Antivírus e Firewall Flashcards
Um software malicioso conhecido como ____________ é um programa criado com o objetivo de prejudicar, roubar ou obter acesso não autorizado a sistemas e informações computacionais.
Malware.
Ferramentas _______________ são aquelas que procuram detectar e, então, anular ou remover os códigos maliciosos de um computador
Antimalware.
Existem diversos tipos de programas antimalware que diferem entre si das seguintes formas:
Método de detecção: assinatura (uma lista de assinaturas é usada à procura de padrões), heurística (baseia-se nas estruturas, instruções e características do código) e comportamento (baseia-se no comportamento apresentado) são alguns dos métodos mais comuns.
Forma de obtenção: podem ser gratuitos, experimentais ou pagos. Um mesmo fabricante pode disponibilizar mais de um tipo de programa, sendo que a versão gratuita costuma possuir funcionalidades básicas ao passo que a versão paga possui funcionalidades extras e suporte.
Execução: podem ser localmente instalados no computador ou executados sob demanda por intermédio do navegador Web. Também podem ser online, quando enviados para serem executados em servidores remotos, por um ou mais programas.
Funcionalidades apresentadas: além das funções básicas (detectar, anular e remover códigos maliciosos) também podem apresentar outras funcionalidades integradas, como a possibilidade de geração de discos de emergência e firewall pessoal.
O _____________ é uma ferramenta para remover vírus existentes em um computador e combater a infecção por novos vírus.
Antivírus.
Os principais antivírus do mercado são: Avast, McAfee, Bitdefender, Kaspersky, AVG, ESET, Symantec, Norton, Avira, Comodo, PSafe, entre outros.
Algumas vezes, quando o antivírus encontra um arquivo que considera maligno, ele também oferece a opção colocá-lo em ______________.
Quarentena: é uma área virtual onde o antivírus armazena arquivos identificados como possíveis vírus enquanto ele aguarda uma confirmação de identificação.
É recomendável evitar a execução simultânea de mais de um antimalware (antivírus) em um mesmo computador. (V/F)
VERDADEIRO. Existem diversos motivos para não utilizar mais de um antimalware simultaneamente, como: podem ocasionar problemas de desempenho no computador escaneado; podem interferir na capacidade de detecção um do outro; um pode detectar o outro como um possível malware; entre outros.
A ____________ é uma informação usada para detectar pragas.
Assinatura. Assim como a assinatura do nome identifica a identidade da pessoa, a assinatura de um vírus é o que o antivírus usa para identificar que uma praga digital está presente em um arquivo.
É geralmente um trecho único do código do vírus – estrutura ou padrão de bits. O antivírus pode detectar o vírus sem precisar analisar o arquivo inteiro.
As assinaturas permitem detectar códigos maliciosos de um modo muito mais específico, sendo mais eficientes para remover ameaças complexas anteriormente mapeadas. (V/F)
VERDADEIRO. Devido a inúmeras técnicas utilizadas pelos atacantes para ofuscar o malware e burlar métodos heurísticos, é necessário – em alguns casos – contar com assinaturas específicas.
A ______________ é um conjunto de técnicas para identificar vírus desconhecidos de forma proativa – sem depender de assinatura.
Heurística. Nesta linha, a solução de segurança analisa trechos de código e compara o seu comportamento com certos padrões que podem indicar a presença de uma ameaça. Para cada ação executada pelo arquivo é atribuída uma pontuação e assim – se esse número for superior a um determinado valor – será classificado como um provável malware.
Para tal, ele pode – por exemplo – procurar o início de um loop de criptografia usado em um vírus polimórfico ou verificar a integridade do software, utilizando funções de hash.
Em suma, nós podemos afirmar que a detecção baseada em heurística é capaz de identificar possíveis vírus utilizando dados genéricos sobre seus comportamentos. (V/F)
VERDADEIRO. Esta técnica é capaz de detectar vírus genéricos, sem assinatura conhecida, através da comparação com um código conhecido de vírus e, assim, determinar se aquele arquivo ou programa pode ou não ser um vírus.
A __________________________ trata-se de uma tecnologia que identifica um vírus por suas ações, em vez de sua estrutura em um programa infectado.
Interceptação de Atividade. Funciona como um policial à procura de ações estranhas em um suspeito. Ele observa o sistema operacional, procurando por eventos suspeitos. Se o programa antivírus testemunhar uma tentativa de alterar ou modificar um arquivo ou se comunicar pela web, ele poderá agir e avisá-lo da ameaça ou bloqueá-la.
A ____________________ são pacotes compostos por uma série de técnicas antivírus utilizadas em conjunto.
Proteção Completa. Incluem componentes de varredura e de interceptação de atividades. Esse tipo de pacote inclui recurso de controle de acesso, que limita a capacidade dos vírus de penetrar em um sistema e, por consequência, limita a capacidade de um vírus de atualizar arquivos a fim de passar a infecção adiante.
Trata-se da geração da maioria dos antivírus atuais.
O ________ vai além de assinaturas de malwares conhecidas – eles usam análises preditivas, conduzidas por aprendizado de máquina e inteligência artificial para detectar e prevenir ataques de malware.
Next Generation Antivirus (NGAV). Eles podem também identificar comportamentos maliciosos, bem como coletar e analisar dados para determinar as causas raiz de uma vulnerabilidade. São capazes de responder a ameaças novas e emergentes que anteriormente não eram detectadas.
E faz isso com análises constantes sobre tudo que é feito no dispositivo, usando inteligência artificial e aprendizado de máquina, para determinar o que é seguro ou não.
Os _________________ já vêm integrados à maioria dos programas de e-mails e permite separar os desejados dos indesejados – os famosos spams.
Filtros Antispam. A maioria dos filtros passa por um período inicial de treinamento, no qual o usuário seleciona manualmente as mensagens consideradas spam e, com base nas classificações, o filtro vai “aprendendo” a distinguir as mensagens.
O _______________ é um tipo de software projetado para detectar e remover programas de spyware indesejados.
Antispyware. Spyware é um tipo de malware instalado em um computador sem o conhecimento do usuário para coletar informações sobre ele. Isso pode representar um risco de segurança para o usuário, além de degradar o desempenho do sistema, absorvendo o poder de processamento, instalando software adicional ou redirecionando a atividade do navegador dos usuários.
Um _________ é um componente de segurança de uma rede privada. Ele pode ser um software, pode ser um hardware ou pode ser um sistema composto por software e hardware.
Firewall. Funciona assim: ele controla, analisa, registra, policia, monitora, regula e filtra o tráfego ou movimentação da entrada/saída de dados, detectando ameaças e bloqueando o acesso que não esteja em conformidade com a política de segurança da organização.
As __________________________ trata-se de um conjunto de diretrizes da organização proibindo ou permitindo acesso aos seus ativos de informação por meio de regras.
Políticas de segurança.
Um firewall pode funcionar de duas maneiras:
Modo restritivo: impedindo todas as transmissões de dados que não sejam expressamente permitidas.
Modo permissivo: permitindo todas as transmissões de dados que não sejam expressamente proibidas.
O conjunto de regras de de uma organização é chamado de Lista de Controle de Acesso (Access Control List). Essas são as principais técnicas utilizadas por firewalls:
Controle de serviços: Determina os tipos de serviços de internet que podem ser acessados, de entrada ou saída. O firewall pode filtrar o tráfego com base no endereço IP e número de porta TCP; pode oferecer software de proxy que recebe e interpreta cada solicitação de serviço antes de passá-la adiante, ou pode hospedar o próprio software do servidor, como um serviço web ou de correio.
Controle de direção: Determina a direção em que determinadas solicitações de serviço podem ser iniciadas e permitidas para fluir através do firewall.
Controle de usuário: Controla o acesso a um serviço de acordo com qual usuário está tentando acessá-lo. Essa característica normalmente é aplicada aos usuários dentro do perímetro do firewall (usuários locais). Ela também pode ser aplicada ao tráfego que chega de usuários externos; esse último exige alguma forma de tecnologia de autenticação segura.
Controle de comportamento: Controla como determinados serviços são utilizados. Por exemplo: o firewall pode filtrar e-mail para eliminar spam ou pode permitir o acesso externo a apenas uma parte da informação em um servidor web local.
O firewall é considerado uma tecnologia nova na indústria de segurança, e já é definido como estável. (V/F)
FALSO. É uma tecnologia antiga. Ele continua em um constante processo de evolução. Isso acontece, principalmente, devido ao aumento da complexidade das redes das organizações, que adicionam cada vez mais características e funcionalidades que precisam ser protegidas.
Os primeiros firewalls foram implementados em roteadores por serem os pontos de ligação natural entre duas redes.
Os _______ possuem a capacidade de se propagar por meio de conexões de rede usando portas desativadas ou abandonadas. Dessa forma, o firewall é capaz de impedir a sua propagação, funcionando como uma ferramenta preventiva.
Worms.
O firewall também é responsável por permitir ou bloquear o tráfego entre as portas. (V/F)
VERDADEIRO. Por exemplo, se o firewall de pacotes for configurado para bloquear as portas 5222 e 5223, ninguém mais conseguirá enviar/receber mensagens via Whatsapp.
Como toda informação que entra ou sai de uma rede vem dentro de um Pacote IP, o ___________________ funciona como um tipo de firewall que examina os pacotes em relação ao protocolo e porta, e aplica regras baseado em uma política de segurança pré-estabelecida.
Filtro de Pacotes. Ele é considerado um firewall stateless (estático ou sem estado de sessão), porque ele analisa os pacotes independente de serem provenientes de uma nova sessão ou de uma conexão existente.
A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da Arquitetura TCP/IP.
Esse tipo de firewall possui inúmeros problemas, esse tipo de firewall praticamente não é mais utilizado atualmente.
O ____________________________ é um firewall stateful (com estado de sessão). Ele é capaz de lembrar de pacotes anteriores porque ele é capaz de manter uma sessão – também chamada de conexão – aberta.
Filtro de Estado de Sessão. O filtro de estado de sessão verificará apenas se cada pacote é referente àquela sessão aberta – se for, está permitido; se não, está bloqueado.
O firewall de estado de sessão é mais sofisticado, possuindo tanto uma tabela de regras quanto uma tabela de estado. (V/F)
VERDADEIRO. Quando esse firewall recebe um pacote de dados, ele verifica as regras, isto é, a lista negra/branca, protocolo e porta; e também o estado de sessão, isto é, se já existe uma conexão aberta. Caso o protocolo seja permitido, a porta esteja aberta, o pacote esteja na lista branca e já exista uma conexão ativa, ele permite a entrada do pacote.
O _______ é um servidor que age como um intermediário para requisições de clientes solicitando recursos de outros servidores
Proxy. Ele é capaz de fazer filtragens baseado também nos dados da camada de aplicação (por meio do Endereço URL). Como todos os dados da aplicação – que entram e que saem – passam por ele, ele pode analisar esses dados e decidir pela permissão ou proibição do tráfego de dados.
O proxy pode realizar o controle de acesso a endereços da internet bloqueando páginas através de seus endereços e/ou palavras previamente definidas. (V/F)
VERDADEIRO.
O ____ é um tipo específico de Firewall de Aplicação que opera apenas na web, filtrando, monitorando e bloqueando tráfego HTTP
WAF (Web Application Firewall).
