Questões de Concurso Sobre segurança da informação
Foram encontradas 14.644 questões
No que concerne às rotinas de proteção e segurança, que envolvem conhecimentos relativos a ataques cibernéticos, julgue o item que se segue.
O scareware é um tipo de malware que torna inacessíveis, por meio de criptografia, os dados armazenados no dispositivo, sendo o acesso a eles somente restabelecido após o pagamento do resgate exigido pelo atacante.
No que concerne às rotinas de proteção e segurança, que envolvem conhecimentos relativos a ataques cibernéticos, julgue o item que se segue.
Phishing é o ataque cibernético voltado para captura de dados em backups já gravados e armazenados, e a principal proteção a esse tipo de ataque é a habilitação de criptografia dos dados do backup em nuvem ou mídias físicas.
No que concerne às rotinas de proteção e segurança, que envolvem conhecimentos relativos a ataques cibernéticos, julgue o item que se segue.
Os antivírus de ambiente corporativo, também denominados endpoints, são soluções projetadas para proteger dispositivos como computadores, servidores e smartphones contra vírus que podem corromper ou apagar dados.
No que concerne às rotinas de proteção e segurança, que envolvem conhecimentos relativos a ataques cibernéticos, julgue o item que se segue.
Quando realizado por meio da nuvem (cloud), o backup completo copia apenas as mudanças recentes realizadas nos arquivos, minimizando o uso de recursos enquanto mantém a eficácia na recuperação de dados.
Julgue o próximo item, relativo a Internet, intranet e seus principais navegadores.
Para a partilha de dados entre organizações em ambiente seguro, é mais adequado utilizar a extranet do que a Internet, uma vez que a extranet visa garantir o compartilhamento seguro e privado de dados confidenciais entre organizações, prevenindo acessos indevidos e perdas.
Um programador deseja gerar um JWT em um sistema e transferir para outro com informações do usuário, como por exemplo, uma lista permissões de acesso, sendo importante que o token seja válido nos seguintes cenários:
Cenário 1: Após uma determinada data/hora e até uma determinada hora.
Cenário 2: Após uma determinada data/hora.
Cenário 3: Até uma determinada data/hora.
Considerando as claims temporais definidas pela RFC 7519, assinale a alternativa CORRETA.
Uma equipe de desenvolvedores está desenvolvendo uma API REST em Java (Spring Boot) que possui autenticação JWT, integração com banco relacional e deploy automatizado via CI/CD.
Após a identificação de uma vulnerabilidade de validação de entrada que resultou em SQL Injection em ambiente de homologação, a área de segurança recomendou integrar SAST e DAST no processo de desenvolvimento.
Durante a discussão da equipe, surgiram propostas diferentes sobre como combinar essas ferramentas ao pipeline existente.
Assinale a alternativa CORRETA, que implementa SAST e DAST dentro de um modelo DevSecOps:
Uma equipe de desenvolvedores está convertendo uma aplicação monolítica para uma arquitetura baseada em microsserviços implantada em Kubernetes. Atualmente, os serviços se comunicam livremente dentro do cluster porque estão na mesma rede interna. Um dos desenvolvedores argumenta que, por estarem “dentro da rede corporativa”, não é necessário implementar autenticação mútua entre os serviços, apenas autenticação na API Gateway externa.
Durante uma revisão de segurança, verificou-se que, caso um único pod seja comprometido, um atacante poderia se movimentar lateralmente e acessar outras aplicações internas.
Considerando o modelo Zero Trust, assinale a alternativa que representa a ação CORRETA que a equipe deve implementar para prevenir o risco descrito:
Uma equipe de desenvolvedores é responsável por uma API Node.js utilizada em todas as aplicações da organização. Essa API utiliza diversas dependências do Node Package Manager (NPM), incluindo bibliotecas populares para autenticação e manipulação de dados.
Durante a execução automática da esteira de CI/CD, uma nova versão (minor) de uma dependência amplamente utilizada é instalada automaticamente após um npm install, pois o package.json está configurado com " ^ ". Horas depois, a equipe de segurança cibernética notifica que essa nova versão foi comprometida por um ataque à cadeia de suprimentos, contendo código malicioso que exfiltra variáveis de ambiente.
Sua equipe não possui política formal de versionamento fixo (version pinning) nem processo estruturado de verificação de integridade de dependências para o projeto da API.
A equipe deve adotar medida(s) para prevenir riscos relacionados à cadeia de suprimentos de software.
Assinale a alternativa que representa a decisão MAIS ADERENTE às recomendações da OWASP TOP 10:
I. Na criptografia assimétrica, a confidencialidade é garantida quando o emissor utiliza sua chave privada para criptografar a mensagem, permitindo que apenas o destinatário a decodifique com sua chave pública.
II. A assinatura digital utiliza a criptografia assimétrica para garantir a autenticidade, sendo gerada por meio da chave privada do emissor, e pode ser validada com sua chave pública.
III. A função HASH aplicada a uma mensagem gera um resumo de tamanho fixo, sendo utilizada no pro cesso de assinatura digital para garantir a integridade da informação transmitida.
IV. Na criptografia simétrica, a necessidade de compartilhamento da chave entre emissor e destinatário pode representar uma vulnerabilidade de segurança.
Quantas afirmativas são verdadeiras?