Estudos feitos em setembro de 2017 pelo grupo PCI Security Standards sobre uma determinada empresa de comércio eletrônico que contratou serviço de...

 Estudos feitos em setembro de 2017 pelo grupo PCI Security Standards sobre uma determinada empresa de comércio eletrônico que contratou serviço de pentest conforme as seguintes informações: comerciante varejista de vestuários femininos; plataforma Java com o Apache Tomcat e o banco de dados DB2 da IBM, e utiliza uma rede de entrega de conteúdo para distribuição de imagens. A marca A está disponível somente no site de comércio eletrônico de terceiros que utilizam um carrinho de compras de comércio eletrônico codificado interno, escrito no ColdFusion com Microsoft SQL, e compartilham o mesmo código subjacente entre duas marcas (B e C). Todas as marcas enviam dados do titular do cartão para processamento em HTTPS e estão no provedor de hospedagem terceirizado em sistemas dedicados. Os firewalls têm recursos integrados de prevenção de intrusão. Relatado que há controle total do DNS com exclusividade do código e do conteúdo. Gerentes de recursos de TI promovem atualizações na produção. No papel de profissional de analistas de segurança da informação, analise as condições contidas no processo/projeto pentest para aprovação:

I. Ambiente: a camada do aplicativo contém os servidores de middleware Apache Tomcat e ColdFusion. Ele é segmentado a partir das camadas DMZ e de banco de dados usando controles de acesso de firewall. A camada do banco de dados contém os servidores Microsoft SQL e IBM DB2. Ele é segmentado a partir da camada do aplicativo, usando controles de acesso de firewall. A rede de gerenciamento é usada para backups, servidores de gerenciamento de patches, servidores NTP, dispositivos de análise de tráfego de rede e coletores syslog. A rede de gerenciamento é acessada usando jumpboxes, com autenticação de dois fatores da rede corporativa, em uma VPN ponto a ponto.

II. Planejamento: inteligência artificial muito útil em segurança cibernética mais inteligente. Por meio de técnicas de aprendizagem profunda, melhora-se o conhecimento para “compreender” as ameaças e os riscos de segurança cibernéticos.

III. Descoberta e ataque/execução: o testador de penetração começou comparando o escopo a fim de garantir que eles concordem sobre os ativos e alvos em exame. Todas as diferenças no escopo foram observadas e investigadas. O testador de penetração então reuniu informações sobre a organização alvo por meio de sites e servidores de e-mail, registros públicos e bancos de dados. O testador tentou ativamente obter nomes de usuário, informações de compartilhamento de rede e informações de versão de aplicativo de todos os serviços e aplicativos de execução. Nessa fase, o testador de penetração começou a indexação (spider) e o mapeamento dos aplicativos, com e sem credenciais, em preparação para a fase de exploração. O testador recebeu permissão para concluir uma transação completa até o checkout e a confirmação de pedido. A fase de exploração incluiu testes e técnicas concebidas para atender aos objetivos do teste (esses devem ser explorados e podem ser usados para confirmar a eficácia dos controles de segurança auxiliares, como sistemas de detecção de invasão ou firewalls de aplicativos da web). Durante esse passo, ocorreu o teste dos aplicativos para problemas relacionados ao OWASP Top 10 e outras estruturas de aplicativos da Web.

IV. Identificadas as seguintes vulnerabilidades: execução de código autenticado do aplicativo Apache Tomcat Manager, scripting entre sites (reflexivo), diretório transversal, protocolos obsoletos, SSLv2, SSLv3, encriptadores SSL fracos, divulgação de endereço de IP interno, IPS não habilitado para local de recuperação de desastres, ataque lento de negação de serviço HTTP.

V. Pós-execução: concentrou-se na análise das vulnerabilidades identificadas para determinar as causas raiz, estabelecer recomendações e/ou atividades de remediação e desenvolver um relatório final, no qual todas as vulnerabilidades observadas durante o teste foram documentadas, mesmo que não tenham impacto sobre o ambiente de dados do portador do cartão. O cliente corrigiu todas as vulnerabilidades de alta e média gravidade em 90 dias, e a empresa de teste de penetração forneceu a documentação de remediação bem-sucedida ao cliente.

a. Somente as afirmações II, IV e V estão corretas, sendo o suficiente para aprovação.b. As afirmações I, II, III, IV e V estão corretas, sendo o suficiente para aprovação.c. Somente a afirmação II está correta, sendo o suficiente para aprovação.d. Somente a afirmação I está correta, sendo o suficiente para aprovação.e. Somente a afirmação III está correta, sendo o suficiente para aprovação.