Segurança da Informação - Software Seguro

Prévia do material em texto

25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 1/10
 
 Revisar envio do teste: Teste Aula 08
EGEQSCASDA-2101-698122 2101-SEGURANÇA DA INFORMAÇÃO - SOFTWARE SEGURO Aulas
Aula 08 - Aspectos de Segurança Jurídica e Compliance
REVISAR ENVIO DO TESTE: TESTE AULA 08 
Usuário ANTONIO ROGERIO ZAMBONINI
Curso 2101-SEGURANÇA DA INFORMAÇÃO - SOFTWARE SEGURO
Teste Teste Aula 08
Iniciado 25/09/21 12:47
Enviado 25/09/21 13:06
Data de vencimento 29/10/21 23:59
Status Completada
Resultado da tentativa 10 em 10 pontos  
Tempo decorrido 18 minutos
Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários
Pergunta 1
Resposta Selecionada: d. 
Respostas: a. 
Os tipos de backup são classificados de três formas, sendo que cada uma delas
pode se adaptar melhor a um tipo de situação. Em relação às técnicas de backup
& recovery, escolha a alternativa verdadeira.
I. No backup completo, é feito o armazenamento de uma quantidade maior de
dados, sendo o recovery mais lento que as outras técnicas.
II. O backup diferencial, é semelhante ao incremental; a diferença é que o backup
é realizado em relação ao último backup completo, armazenando mais dados que
o incremental.
III. O backup incremental é mais lento, pois é necessária uma checagem
matemática, com o objetivo de descobrir o que foi alterado, e isto consome mais
tempo que o tradicional, porém poupa espaço em disco.
É correto o que se afirma em
I e II apenas.
III apenas.
Sala de Aula Tutoriais
1 em 1 pontos
ANTONIO ROGERIO ZAMBONINI
37
https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_167815_1
https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_167815_1&content_id=_7480625_1&mode=reset
https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_167815_1&content_id=_7481728_1&mode=reset
https://www.ead.senac.br/
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_193_1
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1
https://senacsp.blackboard.com/webapps/login/?action=logout
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 2/10
b. 
c. 
d. 
Comentário
da
resposta:
I e III apenas.
I, II e III.
I e II apenas.
A resposta correta é a D.
Os tipos de backup são classificados de três formas, sendo que
cada uma delas pode se adaptar melhor a um tipo de situação.
No backup completo é onde se realiza a cópia completa de todo o
banco de dados. Sua principal vantagem é a reprodução fiel e
completa de todas as informações, porém tem como principal
desvantagem a exigência de maior espaço em disco e a demora
para completar.
No backup incremental, é realizada uma cópia dos dados alterados
desde o último backup incremental; desta forma, copia uma
quantidade menor de dados e requer menos espaço; este tipo de
backup é mais rápido, pois o seu tempo de restauração é mais
rápido, porém, para que não haja perda de dados, é necessário
utilizar a combinação completo + incremental, além de testes
recorrentes.
O backup diferencial é semelhante ao incremental, a diferença é
que o backup é realizado em relação ao último backup completo,
armazenando mais dados que o incremental. Em relação aos
outros, é o intermediário, pois requer mais espaço do que o
incremental.
Pergunta 2
Resposta
Selecionada:
b.
Respostas: a.
b.
A tríade CID (confidencialidade, integridade e disponibilidade) surgiu com o
principal objetivo de garantir a segurança da informação; posteriormente, foram
incorporados não repúdio e autenticidade.
Em relação aos conceitos, escolha a opção correta.
Integridade está associada à garantia de que a informação está
correta, enquanto que a disponibilidade refere-se à garantia de que
a informação estará disponível quando requisitada.
Confidencialidade é a garantia de acesso ao conteúdo da
mensagem, independentemente de ter autorização ou não.
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 3/10
c.
d.
Comentário
da
resposta:
Integridade está associada à garantia de que a informação está
correta, enquanto que a disponibilidade refere-se à garantia de que
a informação estará disponível quando requisitada.
Autenticidade é opcional e não se deve preocupar em atender os
seus requisitos.
Não de repúdio baseia-se no princípio de que se pode negar um
ato, mesmo sendo autêntico.
A alternativa correta é a B. Integridade é a garantia de que as
informações estão corretas, autênticas e de que não sofreram
qualquer alteração. E a disponibilidade é a garantia de que as
informações estarão disponíveis sempre que forem solicitadas por
pessoas autorizadas.
Pergunta 3
Resposta
Selecionada:
c.
Respostas: a.
b.
c.
d.
Comentário
da
resposta:
O plano de continuidade de negócios (PCN) tem como principal função criar um
método para que as organizações em situações de crise ou exposição possam
recuperar e retomar a operação normal sem que a segurança da informação ou o
negócio sofram danos.
Tendo como referência o plano de continuidade de negócios, escolha a alternativa
correta.
O plano de contingência é utilizado em último caso quando todas
as prevenções falharam.
O plano de contingência é utilizado logo no início de um problema
para evitar danos financeiros e exposição da marca.
O plano de administração de crises reestabelece o funcionamento,
reduzindo o tempo de indisponibilidade e os impactos provocados.
O plano de contingência é utilizado em último caso quando todas
as prevenções falharam.
O plano de continuidade operacional define as responsabilidades
das equipes na ocorrência de uma contingência.
A alternativa correta é a C.
O plano de continuidade de negócios (PCN) é estruturado em quaro
fases ligadas entre si, que são:
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 4/10
Plano de contingência – utilizado, em último caso, quando todas as
prevenções falharam.
Plano de administração de crises (PAC) - define responsabilidades
das equipes na ocorrência de uma contingência.
Plano de recuperação de desastres (PRD) - uma vez controlada a
contingência, é determinado o planejamento para que se retomem
os níveis originais da operação.
Plano de continuidade operacional (PCO) - reestabelecer o
funcionamento, reduzindo o tempo de indisponibilidade e os
impactos provocados.
Pergunta 4
Resposta Selecionada: c. 
Respostas: a. 
b. 
c. 
d. 
Comentário
da
resposta:
A função das atividades da engenharia de software para codificação de um
software seguro baseia-se em: superfície de ataque, revisões de código, testes de
segurança e resposta a incidentes.
I. Revisão de códigos é uma atividade opcional; para minimizar custos, é
comum não executar a revisão.
II. Testes de segurança são atividades independentes, não precisando de um
plano de resposta a incidentes.
III. Superfície de ataque é um conjunto de vulnerabilidades acessíveis e
exploráveis em softwares, devendo ser mapeadas e conhecidas.
É correto o que se afirma em
III apenas.
II apenas.
I e II apenas.
III apenas.
I, II e III.
A resposta correta é a C. A superfície de ataque é um conjunto de
vulnerabilidades acessíveis e exploráveis em softwares, e devem
ser mapeadas. Para minimizar seus impactos, é necessário fazer
revisões de código, devendo constar como parte das atividades de
implementação, juntamente com o teste de segurança que deve
fazer parteda rotina, tendo como guia o plano de resposta a
incidentes que vai explicitar as ações a serem executadas por cada
envolvido no sistema em resposta a ataques específicos.
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 5/10
Pergunta 5
Resposta
Selecionada:
a.
Respostas: a.
b. 
c.
d.
Comentário
da
resposta:
Um teste de invasão é uma etapa importante para as organizações na garantia de
segurança das aplicações. O seu principal objetivo é identificar vulnerabilidades e
problemas de segurança antes que possa ser explorado e, consequentemente,
causar prejuízo. 
Com base nessa informação, avalie as asserções a seguir e a relação proposta
entre elas.
I. O tipo de teste White Box é considerado o pentest mais completo, pois avalia
todo o ambiente, e ao atacante é dado total conhecimento de todas as
informações essenciais. 
PORQUE
II. Desta forma, evita-se a perda de tempo e investimentos na etapa de testes de
invasões. 
A respeito dessas asserções, assinale a opção correta.
A asserção I é uma proposição verdadeira, e a II é uma
proposição falsa.
A asserção I é uma proposição verdadeira, e a II é uma
proposição falsa.
As asserções I e II são proposições falsas.
A asserção I é uma proposição falsa, e a II é uma proposição
verdadeira.
As asserções I e II são proposições verdadeiras, e a II é
justificativa correta da I.
A resposta correta é a A.
White Box - o teste do tipo caixa branca é considerado o pentest
mais completo, pois avalia todo o ambiente e, ao atacante, é dado
total conhecimento de todas as informações essenciais. Por não ter
que identificar e mapear um grande volume de informações, não se
torna fiel a um tipo de ataque externo e proposital, porém ganha em
agilidade e em foco, podendo explorar os itens mais essenciais. Por
ser fornecido um grande volume de informações sigilosas,
geralmente é executado por um membro da equipe e, no caso de
uma empresa externa, um contrato de sigilo é necessário.
Black Box, o teste caixa-preta, tem como objetivo ser o mais
próximo possível de um ataque externo, portanto não são
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 6/10
fornecidas informações essenciais, somente o alvo do ataque. O
atacante tem que explorar as vulnerabilidades com o seu
conhecimento e habilidades, por este motivo é importante a
execução por um profissional capacitado, e, por ter como premissa
não conhecer as informações, geralmente é realizado por uma
empresa terceira.
Gray Box, o teste caixa cinza, é uma mistura do black box e white
box. O atacante possui uma quantidade razoável de informação,
porém é necessário investir esforços no mapeando das
informações e do ataque. Torna-se completo, pois parte da
perspectiva de um possível atacante externo e também de um
atacante interno.
Yellow Box - não existe este tipo de teste.
Pergunta 6
Resposta
Selecionada:
d.
Respostas: a. 
b.
c.
d.
A verificação de código-fonte permite identificar vulnerabilidades em aplicativos
antes que o software entre em produção. A conformidade de um software com os
requisitos dos usuários e normas existentes é essencial para o sucesso da
aplicação e também para a sua segurança. 
Em relação à verificação de código-fonte, assinale a opção correta.
I. Na análise dinâmica, é analisado o comportamento da aplicação em execução,
ou seja, em produção. 
PORQUE
II. Possui como vantagem a possibilidade de encontrar vulnerabilidades que não
podem ser encontradas no código-fonte.
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa correta da I.
As asserções I e II são proposições falsas.
A asserção I é uma proposição verdadeira, e a II é uma
proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é
uma justificativa correta da I.
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa correta da I.
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 7/10
Comentário
da
resposta:
A alternativa correta é a D. 
A análise manual é realizada por um profissional experiente, com
conhecimento de arquitetura segura e programação. O código-fonte
deve vir acompanhado de comentários e de um resumo das
funcionalidades. É o método mais antigo e demorado. 
Na análise estática, a verificação é realizada de forma automática,
com a utilização de ferramentas (exemplos: FindBugs, PMD,
Klockword Developer e outros). Ocorre na fase de compilação e
inspeciona a procura de bugs, sem que, para isso, precise executar
o programa. 
Análise dinâmica, diferentemente da análise estática, é analisado o
comportamento da aplicação em execução, ou seja, em produção,
enquanto a aplicação está sendo executada. Possui como
vantagem a possibilidade de encontrar vulnerabilidades que não
podem ser encontradas no código (exemplo: configuração do
servidor http).
Pergunta 7
Resposta
Selecionada:
b.
Respostas: a.
b.
c.
d.
Comentário
da
Em relação aos testes segurança em aplicação, especificamente o tipo Static
Application Security Testing (SAST), permite aos desenvolvedores monitorar seu
código constantemente e identificar problemas de forma antecipada.
Além disso, fornece informações detalhadas que contribuem para a integridade do
código e a resolução rápida de problemas.
A partir das ideias do texto, assinale a opção correta. 
Avaliar a aplicação antes que entre em produção, sendo que o
executor tem total acesso ao código-fonte.
Avaliar a aplicação antes que entre em produção, sendo que o
executor não tem acesso ao código-fonte.
Avaliar a aplicação antes que entre em produção, sendo que o
executor tem total acesso ao código-fonte.
Avaliar a aplicação depois que entrou produção, sendo que o
executor não tem acesso ao código-fonte.
Avaliar a aplicação depois que entrou produção, sendo que o
executor tem total acesso ao código-fonte.
A resposta correta é a B. 
Nos testes de segurança em aplicação do tipo Static Application
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 8/10
resposta: Security Testing (SAST), o objetivo é avaliar a aplicação antes de
entrar em produção, sendo que o executor tem total acesso ao
código-fonte.
Pergunta 8
Resposta
Selecionada:
d. 
Respostas: a.
b. 
c. 
d. 
Comentário
da
resposta:
As normas têm como objetivo trazer uma série de controles que ajudam na
implementação do processo de desenvolvimento seguro. E o framework tem como
objetivo implementar uma estratégia para a segurança do software.
Tendo como referência o ciclo de vida do desenvolvimento seguro e a partir das
ideias do texto, assinale a opção que mostra quais são as normas e os padrões
que contribuem para essa atividade.
Norma ISO/IEC 27034 e o padrão Open SAMN
Tríade CID, juntamente com o não repúdio e a
autenticidade
Família ISO 27000
OWASP (Open Source Foundation for Application)
Norma ISO/IEC 27034 e o padrão Open SAMN
A resposta correta é a D. A norma ISO/IEC 27034 traz uma série de
controles que ajudam na implementação do processo de
desenvolvimento seguro. E o Open SAMN é um framework aberto,
com o objetivo de implementar uma estratégia para a segurança do
software.
Pergunta 9
Resposta
Selecionada:
c.
A OWASP (Open Web Application Security Project) é uma comunidade aberta,
dedicada a capacitar as organizações a desenvolverem, adquirirem e manterem
aplicações confiáveis. Em um dos seus projetos, mantém uma lista das 10
vulnerabilidades mais presente em aplicaçõesWEB, em que são explicadas as
vulnerabilidades e as formas de proteção. 
A partir das ideias do texto, assinale a opção correta.
1 em 1 pontos
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_74817… 9/10
Respostas: a.
b.
c.
d.
Comentário
da
resposta:
O documento top 10 funciona como guia e orientação para os
desenvolvedores web a respeito do que é necessário se preocupar
e as melhores práticas do que deve ser feito para evitar a
exploração das principais vulnerabilidades.
A recomendação da lista é o suficiente para garantir a segurança
em sua aplicação web, não sendo necessário nenhum outro tipo
de controle adicional.
A lista de vulnerabilidades é mantida por uma empresa com fins
lucrativos, na qual o objetivo final é prestar consultoria em
segurança em aplicações web.
O documento top 10 funciona como guia e orientação para os
desenvolvedores web a respeito do que é necessário se preocupar
e as melhores práticas do que deve ser feito para evitar a
exploração das principais vulnerabilidades.
A lista das 10 vulnerabilidades é estática, não ocorrendo
mudanças, pois as vulnerabilidades não mudam com o passar do
tempo.
A resposta correta é a C. 
A OWASP mantém uma tabela atualizada dos 10 principais
problemas de segurança em aplicações WEB. Funciona como um
documento para conscientizar a segurança em aplicações WEB; a
cada 3 anos, é disponibilizado este estudo; o atual é de 2017 e, em
2020, é prevista a atualização das principais vulnerabilidades. 
Este documento dos top 10 funciona como guia e orientação para
os desenvolvedores web do que é necessário se preocupar e de 
como deve ser feito para evitar a exploração das principais
vulnerabilidades.
Pergunta 10
O SQL injection, segundo a OWASP, é uma das vulnerabilidades mais exploradas
em banco de dados. Considerando a sua característica, avalie as informações a
seguir.
I. É uma vulnerabilidade que manipula dados de memória para tamanhos que não
estão preparados para receber e, portanto, sobrescrevendo a memória.
II. É uma vulnerabilidade em que o atacante consegue inserir instruções SQL
dentro de uma consulta (query) através da manipulação das entradas de dados de
uma aplicação.
1 em 1 pontos
25/09/2021 Revisar envio do teste: Teste Aula 08 – EGEQSCASDA-2101-...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_21261359_1&course_id=_167815_1&content_id=_7481… 10/10
Sábado, 25 de Setembro de 2021 13h06min10s BRT
Resposta Selecionada: a. 
Respostas: a. 
b. 
c. 
d. 
Comentário
da
resposta:
III. É uma vulnerabilidade, permite a execução de comandos no nível do sistema
operacional através de manipulação de dados de entrada de uma aplicação.
É correto apenas o que se afirma em
II.
II.
III.
I e II.
I e III.
A resposta correta é a A.
A vulnerabilidade SQL injection ocorre quando o atacante consegue
inserir instruções SQL dentro de uma consulta (query) através da
manipulação das entradas de dados de uma aplicação. A sua
exploração pode prejudicar e expor o banco de dados por meio de
manipulação não autorizada e execução de comandos no nível de
sistema.
O ataque de manipulação SQL é o tipo mais comum de ataque de
injeção, muda um comando SQL na aplicação. 
Por exemplo, ao acrescentar condições à clausula WHERE de uma
consulta.
SELECT * FROM usuarios WHERE nomeusuario =‘joao’ and
(SENHA = ‘senhajoao’ or ‘x’ = ‘x’);
← OK
javascript:launch('/webapps/blackboard/content/listContent.jsp?content_id=_7481728_1&course_id=_167815_1&nolaunch_after_review=true');