2339941 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-23

Provas:

Analista Judiciário - TI
Provas ×

Frameworks e NormasMITRE ATT&CK

De acordo com MITRE ATT&CK: Design and Philosophy (2020), o ATT&CK

A

está organizado em domínios tecnológicos e a MITRE definiu três domínios de tecnologias: Enterprise, que representa redes corporativas tradicionais e tecnologias de nuvem; mobile, para dispositivos de comunicação móvel; e ICS, para sistemas de controle industrial.

B

possui práticas, que servem como categorias úteis para táticas individuais e indicam ações que os adversários fazem durante uma operação, como persistir, descobrir informações, mover-se lateralmente, executar arquivos e exfiltrar dados.

C

possui táticas, que também podem representar “o que” um adversário ganha ao realizar uma ação. Um exemplo é a prática Discovery, na qual as táticas destacam que tipo de informação um adversário está procurando com uma ação específica.

D

possui clusters, que são conjuntos de vulnerabilidades nomeadas e separadas por soluções para ameaças persistentes. O ATT&CK concentra-se principalmente no cluster APT, embora também seja possível incluir outros clusters avançados, como ataques com motivação financeira.

E

elenca diversas mitigações, que reúnem práticas e subpráticas de segurança e tecnologias que podem ser usadas para evitar que um ataque seja executado com sucesso. Foram excluídas 2 das 23 mitigações do ATT&CK, quais sejam sandboxing de aplicativos e segmentação de rede, restando 21 atualmente.

Provas

Questão presente nas seguintes provas

2339940 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-23

Provas:

Analista Judiciário - TI
Provas ×

Análise de VulnerabilidadesPenetration Test (Pentest)

O teste de penetração (pentest)

A

red box (conhecido como teste de penetração externo) ocorre quando o pen tester recebe pouca ou nenhuma informação sobre a infraestrutura de TI da empresa e visa simular um ataque cibernético do mundo real, no qual o testador assume o papel de um invasor desinformado.

B

social engineering é usado para descobrir vulnerabilidades ou pontos fracos de segurança em aplicativos baseados na web e usa diferentes técnicas de penetração e ataques com o objetivo de invadir o próprio aplicativo da web.

C

black box envolve identificar e examinar as conexões entre todos os dispositivos conectados à rede wireless da empresa, incluindo laptops, tablets, smartphones e qualquer outro dispositivo da Internet das Coisas (IoT).

D

white box ocorre quando o testador tem total conhecimento e acesso ao código-fonte, visando realizar uma auditoria de segurança detalhada dos sistemas da empresa e fornecer ao pen tester o máximo de detalhes possível.

E

logical visa expor fraquezas e vulnerabilidades em controles lógicos (fechaduras, barreiras, câmeras ou sensores) para que as falhas e pontos fracos possam ser mitigados e soluções implementadas para fortalecer a segurança lógica.

Provas

Questão presente nas seguintes provas

2339373 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-TO

Provas:

Auditor de Controle Externo - TI
Provas ×

Frameworks e NormasOWASP

A aplicação Web SiCONTA viabiliza a recuperação de credenciais de acesso por meio da conferência de respostas previamente cadastradas pelo usuário a questionamentos realizados a ele no processo de criação da credencial.

Considerando a metodologia Open Web Application Security Project (OWASP), a aplicação Web SiCONTA possui uma vulnerabilidade classificada na categoria:

Provas

Questão presente nas seguintes provas

2339371 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-TO

Provas:

Auditor de Controle Externo - TI
Provas ×

CriptografiaCriptografia Assimétrica

Bernardo e João são auditores recém-concursados no TCE/TO. Bernardo precisa enviar documentos sigilosos para João e vice-versa, contudo, nenhum deles utilizou ainda a ferramenta de criptografia disponível na instituição.

Sabendo-se que é utilizada a criptografia por chave pública, o procedimento que deve ser seguido por cada auditor antes de tramitar os documentos é:

A

gerar um par de chaves a ser usado para encriptação e decriptação dos documentos; importar a chave pública no registrador público da instituição; guardar a chave privada; e encriptar os documentos utilizando a chave pública do destinatário;

B

gerar um par de chaves a ser usado para encriptação e decriptação dos documentos; importar a chave pública no registrador público da instituição; enviar a chave privada para o destinatário; e encriptar um documento utilizando a chave privada enviada;

C

gerar um par de chaves a ser usado para encriptação e decriptação dos documentos; importar a chave pública no registrador público da instituição; guardar a chave privada; e encriptar os documentos utilizando a chave privada do remetente;

D

gerar a chave pública para encriptação e decriptação dos documentos; enviar a chave pública para o destinatário; e encriptar os documentos utilizando a chave pública enviada;

E

combinar uma senha entre eles; encriptar e decriptar os documentos utilizando a senha combinada.

Provas

Questão presente nas seguintes provas

2339370 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-TO

Provas:

Auditor de Controle Externo - TI
Provas ×

Ataques e Golpes e AmeaçasAtaques à Camada de AplicaçãoXSS: Cross-Site-Scripting

Um analista de TI descobriu que teve sua conta comprometida a partir de um código javascript malicioso num site que está habituado a acessar. Ao analisar a página acessada, identificou que existia uma vulnerabilidade que permitia que tags HTML fossem incorporadas na seção de comentários da página, de maneira permanente.

O ataque sofrido na página foi:

Provas

Questão presente nas seguintes provas

2339369 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-TO

Provas:

Auditor de Controle Externo - TI
Provas ×

CriptografiaConceitos e Fundamentos de Criptografia
CriptografiaCriptografia de HashResistência e Tratamento à Colisão
CriptografiaCriptografia de HashUnidirecionalidade (Hashing)

As funções de hash são comumente empregadas nos mecanismos de segurança da informação.

Quanto às suas propriedades básicas, para que o algoritmo de hash seja considerado forte, é correto afirmar que:

Provas

Questão presente nas seguintes provas

2339359 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-TO

Provas:

Auditor de Controle Externo - TI
Provas ×

Ataques e Golpes e AmeaçasMalwaresSpywareKeyloggers
Ataques e Golpes e AmeaçasMalwaresSpywareScreenloggers

João acessou a sua conta bancária digitando a senha no seguinte teclado virtual:

6 ou 3	0 ou 9	5 ou 1
4 ou 2	8 ou 7	<

Alguns dias depois, João percebeu que sua conta foi acessada por terceiros.

O ataque spyware que João sofreu foi:

Provas

Questão presente nas seguintes provas

2338488 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: MPC-SC

Provas:

Analista do Ministério Público de Contas - Administração
Provas ×

GestãoGestão de RiscosISO 31000: Gestão de Riscos

Julgue o seguinte item, a respeito de segurança da informação.

Tecnologias, processos e pessoas são os níveis considerados para a implementação da gestão de riscos.

Provas

Questão presente nas seguintes provas

2338487 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: MPC-SC

Provas:

Analista do Ministério Público de Contas - Administração
Provas ×

GestãoSGSIISO 27001

Julgue o seguinte item, a respeito de segurança da informação.

Na norma ISO 27001, adota-se o modelo conhecido como 5W2H, que é aplicado para estruturar todos os processos do sistema de gestão da segurança da informação (SGSI).

Provas

Questão presente nas seguintes provas

2338486 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: MPC-SC

Provas:

Analista do Ministério Público de Contas - Administração
Provas ×

GestãoGestão de RiscosAnálise de Riscos
GestãoGestão de RiscosTratamento de Riscos

Julgue o seguinte item, a respeito de segurança da informação.

É por meio do tratamento de riscos que se identificam e se estimam os riscos, considerando-se o uso sistemático de informações, a análise de ameaças, as vulnerabilidades e seus impactos.