Questões de Provas - Questões de Concursos - Página 16

Q3781116

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781116 Banco de Dados

Um desenvolvedor inicia uma série de comandos DML (Data Manipulation Language) em uma sessão do SGBD.
Ele executou um UPDATE seguido de um DELETE. Após a execução, ele percebeu que o resultado da alteração estava incorreto e decidiu que as modificações feitas na sessão não deviam ser persistidas no banco de dados.
Assinale a opção que indica o comando SQL Transacional que o desenvolvedor deve executar para desfazer todas as modificações realizadas desde o início da transação na sessão atual, e a principal característica que define uma transação em andamento na regra ACID.

A

COMMIT / Durabilidade.

B

CHECKPOINT / Isolamento.

C

SAVEPOINT seguido de ROLLBACK TO SAVEPOINT / Consistência.

D

ROLLBACK / Atomicidade.

E

VACUUM / Integridade.

Incorreta. Gabarito oficial da banca:

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Parabéns! Você acertou!

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Q3781114

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781114 Banco de Dados

A Controladoria possui vários pipelines críticos que transportam dados de regulamentação fiscal. Uma mudança no schema da tabela de origem exigiu alterações no código SQL de transformação e nos metadados associados. A prática de DataOps exige que todas as alterações sejam rastreáveis e que seja possível reverter o pipeline para uma versão anterior de forma atômica.
No contexto do DataOps, assinale a opção que apresenta a combinação de práticas e ferramentas que garante a rastreabilidade de

I. código de transformação (SQL/ETL);
II. alterações no schema do DW; e
III. rollback, coordenação automatizada, em caso de falha de deployment.

A

Utilização de GIT para versionar o código do pipeline; aplicação de ferramentas de Versionamento de Banco de Dados para o schema; e orquestração CI/CD com estratégias de rollback automático.

B

Adoção de um Catálogo de Metadados para registrar o código de transformação; uso do Modelo Star Schema para o versionamento do schema; e restore do ambiente de Data Warehouse em caso de falha.

C

Implementação do Data Fabric e da técnica de Virtualização de Dados para evitar alterações no código de transformação; registro manual do schema no Glossário; e delegação da reversão ao Data Protection Officer.

D

Uso de Kubernetes para orquestrar os containers do pipeline; dependência do Modelo Entity-Relationship para rastrear o schema do DW; e execução de Subconsultas Correlacionadas para validar a transformação dos dados.

E

Aplicação de Self-Service Analytics para validar o código de transformação; utilização de TDD para o versionamento de schema do DW; e dependência de Triggers do SGBD para gerenciar a reversão atômica do deployment.

Incorreta. Gabarito oficial da banca:

Veja como esse erro impacta seu desempenho geral. Ver estatísticas

teste

Parabéns! Você acertou!

Esse acerto melhora seu desempenho! Veja suas estatísticas

teste

Q3781113

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781113 Sistemas de Informação

Em projetos de Business Intelligence (BI) modernos, a tendência é capacitar os usuários de negócio a explorar dados sem depender exclusivamente do time de TI ou de data scientists.
Assinale a opção que indica o conceito de BI que descreve a prática de fornecer ferramentas intuitivas e acesso direto aos dados para que os usuários de negócio possam criar seus próprios relatórios, dashboards e análises ad hoc, independentemente do time de TI.

A

ETL Pipeline.

B

Olap Cube.

C

Data Fabric.

D

Self-Service Analytics.

E

Threat Modeling.

Incorreta. Gabarito oficial da banca:

Salve essa questão em um caderno para revisar depois. Adicionar a um caderno

teste

Parabéns! Você acertou!

Mantenha o ritmo! Salve no caderno para revisar depois. Adicionar a um caderno

teste

Q3781112

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781112 Banco de Dados

Ao usar um serviço gerenciado de Banco de Dados Relacional em Nuvem (ex: AWS RDS ou Azure SQL Database), a arquitetura de Alta Disponibilidade (HA) é essencial para minimizar o downtime em caso de falha de infraestrutura.
Em um SGBD em nuvem configurado para Alta Disponibilidade Multi-AZ/Multi-Region, assinale a opção que indica o mecanismo de replicação e failover que permite a transição rápida para uma réplica em caso de falha da instância primária.

A

O Failover exige a recriação manual da instância e o restore de um snapshot.

B

A replicação de log é feita via File Transfer Protocol (FTP) entre as regiões.

C

A replicação é Assíncrona, mas o failover é instantâneo e sem perda de dados (RPO zero).

D

Apenas o serviço Google Cloud Spanner oferece HA, os demais usam replicação simples.

E

É usado um modelo de replicação Síncrona entre a instância primária e a secundária em outra Zona de Disponibilidade, permitindo um failover automático e rápido (RTO baixo).

Incorreta. Gabarito oficial da banca:

Veja esse conteúdo explicado passo a passo em nossos cursos. Buscar curso

teste

Parabéns! Você acertou!

Mandou bem! Revise esse tema nos nossos cursos. Buscar curso

teste

Q3781111

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781111 Banco de Dados

Uma consulta SQL que realiza múltiplos JOINs e filtros sobre tabelas grandes está apresentando lentidão.
As opções a seguir apresentam estratégias recomendadas para otimização, à exceção de uma. Assinale-a.

A

Normalizar ainda mais as tabelas envolvidas.

B

Utilizar EXPLAIN para verificar o plano de execução.

C

Avaliar estatísticas e atualizá-las com ANALYZE.

D

Criação de índices nos campos usados em JOIN e WHERE.

E

Reescrever a consulta evitando subconsultas desnecessárias.

Incorreta. Gabarito oficial da banca:

Treine mais com um simulado focado no seu concurso. Criar simulado

teste

Parabéns! Você acertou!

Está mandando bem! Treine mais em um simulado completo. Criar simulado

teste

Q3781110

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781110 Banco de Dados

Sobre as características de bancos NoSQL, assinale a afirmativa correta.

A

Bancos orientados a documentos armazenam dados em pares chave/valor simples.

B

Bancos de grafos usam estrutura relacional para representar arestas.

C

Bancos chave/valor suportam transações ACID complexas por padrão.

D

Bancos orientados a documentos permitem consultas estruturadas por atributos aninhados.

E

Bancos de grafos não permitem relacionamentos direcionados.

Incorreta. Gabarito oficial da banca:

Errou um tema comum da banca? Veja o que mais costuma cair no Raio-X. Ver raio-X

teste

Parabéns! Você acertou!

Essa questão segue o padrão da banca! Veja o que mais costuma cair. Ver raio-X

teste

Q3781109

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781109 Banco de Dados

No SQL Server, uma das práticas recomendadas para otimizar o desempenho de consultas complexas, é o uso de índices compostos. Considere a seguinte situação:
Uma tabela de vendas (Vendas) contém as colunas data_venda, id_cliente, valor_total. Deseja-se otimizar a consulta que filtra registros por id_cliente e ordena por data_venda.
Assinale a opção que indica a configuração de índice mais adequada.

A

Índice apenas em valor_total.

B

Índice apenas em data_venda.

C

Índice composto em (data_venda, id_cliente).

D

Índice composto em (id_cliente, data_venda).

E

Índice filtrado em valor_total com condição valor_total > 1000.

Incorreta. Gabarito oficial da banca:

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Parabéns! Você acertou!

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Q3781108

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781108 Governança de TI

Em um contexto de Governança de Dados, o cumprimento da LGPD (Lei Geral de Proteção de Dados) é essencial. O papel de Data Steward é fundamental para garantir a conformidade e a qualidade dos dados.
No que tange à LGPD e à Qualidade de Dados em um ambiente de Data Governance, assinale a opção que indica a principal responsabilidade do Data Steward.

A

Desenvolver a arquitetura de Data Mesh para descentralizar os dados.

B

Configurar os serviços de nuvem para escalabilidade automática.

C

Ser o único responsável pelo desenvolvimento de todos os pipelines ETL.

D

Atuar como o DPO (Data Protection Officer) da empresa, que é um papel legalmente definido e central.

E

Garantir a definição, a qualidade, a integridade e o uso ético/legal dos dados, em seu domínio de responsabilidade.

Incorreta. Gabarito oficial da banca:

Esse erro também aparece no seu Resumão. Veja o que melhorar

teste

Parabéns! Você acertou!

Esse acerto está no seu Resumão. Ver Resumão da semana

teste

Q3781107

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781107 Banco de Dados

Na modelagem de um Data Warehouse para análise de vendas, o arquiteto optou pela modelagem dimensional. A tabela central contém métricas (fato) e é conectada a diversas tabelas de dimensão (tempo, produto, cliente).
Assinale a opção que indica a principal técnica de modelagem dimensional utilizada, em que a tabela central armazena as métricas (o fato), e a desnormalização das tabelas de contexto (dimensões) é intencional para otimizar o desempenho das consultas OLAP.

A

Modelo Entidade-Relacionamento (ER).

B

Modelo de Banco de Dados Hierárquico.

C

Modelo de Rede (Network Model).

D

Modelo Star Schema (Esquema Estrela).

E

Modelo Data Fabric.

Incorreta. Gabarito oficial da banca:

Veja como esse erro impacta seu desempenho geral. Ver estatísticas

teste

Parabéns! Você acertou!

Esse acerto melhora seu desempenho! Veja suas estatísticas

teste

Q3781106

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781106 Segurança da Informação

Sobre as categorias de soluções de proteção, no contexto de segurança em ambientes cloud-native, avalie as afirmativas a seguir.

I. CWPP (Cloud Workload Protection Platform) é responsável pela análise de vulnerabilidades em imagens de contêineres armazenadas em registries e pelo escaneamento de código de infraestrutura (IaC) antes do deployment, não provendo proteção durante a execução (runtime) das workloads.

II. CSPM (Cloud Security Posture Management) identifica e corrige configurações inadequadas de recursos cloud através de avaliação contínua contra benchmarks de segurança e frameworks de compliance, focando em postura de segurança e misconfigurations como buckets públicos, criptografia desabilitada e security groups permissivos.

III. CNAPP (Cloud Native Application Protection Platform) unifica funcionalidades de CSPM e CWPP em uma plataforma única, adicionando capacidades como análise de IaC, segurança de APIs, CIEM (Cloud Infrastructure Entitlement Management) e correlação de eventos através do ciclo de vida completo de aplicações cloud-native.

Está correto o que se afirma em

A

I, apenas.

B

I e II, apenas.

C

I e III, apenas

D

II e III, apenas.

E

I, II e III.

Incorreta. Gabarito oficial da banca:

Salve essa questão em um caderno para revisar depois. Adicionar a um caderno

teste

Parabéns! Você acertou!

Mantenha o ritmo! Salve no caderno para revisar depois. Adicionar a um caderno

teste

Q3781105

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781105 Segurança da Informação

No contexto da segurança de sistemas de Inteligência Artificial, diversas técnicas de ataque e defesa foram desenvolvidas para lidar com vulnerabilidades específicas de modelos de Machine Learning.
Relacione os tipos de ataques e técnicas de segurança em IA apresentados a seguir, às suas respectivas características.

1. Adversarial Evasion Attack 2. Model Poisoning Attack 3. Model Extraction Attack 4. Adversarial Training

( ) Técnica defensiva que consiste em treinar o modelo utilizando exemplos adversariais junto com dados legítimos para aumentar a robustez do sistema contra perturbações maliciosas.

( ) Ataque realizado durante a fase de inferência, no qual entradas são sutilmente modificadas para induzir o modelo a classificações incorretas, mantendo-se imperceptíveis ao usuário humano.

( ) Ataque executado na fase de treinamento, no qual dados maliciosos são injetados no conjunto de dados de treinamento para comprometer o comportamento do modelo resultante.

( ) Ataque que visa replicar a funcionalidade de um modelo proprietário através de consultas sistemáticas, permitindo ao atacante obter uma cópia funcional sem acesso direto aos parâmetros originais.

Assinale a opção que indica a relação correta, segundo a ordem apresentada.

A

1 – 3 – 2 – 4.

B

2 – 4 – 3 – 1.

C

3 – 2 – 4 – 1.

D

4 – 1 – 2 – 3.

E

4 – 3 – 1 – 2.

Incorreta. Gabarito oficial da banca:

Veja esse conteúdo explicado passo a passo em nossos cursos. Buscar curso

teste

Parabéns! Você acertou!

Mandou bem! Revise esse tema nos nossos cursos. Buscar curso

teste

Q3781104

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781104 Segurança da Informação

Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.

A

Desligar imediatamente o servidor comprometido para prevenir danos adicionais, mesmo que cause indisponibilidade do serviço, pois a prioridade absoluta é impedir que o atacante continue acessando o sistema.

B

Manter o servidor em operação normal sem alterações, enquanto realiza monitoramento detalhado das atividades do atacante por 48 horas, coletando evidências extensivas antes de qualquer ação de contenção.

C

Implementar contenção segmentada isolando o servidor da rede por meio de regras de firewall que bloqueiem comunicação lateral mas mantenham o acesso de clientes externos, enquanto inicia investigação forense em memória e preserva evidências, consultando stakeholders sobre janela de manutenção para contenção completa.

D

Executar imediatamente procedimento de reimagem do servidor com backup limpo anterior à data do comprometimento, restaurando o serviço rapidamente, e considerar o incidente resolvido sem necessidade de análise forense detalhada.

E

Notificar imediatamente a ANPD (Autoridade Nacional de Proteção de Dados) e publicar comunicado público sobre o incidente, antes de realizar qualquer ação técnica de contenção, para cumprir requisitos de transparência da LGPD.

Incorreta. Gabarito oficial da banca:

Treine mais com um simulado focado no seu concurso. Criar simulado

teste

Parabéns! Você acertou!

Está mandando bem! Treine mais em um simulado completo. Criar simulado

teste

Q3781103

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781103 Segurança da Informação

No âmbito da ICP-Brasil, certificados digitais podem ser revogados antes do término da validade quando há comprometimento da chave privada.
Nesse contexto, assinale a opção que apresenta o mecanismo usado para verificar o estado de revogação de certificados digitais em tempo real.

A

LCR (Lista de Certificados Revogados)

B

OCSP (Online Certificate Status Protocol)

C

Timestamp Authority.

D

CRL Distribution Point.

E

Certificate Pinning.

Incorreta. Gabarito oficial da banca:

Errou um tema comum da banca? Veja o que mais costuma cair no Raio-X. Ver raio-X

teste

Parabéns! Você acertou!

Essa questão segue o padrão da banca! Veja o que mais costuma cair. Ver raio-X

teste

Q3781102

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781102 Segurança da Informação

Considerando técnicas de testes de segurança em aplicações, analise as afirmativas a seguir.

I. SAST (Static Application Security Testing) pode identificar vulnerabilidades de lógica de negócio e falhas de autorização baseadas em contexto de execução, sendo mais efetivo que DAST para detectar quebras de controle de acesso horizontal (IDOR - Insecure Direct Object Reference).

II. IAST (Interactive Application Security Testing) utiliza instrumentação de código para correlacionar entrada de dados com fluxo de execução em runtime, reduzindo falsos positivos em comparação com SAST puro, mas introduzindo overhead de performance que pode inviabilizar uso em ambientes de produção.

III. Fuzzing (Fuzz Testing) é técnica eficaz para identificar vulnerabilidades de corrupção de memória (buffer overflow, use-after-free) em aplicações compiladas, mas tem limitação em detectar falhas de lógica de negócio que requerem sequências específicas de operações válidas.

IV. DAST (Dynamic Application Security Testing) consegue identificar todas as rotas e endpoints de uma API REST automaticamente por meio de spidering, sem necessidade de documentação OpenAPI/Swagger, sendo mais abrangente em cobertura de código que SAST.

Está correto o que se afirma em

A

I e II, apenas.

B

I e IV, apenas.

C

II e III, apenas.

D

II e IV, apenas.

E

III e IV, apenas.

Incorreta. Gabarito oficial da banca:

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Parabéns! Você acertou!

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Q3781101

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781101 Segurança da Informação

Soluções DLP (Data Loss Prevention) utilizam diferentes métodos para identificar e classificar dados sensíveis que precisam ser protegidos.
Assinale a opção que descreve corretamente o método de classificação de dados por “Exact Data Match” (EDM) em soluções DLP.

A

Utiliza expressões regulares para identificar padrões de dados sensíveis como números de cartão de crédito ou CPF.

B

Aplica algoritmos de machine learning para classificar documentos baseado em conteúdo e contexto semântico.

C

Analisa metadados de arquivos como autor, data de criação e tags para determinar sensibilidade dos dados.

D

Identifica dados sensíveis através de palavras-chave e dicionários personalizados configurados pelo administrador.

E

Cria hashes criptográficos de registros específicos de bancos de dados permitindo identificação sem expor os dados originais.

Incorreta. Gabarito oficial da banca:

Esse erro também aparece no seu Resumão. Veja o que melhorar

teste

Parabéns! Você acertou!

Esse acerto está no seu Resumão. Ver Resumão da semana

teste

Q3781100

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781100 Segurança da Informação

No contexto da segurança de redes e aplicações corporativas, diferentes tipos de ataques requerem medidas de proteção específicas e adequadas às suas características técnicas.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.

( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.

( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.

( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.

Assinale a opção que indica a relação correta na ordem apresentada.

A

1 – 3 – 4 – 2.

B

1 – 4 – 2 – 3.

C

2 – 1 – 3 – 4.

D

3 – 4 – 1 – 2.

E

4 – 3 – 2 – 1.

Incorreta. Gabarito oficial da banca:

Veja como esse erro impacta seu desempenho geral. Ver estatísticas

teste

Parabéns! Você acertou!

Esse acerto melhora seu desempenho! Veja suas estatísticas

teste

Q3781098

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781098 Segurança da Informação

Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:

X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);

Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;

W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;

Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).

Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.

A

X → W → Z → Y.

B

X → Y → Z → W.

C

W → X → Z → Y.

D

Y → X → W → Z.

E

X → Z → Y → W.

Incorreta. Gabarito oficial da banca:

Veja esse conteúdo explicado passo a passo em nossos cursos. Buscar curso

teste

Parabéns! Você acertou!

Mandou bem! Revise esse tema nos nossos cursos. Buscar curso

teste

Q3781097

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781097 Segurança da Informação

Uma aplicação web corporativa está vulnerável aos ataques em que usuários maliciosos conseguem fazer a aplicação executar comandos arbitrários do sistema operacional por meio da manipulação de parâmetros que são passados diretamente para funções de execução de processos no servidor.
Este tipo de vulnerabilidade caracteriza-se como

A

SQL Injection.

B

Path Traversal.

C

Command Injection.

D

Cross-Site Scripting (XSS).

E

XML External Entity (XXE).

Incorreta. Gabarito oficial da banca:

Treine mais com um simulado focado no seu concurso. Criar simulado

teste

Parabéns! Você acertou!

Está mandando bem! Treine mais em um simulado completo. Criar simulado

teste

Q3781096

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781096 Segurança da Informação

Um Security Operations Center (SOC) está operando uma solução SIEM (Security Information and Event Management) que recebe logs de múltiplas fontes:
• Firewall de perímetro (5.000 eventos/segundo); • Proxies web (8.000 eventos/segundo); • Servidores Windows/Linux (3.000 eventos/segundo); • EDR em endpoints (12.000 eventos/segundo); • Cloud AWS/Azure (4.000 eventos/segundo).

O SOC configurou as seguintes regras de correlação:
Regra 1: “Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos” → Gera alerta de severidade MÉDIA.
Regra 2: “Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)” → Gera alerta de severidade ALTA.
Regra 3: “Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64” → Gera alerta de severidade CRÍTICA.
Durante uma janela de 30 minutos, o SIEM detectou:
09:00h: Usuário “joao.silva” - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário “joao.silva” - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário “joao.silva” - Acesso ao diretório “\fileserver\financeiro\confidencial”;
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário “admin.ti” (conta administrativa) a partir do mesmo IP 177.192.20.71.

Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.

A

Apenas o alerta da Regra 1 foi disparado, indicando possível ataque de força bruta. A Regra 2 não foi acionada porque o upload ocorreu 12 minutos após o login, excedendo a janela de correlação típica. Ação recomendada: resetar senha de “joao.silva”, implementar MFA na conta e monitorar por 24h.

B

Os alertas das Regras 1 e 2 foram disparados, caracterizando provável comprometimento de credenciais seguido de exfiltração. Ação recomendada: revogar sessões ativas de “joao.silva”, isolar o endpoint no IP 177.192.20.71, bloquear comunicação com storage.xpto.com, e iniciar investigação forense do fileserver e logs de acesso.

C

Os alertas das Regras 1, 2 e 3 foram disparados em sequência. O login de “admin.ti” às 09:20h do mesmo IP indica elevação de privilégios após o comprometimento inicial. Ação recomendada: desabilitar ambas as contas (“joao.silva” e “admin.ti”), reverter alterações em GPOs, e acionar resposta a incidente nível crítico.

D

Apenas o alerta da Regra 2 foi disparado. A Regra 1 não foi acionada porque os 15 logins falhados distribuídos em 3 sistemas diferentes não caracterizam “múltiplos sistemas” conforme threshold da regra. Ação recomendada: bloquear IP 177.192.20.71 no firewall, quarentenar arquivos acessados e notificar usuário “joao.silva” sobre possível comprometimento.

E

Nenhum alerta foi disparado porque a sequência de eventos, embora suspeita, não atende simultaneamente a todos os critérios de nenhuma das três regras configuradas. Ação recomendada: criar nova regra de correlação que capture este padrão específico de comportamento e manter monitoramento manual do IP 177.192.20.71.

Incorreta. Gabarito oficial da banca:

Errou um tema comum da banca? Veja o que mais costuma cair no Raio-X. Ver raio-X

teste

Parabéns! Você acertou!

Essa questão segue o padrão da banca! Veja o que mais costuma cair. Ver raio-X

teste

Q3781095

Ano: 2025 Banca: FGV Órgão: CGE-SP Prova: FGV - 2025 - CGE-SP - Auditor Estadual de Controle - Tecnologia da Informação - tarde |

Q3781095 Segurança da Informação

Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.

O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).

Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.

A

Implementar todos os 153 safeguards dos três IGs simultaneamente para garantir proteção abrangente, utilizando ferramentas open-source para reduzir custos.

B

Focar exclusivamente nos 6 CIS Controls básicos (1- Inventory of Assets; 2- Inventory of Software; 3- Data Protection; 4- Secure Configuration; 5- Account Management; 6- Access Control Management), implementando todos os safeguards desses controles.

C

Implementar prioritariamente os 56 safeguards do IG1, focando inicialmente nos controles 1 (Inventário de Ativos) e 2 (Inventário de Software) como fundação, depois 4 (Configuração Segura), 5 (Gestão de Contas) e 6 (Controle de Acesso), seguindo a ordem de prioridade recomendada.

D

Começar pelos controles mais avançados do IG3, como Penetration Testing e Red Team Exercises, pois são os que oferecem maior retorno sobre investimento em detecção de vulnerabilidades.

E

Implementar apenas controles relacionados a e-mail (antispam, anti-phishing, DMARC/SPF/DKIM) do IG2, pois e-mail é o maior vetor de ataque, segundo o contexto da organização.

Incorreta. Gabarito oficial da banca:

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

Parabéns! Você acertou!

Compare seu desempenho com quem faz o mesmo concurso. Ver concorrência

teste

🚀 Mais performance?

🚀 Mais performance?

Questões de Concurso

Foram encontradas 11.533 questões

Resolva questões gratuitamente!

, continue estudando de graça!