Baixe o app para aproveitar ainda mais
Prévia do material em texto
POS0476 AUDITORIA DE SEGURANÇA DA INFORMAÇÃO PG0147211 - 202112.ead- 15693.01 Teste Teste Final (N2) Iniciado 27/05/21 18:06 Enviado 27/05/21 18:29 Status Completada Resultado da tentativa 8 em 10 pontos Tempo decorrido 23 minutos Resultados exibidos Respostas enviadas, Respostas corretas, Comentários • Pergunta 1 1 em 1 pontos Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando. De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Um projeto de segurança. II. ( ) Somente assinatura do contratante liberando os testes. III. ( ) Uma programação de testes. IV. ( ) Um escopo do que será testado. Assinale a alternativa que apresenta a sequência correta. Resposta Selecionada: V, F, V, V Resposta Correta: V, F, V, V Comentário da resposta: Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança. • Pergunta 2 1 em 1 pontos As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado. De acordo com a introdução, assinale a norma descrita que está correta. Resposta Selecionada: ISO 27001 – Norma antiga substituída pela atual norma BS779-2. Resposta Correta: ISO 27001 – Norma antiga substituída pela atual norma BS779-2. Comentário da resposta: Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a padrões da segurança da informação, sendo um certificado muito interessante e que dá credibilidade ao profissional. • Pergunta 3 1 em 1 pontos Depois de descobrir as vulnerabilidades de uma empresa e como mitigá- las, o report é um passo importante da auditoria, pois é nesse momento que você estará entregando o produto que o cliente pagou, e esse report deve ser descrito de uma maneira que as vulnerabilidades devam ser entendidas. De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report . Resposta Selecionada: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Resposta Correta: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Comentário da resposta: Resposta correta. A alternativa está correta, pois todas as vulnerabilidades devem ser organizadas de uma maneira que todos entendam, explicando-se quais geram pouco, médio e grande impacto. É muito importante colocar graus e separações por escalas de quais vulnerabilidade são maiores quais são menores. • Pergunta 4 1 em 1 pontos Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos. Resposta Selecionada: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Resposta Correta: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Comentário da resposta: Resposta correta. A alternativa está correta, pois a autenticidade garante que uma mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e a legalidade, que todo o processo não tenha problemas com a lei. • Pergunta 5 1 em 1 pontos Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve possuir o pentest, visto que, a cada dia, os criminosos estão melhores e os profissionais de segurança precisam estar testando sempre a segurança das empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta sobre qual seria o principal objetivo do Pentest. Resposta Selecionada: O Pentest é uma simulação de um ataque real. Resposta Correta: O Pentest é uma simulação de um ataque real. Comentário da resposta: Resposta correta. A alternativa está correta, pois o Pentest não é simplesmente uma análise de vulnerabilidade, sendo algo muito mais completo que somente achar as vulnerabilidades e mostrar que está vulnerável: é também simular um verdadeiro ataque naquela empresa e ajudá-la a ir corrigindo suas falhas. • Pergunta 6 0 em 1 pontos Há muitos especialistas na área de segurança da informação que dizem não existir sistema seguro, quando se tomam medidas de prevenção e protetiva nos sistemas, as quais fazem com que o seu sistema seja mais difícil de ser invadido, mas não que ele esteja 100% seguro. Existem dois tipos de ameaças classificadas: a lógica e a física. De acordo com essa afirmação, analise as afirmativas sobre a descrição do que são as ameaças lógica e física. I. Alagamentos, que podem fazer com que o sistema pare de funcionar, fazendo, consequentemente, uma empresa parar, e, caso não tiver backup, ela ainda perde todas as informações obtidas. II. A quebra de senhas é um ataque mais conhecido como “brute force”, sendo uma das técnicas usadas para entrar em sistemas nos quais não se tem autorização. III. Um malware tem mil utilidades, dependendo do que foi programado para fazer. É um código em funcionamento, moldado para prejudicar o sistema. IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o sistema está localizado. Está correto o que se afirma em: Resposta Selecionada: I, II e IV, apenas. Resposta Correta: I, II, III e IV. Comentário da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois tudo o que prejudique o sistema de uma empresa em andamento pode ser considerado um tipo de ataque. Por exemplo, quando um servidor pega fogo ou há um hacker criptografando o sistema, devendo ter backup seguro longe daquele local. Todos os ataques apresentados na questão são físicos ou lógicos. • Pergunta 7 1 em 1 pontos De acordo com a lei penal no Brasil, invadir qualquer tipo de sistema sem a devida autorização comprovada do dono do que foi vítima da invasão é um crime federal, passível de indenização e até prisão. Portanto, conseguir uma autorização do dono da empresa a qual terá seu sistema testado é muito importante. A seguir, assinale a alternativacorreta. Resposta Selecionada: O profissional de segurança deve buscar sempre uma autorização prévia documentada para que se faça um teste de segurança depois. Resposta Correta: O profissional de segurança deve buscar sempre uma autorização prévia documentada para que se faça um teste de segurança depois. Comentário da resposta: Resposta correta. A alternativa está correta, pois, como já dito no procedimento padrão de uma auditoria de segurança, para que se faça uma exploração de falhas, deve-se ter autorização para realizar essa exploração de vulnerabilidade. Fazendo uma breve analogia, seria a mesma coisa que entrar no quintal de uma casa sem permissão, ou seja, é passível de crime. Um hacker ético sempre pedirá permissão antes de fazer qualquer coisa no sistema de outra pessoa, e, mesmo que seja combinado boca a boca, o profissional sempre deverá ter a assinatura do possível cliente autorizando um teste de invasão. • Pergunta 8 1 em 1 pontos Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as técnicas de invasões possíveis, saber apresentar um relatório perfeito para o cliente, se não tiver os recursos necessários para conseguir executar tudo isso, desde o hardware, sistemas operacionais, até programas. Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se de hardware, para usar os sistemas operacionais focados em segurança. Resposta Selecionada: Instalar o SO na máquina física. Resposta Correta: Instalar o SO na máquina física. Comentário da resposta: Resposta correta. A alternativa está correta, pois a máquina física dá o recurso máximo para que se consiga exercer tudo que um teste de segurança requer. Existem certas ferramentas que não utilizam tanto do hardware, porém há ferramentas que exigem bastante, e o SO estar na máquina física é a melhor condição para se trabalhar. • Pergunta 9 1 em 1 pontos Existem diversos sistemas operacionais para fazer teste de invasões e focados na parte de segurança nos dias atuais, porém é importante saber no que esses sistemas foram baseados, onde começaram e qual é sua base. Tecnicamente, são informações importantes que ajudam o profissional de segurança da informação a resolver algumas situações. Nesse sentido, assinale a alternativa que indica um sistema operacional de propósito geral, que não é focado especificamente em testes de invasão. Resposta Selecionada: Ubuntu Linux. Resposta Correta: Ubuntu Linux. Comentário da resposta: Resposta correta. A alternativa está correta, pois o Ubuntu Linux é somente uma distribuição Linux, para usuários comuns utilizarem para fazer suas tarefas do dia a dia, e não para realizar testes de segurança. É possível baixar ferramentas no Ubuntu, porém não é o foco dele. • Pergunta 10 0 em 1 pontos Muitas pessoas confundem o teste de invasão com a análise de vulnerabilidade, cometendo erros até na prática na hora de entregar o produto para a empresa. Dessa forma, assinale a alternativa correta que descreva o que seria o processo de análise de vulnerabilidade. Resposta Selecionada: A análise de vulnerabilidade é somente uma fase de exploração das falhas. Resposta Correta: A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las. Comentário da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois as vulnerabilidades, em uma análise de vulnerabilidades, devem sim ser reportadas, já que elas fazem parte do escopo. Essa análise não corrige as falhas. Isso está no escopo do Pentest e passa muito longe de ser um scan de antivírus ou uma exploração de falhas como um Google Hacking.
Compartilhar