Início Questões de Concursos Cibersegurança Resolva questões de Cibersegurança comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática. Cibersegurança Ordenar por: Mais populares Mais recentes Mais comentadas Filtrar questões: Exibir todas as questões Exibir questões resolvidas Excluir questões resolvidas Exibir questões que errei Filtrar 1Q905736 | Redes de Computadores, Endereçamento IP, Cibersegurança, BNDES, CESGRANRIO, 2024Um atacante presente numa rede local quer realizar um ataque para atuar como man-in-the-middle entre uma estação vítima e o default gateway da rede. Para executar esse ataque, o atacante quer fazer com que a estação da vítima associe o endereço MAC usado pelo atacante ao endereço IP do default gateway da rede. Além disso, quer fazer com que o default gateway da rede associe o endereço MAC usado pelo atacante ao endereço IP da estação da vítima. Para conseguir realizar essas associações, o atacante deve usar a técnica de ✂️ a) IP Spoofing ✂️ b) ARP Spoofing ✂️ c) ICMP Spoofing ✂️ d) TCP Flooding ✂️ e) TCP Hijacking Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 2Q897147 | Segurança da Informação, Segurança na Internet, Cibersegurança, TJ RR, FGV, 2024O tratamento e resposta a incidentes é uma operação complexa e vital para aumentar proteção de ativos cibernéticos conectados à internet, e diminuir o tempo de resposta aos ataques. Por exemplo, um dos ataques de maior impacto atualmente é o DDoS (Distributed Denial of Service) que visa deixar serviços indisponíveis para usuários legítimos por meio da inundação dos recursos (de rede ou processamento) do servidor, com requisições de múltiplas fontes, geralmente infectadas (conhecidas como bots). Nesse contexto, a resposta a esse tipo de incidente ✂️ a) deve ser de responsabilidade exclusiva do CERT.br, que deve saná-lo solitariamente. ✂️ b) deve estar condicionada à integração dos diversos CSITR na estrutura identificando vulnerabilidades exploradas e bots. ✂️ c) deve ser calcada em simulações feitas anteriormente em pentest, com uma máquina única realizando um DDoS. ✂️ d) não deve ser realizada em alguns casos, pois reportar ataques que atingem acima de 3Tbps é inútil. ✂️ e) deve ser realizada pelo CSITR da empresa afetada, e ocultada dos demais CSITR para preservar a imagem da organização. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 3Q905737 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024O código malicioso é aquele programa de computador que tem o potencial de danificar sua vítima, mas nem sempre age dessa forma. Alguns códigos maliciosos optam por furtar dados pessoais, enquanto outros usam recursos de computação da vítima em benefício próprio, sem o conhecimento ou a autorização da vítima. Dentre esses códigos maliciosos, existe uma certa categoria que visa utilizar código Javascript malicioso para furtar dados de cartão de crédito e outras informações preenchidas em páginas de pagamento de web sites de e-Commerce. Essa categoria de códigos maliciosos é conhecida como ✂️ a) worm ✂️ b) formjacking ✂️ c) downloader ✂️ d) ransomware ✂️ e) cryptojacking Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 4Q897146 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024No contexto de criptografia de chave simétrica, faça a associação dos seguintes algoritmos com as técnicas de cifragem utilizadas. 1. Cifra de bloco. 2. Cifra de fluxo. ( ) 3DES. ( ) RC4. ( ) AES. ( ) SEAL. A associação correta, na ordem dada, é ✂️ a) 1 – 1 – 2 – 1. ✂️ b) 2 – 1 – 2 – 2. ✂️ c) 1 – 2 – 1 – 2. ✂️ d) 2 – 2 – 1 – 1. ✂️ e) 2 – 2 – 1 – 2. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 5Q905732 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A ABNT NBR ISO/IEC 27005:2023 é uma norma com orientações para ajudar as organizações na realização de atividades de gestão de riscos de segurança da informação. Essa norma apresenta termos e definições importantes, com o propósito de facilitar a compreensão do documento da norma e de evitar ambiguidades que possam provocar uma interpretação errônea do seu texto. De acordo com essa norma, vulnerabilidade é a(o) ✂️ a) causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização. ✂️ b) fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa. ✂️ c) ocorrência ou mudança de um conjunto específico de circunstâncias. ✂️ d) elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco. ✂️ e) evento de segurança da informação indesejado ou inesperado que tem probabilidade significativa de comprometer as operações do negócio. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 6Q905742 | Segurança da Informação, Autenticação, Cibersegurança, BNDES, CESGRANRIO, 2024O Transport Layer Security (TLS) é um padrão de comunicação segura que criptografa e autentica a comunicação entre aplicativos e servidores para assegurar proteção de dados. As duas versões mais comuns ainda em uso hoje são o TLS 1.2 e o mais recente protocolo TLS 1.3. Existem várias diferenças importantes entre essas versões que melhoram a segurança, o desempenho e a privacidade. Dentre as principais diferenças, verifica-se que o TLS 1.3 suporta ✂️ a) apenas a cifragem AEAD com algoritmos fortes, como o AES-GCM e o Cha-Cha20-Poly1305. ✂️ b) apenas o handshake completo com dois round-trips, enquanto versões antigas suportam o handshake com um round-trip ou zero round-trip, com retomada da sessão. ✂️ c) opcionalmente a cifragem simétrica DES e 3DES, mas removeu os algoritmos MD5 e SHA-1. ✂️ d) opcionalmente o forward secrecy para trocas de chaves, usando Diffie–Hellman e Diffie–Hellman de curva elíptica. ✂️ e) opcionalmente trocas de chaves RSA estáticas, nas quais os servidores usam certificados com chaves RSA para criptografar chaves de sessão e trocá-las com clientes. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 7Q897148 | Redes de Computadores, Cibersegurança, TJ RR, FGV, 2024O NAC (Network Access Control) pode utilizar diferentes métodos de verificação para garantir que dispositivos remotos estejam em conformidade com as políticas de segurança da rede. Esses métodos incluem agentes permanentes, dissolúveis e soluções sem agentes, cada um com vantagens e desvantagens. Uma limitação operacional das soluções NAC sem agentes ✂️ a) é a complexidade de implementação, pois é necessário instalar software adicional nos dispositivos finais. ✂️ b) é a incapacidade de realizar verificações de conformidade em dispositivos que utilizam sistemas operacionais baseados em Linux. ✂️ c) é a dificuldade em obter informações detalhadas sobre o estado de segurança dos dispositivos, limitando as verificações a um nível superficial. ✂️ d) é a incompatibilidade com dispositivos que se conectam à rede via conexões sem fio. ✂️ e) são dispositivos que não suportam a instalação de agentes ou têm restrições de software não podem ser gerenciados. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 8Q897149 | Redes de Computadores, DNS Domain Name System, Cibersegurança, TJ RR, FGV, 2024Você, como analista de segurança ou de infraestrutura do TJ-RR, pode ser incumbido de instalar e configurar servidores para resoluções de nomes de domínio da Internet. Uma das soluções mais robustas para esse fim é o BIND, do Internet Systems Consortium (ISC). Em relação a boas práticas recomendadas pelo ISC para administração do BIND, avalie as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa. ( ) Assegurar que a infraestrutura utilizada suporte EDNS0 e pacotes UDP de tamanhos reduzidos. ( ) Não combinar funções de servidor de nomes autoritativas e recursivas no mesmo servidor. ( ) Empregar firewalls/filtros de pacotes com estado em seus servidores para tráfego de consulta de saída. As afirmativas são, respectivamente, ✂️ a) V – F – V. ✂️ b) V – V – V. ✂️ c) V – F – F. ✂️ d) F – V – V. ✂️ e) F – V – F. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 9Q897144 | Segurança da Informação, Malware, Cibersegurança, TJ RR, FGV, 2024Correlacione as afirmativas sobre segurança de ativos em uma rede corporativa a seguir com os tipos de malware contra os quais se pretende proteger. ( ) Trojan ( ) Worm ( ) Spyware ( ) Ransomware 1. O Firewall pode proteger desse malware bloqueando a replicação dele entre segmentos de rede. 2. A mitigação mais efetiva contra esse malware é a execução regular de backup dos dados. 3. O uso de proxy pode ajudar contra este tipo de malware, realizando varredura contra malware em todos os arquivos baixados por computadores na rede corporativa. 4. O bloqueio de tráfego de saída no firewall pode impedir que os dados obtidos por esse malware sejam exfiltrados através da internet. Assinale a opção que indica a relação correta, na ordem apresentada. ✂️ a) 2 – 4 – 3 – 1. ✂️ b) 2 – 1 – 4 – 3. ✂️ c) 3 – 2 – 1 – 4. ✂️ d) 3 – 1 – 4 – 2. ✂️ e) 1 – 4 – 3 – 2. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 10Q905730 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A Norma ISO/27001:2022 elenca as boas práticas na implantação de um sistema de gestão de segurança da informação (SGSI) para organizações. Essa norma é calcada na estrutura PDCA (Plan, Do, Check, Act) e elenca ações a serem feitas a cada uma das etapas. Com relação ao ciclo PDCA no contexto da implantação de um SGSI, a estrutura adotada é ✂️ a) padronizada, com cada etapa sendo executada uma vez, e com maior relevância para a etapa de planejamento. ✂️ b) única para cada organização, devendo ter apenas etapas consideradas aplicáveis à organização onde está sendo implementada. ✂️ c) elíptica, com a etapa de atuação baseada nos resultados avaliados na etapa de execução. ✂️ d) iterativa, com uma etapa de planejamento ocorrendo após cada etapa de atuação. ✂️ e) quadrada, com cada etapa sendo executada uma vez, e de igual relevância para o sucesso. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 11Q897145 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024A criptografia é o estudo e a prática de técnicas que envolvem a criação de algoritmos matemáticos para transformar dados em formatos indecifráveis para pessoas não autorizadas e, assim, proteger informações sensíveis durante sua transmissão ou armazenamento. Nesse caso, a prevenção contra a modificação ou destruição imprópria de informação de forma não autorizada está relacionada ao contexto de ✂️ a) autenticidade. ✂️ b) responsabilização. ✂️ c) confidencialidade. ✂️ d) disponibilidade. ✂️ e) integridade. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 12Q905733 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024Um Sistema de Gestão de Continuidade de Negócios (SGCN) aumenta o nível de resposta e prontidão da organização para continuar operando durante disrupções. A ABNT NBR ISO 22313:2020 define os seis elementos da gestão de continuidade de negócios. O elemento que fornece o resultado que permite à organização determinar parâmetros apropriados para as suas estratégias e soluções de continuidade de negócios é o de ✂️ a) análise de impacto nos negócios e avaliação de riscos ✂️ b) avaliação da documentação e das capacidades de continuidade de negócios ✂️ c) planejamento e controle operacional ✂️ d) planos e procedimentos de continuidade de negócios ✂️ e) programa de exercícios Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 13Q905749 | Redes de Computadores, Proxy, Cibersegurança, BNDES, CESGRANRIO, 2024O Common Weakness Enumeration (CWE) é uma base de conhecimento sobre fraquezas comuns em hardware e software que, sob certas circunstâncias, podem contribuir para a introdução de vulnerabilidades. O CWE Top 25 de 2023 demonstra as fraquezas de software mais comuns e impactantes atualmente. Dentre essas 25 fraquezas, destaca-se uma na qual o servidor web recebe uma URL e recupera o conteúdo dessa URL, mas não garante suficientemente que a solicitação seja enviada ao destino esperado, permitindo que o servidor seja usado como um proxy para realizar a varredura de portas de hosts em redes internas. Essa fraqueza é listada no CWE como ✂️ a) SSRF ✂️ b) CSRF ✂️ c) Out-of-bounds read ✂️ d) Missing Authorization ✂️ e) Deserialization of Untrusted Data Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 14Q905734 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A ABNT NBR ISO/IEC 27035-1:2023 destina-se a complementar outras normas e documentos que fornecem orientação sobre a investigação e preparação para investigar incidentes de segurança da informação. Conforme definido nessa norma, o processo de gestão de incidentes de segurança da informação consiste em cinco fases distintas. Há uma fase na qual pode ocorrer a necessidade de invocar medidas do plano de continuidade de negócios ou do plano de recuperação de desastre para os incidentes que excedam determinados limites organizacionais para as equipes de resposta a incidentes. Essa fase é a de ✂️ a) avaliar e decidir ✂️ b) detectar e comunicar ✂️ c) lições aprendidas ✂️ d) planejar e preparar ✂️ e) responder Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 15Q905735 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024De acordo com a ABNT NBR ISO 22301:2020, um Sistema de Gestão de Continuidade de Negócios (SGCN) reforça a importância de entender as necessidades da organização e a imprescindibilidade de estabelecimento de uma política e de objetivos para a continuidade dos negócios. Conforme essa norma, um dos benefícios para a organização, da perspectiva de processos internos, é que um SGCN ✂️ a) cria vantagem competitiva. ✂️ b) melhora a capacidade de permanecer eficaz durante as disrupções. ✂️ c) protege e melhora a sua reputação e credibilidade. ✂️ d) reduz a exposição legal e financeira. ✂️ e) reduz custos diretos e indiretos de disrupções. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 16Q897153 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024O TJ-RR realiza backups completos aos domingos e backups diferenciais diariamente durante a semana. Após uma falha crítica no sistema na sexta-feira, a equipe de TI precisa restaurar os dados o mais rápido possível para retomar as operações. Sabendo que o objetivo é minimizar o tempo de restauração, um procedimento que melhoraria significativamente o processo de recuperação dos dados seria ✂️ a) implementar um backup diferencial adicional às quartas-feiras. ✂️ b) substituir os backups diferenciais por backups completos diários. ✂️ c) realizar backups incrementais após o backup diferencial de quarta-feira. ✂️ d) utilizar backups incrementais ao invés de diferenciais durante toda a semana. ✂️ e) alternar entre backups diferenciais e incrementais a cada dois dias. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 17Q905740 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024O padrão IEEE 802.1X fornece um controle de acesso à rede de comunicação de dados, através de um mecanismo de autenticação que envolve três partes: o suplicante, o autenticador e o servidor de autenticação. Durante o processo de autenticação, a entidade que deseja acessar a rede (suplicante) interage diretamente com a entidade que fornece o acesso à rede (autenticador). O autenticador interage diretamente com a entidade que decide se o suplicante pode ou não acessar a rede (servidor de autenticação). O protocolo de comunicação utilizado pelo suplicante para interagir com o autenticador durante o processo de autenticação é o ✂️ a) EAP ✂️ b) SAML ✂️ c) LDAP ✂️ d) OAuth2 ✂️ e) RADIUS Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 18Q1037585 | Redes de Computadores, Protocolo, Cibersegurança, TJ RR, FGV, 2024O gerenciamento de redes envolve diversas práticas e protocolos que permitem monitorar e gerenciar a operação de dispositivos em uma infraestrutura de rede. O protocolo amplamente utilizado para o gerenciamento e monitoramento de dispositivos de rede é o ✂️ a) HTTP. ✂️ b) FTP. ✂️ c) SNMP. ✂️ d) SMTP. ✂️ e) DNS. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 19Q905729 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024O NIST cybersecurity framework (NCF) é um documento que provê organizações com instruções para melhorar o gerenciamento de riscos de segurança cibernética. Uma das sugestões é a representação da maturidade do gerenciamento e da governança de ameaças cibernéticas através de níveis (tiers). Considere que duas organizações, W e Y, utilizam-se do NCF como referência e indicam que estão, respectivamente, nos tiers 3 e 4. As organizações W e Y estão em níveis diferentes de maturidade e, por isso, têm características específicas em alguns aspectos. Quais são essas características específicas? ✂️ a) Y implementa o gerenciamento de risco cibernético de maneira irregular e por iniciativas pontuais de colaboradores. ✂️ b) W gerencia os riscos cibernéticos em um nível organizacional, mas ainda sem a percepção de que esse gerenciamento é parte da cultura organizacional, como ocorre na organização Y. ✂️ c) W está mais protegida contra ataques cibernéticos do que a organização Y. ✂️ d) W e Y, embora estejam em níveis distintos, cuidam da segurança sem estabelecimento formal das práticas e procedimentos. ✂️ e) Y se encontra no nível mais alto de maturidade, não sendo mais necessário se atualizar a novos riscos cibernéticos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 20Q905748 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A taxonomia das táticas, técnicas e subtécnicas adversárias proposta pela MITRE ATT&CK® estabelece uma linguagem comum para compartilhar informações sobre ameaças cibernéticas e para colaborar na prevenção de ameaças. Um exemplo de técnica da tática de evasão de defesa da matriz para empresas da MITRE ATT&CK® é ✂️ a) criar conta. ✂️ b) usar força bruta. ✂️ c) ocultar artefatos. ✂️ d) coletar informações do host da vítima. ✂️ e) criar e modificar processos do sistema. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro 🖨️ Baixar PDFPróximo →
1Q905736 | Redes de Computadores, Endereçamento IP, Cibersegurança, BNDES, CESGRANRIO, 2024Um atacante presente numa rede local quer realizar um ataque para atuar como man-in-the-middle entre uma estação vítima e o default gateway da rede. Para executar esse ataque, o atacante quer fazer com que a estação da vítima associe o endereço MAC usado pelo atacante ao endereço IP do default gateway da rede. Além disso, quer fazer com que o default gateway da rede associe o endereço MAC usado pelo atacante ao endereço IP da estação da vítima. Para conseguir realizar essas associações, o atacante deve usar a técnica de ✂️ a) IP Spoofing ✂️ b) ARP Spoofing ✂️ c) ICMP Spoofing ✂️ d) TCP Flooding ✂️ e) TCP Hijacking Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
2Q897147 | Segurança da Informação, Segurança na Internet, Cibersegurança, TJ RR, FGV, 2024O tratamento e resposta a incidentes é uma operação complexa e vital para aumentar proteção de ativos cibernéticos conectados à internet, e diminuir o tempo de resposta aos ataques. Por exemplo, um dos ataques de maior impacto atualmente é o DDoS (Distributed Denial of Service) que visa deixar serviços indisponíveis para usuários legítimos por meio da inundação dos recursos (de rede ou processamento) do servidor, com requisições de múltiplas fontes, geralmente infectadas (conhecidas como bots). Nesse contexto, a resposta a esse tipo de incidente ✂️ a) deve ser de responsabilidade exclusiva do CERT.br, que deve saná-lo solitariamente. ✂️ b) deve estar condicionada à integração dos diversos CSITR na estrutura identificando vulnerabilidades exploradas e bots. ✂️ c) deve ser calcada em simulações feitas anteriormente em pentest, com uma máquina única realizando um DDoS. ✂️ d) não deve ser realizada em alguns casos, pois reportar ataques que atingem acima de 3Tbps é inútil. ✂️ e) deve ser realizada pelo CSITR da empresa afetada, e ocultada dos demais CSITR para preservar a imagem da organização. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
3Q905737 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024O código malicioso é aquele programa de computador que tem o potencial de danificar sua vítima, mas nem sempre age dessa forma. Alguns códigos maliciosos optam por furtar dados pessoais, enquanto outros usam recursos de computação da vítima em benefício próprio, sem o conhecimento ou a autorização da vítima. Dentre esses códigos maliciosos, existe uma certa categoria que visa utilizar código Javascript malicioso para furtar dados de cartão de crédito e outras informações preenchidas em páginas de pagamento de web sites de e-Commerce. Essa categoria de códigos maliciosos é conhecida como ✂️ a) worm ✂️ b) formjacking ✂️ c) downloader ✂️ d) ransomware ✂️ e) cryptojacking Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
4Q897146 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024No contexto de criptografia de chave simétrica, faça a associação dos seguintes algoritmos com as técnicas de cifragem utilizadas. 1. Cifra de bloco. 2. Cifra de fluxo. ( ) 3DES. ( ) RC4. ( ) AES. ( ) SEAL. A associação correta, na ordem dada, é ✂️ a) 1 – 1 – 2 – 1. ✂️ b) 2 – 1 – 2 – 2. ✂️ c) 1 – 2 – 1 – 2. ✂️ d) 2 – 2 – 1 – 1. ✂️ e) 2 – 2 – 1 – 2. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
5Q905732 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A ABNT NBR ISO/IEC 27005:2023 é uma norma com orientações para ajudar as organizações na realização de atividades de gestão de riscos de segurança da informação. Essa norma apresenta termos e definições importantes, com o propósito de facilitar a compreensão do documento da norma e de evitar ambiguidades que possam provocar uma interpretação errônea do seu texto. De acordo com essa norma, vulnerabilidade é a(o) ✂️ a) causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização. ✂️ b) fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa. ✂️ c) ocorrência ou mudança de um conjunto específico de circunstâncias. ✂️ d) elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco. ✂️ e) evento de segurança da informação indesejado ou inesperado que tem probabilidade significativa de comprometer as operações do negócio. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
6Q905742 | Segurança da Informação, Autenticação, Cibersegurança, BNDES, CESGRANRIO, 2024O Transport Layer Security (TLS) é um padrão de comunicação segura que criptografa e autentica a comunicação entre aplicativos e servidores para assegurar proteção de dados. As duas versões mais comuns ainda em uso hoje são o TLS 1.2 e o mais recente protocolo TLS 1.3. Existem várias diferenças importantes entre essas versões que melhoram a segurança, o desempenho e a privacidade. Dentre as principais diferenças, verifica-se que o TLS 1.3 suporta ✂️ a) apenas a cifragem AEAD com algoritmos fortes, como o AES-GCM e o Cha-Cha20-Poly1305. ✂️ b) apenas o handshake completo com dois round-trips, enquanto versões antigas suportam o handshake com um round-trip ou zero round-trip, com retomada da sessão. ✂️ c) opcionalmente a cifragem simétrica DES e 3DES, mas removeu os algoritmos MD5 e SHA-1. ✂️ d) opcionalmente o forward secrecy para trocas de chaves, usando Diffie–Hellman e Diffie–Hellman de curva elíptica. ✂️ e) opcionalmente trocas de chaves RSA estáticas, nas quais os servidores usam certificados com chaves RSA para criptografar chaves de sessão e trocá-las com clientes. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
7Q897148 | Redes de Computadores, Cibersegurança, TJ RR, FGV, 2024O NAC (Network Access Control) pode utilizar diferentes métodos de verificação para garantir que dispositivos remotos estejam em conformidade com as políticas de segurança da rede. Esses métodos incluem agentes permanentes, dissolúveis e soluções sem agentes, cada um com vantagens e desvantagens. Uma limitação operacional das soluções NAC sem agentes ✂️ a) é a complexidade de implementação, pois é necessário instalar software adicional nos dispositivos finais. ✂️ b) é a incapacidade de realizar verificações de conformidade em dispositivos que utilizam sistemas operacionais baseados em Linux. ✂️ c) é a dificuldade em obter informações detalhadas sobre o estado de segurança dos dispositivos, limitando as verificações a um nível superficial. ✂️ d) é a incompatibilidade com dispositivos que se conectam à rede via conexões sem fio. ✂️ e) são dispositivos que não suportam a instalação de agentes ou têm restrições de software não podem ser gerenciados. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
8Q897149 | Redes de Computadores, DNS Domain Name System, Cibersegurança, TJ RR, FGV, 2024Você, como analista de segurança ou de infraestrutura do TJ-RR, pode ser incumbido de instalar e configurar servidores para resoluções de nomes de domínio da Internet. Uma das soluções mais robustas para esse fim é o BIND, do Internet Systems Consortium (ISC). Em relação a boas práticas recomendadas pelo ISC para administração do BIND, avalie as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa. ( ) Assegurar que a infraestrutura utilizada suporte EDNS0 e pacotes UDP de tamanhos reduzidos. ( ) Não combinar funções de servidor de nomes autoritativas e recursivas no mesmo servidor. ( ) Empregar firewalls/filtros de pacotes com estado em seus servidores para tráfego de consulta de saída. As afirmativas são, respectivamente, ✂️ a) V – F – V. ✂️ b) V – V – V. ✂️ c) V – F – F. ✂️ d) F – V – V. ✂️ e) F – V – F. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
9Q897144 | Segurança da Informação, Malware, Cibersegurança, TJ RR, FGV, 2024Correlacione as afirmativas sobre segurança de ativos em uma rede corporativa a seguir com os tipos de malware contra os quais se pretende proteger. ( ) Trojan ( ) Worm ( ) Spyware ( ) Ransomware 1. O Firewall pode proteger desse malware bloqueando a replicação dele entre segmentos de rede. 2. A mitigação mais efetiva contra esse malware é a execução regular de backup dos dados. 3. O uso de proxy pode ajudar contra este tipo de malware, realizando varredura contra malware em todos os arquivos baixados por computadores na rede corporativa. 4. O bloqueio de tráfego de saída no firewall pode impedir que os dados obtidos por esse malware sejam exfiltrados através da internet. Assinale a opção que indica a relação correta, na ordem apresentada. ✂️ a) 2 – 4 – 3 – 1. ✂️ b) 2 – 1 – 4 – 3. ✂️ c) 3 – 2 – 1 – 4. ✂️ d) 3 – 1 – 4 – 2. ✂️ e) 1 – 4 – 3 – 2. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
10Q905730 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A Norma ISO/27001:2022 elenca as boas práticas na implantação de um sistema de gestão de segurança da informação (SGSI) para organizações. Essa norma é calcada na estrutura PDCA (Plan, Do, Check, Act) e elenca ações a serem feitas a cada uma das etapas. Com relação ao ciclo PDCA no contexto da implantação de um SGSI, a estrutura adotada é ✂️ a) padronizada, com cada etapa sendo executada uma vez, e com maior relevância para a etapa de planejamento. ✂️ b) única para cada organização, devendo ter apenas etapas consideradas aplicáveis à organização onde está sendo implementada. ✂️ c) elíptica, com a etapa de atuação baseada nos resultados avaliados na etapa de execução. ✂️ d) iterativa, com uma etapa de planejamento ocorrendo após cada etapa de atuação. ✂️ e) quadrada, com cada etapa sendo executada uma vez, e de igual relevância para o sucesso. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
11Q897145 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024A criptografia é o estudo e a prática de técnicas que envolvem a criação de algoritmos matemáticos para transformar dados em formatos indecifráveis para pessoas não autorizadas e, assim, proteger informações sensíveis durante sua transmissão ou armazenamento. Nesse caso, a prevenção contra a modificação ou destruição imprópria de informação de forma não autorizada está relacionada ao contexto de ✂️ a) autenticidade. ✂️ b) responsabilização. ✂️ c) confidencialidade. ✂️ d) disponibilidade. ✂️ e) integridade. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
12Q905733 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024Um Sistema de Gestão de Continuidade de Negócios (SGCN) aumenta o nível de resposta e prontidão da organização para continuar operando durante disrupções. A ABNT NBR ISO 22313:2020 define os seis elementos da gestão de continuidade de negócios. O elemento que fornece o resultado que permite à organização determinar parâmetros apropriados para as suas estratégias e soluções de continuidade de negócios é o de ✂️ a) análise de impacto nos negócios e avaliação de riscos ✂️ b) avaliação da documentação e das capacidades de continuidade de negócios ✂️ c) planejamento e controle operacional ✂️ d) planos e procedimentos de continuidade de negócios ✂️ e) programa de exercícios Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
13Q905749 | Redes de Computadores, Proxy, Cibersegurança, BNDES, CESGRANRIO, 2024O Common Weakness Enumeration (CWE) é uma base de conhecimento sobre fraquezas comuns em hardware e software que, sob certas circunstâncias, podem contribuir para a introdução de vulnerabilidades. O CWE Top 25 de 2023 demonstra as fraquezas de software mais comuns e impactantes atualmente. Dentre essas 25 fraquezas, destaca-se uma na qual o servidor web recebe uma URL e recupera o conteúdo dessa URL, mas não garante suficientemente que a solicitação seja enviada ao destino esperado, permitindo que o servidor seja usado como um proxy para realizar a varredura de portas de hosts em redes internas. Essa fraqueza é listada no CWE como ✂️ a) SSRF ✂️ b) CSRF ✂️ c) Out-of-bounds read ✂️ d) Missing Authorization ✂️ e) Deserialization of Untrusted Data Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
14Q905734 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A ABNT NBR ISO/IEC 27035-1:2023 destina-se a complementar outras normas e documentos que fornecem orientação sobre a investigação e preparação para investigar incidentes de segurança da informação. Conforme definido nessa norma, o processo de gestão de incidentes de segurança da informação consiste em cinco fases distintas. Há uma fase na qual pode ocorrer a necessidade de invocar medidas do plano de continuidade de negócios ou do plano de recuperação de desastre para os incidentes que excedam determinados limites organizacionais para as equipes de resposta a incidentes. Essa fase é a de ✂️ a) avaliar e decidir ✂️ b) detectar e comunicar ✂️ c) lições aprendidas ✂️ d) planejar e preparar ✂️ e) responder Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
15Q905735 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024De acordo com a ABNT NBR ISO 22301:2020, um Sistema de Gestão de Continuidade de Negócios (SGCN) reforça a importância de entender as necessidades da organização e a imprescindibilidade de estabelecimento de uma política e de objetivos para a continuidade dos negócios. Conforme essa norma, um dos benefícios para a organização, da perspectiva de processos internos, é que um SGCN ✂️ a) cria vantagem competitiva. ✂️ b) melhora a capacidade de permanecer eficaz durante as disrupções. ✂️ c) protege e melhora a sua reputação e credibilidade. ✂️ d) reduz a exposição legal e financeira. ✂️ e) reduz custos diretos e indiretos de disrupções. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
16Q897153 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024O TJ-RR realiza backups completos aos domingos e backups diferenciais diariamente durante a semana. Após uma falha crítica no sistema na sexta-feira, a equipe de TI precisa restaurar os dados o mais rápido possível para retomar as operações. Sabendo que o objetivo é minimizar o tempo de restauração, um procedimento que melhoraria significativamente o processo de recuperação dos dados seria ✂️ a) implementar um backup diferencial adicional às quartas-feiras. ✂️ b) substituir os backups diferenciais por backups completos diários. ✂️ c) realizar backups incrementais após o backup diferencial de quarta-feira. ✂️ d) utilizar backups incrementais ao invés de diferenciais durante toda a semana. ✂️ e) alternar entre backups diferenciais e incrementais a cada dois dias. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
17Q905740 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024O padrão IEEE 802.1X fornece um controle de acesso à rede de comunicação de dados, através de um mecanismo de autenticação que envolve três partes: o suplicante, o autenticador e o servidor de autenticação. Durante o processo de autenticação, a entidade que deseja acessar a rede (suplicante) interage diretamente com a entidade que fornece o acesso à rede (autenticador). O autenticador interage diretamente com a entidade que decide se o suplicante pode ou não acessar a rede (servidor de autenticação). O protocolo de comunicação utilizado pelo suplicante para interagir com o autenticador durante o processo de autenticação é o ✂️ a) EAP ✂️ b) SAML ✂️ c) LDAP ✂️ d) OAuth2 ✂️ e) RADIUS Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
18Q1037585 | Redes de Computadores, Protocolo, Cibersegurança, TJ RR, FGV, 2024O gerenciamento de redes envolve diversas práticas e protocolos que permitem monitorar e gerenciar a operação de dispositivos em uma infraestrutura de rede. O protocolo amplamente utilizado para o gerenciamento e monitoramento de dispositivos de rede é o ✂️ a) HTTP. ✂️ b) FTP. ✂️ c) SNMP. ✂️ d) SMTP. ✂️ e) DNS. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
19Q905729 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024O NIST cybersecurity framework (NCF) é um documento que provê organizações com instruções para melhorar o gerenciamento de riscos de segurança cibernética. Uma das sugestões é a representação da maturidade do gerenciamento e da governança de ameaças cibernéticas através de níveis (tiers). Considere que duas organizações, W e Y, utilizam-se do NCF como referência e indicam que estão, respectivamente, nos tiers 3 e 4. As organizações W e Y estão em níveis diferentes de maturidade e, por isso, têm características específicas em alguns aspectos. Quais são essas características específicas? ✂️ a) Y implementa o gerenciamento de risco cibernético de maneira irregular e por iniciativas pontuais de colaboradores. ✂️ b) W gerencia os riscos cibernéticos em um nível organizacional, mas ainda sem a percepção de que esse gerenciamento é parte da cultura organizacional, como ocorre na organização Y. ✂️ c) W está mais protegida contra ataques cibernéticos do que a organização Y. ✂️ d) W e Y, embora estejam em níveis distintos, cuidam da segurança sem estabelecimento formal das práticas e procedimentos. ✂️ e) Y se encontra no nível mais alto de maturidade, não sendo mais necessário se atualizar a novos riscos cibernéticos. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro
20Q905748 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024A taxonomia das táticas, técnicas e subtécnicas adversárias proposta pela MITRE ATT&CK® estabelece uma linguagem comum para compartilhar informações sobre ameaças cibernéticas e para colaborar na prevenção de ameaças. Um exemplo de técnica da tática de evasão de defesa da matriz para empresas da MITRE ATT&CK® é ✂️ a) criar conta. ✂️ b) usar força bruta. ✂️ c) ocultar artefatos. ✂️ d) coletar informações do host da vítima. ✂️ e) criar e modificar processos do sistema. Resolver questão 🗨️ Comentários 📊 Estatísticas 📁 Salvar 🧠 Mapa Mental 🏳️ Reportar erro