Questões de Concurso de Segurança da Informação

61 Q1068252

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: FGV

Ao analisar uma aplicação web, um auditor verificou que ela estava vulnerável a um ataque conhecido como SSRF, uma das vulnerabilidades Top Ten 2021 do OWASP.
Caso um invasor consiga explorar tal vulnerabilidade, ele poderá

A ler os conteúdos dos cookies que um navegador armazenou relativos a um dado domínio.
B executar scripts no navegador da vítima, podendo inclusive realizar um sequestro de sessão do usuário.
C injetar dados maliciosos no banco de dados da aplicação.
D realizar requisições não autorizadas a outras localidades por meio do lado servidor dessa aplicação web vulnerável.
E realizar uma desfiguração em qualquer página da aplicação web vulnerável.

62 Q1068242

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: FGV

Um novo sistema operacional foi instalado nos servidores de um Centro de Dados, e a equipe de segurança recebeu a informação de que o novo sistema pode ter uma vulnerabilidade dia-zero. As vulnerabilidades dia-zero são perigosas porque são desconhecidas e suas correções ainda não foram produzidas. Durante o período de espera pela correção, os usuários ficam sujeitos às tentativas de explorações dessas vulnerabilidades pelos hackers. Uma das formas utilizadas pelos hackers para a descoberta das vulnerabilidades dia-zero é o fuzzing, cujo processo de funcionamento consiste em:

A inserir muitos dados em intervalos diferentes e verificar como um programa responde; B adaptar vulnerabilidades anteriores a novos programas; C roubar a identidade de um desenvolvedor para ter acesso ao código-fonte do programa; D confundir um roteador a fim de se passar por um ativo da rede; E enviar um código malicioso através de uma porta aberta na aplicação.

63 Q1068145

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CEFET-MG

O gráfico a seguir contém o percentual dos incidentes reportados ao CERT.br em 2020.

Imagem associada para resolução da questão

Legenda
• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• DoS (Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. • web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou d...

A I.
B II.
C III.
D I e II.
E II e III.

64 Q1067689

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: FGV

PedidosSemEstresse é uma aplicação Web destinada a digitalizar o processo de pedidos de serviços de um órgão da administração pública. A interface de PedidosSemEstresse utilizada pelos usuários faz chamadas a uma API RESTful e não utiliza facilidades de login único (single sign-on – SSO). Recentemente, o usuário interno João utilizou suas próprias credenciais com privilégios somente de execução de métodos GET para explorar vulnerabilidades e teve acesso direto a API RESTful. Assim, João fez chamadas a métodos POST com sucesso.
Com base no OWASP Top Ten, a vulnerabilidade explorada por João é da categoria:

A Injection; B Broken Access Control; C Software and Data Integrity Failures; D Vulnerable and Outdated Components; E Identification and Authentication Failures

65 Q1067286

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CESPE / CEBRASPE

A avaliação do risco em uma organização deve contemplar a identificação, quantificação e priorização do risco em relação ao critério de aceitação do risco. Os riscos que não puderem ser aceitos pela organização deverão ser tratados. Nesse sentido, uma opção adequada de resposta ao risco é

A compartilhar o risco, implementando ações e aplicando o correto controle para reduzir o nível de aceitação do risco. B evitar o risco, aplicando-se os controles apropriados para reduzir os impactos do risco. C mitigar o risco, transferindo-o para outros parceiros — por exemplo, fornecedores ou seguradoras. D aceitar o risco, conhecendo-o, e não implementar ações, pois o risco atende os critérios de aceitação.

66 Q1067282

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CESPE / CEBRASPE

Para uma efetiva gestão de riscos, é preciso, inicialmente, fazer o levantamento das ameaças e seus impactos, da probabilidade de concretização das ameaças e dos riscos potenciais. Para a implementação da gestão de riscos, devem ser considerados três níveis, cujas respectivas finalidades são

I garantir a adequação técnica necessária ao tratamento adequado dos riscos;

II assegurar que as atividades que compreendem a gestão de riscos sejam consideradas de forma sistemática; e

III permitir que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os riscos e possam ajudar a r...

A ativos, ameaças e impactos. B hardwares, softwares e dados. C tecnologias, processos e pessoas. D de importância, grau de severidade das perdas e custos envolvidos.

67 Q1067281

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CESPE / CEBRASPE

Na avaliação de riscos, procura-se uma base que sirva para efeitos de comparação, como a análise e a avaliação de riscos efetuadas em épocas anteriores. O conhecimento prévio de impactos e probabilidades de riscos é sempre relevante para uma avaliação adequada e completa. Por outro lado, há basicamente dois modos de realizar a avaliação de riscos, os quais se baseiam

A no controle e na classificação de recursos computacionais. B nas estimativas quantitativa e qualitativa. C no custo e benefício. D nos níveis de tecnologia e processos.

68 Q1067280

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CESPE / CEBRASPE

Assinale a opção que corresponde ao processo de identificação, classificação e tratamento das vulnerabilidades, em que o tratamento consiste ou na correção da vulnerabilidade e aplicação de controles para minimizar a probabilidade de exploração ou o impacto, ou na aceitação do risco.

A gestão de vulnerabilidades B gestão de incidentes de segurança da informação C scanner de vulnerabilidades D auditoria de sistemas de informação

69 Q1067276

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CESPE / CEBRASPE

Na gestão de riscos, o tratamento de riscos

A corresponde à seleção e implementação de medidas para modificar determinado risco. B identifica e estima riscos, considerando o uso sistemático de informações, além de englobar a análise de ameaças, vulnerabilidades e impactos. C compreende todas as ações tomadas para controlar os riscos em uma organização, incluindo-se análise/avaliação, tratamento, aceitação e comunicação de riscos. D compara o risco estimado na análise com critérios predefinidos, com o objetivo de identificar a importância do risco para a organização.

70 Q1067275

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos

Ano: 2022

Banca: CESPE / CEBRASPE

No tratamento de riscos, as medidas de segurança são classificadas em

A corretivas e preventivas, apenas. B preventivas, orientativas e informativas. C orientativas e informativas, apenas. D corretivas, preventivas e orientativas.

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Comentários

Acesso Restrito

Estatísticas da Questão