Exercicio

Resposta À Incidentes e Recuperação (disaster Recovery)

Questões
 Você acertou 2 de 10 questões
Verifique o seu desempenho e continue treinando! Você pode refazer o exercício
quantas vezes quiser.

Verificar Desempenho

1 Marcar para revisão

Um administrador de segurança descobriu um incidente de malware na rede da
organização. Qual das seguintes etapas do processo de resposta ao incidente ele deve
executar?

A Recuperação

B Erradicação

C Contenção

D Identificação

E Varredura

Resposta incorreta
Opa! A alternativa correta é a letra C. Confira o gabarito comentado!

Gabarito Comentado
Gabarito: Contenção
Justificativa: Após a identificação de um incidente de malware, o próximo passo no
 processo de resposta a incidentes é a contenção. Esta etapa é crucial para evitar
que o malware se propague pela rede e cause mais danos. A contenção também
permite que o administrador de segurança estude o incidente em detalhes para
entender melhor sua natureza e origem. As etapas de recuperação e erradicação
são realizadas posteriormente, após a contenção do malware. A identificação, como
mencionado no enunciado, já foi realizada. A varredura, embora seja uma atividade
importante na segurança da rede, não é considerada uma etapa no processo de
resposta a incidentes.

2 Marcar para revisão

Nos estágios iniciais de uma investigação forense, um analista forense recebeu do
analista de incidentes um disco rígido de uma estação de trabalho comprometida. Qual
dos procedimentos de aquisição de dados a seguir o analista forense precisaria realizar
para iniciar a análise? (Escolha dois.)
I - Calcular hashes
II - Fazer capturas de tela
III - Capturar a imagem do sistema
IV - Começar a ordem de volatilidade
V - Fazer varredura de vulnerabilidades

A II e V

B III e V

C I e III

D I e II

E IV e V

Resposta incorreta
Opa! A alternativa correta é a letra C. Confira o gabarito comentado!
 Gabarito Comentado
Gabarito: I e III
Justificativa: O cálculo de hashes é um procedimento fundamental na análise
forense, pois permite preservar a integridade das evidências. Se o hash calculado
não sofre alterações, isso indica que os dados também não foram alterados. Além
disso, capturar a imagem do sistema é outro procedimento importante, pois envolve
a criação de uma cópia exata da unidade, que pode ser referenciada
posteriormente durante a investigação. Embora as capturas de tela possam ser
úteis para coletar informações visíveis na tela de um computador, elas não estão
diretamente relacionadas ao disco rígido. A ordem de volatilidade se refere à
sequência em que as evidências devem ser coletadas, começando pelas mais
voláteis e avançando para as menos voláteis. Por fim, as varreduras de
vulnerabilidades, embora importantes em outros contextos, não fazem parte do
processo forense.

3 Marcar para revisão

A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por
diversos servidores distribuídos no mundo todo e atende a milhões de clientes em
diversos países. Na segunda-feira às 9:00 h, durante uma manutenção, um
administrador executa uma rotina para limpar os hard drives de 3 servidores para que
eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no
entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em
discos. Isso derrubou a loja para todos os clientes mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às
21:00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e
levar milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o
processo de restauração de backups antes que eles retornem à produção. A equipe
de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8
horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por
mais de 3 dias.
Dado o cenário responda qual é o objetivo do tempo de inatividade máximo tolerável
Dado o cenário, responda qual é o objetivo do tempo de inatividade máximo tolerável
(MTD) da XPTO para esse incidente?

A 8 horas

B 6 horas

C 2 dias

D 3 dias

E 4 dias

Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!

Gabarito Comentado
O Tempo de Inatividade Máximo Tolerável (MTD) é o período máximo que um
sistema pode ficar inoperante sem que isso cause um impacto irrecuperável ao
negócio. No caso da empresa XPTO, uma avaliação prévia determinou que a
empresa não poderia continuar suas operações sem a loja online por mais de 3 dias.
Portanto, o MTD para este incidente específico é de 3 dias, conforme indicado na
alternativa D. Isso significa que a empresa tem até 3 dias para restaurar a loja online
antes que o impacto seja considerado irrecuperável para o negócio.

4 Marcar para revisão

A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por
diversos servidores distribuídos no mundo todo, e atende a milhões de clientes em
diversos países. Na segunda-feira às 9:00 h, durante uma manutenção, um
administrador executa uma rotina para limpar os hard drives de 3 servidores para que
eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no
entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em
di I d b l j td li t di l t
discos. Isso derrubou a loja para todos os clientes mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às
21:00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e
levar milhares de clientes insatisfeitos a requerer reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o
processo de restauração de backups antes que eles retornem à produção. A equipe
de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8
horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por
mais de 3 dias.
Dado o cenário, responda qual é o objetivo do tempo de recuperação (RTO) da XPTO
para esse evento?

A 6 horas

B 8 horas

C 2 dias

D 3 dias

E 4 dias

Resposta correta
Parabéns, você selecionou a alternativa correta. Confira o gabarito comentado!

Gabarito Comentado
O Objetivo do Tempo de Recuperação (RTO, do inglês Recovery Time Objective) é o
período de tempo que uma empresa estabelece como meta para a recuperação de
suas operações normais após um incidente. No caso da empresa XPTO, apesar de
terem ocorrido vários contratempos, como a perda de dados e a necessidade de
reinicialização completa dos servidores a empresa estima que pode recuperar a
 reinicialização completa dos servidores, a empresa estima que pode recuperar a
loja online completamente em aproximadamente 2 dias. Portanto, o RTO para esse
evento é de 2 dias. Isso significa que a empresa planeja ter suas operações normais
restauradas dentro desse período após o incidente.

5 Marcar para revisão

Qual das informações a seguir seria descrita na fase de Pós-Incidente do processo de
resposta a incidentes? (Escolha três.)
I - Quando o problema foi detectado pela primeira vez e por quem
II - Como o problema foi contido e erradicado
III - O trabalho que foi executado durante a recuperação
IV - Preparar a equipe de uma empresa para estar pronta para lidar com um incidente a
qualquer momento
V - Todas as credenciais comprometidas foram revisadas quanto à legitimidade e
reforçadas

A I, II, IV

B I, III, V

C II, III, IV

D I, II, III

E III, IV, V

Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!

Gabarito Comentado
Gabarito: I, II, III
Justificativa: Na fase de Pós-Incidente do processo de resposta a incidentes, as
 informações que são descritas incluem quando o problema foi detectado pela
primeira vez e por quem (I), como o problema foi contido e erradicado (II), e o
trabalho que foi executado durante a recuperação (III). Essas informações são
essenciais para entender o incidente, aprender com ele e melhorar as futuras
respostas a incidentes. A preparação da equipe para lidar com um incidente a
qualquer momento (IV) e a revisão das credenciais comprometidas (V) não são
atividades que ocorrem na fase de Pós-Incidente, mas sim em fases anteriores do
processo de resposta a incidentes.

6 Marcar para revisão

Você recebe uma ligação do gerente de suporte técnico informando que houve um
aumento nas ligações de usuários relatando que seus computadores estão infectados
com malware. Qual das seguintes etapas de resposta a incidentes deve ser concluída
primeiro?

A Contenção

B Backup

C Erradicação

D Pós-Incidente

E Identificação

Resposta incorreta
Opa! A alternativa correta é a letra E. Confira o gabarito comentado!

Gabarito Comentado
Gabarito: Identificação
Justificativa: Em um cenário de incidente de segurança, como uma infecção por
malware a primeira etapa a ser realizada é a identificação Isso significa identificar
 malware, a primeira etapa a ser realizada é a identificação. Isso significa identificar
o tipo de malware e os computadores afetados. A etapa de contenção, que vem em
seguida, tem como objetivo minimizar os danos e prevenir que o problema se
espalhe. A erradicação é a fase onde o malware é removido e os sistemas afetados
são restaurados, o que pode incluir a recriação da imagem do disco rígido do
sistema e a instalação de patches. A etapa de pós-incidente é quando se avalia o
ocorrido e se identificam oportunidades de melhorias para prevenir incidentes
futuros. O backup, embora seja uma atividade importante, é apenas uma das várias
atividades que compõem o processo de resposta a incidentes como um todo.

7 Marcar para revisão

Quais são as informações que os MAC Times podem fornecer? (Escolha três)
I - Data/hora de Modificação
II - Data/hora de Acesso
III - Data/hora de Construção
IV - Data/hora de Criação
V - Data/hora de Arquivamento

A I, II e III

B II, IV e V

C III, IV e V

D I, II e IV

E I, III e V

Resposta incorreta
Opa! A alternativa correta é a letra D. Confira o gabarito comentado!

Gabarito Comentado
 Gabarito: I, II e IV
Justificativa: Os MAC Times são capazes de fornecer três tipos de informações
específicas: Data/hora de Modificação, que indica a última vez que o arquivo sofreu
uma alteração; Data/hora de Acesso, que registra a última vez que o arquivo foi
acessado; e Data/hora de Criação, que marca a data e hora em que o arquivo foi
inicialmente criado. As opções de Data/hora de Construção e Arquivamento não são
informações que os MAC Times podem fornecer, portanto, não são válidas neste
contexto.

8 Marcar para revisão

A maior fonte de renda da empresa XPTO é sua loja online. A loja é hospedada por
diversos servidores distribuídos no mundo todo e atende a milhões de clientes em
diversos países. Na segunda-feira às 9:00 h, durante uma manutenção, um
administrador executa uma rotina para limpar os hard drives de 3 servidores para que
eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no
entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em
discos. Isso derrubou a loja para todos os clientes mundialmente.
Fatos adicionais importantes sobre o evento incluem:
Os últimos backups dos servidores da loja foram realizados no domingo anterior às
21:00h.
A organização determinou previamente que uma perda de dados de transação se
estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e
levar milhares de clientes insatisfeitos a requererem reembolsos.
Todos os servidores requerem uma reinicialização completa para completarem o
processo de restauração de backups antes que eles retornem à produção. A equipe
de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8
horas para cada servidor.
No geral, a XPTO acredita que pode recuperar a loja online completamente em
aproximadamente 2 dias.
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por
mais de 3 dias.
Dado o cenário, responda qual é o tempo médio para reparo (MTTR) de cada servidor
afetado?

A 8 horas

B 6 horas
 C 2 dias

D 3 dias

E 4 dias

Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!

Gabarito Comentado
O MTTR (Mean Time To Repair) é uma métrica que indica o tempo médio necessário
para que um dispositivo seja recuperado após um incidente. No caso apresentado,
a equipe de disaster recovery da empresa XPTO avaliou que o processo de
restauração de backups e reinicialização completa de cada servidor levará, em
média, 8 horas. Portanto, o MTTR de cada servidor afetado é de 8 horas. É
importante ressaltar que o MTTR de um componente deve ser menor que o RTO
(Recovery Time Objective), ou seja, o tempo máximo tolerável de interrupção de um
serviço, se o dispositivo for relevante para esse esforço de recuperação.

9 Marcar para revisão

Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado
pelo crime organizado para armazenar informações roubadas de cartão de crédito. Um
analista forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados
deve ser coletada primeiro?

A Memória RAM

B Unidade USB

C Disco Rígido
 D Swap Files

E Slack Space

Resposta incorreta
Opa! A alternativa correta é a letra A. Confira o gabarito comentado!

Gabarito Comentado
Gabarito: Memória RAM
Justificativa: A memória RAM (Random Access Memory) é uma fonte de dados
volátil, o que significa que as informações armazenadas nela são perdidas quando o
dispositivo é desligado. Por isso, é crucial que a RAM seja a primeira a ser coletada
em uma investigação forense. As outras opções, como a unidade USB e o disco
rígido, mantêm seus dados mesmo quando a energia é removida, tornando-as
menos voláteis. O arquivo de troca (Swap File) é uma extensão da memória que é
armazenada no disco rígido, portanto, também é menos volátil que a RAM. Por fim,
o Slack Space refere-se ao espaço fragmentado em um disco rígido,
correspondente a unidades de alocação não totalmente utilizadas, que também
mantém os dados após a remoção da energia.

10 Marcar para revisão

Quais dos seguintes grupos de métricas compõem o cálculo da classificação de
severidade de uma vulnerabilidade? Escolha três.
I - Contexto
II - Tamanho
III - Base
IV - Temporal
V - Ambiental

A I, II e III

B III IV e V
B III, IV e V

C I, III e V

D I, II e V

E II, III e IV

Resposta incorreta
Opa! A alternativa correta é a letra B. Confira o gabarito comentado!

Gabarito Comentado
Gabarito: III, IV e V
Justificativa: O cálculo da classificação de severidade de uma vulnerabilidade é
composto por três grupos de métricas: Base, Temporal e Ambiental. As métricas
Base geram uma pontuação que varia de 0.0 a 10. Essa pontuação pode ser
modificada ao se pontuar as métricas Temporal e Ambiental. Os grupos de métricas
Contexto e Tamanho não estão relacionados ao cálculo da classificação de
severidade de uma vulnerabilidade no CVSS (Common Vulnerability Scoring
System).