Questões de Concurso
Foram encontradas 176.814 questões
Resolva questões gratuitamente!
Junte-se a mais de 4 milhões de concurseiros!
X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);
Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;
W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;
Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).
Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.
Este tipo de vulnerabilidade caracteriza-se como
• Firewall de perímetro (5.000 eventos/segundo); • Proxies web (8.000 eventos/segundo); • Servidores Windows/Linux (3.000 eventos/segundo); • EDR em endpoints (12.000 eventos/segundo); • Cloud AWS/Azure (4.000 eventos/segundo).
O SOC configurou as seguintes regras de correlação:
Regra 1: “Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos” → Gera alerta de severidade MÉDIA.
Regra 2: “Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)” → Gera alerta de severidade ALTA.
Regra 3: “Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64” → Gera alerta de severidade CRÍTICA.
Durante uma janela de 30 minutos, o SIEM detectou:
09:00h: Usuário “joao.silva” - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário “joao.silva” - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário “joao.silva” - Acesso ao diretório “\fileserver\financeiro\confidencial”;
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário “admin.ti” (conta administrativa) a partir do mesmo IP 177.192.20.71.
Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.
O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).
Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.
Sobre as tecnologias e os conceitos de monitoramento comportamental, assinale a afirmativa correta.
Interpretando literalmente o termo Zero Trust (confiança zero), José concluiu que isso significava não confiar em absolutamente nada nem ninguém. Ele então:
• Bloqueou todas as comunicações entre sistemas internos por padrão, sem exceções;
• Removeu todos os usuários e grupos do Active Directory que tivesse qualquer tipo de permissão;
• Desativou a VPN e o acesso remoto completamente ("não podemos confiar em ninguém fora do escritório");
• Configurou o firewall para negar todo tráfego de entrada e saída;
• Desabilitou certificados digitais da sociedade empresária ("não podemos confiar nem em nós mesmos");
• Bloqueou o acesso administrativo a todos os servidores, incluindo para a própria equipe de TI.
Após essa implementação, a sociedade empresária ficou completamente paralisada: os sistemas não comunicavam entre si, os usuários não conseguiam acessar nenhum recurso, os e-mails não eram recebidos nem enviados, e a própria equipe de TI ficou impossibilitada de gerenciar a infraestrutura.
A diretoria exigiu correção imediata mantendo princípios de segurança modernos. Para implementar corretamente Arquitetura Zero Trust conforme a NIST SP 800-207, José deveria
( ) Na Gestão de Segurança da Informação (ISO 27001), a definição do escopo do SGSI deve obrigatoriamente levar em conta o contexto da organização (questões internas e externas) e os requisitos das partes interessadas.
( ) Na Gestão de Continuidade do Negócio, o RPO (Recovery Point Objective) define a idade máxima dos dados que devem ser recuperados após um incidente, representando o volume de perda de dados aceitável.
( ) Na Gestão de Identidade e Acesso, o OpenID Connect (OIDC) funciona como uma camada de identidade construída sobre o protocolo OAuth 2.0, adicionando a capacidade de autenticação de usuários e a obtenção de informações básicas de perfil.
As afirmativas são, respectivamente,
Durante o atendimento telefônico a um fornecedor, a servidora Márcia, responsável pelo setor de compras da Prefeitura de Santa Bela do Sul (cidade fictícia), recebeu uma nova ligação do secretário de administração, que também precisava participar da conversa.
Para facilitar o diálogo entre todos, Márcia acionou o recurso do telefone que permite que duas ou mais pessoas participem simultaneamente da mesma ligação.
Com base nos conhecimentos básicos de serviços e recursos de telefonia, assinale a alternativa que indica corretamente o nome dessa função:
Ambas as metodologias, Kanban e Scrum, são ágeis e visam a entrega de valor. No entanto, elas utilizam mecanismos diferentes para gerenciar a cadência de trabalho.
A principal diferença no mecanismo de controle de fluxo entre o Scrum e o Kanban é que o Scrum
A equipe de suporte e manutenção da Assembleia adota o Kanban. O quadro possui o limite de WIP de 2 na coluna Desenvolvimento e 1 na coluna Testes.
Se a coluna Testes atingir o limite de 1 tarefa e uma nova tarefa de Desenvolvimento for concluída, assinale a ação que o sistema Kanban impõe à equipe para manter o fluxo contínuo
Um Portal Corporativo, como o portal de transparência da Assembleia, exige um componente robusto para gerenciar notícias, documentos regulamentares e páginas estáticas de forma dinâmica, permitindo que a área de Comunicação atualize o site sem intervenção da Programação.
Assinale o componente de software essencial na arquitetura de um Portal Corporativo para gerenciar o ciclo de vida e a publicação de conteúdo não-estruturado como documentos, imagens e textos
O Analista de Programação está realizando a Validação de Requisitos para o sistema de e-Protocolo. Ele decide utilizar a técnica que envolve a leitura do documento de requisitos, linha por linha, por um grupo de stakeholders e especialistas, para encontrar ambigüidades, omissões ou erros.
Esta técnica de Validação de Requisitos é conhecida como:
O Analista de Programação está iniciando a Engenharia de Requisitos para um novo sistema que deve se integrar com o Sistema de Controle Interno (SCI) de outro órgão. Em vez de entrevistar os usuários finais do SCI, o analista foca em levantar e estudar o Manual de Integração de Sistemas, a Especificação da API REST e os contratos de serviço definidos.
Assinale a técnica de Elicitação de Requisitos que está sendo utilizada, e qual é sua principal vantagem neste cenário de integração
O novo portal da Assembleia utiliza botões verdes para ações primárias como Aprovar e Enviar em todas as páginas, exceto no módulo de votação, onde o botão Votar é vermelho.
Assinale a Heurística de Usabilidade de Nielsen que está sendo violada por essa diferença no uso de cores para ações similares
A equipe de desenvolvimento utiliza a ferramenta SonarQube no pipeline de CI/CD para manter a qualidade do código-fonte.
Assinale o principal tipo de análise que o SonarQube realiza no código-fonte, e o seu objetivo primário na cultura de Clean Code
A área de TI está avaliando a adoção de plataformas Low-Code para agilizar o desenvolvimento de aplicações internas de baixo impacto.
A principal desvantagem ou limitação que o Analista de Programação deve considerar ao utilizar plataformas Low-Code para desenvolver um sistema com requisitos de integração complexos ou regras de negócio altamente específicas é
O Analista de Sistemas deve garantir a Rastreabilidade dos requisitos do projeto de forma bidirecional.
O principal benefício da Rastreabilidade no Gerenciamento do Ciclo de Vida do Software é o de
Para um novo módulo de acompanhamento dos processos da Assembleia, há grande incerteza sobre a usabilidade e o design da interface. O Analista alocado no projeto decide construir rapidamente uma simulação da interface, focando na aparência e na navegação.
O principal objetivo de utilizar a Prototipação como técnica de Elicitação de Requisitos é:
Ao realizar uma revisão de código no sistema de protocolo, o Analista de Programação identificou vários trechos de código que repetem a lógica de validação de CPF/CNPJ em diferentes classes. Ele sugere a refatoração para colocar essa lógica em uma classe utilitária única.
Assinale qual princípio de desenvolvimento e reuso que a refatoração proposta visa satisfazer.
Assinale qual a tecnologia, baseada em XML, é a ferramenta padrão e mais eficiente para realizar a transformação de um documento XML (fonte) em outro documento XML (destino) ou em outro formato estruturado (como HTML)