Questão 6:
Live Response é uma técnica de forense digital em que um sistema é analisado em tempo real, sem a necessidade de desligá-lo. Isso permite coletar várias informações, como configurações, status do sistema, detalhes sobre arquivos e pastas, e aplicativos em execução. No passado, ferramentas para realizar Live Response eram frequentemente criadas usando linguagens de programação como Perl, Python ou PowerShell. Hoje, essas ferramentas têm sido integradas em soluções mais amplas de Detecção e Resposta Corporativa (EDR). Um dos exemplos antigos de uma ferramenta de Live Response é o OSXCollector, que era capaz de criar um arquivo JSON com todas as informações do sistema para análise subsequente. Qual das seguintes opções descreve com precisão o motivo pelo qual muitas ferramentas de Live Response tradicionais, como o OSXCollector, não são mais amplamente utilizadas?
O motivo pelo qual ferramentas tradicionais de Live Response, como o OSXCollector, não são mais amplamente utilizadas está relacionado à evolução das soluções de segurança. A alternativa correta é:
b. Eles foram substituídos por soluções de Detecção e Resposta Corporativa (EDR) mais automatizadas e abrangentes.
Justificativa: As soluções EDR integram funcionalidades de Live Response com automação, monitoramento contínuo e análise avançada, tornando as ferramentas tradicionais menos práticas e obsoletas em muitos contextos.
Explicação:- As soluções EDR oferecem funcionalidades mais amplas e integradas, como monitoramento contínuo, análise comportamental e resposta automatizada a incidentes, tornando as ferramentas de Live Response tradicionais menos necessárias.
- As outras alternativas não condizem com a realidade, pois as linguagens de programação citadas ainda estão em uso, e as ferramentas de Live Response ainda são capazes de coletar informações relevantes.
Questão 7:
A coleta de evidências é uma etapa crucial no processo de análise forense e deve ser realizada de forma cuidadosa e precisa para garantir a integridade e a admissibilidade das evidências. Para isso, o analista forense deve ser organizado e meticuloso, se organizando e seguindo etapas bem definidas. As etapas envolvidas na coleta de evidências são: planejamento,coleta física, cadeia de custódia, verificação de integridade, coleta lógica e armazenamento de evidências. Com base no que foi estudado, qual das seguintes afirmações sobre as etapas da coleta de evidências está correta?
Sobre as etapas da coleta de evidências em análise forense, a afirmação correta é:
b. A cadeia de custódia é a etapa que garante a confiabilidade e a admissibilidade das evidências em um processo legal. Neste passo é feito o registro documentado de todos os procedimentos, pessoas e locais envolvidos na coleta, armazenamento, transporte e análise das evidências.
Justificativa: A cadeia de custódia é essencial para documentar a integridade das evidências, assegurando que elas não foram alteradas e podem ser aceitas legalmente.
Explicação:- A cadeia de custódia é fundamental para garantir a integridade das evidências, documentando cada etapa do processo.
- As outras alternativas trocam as funcionalidades de cada etapa.
Questão 8:
A coleta lógica em memória pode ser feita a partir da imagem obtida na coleta física ou pode ser feita em tempo real direto na memória do computador a ser periciado, obtendo as evidências através de execução de comandos e ferramentas que irão gerar arquivos menores contendo credencias de acesso, arquivos em memória, processos em execução, conexões de rede, e tudo o que for preciso para a posterior análise forense para correlação dos fatos investigados. Com base no que foi estudado, quais são os tipos de evidências lógicas que podem ser coletadas a partir da análise da memória em um sistema computacional?
A coleta lógica em memória envolve evidências voláteis que podem ser obtidas em tempo real ou a partir de uma imagem da memória. Todas as opções listadas são tipos de evidências lógicas que podem ser coletadas, mas como a questão parece esperar uma única resposta, a mais representativa é:
a. Credenciais de autenticação.
Justificativa: Credenciais de autenticação (como senhas em memória) são um exemplo clássico de evidências lógicas obtidas na análise de memória, frequentemente visadas em investigações forenses.
Nota: Se a questão permitir múltiplas escolhas, a, c e d também seriam válidas, pois protocolos como ARP, TCP, UDP e ICMP podem ser analisados em conexões de rede na memória.
Explicação:- A análise de memória pode revelar credenciais de autenticação armazenadas em cache ou em processos em execução.
- As outras alternativas citam dados de rede, que apesar de poderem ser coletados na analise de memoria, não são dados logicos que podem ser coletados diretamente da analise da memoria, mas sim de analise de trafego de rede.
Questão 9:
O loop OODA, que significa Observar, Orientar, Decidir e Agir, é um processo de tomada de decisão que é usado em diversos campos, incluindo segurança cibernética. Foi desenvolvido por John Boyd e é especialmente útil em ambientes dinâmicos e competitivos. Qual das seguintes afirmações descreve corretamente a fase "Orientar" no loop OODA?
No loop OODA, a fase "Orientar" é corretamente descrita por:
a. Na fase "Orientar", o indivíduo ou equipe coloca as informações coletadas em contexto, utilizando conhecimento prévio, experiência e modelos mentais para interpretar os dados.
Justificativa: "Orientar" é a etapa de análise e contextualização das informações observadas, preparando a base para a decisão e ação subsequentes.
Explicação:- A fase "Orientar" envolve a interpretação e a compreensão das informações coletadas na fase "Observar".
- As outras alternativas trocam as funcionalidades de cada fase do loop OODA.
Questão 10:
Existem vários tipos de evidências digitais que podem ser encontradas eanalisadas durante uma investigação forense. Com relação aos tipos de evidências digitais, é correto afirmar que:
Sobre os tipos de evidências digitais, a afirmação correta é:
d. Os arquivos de log podem conter o histórico de mensagens instantâneas, como chats do Skype, WhatsApp, Facebook Messenger, entre outros.
Justificativa: Arquivos de log registram atividades do sistema ou de aplicativos, incluindo histórico de mensagens, dependendo da configuração do dispositivo ou software. As outras opções confundem evidências físicas (como imagens completas de dispositivos) com lógicas (como metadados ou histórico de navegação).
Questão 11:
Discos rígidos são fisicamente organizados por trilhas divididas em setores, que podem ser físicos ou lógicos. Com base no que foi estudado, qual das seguintes afirmações sobre discos rígidos está correta?
Sobre a organização física e funcionamento dos discos rígidos, a afirmação correta é:
b. Os discos rígidos são dispositivos de armazenamento magnético que utilizam cabeças de leitura/gravação para acessar os dados.
Justificativa: Discos rígidos (HDDs) utilizam mídia magnética organizada em trilhas e setores, com cabeças de leitura/gravação para acessar os dados, sendo dispositivos de armazenamento não volátil.
Explicação:- Os discos rígidos armazenam dados magneticamente em pratos giratórios, acessados por cabeças de leitura/gravação.
- As outras alternativas descrevem outros tipos de armazenamento, como RAM (volátil), SSD (flash) e CD/DVD (óptico).
Questão 12:
Para que um disco ou uma partição de disco funcione é necessário que seja formatada logicamente para receber os dados. Formatar logicamente é estabelecer um novo sistema de arquivos, uma estrutura lógica utilizada para organizar e gerenciar os arquivos em um disco rígido ou outro dispositivo de armazenamento. Com base no que foi estudado, qual das seguintes afirmações sobre formatação e exclusão de arquivos em disco rígido está correta?
Sobre formatação e exclusão de arquivos em discos rígidos, a afirmação correta é:
d. A exclusão de um arquivo do disco rígido apenas remove a referência para o arquivo, mas os dados ainda podem ser recuperados.
Justificativa: A exclusão padrão remove apenas a entrada no sistema de arquivos, deixando os dados no disco até que sejam sobrescritos. Técnicas como wipe ou zerofill, mencionadas em "a", dificultam a recuperação, mas isso não é revertido facilmente, o que torna "a" e "c" incorretas.
Explicação:- A exclusão de arquivos no disco rígido geralmente não apaga os dados imediatamente, mas apenas remove a referência para eles no sistema de arquivos.
- Técnicas como "wipe" e "zerofill" sobrescrevem os dados, tornando a recuperação mais difícil, mas não garantem a recuperação de todos os dados.
Questão 13:
A análise de conteúdo completa é uma técnica de segurança de redes que envolve a captura e análise de todos os dados de tráfego de rede, incluindo cada bit e byte. Diferente da análise de tráfego ou assinatura que se concentram principalmente em metadados, a análise de conteúdo completa permite examinar cada elemento do tráfego de rede em detalhes. Esta abordagem oferece benefícios, como reanálise de dados, análise detalhada e aplicação retroativa de novas assinaturas. No entanto, também apresenta desafios como a necessidade de armazenar grandes volumes de dados. Um dos benefícios da análise de conteúdo completa é a capacidade de recriar as atividades dos usuários na rede, o que é particularmente útil em casos de exfiltração de dados. Qual das seguintes opções descreve com precisão esse benefício da análise de conteúdo completa?
O benefício da análise de conteúdo completa relacionado à recriação das atividades dos usuários é descrito corretamente por:
b. Permite que os analistas vejam tudo o que um endpoint estava fazendo em um determinado momento, recriando a atividade do usuário na rede.
Justificativa: A análise de conteúdo completa captura todos os dados de tráfego, possibilitando reconstruir ações detalhadas do usuário, como em casos de exfiltração de dados, sendo este o benefício destacado no enunciado.
Explicação:- A análise de conteúdo completa permite a reconstrução detalhada das atividades dos usuários na rede, incluindo a exfiltração de dados.
- As outras alternativas descrevem outros benefícios e desafios da análise de conteúdo completa.
Questão 14:
Analisando a situação descrita (muitos bytes enviados para um IP malicioso, poucos recebidos e longa duração), a conclusão mais plausível é:
Suponha que, em uma empresa de tecnologia, o time de segurança cibernética esteja conduzindo uma investigação de invasão em seus sistemas. A equipe se concentra na análise de tráfego de rede como o primeiro passo para identificar possíveis sinais de invasão e observa os metadados de comunicação de rede, conhecidos como fluxos de rede, que incluem informações como endereços IP de origem e destino, portas utilizadas, quantidade de bytes transferidos e duração das conexões. Sabe-se que essa análise é econômica, pois utiliza uma quantidade mínima de dados, e é eficaz para identificar padrões anômalos ou maliciosos. Uma das conexões de rede observadas mostra uma comunicação com um endereço IP conhecido por estar associado a invasores, com muitos bytes enviados do sistema da empresa para o endereço IP externo, mas poucos bytes recebidos. Além disso, a conexão dura um longo período. Nessa situação e com base nas informações descritas, sobre a comunicação de rede específica, podemos concluir que:
b. A conexão pode ser um sinal de exfiltração de dados, onde informações são roubadas e enviadas para um endereço IP malicioso.
Justificativa: O padrão de tráfego (grande envio de dados para um IP suspeito com pouco retorno) é típico de exfiltração, onde dados sensíveis são transferidos para fora da rede da empresa.
Explicação:- A comunicação com um endereço IP malicioso, com muitos bytes enviados e poucos recebidos, indica a possibilidade de exfiltração de dados.
- As outras alternativas não condizem com os dados apresentados.
Questão 15:
A análise de inteligência desempenha um papel crítico em coletar e avaliar informações para tomar decisões informadas. Ao contrário da pesquisa tradicional, a inteligência opera sob a premissa de sigilo, urgência e falta de replicabilidade. Uma distinção importante é entre dados e inteligência. Dados são informações básicas, enquanto inteligência é o resultado de coletar, processar e analisar dados para fornecer contexto e significado que pode informar decisões. Qual das seguintes opções descreve corretamente o papel da análise na transformação de dados em inteligência?
O papel da análise na transformação de dados em inteligência é descrito corretamente por:
c. A análise envolve a interpretação e avaliação de dados, conectando-os com outras informações e experiências para fornecer contexto e significado, auxiliando na tomada de decisões informadas.
Justificativa: A análise de inteligência vai além de cálculos ou espera passiva, sendo um processo ativo de contextualização e interpretação para gerar informações úteis.
Explicação:- A análise transforma dados brutos em inteligência, fornecendo contexto e significado para auxiliar na tomada de decisões.
- As outras alternativas descrevem abordagens incorretas para a análise de dados.
Questão 16:
Ao longo dos anos, a importância da inteligência evoluiu e se tornou um componente vital no campo da segurança cibernética. Antigamente, a inteligência estava mais associada à segurança nacional e atividades militares, mas atualmente, ela tem um papel significativo nas organizações, auxiliando na tomada de decisões informadas. A inteligência na resposta a incidentes de segurança cibernética envolve analisar informações sobre as intenções, habilidades e oportunidades dos adversários, a fim de adotar medidas apropriadas para proteger as redes. A inteligência de ameaças cibernéticas (CTI) foca em detalhes táticos e técnicos e em analisar o comportamento online dos adversários para alcançar objetivos de segurança. Com base no texto, qual das seguintes afirmações descreve melhor o papel da Inteligência de Ameaças Cibernéticas (CTI) na segurança da informação?
O papel da Inteligência de Ameaças Cibernéticas (CTI) na segurança da informação é melhor descrito por:
b. A CTI é usada para observar e analisar dados de invasões anteriores, fazendo recomendações para proteger sistemas e dados que podem estar em risco.
Justificativa: A CTI foca em detalhes táticos e técnicos, analisando comportamentos e padrões de adversários para antecipar e mitigar ameaças, não apenas reagir após uma invasão ("a") ou garantir prevenção total ("d").
Explicação:- A Inteligência de Ameaças Cibernéticas (CTI) tem como objetivo analisar dados de ameaças passadas e presentes para fornecer informações que auxiliem na proteção de sistemas e dados contra futuras ameaças.
- As outras alternativas estão incorretas, pois a CTI não se limita a analisar invasões após ocorrerem, nem garante a prevenção de todas as invasões, e sua função não se limita somente a coleta de dados.
Questão 17:
O Gerenciamento de Informações e Eventos de Segurança (SIEM) é uma abordagem abrangente para a segurança da informação que coleta e analisa dados de log e eventos de segurança para fornecer insights acionáveis. Os relatórios, painéis e visualizações são formas cruciais através das quais os insights podem ser apresentados. Além disso, o manuseio adequado dos logs é essencial para o funcionamento eficaz de um SIEM, especialmente em conformidade com os regulamentos da indústria. Com base nas informações fornecidas, selecione a opção que descreve corretamente uma prática de manuseio de logs em um sistema SIEM:
Uma prática correta de manuseio de logs em um sistema SIEM é:
d. Utilizar servidores Syslog para normalizar e comprimir logs, mantendo somente informações essenciais em um formato padronizado.
Justificativa: Normalizar logs com Syslog é uma prática comum em SIEM para otimizar armazenamento e análise, mantendo conformidade e eficiência, ao contrário de desabilitar filtragem ("a") ou excluir logs automaticamente ("b").
Explicação:- O uso de servidores Syslog é uma prática recomendada para o manuseio de logs em um sistema SIEM, pois permite a centralização, normalização e compressão dos logs, facilitando a análise e o armazenamento.
- As outras alternativas não condizem com boas práticas de segurança, pois desabilitar filtros, excluir dados importantes, ou usar apenas armazenamento local, não são procedimentos seguros.
Questão 18:
A inteligência pode ser derivada de várias fontes, como pessoas (HUMINT), sinais de comunicação (SIGINT), fontes de código aberto (OSINT), imagens (IMINT), medições e assinaturas (MASINT) e dados geoespaciais (GEOINT). Com a evolução do cenário de ameaças, termos como CYBINT (inteligência cibernética), TECHINT (inteligência técnica) e FININT (inteligência financeira) também surgiram para representar áreas especializadas de coleta de informações. Qual das seguintes opções descreve corretamente o tipo de inteligência conhecido como HUMINT?
O tipo de inteligência conhecido como HUMINT é corretamente descrito por:
c. HUMINT envolve a coleta de informações de fontes humanas, incluindo o uso de espiões ou a obtenção de informações através de conversas e interações com pessoas.
Justificativa: HUMINT (Human Intelligence) refere-se à coleta de informações diretamente de fontes humanas, distinta de OSINT ("a"), IMINT ("b") ou SIGINT ("d").
Explicação:- HUMINT (Human Intelligence) refere-se à coleta de informações por meio de fontes humanas, como agentes, informantes e outros indivíduos.
- As outras alternativas descrevem outros tipos de inteligência.
Questão 19:
Na análise de segurança de redes, é crucial identificar e responder prontamente a ameaças potenciais. Uma abordagem comum para alcançar isso é o uso de Sistemas de Detecção de Intrusão (IDS) que operam por meio de análise baseada em assinaturas. Esses sistemas capturam o tráfego da rede e aplicam um conjunto de regras ou assinaturas a ele. Quando uma correspondência é encontrada, um log é gerado. Um dos sistemas IDS mais conhecidos é o Snort, que utiliza um formato específico de assinatura. É essencial para os profissionais de segurança entender e trabalhar com assinaturas para implementar com sucesso a detecção baseada em assinaturas. Um profissional de segurança está analisando uma assinatura Snort específica que é composta por várias partes, conforme a imagem:
alert tcp any any -> any any msg:"Sundown EK - Landing" content:"GET" pcre:"\/[a-zA-Z0-9]{39}\/[a-zA-Z0-9]{6,7}\.(swf|php)$"
Qual desses componentes da assinatura Snort é usado para especificar padrões por meio de expressões regulares compatíveis com Perl, em vez de especificar conteúdo explícito?
Na assinatura Snort fornecida, o componente que usa expressões regulares compatíveis com Perl (PCRE) é:
c. pcre:"/[a-zA-Z0-9]{39}/[a-zA-Z0-9]{6,7}.(swf|php)$"
Justificativa: O modificador "pcre" indica o uso de expressões regulares para padrões complexos, diferente de "content" ("b"), que busca conteúdo explícito, ou outras partes como "alert" ("d") e a definição de tráfego ("a").
A resposta correta é a c. pcre:"/[a-zA-Z0-9]{39}/[a-zA-Z0-9]{6,7}.(swf|php)$"
Explicação:
- pcre: Esta opção no Snort permite o uso de expressões regulares compatíveis com Perl (PCRE) para definir padrões de correspondência. Isso é crucial quando você precisa detectar variações complexas ou dinâmicas em dados de rede, em vez de apenas buscar por sequências de caracteres fixas (como faria a opção "content").
Análise das outras opções:
- a. tcp any any -> any any: Isso define o protocolo (TCP) e os endereços IP e portas de origem e destino. Não especifica padrões de conteúdo.
- b. content:"GET": Esta opção busca pela string literal "GET" no conteúdo do pacote. É uma busca por conteúdo explícito, não por padrões complexos.
- d. alert: Esta é a ação que o Snort deve tomar quando a regra é acionada (gerar um alerta). Não especifica padrões de conteúdo.
Em resumo:
A opção "pcre" é a única que permite a especificação de padrões complexos usando expressões regulares, tornando-a a resposta correta para a pergunta.
Questão 20:
Os Sistemas de Gerenciamento de Eventos e Informações de Segurança (SIEM) são componentes essenciais na proteção da infraestrutura de TI de uma organização. Para ter um SIEM eficaz, é crucial entender o ambiente da organização, incluindo seus ativos, redes e aplicativos, e implementar o monitoramento adequado. Além disso, é necessário compreender como os invasores pensam e desenvolver estratégias para detectá-los. O SIEM também precisa se adaptar às mudanças e evoluções tecnológicas e ser personalizado para atender às necessidades específicas da organização. Dado esse contexto, qual das seguintes afirmações sobre as melhores práticas para um SIEM eficaz é verdadeira?
A melhor prática para um SIEM eficaz é:
b. É uma boa prática manter pelo menos 40 dias de dados facilmente acessíveis no SIEM para análises e investigações.
Justificativa: Manter dados por um período razoável (como 40 dias) é essencial para investigações e conformidade, enquanto as outras opções ignoram a necessidade de manutenção contínua ("a" e "d") ou sugerem integração desordenada ("c").
Explicação:- Manter um período adequado de retenção de dados no SIEM é fundamental para análises e investigações eficazes. 40 dias é um tempo razoável.
- As outras alternativas descrevem práticas incorretas, pois o SIEM requer acompanhamento continuo, a adição de fontes de dados deve ser feita de forma gradual, e o SIEM necessita de manutenções constantes.
