AUDITORIA DE SEGURANÇA_N2

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
O nome “engenharia” é comumente empregado, pelos populares, quando se 
constroem mecanismos para resolver um problema ou arquitetar uma 
solução. Na área da segurança da informação, a engenharia social tem um 
significado bastante particular. Assim sendo, assinale a alternativa correta 
sobre o que é engenharia social. 
 
Resposta 
Selecionada: 
 
Engenharia social é quando um atacante consegue 
informações de uma empresa, fazendo um ataque por 
meio de técnicas como enganar alguém por conversa. 
Resposta 
Correta: 
 
Engenharia social é quando um atacante consegue 
informações de uma empresa, fazendo um ataque por 
meio de técnicas como enganar alguém por conversa. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a 
engenharia social é utilizada justamente para evitar 
vestígios, então não é usado nenhum tipo de técnica de um 
computador, somente a lábia, uma ligação telefônica, em 
que o atacante extrai informações sem que a vítima 
perceba. O foco da engenharia social são as pessoas, e não 
diretamente a tecnologia em si. Portanto, a engenharia 
social tem bastante a ver com conceitos psicológicos do 
comportamento humano. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, 
o report é um passo importante da auditoria, pois é nesse momento que 
você estará entregando o produto que o cliente pagou, e esse report deve 
ser descrito de uma maneira que as vulnerabilidades devam ser entendidas. 
De acordo com o enunciado, assinale a alternativa sobre a maneira correta 
de escrever um report . 
 
Resposta 
Selecionada: 
 
O report deve ser organizado de maneira que mostre a 
prioridade das vulnerabilidades, entre alto perigo e baixo 
perigo. 
Resposta 
Correta: 
 
O report deve ser organizado de maneira que mostre a 
prioridade das vulnerabilidades, entre alto perigo e baixo 
perigo. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois todas as 
vulnerabilidades devem ser organizadas de uma maneira 
que todos entendam, explicando-se quais geram pouco, 
médio e grande impacto. É muito importante colocar graus e 
 
separações por escalas de quais vulnerabilidade são 
maiores quais são menores. 
 
• Pergunta 3 
1 em 1 pontos 
 
Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram 
todo tipo de profissional, até encontrar um da área de segurança. Muitas 
vezes, os casos são resolvidos, enquanto, em outras, os profissionais até 
descobrem de que forma a empresa sofreu a invasão, porém, em diversas 
vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a 
alternativa que apresenta a análise forense computacional. 
 
Resposta 
Selecionada: 
 
Consiste em utilizar técnicas para rastrear o atacante. 
Lembre-se de que uma invasão sempre vai gerar rastros. 
Resposta 
Correta: 
 
Consiste em utilizar técnicas para rastrear o atacante. 
Lembre-se de que uma invasão sempre vai gerar rastros. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a análise 
forense é feita justamente quando se precisa recriar toda a 
cena do crime, entender como o crime ocorreu, entender 
como o atacante entrou no sistema e verificar vestígios para 
que o atacante possa ser até encontrado. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
Quando falamos da área de segurança da informação, o Hardening 
atualmente é muito pouco protegido. Em 2012, por exemplo, foram 
descobertas falhas nos processadores fabricados pela Intel, ocasionando 
uma falha de segurança notada por usuários em todo o mundo. Desde 
então, muitas pessoas abriram seus olhos e começaram a se especializar 
mais em Hardening. Assinale a alternativa que apresenta no que consiste o 
Hardening. 
 
Resposta Selecionada: 
Consiste na implementação de máquinas seguras. 
Resposta Correta: 
Consiste na implementação de máquinas seguras. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a ideia do 
Hardening é justamente saber se aquele hardware está 
seguro para uso ou não. Acredite-se ou não, existem 
hackers especializados somente em achar vulnerabilidades 
usando hardware. 
 
 
• Pergunta 5 
1 em 1 pontos 
 
As normas ISO têm como objetivo garantir padrões e qualidade para uma 
melhor gestão e administração do negócio. Assim, as empresas utilizam 
desses certificados que são ganhos para propagandear e mostrar que estão 
 
preocupados com a segurança dos dados de seus clientes. Assim, 
geralmente a empresa consegue demonstrar muito mais confiança no 
mercado. 
 
De acordo com a introdução, assinale a norma descrita que está correta. 
Resposta 
Selecionada: 
 
ISO 27001 – Norma antiga substituída pela atual 
norma BS779-2. 
Resposta Correta: 
ISO 27001 – Norma antiga substituída pela atual 
norma BS779-2. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a ISO 
27001, na verdade, é bastante atual. A BS779-2 foi trocada 
pela 27001, e a ISO 27001 está muito relacionada a 
padrões da segurança da informação, sendo um certificado 
muito interessante e que dá credibilidade ao profissional. 
 
 
• Pergunta 6 
1 em 1 pontos 
 
Não basta ter somente um “OK” do contratante para o teste de invasão, 
pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada 
adiantou a documentação. A documentação deve estar sempre explícita, 
falando o que deverá ser feito para que o contratante consiga entender o 
que será feito e pelo que está pagando. 
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos 
de informações deve ter na documentação para que ela seja válida e 
assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). 
 
I. ( ) Um projeto de segurança. 
II. ( ) Somente assinatura do contratante liberando os testes. 
III. ( ) Uma programação de testes. 
IV. ( ) Um escopo do que será testado. 
 
Assinale a alternativa que apresenta a sequência correta. 
 
Resposta Selecionada: 
V, F, V, V 
Resposta Correta: 
V, F, V, V 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois apresenta 
sequência adequada. É muito importante que um projeto 
seja apresentado, que seja especificado tudo o que será 
testado e se determinarem datas para os testes que não 
atrapalhem a produção da empresa. O projeto de segurança 
deve ter todo um escopo, mostrando cada detalhe do 
projeto. A programação de testes deve sempre mostrar o 
que será alterado, que horário, que dia da semana, sempre 
 
o mais específico possível, e o escopo do que será testado 
sempre deverá estar em ordem e atualizado para que o 
contratante saiba exatamente o que será testado. Desse 
modo, ele se sentirá mais seguro e confiará melhor no 
profissional de segurança. 
 
• Pergunta 7 
1 em 1 pontos 
 
Não adianta saber fazer uma auditoria de segurança como ninguém, saber 
todas as técnicas de invasões possíveis, saber apresentar um relatório 
perfeito para o cliente, se não tiver os recursos necessários para conseguir 
executar tudo isso, desde o hardware, sistemas operacionais, até 
programas. 
Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, 
tratando-se de hardware, para usar os sistemas operacionais focados em 
segurança. 
 
Resposta Selecionada: 
Instalar o SO na máquina física. 
Resposta Correta: 
Instalar o SO na máquina física. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a máquina 
física dá o recurso máximo para que se consiga exercer 
tudo que um teste de segurança requer. Existem certas 
ferramentas que não utilizam tanto do hardware, porém há 
ferramentas que exigem bastante, e o SO estar na máquina 
física é a melhor condição para se trabalhar. 
 
 
• Pergunta 8 
1 em 1 pontos 
 
Numa auditoria de segurança, aprendemos que há começo, meio e fim. 
Durante esse processo, é preciso saber quais técnicas usar e em que 
momento utilizá-las.Existem vários ataques os quais possibilitam que sejam 
feitos testes de invasões, sendo um muito utilizado: os Exploits. O que 
seriam esses Exploits? 
 
Resposta Selecionada: 
Exploração de falhas em softwares. 
Resposta Correta: 
Exploração de falhas em softwares. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois os Exploits 
são utilizados justamente para se localizarem falhas em 
softwares, ou seja, vulnerabilidades em aplicações. Há 
Exploits que podem causar até mesmo paralisação de uma 
aplicação e de um sistema inteiro. Ferramentas desse tipo 
estão disponíveis, por exemplo, em sistemas operacionais 
como o Kali Linux. 
 
 
• Pergunta 9 
1 em 1 pontos 
 
Muitas pessoas confundem o teste de invasão com a análise de 
vulnerabilidade, cometendo erros até na prática na hora de entregar o 
produto para a empresa. Dessa forma, assinale a alternativa correta que 
descreva o que seria o processo de análise de vulnerabilidade. 
 
Resposta 
Selecionada: 
 
A análise de vulnerabilidade apenas encontra 
vulnerabilidades, não precisando consertá-las. 
Resposta 
Correta: 
 
A análise de vulnerabilidade apenas encontra 
vulnerabilidades, não precisando consertá-las. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a análise 
de vulnerabilidade resume-se somente a encontrar as 
falhas, mas não falar onde encontrou nem como encontrou, 
pois é um teste menor do que um Pentest, e, geralmente, 
até tem uma diferenciação de preços entre um Pentest e 
uma análise de vulnerabilidade. 
 
 
• Pergunta 10 
1 em 1 pontos 
 
Um ataque de engenharia social, caso tenha-se êxito, pode trazer grandes 
implicações e prejuízos à empresa, e, dependendo de que tipo de 
informação sigilosa o hacker conseguir, pode vir até a causar a falência de 
uma empresa e deixar diversas pessoas desempregadas, como já ocorreu. 
Assim sendo, assinale a alternativa correta sobre as implicações de um 
ataque de engenharia social e quais são os agravantes. 
 
Resposta 
Selecionada: 
 
Coagir alguém para obter informações que levam a 
ganhos ilícitos. 
Resposta Correta: 
Coagir alguém para obter informações que levam a 
ganhos ilícitos. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois, por meio 
da engenharia social, obtendo informações consegue-se 
praticar diversos outros crimes, como ganhar a senha de 
usuário ou administrador, ganhar a chave ou o crachá de 
um funcionário da empresa ou conseguir informações 
confidenciais, por exemplo. Tudo depende da técnica do 
atacante. 
 
 
Quarta-feira, 19 de Maio de 2021 10h43min58s BRT