Avaliação Final - Riscos, Vulnerabilidade e Segurança

Iniciado em quarta-feira, 25 out. 2023, 09:54

Estado Finalizada
Concluída em quarta-feira, 25 out. 2023, 10:20
Tempo empregado 26 minutos 29 segundos
Avaliar 9,0 de um máximo de 10,0(90%)
Questão 1
Correto
Atingiu 1,0 de 1,0
Marcar questão
O que é vulnerabilidade?
Questão 1Resposta

a.
É o conjunto de informações que agrega valor ao ser humano e a organização.

b.
É um conjunto de bits armazenados (nome, endereço, datas, etc).

c.
Qualquer elemento que tenha valor para uma organização.

d.
Falha no ambiente que ameace algum ativo.

A alternativa está correta, pois apresenta a definição de vulnerabilidade, as outras

opções referem-se a dados, a conhecimento, a ativos de informação e a incidente.

e.
Resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
Questão 2

Correto
Atingiu 1,0 de 1,0
Marcar questão
A avaliação dos riscos envolve metodologias para medição do nível de risco, uma delas
permite uma mensuração em termos de valor e podem ou não se relacionar aos custos
conhecidos como análise quantitativa. Beal (2008) aponta que um dos métodos
quantitativos mais utilizados é o cálculo da Expectativa de Perda Anual (ALE, do
inglês, Annual Loss Expectation). Marque a alternativa correta sobre esse método.
Questão 2Resposta

a.
mede o impacto da ocorrência de um incidente.

b.
calcula o nível de satisfação quanto à perda prevista com a ocorrência de um incidente.

c.
mede a avaliação da direção quanto à eficiência na correção de um incidente

d.
mede os custos dos incidentes ocorridos no mês.

e.
calcula o tempo de perda previsto com a ocorrência de um incidente.

Esse método calcula o tempo de perda previsto com a ocorrência de um incidente e

funciona da seguinte forma: adota-se o padrão de 12 meses para ocorrência de n
incidentes para cada tipo de ameaça.
Questão 3

Correto
Atingiu 1,0 de 1,0
Marcar questão
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão
dinâmica de um arquivo através de scripts maliciosos. Qual seria a solução mais eficaz
para eliminar essa vulnerabilidade?
Questão 3Resposta

a.
Não utilizar os campos de formulários da aplicação web que não estejam corretamente
implementados.

b.
Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.

c.
Identificar, localizar e modificar ou eliminar os scripts da página web.

d.
Manter os dados junto com os comandos de consulta SQL.

e.
Impedir a transmissão de entrada enviada pelo usuário para qualquer sistema de
arquivo.

Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o
bloqueio da transmissão de entrada de dados enviada pelo usuário para qualquer sistema
de arquivo, pois qualquer fonte de dados pode ser uma falha de injeção de variáveis,
parâmetros, serviços web externos e internos, sendo vulneráveis as consultas de
interpretação inconsistentes.
Questão 4

Correto
Atingiu 1,0 de 1,0
Marcar questão
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo
indisponibilizar um serviço para que seja possível reduzir ou eliminar uma proteção do
sistema denomina-se:
Questão 4Resposta

a.
Trojan horse.

b.
Scanning de vulnerabilidades.

c.
Sniffing.

d.
DoS – Denial of Service.

o DoS possui vários tipos de ataques que visam indisponibilizar um serviço através do
consumo da banda de rede, dos recursos de sistema ou até da adulteração das
rotas/DNS, entre outras.

e.
Port scanning.
Questão 5

Correto
Atingiu 1,0 de 1,0
Marcar questão
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas
em banco de dados. Se essas consulta não forem implementadas corretamente podem
tornar o aplicativo vulnerável a injeções de scripts. Para se evitar esse tipo de ataque é
necessário:
Questão 5Resposta

a.
Refazer as implementações web nos scripts dos formulários da página web.

b.
Atualizar um programa rapidamente, pois uma atualização recente pode conter uma
grande falha de segurança.

c.
Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente
ou do lado do servidor.

d.
Evitar o uso de caracteres de escape específicos do interpretador para que eles não
sejam explorados nesse tipo de ataque.

e.
Manter os dados separados dos comandos e consultas.

Manter os dados dos comandos e das consultas separados auxilia a evitar esse tipo de
ataque, uma vez que torna mais difícil ao invasor manipulá-los.
Questão 6

Correto
Atingiu 1,0 de 1,0
Marcar questão
Os códigos maliciosos podem comprometer o computador e causar ameaças à segurança
da informação. Com base nessa afirmação, assinale apenas a resposta correta que
descreve sua ação.
Questão 6Resposta

a.
Visualizar as diferentes vulnerabilidades existentes e assegurar programas instalados.

b.
Executar arquivos infectados, obtidos em anexos de mensagens eletrônicas, mídias
removíveis, em páginas Web ou diretamente de outros computadores (através do
compartilhamento de recursos).

códigos maliciosos são programas criados para executar ações que comprometem o
computador e o usuário não percebe que há infecção, ameaçando a segurança da
informação.

c.
Alternativas de coleta de dados no computador, incluem arquivos contendo códigos.

d.
Acessar endereços da internet e ferramentas, utilizando navegadores confiáveis.

e.
Avaliação de atividades e de sistemas .
Questão 7

Incorreto
Atingiu 0,0 de 1,0
Marcar questão
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em
sistemas distribuídos com grande fluxo de usuários. O tipo de malware que procura
encontrar uma forma de ter acesso ao sistema através de brechas ou sistemas
adulterados denomina-se:
Questão 7Resposta

a.
Worm

b.
Screenloggers.

c.
Spyware.

d.
Bomba lógica.

e.
Back door.
Questão 8

Correto
Atingiu 1,0 de 1,0
Marcar questão
Um exemplo de ameaça ou risco a segurança da informação é:
Questão 8Resposta

a.
informações equivocadas.

b.
falha de processo no hardware.

c.
um intruso que acessa a rede por uma porta firewall.

Um introduzo que acessa a rede por meio de uma porta firewall é considerado uma
ameaça à segurança do sistema da informação, pois pode roubar informações sigilosas
ou comprometer o sistema.

d.
dados divergentes.
e.
falha de processo no software.
Questão 9

Correto
Atingiu 1,0 de 1,0
Marcar questão
Uma forma de obter informações sobre um alvo é recuperar arquivos antigos sobre as
páginas de instituições. Qual ferramenta permite escolher a data na qual se deseja
recuperar dados já apagados dos servidores web?
Questão 9Resposta

a.
Injector de Scripts.

b.
Googledorks.

c.
Web Arquive.

A alternativa correta é a B, pois uma estratégia que realiza buscas de informações

antigas já apagadas nos servidores é o Web Arquive, pelo qual é possível recuperar
arquivos por datas.

d.
On-line Scanning.

e.
SQL Map.
Questão 10

Correto
Atingiu 1,0 de 1,0
Marcar questão
A gestão do risco utiliza um conceito amplamente aplicado na gestão de qualidade para
o tratamento e análise do risco denominado ciclo PDCA. Em uma das etapas são
identificadas ameaças, probabilidades de ocorrência e vulnerabilidades, e a estimativa
do impacto potencial associado. Esta etapa refere-se a fase de:
Questão 10Resposta

a.
Produzir.

b.
Proteger.
c.
Programar.

d.
Planejar.

A resposta correta é a letra C, porque refere-se à etapa de planejamento, em que são

estabelecidos os objetivos, as metas e os meios de alcançá-los.

e.
Preparar.