Questões de Concurso

No contexto da gerência de riscos, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) Vulnerabilidade refere-se a qualquer fraqueza em um sistema que possa ser explorada por uma ameaça para causar dano ou acesso não autorizado, independentemente da intenção da fonte de ameaça.
( ) Uma ameaça precisa ser ativa e intencional para que um risco seja considerado válido; fenômenos naturais ou falhas sistêmicas não são categorizados como ameaças na gerência de riscos.
( ) O risco é considerado irrelevante se a organização possuir um plano de resposta a incidentes, pois a existência do plano elimina a necessidade de avaliação ou mitigação de riscos futuros.

As afirmativas são, respectivamente,

Em um cenário de segurança da informação, uma determinada vulnerabilidade permite que um atacante force um usuário final a executar ações indesejadas em uma aplicação web na qual ele está autenticado.
Isso é feito por meio de solicitações HTTP forjadas vindas de um site controlado pelo atacante. Esta técnica explora a confiança que uma aplicação web tem no usuário, permitindo o ataque sem que o usuário esteja ciente de sua ação.
Esta vulnerabilidade pode ser explorada em diversos contextos, incluindo hardware, software, sistemas operacionais, aplicações, bancos de dados, redes, pessoas e ambientes físicos, uma vez que depende da interação do usuário com uma aplicação web através de um navegador.
Nesse contexto, a vulnerabilidade de segurança descrita é chamada 

As redes sem fio em ambiente corporativo possuem diversas vantagens quando comparadas com a rede cabeada. Por outro lado, o uso de access point torna a rede mais vulnerável a ataques cibernéticos, como, por exemplo, a negação de serviço (DoS).  

O ataque do tipo DoS consiste em: 

A empresa Z criou uma nova aplicação web, mas foi atacada após disponibilizá-la na Internet. A equipe de segurança da empresa Z identificou que a configuração do servidor de aplicações permitia que os detalhes das mensagens de erro fossem retornados aos usuários. Tal fato exibe informações confidenciais ou falhas subjacentes. Para a elaboração do relatório de ataque a ser entregue à empresa Z, a equipe de segurança usou o OWASP. 

Ao verificar o OWASP, a equipe definiu o ataque como pertencente à categoria: 

Gilberto trabalha no setor de segurança do Tribunal de Justiça do Amapá (TJAP) e está fazendo a modelagem de possíveis ameaças aos seus sistemas, aplicativos, redes e serviços. Após pesquisar alguns modelos, decidiu realizar a modelagem seguindo o STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). O modelo relaciona as ameaças do acrônimo STRIDE com as propriedades de segurança. Inicialmente, Gilberto trabalhará na propriedade de integridade. 

Logo, dentro do acrônimo STRIDE, a ameaça a ser trabalhada por Gilberto será: