Considere os tipos de testes de penetração (pentest) abaixo ...

Próximas questões
Com base no mesmo assunto
Q1968333
Segurança da Informação Firewall em Segurança da Informação , Sistemas de Prevenção-Detecção de Intrusão , Auditoria de Sistemas ,
Ano: 2022 Banca: FCC Órgão: TRT - 23ª REGIÃO (MT) Prova: FCC - 2022 - TRT - 23ª REGIÃO (MT) - Técnico Judiciário - Área Apoio - Tecnologia da Informação |
Q1968333 Segurança da Informação

Considere os tipos de testes de penetração (pentest) abaixo a serem realizados no Tribunal.


I. Este teste tem como objetivo realizar uma auditoria de segurança detalhada dos sistemas do Tribunal e fornecer ao pen tester o máximo de detalhes possível. Como resultado, os testes são mais completos porque o pen tester tem pleno conhecimento e acesso ao código-fonte e ao ambiente de desenvolvimento.

II. O agente responsável pelo teste, de forma mal-intencionada, tenta persuadir ou enganar os funcionários do Tribunal a fornecerem informações confidenciais, como nome de usuário, e-mail, senha etc.

III. Neste teste, o pen tester recebe pouca ou nenhuma informação sobre a infraestrutura de TI do Tribunal. O principal benefício é simular um ataque cibernético do mundo real, no qual o pen tester assume o papel de um invasor desinformado.

IV. Neste teste, o pen tester tenta comprometer as barreiras para acessar a infraestrutura, o prédio, os sistemas ou os funcionários do Tribunal. O principal benefício é expor pontos fracos e vulnerabilidades em controles de acesso (fechaduras, barreiras, câmeras ou sensores) para que as falhas possam ser corrigidas rapidamente.


Os testes de I a IV correspondem, correta e respectivamente, a

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: C - White box – social engineering – black box – physical.

Explicação:

Vamos analisar cada item da questão e entender os conceitos envolvidos para justificar a alternativa correta e apontar os erros nas demais alternativas.

I. White Box Testing: Este tipo de teste permite que o pen tester tenha acesso total ao código-fonte e ao ambiente, possibilitando uma auditoria de segurança detalhada. Portanto, o teste descrito em I é claramente um White Box Testing.

II. Social Engineering: Social engineering refere-se a métodos usados por atacantes para enganar ou persuadir indivíduos a fornecer informações confidenciais. No contexto da questão, o agente tenta obter informações confidenciais dos funcionários do Tribunal, caracterizando um teste de Social Engineering.

III. Black Box Testing: Neste cenário, o pen tester tem pouca ou nenhuma informação sobre a infraestrutura de TI. Isso simula um ataque real em que o invasor é desinformado. Portanto, o teste descrito em III é um Black Box Testing.

IV. Physical Penetration Testing: Este teste avalia a segurança física, tentando comprometer barreiras de acesso à infraestrutura, sistemas ou funcionários. O objetivo é expor vulnerabilidades físicas para que possam ser corrigidas. Portanto, o teste descrito em IV é um Physical Penetration Testing.

Com base na análise acima, a sequência correta de testes é: White Box – Social Engineering – Black Box – Physical, confirmando que a alternativa correta é a Alternativa C.

Análise das alternativas incorretas:

Alternativa A: Black box (I) está incorreto pois foi descrito um cenário de White box. Access control (IV) é vago e não aborda especificamente a natureza física do teste descrito.

Alternativa B: Sensitive information (II) não é o termo correto para descrever a técnica de Social Engineering. Gray box (III) está incorreto pois descreve um teste com conhecimento parcial, não total ausência de informação.

Alternativa D: Gray box (I) está incorreto pois foi descrito um cenário de White box. Web application não se aplica aos testes descritos.

Alternativa E: Sensitive information (II) está incorreto pois deve ser Social Engineering. Wireless não foi mencionado no contexto da questão.

Caso você tenha mais dúvidas ou queira aprofundar algum conceito, estou à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Pentesters são os testes de penetração e há três perspectivas

  1. Blackbox = Quando não há nenhuma informação sobre o alvo. Busca avaliar o principio da obscuridade
  2. Whitebox = Quando há informações sobre o alvo, busca verificar a robustez de configuração dos equipamentos.
  3. Greybox = Tem apenas informações básicas, mas não fazem parte do escopo do alvo.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas