Prova Análise de Vulnerabilidade e Riscos - Avaliação Final Objetiva

13072022 0736 14 Avaliação Final Objetiva Individual Cod745552 Código da prova 51560821 Disciplina Análise de Vulnerabilidade de Riscos 20218 Período para responder 09052022 23072022 Peso 300 1 As vulnerabilidades em dispositivos móveis podem estar presentes nos aplicativos instalados tornandoos suscetíveis à exploração Com base no que as vulnerabilidades comuns de aplicativos podem incluir analise as sentenças a seguir I A configuração incorreta de permissões permitindo acesso a funções controladas como GPS Global Positioning System Sistema de Posicionamento Global por exemplo II Pontos fracos nas configurações de privacidade permitindo o acesso de aplicativos a informações confidenciais tais como contatos fotos acesso Bluetooth entre outros III Erros de canal e caminho maneiras pelas quais o uso de canais de comunicação ou caminhos de execução podem ser relevantes para a segurança IV Exposição de protocolos de comunicação interna que passam mensagens do dispositivo para ele mesmo ou para outros aplicativos Assinale a alternativa CORRETA A As sentenças I II e III estão corretas B Somente a sentença IV está correta C As sentenças II e III estão corretas D As sentenças I II e IV estão corretas 2 Os testes de invasão possuem muitos sinônimos como Pen Testing PT Hacking Hacking Ético Segurança Ofensiva e Equipe Vermelha Apesar dessas denominações apresentadas convencionalmente adotaremos um termo simplificado pentest como forma de indicar um teste de penetração ou teste de invasão Assim a discussão sobre os objetivos de execução de um pentest envolvendo aspectos profissionais e morais posiciona o executor do teste de algumas formas Sobre essas formas analise as opções a seguir I White hat chapéu branco II Black hat chapéu preto III Grey hat chapéu cinza IV Blue hat chapéu azul Assinale a alternativa CORRETA A As opções II e IV estão corretas B Somente a opção I está correta C As opções I III e IV estão corretas D As opções I II e III estão corretas 3 13072022 0736 24 A varredura em redes de computadores é uma forma importante de garantir a manutenção de serviços e verificar as atividades de hosts em uma grande rede Para executála são usados os chamados programas de varreduras de portas que podem ser utilizados não só pelos administradores de redes mas também por pessoas malintencionadas que queiram explorar vulnerabilidades da rede Com relação às técnicas de varredura baseadas em portas assinale a alternativa CORRETA A CVE e CWE B White Hat Black Hat e Grey Hat C Open Scan HalfOpen Stealth Methods Sweeps e Services D White Box Gray Box e Black Box 4 A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos com o objetivo de determinar se o risco é ou não aceitável ISOIEC 27005 2018 Tratase de um componente essencial de um processo de gerenciamento de riscos em toda a organização NIST 2012 A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISOIEC 27005 tem seis grupos principais de atividades Com base nesses grupos analise as opções a seguir I Tratamento do risco II Aceitação do risco III Comunicação do risco IV Transmissão do risco Assinale a alternativa CORRETA FONTE ISOIEC 270052018 Information Security Risk Management 2018 Disponível em httpswwwisoorgstandard75281html Acesso em 10 maio 2020 NIST National Institute of Standards and Technology Guide for Conducting Risk Assessments Information Security 2012 Disponível em httpsnvlpubsnistgovnistpubsLegacySPnistspecialpublication80030r1pdf Acesso em 10 maio 2021 A Somente a opção I está correta B As opções I II e III estão corretas C As opções I e IV estão corretas D Somente a opção II está correta 5 Ao estudar a literatura especializada é comum perceber diferentes formas de organizar ou mesmo identificar os tipos de vulnerabilidades de sistemas computacionais Com base em como podemos organizá las segundo Martinelo e Bellezi 2014 analise as opções a seguir I Hardware e software II Humanas e físicas III Naturais IV Binárias Assinale a alternativa CORRETA FONTE MARTINELO C A G BELLEZI M A Análise de vulnerabilidades com OpenVAS e Nessus TIS Tecnologias Infraestrutura e Software São Carlos v 3 n 1 p 3444 janabr 2014 A Somente a opção III está correta B As opções III e IV estão corretas C As opções I II e III estão corretas D As opções I II e IV estão corretas 6 A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos com o objetivo de determinar se o risco é ou não aceitável ISOIEC 27005 2018 A avaliação de riscos é um componente essencial de um processo de gerenciamento de riscos em toda a organização NIST 2012 A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISOIEC 27005 tem seis grupos principais de atividades Com base no exposto classifique V para as 13072022 0736 34 sentenças verdadeiras e F para as falsas Definição do contexto Probabilidade de risco AnáliseAvaliação de riscos Impacto do risco Assinale a alternativa que apresenta a sequência CORRETA FONTE ISOIEC 270052018 Information Security Risk Management 2018 Disponível em httpswwwisoorgstandard75281html Acesso em 10 maio 2021 NIST National Institute of Standards and Technology Guide for Conducting Risk Assessments Information Security 2012 Disponível em httpsnvlpubsnistgovnistpubsLegacySPnistspecialpublication80030r1pdf Acesso em 10 maio 2021 A V F F V B F V V F C V V V F D V F V F 7 Para Martinelo e Bellezi 2014 podemos organizar as vulnerabilidades de sistemas computacionais nos seguintes tipos software hardware humanas físicas e naturais Com base nas respectivas definições de alguns destes tipos assinale a alternativa INCORRETA FONTE MARTINELO C A G BELLEZI M A Análise de vulnerabilidades com OpenVAS e Nessus TIS Tecnologias Infraestrutura e Software São Carlos v 3 n 1 p 3444 janabr 2014 Disponível em httpwwwrevistatisdcufscarbrindexphprevistaarticleview74 Acesso em 25 set 2020 A Está relacionada à indisponibilidade do sistema o que pode ocasionar perda de dados B Está relacionada às falhas que ocasionam as oscilações Geralmente são intencionais C Está relacionada ao mau uso do sistema ou de alguma função deste por parte do usuário Neste caso pode ocorrer o mau funcionamento do sistema ou a perda de informações D Está relacionada a falhas de programação Este tipo de vulnerabilidade abre brechas no sistema que podem ser exploradas por atacantes 8 Ao destacarmos as técnicas para a varredura de vulnerabilidades que podem ser usadas no combate as diversas ameaças que sofrem o mundo corporativo precisamos melhor compreender a sua definição Com base no exposto assinale a alternativa CORRETA A São sistemas voltados para segurança da informação inclui todo o escopo de controles que uma organização precisa para garantir a proteção da confidencialidade da disponibilidade e da integridade B Inclui não apenas o impacto negativo das operações e na prestação de serviços que podem levar à destruição ou redução do valor da organização mas também à vantagem que permite o risco associado à possibilidade de usar a tecnologia para melhorar o gerenciamento de negócios ou projetos de TI para aspectos como gastos excessivos ou atraso na entrega com impacto negativo nos negócios C É aquilo que agrega valor para a organização podendo ser representado por uma informação um processo um produto uma base de dados um software um hardware entre outras possibilidades D São formas utilizadas no contexto da segurança de redes que objetivam garantir o funcionamento confiável de dispositivos e serviços pertencentes a mesma em que para serem aplicadas no ambiente corporativo valemse de programas específicos que buscam informações nas portas de comunicações utilizadas por serviços e aplicações e nos próprios serviços oferecidos por uma infraestrutura de rede corporativa 9 A segurança da informação é obtida com a implementação de controles que deverão ser monitorados analisados e consecutivamente melhorados com o intuito de atender aos objetivos do negócio mitigando os riscos e garantindo os preceitos de segurança da organização confidencialidade integridade e disponibilidade CID a tríade de segurança da informação SÊMOLA 2014 Com relação às respectivas definições dos chamados três pilares da segurança da informação assinale a alternativa INCORRETA FONTE SÊMOLA M Gestão da segurança da informação uma visão executiva Rio de Janeiro Editora Elsevier 2 ed 2014 A O objetivo da segurança da informação nesse caso é garantir que as informações se mantenham livres de qualquer alteração conforme foram criadas B O objetivo é restringir o acesso às informações Isso evita que ações maliciosas como espionagem e ciberataques exponham qualquer conteúdo confidencial 13072022 0736 44 C As informações precisam estar sempre disponíveis para consultas dos colaboradores pois qualquer ausência pode dificultar ou mesmo inviabilizar decisões contratos vendas além de prejudicar a relação com o cliente D As empresas já entenderam que os dados são verdadeiros ativos por isso estão cada vez mais preocupadas com os pilares da segurança da informação 10 O ISTR Internet Security Threat Report Relatório de Ameaças à Segurança na Internet apontou o ano de 2013 como o ano das megabrechas do inglês megabreaches com mais de 10 milhões de identidades de usuários expostas e um crescimento de mais de 700 em relação ao ano de 2012 SYMANTEC 2014 Em face a este contexto foram identificados os dez tipos de informações mais violadas naquele ano em específico Considerando exclusivamente as quatro primeiras posições sem necessariamente estarem nesta ordem classifique V para as opções verdadeiras e F para as falsas Nomes Reais Seguro Datas de Nascimento Números de Documentos de Identificação Seguro Social Assinale a alternativa que apresenta a sequência CORRETA FONTE SYMANTEC Internet security threat report ISTR 2013 trends v 19 2014 Disponível em httpswwwituintenITU DCybersecurityDocumentsSymantecannualinternetthreatreportITU2014pdf Acesso em 4 maio 2021 A V V F V B F V F F C V F V V D F F V V 13072022 0735 11 Avaliação Final Discursiva Individual Cod745551 Código da prova 51558763 Disciplina Análise de Vulnerabilidade de Riscos 20218 Período para responder 09052022 23072022 Peso 400 1 O processo de classificação de vulnerabilidade representa um desafio uma vez que não se pode ainda afirmar que existe uma única forma correta para se realizar esta tarefa Temos atualmente várias organizações de pesquisa que vêm trabalhando e mantendo padrões para enumerar e classificar vulnerabilidades GODINHO 2016 MALERBA 2010 Alguns são os fatores que justificam a busca por uma padronização nesta classificação Disserte sobre esses fatores FONTE GODINHO P X M Preventive vulnerability scanner sistema de detecção de vulnerabilidade em aplicações instaladas em sistemas Windows 2016 85 f Dissertação Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja Portugal 2016 Disponível em httpsrepositorioipbejaptbitstream205001220747181Pedro20Godinhopdf Acesso em 4 maio 2021 MALERBA C Vulnerabilidades e exploits técnicas detecção e prevenção jun 2010 68 f Monografia Instituto de Informática Universidade Federal do Rio Grande do Sul Porto Alegre 2010 Disponível em httpswwwlumeufrgsbrbitstreamhandle1018326337000757768pdf sequence1isAllowedy Acesso em 4 maio 2021 2 As técnicas de varredura são formas utilizadas no contexto da segurança de redes que objetivam garantir o funcionamento confiável de dispositivos e serviços pertencentes a essa rede Além disso a varredura em redes de computadores é uma forma importante de garantir a manutenção de serviços e verificar as atividades de hosts qualquer dispositivo cliente conectado em uma grande rede Disserte sobre a varredura em redes ID pdZ7j71uE Avaliação Final Objetiva Individual Cod745552 1 D 2 B 3 c 4 B 5 C 6 D 7 B 8 D 9 D 10 C Avaliação discursiva 1 De acordo com dados fornecidos pelo CERTbr tornase mais simples perceber a amplitude dos incidentes ocasionados pela exploração de vulnerabilidades Quando alguma coisa acontece muitas vezes é importante conhecêla quando muitas coisas diferentes acontecem muitas vezes é importante conhecêlas e saber como diferenciá las entre si Após fazermos esta avaliação é possível compreender porque não é suficiente somente saber que a vulnerabilidade existe mas é de extrema importancia saber definir de qual vulnerabilidade se trata Sem o estabelecimento de um processo que auxilie a classificar ou mesmo enumerar um objeto de estudo nesse caso as vulnerabilidades estáse sujeito ao risco de se cometer enganos na comunicação Classificar ou enumerar torna mais fácil diferenciar elementos entre si Além disso há outro fatores como O entendimento das ameaças que elas representam correlacionamento de incidentes de exploits e de artefatos avaliação da efetividade das ações de defesa e descoberta de tendências de vulnerabilidades 2 De forma geral a varredura em redes é caracterizada como uma forma importante de garantir a manutenção de serviços e verificar as atividades de hosts qualquer dispositivo cliente conectado em uma grande rede Para executála são usados os chamados programas de varreduras de portas Port Scanners ou simplesmente scanners que podem ser utilizados não só pelos administradores de redes mas também por pessoas malintencionadas que queiram explorar vulnerabilidades da rede Olá As questões discursivas estão iguais ao texto Se isso for um problema me retorne para que eu altere Abraço BOA SORTE