Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
O Top Ten da OWASP serve como guia para desenvolvedores e profissionais de segurança focarem nos riscos que causam maior impacto às aplicações web. Analise as afirmativas a seguir:
I. A vulnerabilidade de Injeção ocorre quando entradas de dados não validadas são processadas por interpretadores, permitindo a execução de consultas ou comandos maliciosos.
II. Falhas no controle de acesso permitem que usuários acessem recursos fora de suas permissões, devendo ser corrigidas pela aplicação rigorosa do princípio do menor privilégio.
III. Falhas de integridade de software referem-se à ausência de cifragem de dados em repouso e são mitigadas pela remoção de todos os logs de auditoria dos servidores de rede.
Está correto o que se afirma em:
Considerando as práticas recomendadas pelas principais normas internacionais, assinale a opção que apresenta ação adequada a ser adotada pela organização no cenário apresentado na situação hipotética precedente.
Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores.
Em ambientes de nuvem pública, a configuração de controles de acesso baseada em princípio de privilégio mínimo no nível dos serviços gerenciados contribui para reduzir superfícies de ataque.
No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue.
Durante o tratamento de um incidente cibernético, a fase de contenção pode incluir o isolamento temporário de ativos afetados, para limitar o impacto do incidente.
No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue.
Em um cenário corporativo no qual o framework NIST CSF é utilizado para organização das funções de segurança, a implementação de inventário e controle de ativos prevista nos CIS controls pode apoiar diretamente a função Identify do framework, já que ambos exigem visibilidade consistente de recursos tecnológicos.
A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente.
A validação de segurança realizada no cliente é suficiente para eliminar os riscos de injeção em aplicações web baseadas em APIs REST, desde que o tráfego esteja protegido por TLS.
Julgue o próximo item, relativo a governança de dados e processamento em nuvem.
A governança de dados está relacionada à prevenção de eventos de risco, incluindo a mitigação da reincidência de incidentes já ocorridos.
Acerca de procedimentos de segurança e da gestão da segurança da informação, julgue o próximo item.
No âmbito da gestão da segurança da informação, a priorização de controles com base em riscos prescinde da definição prévia de objetivos estratégicos de segurança, uma vez que a análise de riscos orienta diretamente a tomada de decisão gerencial.
Julgue o item a seguir, a respeito de governança de TI.
De acordo com o processo de gestão de riscos estabelecido pela norma ISO 31000, a etapa de tratamento de riscos envolve um ciclo iterativo de formulação e seleção de opções para modificar o risco, que pode incluir desde a remoção da fonte do risco até a aceitação do risco residual por meio de uma decisão fundamentada, sendo essencial que essas ações sejam compatíveis com o apetite ao risco da organização conforme preconizado também pelo framework COSO.
Julgue o item a seguir, relativo a SQL Injection e referência insegura a objetos.
Como consequência de exploração de falhas de SQL Injection em aplicações vulneráveis, tem-se situações que resultam em bypass de autenticação e execução remota de comandos.
Julgue o item a seguir, relativo a SQL Injection e referência insegura a objetos.
A referência insegura a objetos (insecure direct object reference) ocorre quando uma aplicação expõe um identificador de objeto interno, mas valida se o usuário autenticado estiver autorizado a acessá-lo.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é
O tratamento de risco decidido pela alta administração do órgão é
Considerando as etapas típicas de um pentest profissional, assinale a afirmativa correta.
À luz da doutrina da segurança executiva e de autoridades, assinale a alternativa que melhor expressa a concepção tecnicamente correta de segurança da informação aplicada à proteção de autoridades.
Assinale a alternativa que melhor expressa a concepção doutrinária mais completa e tecnicamente adequada.