O Princípio do Menor Privilégio (Least Privilege) é
considerado um dos pilares e princípios básicos da
Segurança da Informação. Sobre este princípio, que visa
a contenção de danos e a limitação da superfície de
ataque, considere as afirmativas a seguir. Registre V,
para verdadeiras, e F, para falsas:
(__) A premissa central é que usuários, aplicações e
serviços devem possuir somente os direitos e
permissões estritamente necessários para executar suas
funções essenciais e nenhum privilégio a mais.
(__) Este princípio é efetivo na mitigação de riscos
internos como falhas humanas e ameaças internas, pois
foca apenas em ataques externos ao perímetro de rede.
(__) O Princípio do Menor Privilégio é amplamente
aplicado em sistemas modernos para garantir que contas
de serviço e processos automatizados operem com o
nível mínimo de permissões necessário, elevando
privilégios temporariamente apenas quando for
absolutamente indispensável para a execução de tarefas
específicas.
Assinale a alternativa com a sequência correta:

Question

O Princípio do Menor Privilégio (Least Privilege) é
considerado um dos pilares e princípios básicos da
Segurança da Informação. Sobre este princípio, que visa
 a contenção de danos e a limitação da superfície de
ataque, considere as afirmativas a seguir. Registre V,
para verdadeiras, e F, para falsas:
(__) A premissa central é que usuários, aplicações e
serviços devem possuir somente os direitos e
permissões estritamente necessários para executar suas
funções essenciais e nenhum privilégio a mais.
(__) Este princípio é efetivo na mitigação de riscos
internos como falhas humanas e ameaças internas, pois
foca apenas em ataques externos ao perímetro de rede.
(__) O Princípio do Menor Privilégio é amplamente
aplicado em sistemas modernos para garantir que contas
de serviço e processos automatizados operem com o
nível mínimo de permissões necessário, elevando
privilégios temporariamente apenas quando for
absolutamente indispensável para a execução de tarefas
específicas.
Assinale a alternativa com a sequência correta: Alternativa A: V − V − F. Ou Alternativa B: F − V − F. Ou Alternativa C: V − F − F. Ou Alternativa D: F − F − V. Ou Alternativa E: V − F − V.

Qconcursos · Accepted Answer

Alternativa [E] V − F − V. Gabarito: EFundamento decisivo: A decisão dependia de identificar que o menor privilégio não se limita à defesa externa e admite elevação temporária apenas quando indispensável.Tema central: Menor privilégioAnálise das alternativasAErradaIncorreta porque depende de considerar a 2ª afirmativa verdadeira e a 3ª falsa. Isso contraria o conceito do princípio: a 2ª erra ao restringi-lo a "apenas" ataques externos, e a 3ª descreve uso válido do menor privilégio em serviços, processos e elevação temporária controlada.BErradaIncorreta porque marca a 1ª afirmativa como falsa, embora ela reproduza a definição central do menor privilégio: direitos e permissões apenas na medida necessária para a função. Além disso, também erra ao tratar a 2ª como verdadeira e a 3ª como falsa.CErradaIncorreta porque, embora acerte a 2ª como falsa, erra ao considerar a 3ª falsa. A 3ª está de acordo com o princípio ao aplicar permissões mínimas a contas de serviço e processos automatizados, admitindo elevação de privilégio apenas quando indispensável.DErradaIncorreta porque considera a 1ª afirmativa falsa, mas ela está em conformidade direta com o conceito clássico do menor privilégio. Se a 1ª é verdadeira, essa sequência já fica descartada.ECertaA alternativa E está correta porque corresponde à aplicação do conceito do Princípio do Menor Privilégio. A 1ª afirmativa está certa por enunciar a regra central do princípio: conceder somente os direitos estritamente necessários ao desempenho da função. A 2ª está errada porque o princípio não se limita a ataques externos ao perímetro de rede; ele também reduz impactos de falhas humanas, mau uso, abuso interno e comprometimento de contas ou processos. A 3ª está certa porque descreve aplicação compatível com o princípio em contas de serviço e processos automatizados, com elevação de privilégio apenas de forma temporária e quando estritamente necessária.Pegadinha da questãoA confusão real está na expressão "apenas em ataques externos ao perímetro de rede" na 2ª afirmativa e na tendência de achar a 3ª específica demais; o princípio não é só perimetral e também se aplica a contas de serviço, processos e elevação temporária estritamente necessária.Dica para questões semelhantesSe a afirmação disser que o menor privilégio vale só para ataques externos ou só para defesa perimetral, ela está errada.Se a afirmação reproduzir a ideia de permissões mínimas estritamente necessárias para a função, ela está alinhada ao princípio.O princípio também se aplica a contas não humanas, como serviços e processos automatizados.Elevação temporária de privilégio não viola o princípio quando for excepcional e estritamente necessária para uma tarefa específica.

O Princípio do Menor Privilégio (Least Privilege) é conside...

Gabarito comentado

Gabarito: E

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas