Questão Q650760

A Runtime Application Self-Protection (RASP) é uma tecnologia acoplada a uma aplicação e que pode detectar e prevenir ataques, em tempo real, pela inspeção da pilha de execução de uma aplicação. Além disso, o Web Application Firewall (WAF) é um equipamento que inspeciona o tráfego HTTP em busca de problemas relacionados à requisição e resposta de aplicações web. A respeito das técnicas de defesa utilizadas em aplicações e do respectivo impacto no ciclo de desenvolvimento seguro de software, assinale a alternativa correta.

Alternativas

Medidas de proteção, como o RASP e WAF, são necessárias em razão da incapacidade dos desenvolvedores de produzir código livre de bugs de segurança, e são suficientes para reduzir a superfície de ataque das aplicações.

Vulnerabilidade ou falhas em aplicações são bugs que impactam a segurança do software. Desse modo, produzir aplicações livres de defeitos relacionados aos requisitos funcionais e não funcionais pode garantir que o software seja seguro.

A utilização de metodologia de validação de entrada e saída de dados com foco em segurança nas aplicações, se bem implementada, pode auxiliar na mitigação de ataques de injeção de comando como o Cross-Site Scripting (XSS) persistente, injeção SQL e injeção LDAP.

Equipamentos como o WAF e APIs de validação de entrada e saída estão sujeitos a ataques com strings ofuscadas e são medidas ineficientes de proteção das aplicações.

A proteção de dados de privacidade individuais é de baixa importância quando se fala de um ciclo de desenvolvimento de software seguro, pois essa abordagem está preocupada apenas com a mitigação de vulnerabilidades técnicas no código fonte de uma aplicação.

Comentários

A)ERRADA: Não se pode dizer que desenvolvedores são incapazes de desenvolver código livre de bugs de segurança pois dentro das vulnerabilidades conhecidas é possível produzir códigos seguros até que novas vulnerabilidades sejam descobertas. Além disto as técnicas RASP e WAF não ajem sobre a superfície de ataque(entradas de dados ou quaisquer outros pontos de acesso ao software acessíveis sem necessidade de privilégios de acesso). RASP atua sobre a pilha de execução onde se presume a necessidade de privilégios para acessá-la e o Firewall de HTTP(WAF) inspeciona pacotes HTTP em trânsito pode até reduzir a superfície de ataques em formulários Web mas seria incapaz de analisar pacotes cifrados vindos de formulários web acessíveis sem privilégios mas cujos pacotes HTTP estejam cifrados em HTTPs.

B)ERRADA: Bugs funcionais ou não funcionais podem não ter nada a ver com bugs de segurança. Aplicações perfeitamente funcionais e não funcionais(funcionando conforme o esperado na especificação das interfaces, validações e regras de negócios) podem, mesmo assim, apresentar falhas de segurança.

C)CORRETA: Observem nestas modestas condições: "...se bem implementada, pode auxiliar na mitigação de ataques..." Ora, qualquer técnica válida nestas condições atingem o objetivo. Como os nomes das técnicas existem e são válidas, então Ok.

D)ERRADA: Realmente Firewalls WAF podem estar sujeitos a ataques com strings ofuscadas se o padrão de string não for previsto. Mas APIs de validação de entrada somente aceitarão um conjunto verdade muito restrito de strings e serão eficazes em barrar strings ofuscadas. Assim, não se pode dizer que ambas são medidas ineficientes de proteção das aplicações.

E)ERRADA: Pois o processo SDL considera de igual importância a proteção de dados de privacidade individuais. Nas palavras da Microsoft sobre o Security Development Lifecycle: "O SDL está se tornando obrigatório para todo software que seja usado para processar informações pessoais ou confidenciais".

Fonte: https://msdn.microsoft.com/pt-br/library/ms995349.aspx

SóProvas

Continue usando...

O que está incluso