Questão nº 54

Questão de Tecnologia da Informação · FGV DATAPREV 2024 (nº 54)

FGV2024Analista de Tecnologia da Informação - Segurança Cibernética e Proteção de DadosTecnologia da Informação
Gabarito: Aver comentário ↓

Uma empresa, ao aplicar o modelo STRIDE para identificar os pontos cegos de ameaça e segurança da sua rede, verificou que precisava tratar de arquivos de log para auxiliar no reconhecimento de alterações não autorizadas em dados importantes.
Nesse caso, essa aplicação do modelo STRIDE auxiliou na área do modelo identificada como

Resposta comentada

Gabarito Alternativa A

O modelo STRIDE é uma ferramenta para identificar e classificar ameaças à segurança da informação, ajudando a garantir que um sistema seja seguro contra diferentes tipos de ataques. Cada letra do acrônimo STRIDE representa uma categoria de ameaça específica.

(A) Correta: A adulteração (Tampering) refere-se à modificação não autorizada de dados. O uso de arquivos de log para reconhecer "alterações não autorizadas em dados importantes" visa diretamente detectar e prevenir a adulteração, garantindo a integridade dos dados.
(B) Incorreta: O repúdio (Repudiation) ocorre quando um usuário nega ter realizado uma ação. Embora logs ajudem a provar que uma ação ocorreu (não-repúdio), o foco da questão é a alteração dos dados, não a negação de uma ação. A armadilha aqui é que logs contribuem para o não-repúdio, mas o problema descrito (alterações de dados) se encaixa mais diretamente na adulteração.
(C) Incorreta: A divulgação de informação (Information Disclosure) é o acesso não autorizado a dados. A questão fala sobre alterações em dados, não apenas o acesso ou visualização indevida.
(D) Incorreta: A elevação de privilégio (Elevation of Privilege) é quando um atacante obtém mais permissões do que deveria. Embora logs possam registrar tentativas de elevação, o problema central na questão é a modificação dos dados, não a obtenção de privilégios em si.
(E) Incorreta: A negação de serviço (Denial of Service) impede que usuários legítimos acessem um sistema ou recurso. A questão trata de alterações em dados, o que não é o objetivo principal de um ataque de negação de serviço.

Fonte: FGV DATAPREV 2024 Analista de Tecnologia da Informação - Segurança Cibernética e Proteção de Dados (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho