Questões de Concurso Comentadas para cesgranrio

A estratégia de defesa em profundidade implica a implantação de camadas de segurança independentes. Essa estratégia é amplamente adotada na segurança do perímetro da rede de comunicação de dados, por meio da implantação de componentes de segurança. Um desses componentes opera no nível de aplicação como um intermediário na comunicação entre as aplicações das estações internas e os servidores externos, para proteger a privacidade e aplicar políticas corporativas de restrição de acesso a sítios externos.

Esse componente de segurança é o

O reconhecimento é uma tática adversária que consiste em coletar informação do sistema-alvo de forma ativa ou passiva para auxiliar nas demais fases de um ataque. Uma ferramenta simples e poderosa pode auxiliar as atividades de avaliação de um red team ou de um teste de penetração, realizando investigação e inteligência com fontes abertas (OSINT – Open Source Intelligence) para ajudar na coleta de informações de um domínio, como nomes, e-mails, IP, subdomínios e URL, usando recursos públicos.

Essa ferramenta é a

A engenharia social é uma técnica de manipulação que visa persuadir pessoas a cometerem erros ou burlar políticas de segurança, de forma que o adversário tenha êxito em ações maliciosas que não seriam viáveis sem a participação da vítima. Dentre os métodos mais comuns de engenharia social, existe um que tem como objetivo seguir um membro autorizado da equipe em uma área de acesso restrito e se aproveitar da cortesia social para fazer com que a pessoa segure a porta para o atacante ou para convencer a pessoa de que o atacante também está autorizado a ficar na área de acesso restrito.

Esse método de engenharia social é conhecido como

O código malicioso é aquele programa de computador que tem o potencial de danificar sua vítima, mas nem sempre age dessa forma. Alguns códigos maliciosos optam por furtar dados pessoais, enquanto outros usam recursos de computação da vítima em benefício próprio, sem o conhecimento ou a autorização da vítima. Dentre esses códigos maliciosos, existe uma certa categoria que visa utilizar código Javascript malicioso para furtar dados de cartão de crédito e outras informações preenchidas em páginas de pagamento de web sites de e-Commerce.

Essa categoria de códigos maliciosos é conhecida como

Um atacante presente numa rede local quer realizar um ataque para atuar como man-in-the-middle entre uma estação vítima e o default gateway da rede. Para executar esse ataque, o atacante quer fazer com que a estação da vítima associe o endereço MAC usado pelo atacante ao endereço IP do default gateway da rede. Além disso, quer fazer com que o default gateway da rede associe o endereço MAC usado pelo atacante ao endereço IP da estação da vítima.

Para conseguir realizar essas associações, o atacante deve usar a técnica de

Muitos protocolos de rede possuem vulnerabilidades que, quando exploradas com sucesso por um adversário, causam problemas graves na operação da infraestrutura da rede ou de serviços de rede. Dentre os possíveis ataques aos protocolos de comunicação usados nas redes IP, há um ataque no qual a entidade hostil recebe a mensagem do dispositivo solicitante e consegue responder a essa mensagem antes do servidor DHCP legítimo. Dessa forma, o dispositivo solicitante confirmará o recebimento dos parâmetros de configuração de rede fornecidos pela entidade hostil.

Essa entidade hostil é conhecida como DHCP 

A varredura de porta de comunicação visa fazer uma avaliação em massa do alvo e a identificação de serviços buscando os corredores de entrada mais poderosos. A técnica de varredura de porta TCP explora o 3-way handshake do TCP para determinar se uma porta de comunicação da vítima está aberta ou fechada. Dentre os exemplos de uso dessa técnica, há um que protege o endereço IP do atacante, pois faz uso de um zumbi para fazer a varredura de porta TCP da vítima.

Essa técnica de varredura furtiva de porta TCP é conhecida como varredura TCP

O ataque é um ato intencional no qual um adversário procura evadir serviços de segurança e violar a política de segurança de um sistema. Os ataques passivos são muito difíceis de detectar, pois não envolvem alteração dos dados trafegados na rede. Por outro lado, os ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso.

Dentre os exemplos de ataques, há o ataque de disfarce, cujo objetivo é o de

De acordo com a ABNT NBR ISO 22301:2020, um Sistema de Gestão de Continuidade de Negócios (SGCN) reforça a importância de entender as necessidades da organização e a imprescindibilidade de estabelecimento de uma política e de objetivos para a continuidade dos negócios.

Conforme essa norma, um dos benefícios para a organização, da perspectiva de processos internos, é que um SGCN 

A ABNT NBR ISO/IEC 27035-1:2023 destina-se a complementar outras normas e documentos que fornecem orientação sobre a investigação e preparação para investigar incidentes de segurança da informação. Conforme definido nessa norma, o processo de gestão de incidentes de segurança da informação consiste em cinco fases distintas. Há uma fase na qual pode ocorrer a necessidade de invocar medidas do plano de continuidade de negócios ou do plano de recuperação de desastre para os incidentes que excedam determinados limites organizacionais para as equipes de resposta a incidentes.

Essa fase é a de

Um Sistema de Gestão de Continuidade de Negócios (SGCN) aumenta o nível de resposta e prontidão da organização para continuar operando durante disrupções. A ABNT NBR ISO 22313:2020 define os seis elementos da gestão de continuidade de negócios.

O elemento que fornece o resultado que permite à organização determinar parâmetros apropriados para as suas estratégias e soluções de continuidade de negócios é o de

A ABNT NBR ISO/IEC 27005:2023 é uma norma com orientações para ajudar as organizações na realização de atividades de gestão de riscos de segurança da informação. Essa norma apresenta termos e definições importantes, com o propósito de facilitar a compreensão do documento da norma e de evitar ambiguidades que possam provocar uma interpretação errônea do seu texto.
De acordo com essa norma, vulnerabilidade é a(o)

A ABNT NBR ISO/IEC 29100:2020 estabelece uma estrutura de alto nível para a proteção de dados pessoais (DP) dentro de sistemas de tecnologia da informação e de comunicação (TIC). Essa norma recomenda que a alta direção da organização, envolvida no tratamento de DP, estabeleça uma política de privacidade com base em princípios de privacidade que orientem a sua concepção, o seu desenvolvimento e a sua implementação. Dentre os princípios de privacidade adotados nessa norma, há um que permite que os responsáveis pelos DP questionem a exatidão e a integridade dos DP e que tais DP sejam aperfeiçoados, corrigidos ou removidos, conforme apropriado e possível no contexto específico.

Esse princípio de privacidade é o de 

A Norma ISO/27001:2022 elenca as boas práticas na implantação de um sistema de gestão de segurança da informação (SGSI) para organizações. Essa norma é calcada na estrutura PDCA (Plan, Do, Check, Act) e elenca ações a serem feitas a cada uma das etapas.

Com relação ao ciclo PDCA no contexto da implantação de um SGSI, a estrutura adotada é

O NIST cybersecurity framework (NCF) é um documento que provê organizações com instruções para melhorar o gerenciamento de riscos de segurança cibernética. Uma das sugestões é a representação da maturidade do gerenciamento e da governança de ameaças cibernéticas através de níveis (tiers). Considere que duas organizações, W e Y, utilizam-se do NCF como referência e indicam que estão, respectivamente, nos tiers 3 e 4. As organizações W e Y estão em níveis diferentes de maturidade e, por isso, têm características específicas em alguns aspectos.

Quais são essas características específicas?

Um dos principais desafios dos sistemas informatizados permanentemente conectados é se manter seguro frente às novas ameaças que surgem continuamente. Um recurso importante nesse contexto é o National Vulnerabilities Database (NVD). 
A NVD é uma base de dados que pode ser usada para

Durante muitos séculos, a criptografia era utilizada apenas para proteger a confidencialidade das mensagens. Entretanto, ao final do século XX uma nova forma de criptografia foi criada. Esta, em conjunto com outras técnicas, permite proteger a integridade, a confidencialidade e a autenticidade das informações que são transmitidas. Considere a transmissão de uma mensagem (M) de R para J.

Uma solução de segurança que protege a integridade, a confidencialidade e a autenticidade das informações, durante essa transmissão, é a solução realizada com os seguintes procedimentos de R: 

O tipo de incidente de segurança mais reportado anualmente ao CERT.br é conhecido como SCAN e engloba as notificações de varreduras em redes de computadores (scans).

O fato de este ser o tipo de incidente mais reportado não é incomum, pois a varredura é usualmente a

As divisões categóricas dos códigos maliciosos, também conhecidos como malware, servem para homogeneizar os tipos de tratamento e resposta a essas ameaças. Para implementar um spyware em uma máquina-alvo, o tipo de malware mais indicado para ser usado na infecção é um(a)

Uma rede de restaurantes, atuando em oito bairros de uma cidade, com o início da pandemia de covid-19, optou por adotar inicialmente o delivery por meio de uma empresa que possui aplicativo bastante conhecido e com grande número de clientes e entregadores. Entretanto, ao longo dos meses, a rede percebeu a necessidade de se aproximar dos clientes dos bairros em que atua e das características criadoras de valor, como a qualidade da apresentação dos pratos na entrega. Para tal, construiu um aplicativo de entregas próprio e exclusivo para atender a toda a rede. A decisão de desenvolver um aplicativo próprio, no sentido de aproximar-se novamente dos clientes, em termos de Supply Chain Management, é uma forma de