Questões de Concurso Sobre sistemas de prevenção-detecção de intrusão em segurança da informação

No Snort regras são simples e escritas de forma direta. No entanto, são poderosas o suficiente para detectar uma ampla variedade de tráfego suspeito. Sobre a regra Snort apresentada a seguir, assinale a afirmativa correta.
alert tcp $EXTERNAL_NET any -> $HOME_NET any\ (msg:“SCAN SYN FIN” flags: SF, 12;\ reference: arachnids, 198; classtype: attemp;) 

Com relação aos sistemas de detecção de intrusão (IDS), assinale a alternativa correta. 

O correto posicionamento dos dispositivos de segurança na infraestrutura da rede é fundamental para detectar e mitigar ataques. Sobre esse tema, considere as seguintes asserções e a relação proposta entre elas.

I. Um IDS é posicionado em linha com o tráfego e no perímetro da rede, fazendo com que o tráfego, obrigatoriamente, passe por ele
PORQUE
II. o próprio IDS deve bloquear ou permitir o tráfego que passe por ele.

A respeito dessas asserções, é correto afirmar que

A proteção de segurança de rede computacional de determinado tribunal é composta por firewall de aplicação Web (WAF), sistema de detecção e prevenção de intrusão (IDS/IPS), firewall e listas de acessos (ACL) utilizadas em switchs e roteadores. Um atacante conseguiu, a partir da Internet, ultrapassar a proteção dessa rede e acessar indevidamente informações restritas. A aplicação web afetada, E-processos, é utilizada para gestão de processos judiciais, sendo acessada tanto pela Internet quanto pela rede interna por diversos perfis de usuários, como servidores, advogados, juízes. A aplicação conta com alguns recursos de segurança, como bloqueio por tentativa de força bruta e protocolo de transferência de hipertexto seguro (HTTPS). Durante a análise do incidente, identificou-se a utilização da técnica de SQL Injection na exploração de uma vulnerabilidade na E-processos, o que permitiu o acesso não autorizado a dados armazenados no servidor de banco de dados.

Nessa situação hipotética, as falhas que podem ser identificadas incluem

São ferramentas utilizadas para analisar o tráfego de rede e podem detectar e/ou prevenir acessos não autorizados, são ferramentas que fazem parte da segurança da informação, proporcionando um aumento na segurança dos dados de uma empresa.

    Certo TRT deseja implementar uma solução de segurança cibernética que combine inteligência artificial, detecção comportamental e algoritmos de aprendizado de máquina para antecipar e prevenir ameaças conhecidas e desconhecidas.
Com base nessa situação hipotética, assinale a opção que indica a solução requerida. 

O IDS (Intrusion Detection System) que cria um perfil de tráfego enquanto observa o tráfego em operação normal e que, então, procura por cadeias de pacote estatisticamente incomuns, por exemplo, uma porcentagem irregular de pacotes ICMP, é o IDS que se baseia em 

Assinale a alternativa que apresenta a principal diferença entre o IDS (Sistema de Detecção de Intrusos) e o IPS (Sistema de Prevenção de Intrusos).

Considere as situações abaixo.
I. Durante um período de tempo, o tráfego na rede do Tribunal foi observado e medido. Em certo dia houve um aumento muito grande no tráfego. O IPS identificou como ataque e realizou bloqueios, prevenindo a expansão de acessos indevidos.
II. Foi identificado o acesso de um colaborador do Tribunal, no meio da madrugada, fora do horário de trabalho rotineiro. O IPS bloqueou o acesso dessa pessoa ao sistema e notificou o administrador.
As situações I e II são, correta e respectivamente, exemplos de detecção

Quanto aos Sistemas de Detecção de Intrusão (IDS), analise as afirmativas abaixo e assinale a alternativa correta: I. Com a instalação de um IDS na infraestrutura de TI é totalmente desnecessário, em termos de segurança, a existência de um firewall. II. IDS baseado em assinaturas opera com base em algoritmos estatísticos e depende de um banco de dados que seja constantemente alimentado e atualizado. III. Um IDS baseado em anomalias é o que consegue identificar comportamentos não usuais, ou suspeitos, em uma rede ou host. Das afirmativas:

Uma ferramenta Extended Detection and Response (XDR)

Considere os tipos de testes de penetração (pentest) abaixo a serem realizados no Tribunal.

I. Este teste tem como objetivo realizar uma auditoria de segurança detalhada dos sistemas do Tribunal e fornecer ao pen tester o máximo de detalhes possível. Como resultado, os testes são mais completos porque o pen tester tem pleno conhecimento e acesso ao código-fonte e ao ambiente de desenvolvimento.

II. O agente responsável pelo teste, de forma mal-intencionada, tenta persuadir ou enganar os funcionários do Tribunal a fornecerem informações confidenciais, como nome de usuário, e-mail, senha etc.

III. Neste teste, o pen tester recebe pouca ou nenhuma informação sobre a infraestrutura de TI do Tribunal. O principal benefício é simular um ataque cibernético do mundo real, no qual o pen tester assume o papel de um invasor desinformado.

IV. Neste teste, o pen tester tenta comprometer as barreiras para acessar a infraestrutura, o prédio, os sistemas ou os funcionários do Tribunal. O principal benefício é expor pontos fracos e vulnerabilidades em controles de acesso (fechaduras, barreiras, câmeras ou sensores) para que as falhas possam ser corrigidas rapidamente.

Os testes de I a IV correspondem, correta e respectivamente, a

Considere as ferramentas de:

I. detecção e prevenção de intrusões (IDS e IPS).

II. segurança de terminais, como softwares antivírus.

III. contenção de ataques como o metasploit framework.

IV. análise de logs de segurança e sistemas de gestão de informações e eventos de segurança (SIEM).

Segundo a norma ABNT NBR 27035-3:2021, os eventos de segurança da informação podem ser detectados internamente por uma pessoa ou pelas ferramentas indicadas APENAS em

O sistema de detecção de intrusão (IDS-Intrusion Detection System)