SóProvas

ID
3359701
Banca
CESPE / CEBRASPE
Órgão
TJ-PA
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27002, é correto afirmar que, no cenário apresentado no texto 4A04-I, foram explorados os controles de

Alternativas
Comentários

  • a) ataque foi pela internet, não houve falha na manutenção de equipamentos quanto menos na segurança física

    b) não houve falha na manutenção de equipamentos

    c) não houve falha na proteção física

    d) não houve falha na proteção física

  • 12.6.1

    Gestão de vulnerabilidades técnicas

    Controle

    Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso, sejam obtidas em tempo hábil, com a exposição da organização a estas vulnerabilidades avaliadas e tomadas as medidas apropriadas para lidar com os riscos associados.

    13.1.3

    Segregação de redes

    Controle

    Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes.

    Convém que o perímetro de cada domínio seja bem definido. O acesso entre os domínios de rede é permitido, porém é recomendado que seja controlado no perímetro por meio do uso de um gateway (por exemplo, firewall, roteador de filtro). Convém que o critério para segregação de redes em domínios e o acesso permitido através dos gateways seja baseado em uma avaliação dos requisitos de segurança da informação de cada domínio.

  • Assertiva e

    gestão de vulnerabilidades técnicas e de segregação de rede, pela ineficiência do monitoramento e das correções das vulnerabilidades e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.