Enunciado
Uma organização adota as seguintes práticas:
- autenticação multifator (MFA) para todos os usuários;
- VPN corporativa para acesso remoto;
- segregação de rede por VLAN;
- utilização de um único servidor de autenticação centralizado.
Durante um incidente, um atacante obtém privilégios administrativos nesse servidor de autenticação.
Qual consequência representa o maior risco residual para a organização?
- A) Comprometimento apenas dos usuários conectados por VPN.
- B) Perda da segmentação das VLANs.
- C) Falha no balanceamento de carga.
- D) ✅ Comprometimento potencial de todos os mecanismos de autenticação dependentes da identidade centralizada.
- E) Exposição exclusiva dos serviços internos.
Comentário: O servidor de identidade é a raiz de confiança da organização. Seu comprometimento pode afetar VPN, MFA, SSO e todos os demais sistemas que dependem dele para validar identidade — independentemente de VLANs ou balanceamento de carga, que não mitigam falha na própria raiz de confiança.
Enunciado
Durante uma investigação forense foram observados os seguintes eventos:
- Um desenvolvedor realizou commit legítimo em um repositório interno.
- Uma biblioteca externa foi atualizada automaticamente pelo pipeline.
- Horas depois, diversos servidores iniciaram conexões HTTPS para domínios desconhecidos.
- Não foram encontrados acessos administrativos suspeitos.
Qual hipótese explica melhor o incidente?
- A) Ataque de força bruta.
- B) Ataque de negação de serviço.
- C) Escalada local de privilégios.
- D) Ataque de DNS Spoofing interno.
- E) ✅ Comprometimento da cadeia de suprimentos de software.
Comentário: A alteração em uma dependência externa seguida de comportamento anômalo (conexões a domínios desconhecidos), sem evidência de acesso administrativo indevido, é o indicador clássico de um Supply Chain Attack.
Enunciado
Uma empresa precisa permitir que fornecedores externos acessem um sistema interno.
A diretoria exige simultaneamente:
- rastreabilidade individual;
- menor privilégio;
- redução de movimento lateral;
- revogação rápida de acesso.
Qual solução atende melhor ao conjunto dos requisitos?
- A) ✅ Bastion host associado a MFA e segmentação de acesso baseada em função.
- B) Conta compartilhada para fornecedores e VPN.
- C) VPN com credenciais individuais.
- D) Liberação por endereço IP.
- E) Acesso via RDP diretamente aos servidores.
Comentário: O Bastion Host centraliza o acesso, registra auditoria individual, reduz a superfície de ataque (via segmentação por função) e facilita a revogação rápida — atendendo a todos os requisitos simultaneamente.
Enunciado
Considere as afirmações:
I. Um atacante que compromete uma estação de trabalho não necessariamente compromete a rede inteira.
II. A segmentação de rede reduz a superfície de movimento lateral.
III. Zero Trust elimina a necessidade de autenticação.
IV. MFA reduz o impacto de credenciais roubadas.
Assinale a alternativa que contém as afirmações corretas:
- A) Apenas I e II.
- B) Apenas II e III.
- C) ✅ Apenas I, II e IV.
- D) Apenas III e IV.
- E) Todas.
Comentário: A afirmação III é falsa, pois o Zero Trust não elimina a autenticação — pelo contrário, exige verificação contínua de identidade e contexto. As demais (I, II, IV) são corretas.
Enunciado
Um analista identificou o seguinte padrão:
- múltiplas consultas DNS para nomes aparentemente aleatórios;
- baixo volume de tráfego;
- comunicação periódica em intervalos regulares;
- ausência de grandes transferências de arquivos.
Qual hipótese é MAIS consistente?
- A) Ataque de senha por força bruta.
- B) ✅ Comunicação de comando e controle utilizando DNS.
- C) Ataque ARP Spoofing.
- D) Ataque DDoS.
- E) Flood ICMP.
Comentário: O padrão (DNS com nomes aleatórios, baixo volume, periodicidade regular) é a assinatura clássica de C2 (Command and Control) via DNS, usado para beaconing furtivo evitando detecção por volume de tráfego.
Enunciado
Uma aplicação utiliza:
- OAuth2;
- JWT;
- microsserviços;
- cache distribuído.
Após a remoção de privilégios de um usuário, o acesso continua sendo permitido por várias horas.
Qual explicação é MAIS plausível?
- A) Ataque de DNS Cache Poisoning.
- B) Ataque de Cross-Site Scripting.
- C) ✅ Cache de autorização combinado com ausência de revogação efetiva de tokens.
- D) SQL Injection.
- E) Erro de segmentação de memória.
Comentário: Tokens JWT são stateless e válidos até expirarem, salvo mecanismo explícito de revogação. Combinado com cache de autorização não invalidado imediatamente, isso explica o acesso persistente — problema clássico em arquiteturas OAuth2/JWT.
Enunciado
Uma organização precisa decidir qual ação executar primeiro após detectar um ransomware ativo.
Informações disponíveis:
- há backup íntegro;
- o atacante ainda possui acesso remoto;
- sistemas críticos permanecem ligados;
- não há evidência de exfiltração.
Qual ação deve receber prioridade máxima?
- A) Trocar os servidores de backup.
- B) ✅ Isolar os sistemas comprometidos e interromper a propagação.
- C) Formatar todos os equipamentos.
- D) Restaurar imediatamente os backups.
- E) Iniciar comunicação pública.
Comentário: Em resposta a incidentes, a contenção sempre precede a recuperação. Restaurar com o atacante ainda ativo permitiria reinfecção imediata. A primeira etapa é sempre conter.
Enunciado
Um atacante obtém acesso de usuário comum em um servidor Linux.
Durante a análise são encontrados diversos binários com permissões SUID.
Qual conclusão é MAIS adequada?
- A) O kernel está vulnerável.
- B) ✅ Existe potencial para escalada local de privilégios dependendo dos binários disponíveis.
- C) O sistema possui ransomware.
- D) O sistema necessariamente está comprometido.
- E) O atacante já possui privilégios de root.
Comentário: A mera existência de binários SUID não implica comprometimento automático — depende de quais binários são e se possuem comportamento inseguro explorável. A conclusão correta é de potencial de risco, não certeza.
Enunciado
Uma equipe avalia duas medidas:
Medida X: Implementar MFA. Medida Y: Segmentar a rede em múltiplas zonas.
Considerando exclusivamente a contenção de movimento lateral após comprometimento inicial, qual alternativa é mais correta?
- A) Apenas X é relevante.
- B) Apenas Y é relevante.
- C) Ambas são equivalentes.
- D) ✅ Y tende a produzir maior impacto direto.
- E) X tende a produzir maior impacto direto.
Comentário: MFA atua principalmente na prevenção do acesso inicial/autenticação. A segmentação de rede atua diretamente restringindo a movimentação de um atacante já dentro da rede — por isso tem maior impacto direto na contenção do movimento lateral.
Enunciado
Durante um teste de intrusão, um consultor conseguiu:
- acesso inicial via phishing;
- execução de código em uma estação;
- captura de credenciais privilegiadas;
- movimentação para servidores críticos.
Qual controle provavelmente teria interrompido a progressão em mais de uma etapa do ataque?
- A) Apenas firewall perimetral.
- B) Proxy Web.
- C) ✅ Segmentação de rede associada ao princípio do menor privilégio.
- D) Apenas antivírus.
- E) Criptografia de disco.
Comentário: A combinação de segmentação de rede com menor privilégio atua tanto limitando o alcance de movimentação (segmentação) quanto o impacto de credenciais capturadas (menor privilégio), interrompendo potencialmente mais de uma etapa da cadeia de ataque.
Enunciado
Uma organização implementou uma arquitetura Zero Trust com autenticação multifator, microsegmentação e gerenciamento centralizado de identidades. Durante um exercício Red Team foi observado o seguinte cenário:
- um desenvolvedor teve sua estação comprometida por phishing;
- o atacante obteve um token OAuth2 válido;
- o token possuía escopo limitado;
- uma API interna aceitava tokens sem validar corretamente o campo audience;
- não houve comprometimento do provedor de identidade.
Qual fator provavelmente permitiu a expansão do ataque além do escopo originalmente concedido?
- A) A utilização de OAuth2.
- B) ✅ A ausência de validação adequada do destinatário do token.
- C) A microsegmentação da rede.
- D) O uso de autenticação multifator.
- E) A existência de um provedor centralizado de identidade.
Comentário: Um token JWT carrega o campo aud (audience), que indica para qual serviço ele foi emitido:
{
"aud": "api-financeiro"
}Esse campo deve ser validado pelo serviço receptor. Sem essa validação, um token emitido para um serviço pode ser reutilizado em outra API, ampliando o escopo original do ataque mesmo sem comprometer o IdP.
Enunciado
Durante uma investigação foram coletadas as seguintes evidências:
- nenhum login administrativo anômalo;
- alteração de um pacote utilizado em ambiente de desenvolvimento;
- builds assinadas digitalmente;
- os binários distribuídos aos servidores continham código adicional não existente no repositório principal;
- a infraestrutura de CI/CD possuía um servidor auxiliar pouco monitorado.
Qual hipótese é MAIS consistente?
- A) Ataque de força bruta.
- B) Ataque de negação de serviço.
- C) ✅ Comprometimento da cadeia de compilação ou do ambiente de build.
- D) Ataque baseado em DNS Tunneling.
- E) Comprometimento do banco de dados.
Comentário: Código presente no binário final mas ausente no repositório indica injeção de código durante o build/CI-CD, reforçado pela existência de um servidor auxiliar pouco monitorado nessa infraestrutura.
Enunciado
Uma empresa pretende reduzir o risco associado ao comprometimento de credenciais privilegiadas.
Quais duas medidas, em conjunto, tendem a produzir a MAIOR redução do risco residual?
- A) Balanceamento de carga e IDS.
- B) ✅ Menor privilégio e concessão temporária de privilégios sob demanda.
- C) Criptografia de disco e VPN.
- D) Rotação periódica de senhas e troca da porta SSH.
- E) Firewall perimetral e antivírus.
Comentário: A combinação de menor privilégio com Just-In-Time Access (JIT) — privilégios elevados concedidos apenas quando necessários — reduz drasticamente a janela de exposição e o impacto de credenciais privilegiadas comprometidas.
Enunciado
Considere as assertivas:
I. Um atacante que obtém acesso a uma máquina virtual em ambiente de nuvem necessariamente compromete os demais recursos da mesma VPC.
II. A microsegmentação reduz a superfície de movimento lateral.
III. O princípio do menor privilégio reduz o impacto potencial de credenciais comprometidas.
IV. MFA reduz risco de comprometimento inicial, mas não impede automaticamente abuso de sessões já estabelecidas.
Assinale a alternativa correta.
- A) Apenas I e II.
- B) Apenas II e III.
- C) ✅ Apenas II, III e IV.
- D) Apenas I, III e IV.
- E) Todas.
Comentário: A assertiva I é falsa — comprometer uma VM não implica automaticamente comprometer toda a VPC, pois isso depende de outros controles (segmentação, IAM, etc.). As demais (II, III, IV) são corretas.
Enunciado
Uma aplicação Web foi desenvolvida utilizando consultas parametrizadas, proteção contra CSRF e WAF.
Durante um teste, verificou-se que um usuário autenticado consegue acessar registros pertencentes a outro usuário apenas modificando um identificador na URL.
Qual medida teria maior efetividade para eliminar especificamente essa vulnerabilidade?
- A) Criptografia das comunicações.
- B) Aumento do tamanho das sessões.
- C) ✅ Implementação de verificações de autorização em nível de objeto.
- D) Endurecimento do WAF.
- E) Ativação de MFA.
Comentário: O cenário descreve uma falha clássica de IDOR/BOLA (Broken Object Level Authorization), categoria reconhecida pela OWASP. A única correção eficaz é validar, no backend, se o usuário autenticado tem permissão sobre o objeto específico que está tentando acessar.
Enunciado
Um SOC observou o seguinte comportamento em dezenas de estações:
- consultas DNS frequentes para subdomínios longos e aparentemente aleatórios;
- baixo volume de tráfego HTTP;
- comunicação regular em intervalos fixos;
- nenhuma evidência de grandes transferências TCP.
Qual evidência adicional fortaleceria MAIS a hipótese de exfiltração via DNS Tunneling?
- A) Aumento do uso de memória RAM.
- B) ✅ Elevada entropia dos rótulos das consultas DNS.
- C) Presença de tráfego ARP.
- D) Reinicialização periódica das estações.
- E) Erros de autenticação Kerberos.
Comentário: DNS Tunneling costuma codificar dados em subdomínios, gerando rótulos com alta entropia (aparência aleatória, pouco legível) — é o indicador técnico mais diretamente associado a esse tipo de exfiltração.
Enunciado
Um ambiente Linux possui dezenas de binários SUID legítimos.
Durante uma análise, verificou-se que um usuário comum conseguiu obter privilégios administrativos sem explorar vulnerabilidades do kernel.
Qual hipótese é MAIS plausível?
- A) Ataque de SQL Injection.
- B) ✅ Exploração de um binário SUID com comportamento inseguro.
- C) Exploração de uma falha em TLS.
- D) Buffer overflow no switch da rede.
- E) Ataque de DNS Spoofing.
Comentário: Binários SUID mal configurados permitem escalada de privilégios sem necessidade de explorar o kernel — basta um binário com permissões SUID que execute ações privilegiadas de forma insegura (ex.: permitir leitura/escrita arbitrária ou execução de shell).
Enunciado
Uma empresa deseja minimizar a possibilidade de que um invasor, após comprometer uma estação de trabalho, alcance bancos de dados críticos.
Qual conjunto de medidas tende a apresentar a melhor relação entre prevenção e contenção?
- A) IDS e compressão de dados.
- B) Balanceamento de carga e RAID.
- C) Firewall perimetral e backup.
- D) ✅ Microsegmentação, menor privilégio e autenticação forte entre serviços.
- E) VPN e antivírus.
Comentário: Conter movimento lateral exige controles internos à rede (não apenas perimetrais). Microsegmentação restringe comunicação entre sistemas, menor privilégio limita o que credenciais comprometidas podem fazer, e autenticação forte entre serviços impede uso indevido de conexões internas.
Enunciado
Considere o cenário:
- um atacante obteve acesso inicial por phishing;
- capturou credenciais privilegiadas;
- tentou autenticar-se em diversos servidores;
- as tentativas foram recusadas porque as credenciais eram válidas apenas para um conjunto restrito de ativos.
Qual princípio de segurança provavelmente foi determinante para limitar o incidente?
- A) Disponibilidade.
- B) Criptografia simétrica.
- C) Assinatura digital.
- D) ✅ Menor privilégio e segmentação administrativa.
- E) Não repúdio.
Comentário: O fato de as credenciais só funcionarem em um subconjunto restrito de ativos é a aplicação direta do princípio do menor privilégio combinado com segmentação administrativa — limitando o alcance das credenciais mesmo após o roubo.
Enunciado
Uma equipe de segurança identificou uma biblioteca externa vulnerável utilizada em dezenas de aplicações internas.
A substituição imediata da biblioteca exigiria indisponibilidade de serviços críticos.
Qual alternativa representa a decisão tecnicamente mais adequada sob a perspectiva de gestão de riscos?
- A) Ignorar a vulnerabilidade até a próxima atualização anual.
- B) Desativar todos os serviços imediatamente.
- C) Transferir a responsabilidade para o fornecedor sem adotar medidas internas.
- D) ✅ Implementar controles compensatórios e planejar a substituição controlada.
- E) Expor a vulnerabilidade publicamente para acelerar a correção.
Comentário: Gestão de risco bem aplicada busca equilíbrio entre risco e continuidade do negócio. Controles compensatórios (WAF, monitoramento, restrição de acesso) reduzem a exposição enquanto se planeja uma correção definitiva sem causar indisponibilidade desnecessária.
Enunciado
Durante um BIA, foram identificados:
- Processo X depende de AD, DNS e banco Y
- Processo Y depende de storage, rede e permissões AD
- Processo Z é independente
Na definição da ordem de recuperação, qual abordagem é MAIS adequada?
- A) Priorizar processos com maior impacto financeiro direto.
- B) ✅ Respeitar dependências técnicas antes da criticidade declarada.
- C) Restaurar todos simultaneamente.
- D) Restaurar primeiro os sistemas com maior volume de dados.
- E) Restaurar sistemas independentes por último.
Comentário: Mesmo que um processo seja declarado crítico, ele não pode ser restaurado de forma funcional se suas dependências (AD, DNS, storage, rede) não estiverem operacionais primeiro. A ordem de recuperação deve respeitar as dependências técnicas reais antes da criticidade declarada.
Enunciado
Durante análise pós-incidente:
- backups disponíveis;
- múltiplos pontos de restauração;
- não há certeza sobre quando a infecção começou;
- logs incompletos.
Qual estratégia é a MAIS adequada?
- A) Restaurar apenas sistemas críticos.
- B) Restaurar o ponto mais recente.
- C) Restaurar o ponto mais antigo.
- D) Restaurar aleatoriamente.
- E) ✅ Executar restaurações progressivas até identificar ponto confiável.
Comentário: Como não há certeza sobre o momento exato da infecção e os logs são incompletos, a abordagem mais segura é restaurar de forma progressiva até localizar um ponto comprovadamente livre de comprometimento — evitando reintroduzir a ameaça ou perder dados além do necessário.
Enunciado
Uma empresa deseja reduzir risco de recuperação com dados comprometidos.
Quais duas medidas combinadas são MAIS eficazes?
- A) Snapshot + deduplicação.
- B) ✅ Versionamento + validação de integridade antes do restore.
- C) Backup offsite + criptografia.
- D) Replicação síncrona + RAID.
- E) Backup frequente + compressão.
Comentário: Versionamento permite voltar a pontos anteriores não comprometidos, e a validação de integridade antes de restaurar garante que o ponto escolhido não está corrompido/malicioso. As demais combinações tratam de disponibilidade, confidencialidade ou eficiência — não de garantir integridade dos dados restaurados.
Enunciado
Uma empresa mantém backups incrementais diários e full semanal. Cenário:
- Backup full: domingo
- Incrementais até quinta
- Sexta: detecção de corrupção iniciada na terça
Qual decisão é MAIS adequada para recuperação confiável?
- A) ✅ Restaurar segunda.
- B) Restaurar quarta.
- C) Restaurar sexta (último backup).
- D) Restaurar domingo.
- E) Restaurar quinta.
Comentário: Se a corrupção começou na terça, qualquer backup feito a partir da terça (quarta, quinta, sexta) já está potencialmente contaminado. O último ponto íntegro conhecido é o backup de segunda, que antecede o início da corrupção.
Enunciado
Uma organização implementou as seguintes medidas:
- autenticação multifator para acesso de usuários;
- TLS para todas as comunicações internas e externas;
- microsegmentação entre servidores;
- gerenciamento centralizado de identidades;
- privilégios administrativos concedidos sob demanda (Just-In-Time Access).
Durante um exercício Red Team foi observado que um invasor:
- comprometeu uma estação de trabalho por meio de phishing;
- obteve acesso à sessão autenticada de um usuário já logado;
- movimentou-se para um sistema interno autorizado para aquele usuário;
- não conseguiu acessar outros sistemas críticos;
- não conseguiu obter privilégios administrativos.
Considerando exclusivamente as informações apresentadas, qual conclusão é a MAIS adequada?
- A) ✅ Os controles implementados não impediram o comprometimento inicial, mas limitaram significativamente a escalada de privilégios e o movimento lateral.
- B) A microsegmentação falhou completamente porque o atacante acessou pelo menos um sistema adicional.
- C) A utilização de TLS falhou, pois o invasor conseguiu acessar um sistema interno.
- D) O gerenciamento centralizado de identidades aumentou a superfície de ataque e foi a principal causa do incidente.
- E) A autenticação multifator foi ineficaz e deveria ter impedido qualquer utilização da sessão comprometida.
Comentário: Phishing continua sendo um vetor de comprometimento inicial eficaz mesmo com MFA (sequestro de sessão já autenticada). Porém, o conjunto de controles (microsegmentação + JIT access) funcionou exatamente como esperado, contendo o ataque e impedindo escalada e movimento lateral além do necessário. As demais alternativas fazem afirmações categóricas não suportadas pelos dados.
Nunca confiar. Sempre verificar.
Princípios: MFA · Menor privilégio · Verificação contínua · Microsegmentação
Protege contra: Senhas roubadas, Credential Stuffing, Phishing tradicional.
Não protege totalmente contra: Session Hijacking, Token Theft.
Usuários recebem apenas o necessário.
✅ Reduz danos de credenciais comprometidas.
Privilégios elevados apenas quando necessários.
✅ Redução de risco administrativo.
Verificar sempre:
- issuer (
iss) - audience (
aud) - expiration (
exp)
❌ Problema comum: não validar audience.
Indicadores: subdomínios longos · alta entropia · comunicação periódica · baixo volume.
Malware utiliza DNS para receber comandos e enviar pequenas informações.
Indicadores: dependência alterada · build comprometida · código diferente do repositório.
Permite execução com privilégios do proprietário.
Risco: escalada local de privilégios.
Sintoma: trocar ID da URL e acessar dados de terceiros.
Correção: autorização em nível de objeto.
Melhores controles: Microsegmentação · Menor privilégio · Segmentação administrativa.
Sequência correta de resposta:
- Conter
- Erradicar
- Recuperar
- Lições aprendidas
Quando não se conhece o ponto de infecção:
✅ Restaurar progressivamente até encontrar backup confiável.
| Questão | Tema | Resposta |
|---|---|---|
| 1 | Servidor centralizado de autenticação | D |
| 2 | Supply Chain Attack | E |
| 3 | Fornecedores externos | A |
| 4 | Zero Trust / MFA (assertivas) | C |
| 5 | DNS Command and Control | B |
| 6 | OAuth2 + JWT (cache) | C |
| 7 | Ransomware ativo | B |
| 8 | Binários SUID | B |
| 9 | MFA x Segmentação | D |
| 10 | Progressão do ataque | C |
| 11 | Audience JWT | B |
| 12 | CI/CD comprometido | C |
| 13 | Credenciais privilegiadas (JIT) | B |
| 14 | Cloud Security (VPC) | C |
| 15 | IDOR / BOLA | C |
| 16 | DNS Tunneling | B |
| 17 | Escalada por SUID | B |
| 18 | Bancos de dados críticos | D |
| 19 | Credenciais restritas | D |
| 20 | Biblioteca vulnerável | D |
| 21 | BIA | B |
| 22 | Recuperação pós-incidente | E |
| 23 | Integridade dos dados | B |
| 24 | Backup incremental | A |
| 25 | Red Team + Zero Trust | A |
Instruções para realização da prova de conhecimentos técnicos - Edital Dell Delivery Academy