Leia o excerto abaixo: O _______________ é uma praga virtual autorreplicante que, diferentemente do vírus, não necessita de um arquivo hospedeiro para se propagar. Ele explora vulnerabilidades de rede, serviços expostos, protocolos ou falhas de configuração para se deslocar automaticamente entre máquinas, frequentemente sem qualquer intervenção do usuário.
Preencha a lacuna acima e assinale a alternativa correta.

Códigos maliciosos (malwares) são usados como intermediários para a prática de golpes, realização de ataques e envio de spam (1ª parte), sendo sempre possível reverter ações já feitas ou recuperar dados vazados ou perdidos (2ª parte). Aplicativos antivírus podem ajudar a detectar, prevenir a infecção e/ou remover códigos maliciosos (3ª parte).

Quais partes estão corretas?

Sobre os princípios da segurança da informação, analise as assertivas abaixo:

I. A autenticidade garante que a informação deve ser protegida de acordo com o grau de sigilo aplicado ao seu conteúdo.
II. A integridade garante que a informação deve ser mantida da mesma forma, na mesma condição em que foi disponibilizada por seu proprietário.
III. A conformidade garante que a informação gerada ou adquirida por um indivíduo ou instituição deve estar acessível e operacional para usuários autorizados sempre que necessário.

Quais estão corretas?

Um órgão público está planejando a contratação de serviços de desenvolvimento de sistema de auditoria com recursos de Inteligência Artificial.
O gestor do contrato questiona a aplicabilidade da Instrução Normativa SGD/ME nº 01/2019 e da Instrução Normativa ME nº 40/2020.
Com base nesse contexto, assinale a opção que apresenta corretamente o escopo e a aplicação dessas normativas.

Em um ambiente que adota a cultura DevSecOps, a segurança é integrada em todas as fases do Secure SDLC.
Um engenheiro de segurança está automatizando ferramentas para identificar vulnerabilidades. Ele usa uma ferramenta que analisa o código-fonte ou binário sem executá-lo, focando em erros de programação segura e falhas de design, e outra que interage com a aplicação em execução (ambiente de staging ou teste) para encontrar vulnerabilidades como XSS ou SQL Injection.
Assinale a opção que apresenta o termo que define, respectivamente, a análise de segurança que opera sem executar o código-fonte ou binário (focando em padrões inseguros) e a análise de segurança que opera interagindo com a aplicação em tempo de execução.

Sobre as categorias de soluções de proteção, no contexto de segurança em ambientes cloud-native, avalie as afirmativas a seguir.

I. CWPP (Cloud Workload Protection Platform) é responsável pela análise de vulnerabilidades em imagens de contêineres armazenadas em registries e pelo escaneamento de código de infraestrutura (IaC) antes do deployment, não provendo proteção durante a execução (runtime) das workloads.

II. CSPM (Cloud Security Posture Management) identifica e corrige configurações inadequadas de recursos cloud através de avaliação contínua contra benchmarks de segurança e frameworks de compliance, focando em postura de segurança e misconfigurations como buckets públicos, criptografia desabilitada e security groups permissivos.

III. CNAPP (Cloud Native Application Protection Platform) unifica funcionalidades de CSPM e CWPP em uma plataforma única, adicionando capacidades como análise de IaC, segurança de APIs, CIEM (Cloud Infrastructure Entitlement Management) e correlação de eventos através do ciclo de vida completo de aplicações cloud-native.



Está correto o que se afirma em

No contexto da segurança de sistemas de Inteligência Artificial, diversas técnicas de ataque e defesa foram desenvolvidas para lidar com vulnerabilidades específicas de modelos de Machine Learning.
Relacione os tipos de ataques e técnicas de segurança em IA apresentados a seguir, às suas respectivas características.

1. Adversarial Evasion Attack 2. Model Poisoning Attack 3. Model Extraction Attack 4. Adversarial Training

( ) Técnica defensiva que consiste em treinar o modelo utilizando exemplos adversariais junto com dados legítimos para aumentar a robustez do sistema contra perturbações maliciosas.

( ) Ataque realizado durante a fase de inferência, no qual entradas são sutilmente modificadas para induzir o modelo a classificações incorretas, mantendo-se imperceptíveis ao usuário humano.

( ) Ataque executado na fase de treinamento, no qual dados maliciosos são injetados no conjunto de dados de treinamento para comprometer o comportamento do modelo resultante.

( ) Ataque que visa replicar a funcionalidade de um modelo proprietário através de consultas sistemáticas, permitindo ao atacante obter uma cópia funcional sem acesso direto aos parâmetros originais.


Assinale a opção que indica a relação correta, segundo a ordem apresentada.

Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.

No âmbito da ICP-Brasil, certificados digitais podem ser revogados antes do término da validade quando há comprometimento da chave privada.
Nesse contexto, assinale a opção que apresenta o mecanismo usado para verificar o estado de revogação de certificados digitais em tempo real.

Considerando técnicas de testes de segurança em aplicações, analise as afirmativas a seguir.

I. SAST (Static Application Security Testing) pode identificar vulnerabilidades de lógica de negócio e falhas de autorização baseadas em contexto de execução, sendo mais efetivo que DAST para detectar quebras de controle de acesso horizontal (IDOR - Insecure Direct Object Reference).

II. IAST (Interactive Application Security Testing) utiliza instrumentação de código para correlacionar entrada de dados com fluxo de execução em runtime, reduzindo falsos positivos em comparação com SAST puro, mas introduzindo overhead de performance que pode inviabilizar uso em ambientes de produção.

III. Fuzzing (Fuzz Testing) é técnica eficaz para identificar vulnerabilidades de corrupção de memória (buffer overflow, use-after-free) em aplicações compiladas, mas tem limitação em detectar falhas de lógica de negócio que requerem sequências específicas de operações válidas.

IV. DAST (Dynamic Application Security Testing) consegue identificar todas as rotas e endpoints de uma API REST automaticamente por meio de spidering, sem necessidade de documentação OpenAPI/Swagger, sendo mais abrangente em cobertura de código que SAST.


Está correto o que se afirma em