Selecione os filtros para encontrar suas questões de concursos e clique no botão abaixo para filtrar e resolver.
Nada por aqui
Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.
Com respeito a vulnerabilidades e ataques a sistemas
computacionais, julgue os itens que se seguem.
A técnica denominada SQL injection tem por objetivo o acesso a bancos de dados por meio de aplicações web. Ataques embasados nessa técnica podem ser evitados por checagem de dados de entrada no backend e frontend da aplicação.
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
Em um mundo digital, exploits zero-day são amplamente encontrados, sendo desnecessário conhecimento técnico elaborado para os hackers descobrirem novas brechas, porque a maioria dos usuários não atualiza seus equipamentos com frequência.
No contexto da segurança, pode ser definida como a fraqueza ou deficiência que pode ser explorada. Trata-se de:
Julgue o próximo item, a respeito de gerência de riscos.
Risco é o efeito da incerteza nos objetivos, sendo normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.
Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir:
- um Auditor Tributário não estava usando crachá;
- o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;
- um curto-circuito ocorreu no estabilizador naquela tarde;
- fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;
- a chave da sala de servidores havia sumido;
- faltou energia na sala da cobertura do prédio ontem;
- o alarme de detecção de intrusos estava quebrado.
Essa lista
Julgue o próximo item, a respeito de gerência de riscos.
Para gerenciar riscos, devem-se considerar os contextos externo e interno da organização, salvo o comportamento humano.
Estimar a probabilidade de uma ameaça se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurança pode acarretar são atividades resultantes da análise/avaliação de riscos.
Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de
Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um incidente indesejado, a qual pode resultar, ou não, em prejuízos para uma organização e seus ativos.
técnica de Defesa em Profundidade utiliza camadas de segurança mantidas por vários componentes que se complementam para formar um quadro de segurança completo. Um dos principais componentes é o firewall com estado que, diferente do filtro de pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes SYN forjados por estações localizadas na rede externa. Que tipo de ataque é formado por pacotes SYN/ACK?
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
As melhores práticas estabelecem que, para combater a disseminação de zero days, as organizações podem publicar um processo de vulnerabilidades, mantendo relatórios de segurança e triagem dos problemas reportados internamente.
Uma empresa recebeu um relatório de segurança de uma consultoria, em que são apontados alguns exemplos de ameaças, tais como
A respeito de planejamento, identificação e análise de riscos, julgue
os itens subsecutivos.
Riscos residuais referem-se aos riscos para os quais ainda não foram estabelecidos controles dentro do tratamento de riscos.
A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.