-
-
Com os conceitos, dá pra matar a questão:
- ameaças: evento ou atitude indesejável (roubo, incêndio, vírus) que potencialmente remove, desabilita, danifica ou destroi um recurso.
- vulnerabilidades: fraqueza ou deficiência que pode ser explorada por uma ameaça. Pode ser associada à probabilidade da ameaça ocorrer.
-
Acho que a FCC deu uma forçada de barra.
Medidas de segurança não visam eliminar vulnerabilidades, e sim reduzí-las.
-
Concordo com o Junior, foi uma forçação de barra.
A segunda forçação foi afirmar que ameaças ocorrem...
Segundo a norma 27002 a ameaça EXPLORA uma vulnerabilidade
-
ameaça: é algo ruim em pontecial que pode ocorrer
vulnerabilidade: uma falha que pode permitir que uma ameaçã se concretize. Ex. firewall mal configurado
Impacto: um dano causado por uma ameaça
-
Para não confundir mais:
AMEAÇA : É algo externo do ativo, exemplo, você tem uma casa, quais são as ameaças: ela pode ser inundada, pode cair um raio em cima dela, um terremoto, pode ser invadida...
VULNERABILIDADE: É algo do ativo, seguindo o exemplo da casa, quais são suas vulnerabilidades: um muro baixo, uma janela que não fecha...
RISCO: É a probalidade de uma ameaça explorar um vulnerabilidade, seguindo o exemplo: Qual a probabilidade de sua casa ser invadida tendo ela um muro baixo? A resposta é o risco.
Abraços e vamo que vamo...
-
Acho que NÃO HÁ RESPOSTA. A resposta dada como certa não me parece adequada ...
Ameaça
Potencial para violação da segurança quando há uma circunstância que, capacidade, ação ou evento que pode quebrar a seguranç e causar danos. Ou seja, uma ameaça é um POSSÍVEL PERIGO que pode explorar uma vulnerabilidade.
Ataque
Um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, UM ATO inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema.
Fonte: RFC 2828 retirado de Stallings
-
Prezados,
Segundo os termos e definições da ISO 27002 , ameaça é a causa
potencial de um incidente indesejado, que pode resultar em dano para um sistema
ou organização, enquanto vulnerabilidade é a fragilidade de um ativo ou grupo
de ativos que pode ser explorada por uma ou mais ameaças.
Entendendo os conceitos, vamos as alternativas :
a) Medidas de segurança podem ser definidas como
ações que visam eliminar riscos para evitar a concretização de uma
vulnerabilidade.
Alternativa errada. Medidas de segurança servem para mitigar
os riscos, para se eliminar as vulnerabilidades que podem ser causas de
incidentes. As vulnerabilidades não se concretizam, elas já estão lá.
b) O vazamento de informação e falha de
segurança em um software constituem vulnerabilidades.
Alternativa errada. Vazamento de informação é um incidente,
que provavelmente ocorreu por uma ameaça que explorou uma vulnerabilidade.
c) Roubo de informações e perda de negócios
constitui ameaças.
Alternativa errada. Roubo de informações é um incidente, que
pode ter sido ocasionado por uma ameaça que explorou uma vulnerabilidade.
d) Medidas de segurança podem ser definidas
como ações que visam eliminar vulnerabilidades para evitar a concretização de
uma ameaça.
Alternativa correta. A ameaça explora a vulnerabilidade, se a
vulnerabilidade foi eliminada, a ameaça não pode se concretizar.
e) Área de armazenamento sem proteção e travamento
automático da estação após período de tempo sem uso constituem ameaça.
Alternativa errada. Área de armazenamento sem proteção e
travamento automático são vulnerabilidades que podem ser exploradas por uma
ameaça.
A alternativa correta é : D.
-
Não concordo com o gabarito.
Pra que vulnerabilidade maior que o ser humano? Sim, as pessoas estão sujeitas a ataques de engenharia social, tornando-se assim vulnerabilidades, diante disto é possível eliminar as pessoas?
-
Em maiúscula e negrito as correções.
a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma
AMEAÇA.
b) O vazamento de informação e falha de segurança em um software constituem INCIDENTES DE SEGURANÇA.
c) Roubo de informações e perda de negócios constitui INCIDENTES DE SEGURANÇA.
d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.
e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem VULNERABILIDADES.
-
Autor: Leandro Rangel , Auditor Federal de Finanças e Controle da Controladoria-Geral da União (CGU)
Prezados,
Segundo os termos e definições da ISO 27002 , ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização, enquanto vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Entendendo os conceitos, vamos as alternativas :
a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.
Alternativa errada. Medidas de segurança servem para mitigar os riscos, para se eliminar as vulnerabilidades que podem ser causas de incidentes. As vulnerabilidades não se concretizam, elas já estão lá.
b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.
Alternativa errada. Vazamento de informação é um incidente, que provavelmente ocorreu por uma ameaça que explorou uma vulnerabilidade.
c) Roubo de informações e perda de negócios constitui ameaças.
Alternativa errada. Roubo de informações é um incidente, que pode ter sido ocasionado por uma ameaça que explorou uma vulnerabilidade.
d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.
Alternativa correta. A ameaça explora a vulnerabilidade, se a vulnerabilidade foi eliminada, a ameaça não pode se concretizar.
e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.
Alternativa errada. Área de armazenamento sem proteção e travamento automático são vulnerabilidades que podem ser exploradas por uma ameaça.
A alternativa correta D.