Baixe o app para aproveitar ainda mais
Prévia do material em texto
Abrir links rápidos Local atual Conteúdo Usuário MARCIO DE SOUZA VINCENZI Curso POS0476 AUDITORIA DE SEGURANÇA DA INFORMAÇÃO PG0147211 - 202112.ead-15693.01 Teste Teste Final (N2) Iniciado 18/05/21 10:05 Enviado 18/05/21 11:15 Status Completada Resultado da tentativa 7 em 10 pontos Tempo decorrido 1 hora, 10 minutos Resultados exibidos Respostas enviadas, Respostas corretas, Comentários ● Pergunta 1 1 em 1 pontos O nome “engenharia” é comumente empregado, pelos populares, quando se constroem mecanismos para resolver um problema ou arquitetar uma solução. Na área da segurança da informação, a engenharia social tem um significado bastante particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social. Resposta Selecionada: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa. Resposta Correta: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa. Comentário da resposta: Resposta correta. A alternativa está correta, pois a engenharia social é utilizada justamente para evitar vestígios, então não é usado nenhum tipo de técnica de um computador, somente a lábia, uma ligação telefônica, em que o atacante extrai informações sem que a vítima perceba. O foco da engenharia social são as pessoas, e não diretamente a tecnologia em si. Portanto, a engenharia social tem bastante a ver com conceitos psicológicos do comportamento humano. ● ● Pergunta 2 1 em 1 pontos Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informação quando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos. Resposta Selecionada: Kali Linux. Resposta Correta: Kali Linux. Comentário da resposta: Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, foi criado justamente para auditoria de segurança, seja para um Pentest interno ou externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD. ● ● Pergunta 3 1 em 1 pontos Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o Hardening. Resposta Selecionada: Consiste na implementação de máquinas seguras. Resposta Correta: Consiste na implementação de máquinas seguras. Comentário da resposta: Resposta correta. A alternativa está correta, pois a ideia do Hardening é justamente saber se aquele hardware está seguro para uso ou não. Acredite-se ou não, existem hackers especializados somente em achar vulnerabilidades usando hardware. ● ● Pergunta 4 0 em 1 pontos Após realizar todos os tipos de testes técnicos, análises, auditorias e testes de intrusão, ainda existem falhas que comprometem as empresas, e essas falhas geralmente são os seres humanos, que, muitas vezes, podem ser persuadidos sem perceber e passar informações sigilosas. Assinale a alternativa correta. Resposta Selecionada: Nunca clique em um link de e-mail que supostamente carrega uma página qualquer. Resposta Correta: Sempre forneça senha do wi-fi diferente entre visitante e colaborador. Comentário da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois, dentro de uma organização, a empresa tem de passar os cuidados totais aos colaboradores, por exemplo o cuidado de abrir e-mails desconhecidos, sempre acompanhar um visitante por toda a empresa, não abrir em hipótese alguma e-mails de estranhos e muito menos seus anexos e, com certeza, tomar o máximo de cuidado com a sua senha. ● ● Pergunta 5 0 em 1 pontos Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo de profissional, até encontrar um da área de segurança. Muitas vezes, os casos são resolvidos, enquanto, em outras, os profissionais até descobrem de que forma a empresa sofreu a invasão, porém, em diversas vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a alternativa que apresenta a análise forense computacional. Resposta Selecionada: Consiste em técnica para fazer testes de intrusão, utilizando, para isso, o Kali Linux. Resposta Correta: Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros. Comentário da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois a análise forense é feita para recriar cenas de crimes para identificar de que forma foi o ataque e identificar o atacante. Portanto, não é para achar vulnerabilidades, nem seria para tentativas de ataques e tentativas em erros. Também não consiste em fazer testes de invasões, apesar de ter uma ligação de recriar a cena, e pouco importa se teve morte ou não. A análise forense precisa ser colocada em prática da mesma maneira. ● ● Pergunta 6 1 em 1 pontos Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as técnicas de invasões possíveis, saber apresentar um relatório perfeito para o cliente, se não tiver os recursos necessários para conseguir executar tudo isso, desde o hardware, sistemas operacionais, até programas. Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se de hardware, para usar os sistemas operacionais focados em segurança. Resposta Selecionada: Instalar o SO na máquina física. Resposta Correta: Instalar o SO na máquina física. Comentário da resposta: Resposta correta. A alternativa está correta, pois a máquina física dá o recurso máximo para que se consiga exercer tudo que um teste de segurança requer. Existem certas ferramentas que não utilizam tanto do hardware, porém há ferramentas que exigem bastante, e o SO estar na máquina física é a melhor condição para se trabalhar. ● ● Pergunta 7 1 em 1 pontos Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando. De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Um projeto de segurança. II. ( ) Somente assinatura do contratante liberando os testes. III. ( ) Uma programação de testes. IV. ( ) Um escopo do que será testado. Assinale a alternativa que apresenta a sequência correta. Resposta Selecionada: V, F, V, V Resposta Correta: V, F, V, V Comentário da resposta: Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança. ● ● Pergunta 8 1 em 1 pontos Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve possuir o pentest, visto que, a cada dia, os criminosos estão melhores e osprofissionais de segurança precisam estar testando sempre a segurança das empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta sobre qual seria o principal objetivo do Pentest. Resposta Selecionada: O Pentest é uma simulação de um ataque real. Resposta Correta: O Pentest é uma simulação de um ataque real. Comentário da resposta: Resposta correta. A alternativa está correta, pois o Pentest não é simplesmente uma análise de vulnerabilidade, sendo algo muito mais completo que somente achar as vulnerabilidades e mostrar que está vulnerável: é também simular um verdadeiro ataque naquela empresa e ajudá-la a ir corrigindo suas falhas. ● ● Pergunta 9 1 em 1 pontos Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos. Resposta Selecionada: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Resposta Correta: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Comentário da resposta: Resposta correta. A alternativa está correta, pois a autenticidade garante que uma mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e a legalidade, que todo o processo não tenha problemas com a lei. ● ● Pergunta 10 0 em 1 pontos As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado. De acordo com a introdução, assinale a norma descrita que está correta. Resposta Selecionada: ISO 27002 – Código de boas práticas que substituiu a norma ISO 17799:2005. Resposta Correta: ISO 27001 – Norma antiga substituída pela atual norma BS779-2. Comentário da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois todas as ISO estão descritas incorretamente. A ISO 27002 seria para diretrizes à implementação de boas práticas; a ISSO 27003, para a implementação de relatórios; a ISO 27004, para atribuir segurança para a empresa; e a ISSO 27005, para as práticas de uma implementação na parte de gestão de segurança. ● Terça-feira, 18 de Maio de 2021 11h15min29s BRT
Compartilhar