SóProvas

ID
5270317
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a autenticação e riscos de segurança, julgue o item subsequente.


Quanto aos riscos de segurança derivados da exposição de dados sensíveis contidos na lista OWASP Top 10, é recomendável que o tráfego de dados confidenciais seja criptografado e que o seu armazenamento interno seja feito sem criptografia, de modo a viabilizar as funções de auditoria dos sistemas.

Alternativas
Comentários

  • GABARITO: ERRADO.

    OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.

    Todas as ferramentas, documentos, fóruns e capítulos do OWASP são grátis e abertos a todos os interessados em aperfeiçoar a segurança em aplicações. Promovemos a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. A OWASP é um novo tipo de organização. O fato de ser livre de pressões comerciais permite fornecer informação de segurança de aplicações imparcial, prática e de custo eficiente.

    A OWASP não é filiada a nenhuma empresa de tecnologia, apesar de apoiar o uso de tecnologia de segurança comercial. Da mesma forma que muitos projetos de software de código aberto, a OWASP produz vários tipos de materiais de maneira colaborativa e aberta.

  • eu marquei errado pelo final da questão... porque nunca nem vi isso.

  • Errado!

    A3: Exposição de dados confidenciais para 2017 : Muitos aplicativos da web e APIs não protegem adequadamente os dados confidenciais, como finanças, saúde e PII. Os invasores podem roubar ou modificar esses dados fracamente protegidos para conduzir fraude de cartão de crédito, roubo de identidade ou outros crimes. Os dados confidenciais podem ser comprometidos sem proteção extra, como criptografia em repouso ou em trânsito, e requerem precauções especiais quando trocados com o navegador.

    https://owasp.org/www-project-top-ten/

    Como prevenir

    Faça o seguinte, no mínimo, e consulte as referências:

    * Classifique os dados processados, armazenados ou transmitidos por um aplicativo. Identifique quais dados são confidenciais de acordo com as leis de privacidade, requisitos regulatórios ou necessidades de negócios.

    * Aplicar controles de acordo com a classificação.

    * Não armazene dados confidenciais desnecessariamente. Descarte-o o mais rápido possível ou use tokenização compatível com PCI DSS ou até mesmo truncamento. Os dados não retidos não podem ser roubados.

    * Certifique-se de criptografar todos os dados confidenciais em repouso.

    * Certifique-se de que algoritmos, protocolos e chaves de padrão forte e atualizados estejam em vigor; use o gerenciamento de chaves adequado.

    * Criptografe todos os dados em trânsito com protocolos seguros, como TLS com cifras de sigilo de encaminhamento perfeito (PFS), priorização de cifras pelo servidor e parâmetros seguros. Aplique a criptografia usando diretivas como HTTP Strict Transport Security ( HSTS ).

    * Desative o armazenamento em cache para respostas que contenham dados confidenciais.

    * Armazene as senhas usando fortes funções de hash adaptáveis ​​e salgadas com um fator de trabalho (fator de atraso), como Argon2 , scrypt , bcrypt ou PBKDF2 .

    * Verifique de forma independente a eficácia da configuração e dos ajustes.

    https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure

  • O Owasp Top 10 : representa um consenso entre os principais especialistas em segurança em relação aos maiores riscos de software para aplicativos web.

     

    • Esses riscos são baseados na frequência de defeitos de segurança descobertos, na gravidade das vulnerabilidades 

    • Criptografetodos os dados em trânsito com protocolos seguros

  • Gab: Errado

    Entre as recomendações da OWASP o que se tem é:

    Se possível não armazene nada , pois o que não for armazenado não pode ser roubado e;

    Certifique-se de criptografar todos os dados confidenciais em repouso...

  • Parecia tão inofensiva que marquei, CERTA. DEUS é mais ! Ow questão covarde.

  • EAI CONCURSEIRO!!!

    Se você esta todo desorganizado nos seus estudos e perdido, sem saber oque fazer posso te indicar uma solução que desde quando comecei a usar mudou meu game no mundo dos concursos. É a Planilha do Aprovado, que é totalmente automatizada para organizar sua rotina de estudos revisões, grade horaria, tempo liquido de estudos e muito mais. Ela é totalmente intuitiva e de fácil execução não exigindo conhecimentos avançados sobre excel. Uma ferramenta dessa natureza otimiza muito o seu tempo e qualidade de aprendizado, pois controla e exibe toda sua evolução com o passar do tempo ajudando a se organizar melhor e dar ênfase nos seus pontos fracos colaborando para sua aprovação. Para quem tiver interesse é só acessar o link abaixo.

    Link do site: https://go.hotmart.com/H63735566R

  • "...e que seu armazenamento interno seja feito sem criptografia..."

    Pensem: e se houver um ataque por Ransonware?