Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 568 questões
Analise as proposições abaixo sobre avaliação de riscos de Segurança da Informação:
I. Um risco é uma fraqueza em um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
II. Uma vulnerabilidade é a causa potencial de um incidente indesejável, que pode resultar em dano para um sistema ou organização.
III. Uma ameaça é qualquer evento que pode atrapalhar ou impedir um ativo de prover níveis adequados dos serviços de segurança fundamentais.
IV. As fontes de ameaças naturais clássicas são denominadas casos de força maior e incluem danos causados por fogo, inundação, tempestade, terremoto e outros eventos naturais.
Assinale a alternativa CORRETA:
No desenvolvimento dos critérios básicos para a avaliação, o impacto e a aceitação de riscos consideram, entre outros itens, o valor estratégico do processo, a criticidade dos ativos de informação, a perda de oportunidades e os danos à reputação.
De acordo com a ABNT NBR ISO/IEC 27005:2011, o desenvolvimento desses critérios básicos no processo de gestão de riscos de segurança da informação, é realizado
Considere que um Técnico participa da equipe de Gerenciamento de Riscos da empresa. Na etapa de identificação de ameaças/riscos dois grandes grupos foram definidos, nos quais 8 grandes riscos foram identificados:
Grupo 1: Reservação de Água
1. ..I....
2. Insuficiência de reservação
3. Falha dos equipamentos e instalações operacionais
4. ..II....
Grupo 2: Operação do Sistema de Distribuição
5. Comprometimento da qualidade da água distribuída
6. .. III..
7. Falha dos equipamentos e instalações operacionais
8. Indisponibilidade de energia elétrica
Com base no exposto acima, é correto afirmar que
Julgue o próximo item, a respeito da segurança da informação.
A análise de vulnerabilidades considera potenciais
vulnerabilidades ocasionadas por falhas humanas e por erros
de configuração.
Considere a situação abaixo.
O departamento de TI ficou responsável por entregar um software de Folha de Pagamento em 10/08/2018 que depende dos requisitos que serão coletados no departamento de Recursos Humanos (RH). Considerando o intenso volume de trabalho, o RH pode ou não ter pessoas necessárias para fornecer as informações (requisitos) para o desenvolvimento do software. As incertezas relacionadas ao fornecimento de informações mostram que o departamento de RH pode não fornecer as informações necessárias a tempo para o desenvolvimento e entrega do software.
Considerando que uma declaração de riscos deve incluir, entre outras informações o evento de risco, causas e impactos nos objetivos, é correto afirmar que, a partir da situação descrita o evento de risco é:
Acerca de TomCat, desenvolvimento seguro de software, refactoring e integração contínua, julgue o próximo item.
No OWASP ZAP, o active scan pode ser utilizado para
varrer vulnerabilidades como quebra de controle de acesso a
aplicações web.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
A fim de mitigar riscos à segurança computacional, as
infraestruturas críticas devem ser protegidas por meio de um
processo de desenvolvimento em que a arquitetura, o design e
a implementação do software resistam a ataques, para que se
protejam o próprio software e as informações por ele
processadas.
No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.
Situação hipotética: Após a instalação de um plugin do
navegador, um usuário, ao tentar acessar sua conta bancária
online, verificou que a URL do banco tinha sido modificada e
o acesso estava sendo direcionado para outro domínio;
verificou também que arquivos do sistema Windows tinham
sido modificados. Assertiva: Essa situação ilustra um
problema que pode ser resolvido alterando-se a segurança do
navegador para máxima, sem a necessidade de atualização do
antivírus.
No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.
No ambiente Windows 10, a opção de atualização automática
não está disponível para o Edge, então, para que o navegador
seja atualizado, é necessário solicitação do administrador de
redes.
Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue o item a seguir.
Os fuzzers black-box de aplicações web, por questão de
segurança, não permitem requisições que mostrem os valores
de resposta na URL, o que impede a avaliação das respostas
retornadas pelo servidor por meio de expressões regulares ou
de funções hash, sem o conhecimento prévio dos valores da
resposta.
Acerca de testes de penetração, julgue o item seguinte.
Na análise de vulnerabilidades, uma das fases da execução do
teste de penetração de acordo com o PTES (Penetration
Testing Execution Standard), a varredura de porta é uma
técnica que ajuda a obter uma visão geral básica do que pode
estar disponível na rede de destino ou no host; na exploração,
outra fase da execução de tal teste, o fuzzing visa recriar um
protocolo ou aplicativo e enviar dados no aplicativo com o
intuito de identificar uma vulnerabilidade.
Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.
I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.
II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.
Tendo como referência a situação hipotética apresentada, julgue o item que se segue.
O requisito I é uma descrição do teste de penetração do tipo
black-box, que pode ser realizado com ferramentas de
descoberta de vulnerabilidade para a obtenção das informações
iniciais sobre o sistema e a organização de fontes públicas.
Acerca das ameaças persistentes avançadas (APT), vulnerabilidades zero day e engenharia social, julgue o item a seguir.
O uso de engenharia social e o envio de mensagens contendo
links para websites hospedeiros de código malicioso a fim de
explorar vulnerabilidades zero day para pessoas
cuidadosamente selecionadas e conectadas a redes corporativas
são maneiras comuns de iniciar ataques de APT.
Conheça nossos planos