Questão nº 54
Questão de Tecnologia da Informação · FGV DATAPREV 2024 (nº 54)
Uma empresa, ao aplicar o modelo STRIDE para identificar os pontos cegos de ameaça e segurança da sua rede, verificou que precisava tratar de arquivos de log para auxiliar no reconhecimento de alterações não autorizadas em dados importantes.
Nesse caso, essa aplicação do modelo STRIDE auxiliou na área do modelo identificada como
- Aadulteração. (alternativa correta)
- Brepudio.
- Cdivulgação de informação.
- Delevação de privilégio.
- Enegação de serviço.
Resposta comentada
Gabarito Alternativa A
O modelo STRIDE é uma ferramenta para identificar e classificar ameaças à segurança da informação, ajudando a garantir que um sistema seja seguro contra diferentes tipos de ataques. Cada letra do acrônimo STRIDE representa uma categoria de ameaça específica.
(A) Correta: A adulteração (Tampering) refere-se à modificação não autorizada de dados. O uso de arquivos de log para reconhecer "alterações não autorizadas em dados importantes" visa diretamente detectar e prevenir a adulteração, garantindo a integridade dos dados.
(B) Incorreta: O repúdio (Repudiation) ocorre quando um usuário nega ter realizado uma ação. Embora logs ajudem a provar que uma ação ocorreu (não-repúdio), o foco da questão é a alteração dos dados, não a negação de uma ação. A armadilha aqui é que logs contribuem para o não-repúdio, mas o problema descrito (alterações de dados) se encaixa mais diretamente na adulteração.
(C) Incorreta: A divulgação de informação (Information Disclosure) é o acesso não autorizado a dados. A questão fala sobre alterações em dados, não apenas o acesso ou visualização indevida.
(D) Incorreta: A elevação de privilégio (Elevation of Privilege) é quando um atacante obtém mais permissões do que deveria. Embora logs possam registrar tentativas de elevação, o problema central na questão é a modificação dos dados, não a obtenção de privilégios em si.
(E) Incorreta: A negação de serviço (Denial of Service) impede que usuários legítimos acessem um sistema ou recurso. A questão trata de alterações em dados, o que não é o objetivo principal de um ataque de negação de serviço.
Fonte: FGV DATAPREV 2024 Analista de Tecnologia da Informação - Segurança Cibernética e Proteção de Dados (Caderno Tipo 1). Reproduzida para fins de estudo.