N2 - Auditoria de Segurança da Informação Respostas

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	Para uma empresa se proteger, principalmente na parte técnica, é fundamental trabalhar na sua prevenção, para que atacantes criminosos não consigam entrar facilmente no sistema dela. Quanto mais a empresa se encontra blindada e com prevenções bem definidas, mais difícil é algum atacante hacker conseguir ter êxito no hackeamento.
 
A respeito da questão colocada sobre prevenção, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Para que as empresas estejam prevenidas, é muito importante contratar ou ter um profissional de segurança para fazer um teste de invasão no próprio sistema. Assim, verifica-se se existem vulnerabilidades e, caso existam, confirmam-se quais são.
II. ( ) É muito importante esperar a empresa ser atacada primeiro, para depois verificar e fazer a prevenção.
III. ( ) Sem que a empresa seja atacada por criminosos, não há como saber quais medidas de segurança se deve tomar.
IV. ( ) Para uma segurança forte e preventiva, basta colocar qualquer funcionário de TI para fazer as seguranças básicas, mesmo não sendo especialista na área, pois todo TI entende de tudo o que envolve tecnologia.
 
Assinale a alternativa que apresenta a sequência correta.
	
	
	
	
		Resposta Selecionada:
	 
V, F, F, F.
	Resposta Correta:
	 
V, F, F, F.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois apresenta sequência adequada. Para que as empresas tenham uma segurança acertada, é bastante recomendado pelo menos um teste de invasão a cada seis meses, pois a tecnologia se renova a cada dia, mais atualizações são feitas, e as vulnerabilidades vão surgindo. Quando espera sofrer um ataque antes de ser feita uma prevenção, você não estará prevenindo a empresa, e sim estancando apenas uma sangria. Você mesmo pode simular um ataque na empresa ou pedir para um terceirizado fazer isso, procurando vulnerabilidades e sempre ir blindando a empresa. E, de preferência, esse profissional deve ser especialista na área e segurança da informação.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o Hardening.
	
	
	
	
		Resposta Selecionada:
	 
Consiste na implementação de máquinas seguras.
	Resposta Correta:
	 
Consiste na implementação de máquinas seguras.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a ideia do Hardening é justamente saber se aquele hardware está seguro para uso ou não. Acredite-se ou não, existem hackers especializados somente em achar vulnerabilidades usando hardware.
	
	
	
· Pergunta 3
0 em 1 pontos
	
	
	
	Muitas pessoas confundem o teste de invasão com a análise de vulnerabilidade, cometendo erros até na prática na hora de entregar o produto para a empresa. Dessa forma, assinale a alternativa correta que descreva o que seria o processo de análise de vulnerabilidade.
	
	
	
	
		Resposta Selecionada:
	 
A análise de vulnerabilidade é somente uma fase de exploração das falhas.
	Resposta Correta:
	 
A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las.
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois as vulnerabilidades, em uma análise de vulnerabilidades, devem sim ser reportadas, já que elas fazem parte do escopo. Essa análise não corrige as falhas. Isso está no escopo do Pentest e passa muito longe de ser um scan de antivírus ou uma exploração de falhas como um Google Hacking.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança bem feita deve possuir o pentest, visto que, a cada dia, os criminosos estão melhores e os profissionais de segurança precisam estar testando sempre a segurança das empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta sobre qual seria o principal objetivo do Pentest.
	
	
	
	
		Resposta Selecionada:
	 
O Pentest é uma simulação de um ataque real.
	Resposta Correta:
	 
O Pentest é uma simulação de um ataque real.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois
o Pentest não é simplesmente uma análise de vulnerabilidade, sendo algo muito mais completo que somente achar as vulnerabilidades e mostrar que está vulnerável: é também simular um verdadeiro ataque naquela empresa e ajudá-la a ir corrigindo suas falhas.
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	Há alguns principais tipos de Pentest que são efetuados, quando os testes vão ocorrer, e tudo depende exatamente do que a pessoa que irá contratar o serviço deseja, se vai querer um Pentest interno, externo ou via wi-fi. Existem muitos tipos os testes, de acordo com o que é pretendido pela empresa.
De acordo com a questão, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Aplicativos web.
II. ( ) Redes cabeadas.
III. ( ) Antenas.
IV. ( ) VoIP.
	
	
	
	
		Resposta Selecionada:
	 
V, V, V, V.
 
 
	Resposta Correta:
	 
V, V, F, V.
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois apresenta sequência inadequada. Antena está fora do escopo de uma infraestrutura de sistema, visto que a antena serve para captar sinal, e ela não vai influenciar em nada no sistema, apesar que temos sim algumas falhas em relações a antenas, mas ainda não é escopo para um Pentest. O escopo para o Pentest seria a rede cabeada, que pode estar vulnerável, dando acesso a ataques na rede interna da empresa e causando grandes prejuízos. Também é interessante prestar atenção nas aplicações web. Por exemplo, no caso de uma aplicação de banco, para consultar sua conta bancária precisa de proteção. O VoIP, utilizado por milhares de empresas pelo mundo para se comunicar, é muito importante no escopo do Pentest.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando.
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Um projeto de segurança.
II. ( ) Somente assinatura do contratante liberando os testes.
III. ( ) Uma programação de testes.
IV. ( ) Um escopo do que será testado.
 
Assinale a alternativa que apresenta a sequência correta.
	
	
	
	
		Resposta Selecionada:
	 
V, F, V, V
	Resposta Correta:
	 
V, F, V, V
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informaçãoquando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos.
	
	
	
	
		Resposta Selecionada:
	 
Kali Linux.
 
 
	Resposta Correta:
	 
Kali Linux.
 
 
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, foi criado justamente para auditoria de segurança, seja para um Pentest interno ou externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado.
 
De acordo com a introdução, assinale a norma descrita que está correta.
	
	
	
	
		Resposta Selecionada:
	 
ISO 27001 – Norma antiga substituída pela atual norma BS779-2.
	Resposta Correta:
	 
ISO 27001 – Norma antiga substituída pela atual norma BS779-2.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a padrões da segurança da informação, sendo um certificado muito interessante e que dá credibilidade ao profissional.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo de profissional, até encontrar um da área de segurança. Muitas vezes, os casos são resolvidos, enquanto, em outras, os profissionais até descobrem de que forma a empresa sofreu a invasão, porém, em diversas vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a alternativa que apresenta a análise forense computacional.
	
	
	
	
		Resposta Selecionada:
	 
Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros.
	Resposta Correta:
	 
Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a análise forense é feita justamente quando se precisa recriar toda a cena do crime, entender como o crime ocorreu, entender como o atacante entrou no sistema e verificar vestígios para que o atacante possa ser até encontrado.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	O teste de stress, mais conhecido como teste de estresse, é muito utilizado independente se o penetration testing é interno ou externo, pois esse teste possibilita que se tenha noção se existe algum ataque iminente dando prejuízo ou se é a tecnologia que é fraca. Acredite, é ótimo conseguir reconhecer e diferenciar isso.
 
Assinale a alternativa correta sobre a função do teste de stress em um Pentest.
	
	
	
	
		Resposta Selecionada:
	 
Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga.
	Resposta Correta:
	 
Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois um teste de stress é feito para se verificar até quanto seu servidor aguenta, ou sua aplicação. Inclusive, ele consegue identificar quando seu servidor está caindo se a culpa é de um ataque DoS (negação de serviço) ou se simplesmente não está aguentando o fluxo.