Baixe o app para aproveitar ainda mais
Prévia do material em texto
• Pergunta 1 1 em 1 pontos O nome “engenharia” é comumente empregado, pelos populares, quando se constroem mecanismos para resolver um problema ou arquitetar uma solução. Na área da segurança da informação, a engenharia social tem um significado bastante particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social. Resposta Selecionada: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa. Resposta Correta: Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa. Comentário da resposta: Resposta correta. A alternativa está correta, pois a engenharia social é utilizada justamente para evitar vestígios, então não é usado nenhum tipo de técnica de um computador, somente a lábia, uma ligação telefônica, em que o atacante extrai informações sem que a vítima perceba. O foco da engenharia social são as pessoas, e não diretamente a tecnologia em si. Portanto, a engenharia social tem bastante a ver com conceitos psicológicos do comportamento humano. • Pergunta 2 1 em 1 pontos Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-las, o report é um passo importante da auditoria, pois é nesse momento que você estará entregando o produto que o cliente pagou, e esse report deve ser descrito de uma maneira que as vulnerabilidades devam ser entendidas. De acordo com o enunciado, assinale a alternativa sobre a maneira correta de escrever um report . Resposta Selecionada: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Resposta Correta: O report deve ser organizado de maneira que mostre a prioridade das vulnerabilidades, entre alto perigo e baixo perigo. Comentário da resposta: Resposta correta. A alternativa está correta, pois todas as vulnerabilidades devem ser organizadas de uma maneira que todos entendam, explicando-se quais geram pouco, médio e grande impacto. É muito importante colocar graus e separações por escalas de quais vulnerabilidade são maiores quais são menores. • Pergunta 3 1 em 1 pontos Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo de profissional, até encontrar um da área de segurança. Muitas vezes, os casos são resolvidos, enquanto, em outras, os profissionais até descobrem de que forma a empresa sofreu a invasão, porém, em diversas vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a alternativa que apresenta a análise forense computacional. Resposta Selecionada: Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros. Resposta Correta: Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros. Comentário da resposta: Resposta correta. A alternativa está correta, pois a análise forense é feita justamente quando se precisa recriar toda a cena do crime, entender como o crime ocorreu, entender como o atacante entrou no sistema e verificar vestígios para que o atacante possa ser até encontrado. • Pergunta 4 1 em 1 pontos Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o Hardening. Resposta Selecionada: Consiste na implementação de máquinas seguras. Resposta Correta: Consiste na implementação de máquinas seguras. Comentário da resposta: Resposta correta. A alternativa está correta, pois a ideia do Hardening é justamente saber se aquele hardware está seguro para uso ou não. Acredite-se ou não, existem hackers especializados somente em achar vulnerabilidades usando hardware. • Pergunta 5 1 em 1 pontos As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado. De acordo com a introdução, assinale a norma descrita que está correta. Resposta Selecionada: ISO 27001 – Norma antiga substituída pela atual norma BS779-2. Resposta Correta: ISO 27001 – Norma antiga substituída pela atual norma BS779-2. Comentário da resposta: Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a padrões da segurança da informação, sendo um certificado muito interessante e que dá credibilidade ao profissional. • Pergunta 6 1 em 1 pontos Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando. De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Um projeto de segurança. II. ( ) Somente assinatura do contratante liberando os testes. III. ( ) Uma programação de testes. IV. ( ) Um escopo do que será testado. Assinale a alternativa que apresenta a sequência correta. Resposta Selecionada: V, F, V, V Resposta Correta: V, F, V, V Comentário da resposta: Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança. • Pergunta 7 1 em 1 pontos Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as técnicas de invasões possíveis, saber apresentar um relatório perfeito para o cliente, se não tiver os recursos necessários para conseguir executar tudo isso, desde o hardware, sistemas operacionais, até programas. Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se de hardware, para usar os sistemas operacionais focados em segurança. Resposta Selecionada: Instalar o SO na máquina física. Resposta Correta: Instalar o SO na máquina física. Comentário da resposta: Resposta correta. A alternativa está correta, pois a máquina física dá o recurso máximo para que se consiga exercer tudo que um teste de segurança requer. Existem certas ferramentas que não utilizam tanto do hardware, porém há ferramentas que exigem bastante, e o SO estar na máquina física é a melhor condição para se trabalhar. • Pergunta 8 1 em 1 pontos Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é preciso saber quais técnicas usar e em que momento utilizá-las.Existem vários ataques os quais possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que seriam esses Exploits? Resposta Selecionada: Exploração de falhas em softwares. Resposta Correta: Exploração de falhas em softwares. Comentário da resposta: Resposta correta. A alternativa está correta, pois os Exploits são utilizados justamente para se localizarem falhas em softwares, ou seja, vulnerabilidades em aplicações. Há Exploits que podem causar até mesmo paralisação de uma aplicação e de um sistema inteiro. Ferramentas desse tipo estão disponíveis, por exemplo, em sistemas operacionais como o Kali Linux. • Pergunta 9 1 em 1 pontos Muitas pessoas confundem o teste de invasão com a análise de vulnerabilidade, cometendo erros até na prática na hora de entregar o produto para a empresa. Dessa forma, assinale a alternativa correta que descreva o que seria o processo de análise de vulnerabilidade. Resposta Selecionada: A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las. Resposta Correta: A análise de vulnerabilidade apenas encontra vulnerabilidades, não precisando consertá-las. Comentário da resposta: Resposta correta. A alternativa está correta, pois a análise de vulnerabilidade resume-se somente a encontrar as falhas, mas não falar onde encontrou nem como encontrou, pois é um teste menor do que um Pentest, e, geralmente, até tem uma diferenciação de preços entre um Pentest e uma análise de vulnerabilidade. • Pergunta 10 1 em 1 pontos Um ataque de engenharia social, caso tenha-se êxito, pode trazer grandes implicações e prejuízos à empresa, e, dependendo de que tipo de informação sigilosa o hacker conseguir, pode vir até a causar a falência de uma empresa e deixar diversas pessoas desempregadas, como já ocorreu. Assim sendo, assinale a alternativa correta sobre as implicações de um ataque de engenharia social e quais são os agravantes. Resposta Selecionada: Coagir alguém para obter informações que levam a ganhos ilícitos. Resposta Correta: Coagir alguém para obter informações que levam a ganhos ilícitos. Comentário da resposta: Resposta correta. A alternativa está correta, pois, por meio da engenharia social, obtendo informações consegue-se praticar diversos outros crimes, como ganhar a senha de usuário ou administrador, ganhar a chave ou o crachá de um funcionário da empresa ou conseguir informações confidenciais, por exemplo. Tudo depende da técnica do atacante. Quarta-feira, 19 de Maio de 2021 10h43min58s BRT
Compartilhar