A respeito do método de dicionário para decifragem de dados, é correto afirmar:

A gestão de riscos de TIC deve focar exclusivamente a mitigação de ameaças externas, como ataques cibernéticos e falhas de segurança, sem necessidade de considerar riscos internos, como erros operacionais, falhas de infraestrutura ou problemas de conformidade regulatória.

Em um computador, a execução remota de código (RCE) geralmente é permitida devido

Aline é policial investigativa e recebeu uma denúncia sobre a compra de registros de domínios de segundo nível. Ao buscar informações, identificou uma prática na qual indivíduos registravam vários domínios apenas para esperar vendê-los a uma parte interessada a um preço muito mais alto.
Aline fez um estudo do caso e viu que os indivíduos que executavam essa prática são conhecidos como:

No contexto de soluções para gerenciamento de contêineres e virtualização, osoftware utilizado especificamente para análise de vulnerabilidades de imagens de contêiner é o

No que se refere ao gerenciamento de segurança e risco organizacionais de Tecnologia da Informação, os gestores, em momentos de crises, devem criar cenários orçamentários adaptáveis que reflitam a realidade de sua função, de modo a alinhar os serviços de segurança e risco com o valor de uma unidade de negócios para otimizar custos e riscos. Nesse contexto, é recomendado aos gestores

Um servidor de páginas web, Ubuntu Server, publicou na internet um portal de notícias com uma vulnerabilidade. Ela permite que os clientes maliciosos deste servidor tenham acesso a sua estrutura de arquivos e diretórios por meio da manipulação das informações demandadas por uma variável PHP apresentada na URL de acesso desta página web.
Assinale, entre as opções abaixo, aquela que apresenta o tipo de vulnerabilidade presente nesta página web.

O MITRE ATT&CK é um modelo que busca categorizar o comportamento do atacante, com base em apenas dois componentes principais: táticas e procedimentos.

Segundo o documento OWASP Top 10 vulnerabilities de 2021, o design inseguro é uma categoria ampla que representa diferentes fraquezas que são expressas como "design de controle ausente ou ineficaz". O documento destaca que há uma diferença entre design inseguro e implementação insegura e distingue entre falhas de design e defeitos de implementação, pois eles têm diferentes causas e remediações. Um design seguro pode ter defeitos de implementação que levam a vulnerabilidades que podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação segura, pois, por definição, os controles de segurança necessários nunca foram criados para se defender contra ataques específicos. Avalie se as formas de prevenção contra o design inseguro expressas no OWASP, incluem:

I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro com profissionais de AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade e estabelecer e utilizar uma biblioteca de padrões de projeto seguros.

II. Escrever testes unitários e de integração para validar se todos os fluxos críticos são resistentes ao modelo de ameaça e compilar casos de uso e casos de uso incorreto para cada camada do aplicativo.

III. Unificar os controles de segurança em histórias de usuários e restringir verificações de plausibilidade em cada camada do seu aplicativo (do frontend ao backend) ao time de design e limitar o consumo de recursos computacionais por usuário ou serviço.


Está correto o que se afirma em

Karen é funcionária pública do Ministério Público da União (MPU) e foi designada para determinar e implementar controles de acordo com a Norma ABNT NBR ISO/IEC 27002:2022 para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) do MPU, baseado na ABNT NBR ISO/IEC 27001. Entretanto, para iniciar esse processo, Karen precisará determinar, junto com a organização, os requisitos de segurança necessários para atender a demanda do MPU.
Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são:

Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.

O Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica publicado pelo NIST provê uma orientação geral para a melhoria da governança de segurança cibernética para organizações que compõem a rede de infraestruturas críticas do país, como geração e distribuição de energia, distribuição de água entre outras.
Esse Guia estabelece níveis de implementação da estrutura de gestão da segurança cibernética, criando uma contextualização geral de como determinada organização trata o risco de segurança cibernética e os seus processos atualmente instalados para o gerenciamento desse risco.
Nesse contexto, é correto afirmar que

Durante uma auditoria de segurança de uma rede corporativa, foi descoberto que alguns servidores apresentavam vulnerabilidades significativas. Entre os problemas identificados foram relacionados vazamentos de senhas, diversas aplicações com falta de atualizações críticas e contas de ex-funcionários ainda ativas com permissões administrativas.
Com base nessa situação hipotética, considerando os problemas encontrados e as boas práticas de hardening, as seguintes combinações de medidas de segurança são as mais apropriadas para proteger esses servidores e mitigar essas vulnerabilidades:

DevSecOps é uma abordagem que integra segurança ao ciclo de vida do desenvolvimento de software, garantindo que vulnerabilidades sejam identificadas e corrigidas desde as primeiras etapas do processo. Uma das características dessa abordagem é a

No DevSecOps, diversas ferramentas são utilizadas para a segurança do software durante todo o ciclo de desenvolvimento. Uma das práticas dessa abordagem consiste na

A fim de identificar vulnerabilidades e entender o algoritmo criptográfico, foi realizada a análise de um firmware embarcado proprietário, compilado para uma arquitetura customizada RISC com instruções não padrão (ISA extension), que implementa rotinas criptográficas e anti-depuração avançadas, incluindo anti-tampering e control flow flattening, além de otimizações de compilador de tempo de ligação.
A partir da situação hipotética precedente, julgue os itens que se seguem.
O control flow flattening implementado no firmware pode ser eficientemente revertido por meio de técnicas de análise estática de descompiladores que utilizam algoritmos de reconhecimento de padrões baseados em grafos de fluxo de controle, restaurando o fluxo de execução original sem a necessidade de taint analysis ou execução simbólica.

A Gestão de Riscos de Segurança da Informação tem por objetivo minimizar a ocorrência de ameaças que podem interferir negativamente no recurso de informação utilizado por uma organização.
Sobre a gestão de riscos, assinale a alternativa incorreta.