Questões de Segurança da Informação - Análise de Vulnerabilidade e Gestão de Riscos para Concurso - Página 10

Q1952460

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6: Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação |

Q1952460 Segurança da Informação

No tratamento de riscos, as medidas de segurança são classificadas em

A

corretivas e preventivas, apenas.

B

preventivas, orientativas e informativas.

C

orientativas e informativas, apenas.

D

corretivas, preventivas e orientativas.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1952459

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6: Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação |

Q1952459 Segurança da Informação

Na gestão de riscos, o tratamento de riscos

A

corresponde à seleção e implementação de medidas para modificar determinado risco.

B

identifica e estima riscos, considerando o uso sistemático de informações, além de englobar a análise de ameaças, vulnerabilidades e impactos.

C

compreende todas as ações tomadas para controlar os riscos em uma organização, incluindo-se análise/avaliação, tratamento, aceitação e comunicação de riscos.

D

compara o risco estimado na análise com critérios predefinidos, com o objetivo de identificar a importância do risco para a organização.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1952455

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6: Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação |

Q1952455 Segurança da Informação

Assinale a opção que corresponde ao processo de identificação, classificação e tratamento das vulnerabilidades, em que o tratamento consiste ou na correção da vulnerabilidade e aplicação de controles para minimizar a probabilidade de exploração ou o impacto, ou na aceitação do risco.

A

gestão de vulnerabilidades

B

gestão de incidentes de segurança da informação

C

scanner de vulnerabilidades

D

auditoria de sistemas de informação

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1952453

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6: Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação |

Q1952453 Segurança da Informação

Na avaliação de riscos, procura-se uma base que sirva para efeitos de comparação, como a análise e a avaliação de riscos efetuadas em épocas anteriores. O conhecimento prévio de impactos e probabilidades de riscos é sempre relevante para uma avaliação adequada e completa. Por outro lado, há basicamente dois modos de realizar a avaliação de riscos, os quais se baseiam

A

no controle e na classificação de recursos computacionais.

B

nas estimativas quantitativa e qualitativa.

C

no custo e benefício.

D

nos níveis de tecnologia e processos.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1952452

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6: Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação |

Q1952452 Segurança da Informação

Para uma efetiva gestão de riscos, é preciso, inicialmente, fazer o levantamento das ameaças e seus impactos, da probabilidade de concretização das ameaças e dos riscos potenciais. Para a implementação da gestão de riscos, devem ser considerados três níveis, cujas respectivas finalidades são

I garantir a adequação técnica necessária ao tratamento adequado dos riscos;

II assegurar que as atividades que compreendem a gestão de riscos sejam consideradas de forma sistemática; e

III permitir que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os riscos e possam ajudar a reduzi-los e controlá-los.

No texto precedente, os itens I, II e III apresentam as funções, respectivamente, dos níveis

A

ativos, ameaças e impactos.

B

hardwares, softwares e dados.

C

tecnologias, processos e pessoas.

D

de importância, grau de severidade das perdas e custos envolvidos.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1952445

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6: Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação |

Q1952445 Segurança da Informação

A avaliação do risco em uma organização deve contemplar a identificação, quantificação e priorização do risco em relação ao critério de aceitação do risco. Os riscos que não puderem ser aceitos pela organização deverão ser tratados. Nesse sentido, uma opção adequada de resposta ao risco é

A

compartilhar o risco, implementando ações e aplicando o correto controle para reduzir o nível de aceitação do risco.

B

evitar o risco, aplicando-se os controles apropriados para reduzir os impactos do risco.

C

mitigar o risco, transferindo-o para outros parceiros — por exemplo, fornecedores ou seguradoras.

D

aceitar o risco, conhecendo-o, e não implementar ações, pois o risco atende os critérios de aceitação.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1936741

Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV - 2022 - TJ-DFT - Analista Judiciário - Análise de Sistemas |

Q1936741 Segurança da Informação

PedidosSemEstresse é uma aplicação Web destinada a digitalizar o processo de pedidos de serviços de um órgão da administração pública. A interface de PedidosSemEstresse utilizada pelos usuários faz chamadas a uma API RESTful e não utiliza facilidades de login único (single sign-on – SSO). Recentemente, o usuário interno João utilizou suas próprias credenciais com privilégios somente de execução de métodos GET para explorar vulnerabilidades e teve acesso direto a API RESTful. Assim, João fez chamadas a métodos POST com sucesso.
Com base no OWASP Top Ten, a vulnerabilidade explorada por João é da categoria:

A

Injection;

B

Broken Access Control;

C

Software and Data Integrity Failures;

D

Vulnerable and Outdated Components;

E

Identification and Authentication Failures

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1925619

Ano: 2022 Banca: CESGRANRIO Órgão: ELETROBRAS-ELETRONUCLEAR Prova: CESGRANRIO - 2022 - ELETROBRAS-ELETRONUCLEAR - Analista de Sistemas - Aplicação e Segurança de TIC |

Q1925619 Segurança da Informação

Risco é a possibilidade de alguma coisa adversa acontecer. O processo de gerenciamento de risco se resume em determinar controles de segurança que reduzam os riscos a níveis aceitáveis. O risco residual deve ser aceito e devem ser instituídos controles que garantam o tratamento dos eventuais incidentes de segurança.
O documento do NIST (National Institute of Standards and Technology) que provê um guia para o tratamento de incidentes de segurança de computadores de forma eficiente e efetiva é o

A

SP-800-12

B

SP-800-30

C

SP-800-34

D

SP-800-42

E

SP-800-61

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1924907

Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV - 2022 - TJ-DFT - Analista Judiciário - Segurança da Informação |

Q1924907 Segurança da Informação

Um novo sistema operacional foi instalado nos servidores de um Centro de Dados, e a equipe de segurança recebeu a informação de que o novo sistema pode ter uma vulnerabilidade dia-zero. As vulnerabilidades dia-zero são perigosas porque são desconhecidas e suas correções ainda não foram produzidas. Durante o período de espera pela correção, os usuários ficam sujeitos às tentativas de explorações dessas vulnerabilidades pelos hackers. Uma das formas utilizadas pelos hackers para a descoberta das vulnerabilidades dia-zero é o fuzzing, cujo processo de funcionamento consiste em:

A

inserir muitos dados em intervalos diferentes e verificar como um programa responde;

B

adaptar vulnerabilidades anteriores a novos programas;

C

roubar a identidade de um desenvolvedor para ter acesso ao código-fonte do programa;

D

confundir um roteador a fim de se passar por um ativo da rede;

E

enviar um código malicioso através de uma porta aberta na aplicação.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1924537

Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da Fazenda Estadual - Manhã |

Q1924537 Segurança da Informação

Ao analisar uma aplicação web, um auditor verificou que ela estava vulnerável a um ataque conhecido como SSRF, uma das vulnerabilidades Top Ten 2021 do OWASP.
Caso um invasor consiga explorar tal vulnerabilidade, ele poderá

A

ler os conteúdos dos cookies que um navegador armazenou relativos a um dado domínio.

B

executar scripts no navegador da vítima, podendo inclusive realizar um sequestro de sessão do usuário.

C

injetar dados maliciosos no banco de dados da aplicação.

D

realizar requisições não autorizadas a outras localidades por meio do lado servidor dessa aplicação web vulnerável.

E

realizar uma desfiguração em qualquer página da aplicação web vulnerável.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1924534

Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da Fazenda Estadual - Manhã |

Q1924534 Segurança da Informação

Um atacante utilizou um motor de buscas para detectar um website com componentes vulneráveis. Ele verificou que a aplicação dinamicamente incluía scripts externos, e assim conseguiu fazer o upload de um script malicioso hospedado em um site controlado pelo atacante.
Esse comprometimento permitiu a alteração e remoção de páginas, bem como o sequestro do servidor para ser utilizado como um bot de DDoS. Por fim, dados foram afetados, com roubo de senhas e informações.

A primeira vulnerabilidade explorada, que permitiu todos esses ataques, foi

A

xss.

B

remote file inclusion.

C

defacement.

D

ransomware.

E

xsrf.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1924533

Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da Fazenda Estadual - Manhã |

Q1924533 Segurança da Informação

Em relação ao conceito de ameaças, vulnerabilidades e impactos, analise as afirmativas a seguir.

I. O vazamento de dados sensíveis e sigilosos pode causar um grande impacto à imagem de uma empresa.
II. Ameaças podem ser identificadas e até mesmo eliminadas se forem adotados os controles e medidas de proteção adequadas.
III. Espionagem industrial é uma vulnerabilidade permanente para determinados segmentos de negócios.

Está correto o que se afirma em

A

I, apenas.

B

II, apenas.

C

III, apenas.

D

I e II, apenas.

E

I e III, apenas.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1924531

Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da Fazenda Estadual - Manhã |

Q1924531 Segurança da Informação

Em aplicações Web, a vulnerabilidade denominada CSRF (cross site request forgery) ocorre quando solicitações não autorizadas a um website são enviadas a partir de um equipamento onde existe uma sessão ativa em que o website confia.
Uma forma de se proteger desse ataque é a(o)

A

desativação do recurso HSTS.

B

uso de cabeçalho X-Csrf-Protection nas requisições GET.

C

uso do atributo httponly nos cookies utilizados.

D

uso de tokens anti-csrf pela aplicação.

E

garantia que os cookies não serão enviados em texto claro na rede.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1915515

Ano: 2021 Banca: UFES Órgão: UFES Prova: UFES - 2021 - UFES - Analista de Tecnologia da Informação |

Q1915515 Segurança da Informação

As definições a seguir são explicadas na família de normas da série ISO 27000. O objetivo dessas normas é criar um entendimento comum sobre termos e definições e evitar confusões quanto a eles. Nesse contexto, é INCORRETO afirmar que

A

a confidencialidade, também chamada de exclusividade, se refere aos limites em termos de quem pode obter que tipo de informação.

B

a integridade se refere a ser correto e consistente com o estado ou a informação pretendida.

C

uma vulnerabilidade é uma virtude que um ativo ou grupo de ativos possui e que pode ser explorada por uma ou mais ameaças.

D

um risco é a probabilidade de um agente ameaçador tirar vantagem de uma vulnerabilidade e gerar impacto nos negócios.

E

uma ameaça é uma potencial causa de um incidente não desejado, que pode resultar em prejuízo ao sistema ou à organização.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1907218

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: FUB Prova: CESPE / CEBRASPE - 2022 - FUB - Técnico de Tecnologia da Informação |

Q1907218 Segurança da Informação

Julgue o item subsecutivo, relativo a gerenciamento de riscos de TI.

A avaliação de riscos envolve a comparação dos resultados da análise de riscos frente aos critérios de riscos estabelecidos para determinar onde é necessária ação adicional.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1907217

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: FUB Prova: CESPE / CEBRASPE - 2022 - FUB - Técnico de Tecnologia da Informação |

Q1907217 Segurança da Informação

Julgue o item subsecutivo, relativo a gerenciamento de riscos de TI.

O propósito da identificação de riscos é compreender a natureza do risco e suas características, e envolve a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários, controles e a eficácia da identificação.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1902857

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2022 - TCE-RJ - Analista de Controle Externo |

Q1902857 Segurança da Informação

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.

Caso uma aplicação permita que comandos SQL sejam digitados nos inputs de seus formulários e concatenados diretamente nos comandos SQL da própria aplicação, sem que seja realizada uma validação ou tratamento antecedente, certamente essa aplicação estará vulnerável ao ataque conhecido como SQL Injection.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1902856

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2022 - TCE-RJ - Analista de Controle Externo |

Q1902856 Segurança da Informação

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.

Classificação de Risco para o Top 10 é uma metodologia baseada na OWASP Risk Rating Methodology e consiste em estimar, para cada categoria do Top 10, o risco peculiar que cada falha introduz em uma aplicação web típica e, posteriormente, ordenar o Top 10 de acordo com as falhas que tipicamente introduzem o risco mais significativo para uma aplicação.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1902855

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2022 - TCE-RJ - Analista de Controle Externo |

Q1902855 Segurança da Informação

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.

As ferramentas de spidering são usadas na exploração de falhas e têm como finalidade catalogar solicitações HTTP/S enviadas a partir do navegador e respostas geradas pela aplicação web.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q1902854

Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2022 - TCE-RJ - Analista de Controle Externo |

Q1902854 Segurança da Informação

Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.

O tipo de ataque em que o atacante explora a relação de confiança que um sítio possui com o navegador que o acessa é conhecido como CSRF (cross-site request forgery).

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Quer um estudo ilimitado?

Quer um estudo ilimitado?

Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 568 questões