Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 752 questões

Q3026823 Segurança da Informação

Julgue o seguinte item, a respeito de segurança de aplicativos web.  


A análise de vulnerabilidades em aplicações web deve ser realizada apenas durante a fase de desenvolvimento do aplicativo.

Alternativas
Q3026816 Segurança da Informação

No que se refere à segurança da informação, julgue o item subsecutivo.


Referências diretas inseguras a objetos, ou IDOR (insecure direct object reference), são vulnerabilidades resultantes de controle de acesso interrompido em aplicativos da Web. Um tipo de ataque é a passagem de diretório, que é a maneira mais simples de explorar uma vulnerabilidade IDOR, bastando simplesmente alterar o valor de um parâmetro na barra de endereço do navegador.

Alternativas
Q3026814 Segurança da Informação

No que se refere à segurança da informação, julgue o item subsecutivo.


No cross-site scripting refletido (não persistente), a carga útil do invasor deve fazer parte da solicitação enviada ao servidor da Web. Em seguida, é refletida de volta, de maneira que a resposta HTTP inclua a carga útil da solicitação HTTP. Os invasores usam técnicas de engenharia social para induzir a vítima a fazer uma solicitação ao servidor. A carga útil XSS refletida é, então, executada no navegador do usuário.

Alternativas
Q3026809 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, julgue o item subsequente. 


Uma aplicação torna-se vulnerável pelo armazenamento inseguro de dados criptografados quando, por exemplo: dados sensíveis não são cifrados; a criptografia é usada de forma incorreta; o armazenamento das chaves é feito de forma imprudente; ou utiliza-se um hash sem salt para proteger senhas.

Alternativas
Q3026808 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, julgue o item subsequente. 


Para que um ataque de cross-site request forgery funcione em aplicações web, basta que a vítima tenha conectado, em algum momento, sua conta original ao disparar a requisição maliciosa.

Alternativas
Q3015398 Segurança da Informação
Em uma organização, a política de segurança da informação definida pela alta direção, em seu mais alto nível, deve incluir prescrições para a segurança da informação a respeito de requisitos relacionados a
Alternativas
Q3015397 Segurança da Informação
Assinale a opção em que é indicada uma medida apropriada a ser tomada em face da ocorrência de uma não conformidade no sistema de gestão da segurança da informação em uma organização.  
Alternativas
Q3014784 Segurança da Informação
Para que seja possível detectar vulnerabilidades em comunicações cifradas e garantir a conformidade com políticas de segurança da informação de forma mais eficaz, os responsáveis pelos procedimentos de auditoria em uma rede de dados em uma organização de grande porte devem
Alternativas
Q3013664 Segurança da Informação

       Certa empresa de software utiliza pipelines de CI/CD para automatizar a entrega de aplicações. Durante uma auditoria de segurança, identificou-se que as credenciais de acesso aos ambientes de produção estão sendo armazenadas em arquivo .txt nos scripts de automação.


Com base nessa situação hipotética, assinale a opção em que é citada a melhor prática para resolver a vulnerabilidade identificada

Alternativas
Q3011934 Segurança da Informação
No protocolo SYSLOG, os indicadores de nível de severidade representados pelos valores 2 e 7 correspondem, respectivamente, a 
Alternativas
Q3011928 Segurança da Informação
De acordo com a NBR ISO/IEC 22301, a partir dos resultados da análise de impacto nos negócios e da avaliação de riscos, a organização deve realizar a identificação de estratégias de continuidade de negócios que, entre outras ações, 
Alternativas
Q2649888 Segurança da Informação
Na Gestão de Riscos, as organizações identificam, avaliam e priorizam riscos para minimizar o impacto de eventos adversos em seus objetivos e operações. Uma das principais estratégias utilizadas é a “mitigação de riscos”. Neste contexto marque a alternativa que corretamente contém, o que significa “mitigação de riscos”: 
Alternativas
Q2590119 Segurança da Informação

Uma empresa de consultoria de segurança da informação está realizando uma análise de vulnerabilidade em um sistema computacional de um cliente. O objetivo é identificar pontos fracos que poderiam ser explorados por atacantes e recomendar medidas de mitigação. Durante a análise, a equipe de segurança discute os diferentes aspectos e técnicas envolvidas no processo de avaliação de vulnerabilidades. Qual das seguintes afirmações sobre análise de vulnerabilidade em sistemas computacionais está CORRETA?

Alternativas
Q2589930 Segurança da Informação

Uma empresa de tecnologia está preocupada com a segurança de sua infraestrutura de TI e decidiu contratar uma equipe de segurança para realizar testes de penetração (pentests) e avaliações de vulnerabilidade. O objetivo é identificar e corrigir possíveis fraquezas antes que sejam exploradas por atacantes maliciosos. Qual das seguintes opções descreve corretamente a diferença principal entre um teste de penetração (pentest) e uma avaliação de vulnerabilidade?

Alternativas
Q2589877 Segurança da Informação

Em um cenário de teste de penetração, qual é o principal objetivo de uma equipe Red Team?

Alternativas
Q2589875 Segurança da Informação

A implementação de um programa de gestão de vulnerabilidades envolve várias etapas e práticas para garantir a eficácia do processo. Assinale a alternativa que apresenta uma prática recomendada na implementação desse tipo de programa.

Alternativas
Q2589851 Segurança da Informação

O propósito do gerenciamento da segurança da informação é proteger a informação necessária para que a organização conduza o próprio negócio. Acerca dessa disciplina, assinale a alternativa correta.

Alternativas
Q2571461 Segurança da Informação
O Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica publicado pelo NIST provê uma orientação geral para a melhoria da governança de segurança cibernética para organizações que compõem a rede de infraestruturas críticas do país, como geração e distribuição de energia, distribuição de água entre outras.
Esse Guia estabelece níveis de implementação da estrutura de gestão da segurança cibernética, criando uma contextualização geral de como determinada organização trata o risco de segurança cibernética e os seus processos atualmente instalados para o gerenciamento desse risco.
Nesse contexto, é correto afirmar que 
Alternativas
Q2571456 Segurança da Informação
Um servidor de páginas web, Ubuntu Server, publicou na internet um portal de notícias com uma vulnerabilidade. Ela permite que os clientes maliciosos deste servidor tenham acesso a sua estrutura de arquivos e diretórios por meio da manipulação das informações demandadas por uma variável PHP apresentada na URL de acesso desta página web.
Assinale, entre as opções abaixo, aquela que apresenta o tipo de vulnerabilidade presente nesta página web. 
Alternativas
Q2571449 Segurança da Informação
Durante uma auditoria de segurança de uma rede corporativa, foi descoberto que alguns servidores apresentavam vulnerabilidades significativas. Entre os problemas identificados foram relacionados vazamentos de senhas, diversas aplicações com falta de atualizações críticas e contas de ex-funcionários ainda ativas com permissões administrativas.
Com base nessa situação hipotética, considerando os problemas encontrados e as boas práticas de hardening, as seguintes combinações de medidas de segurança são as mais apropriadas para proteger esses servidores e mitigar essas vulnerabilidades: 
Alternativas
Respostas
201: E
202: E
203: C
204: C
205: E
206: A
207: C
208: B
209: D
210: C
211: A
212: C
213: C
214: C
215: A
216: D
217: E
218: C
219: E
220: E