Deseja-se contratar um teste de penetração para avaliar a s...

Próximas questões
Com base no mesmo assunto
Q3883236
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos ,
Ano: 2026 Banca: FGV Órgão: AL-RO Prova: FGV - 2026 - AL-RO - Analista Legislativo (Engenharia Eletrônica e Telecomunicação) |
Q3883236 Segurança da Informação
Deseja-se contratar um teste de penetração para avaliar a segurança de sistemas internos e externos. O contrato exige que o fornecedor siga boas práticas internacionais, como as descritas no PTES (Penetration Testing Execution Standard) e no OWASP Testing Guide, incluindo documentação completa do escopo, regras de engajamento e limites éticos.
Considerando as etapas típicas de um pentest profissional, assinale a afirmativa correta.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: D

Fundamento decisivo: A questão exige reconhecer a sequência típica do pentest e distinguir pós-exploração de reconhecimento e dos demais modelos de acesso. Como reconhecimento antecede a exploração, white-box e gray-box não significam teste totalmente externo, e a pós-exploração ocorre após a obtenção de acesso, a alternativa compatível com esse núcleo técnico é a D.

Tema central: Etapas do pentest
Análise das alternativas
A
Errada
Está errada porque inverte a ordem típica do pentest. O critério decisivo é que reconhecimento e descoberta de alvos antecedem a exploração; exploração não é a etapa inicial usada para descobrir quais hosts existem na rede.
B
Errada
Está errada porque restringe indevidamente o relatório final. O relatório de pentest não se limita a vulnerabilidades exploradas com sucesso; também pode incluir falhas de configuração, exposições verificadas, riscos derivados e recomendações, desde que haja sustentação técnica.
C
Errada
Está errada porque atribui ao white-box um cenário que corresponde a teste externo sem credenciais. O critério técnico é que white-box pressupõe conhecimento prévio relevante do ambiente, como informações internas, credenciais, arquitetura ou código.
D
Certa
A alternativa D está correta porque descreve atividades típicas de pós-exploração, realizadas depois da obtenção de acesso: elevação de privilégios, movimentação lateral e coleta de evidências. Esse conteúdo está alinhado ao escopo autorizado e às regras de engajamento previstas nas boas práticas citadas no enunciado.
E
Errada
Está errada porque confunde gray-box com ausência total de informações prévias e visão totalmente externa. O critério correto é que gray-box envolve conhecimento parcial ou privilégios limitados, e não zero conhecimento do ambiente.
Pegadinha da questão
A questão explora duas confusões reais: trocar white-box, gray-box e teste externo sem credenciais, e confundir a ordem entre reconhecimento e exploração; também tenta induzir a ideia errada de que só entra no relatório o que foi explorado com sucesso.
Dica para questões semelhantes
  • Em questões sobre pentest, primeiro confira a sequência das fases: reconhecimento vem antes da exploração.
  • Para classificar white-box, gray-box e teste externo, observe o grau de conhecimento prévio e de acesso fornecido ao avaliador.
  • Pós-exploração só existe após o acesso inicial e inclui ações como elevação de privilégios, movimentação lateral e coleta de evidências dentro do escopo autorizado.
  • Ao avaliar afirmações sobre relatório final, descarte as que excluem automaticamente achados tecnicamente evidenciados só porque não houve exploração completa.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A fase de pós-exploração (post-exploitation) ocorre logo após o atacante conseguir o primeiro acesso ao sistema. O objetivo dessa etapa é justamente entender o valor da máquina invadida e o tamanho do impacto que um criminoso real causaria.

As ações descritas estão perfeitamente alinhadas com o PTES:

  • Elevação de privilégios: Sair de um usuário comum para virar Administrador/Root.
  • Movimentação lateral: Usar o acesso conquistado para saltar para outros servidores internos.
  • Coleta de evidências: Demonstrar que dados sensíveis poderiam ser extraídos (gerando prints ou logs para o relatório).
  • Limites éticos: Tudo deve seguir as Regras de Engajamento (Rules of Engagement - RoE) assinadas, garantindo que os testes não derrubem os sistemas de produção da empresa contratante.

  • (A) Incorreta: A ordem está totalmente invertida. O Reconhecimento (coleta de informações) é sempre a primeiríssima fase. A exploração só acontece depois que você mapeou a rede e identificou as vulnerabilidades. Não dá para explorar o que você ainda não sabe que existe.
  • (B) Incorreta: O relatório final deve ser o mais completo possível. Falhas de configuração (como o uso de protocolos antigos ou falta de cabeçalhos de segurança) e riscos derivados devem ser relatados, mesmo que o auditor não tenha criado um exploit funcional para eles. Eles representam brechas que facilitam futuros ataques.
  • (C) Incorreta: O teste de caixa branca (white-box) é o oposto disso. Nele, o auditor recebe total acesso às informações do ambiente, incluindo código-fonte, diagramas de rede, credenciais e documentação. Quem simula um agente externo sem dados é o teste de caixa preta (black-box).
  • (E) Incorreta: A descrição trazida refere-se ao teste black-box. No teste de caixa cinza (gray-box), o auditor recebe informações parciais (por exemplo, um usuário comum de um sistema para testar se ele consegue acessar dados de outros usuários).

Gemini

  • RESUMO SOBRE TERMOS CITADOS E OUTROS RECORRENTES EM ANÁLISE DE VULNERABILIDADES:

 Black Box (Caixa Preta)

O avaliador não recebe informações prévias sobre o ambiente.

Características

Simula um atacante externo.

Não há acesso a credenciais, código-fonte ou documentação interna.

Todas as informações devem ser obtidas por reconhecimento e enumeração.

Vantagens

Representa um ataque realista vindo da Internet.

Avalia a capacidade de detecção e resposta da organização.

Identifica exposição externa.

Desvantagens

Pode não encontrar vulnerabilidades internas importantes.

Exige mais tempo para coleta de informações.

Cobertura geralmente menor.

Exemplo

Uma empresa contrata um pentest de seu portal web e fornece apenas o endereço do site.

Gray Box (Caixa Cinza)

O avaliador recebe informações limitadas sobre o ambiente.

Características

Simula um usuário autenticado ou parceiro de negócios.

Pode receber credenciais de teste.

Possui conhecimento parcial da arquitetura.

Vantagens

Equilibra realismo e eficiência.

Permite avaliar controles de autenticação e autorização.

Costuma apresentar melhor custo-benefício.

Desvantagens

Não reproduz totalmente um atacante externo.

Algumas falhas de exposição externa podem passar despercebidas.

Exemplo

O analista recebe uma conta de usuário comum para avaliar um sistema corporativo.

White Box (Caixa Branca)

O avaliador recebe conhecimento completo do ambiente.

Características

Acesso a documentação técnica.

Diagramas de rede.

Código-fonte.

Credenciais administrativas.

Informações de arquitetura.

Vantagens

Maior profundidade de análise.

Identifica falhas difíceis de encontrar externamente.

Cobertura mais ampla dos ativos.

Desvantagens

Menor realismo em relação a um ataque externo.

Depende da qualidade da documentação fornecida.

Exemplo

Uma instituição financeira disponibiliza código-fonte, diagramas e acesso ao ambiente de homologação para uma avaliação completa.

  • Outras classificações encontradas na prática além das três principais, algumas metodologias utilizam classificações complementares.

Double Blind (Duplo Cego)

Nem a equipe de segurança nem a equipe operacional sabem quando o teste ocorrerá.

Objetivo:

Avaliar capacidade de monitoramento.

Testar resposta a incidentes.

Simular um ataque real.

Blind Test

O pentester possui poucas informações e a organização sabe que o teste está ocorrendo.

Objetivo:

Simular um invasor externo.

Reduzir o viés da equipe de defesa.

Purple Team

Não é exatamente uma "caixa", mas uma abordagem colaborativa.

Combina:

Equipe ofensiva (Red Team)

Equipe defensiva (Blue Team)

Objetivo:

Melhorar detecção e resposta.

Corrigir vulnerabilidades durante os exercícios.

GABARITO LETRA D

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas