Questões de Concursos Segurança da Informação

O Certificado Digital é um produto que deve ser entendido como um software personalizado. No procedimento de sua emissão, são verificadas caraterísticas pessoais de cada adquirente. Os dois tipos de certificado digital existentes na estrutura ICP-Brasil são o

No processo de segurança da informação em uma organização, o quesito que garante que a informação não pode ser corrompida ao longo de tempo é a

Em um projeto para a elaboração de políticas de segurança da informação, as ações que acontecerão durante a totalidade do projeto são definidas no item conhecido como

Ameaças persistentes avançadas (APT) utilizam múltiplos vetores de ataque em explorações personalizadas e complexas. A principal característica desse tipo de ameaça é a persistência de forma oculta por um longo período de tempo, com o objetivo de exfiltrar dados ou conduzir interrupção sustentada das operações de negócios de um alvo. Pode ser considerada uma técnica de persistência:

Em relação à análise de código malicioso e às técnicas de sandboxing, julgue os itens a seguir.
Uma sandbox é um ambiente de segurança isolado que permite a execução de programas ou códigos potencialmente perigosos sem que eles afetem diretamente o sistema operacional principal ou outros arquivos importantes da máquina.

Um sistema de consulta a registros de rede, disponível em uma intranet corporativa, recebe parâmetros de entrada a partir de requisições HTTP e utiliza-os na composição de comandos de consulta ao seu repositório de dados. Durante um teste de vulnerabilidades relacionadas a ataques contra aplicações, a seguinte entrada foi fornecida por um programa testador no parâmetro de consulta de endereço IP da aplicação:

10.0.0.1'; DELETE FROM registros; --

Após o envio da requisição, um comportamento indesejado ocorreu e verificou-se que o artifício poderia ser objetivamente usado em um ataque real.

Em relação à situação hipotética apresentada, assinale a opção correta.

Uma fintech está desenvolvendo um aplicativo que utiliza criptografia assimétrica para autenticar transações financeiras. Cada usuário possui um par de chaves gerado localmente (privada e pública). No entanto, um usuário perdeu o dispositivo onde sua chave privada estava armazenada, mas ainda possui a chave pública registrada no servidor.

Assinale a opção que apresenta o impacto mais provável dessa situação.

Referente à Norma ISO 27001 analise as afirmativas abaixo e assinale a alternativa correta.

I. para implementar a ISO 27001, em uma organização, tem que se seguir 61 etapas.
II. a ISO 27001 tornou-se a mais popular norma de segurança da informação no mundo.
III.existem dois tipos de certificação ISO 27001: para organizações, e para indivíduos.

A implantação de uma autenticação em dois fatores para sistemas web é importante porque

Em uma empresa ocorreu um incidente de segurança no qual uma das contas de e-mail de seus funcionários foi comprometida e começou a enviar diversos e-mails de SPAM para todos os endereços cadastrados na sua lista de contatos.
Durante a análise do ocorrido, um analista de segurança concluiu que a conta não foi comprometida por infecção de malware na máquina, mas sim que o próprio usuário havia inadvertidamente disponibilizado sua senha para o atacante após clicar em um link malicioso que havia recebido.
Assinale a opção que indica a técnica usada nesse ataque e um exemplo de seu uso.

A abordagem que é aplicada por um Sistema Hospedeiro de Detecção de Intrusão (Host-Based Intrusion Detection System - HIDS) é

O tipo de backup que copia somente os dados modificados desde a última operação de backup é conhecido como backup:

Sobre certificado digital, é INCORRETO afirmar que:

A certificação digital é uma tecnologia que utiliza criptografia para fornecer segurança em transações eletrônicas, autenticando digitalmente as partes envolvidas e garantindo a integridade das informações. Assinale a alternativa que mostra corretamente o nome do protocolo utilizado para emissão e revogação de certificados digitais na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)?

O Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de políticas, procedimentos, diretrizes e recursos associados, que são utilizados para proteger a informação dentro de uma organização.
Assinale, entre as normas da International Organization for Standardization (ISO) e/ou International Electrotechnical Commission (IEC) apresentadas abaixo, aquela que oferece estrutura abrangente para a implantação de um SGSI.

Qual das seguintes alternativas descreve corretamente a principal diferença entre um backup incremental e um backup diferencial?

Claudio é o administrador de sistemas de uma grande empresa de tecnologia. Ele começou a notar que, em momentos aleatórios, alguns servidores críticos da empresa são interrompidos, paralisando importantes operações de negócios. Após uma investigação aprofundada, Claudio descobre que esses incidentes estão ocorrendo devido a um tipo específico de ataque que usa pacotes cuja estrutura aciona um bug no software de tratamento de rede do sistema. Isso significa que o sistema não pode mais se comunicar pela rede até esse software ser reativado, em geral mediante a reinicialização do sistema- alvo.

Esse tipo de ataque denomina-se:

Qual dos seguintes tipos de criptografia utiliza a mesma chave para a criptografia e a descriptografia de dados?

OWASP Top 10 (ano base 2021) é um documento de conscientização voltado para desenvolvedores e para a segurança de aplicativos da Web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicativos da Web. Um dos ataques descritos no documento é injeção de códigos maliciosos. Com relação às medidas de evitar esse tipo de ataque, analise as afirmativas a seguir.

I. A opção preferida é usar APIs seguras que evitam usar o interpretador de comandos, elas fornecem uma interface parametrizada ou migram para Object Graph Navigation Library (OGNL)

II. Recomenda-se o uso da cláusula UNIQUE em consultas SQL para evitar a divulgação em massa de registros em caso de injeção de SQL.

III. Recomenda-se o uso de validação de entrada positiva do lado do servidor. Esta não é uma defesa completa, pois muitos aplicativos exigem caracteres especiais, como áreas de texto ou APIs para aplicativos móveis.


Está correto o que se afirma em