Questões de Segurança da Informação para Concurso
Foram encontradas 9.524 questões
Uma grande empresa que recentemente migrou suas operações para um ambiente de nuvem está preocupada com a integridade, confidencialidade e disponibilidade dos seus dados, especialmente devido a incidentes recentes de segurança que ocorreram em outras organizações do mesmo setor de negócios. Essa empresa utiliza serviços de IaaS (Infrastructure as a Service) e está sob constante ameaça de ataques como modificação de dados, espionagem na rede, phishing, DDoS, ransomware, entre outros. Com isso, a área de segurança digital solicitou uma análise detalhada das possíveis vulnerabilidades e das medidas necessárias para mitigá-las.
A partir da situação hipotética precedente, julgue o seguinte item, em relação à segurança da informação.
Um servidor web de uma empresa de e-commerce foi alvo de um ataque DDoS. Durante o ataque, o servidor começou a apresentar lentidão extrema, tornando-se incapaz de atender às requisições legítimas dos clientes. A equipe de segurança detectou um tráfego anormal proveniente de diversos endereços IP, todos de dispositivos comprometidos em diferentes partes do mundo, que inundavam o servidor com solicitações massivas e simultâneas, visando interromper ou degradar significativamente a disponibilidade do serviço de e-commerce.
Tendo como referência a situação hipotética precedente, julgue
o item a seguir.
Tendo como referência a situação hipotética precedente, julgue o item a seguir.
A técnica utilizada no ataque descrito envolve a modificação
de mensagens para causar um efeito de acesso não
autorizado.
Um servidor web de uma empresa de e-commerce foi alvo de um ataque DDoS. Durante o ataque, o servidor começou a apresentar lentidão extrema, tornando-se incapaz de atender às requisições legítimas dos clientes. A equipe de segurança detectou um tráfego anormal proveniente de diversos endereços IP, todos de dispositivos comprometidos em diferentes partes do mundo, que inundavam o servidor com solicitações massivas e simultâneas, visando interromper ou degradar significativamente a disponibilidade do serviço de e-commerce.
Tendo como referência a situação hipotética precedente, julgue
o item a seguir.
Tendo como referência a situação hipotética precedente, julgue o item a seguir.
Infere-se da situação que o ataque DDoS afeta a
disponibilidade do serviço web da empresa de e-commerce.
Um servidor web de uma empresa de e-commerce foi alvo de um ataque DDoS. Durante o ataque, o servidor começou a apresentar lentidão extrema, tornando-se incapaz de atender às requisições legítimas dos clientes. A equipe de segurança detectou um tráfego anormal proveniente de diversos endereços IP, todos de dispositivos comprometidos em diferentes partes do mundo, que inundavam o servidor com solicitações massivas e simultâneas, visando interromper ou degradar significativamente a disponibilidade do serviço de e-commerce.
Tendo como referência a situação hipotética precedente, julgue
o item a seguir.
Tendo como referência a situação hipotética precedente, julgue o item a seguir.
A principal consequência de um ataque DDoS é a perda de
integralidade dos dados armazenados no servidor atacado.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
A adulteração de URL é a forma mais simples de ataque de
referência insegura a objetos.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
A quebra de autenticação é uma falha no mecanismo de
controle de acesso, permitindo que usuários acessem
recursos ou realizem ações fora de suas permissões; caso
ocorra, o limite para o dano pode ser superior, inclusive, aos
privilégios concedidos ao perfil de usuário da aplicação que
sofreu o ataque.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
O SQL injection e o cross‐site scripting utilizam a
linguagem JavaScript.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
Ao contrário do LDAP injection, em que o invasor pode
inserir ou manipular consultas criadas pela aplicação, no
SQL injection o invasor pode apenas inserir consultas na
aplicação, que são enviadas diretamente para o banco de
dados.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
Cross-site request forgery é um vetor de ataque que faz que
o navegador web execute uma ação indesejada na aplicação
web alvo onde a vítima está logada.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
SQL injection, LDAP injection e XSS (cross‐site scripting)
são ataques do tipo injeção de código que podem ser
explorados por hackers ou criminosos.
Em relação a ameaças e vulnerabilidades em aplicações, julgue o item subsequente.
São exemplos de armazenamento criptográfico inseguro:
imprudência no armazenamento de chaves e utilização de um
hash para proteção de senhas sem o salt.
Em relação aos métodos de autenticação e seus principais protocolos, julgue o próximo item.
O MFA pode utilizar o fator de inerência, conhecido como
autenticação por biometria, por ser uma das opções mais
seguras disponíveis, considerando a sua dificuldade de ser
contornada.
Em relação aos métodos de autenticação e seus principais protocolos, julgue o próximo item.
A especificação do OpenID Connect determina que a
autenticação pode ocorrer, entre outras formas, em fluxo
implícito, no qual tokens são devolvidos diretamente para a
parte confiável, em um URI (Uniform Resource Identifier)
de redirecionamento.
Em relação aos métodos de autenticação e seus principais protocolos, julgue o próximo item.
O OAuth é um protocolo que fornece aos aplicativos a
capacidade de acesso designado seguro por transmitir dados
de autenticação entre consumidores e provedores de
serviços.
Em relação ao framework do NIST e aos controles do CIS, julgue o item que se segue.
No framework do NIST, a função proteção desenvolve e
implementa as atividades adequadas para manter os planos
de resiliência contra um evento de segurança cibernética.
Em relação ao framework do NIST e aos controles do CIS, julgue o item que se segue.
Nos controles CIS, empresas que geralmente armazenam e
processam informações confidenciais de clientes são
classificadas como IG2 ou IG3.
Julgue o item a seguir, que trata de gestão da segurança da informação.
Conforme a NBR ISO/IEC 27001:2022, as ações para
abordar riscos e oportunidades devem conter um
planejamento do sistema de gestão da segurança da
informação.
Julgue o item a seguir, que trata de gestão da segurança da informação.
Na NBR ISO/IEC 27002:2022, no atributo propriedades de
segurança da informação incluem-se as visões de controle
#Confidencialidade, #Integridade, #Disponibilidade e
#Autenticidade.
Julgue o item a seguir, que trata de gestão da segurança da informação.
Segundo a NBR ISO/IEC 27002:2022, são dois os tipos de
controle nas políticas de segurança da informação:
#Preventivo e #Corretivo.
Acerca de conceitos relativos à segurança da informação, julgue o item a seguir.
A criptografia ajuda a determinar se os dados obtidos são
provenientes de uma fonte confiável e não foram alterados
durante a transmissão, obedecendo, assim, ao princípio da
confidencialidade.
Conheça nossos planos