No contexto da segurança de sistemas de Inteligência Artificial, diversas técnicas de ataque e defesa foram desenvolvidas para lidar com vulnerabilidades específicas de modelos de Machine Learning.
Relacione os tipos de ataques e técnicas de segurança em IA apresentados a seguir, às suas respectivas características.

1. Adversarial Evasion Attack 2. Model Poisoning Attack 3. Model Extraction Attack 4. Adversarial Training

( ) Técnica defensiva que consiste em treinar o modelo utilizando exemplos adversariais junto com dados legítimos para aumentar a robustez do sistema contra perturbações maliciosas.

( ) Ataque realizado durante a fase de inferência, no qual entradas são sutilmente modificadas para induzir o modelo a classificações incorretas, mantendo-se imperceptíveis ao usuário humano.

( ) Ataque executado na fase de treinamento, no qual dados maliciosos são injetados no conjunto de dados de treinamento para comprometer o comportamento do modelo resultante.

( ) Ataque que visa replicar a funcionalidade de um modelo proprietário através de consultas sistemáticas, permitindo ao atacante obter uma cópia funcional sem acesso direto aos parâmetros originais.


Assinale a opção que indica a relação correta, segundo a ordem apresentada.

Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.

No âmbito da ICP-Brasil, certificados digitais podem ser revogados antes do término da validade quando há comprometimento da chave privada.
Nesse contexto, assinale a opção que apresenta o mecanismo usado para verificar o estado de revogação de certificados digitais em tempo real.

Considerando técnicas de testes de segurança em aplicações, analise as afirmativas a seguir.

I. SAST (Static Application Security Testing) pode identificar vulnerabilidades de lógica de negócio e falhas de autorização baseadas em contexto de execução, sendo mais efetivo que DAST para detectar quebras de controle de acesso horizontal (IDOR - Insecure Direct Object Reference).

II. IAST (Interactive Application Security Testing) utiliza instrumentação de código para correlacionar entrada de dados com fluxo de execução em runtime, reduzindo falsos positivos em comparação com SAST puro, mas introduzindo overhead de performance que pode inviabilizar uso em ambientes de produção.

III. Fuzzing (Fuzz Testing) é técnica eficaz para identificar vulnerabilidades de corrupção de memória (buffer overflow, use-after-free) em aplicações compiladas, mas tem limitação em detectar falhas de lógica de negócio que requerem sequências específicas de operações válidas.

IV. DAST (Dynamic Application Security Testing) consegue identificar todas as rotas e endpoints de uma API REST automaticamente por meio de spidering, sem necessidade de documentação OpenAPI/Swagger, sendo mais abrangente em cobertura de código que SAST.


Está correto o que se afirma em

Soluções DLP (Data Loss Prevention) utilizam diferentes métodos para identificar e classificar dados sensíveis que precisam ser protegidos.
Assinale a opção que descreve corretamente o método de classificação de dados por “Exact Data Match” (EDM) em soluções DLP.

No contexto da segurança de redes e aplicações corporativas, diferentes tipos de ataques requerem medidas de proteção específicas e adequadas às suas características técnicas.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.

( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.

( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.

( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.


Assinale a opção que indica a relação correta na ordem apresentada.

Um órgão público sofreu um ataque direcionado com a seguinte sequência de eventos:

• T0 (13:00): Funcionário do setor financeiro recebeu e-mail de phishing com documento Excel malicioso (.xlsm) que explorou macro habilitada.

• T1 (13:02): O Excel executou PowerShell ofuscado que baixou payload da segunda etapa de domínio legítimo comprometido (pastebin.com) via HTTPS.

• T2 (13:05): Payload injetou shellcode em processo legítimo (svchost.exe) por meio de process hollowing, estabelecendo persistência via registro do Windows (Run key).

• T3 (13:15): Atacante realizou credential dumping extraindo hashes NTLM da memória do LSASS usando técnica living-offthe-land (Mimikatz reflective injection).

• T4 (13:30): Movimentação lateral via PsExec para servidor de aplicação usando credenciais roubadas, sem exploração de vulnerabilidade.

• T5 (14:00): Exfiltração de 500MB de dados para servidor C2 externo via DNS tunneling, fragmentando dados em queries DNS aparentemente legítimas.


Com base nos eventos T0–T5, assinale a opção que indica a tecnologia adequada para identificar o padrão observado e sustentar a investigação e a contenção do incidente

Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:

X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);

Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;

W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;

Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).


Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.

Uma aplicação web corporativa está vulnerável aos ataques em que usuários maliciosos conseguem fazer a aplicação executar comandos arbitrários do sistema operacional por meio da manipulação de parâmetros que são passados diretamente para funções de execução de processos no servidor.
Este tipo de vulnerabilidade caracteriza-se como

Um Security Operations Center (SOC) está operando uma solução SIEM (Security Information and Event Management) que recebe logs de múltiplas fontes:
• Firewall de perímetro (5.000 eventos/segundo); • Proxies web (8.000 eventos/segundo); • Servidores Windows/Linux (3.000 eventos/segundo); • EDR em endpoints (12.000 eventos/segundo); • Cloud AWS/Azure (4.000 eventos/segundo).

O SOC configurou as seguintes regras de correlação:
Regra 1: “Múltiplas tentativas de login falhadas (>10) em diferentes sistemas pelo mesmo usuário em janela de 5 minutos” → Gera alerta de severidade MÉDIA.
Regra 2: “Login bem-sucedido após múltiplas falhas + acesso a arquivo sensível + exfiltração de dados (>100MB upload externo)” → Gera alerta de severidade ALTA.
Regra 3: “Criação de nova conta administrativa + modificação de GPO + execução de PowerShell codificado em Base64” → Gera alerta de severidade CRÍTICA.
Durante uma janela de 30 minutos, o SIEM detectou:
09:00h: Usuário “joao.silva” - 15 logins falhados em 3 aplicações diferentes (SIEM, ERP, Portal RH);
09:03h: Usuário “joao.silva” - Login bem-sucedido no ERP a partir de IP 177.192.20.71 (Brasil);
09:07h: Usuário “joao.silva” - Acesso ao diretório “\fileserver\financeiro\confidencial”;
09:15h: Mesmo IP 177.192.20.71 - Upload de 250MB para storage.xpto.com via HTTPS;
09:20h: Login bem-sucedido do usuário “admin.ti” (conta administrativa) a partir do mesmo IP 177.192.20.71.


Com base neste cenário, assinale a opção que apresenta a análise correta dos alertas disparados e a resposta adequada para este cenário.