	
	CPE.
	
	
	CVSS.    
	
	
	CVE.
	
	
	OWASP TOP 10.
		A verificação de vulnerabilidades deve ser contínua e ter uma periodicidade 
pré-determinada durante o planejamento dessa atividade. Com base nisso, selecione a única opção CORRETA que indica qual padrão de segurança sugere escaneamentos a cada três meses:
	
	
	
	CPE.
	
	
	NVT.
	
	
	PCI-DSS.    
	
	
	CVE.
	
	
	CVSS.
		Assinale a única opção CORRETA que retrata um ativo da informação: 
	
	
	
	Equipamentos.
	
	
	Habilidade de uma pessoa para Penteste.
	
	
	Trilhas de auditoria.
	
	
	Sistemas.
	
	
	Iluminação.    
		Selecione a única opção CORRETA que aponta a característica da gestão de ativos a qual centraliza todas as informações sobre os ativos em um mesmo local e favorece o gerenciamento de uma forma ampla, podendo correlacionar os grupos de ativos ou ativos, facilitando a tomada de decisão quanto às medidas de proteção principalmente:
 
	
	
	
	Integração das informações.
	
	
	O ciclo de vida dos ativos.
	
	
	Alertas automatizados.
	
	
	O mapeamento dos grupos de ativos.
	
	
	Inventário de bens.
		Selecione a única opção CORRETA que demonstra qual a métrica que possui a característica de que o período para quantificar o seu índice não pode ser menor do que o tempo médio da métrica ¿o ciclo de vida das vulnerabilidades¿, tendo em vista evitar uma interpretação errada:
 
	
	
	
	Tempo médio para remediação de vulnerabilidades.
	
	
	Quantidade de vulnerabilidades por período.
	
	
	Tempo médio para detectar um incidente ocorrido ou que está ocorrendo.
	
	
	Índice de Patches aplicados.
	
	
	Tempo médio entre incidentes.   
		Alguns critérios básicos podem ser levados em consideração para a construção de uma trilha de auditoria voltada para prevenção de ameaças e identificação de vulnerabilidades, além dos estudos particularizados e os frameworks com as melhores práticas. Em face disso, assinale a única opção que NÃO representa um desses critérios:
	
	
	
	Ativos mais importantes ou mais prioritários.
	
	
	Eventos definidos para a identificação de vulnerabilidades.
	
	
	Aspectos inerentes à política de segurança da informação.
	
	
	O tempo para correção ou mitigação de uma vulnerabilidade.
	
	
	Metodologias utilizadas pelas principais ameaças aos ativos da organização.
		Assinale a única opção CORRETA que representa um framework comumente utilizado em trilhas de auditoria
	
	
	
	Common Vulnerability Scoring System.    
	
	
	Common vulnerabilities and exposures.
	
	
	Common Criteria Framework.
	
	
	National Institute of Standards and Technology.
	
	
	Common Platform Enumeration.
		Selecione a única opção que NÃO apresenta uma informação relevante que deve estar em um relatório básico de gestão de vulnerabilidades:
	
	
	
	Capacitação em gestão de vulnerabilidades.
	
	
	As ferramentas utilizadas.    
	
	
	A validação das vulnerabilidades
	
	
	Informações do que aconteceu na fase de detecção de vulnerabilidades
	
	
	As vulnerabilidades identificadas
		Ummétodo inovador para priorização das vulnerabilidades chamado priorização preditiva é focado na possibilidade de uma vulnerabilidade ser explorada por um atacante. Com esse método é possível ter um escopo bem menor de risco alto e muito alto. Em face disso, assinale a única opção CORRETA que indica essa porcentagem:
	
	
	
	Em torno de 3%.
	
	
	Em torno de 33%.
 
	
	
	Em torno de 5%.
	
	
	Em torno de 10%.
	
	
	Em torno de 97%.
		Na remediação existe uma ação ou processo de diminuição do risco que determinada vulnerabilidade oferece ao ativo da informação que a contém. Com base nisso, selecione a única opção CORRETA que indica essa ação:
	
	
	
	Correção.
	
	
	Aplicação de patches.    
	
	
	Mitigação.
	
	
	Monitoramento.
	
	
	Aceite.
		Uma atividade de remediação só pode ser considerada finalizada quando todas as vulnerabilidades que foram indicadas para mitigação ou correção têm seu risco diminuído ou completamente excluído para cada uma delas. Selecione a opção CORRETA que define qual a atividade que vai certificar que as vulnerabilidades foram corrigidas ou mitigadas:
	
	
	
	Controle de mudança.
	
	
	Plano de rollback.
	
	
	Aplicação de patches.
	
	
	Validação.
	
	
	Monitoramento contínuo.
		Assinale a única opção que NÃO representa uma característica de uma varredura autenticada no OpenVas:
	
	
	
	Identifica um número maior de vulnerabilidades
	
	
	Embora seja mais profunda, ela dificulta a identificação de falsos positivos
	
	
	Identifica vulnerabilidades em aplicações instaladas localmente
	
	
	Identifica vulnerabilidades com privilégios locais e que possam ser escalados com as credenciais configuradas no dispositivo de destino
	
	
	É muito mais profunda que uma varredura não autenticada
		Na ferramenta automatizada de verificação de vulnerabilidades chamada OpenVas, é possível configurar uma função que detecta automaticamente e descarta falsos positivos confirmados em uma varredura autenticada. Com base nisso, selecione a única opção CORRETA que indica essa função:
	
	
	
	Alert
	
	
	Severity
	
	
	Apply Overrides
	
	
	Reports
	
	
	QoD
		Assinale a opção CORRETA que melhor caracteriza uma exceção no gerenciamento de vulnerabilidades:
	
	
	
	Um risco que é alto, mas a vulnerabilidade não pode ser remediada
	
	
	Uma situação em que a vulnerabilidade existe e não pode ser explorada nem corrigida se considerado o ambiente de negócio
	
	
	Uma vulnerabilidade que não existe
	
	
	Ação que identifica vulnerabilidades que são muito difíceis de serem remediadas
	
	
	A vulnerabilidade foi remediada e não oferece risco para o ambiente de negócio
		O aumento exponencial do número de vulnerabilidades pode trazer consequências para uma organização e para o processo de gerenciamento de vulnerabilidades. Assinale a única opção CORRETA que melhor representa uma dessas consequências:
	
	
	
	Melhora o processo de escaneamento de vulnerabilidades
	
	
	Piora na eficácia do processo de gerenciamento de vulnerabilidades
	
	
	Aumento de ativos
	
	
	Aumento contínuo da superfície de ataque e das ameaças
	
	
	Piora no processo de gestão de ativos
		Qual destas vantagens está diretamente ligada à facilidade em acompanhar as atualizações ou mudanças em tempo real?
	
	
	
	Gráficos e indicadores dinâmicos
	
	
	Centralização de dados e informações de outras ferramentas utilizadas
	
	
	Otimização do tempo
	
	
	Otimização de recursos
	
	
	Melhoria no processo de gerenciamento de patches
		Diversas ferramentas podem ser integradas em um SIEM (security information and event management), o qual centraliza diversas informações e dados, gerando inclusive alertas para que as tarefas não sejam proteladas. Com base nisso, selecione a única opção CORRETA que indica quais as características nas quais um SIEM está baseado:
	
	
	
	Gerenciamento, rastreabilidade e resposta
	
	
	Segurança, rastreabilidade e operação
	
	
	Gerenciamento, rastreabilidade e orquestração
	
	
	Gerenciamento, operação e orquestração
	
	
	Segurança, rastreabilidade e orquestração
		Assinale a única opção CORRETA que representa uma funcionalidade indireta de um SIEM em que é possível fazer uso de normatizações nacionais e internacionais para melhorar a resiliência cibernética da organização, tais como o modelo PCI-DSS:
	
	
	
	Dashboards
	
	
	Monitoramento contínuo
	
	
	Identificação de vulnerabilidades.
	
	
	Auditorias.
	
	
	Resposta a incidentes
		Assinale a seguir a única opção CORRETA que indica uma funcionalidade de um SIEM que alinha as atividades de segurança da informação de uma organização com as diferentes normatizações apropriadas para este fim:
	
	
	
	Conformidade
	
	
	Gerenciamento de ativos
	
	
	Inteligência de ameaças
	
	
	Registro de eventos
	
	
	Dashboards
		Assinale a única opção que NÃO representa uma vantagem ou funcionalidade de uma plataforma de gestão integrada no gerenciamento de vulnerabilidades
	
	
	
	Identificação de vulnerabilidades
	
	
	Contribuir na tomada de decisão nas atividades de segurança da informação
	
	
	Visão amplificada da situação dos ativos e suas vulnerabilidades
	
	
	Otimização de tempo e tarefas por meio de automatização
	
	
	Contribui para o controle de acessos aos servidores