Questão nº 63
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 63)
Um analista de segurança está implementando soluções de monitoramento de comportamento para detectar ameaças avançadas que contornam controles tradicionais baseados em assinaturas.
Sobre as tecnologias e os conceitos de monitoramento comportamental, assinale a afirmativa correta.
- ANetwork Traffic Analysis (NTA) pode empregar modelos estatísticos e de machine learning para estabelecer baselines de tráfego e identificar anomalias potencialmente maliciosas. (alternativa correta)
- BUser and Entity Behavior Analytics (UEBA) concentra-se principalmente em usuários humanos e, quando aplicado a outras fontes (como contas de serviço ou IoT), trata-as apenas como logs auxiliares, não como entidades comportamentais.
- CA análise comportamental, quando bem implementada, torna dispensáveis as assinaturas na maior parte dos cenários operacionais.
- DNetwork Detection and Response (NDR) foca a inspeção na camada de aplicação, não considerando as informações das camadas inferiores do modelo OSI.
- EBeaconing com periodicidade regular costuma refletir rotinas legítimas de atualização e, por isso, tende a ter baixa prioridade de investigação.
Resposta comentada
Gabarito Alternativa A
O monitoramento de comportamento em redes é como um sistema de vigilância inteligente que aprende o que é "normal" para usuários e sistemas. Ele usa essa "normalidade" para identificar qualquer coisa que fuja do padrão, indicando uma possível ameaça ou ataque, mesmo que seja algo novo e desconhecido.
(A) Correta: Network Traffic Analysis (NTA) é uma ferramenta poderosa que examina o tráfego da rede. Ela pode, sim, usar métodos avançados como modelos estatísticos e machine learning para construir um perfil do que é o tráfego normal (baselines). Com esse perfil, consegue detectar anomalias – qualquer coisa que se desvie significativamente do padrão – que podem ser indicativos de atividades maliciosas, como ataques ou infecções por malware.
(B) Incorreta: A armadilha aqui é que o "E" de UEBA significa "Entity" (Entidade). O UEBA não se concentra apenas em usuários humanos; ele analisa o comportamento de qualquer entidade na rede, o que inclui usuários, mas também servidores, endpoints, aplicações, contas de serviço e dispositivos IoT. Ele constrói perfis comportamentais para todas essas entidades, e não as trata apenas como logs auxiliares.
(C) Incorreta: A análise comportamental é um complemento valioso, mas não torna as assinaturas (padrões conhecidos de ameaças) dispensáveis. As assinaturas ainda são extremamente eficazes para detectar ameaças conhecidas de forma rápida e com baixo custo computacional. Uma boa estratégia de segurança utiliza uma defesa em profundidade, combinando ambos os métodos.
(D) Incorreta: Network Detection and Response (NDR) é uma solução abrangente que monitora o tráfego de rede em todas as camadas do modelo OSI, não apenas na camada de aplicação. Para detectar e responder a ameaças, o NDR precisa de visibilidade completa, desde os endereços IP e portas (camadas de rede e transporte) até o conteúdo da aplicação.
(E) Incorreta: O beaconing (comunicação regular e periódica de um dispositivo interno para um servidor externo) é uma técnica muito comum usada por malware para manter contato com servidores de Comando e Controle (C2). Embora algumas rotinas legítimas também usem beaconing, a detecção de beaconing suspeito (especialmente para destinos desconhecidos ou com frequência incomum) deve ter alta prioridade de investigação, pois é um forte indicador de comprometimento.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.