Questões de Concurso Comentadas sobre segurança da informação

Marcia decidiu padronizar o mecanismo de autenticação de suas APIs RESTful e armazenar com segurança as credenciais de usuários e suas respectivas permissões. Para isso, ela deseja utilizar uma ferramenta de código aberto.
A ferramenta que tem por principal finalidade o gerenciamento de identidade e acesso que Marcia deve escolher é

A Norma ABNT NBR ISO/IEC 27002:2013 estabelece que o acesso à informação e às funções dos sistemas de aplicações seja restrito, de acordo com a política de controle de acesso. Nesse sentido, recomenda considerar um conjunto de controles para apoiar os requisitos de restrição de acesso, dentre eles,

Para manter a disponibilidade de uma informação, a estrutura de segurança precisa 

O acesso ao conteúdo de uma informação obtida por pessoas não autorizadas viola o princípio da 

Na norma ISO/IEC 27002, existe um controle cujo escopo é manter a segurança na troca de informações e softwares na organização, de forma interna ou externa, tendo como diretriz de implementação assegurar que o endereçamento e o transporte da mensagem estejam corretos. Essa diretriz de implementação faz parte do controle denominado

São exemplos de autenticação por

A proteção de segurança de rede computacional de determinado tribunal é composta por firewall de aplicação Web (WAF), sistema de detecção e prevenção de intrusão (IDS/IPS), firewall e listas de acessos (ACL) utilizadas em switchs e roteadores. Um atacante conseguiu, a partir da Internet, ultrapassar a proteção dessa rede e acessar indevidamente informações restritas. A aplicação web afetada, E-processos, é utilizada para gestão de processos judiciais, sendo acessada tanto pela Internet quanto pela rede interna por diversos perfis de usuários, como servidores, advogados, juízes. A aplicação conta com alguns recursos de segurança, como bloqueio por tentativa de força bruta e protocolo de transferência de hipertexto seguro (HTTPS). Durante a análise do incidente, identificou-se a utilização da técnica de SQL Injection na exploração de uma vulnerabilidade na E-processos, o que permitiu o acesso não autorizado a dados armazenados no servidor de banco de dados.

Nessa situação hipotética, as falhas que podem ser identificadas incluem

O software malicioso utilizado no ataque mencionado no texto 13A2-I foi um

Atualmente, a prevenção/mitigação mais adequada do software malicioso mencionado no texto 13A2-I consiste 

O sistema de monitoramento de rede de uma organização detectou a utilização total da tabela de endereços de controle de acesso à mídia (MAC) do switch de núcleo do datacenter, o que o deixou temporariamente com a funcionalidade de um hub. A equipe de sustentação e segurança de TIC teve dificuldades para lidar com o ataque, pois eram mais de 1.500 servidores físicos e lógicos, e o swicth core possuía alta densidade, com mais de 200 portas físicas para análise.

O tipo de ataque ocorrido na situação apresentada e a contramedida adequada são, respectivamente,

O Ettercap é uma ferramenta de segurança de rede livre e de código aberto, que funciona colocando a interface de rede em modo promíscuo com o ARP (Address Resolution Protocol), envenenando esse protocolo nas máquinas de destino. Essa ferramenta é utilizada para análise de protocolo de rede e auditoria de segurança, e possui a funcionalidade de um ataque de rede conhecido como 

Um usuário acessou uma página de Internet e verificou que sua navegação foi redirecionada para um sítio falso, por meio de alterações do DNS (Domain Name System).

O exemplo apresentado caracteriza uma situação que envolve um golpe na Internet conhecido como

Uma aplicação web pode ser atacada por meio da exploração de vulnerabilidades, como, por exemplo, quando os dados fornecidos pelos usuários não são validados, filtrados ou mesmo limpos pela aplicação; pela não renovação dos identificadores de sessão após o processo de autenticação ter sido bem-sucedido; pela elevação de privilégios, atuando como usuário sem autenticação, ou como administrador, mas tendo perfil de usuário regular. Aplicações com essas características são vulneráveis à falha de

I injeção;

II quebra de autenticação;

III quebra de controle de acesso.

Assinale a opção correta

O OWASP (Open Web Application Security Project) criou um conjunto de listas de verificação de práticas de programação segura para as diversas etapas ou tarefas do desenvolvimento de software, como a gestão de sessões, com os seguintes itens de verificação:

I não permitir logins persistentes;

II não permitir conexões simultâneas com o mesmo identificador de usuário;

III utilizar apenas pedidos POST para transmitir credenciais de autenticação.

Considerando a gestão de sessões, no desenvolvimento seguro de software, assinale a opção correta.

Para que a gestão de riscos seja realizada com sucesso, é necessário seguir a norma ISO 31000 – Gestão de riscos – Princípios e Diretrizes. Entre as fases descritas no documento, destaca-se aquela na qual é decidido se o risco será reduzido, evitado ou compartilhado com terceiros. Essa fase é denominada

Quando o objetivo for garantir confidencialidade e assinatura digital em uma função de hash com redução da carga de processamento, deve-se usar criptografia

Como política de pessoal, é natural que haja um processo adequado a ser executado no momento em que o funcionário deixa a organização, para garantir que todos os direitos deste sejam revogados e os ativos sob sua custódia sejam devolvidos. Esse processo visa à garantia de

I autenticidade;

II confidencialidade;

III disponibilidade.

Considerando os conceitos de segurança da informação, assinale a opção correta.

Analise as afirmativas abaixo no contexto de teoria de backup, recuperação de desastres e continuidade de negócios.
1. O tempo de recuperação objetivo (RTO) é uma meta de tempo de duração no qual um processo de negócios deve ser restaurado após um desastre ou disrupção de modo a evitar consequências inaceitáveis do ponto de vista do negócio, independente do nível de serviço restabelecido.
2. Quem deve estabelecer o RTO é o dono do processo de negócio, durante a análise de impacto do negócio (BIA).
3. Os locais de backup (sites) podem ser classificados em frios (cold) ou quentes (hot) e inclusive mornos (warm).
Assinale a alternativa que indica todas as afirmativas corretas.

Quantos controles o Anexo A da norma ISO 27001 contém?

São temas válidos, que constam no Anexo A da norma ISO 27001.
1. Segurança de Recursos Humanos
2. Segurança Perimetral e Contra Terceiros
3. Segurança de Operações
4. Gestão de Incidentes de Segurança da Informação
5. Gestão de Problemas de Segurança da Informação
Assinale a alternativa que indica todas as afirmativas corretas.