O Princípio do Menor Privilégio (Least Privilege) é
considerado um dos pilares e princípios básicos da
Segurança da Informação. Sobre este princípio, que visa
a contenção de danos e a limitação da superfície de
ataque, considere as afirmativas a seguir. Registre V,
para verdadeiras, e F, para falsas:
(__) A premissa central é que usuários, aplicações e
serviços devem possuir somente os direitos e
permissões estritamente necessários para executar suas
funções essenciais e nenhum privilégio a mais.
(__) Este princípio é efetivo na mitigação de riscos
internos como falhas humanas e ameaças internas, pois
foca apenas em ataques externos ao perímetro de rede.
(__) O Princípio do Menor Privilégio é amplamente
aplicado em sistemas modernos para garantir que contas
de serviço e processos automatizados operem com o
nível mínimo de permissões necessário, elevando
privilégios temporariamente apenas quando for
absolutamente indispensável para a execução de tarefas
específicas.
Assinale a alternativa com a sequência correta:

Question

O Princípio do Menor Privilégio (Least Privilege) é
considerado um dos pilares e princípios básicos da
Segurança da Informação. Sobre este princípio, que visa
 a contenção de danos e a limitação da superfície de
ataque, considere as afirmativas a seguir. Registre V,
para verdadeiras, e F, para falsas:
(__) A premissa central é que usuários, aplicações e
serviços devem possuir somente os direitos e
permissões estritamente necessários para executar suas
funções essenciais e nenhum privilégio a mais.
(__) Este princípio é efetivo na mitigação de riscos
internos como falhas humanas e ameaças internas, pois
foca apenas em ataques externos ao perímetro de rede.
(__) O Princípio do Menor Privilégio é amplamente
aplicado em sistemas modernos para garantir que contas
de serviço e processos automatizados operem com o
nível mínimo de permissões necessário, elevando
privilégios temporariamente apenas quando for
absolutamente indispensável para a execução de tarefas
específicas.
Assinale a alternativa com a sequência correta: Alternativa A: V − V − F. Ou Alternativa B: F − V − F. Ou Alternativa C: V − F − F. Ou Alternativa D: F − F − V. Ou Alternativa E: V − F − V.

Qconcursos · Accepted Answer

Alternativa [E] V − F − V. Gabarito: EFundamento decisivo: A 2ª afirmativa é falsa, porque o princípio não se limita a ataques externos ao perímetro.Tema central: Menor privilégioAnálise das alternativasAErradaIncorreta porque exige que a 2ª afirmativa seja verdadeira. Isso contraria o conceito do princípio, que não atua apenas contra ameaças externas; ele também contém danos decorrentes de erro interno e abuso interno.BErradaIncorreta porque trata a 1ª afirmativa como falsa e a 2ª como verdadeira. A 1ª está correta por expressar exatamente a definição do menor privilégio, e a 2ª está errada por limitar o princípio ao perímetro e a ataques externos.CErradaIncorreta porque marca a 3ª afirmativa como falsa. A descrição de contas de serviço e processos com permissões mínimas, com elevação apenas quando necessária, é compatível com a aplicação do menor privilégio.DErradaIncorreta porque marca a 1ª afirmativa como falsa. Esse é o erro decisivo, já que a 1ª afirmação corresponde à premissa central do princípio: conceder apenas o mínimo necessário.ECertaA alternativa E está correta porque corresponde à sequência V-F-V. A 1ª afirmativa é verdadeira, pois traduz a definição do Princípio do Menor Privilégio: conceder somente os direitos estritamente necessários ao desempenho da função. A 2ª é falsa porque restringe indevidamente o princípio a ataques externos ao perímetro, quando ele também reduz impactos de falhas humanas, uso indevido de credenciais e abuso interno. A 3ª é verdadeira porque descreve aplicação típica do princípio em sistemas modernos: contas de serviço e processos automatizados operando com permissões mínimas, com elevação de privilégio apenas quando indispensável.Pegadinha da questãoA confusão explorada foi tomar o menor privilégio como medida voltada apenas ao invasor externo e ao perímetro de rede, além de induzir o candidato a achar que elevação temporária de privilégio sempre viola o princípio.Dica para questões semelhantesSe a afirmação disser que usuários, aplicações, contas ou processos recebem apenas o mínimo necessário para executar a função, ela está alinhada ao menor privilégio.Se o item limitar o princípio a ataques externos ou ao perímetro de rede, ele contraria o conceito, porque o menor privilégio também reduz danos internos.Aplicação a contas de serviço, serviços e processos automatizados é compatível com o princípio, desde que as permissões sejam mínimas.Elevação temporária de privilégio não nega o princípio quando é estritamente necessária e usada apenas para a tarefa específica.

🚀 Mais performance?

🚀 Mais performance?

O Princípio do Menor Privilégio (Least Privilege) é conside...

Gabarito comentado

Gabarito: E

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas