Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q876667 Segurança da Informação

Acerca do desenvolvimento seguro de software, julgue o item seguinte.


A fim de mitigar riscos à segurança computacional, as infraestruturas críticas devem ser protegidas por meio de um processo de desenvolvimento em que a arquitetura, o design e a implementação do software resistam a ataques, para que se protejam o próprio software e as informações por ele processadas.

Alternativas
Q874788 Segurança da Informação

No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.


Situação hipotética: Após a instalação de um plugin do navegador, um usuário, ao tentar acessar sua conta bancária online, verificou que a URL do banco tinha sido modificada e o acesso estava sendo direcionado para outro domínio; verificou também que arquivos do sistema Windows tinham sido modificados. Assertiva: Essa situação ilustra um problema que pode ser resolvido alterando-se a segurança do navegador para máxima, sem a necessidade de atualização do antivírus.

Alternativas
Q874787 Segurança da Informação

No que se refere à vulnerabilidade em navegadores web, julgue o seguinte item.


No ambiente Windows 10, a opção de atualização automática não está disponível para o Edge, então, para que o navegador seja atualizado, é necessário solicitação do administrador de redes.

Alternativas
Q874780 Segurança da Informação

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue o item a seguir.


Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.

Alternativas
Q874775 Segurança da Informação

Acerca de testes de penetração, julgue o item seguinte.


Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.

Alternativas
Q874772 Segurança da Informação

      Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.


I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.


O requisito I é uma descrição do teste de penetração do tipo black-box, que pode ser realizado com ferramentas de descoberta de vulnerabilidade para a obtenção das informações iniciais sobre o sistema e a organização de fontes públicas.

Alternativas
Q874764 Segurança da Informação

Acerca das ameaças persistentes avançadas (APT), vulnerabilidades zero day e engenharia social, julgue o item a seguir.


O uso de engenharia social e o envio de mensagens contendo links para websites hospedeiros de código malicioso a fim de explorar vulnerabilidades zero day para pessoas cuidadosamente selecionadas e conectadas a redes corporativas são maneiras comuns de iniciar ataques de APT.

Alternativas
Q872181 Segurança da Informação

Julgue o item seguinte, relativo a mecanismo de segurança em um ambiente computacional.


A análise de riscos define os direitos e as responsabilidades de cada usuário em relação à segurança dos recursos computacionais que utiliza e às penalidades às quais cada um deles está sujeito.

Alternativas
Ano: 2017 Banca: CESPE / CEBRASPE Órgão: STM
Q1229135 Segurança da Informação
Julgue o item seguinte, relativos a mecanismos de segurança em um ambiente computacional.
A análise de riscos define os direitos e as responsabilidades de cada usuário em relação à segurança dos recursos computacionais que utiliza e às penalidades às quais cada um deles está sujeito.
Alternativas
Ano: 2017 Banca: CESPE / CEBRASPE Órgão: ABIN
Q1199432 Segurança da Informação
Julgue os itens seguintes, a respeito da análise de artefatos maliciosos
 Tendo como referência os códigos I e II a seguir, é correto afirmar que, no código I, foi realizada obfuscação, ou ofuscação, que tem, entre outros objetivos, o de tornar o código mais difícil de ser lido mediante a utilização de técnicas como mudar nomes de variáveis.
código I      public ExampleUI()      {          this.InitializeComponent();             this.displayText.Text = new ClassX("Some          Text").get_DisplayText();      }   código II   public A()    {        this.A();        this.a.Text = new A.A("Some Text").A();    }
Alternativas
Q870904 Segurança da Informação
Em divulgação recente, a Microsoft listou sete pilares da segurança da informação. Sobre isso, analise as afirmações abaixo:
I. A computação na nuvem possibilita operações seguras, e as configurações são feitas pelo provedor, havendo menos exposição aos riscos. II. Traçar um panorama dos riscos gera certeza na hora de avaliar possíveis otimizações do sistema. III. Uma infraestrutura segura considera um design geral da solução, sem deixar de prestar atenção à proteção dos dados.
Assinale a alternativa INCORRETA.
Alternativas
Q855594 Segurança da Informação
Os princípios da segurança da informação são baseados em três pilares: disponibilidade, integridade e confidencialidade. Dentro de uma infraestrutura de TI, sete domínios são importantes, pois os pilares da segurança da informação desempenham papéis de extrema importância na organização. Cada um desses domínios possui papéis e tarefas, responsabilidades e responsabilização. Um deles é o domínio do usuário, pois define as pessoas que acessam um sistema de informação de uma organização. Assinale a alternativa que apresenta risco, ameaça ou vulnerabilidade pertencente ao domínio do usuário.
Alternativas
Q854142 Segurança da Informação
O método Mosler é muito utilizado para análise e avaliação de riscos organizacionais. Na fase de Análise de Riscos, o método realiza a análise com base em 6 critérios, cada qual usando uma escala de 1 a 5, que reflete a sua gravidade. O critério da
Alternativas
Q854140 Segurança da Informação

Considere, por hipótese, que em um Tribunal foram detectados os seguintes problemas praticados por funcionários no exercício de suas funções:


− uma nota fiscal foi contabilizada no sistema e, posteriormente, o mesmo emitiu uma nota de empenho para receber o valor correspondente no setor financeiro.

− um processo licitatório e de compras fictícias foi inserido pelo funcionário nos respectivos sistemas de compras e de almoxarifado.

− um documento falso foi inserido no sistema e, posteriormente, o mesmo o liberou para pagamento, em benefício próprio.

− uma nota fiscal foi inserida no sistema e o mesmo funcionário atestou a validade da nota fiscal comprobatória da despesa por ele realizada.


Os problemas detectados

Alternativas
Q854000 Segurança da Informação
Em um programa de Gestão de Riscos, o tratamento de riscos tem como objetivo determinar a resposta mais adequada para modificar a probabilidade ou o impacto de um risco. A opção
Alternativas
Q853998 Segurança da Informação

Considere a tabela abaixo.


Imagem associada para resolução da questão


A tabela apresenta um tipo de matriz de risco que é utilizada como parte de um método de análise de risco para cálculo do Grau de Criticidade-GC. Para calcular o GC devem-se multiplicar os 3 valores dos fatores incidentes ao risco sendo analisado, de acordo com a tabela. De acordo com a resposta do GC, obtém-se um indicador de tratamento de risco:


− GC maior ou igual a 200: correção imediata, risco tem que ser reduzido.

− GC menor que 200 e maior que 85: correção urgente, requer atenção.

− GC menor que 85: risco deve ser monitorado.


Um Analista de Sistemas precisa calcular o GC do risco de ocorrer dano físico no servidor principal do TST por falhas no fornecimento de energia elétrica e no nobreak. A consequência, caso o risco ocorra, implica em prejuízos da ordem de milhões de reais. O TST está exposto a este risco cerca de uma vez ao mês, mas é remota a probabilidade que aconteça de fato.


Com base na situação apresentada, conclui-se que o risco

Alternativas
Q853996 Segurança da Informação

Considere, por hipótese, que no ambiente do Tribunal Superior do Trabalho − TST foram detectados os seguintes problemas:


− Fraudes devido a excesso de privilégios de funcionários.

− Violações ou tentativas de violação de dados sensíveis por funcionários com diferentes perfis de acesso.

− Funcionários com elevado número de transações em sistemas, acima de 5 mil por mês.


A equipe de analistas do TST, frente a estes problemas, ponderou que algo deveria ser feito para que houvesse o mapeamento e redução de riscos em acessos elevados, com diminuição de conflitos de privilégios e implementação de políticas de prevenção de fraudes e proteção de informações sensíveis.


Para chegar ao resultado desejado, um Analista de Sistemas propôs que

Alternativas
Q851375 Segurança da Informação

No que se refere à segurança de aplicações Web, relacione a coluna da esquerda, que apresenta os nomes das vulnerabilidades mais encontradas nessas aplicações, com a coluna da direita, que apresenta as descrições dessas vulnerabilidades.


1. Cross Site Scripting (XSS)

2. Falha de Injeção de Código

3. Execução Maliciosa de Arquivo

4. Cross Site Request Forgery (CSRF)


( ) Ocorre quando o navegador no qual a vítima está autenticada é forçado a enviar uma requisição para uma aplicação Web vulnerável, que realiza a ação desejada em nome da vítima.

Exemplo em HTML:

<img src=”http://www.exemplo.com.br/logout.php”>

( ) Acontece quando os dados que o usuário fornece de entrada são enviados como parte de um comando ou consulta.

Exemplo em PHP e SQL:

$sql = “SELECT * FROM t1 WHERE id = ‘”

. $_REQUEST[‘entrada-do-usuario’] . ”’”;

( ) Ocorre em quaisquer aplicações que recebam dados originados do usuário e os enviem ao navegador sem primeiramente validar ou codificar aquele conteúdo.

Exemplo em PHP:

echo $_REQUEST[ ‘entrada-do-usuario’];

( ) Ocorre em aplicações que utilizam, diretamente ou por concatenação, entradas potencialmente hostis tanto em funções de arquivo quanto em stream.

Exemplo em PHP:

include $_REQUEST[‘entrada-do-usuario’];


Marque a alternativa que relaciona CORRETAMENTE as descrições da coluna da direita com os nomes da coluna da esquerda:

Alternativas
Ano: 2017 Banca: FCC Órgão: DPE-RS Prova: FCC - 2017 - DPE-RS - Técnico - Informática |
Q841087 Segurança da Informação

Ao participar de um seminário de segurança cibernética, um Técnico ficou ciente que a indústria de segurança está trabalhando na popularização dos filtros de tráfego para aplicações em nuvem, incluindo serviços de segurança para aplicações web no modelo SaaS, com uma oferta cada vez mais variada e de custo acessível. Estes dispositivos são posicionados em situações estratégicas das redes locais e da nuvem, sendo capazes de detectar pequenas ou grandes anomalias, em relação ao padrão de tráfego, e disparar mecanismos de alerta, proteção ou destravamento de ataques. Um especialista em segurança afirmou que grandes empresas exploradoras da nuvem, como Amazon, Cisco, IBM e provedores de infraestrutura de nuvens públicas ou híbridas de todos os portes estão ajudando a disseminar a adoção deste tipo de dispositivo como forma de mitigação dos riscos nesse ambiente.


O dispositivo mencionado é o

Alternativas
Q839368 Segurança da Informação

Considere os processos abaixo.


Processos do SGSI

− Planejar.

− Executar.

− Verificar.

− Agir.


Processos de GRSI

− Definição do contexto.

− Avaliação de riscos.

− Definição do plano de tratamento do risco.

− Aceitação do risco.

− Implementação do plano de tratamento do risco.

− Monitoramento contínuo e análise crítica de riscos.

− Manter e melhorar o processo de GRSI.


A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação – SGSI e do processo de Gestão de Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de GRSI denominado

Alternativas
Respostas
521: C
522: E
523: E
524: E
525: C
526: C
527: C
528: E
529: E
530: E
531: E
532: A
533: B
534: D
535: C
536: B
537: E
538: D
539: B
540: A