Você está na página 1de 16

Resultados da avaliação / Relatório de comentários por item

CyberOps Associate (Versão 1.0) - Módulos 13 a 17: Exame em grupo de


ameaças e ataques

Abaixo você encontra o relatório de comentários por item para aqueles itens pelos quais você não
recebeu crédito. Alguns itens interativos podem não exibir a sua resposta.

Subtotal: Conhecimento de domínio - Pontuação padrão

5 Qual é o resultado de um ataque passivo de envenenamento ARP?

Correta Sua
Resposta Resposta

Os dados são modificados em trânsito ou dados maliciosos são inseridos em trânsito.

Informações confidenciais são roubadas.

Vários subdomínios são criados.

Os clientes de rede experimentam uma negação de serviço.

Ataques de envenenamento ARP podem ser passivos ou ativos. O resultado de um ataque passivo é que os
cibercriminosos roubam informações confidenciais. Com um ataque ativo, os cibercriminosos modificam os dados em
trânsito ou injetam dados maliciosos.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.17.1 Serviços IP

6 Qual é a função de um ARP gratuito enviado por um dispositivo em rede


quando ele inicializa?

Correta Sua
Resposta Resposta

para solicitar o nome netbios do sistema conectado

para solicitar o endereço MAC do servidor DNS


para solicitar o endereço IP da rede conectada

para aconselhar os dispositivos conectados do seu endereço MAC

Um ARP gratuito é freqüentemente enviado quando um dispositivo é inicializado pela primeira vez para informar todos
os outros dispositivos na rede local do endereço MAC do novo dispositivo.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.17.1 Serviços IP

7 Como um ataque de túnel DNS pode ser atenuado?

Correta Sua
Resposta Resposta

protegendo todas as contas de proprietário do domínio

impedindo que os dispositivos usem ARP gratuito

usando senhas fortes e autenticação de dois fatores

usando um filtro que inspeciona o tráfego DNS

Para poder interromper o túnel DNS, um filtro que inspecione o tráfego DNS deve ser usado. Além disso, as soluções
DNS, como o Cisco OpenDNS, bloqueiam grande parte do tráfego de túnel DNS, identificando domínios suspeitos.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.17.1 Serviços IP

8 Qual opção é uma vulnerabilidade que permite que criminosos injetem


scripts em páginas da Web vistas por usuários?
Correta Sua
Resposta Resposta

Injeção de XML

estouro de buffer

Inserção de SQL

Script entre sites

O script entre sites (XSS) permite que criminosos injetem scripts que contêm código malicioso em aplicativos da Web.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.17.2 Serviços Corporativos

12 Quais as duas características que descrevem um worm? (Escolha


duas.)

Correta Sua
Resposta Resposta

executado quando o software é executado em um computador

infecta computadores se anexando ao código de outros softwares

viaja para novos computadores sem qualquer intervenção ou conhecimento do usuário

é auto-replicante

se esconde em um estado dormente até que ele é executado por um atacante

Worms são pedaços auto-replicantes de software que consomem largura de banda em uma rede, a medida que se
propagam de sistema para sistema. Eles não necessitam de um aplicativo hospedeiro, ao contrário de um vírus. Os
vírus, por outro lado, carregam um código malicioso executável que prejudica a máquina de destino em que residem.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.14.1 Malware
13 Que tipo de ameaça à segurança seria responsável se um suplemento
de planilha desabilitasse o firewall de software local?

Correta Sua
Resposta Resposta

estouro de bufer

DoS

Cavalo de Troia

ataque de força bruta

Um cavalo de Tróia é um software que faz algo prejudicial, mas está escondido em código de software legítimo. Um
ataque de negação de serviço (DoS) resulta na interrupção dos serviços de rede para usuários, dispositivos de rede
ou aplicativos. Um ataque de força bruta geralmente envolve tentar acessar um dispositivo de rede. Um estouro de
buffer ocorre quando um programa tenta armazenar mais dados em um local de memória do que ele pode conter.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.14.1 Malware

16 Quais são as duas características que descrevem um vírus? (Escolha


duas.)

Correta Sua
Resposta Resposta

Malware que depende da ação de um usuário ou de um programa para ativar.

Código de programa projetado especificamente para corromper a memória em dispositivos de rede.

Um ataque auto-replicante que é lançado de forma independente.

Código malicioso que pode permanecer inativo antes de executar uma ação indesejada.
Malware que executa código arbitrário e instala cópias de si mesmo na memória.

Um vírus é um código malicioso anexado a programas legítimos ou arquivos executáveis. A maioria dos vírus requer
ativação do usuário final, podem permanecer inativos por um longo período e, em seguida, ativar em uma hora ou
data específica. Em contraste, um worm executa código arbitrário e instala cópias de si mesmo na memória do
computador infectado. O objetivo principal de um worm é a replicação automática para se espalhar rapidamente por
uma rede. Um worm não requer um programa host para ser executado.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.14.1 Malware

26 Por que um invasor deseja falsificar um endereço MAC?

Correta Sua
Resposta Resposta

para que o invasor possa capturar tráfego de várias VLANs, em vez de apenas a VLAN atribuída à porta à qual o dispositivo
invasor está conectado

para que um switch na LAN comece a encaminhar frames para o invasor em vez de para o host legítimo

para que um switch na LAN comece a encaminhar todos os quadros para o dispositivo que está sob controle do invasor (que
pode capturar o tráfego da LAN)

para que o invasor possa iniciar outro tipo de ataque, a fim de obter acesso ao switch

A falsificação de endereços MAC é usada para contornar medidas de segurança, permitindo que um invasor se faça
passar por um dispositivo host legítimo, geralmente para fins de coleta de tráfego de rede.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.16.2 Vulnerabilidades de IP

1.8.3 Problemas do ARP


29 Um administrador de redes está verificando os logs do sistema e
observa testes incomuns de conectividade em portas conhecidas de um
servidor. Que tipo de ataque potencial à rede isso poderia indicar?

Correta Sua
Resposta Resposta

reconhecimento

roubo de informações

acesso

negação de serviço

Os ataques de reconhecimento são as descobertas e os mapeamentos não autorizados de sistemas, serviços ou


vulnerabilidades. Um dos ataques mais comuns de reconhecimento é executado usando os utilitários que descobrem
automaticamente os hosts em redes e determinam quais portas estão ouvindo conexões atualmente.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.16.2 Vulnerabilidades de IP

32 Que tipo de ataque de rede envolve a abertura aleatória de várias


solicitações Telnet a um roteador e faz com que um administrador de
rede válido não consiga acessar o dispositivo?

Correta Sua
Resposta Resposta

Spoofing

Envenenamento de DNS

man-in-the-middle

Inundação de SYN

O ataque de inundação SYN TCP explora o aperto de mãos triplo do TCP. O ator da ameaça envia continuamente
pacotes de solicitação de sessão TCP SYN com um endereço IP de origem falsificado aleatoriamente para um destino
pretendido. O dispositivo de destino responde com um pacote TCP SYN-ACK ao endereço IP falsificado e aguarda
um pacote TCP ACK. Essas respostas nunca chegam. Eventualmente, o host de destino é sobrecarregado com
conexões TCP semiabertas e nega serviços TCP.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.16.3 Vulnerabilidades TCP e UDP

33 Que tipo de ataque é realizado por agentes de ameaça contra uma rede
para determinar quais endereços IP, protocolos e portas são permitidos
pelas ACLs?

Correta Sua
Resposta Resposta

phishing

negação de serviço

engenharia social

reconhecimento

As ACLs de filtragem de pacotes usam regras para filtrar o tráfego de entrada e saída. Essas regras são definidas
especificando endereços IP, números de porta e protocolos a serem correspondidos. Os atores de ameaças podem
usar um ataque de reconhecimento envolvendo varredura de portas ou testes de penetração para determinar quais
endereços IP, protocolos e portas são permitidos pelas ACLs.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.16.2 Vulnerabilidades de IP

1.24.2 Tecnologias de segurança

37 Qual cenário descreve um agente de vulnerabilidades?


Correta Sua
Resposta Resposta

um ator de ameaças patrocinado pelo Estado que rouba segredos governamentais e sabota redes de governos estrangeiros

um adolescente executando scripts, ferramentas e explorações existentes para causar danos, mas normalmente sem fins
lucrativos

um ator de ameaças protestando publicamente contra os governos, publicando artigos e vazando informações confidenciais

um ator de ameaça tentando descobrir exploits e relatá-los aos fornecedores, às vezes por prêmios ou recompensas

Os corretores de vulnerabilidade normalmente se referem a hackers de chapéu cinza que tentam descobrir exploits e
relatá-los aos fornecedores, às vezes por prêmios ou recompensas.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.13.1 Quem está atacando nossa rede?

40 Uma vez verificada uma ameaça cibernética, a Agência de Infraestrutura


e Segurança Cibernética dos EUA (CISA) compartilha automaticamente
as informações de segurança cibernética com organizações públicas e
privadas. Como se chama esse sistema automatizado?

Correta Sua
Resposta Resposta

NCASM

AIS

NCSA

A ENISA

O CISA dos EUA usa um sistema chamado Automated Indicator Sharing (AIS). O sistema AIS compartilha vetores e
indicadores de ataque verificados com os setores público e privado.
Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.13.1 Quem está atacando nossa rede?

45 Pergunta como apresentada:

Combine o conceito de segurança com a descrição.

ameaça

vulnerabilidade

exploit

risco

a probabilidade de consequências irdesejáveis

um mecanismo usado para comprometer um ativo

uma fraqueza em um sistema

um perigo potencial para um ativo


Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.18.1 Defesa em profundidade

1.13.1 Quem está atacando nossa rede?

Sua resposta:

Combine o conceito de segurança com a descrição.

ameaça

vulnerabilidade

exploit

risco

a probabilidade de consequências irdesejáveis

risco

um mecanismo usado para comprometer um ativo

ameaça

uma fraqueza em um sistema

vulnerabilidade

um perigo potencial para um ativo


exploit

46 Qual afirmativa descreve a função da ferramenta SPAN usada em um


switch da Cisco?

Correta Sua
Resposta Resposta

Copia o tráfego de uma porta de switch e o envia a outra porta de switch conectada a um dispositivo de monitoramento.

Suporta a operação de trap de SNMP em um switch.

É um canal seguro para que um switch envie o registro em um servidor syslog.

Fornece interconexão entre VLANs por vários switches.

Para analisar o tráfego de rede que passa por um switch, o analisador de porta com switch (SPAN) pode ser usado. O
SPAN pode enviar uma cópia do tráfego de uma porta para outra porta no mesmo switch, onde um analisador de rede
ou um dispositivo de monitoramento está conectado. O SPAN não é necessário para syslog ou SNMP. O SPAN é
usado para espelhar o tráfego, enquanto o syslog e SNMP são configurados para enviar dados diretamente ao
servidor adequado.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.15.1 Introdução ao monitoramento de rede

48 Pergunta como apresentada:

Combine a solução de monitoramento de rede com uma descrição. (Nem todas as opções são usadas).
IPS

SPAN

analisador de protocolo

encaminha todo o tráfego, incluindo erros da Camada 1, para um


dispositivo de análise

usado para capturar tráfego e mostrar o que está acontecendo na rede

monitora o tráfego e o compara com regras configuradas

copia quadros recebidos em uma ou mais portas para uma porta conectada
a um dispositivo de análise

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.15.1 Introdução ao monitoramento de rede

1.15.2 Introdução às ferramentas de monitoramento de rede

Sua resposta:
Combine a solução de monitoramento de rede com uma descrição. (Nem todas as opções são usadas).

IPS

SPAN

analisador de protocolo

encaminha todo o tráfego, incluindo erros da Camada 1, para um


dispositivo de análise

usado para capturar tráfego e mostrar o que está acontecendo na


rede

IPS

monitora o tráfego e o compara com regras configuradas

analisador de protocolo

copia quadros recebidos em uma ou mais portas para uma porta


conectada a um dispositivo de análise

SPAN
49 Qual tecnologia é um sistema SIEM proprietário?

Correta Sua
Resposta Resposta

StealthWatch

Coletor NetFlow

Agente SNMP

Splunk

O Gerenciamento de eventos de informações de segurança (SIEM) é uma tecnologia usada em organizações


empresariais para fornecer relatórios em tempo real e análises de longo prazo de eventos de segurança. Splunk é um
sistema SIEM proprietário.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.15.2 Introdução às ferramentas de monitoramento de rede

51 Quais são as três funcionalidades fornecidas pela SOAR? (Escolha


três.)

Correta Sua
Resposta Resposta

Ele usa inteligência artificial para detectar incidentes e auxiliar na análise e resposta a incidentes.

Apresenta os dados de eventos correlacionados e agregados em monitoramento em tempo real e resumos de longo prazo.

Ele automatiza procedimentos complexos de resposta a incidentes e investigações.

Ele fornece uma trilha de auditoria completa de informações básicas sobre cada fluxo de IP encaminhado em um dispositivo.

Ele fornece ferramentas de gerenciamento de casos que permitem que o pessoal de segurança cibernética pesquise e
investigue incidentes.
Ele fornece estatísticas 24 horas por dia, 7 dias por semana em pacotes que fluem através de um roteador Cisco ou switch
multicamadas.

As plataformas de segurança SOAR oferecem essas funcionalidades:


• Colete dados de alarme de cada componente do sistema
• Forneça ferramentas que permitam que os casos sejam pesquisados, avaliados e investigados
• Enfatize a integração como um meio de automatizando fluxos de trabalho complexos de resposta a incidentes que
permitem respostas mais rápidas e estratégias de defesa adaptáveis
• Incluir playbooks predefinidos que permitem resposta automática a ameaças específicas

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.15.2 Introdução às ferramentas de monitoramento de rede

52 Qual afirmação descreve uma característica operacional do NetFlow?

Correta Sua
Resposta Resposta

O NetFlow captura todo o conteúdo de um pacote.

Os registros de fluxo NetFlow podem ser visualizados pela ferramenta tcpdump .

O NetFlow coleta informações básicas sobre o fluxo de pacotes, não os dados de fluxo propriamente ditos.

O NetFlow pode fornecer serviços para controle de acesso do usuário.

O NetFlow não captura todo o conteúdo de um pacote. Em vez disso, o NetFlow coleta metadados ou dados sobre o
fluxo, não os dados de fluxo propriamente ditos. As informações do NetFlow podem ser visualizadas com ferramentas
como nfdump e FlowViewer.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

1.25.3 Logs de rede

1.15.2 Introdução às ferramentas de monitoramento de rede