Questões de Segurança da Informação para Concurso

Gilberto trabalha no setor de segurança do Tribunal de Justiça do Amapá (TJAP) e está fazendo a modelagem de possíveis ameaças aos seus sistemas, aplicativos, redes e serviços. Após pesquisar alguns modelos, decidiu realizar a modelagem seguindo o STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). O modelo relaciona as ameaças do acrônimo STRIDE com as propriedades de segurança. Inicialmente, Gilberto trabalhará na propriedade de integridade. 

Logo, dentro do acrônimo STRIDE, a ameaça a ser trabalhada por Gilberto será: 

Ana trabalha na empresa Y em home office. Ao retornar do almoço, ela verificou uma mensagem pop-up com o logo de uma empresa de antivírus informando que sua máquina havia sido invadida e que para resolver o problema deveria clicar na verificação de malware solicitada na mensagem. Ana acabou clicando no local solicitado e a mensagem sumiu. Após alguns dias, Ana notou que seus dados pessoais haviam sido roubados e que compras foram feitas em seu nome. 

Ana entrou em contato com a empresa Y, informando que tinha sofrido um ataque de: 

Davi é o coordenador de TI da empresa X e está efetuando uma prova de conceito (POC) para a computação em nuvem de alguns serviços e informações. Durante esse processo, Davi identificou alguns riscos de segurança que são específicos aos ambientes de nuvem. Dentre eles, há as questões tecnológicas partilhadas, que consistem na entrega dos serviços de forma escalável através da partilha de infraestrutura. Muitas vezes, essa infraestrutura não foi projetada para oferecer o isolamento necessário para uma arquitetura multilocatária.  

Algumas contramedidas que devem ser implementadas por Davi para evitar os riscos da partilha são: 

Walace foi contratado pelo Tribunal de Justiça do Amapá (TJAP) para verificar as configurações no firewall existente. Ele recebeu como reclamação que não se conseguia conectar via SSH nas máquinas que passavam pelo firewall. Outra demanda solicitada foi que o servidor do TJAP não deveria responder a ping, não deixando que ele entre, com o objetivo de evitar o ataque de Flooding. 

De forma a atender à demanda solicitada pelo Tribunal, Walace deverá implementar as regras, respectivamente: 

Amanda trabalha em uma consultoria X e está implementando um NAP (proteção de acesso à rede) em um cliente. O objetivo de Amanda com tal implementação é manter a integridade dos computadores da rede corporativa. 

Para proteger o acesso à rede de forma adequada, deve existir uma infraestrutura de rede que forneça à área de funcionalidade: