Soluções DLP (Data Loss Prevention) utilizam diferentes métodos para identificar e classificar dados sensíveis que precisam ser protegidos.
Assinale a opção que descreve corretamente o método de classificação de dados por “Exact Data Match” (EDM) em soluções DLP.

No contexto da segurança de redes e aplicações corporativas, diferentes tipos de ataques requerem medidas de proteção específicas e adequadas às suas características técnicas.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.

( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.

( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.

( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.


Assinale a opção que indica a relação correta na ordem apresentada.

Um órgão público sofreu um ataque direcionado com a seguinte sequência de eventos:

• T0 (13:00): Funcionário do setor financeiro recebeu e-mail de phishing com documento Excel malicioso (.xlsm) que explorou macro habilitada.

• T1 (13:02): O Excel executou PowerShell ofuscado que baixou payload da segunda etapa de domínio legítimo comprometido (pastebin.com) via HTTPS.

• T2 (13:05): Payload injetou shellcode em processo legítimo (svchost.exe) por meio de process hollowing, estabelecendo persistência via registro do Windows (Run key).

• T3 (13:15): Atacante realizou credential dumping extraindo hashes NTLM da memória do LSASS usando técnica living-offthe-land (Mimikatz reflective injection).

• T4 (13:30): Movimentação lateral via PsExec para servidor de aplicação usando credenciais roubadas, sem exploração de vulnerabilidade.

• T5 (14:00): Exfiltração de 500MB de dados para servidor C2 externo via DNS tunneling, fragmentando dados em queries DNS aparentemente legítimas.


Com base nos eventos T0–T5, assinale a opção que indica a tecnologia adequada para identificar o padrão observado e sustentar a investigação e a contenção do incidente

Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:

X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);

Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;

W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;

Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).


Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.

Uma aplicação web corporativa está vulnerável aos ataques em que usuários maliciosos conseguem fazer a aplicação executar comandos arbitrários do sistema operacional por meio da manipulação de parâmetros que são passados diretamente para funções de execução de processos no servidor.
Este tipo de vulnerabilidade caracteriza-se como

Um Security Operations Center (SOC) está operando uma solução SIEM (Security Information and Event Management) que recebe logs de múltiplas fontes:
• Firewall de perímetro (5.000 eventos/segundo); • Proxies web (8.000 eventos/segundo); • Servidores Windows/Linux (3.000 eventos/segundo); • EDR em endpoints (12.000 eventos/segundo); • Cloud AWS/Azure (4.000 eventos/segundo).

O SOC configurou as seguintes regras de correlação:
Regra 1: “Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos” → Gera alerta de severidade MÉDIA.
Regra 2: “Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)” → Gera alerta de severidade ALTA.
Regra 3: “Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64” → Gera alerta de severidade CRÍTICA.
Durante uma janela de 30 minutos, o SIEM detectou:
09:00h: Usuário “joao.silva” - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário “joao.silva” - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário “joao.silva” - Acesso ao diretório “\fileserver\financeiro\confidencial”;
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário “admin.ti” (conta administrativa) a partir do mesmo IP 177.192.20.71.


Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.

Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.

O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).


Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.

Um analista de segurança está implementando soluções de monitoramento de comportamento para detectar ameaças avançadas que contornam controles tradicionais baseados em assinaturas.
Sobre as tecnologias e os conceitos de monitoramento comportamental, assinale a afirmativa correta.

José, recentemente contratado como CISO pela Banana Inc, sociedade empresária de médio porte com 500 funcionários, ficou entusiasmado ao ler sobre Arquitetura Zero Trust em uma rede social.
Interpretando literalmente o termo Zero Trust (confiança zero), José concluiu que isso significava não confiar em absolutamente nada nem ninguém. Ele então:
• Bloqueou todas as comunicações entre sistemas internos por padrão, sem exceções;
• Removeu todos os usuários e grupos do Active Directory que tivesse qualquer tipo de permissão;
• Desativou a VPN e o acesso remoto completamente ("não podemos confiar em ninguém fora do escritório");
• Configurou o firewall para negar todo tráfego de entrada e saída;
• Desabilitou certificados digitais da sociedade empresária ("não podemos confiar nem em nós mesmos");
• Bloqueou o acesso administrativo a todos os servidores, incluindo para a própria equipe de TI.

Após essa implementação, a sociedade empresária ficou completamente paralisada: os sistemas não comunicavam entre si, os usuários não conseguiam acessar nenhum recurso, os e-mails não eram recebidos nem enviados, e a própria equipe de TI ficou impossibilitada de gerenciar a infraestrutura.
A diretoria exigiu correção imediata mantendo princípios de segurança modernos. Para implementar corretamente Arquitetura Zero Trust conforme a NIST SP 800-207, José deveria

Considerando a Gestão de Segurança da Informação e seus processos fundamentais, como a Gestão de Riscos e a Gestão de Identidade e Acesso, bem como sua relação com a Continuidade do Negócio, avalie as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) Na Gestão de Segurança da Informação (ISO 27001), a definição do escopo do SGSI deve obrigatoriamente levar em conta o contexto da organização (questões internas e externas) e os requisitos das partes interessadas.

( ) Na Gestão de Continuidade do Negócio, o RPO (Recovery Point Objective) define a idade máxima dos dados que devem ser recuperados após um incidente, representando o volume de perda de dados aceitável.

( ) Na Gestão de Identidade e Acesso, o OpenID Connect (OIDC) funciona como uma camada de identidade construída sobre o protocolo OAuth 2.0, adicionando a capacidade de autenticação de usuários e a obtenção de informações básicas de perfil.

As afirmativas são, respectivamente,