O OAuth 2.0 é um protocolo amplamente utilizado para delegação de autorização, permitindo que aplicações acessem recursos protegidos em nome de um usuário sem que este revele suas credenciais. Com relação aos conceitos fundamentais desse protocolo, assinale a alternativa que contém o papel do Authorization Code no fluxo de autorização.

Um usuário relata que seu computador começou a apresentar janelas pop-ups constantes, redirecionamentos para sites desconhecidos e instalação de barras de ferramentas sem autorização. Além disso, o sistema ficou mais lento e o navegador passou a exibir anúncios invasivos mesmo sem estar conectado a nenhum site suspeito. Esse comportamento contém características específicas do tipo de malware denominado

A empresa Delta está desenvolvendo uma aplicação de consultas remotas para atender a um hospital. Após uma reunião com a direção do hospital, surgiu a necessidade de avaliação dos riscos com relação à confidencialidade das informações dos prontuários dos pacientes para que não se tornem públicos.
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com:

Uma empresa multinacional está migrando seus sistemas críticos para o ambiente de nuvem. Nesse processo, a equipe de auditoria identificou que os contratos com os provedores do serviço de nuvem não especificavam claramente as responsabilidades sobre a segurança da informação.
Para que a multinacional fique em conformidade com a norma ABNT NBR ISO/IEC 27002:2013, o controle a ser aplicado para mitigar o risco é:

Durante uma auditoria de conformidade com a ABNT NBR ISO/IEC 27001:2013 em um hospital, foi identificado que o armazenamento de prontuários na nuvem foi terceirizado, mas não foi realizada uma avaliação formal de riscos nem foram estabelecidas cláusulas contratuais sobre segurança da informação com o provedor. Além disso, nesse processo, os dados estavam sendo transmitidos sem a criptografia adequada.
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá:

Um gestor de segurança da informação estabeleceu o seguinte conjunto de OKR (Objectives and Key Results) para um projeto de segurança:

• O: fortalecer a imagem de segurança corporativa;
• KR1: aumentar a taxa de ataques identificados por comportamento anômalo;
• KR2: elevar o nível de conformidade com a ISO 27001 de 50% para 70%;
• KR3: substituir todos os equipamentos de segurança obsoletos.

Considerando o framework de gestão OKR, o(s) KR apropriado(s) é(são):

A analista Ana desenvolve a plataforma X, que deve ser capaz de receber notificações de sistemas externos quando houver mudança no status de determinados processos judiciais. Para adicionar essa funcionalidade, Ana desenvolveu um webhook, disponibilizando na plataforma um endpoint para receber as notificações. A fim de aprimorar a segurança das notificações recebidas, a analista implementou o mecanismo de validação que é altamente empregado na indústria de TI em APIs reversas, capaz de verificar tanto a integridade da notificação quando a autenticidade do remetente a cada requisição recebida, com baixo overhead.
No webhook de notificação da plataforma X, Ana implementou o mecanismo de validação:

A analista Fátima administra um servidor de autenticação baseado no protocolo OpenID Connect (OIDC). A fim de aumentar o grau de responsabilização no uso dos recursos protegidos pelo servidor, Fátima implementou um script que intercepta cada token de acesso retornado e, dentre outras ações, copia o valor do atributo mais importante para a rastreabilidade de usuário e auditoria do acesso. É correto afirmar que o script implementado por Fátima copia o valor do atributo:

Uma equipe de analistas do TJRJ está revisando a maturidade da gestão de segurança da informação no Tribunal, à luz de normas internacionais. Ao utilizar o NIST Cybersecurity Framework (CSF) como referência, os analistas constataram que a capacidade do TJRJ de analisar anomalias recém-descobertas, em tempo hábil, com a utilização de informações de inteligência de ameaças, necessita de aprimoramento.
De acordo com o CSF, a capacidade do Tribunal a ser aprimorada está diretamente relacionada à função central de:

A analista Renata está implementando o fluxo Authorization Code Grant com Proof Key for Code Exchange (PKCE), do OAuth 2.0, em um aplicativo mobile, a fim de acessar uma API protegida. Conforme as especificações do OAuth 2.0 para esse fluxo, o servidor de autenticação deve efetuar certas validações na fase de troca do código de autorização pelo token de acesso. A passagem de parâmetros para o servidor de autenticação foi implementada pela analista de forma correta, ao longo de todo o fluxo.
Cabe ao servidor de autorização verificar, na referida fase, se: