Uma equipe de analistas do TJRJ está revisando a maturidade da gestão de segurança da informação no Tribunal, à luz de normas internacionais. Ao utilizar o NIST Cybersecurity Framework (CSF) como referência, os analistas constataram que a capacidade do TJRJ de analisar anomalias recém-descobertas, em tempo hábil, com a utilização de informações de inteligência de ameaças, necessita de aprimoramento.
De acordo com o CSF, a capacidade do Tribunal a ser aprimorada está diretamente relacionada à função central de:

A analista Renata está implementando o fluxo Authorization Code Grant com Proof Key for Code Exchange (PKCE), do OAuth 2.0, em um aplicativo mobile, a fim de acessar uma API protegida. Conforme as especificações do OAuth 2.0 para esse fluxo, o servidor de autenticação deve efetuar certas validações na fase de troca do código de autorização pelo token de acesso. A passagem de parâmetros para o servidor de autenticação foi implementada pela analista de forma correta, ao longo de todo o fluxo.
Cabe ao servidor de autorização verificar, na referida fase, se:

A equipe de segurança da informação do TJRJ realizou um pentest em uma aplicação web responsável pelo gerenciamento de documentos. O pentester conseguiu manipular parâmetros de uma requisição HTTP de forma a injetar um código Javascript malicioso no servidor web. O código injetado foi inadvertidamente inserido pelo servidor em meio a uma página web devolvida a um usuário logado. O navegador web do usuário logado executou o código malicioso e permitiu a exfiltração de dados sensíveis.
Uma mitigação eficaz e imediata para esse tipo de ataque, em conformidade com as recomendações do OWASP Top 10, é:

A empresa Data_Trust_Cloud, especializada em serviços de armazenamento em nuvem, identificou que, em virtude de algum erro na atribuição de permissões, alguns colaboradores estavam acessando dados confidenciais fora do escopo de suas funções. Uma auditoria foi contratada para avaliar o problema e trouxe como possibilidade algumas formas de controle de acesso.
O CTO decidiu, então, pelo RBAC (controle baseado em função), uma vez que esse tipo de acesso permite:

A empresa Beta, que trabalha com soluções para o setor educacional, está migrando seus sistemas para a nuvem e adotando práticas DevSecOps para garantir segurança desde o desenvolvimento até a operação. Durante uma reunião de planejamento, o CTO (Chief Technology Officer) da empresa Beta propôs integrar ferramentas de segurança diretamente no pipeline de CI/CD.
Com base nas práticas DevSecOps, a ação alinhada com o modelo a ser implementada pela empresa Beta é:

Uma corretora de valores, especializada em serviços financeiros digitais, buscou a implementação do modelo Zero Trust após sofrer um ataque de ransomware que explorou credenciais de um colaborador remoto.
Com o objetivo de evitar novos ataques nesse sentido e se adequar aos princípios do modelo, a ação alinhada com o processo a ser executado pela corretora é:

O Processo Judicial Eletrônico (PJe) é uma plataforma digital que permite a prática de atos jurídicos e acompanhamento do trâmite processual de forma padronizada.
Para acessar o sistema, o usuário precisa informar suas credenciais de acesso (login e senha) e o código de autenticação gerado fora da plataforma.
A forma descrita de acesso ao PJe é conhecida como:

O Instituto Nacional de Tecnologia da Informação (ITI) é uma autarquia federal, vinculada ao Ministério da Gestão e da Inovação em Serviços Públicos, com a finalidade de ser a Autoridade Certificadora Raiz (AC Raiz) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
A cadeia de confiança no uso de certificados digitais é assegurada pelo(a):

O Sistema Eletrônico de Execução Unificado (SEEU) é a ferramenta que centraliza e uniformiza a gestão de processos de execução penal em todo o país.
O Sistema permite um trâmite processual mais eficiente e proporciona a gestão confiável dos dados da população carcerária do Brasil.
Para estabelecer conexão com o sistema, o advogado pode utilizar seu certificado digital da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou efetuar seu login utilizando sua conta de acesso à plataforma Gov.br.
No cenário descrito, a criptografia assimétrica:

O sistema de processo judicial eletrônico utilizado pelo Tribunal de Justiça do Estado X oferece uma série de funcionalidades que tornam o andamento processual mais ágil, seguro e transparente. A área de segurança da informação do tribunal identificou uma tentativa de acesso aos dados sigilosos do sistema. O atacante utilizou credenciais falsas de um funcionário do tribunal e conseguiu capturar alguns pacotes de dados. Após analisar o ataque, o gestor de segurança da informação garantiu que o atacante não conseguiu ler os dados capturados.
No cenário descrito, a criptografia: