VERSÃO DEGUSTAÇÃO · 10% do material · 15 questões neste módulo DESBLOQUEAR TUDO →
Respondidas: 0/15
Acertos: 0
Aproveitamento:
Anti-FCC · Módulo 06 · Tecnologia da Informação · Degustação

Segurança da Informação e Cibernética

ISO 27001/27002/27005/27035 · NIST · OWASP · IAM · Criptografia · SOC/SIEM

⚡ Você tem 15 questões deste módulo (degustação)

Versão DEGUSTAÇÃO (15/65). Liberar o módulo completo + 11 outros + 150 páginas de teoria integrada: versão completa →

Q16Princípios de SIABNT NBR ISO/IEC 27001:2022

Conforme a ABNT NBR ISO/IEC 27001:2022, são princípios fundamentais da Segurança da Informação, EXCETO:

a)Confidencialidade.
b)Integridade.
c)Disponibilidade.
d)Escalabilidade.
e)Autenticidade.
Gabarito só após confirmar
Gabarito: D — correta

Escalabilidade é atributo de arquitetura/desempenho de sistemas, não princípio de SI. Os princípios são: confidencialidade, integridade, disponibilidade, autenticidade e não repúdio.

  • a) É princípio real — pega quem marca a primeira sem ler a pergunta inteira.
  • b) Também é princípio real.
  • c) Princípio real (tríade CIA).
  • e) Princípio real complementar. Em "exceto", a FCC enfileira quatro corretas e UMA plausível mas fora do escopo — escalabilidade é arquitetura, não SI.
Q17Zero TrustNIST SP 800-207📖 Ler teoria

Sobre o modelo de segurança Zero Trust, é CORRETO afirmar:

a)Confia automaticamente em todos os usuários e dispositivos dentro do perímetro da rede corporativa.
b)Adota o princípio de "nunca confiar, sempre verificar", exigindo autenticação e autorização contínuas independentemente da localização do usuário.
c)Substitui completamente a necessidade de firewalls e VPNs corporativas.
d)Aplica-se apenas a ambientes de nuvem pública, sendo incompatível com redes on-premises.
e)É sinônimo de defesa em profundidade, com camadas redundantes de proteção.
Gabarito só após confirmar
Gabarito: B — correta

Zero Trust (NIST SP 800-207) opera com o princípio "never trust, always verify": autenticação e autorização contínuas, microssegmentação, menor privilégio, independentemente de o usuário estar dentro ou fora do perímetro tradicional.

  • a) Descreve o modelo tradicional de perímetro (castle-and-moat) — exato oposto do Zero Trust.
  • c) Zero Trust complementa firewalls e VPNs; não substitui. NGFW seguem essenciais.
  • d) "Apenas nuvem pública" — falso. Zero Trust aplica-se a on-premises, nuvem privada/pública e híbrida.
  • e) Confunde dois conceitos distintos. Defesa em profundidade = camadas; Zero Trust = verificação contínua. Coexistem mas não são iguais.
Q18OAuth 2.0 vs OIDCIAM · RFC 6749📖 Ler teoria

Sobre os protocolos OAuth 2.0 e OpenID Connect (OIDC), é CORRETO afirmar:

a)OAuth 2.0 é um protocolo de autenticação, enquanto OIDC é um protocolo de autorização baseado em OAuth.
b)OAuth 2.0 é um protocolo de autorização (delegação de acesso); OIDC é uma camada de autenticação construída sobre o OAuth 2.0.
c)OAuth 2.0 e OIDC são sinônimos, sendo OIDC apenas a denominação mais recente do mesmo protocolo.
d)OAuth 2.0 substituiu completamente o SAML em todos os cenários federados.
e)Ambos os protocolos exigem o uso obrigatório de certificados X.509 emitidos pela ICP-Brasil.
Gabarito só após confirmar
Gabarito: B — correta

OAuth 2.0 é protocolo de autorização (RFC 6749) — delega acesso a recursos protegidos. OIDC é camada de autenticação construída sobre OAuth 2.0, agregando ID Token (JWT). O edital cita textualmente: "OAuth 2.0 como autorização, OpenID Connect como autenticação".

  • a) A inversão clássica e mais comum: a FCC troca os papéis. OAuth = autorização; OIDC = autenticação. Quem decora errado cai aqui sempre.
  • c) "Sinônimos" — falso. Protocolos distintos, finalidades complementares.
  • d) "Substituiu SAML em todos os cenários" — falso. SAML segue muito usado em SSO empresarial e federações governamentais.
  • e) "Exige X.509 ICP-Brasil" — falso. São padrões abertos internacionais; ICP-Brasil é específico para assinatura digital com validade jurídica no Brasil.
Q19SIEM × SOC × EDROperações de segurança

No contexto da operação de segurança cibernética, é CORRETO afirmar:

a)SIEM e SOC são sinônimos; ambos designam uma plataforma de software para coleta e correlação de logs.
b)SIEM é a plataforma tecnológica de coleta, correlação e análise de eventos de segurança; SOC é a estrutura organizacional (pessoas + processos) que opera essa plataforma; EDR atua especificamente em endpoints.
c)EDR substitui o SIEM em ambientes de nuvem, dispensando o monitoramento centralizado de logs.
d)O SOC é uma ferramenta de software fornecida exclusivamente por hyperscalers (AWS, Azure, GCP).
e)SIEM é restrito a ambientes Windows, enquanto EDR atua exclusivamente em sistemas Linux.
Gabarito só após confirmar
Gabarito: B — correta

SIEM = plataforma tecnológica. SOC = estrutura organizacional (pessoas, processos, ferramentas) que monitora 24×7. EDR = agente em endpoints com detecção comportamental.

  • a) Confusão clássica: SIEM é ferramenta; SOC é a operação. O SOC usa o SIEM.
  • c) EDR e SIEM são complementares: EDR vê endpoints; SIEM correlaciona tudo. Em nuvem, SIEM segue essencial (Azure Sentinel etc.).
  • d) Confunde estrutura organizacional com serviço cloud. SOC gerenciado (MSSP) existe, mas o SOC em si é estrutura, não software.
  • e) "SIEM em Windows, EDR em Linux" — falso. Ambos são multiplataforma.
Q20CriptografiaFundamentos

Sobre criptografia simétrica e assimétrica, é CORRETO afirmar:

a)A criptografia simétrica utiliza um par de chaves (pública/privada), sendo mais rápida que a assimétrica.
b)A criptografia assimétrica usa a mesma chave para cifrar e decifrar, com alta performance.
c)A criptografia simétrica usa uma única chave compartilhada e é mais rápida; a assimétrica usa par de chaves (pública/privada) e resolve o problema da distribuição de chaves, sendo computacionalmente mais cara.
d)Algoritmos como RSA e ECC são exemplos de criptografia simétrica.
e)Algoritmos como AES e ChaCha20 são exemplos de criptografia assimétrica.
Gabarito só após confirmar
Gabarito: C — correta

Simétrica: chave única compartilhada (AES, ChaCha20), rápida, mas problema na distribuição. Assimétrica: par pública/privada (RSA, ECC), resolve distribuição mas é cara. Por isso, na prática usa-se híbrido (TLS): assimétrica troca a chave; simétrica cifra o tráfego.

  • a) Inversão direta: "par de chaves" é da assimétrica.
  • b) Inversão espelhada: "mesma chave" é da simétrica. A FCC sempre testa essa troca de bases.
  • d) RSA e ECC são assimétricos. Quem decora "RSA é antigo, então deve ser simétrico" cai aqui.
  • e) AES e ChaCha20 são simétricos. A FCC inverte os exemplos.
Q21Gestão de RiscosABNT NBR ISO/IEC 27005:2023📖 Ler teoria

Conforme a ABNT NBR ISO/IEC 27005:2023, as opções de tratamento de risco de segurança da informação incluem:

a)Reduzir, transferir, evitar e aceitar o risco.
b)Apenas reduzir e aceitar o risco, pois transferir e evitar não são opções tecnicamente possíveis.
c)Apenas mitigar e prevenir, sendo proibido pela norma aceitar qualquer risco residual.
d)Criptografar, monitorar, isolar e notificar.
e)Identificar, classificar, autenticar e autorizar.
Gabarito só após confirmar
Gabarito: A — correta

A ISO 27005:2023 define quatro opções clássicas de tratamento de risco: (1) Reduzir/Mitigar (implementar controles), (2) Transferir/Compartilhar (seguro, terceirização), (3) Evitar (não fazer a atividade), (4) Aceitar (assumir o risco residual conscientemente).

  • b) "Apenas reduzir e aceitar" — falso. Restringe artificialmente. As 4 opções estão na norma, com transferir e evitar plenamente válidas.
  • c) "Proibido aceitar" — frontalmente falso. Aceitar é uma das opções principais — todo risco residual é aceito, formalmente, pela alta direção.
  • d) Descreve controles técnicos (que são meios para reduzir risco), não opções de tratamento. A FCC confunde meios com fins.
  • e) Lista o ciclo de IAM (Identity and Access Management) — instituto diferente. Não tem relação com tratamento de risco.
Q22Phishing × Spear PhishingEngenharia social

Sobre as variações de ataques de engenharia social baseados em e-mail, é CORRETO afirmar:

a)Phishing, spear phishing e whaling são sinônimos — diferentes nomes para o mesmo ataque genérico.
b)Phishing é ataque genérico em massa; spear phishing é direcionado a indivíduos ou grupos específicos com personalização; whaling é spear phishing direcionado a executivos de alto escalão ("big fish").
c)Spear phishing é apenas a versão móvel do phishing, executado via SMS (também chamado de smishing).
d)Whaling é uma técnica de defesa que identifica grandes ataques antes que eles ocorram.
e)Phishing exige obrigatoriamente o uso de domínios falsos com certificados digitais válidos.
Gabarito só após confirmar
Gabarito: B — correta

Hierarquia de personalização: phishing (massa, qualquer um) → spear phishing (alvo específico, pesquisado) → whaling (alvo executivo/CEO/diretor). Quanto mais personalizado, mais difícil de detectar.

  • a) "Sinônimos" — falso. São variações em escala crescente de personalização e impacto.
  • c) Confunde com smishing (SMS) e vishing (voz). Spear phishing também é por e-mail, mas direcionado, não móvel.
  • d) "Técnica de defesa" — invenção. Whaling é ataque, não defesa. FCC adora inverter natureza do termo.
  • e) "Exige certificados válidos" — falso. Phishing tipicamente usa domínios fraudulentos sem certificados ou com certificados Let's Encrypt genéricos.
Q23WAF × IDS × IPSDefesas perimetrais📖 Ler teoria

Sobre os dispositivos de segurança WAF, IDS e IPS, é CORRETO afirmar:

a)WAF, IDS e IPS são sinônimos, todos atuam exclusivamente no perímetro de rede.
b)WAF protege especificamente aplicações web na camada 7 (HTTP/HTTPS); IDS detecta intrusões e gera alertas (modo passivo); IPS detecta e bloqueia (modo ativo/inline).
c)IDS é a versão moderna do IPS, com capacidade de bloqueio automático em tempo real.
d)WAF substitui completamente firewalls tradicionais e IDS/IPS em arquiteturas modernas.
e)WAF, IDS e IPS atuam apenas na camada de rede (camada 3) do modelo OSI.
Gabarito só após confirmar
Gabarito: B — correta

WAF (Web Application Firewall): camada 7, protege aplicação web (SQLi, XSS, CSRF). IDS (Intrusion Detection System): detecta e alerta (passivo). IPS (Intrusion Prevention System): detecta e bloqueia (ativo, inline). Cada um atua em escopo diferente, são complementares.

  • a) "Sinônimos" — falso. Têm escopos e modos de operação distintos.
  • c) Inversão clássica: IPS é o ativo (bloqueia), IDS é o passivo (só alerta). A FCC inverte os papéis.
  • d) "Substitui firewalls e IDS/IPS" — falso. WAF é especializado em aplicação web; firewalls tradicionais e IDS/IPS seguem necessários para outros vetores.
  • e) "Apenas camada 3" — falso. WAF é camada 7; IDS/IPS modernos atuam em múltiplas camadas (3, 4, 7).
Q24PKI e ICP-BrasilCertificação digital · MP 2.200-2/2001

Sobre a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e certificação digital, é CORRETO afirmar:

a)A ICP-Brasil é instituída por lei ordinária federal e tem como Autoridade Certificadora Raiz a Receita Federal.
b)Os certificados digitais ICP-Brasil têm presunção de autenticidade, integridade e validade jurídica em relação ao titular, conforme MP 2.200-2/2001.
c)Os certificados ICP-Brasil são gratuitos e emitidos automaticamente para todos os cidadãos com CPF ativo.
d)Apenas pessoas jurídicas podem obter certificados digitais ICP-Brasil; pessoas físicas usam outros padrões.
e)Os certificados ICP-Brasil seguem padrão proprietário brasileiro, incompatível com o padrão internacional X.509.
Gabarito só após confirmar
Gabarito: B — correta

MP 2.200-2/2001, art. 10, §1º: as declarações constantes de documentos eletrônicos assinados com certificado ICP-Brasil presumem-se verdadeiras em relação aos signatários. A AC Raiz é o ITI (Instituto Nacional de Tecnologia da Informação), autarquia federal.

  • a) Dois erros: (1) ICP-Brasil é instituída por Medida Provisória (MP 2.200-2/2001), e (2) a AC Raiz é o ITI, não a Receita Federal. A RF é apenas uma das AC subordinadas.
  • c) "Gratuitos e automáticos" — falso. Certificados ICP-Brasil são pagos e emitidos por Autoridades Certificadoras (AC) credenciadas, mediante presença física do titular.
  • d) "Apenas PJ" — falso. Pessoas físicas também emitem (e-CPF, Gov.br) e pessoas jurídicas (e-CNPJ).
  • e) "Padrão proprietário, incompatível" — falso. ICP-Brasil segue o padrão internacional X.509, totalmente compatível.
Q25VPN — TiposConectividade segura

Sobre as modalidades de VPN (Virtual Private Network), é CORRETO afirmar:

a)Site-to-site VPN conecta um único usuário a uma rede corporativa; client-to-site VPN conecta duas redes corporativas.
b)Site-to-site VPN conecta duas redes (ex.: matriz e filial); client-to-site VPN (também chamada de remote access) conecta um usuário individual à rede corporativa.
c)VPN e Zero Trust são sinônimos: ambos criam túneis criptografados independentes da localização.
d)Toda VPN exige obrigatoriamente o uso de IPsec; protocolos como WireGuard e OpenVPN não são considerados VPN.
e)VPN site-to-site garante segurança absoluta, dispensando outras camadas de defesa.
Gabarito só após confirmar
Gabarito: B — correta

Site-to-site: conecta duas redes (matriz-filial, on-prem-cloud) via gateways. Client-to-site (remote access): usuário individual via cliente VPN. Protocolos comuns: IPsec, WireGuard, OpenVPN.

  • a) Inversão clássica: a FCC troca site-to-site com client-to-site. Memorize: "site" = rede; "client" = usuário.
  • c) "VPN = Zero Trust" — falso. VPN cria um túnel; Zero Trust é arquitetura de verificação contínua que pode até dispensar VPNs tradicionais em alguns cenários.
  • d) "Apenas IPsec" — falso. WireGuard, OpenVPN, SSL/TLS VPN são todas modalidades válidas. IPsec é apenas o protocolo histórico.
  • e) "Segurança absoluta" — armadilha do absoluto. Toda defesa precisa de camadas; uma VPN comprometida (credenciais vazadas, túnel mal configurado) abre tudo.
Q26BIA — ContinuidadeABNT NBR ISO 22301:2020

A Análise de Impacto no Negócio (BIA — Business Impact Analysis), prevista na ABNT NBR ISO 22301:2020, tem por finalidade:

a)Definir os controles técnicos de segurança a serem implementados nos sistemas críticos.
b)Identificar processos críticos da organização, determinar o impacto da sua interrupção ao longo do tempo e estabelecer requisitos como RPO e RTO.
c)Calcular o retorno sobre investimento (ROI) dos projetos de tecnologia da informação.
d)Realizar testes de penetração nas aplicações web da organização.
e)Avaliar o nível de maturidade de governança corporativa segundo o COBIT.
Gabarito só após confirmar
Gabarito: B — correta

A BIA identifica processos críticos e quantifica o impacto da sua interrupção, fornecendo subsídios para definir RPO (Recovery Point Objective: quanto dado posso perder) e RTO (Recovery Time Objective: em quanto tempo preciso voltar).

  • a) "Definir controles técnicos" — confunde BIA (análise de impacto) com seleção de controles (ISO 27002). Etapas distintas do processo.
  • c) "ROI" — confunde com análise financeira. BIA é análise de continuidade, não de retorno financeiro.
  • d) "Testes de penetração" — confunde BIA com pentest (teste técnico ofensivo). Coisas diferentes.
  • e) "Maturidade COBIT" — confunde BIA com avaliação de governança. Frameworks distintos: ISO 22301 (continuidade) vs COBIT (governança).
Q27SAST × DAST × IASTDevSecOps📖 Ler teoria

Sobre as técnicas de análise de segurança em aplicações SAST, DAST e IAST, é CORRETO afirmar:

a)SAST, DAST e IAST são sinônimos para a mesma técnica de teste em ambiente de produção.
b)SAST (Static Application Security Testing) analisa o código-fonte sem executá-lo; DAST (Dynamic) testa a aplicação em execução, sem acesso ao código; IAST combina elementos das duas, com instrumentação em tempo de execução.
c)SAST testa a aplicação em produção; DAST analisa o código-fonte; IAST é uma técnica obsoleta substituída pelo SCA.
d)Apenas SAST pode detectar vulnerabilidades; DAST e IAST são técnicas de monitoramento.
e)As três técnicas exigem obrigatoriamente acesso ao código-fonte da aplicação.
Gabarito só após confirmar
Gabarito: B — correta

SAST: análise estática do código (caixa branca). DAST: teste dinâmico em runtime (caixa preta, sem código). IAST: híbrido, instrumenta a aplicação para análise interativa durante execução.

  • a) "Sinônimos" — falso. Técnicas distintas com escopos diferentes.
  • c) Inversão clássica: SAST é o estático (código), DAST é o dinâmico (execução). A FCC adora inverter.
  • d) "Apenas SAST detecta" — falso. Todas detectam, em escopos diferentes. DAST/IAST encontram, inclusive, vulnerabilidades de configuração e runtime que SAST não vê.
  • e) "Exigem código-fonte" — falso. DAST justamente NÃO precisa de código-fonte (caixa preta).
Q28Menor PrivilégioPrincípio fundamental

O princípio do menor privilégio, fundamental em segurança da informação, estabelece que:

a)Cada usuário ou processo deve receber apenas os privilégios estritamente necessários para executar suas funções legítimas, e nada além disso.
b)Apenas administradores devem ter acesso a sistemas críticos; demais usuários devem ser bloqueados completamente.
c)Privilégios devem ser revisados anualmente, independentemente de mudanças funcionais.
d)Os privilégios são determinados exclusivamente pela hierarquia organizacional, sem critério técnico.
e)Trata-se de princípio aplicável apenas a contas humanas, não se estendendo a serviços e aplicações.
Gabarito só após confirmar
Gabarito: A — correta

Princípio do menor privilégio (Principle of Least Privilege — PoLP): cada entidade (usuário, processo, serviço) recebe apenas os privilégios mínimos necessários para sua função. Reduz superfície de ataque e impacto de comprometimentos.

  • b) "Apenas administradores têm acesso" — não é isso. O princípio é granular: cada um recebe o que precisa, inclusive admins recebem só o que eles precisam (no contexto deles).
  • c) "Revisão anual" — período inventado. A revisão deve ser contínua, especialmente quando há mudança funcional, transferência de cargo ou desligamento.
  • d) "Hierarquia organizacional sem critério técnico" — frontalmente errado. O princípio é técnico/funcional, não hierárquico.
  • e) "Apenas contas humanas" — falso. Aplica-se também a contas de serviço, APIs, processos automatizados. Service accounts mal configuradas são vetor comum de ataque.
Q29OWASP Top 10OWASP 2021

Sobre a OWASP Top 10 (versão 2021), referência mundial em segurança de aplicações web, é CORRETO afirmar:

a)A categoria "A01 — Broken Access Control" ocupou a primeira posição em 2021, substituindo "Injection" que vinha liderando desde 2013.
b)A OWASP Top 10 é norma obrigatória estabelecida pelo NIST, com força de lei nos Estados Unidos.
c)A OWASP Top 10 trata exclusivamente de vulnerabilidades em redes corporativas, não cobrindo aplicações web.
d)A categoria "Injection" (SQL Injection) foi removida da lista em 2021 por ser considerada obsoleta.
e)A versão 2021 contém 15 categorias de vulnerabilidades, sendo "top 10" apenas o nome histórico.
Gabarito só após confirmar
Gabarito: A — correta

Na versão 2021, A01 = Broken Access Control assumiu a liderança, refletindo a explosão de vulnerabilidades em controle de acesso em APIs e microsserviços. Injection caiu para A03.

  • b) "Norma obrigatória do NIST" — falso. OWASP é organização sem fins lucrativos independente, sua Top 10 é referência amplamente adotada, mas não tem força de lei.
  • c) "Apenas redes corporativas" — frontalmente errado. OWASP foca em aplicações web, não em redes.
  • d) "Injection removida por obsoleta" — falso. Continua na lista (A03/2021); apenas perdeu a primeira posição.
  • e) "15 categorias" — falso. Top 10 significa, literalmente, 10 categorias. Número inventado para confundir.
Q30Gestão de IncidentesABNT NBR ISO/IEC 27035-1:2023

Conforme a ABNT NBR ISO/IEC 27035-1:2023, as fases do ciclo de vida da gestão de incidentes de segurança da informação são, na ordem correta:

a)Detecção → Resposta → Recuperação → Aprendizado → Planejamento.
b)Planejamento e preparação → Detecção e relato → Avaliação e decisão → Resposta → Aprendizado.
c)Identificação → Contenção → Erradicação → Recuperação → Lições aprendidas.
d)Prevenção → Detecção → Punição → Recuperação.
e)Análise de risco → Implementação de controles → Auditoria → Certificação.
Gabarito só após confirmar
Gabarito: B — correta

A ISO/IEC 27035-1:2023 define cinco fases: (1) Planejamento e preparação, (2) Detecção e relato, (3) Avaliação e decisão, (4) Resposta, (5) Aprendizado.

  • a) Reordenação e omissão: falta a etapa de planejamento/preparação como fase 1. Sem planejar, não há gestão estruturada.
  • c) Descreve o framework do NIST SP 800-61 (Identificação → Contenção → Erradicação → Recuperação → Lições). Pega quem confunde os dois padrões — semelhantes, mas distintos. A FCC adora isso.
  • d) "Punição" — invenção. Gestão de incidentes não tem fase de punição; aprendizado e melhoria contínua, sim.
  • e) Descreve o ciclo de gestão de riscos (ISO 27005), não de incidentes. Frameworks diferentes.

Resolveu todas as 15 questões?

O pacote completo tem 500 questões em 14 módulos + ~150 páginas de teoria integrada.

QUERO O ANTI-FCC COMPLETO →

Pré-venda VIP: R$ 127 · Lançamento: R$ 197