Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
I. Corrigir as descobertas do teste de invasão.
II. Validar as Medidas de Segurança.
III. Realizar testes de invasão internos periódicos.
Para essas medidas (I, II e III) a função de segurança a ser aplicada, respectivamente, é:
A partir da situação hipotética precedente, julgue os itens que se seguem.
O control flow flattening implementado no firmware pode ser eficientemente revertido por meio de técnicas de análise estática de descompiladores que utilizam algoritmos de reconhecimento de padrões baseados em grafos de fluxo de controle, restaurando o fluxo de execução original sem a necessidade de taint analysis ou execução simbólica.
A segurança da informação é um campo dinâmico que exige uma abordagem contínua para identificar, avaliar e mitigar riscos. Ferramentas e metodologias como scanners de vulnerabilidades, testes de penetração e análise de riscos são empregadas para compreender a postura de segurança de uma organização e priorizar ações de defesa. A eficácia dessas abordagens depende da correta compreensão de suas capacidades e limitações. Acerca do assunto, marque V para as afirmativas verdadeiras e F para as falsas:
(__) Scanners de vulnerabilidades são ferramentas automatizadas projetadas para identificar e relatar falhas de segurança conhecidas em sistemas e aplicações através da comparação de configurações e versões com bases de dados de vulnerabilidades, sem, contudo, validar ativamente a explorabilidade ou o impacto real em um cenário de ataque.
(__) A metodologia de testes de penetração conhecida como "caixa preta" (black-box) é a mais adequada para simular um ataque com conhecimento prévio significativo da infraestrutura interna, permitindo ao pentester agir como um adversário com informações privilegiadas e testar as defesas internas em profundidade.
(__) Uma análise de riscos de segurança da informação prioriza as vulnerabilidades a serem remediadas exclusivamente com base na sua severidade técnica intrínseca, conforme classificada por ferramentas de varredura, desconsiderando fatores como a probabilidade de exploração e o impacto financeiro ou reputacional para o negócio.
(__) A etapa de análise de riscos, que sucede a identificação de vulnerabilidades, é crucial para classificar e priorizar as falhas de segurança com base na probabilidade de ocorrer uma exploração bem-sucedida e no potencial impacto que essa exploração teria sobre os ativos da organização.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
A definição de requisitos de segurança no início do ciclo de vida do software, como preconiza o SDL (Security Development Lifecycle), reduz o custo e o impacto das vulnerabilidades. Analise as afirmações a seguir:
I. A modelagem de ameaças no SDL ocorre antes da codificação e ajuda a identificar vetores de ataque.
II. SDL recomenda que as práticas de segurança sejam implementadas somente após a codificação.
III. O SDL substitui totalmente a necessidade de testes de penetração.
É correto o que se afirma em:
I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro com profissionais de AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade e estabelecer e utilizar uma biblioteca de padrões de projeto seguros.
II. Escrever testes unitários e de integração para validar se todos os fluxos críticos são resistentes ao modelo de ameaça e compilar casos de uso e casos de uso incorreto para cada camada do aplicativo.
III. Unificar os controles de segurança em histórias de usuários e restringir verificações de plausibilidade em cada camada do seu aplicativo (do frontend ao backend) ao time de design e limitar o consumo de recursos computacionais por usuário ou serviço.
Está correto o que se afirma em
Para facilitar o processo de identificação, Mário iniciou seu documento de ativos primários pelo:
Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são:
Para atuar na primeira linha de defesa do SCI, Bruno deve coordenar ações para a definição: