compTIA Security+ 2026

Qual dos seguintes conceitos de segurança é alcançado ao conceder acesso após um indivíduo ter feito login em uma rede de computadores?. A. Autorização. B. Identificação. C. Não repúdio. D. Autenticação.

Um profissional de segurança descobre uma pasta contendo informações pessoais de um funcionário na unidade de rede compartilhada da empresa. Qual das seguintes opções descreve melhor o tipo de dados que o profissional de segurança deve usar para identificar as políticas e os padrões organizacionais relativos ao armazenamento de informações pessoais dos funcionários?. A. Jurídico. B. Financeiro. C. Privacidade. D. Propriedade intelectual.

Uma organização precisa monitorar as atividades de seus usuários para prevenir ameaças internas. Qual das seguintes soluções ajudaria a organização a atingir esse objetivo?. A. Análise comportamental. B. Listas de controle de acesso. C. Gerenciamento de identidade e acesso. D. Sistema de detecção de intrusão de rede.

Uma empresa deseja rastrear as modificações no código usado para construir novos servidores virtuais. Qual das seguintes opções a empresa provavelmente implantará?. A. Sistema de emissão de tickets para gerenciamento de mudanças. B. Analisador comportamenta. C. Plataforma de colaboração. D. Ferramenta de controle de versão.

Em qual dos seguintes aspectos uma organização deve se concentrar mais ao tomar decisões sobre a priorização de vulnerabilidades?. A. Fator de exposição. B. CVSS. C. CVE. D. Impacto na indústria.

A empresa A desenvolve um produto em conjunto com a empresa B, que está localizada em um país diferente. A empresa A descobre que sua propriedade intelectual está sendo compartilhada com empresas não autorizadas. Qual das seguintes opções foi violada?. A. SLA. B. AUP. C. SOW. D. MOA.

Qual das seguintes opções descreve com maior precisão a ordem em que um engenheiro de segurança deve implementar as linhas de base de segurança?. A. Implantar, manter, estabelecer. B. Estabelecer, manter, implantar. C. Estabelecer, implantar, manter. D. Implantar, estabelecer, manter.

Quais das seguintes opções representam os melhores controles de segurança para controlar o acesso local? (Selecione duas.). A. Cartão magnético. B. Documento de identidade com foto. C. Aplicativo de autenticação por celular. D. Leitor biométrico. E. Câmera. F. Questão memorável nº:.

Qual das seguintes opções é a melhor maneira de validar a integridade e a disponibilidade de um site de recuperação de desastres?. A. Conduza uma simulação de failover. B. Realize um exercício teórico. C. Teste os geradores periodicamente. D. Desenvolver requisitos para criptografia de banco de dados.

Durante um exercício simulado de continuidade de negócios, a equipe de segurança se preocupa com os possíveis impactos caso um gerador falhe durante o failover. Qual das seguintes opções a equipe provavelmente considerará em relação às atividades de gerenciamento de riscos?. A. RPO. B. ARO. C. BIA. D. MTTR.

Qual das seguintes opções é uma possível consequência de uma fuga da máquina virtual?. A. Instruções maliciosas podem ser inseridas na memória e conceder ao atacante privilégios elevados. B. Um invasor pode acessar o hipervisor e comprometer outras máquinas virtuais. C. Os dados não criptografados podem ser lidos por um usuário em um ambiente separado. D. Os usuários podem instalar softwares que não constam na lista de softwares aprovados pelo fabricante.

Qual das seguintes situações é evitada pela higienização adequada de dados?. A. Capacidade dos hackers de obter dados de discos rígidos usados. B. Dispositivos que chegam ao fim de sua vida útil e perdem o suporte. C. Divulgação de dados confidenciais devido à classificação incorreta. D. Dados de inventário incorretos que levam à escassez de laptops.

Qual das seguintes opções é a melhor maneira de impedir que um usuário não autorizado conecte um laptop à porta de rede do telefone de um funcionário e, em seguida, use ferramentas para procurar servidores de banco de dados?. A. Filtragem MAC. B. Segmentação. C. Certificação. D. Isolamento.

Qual das seguintes opções descreve os procedimentos que um técnico de testes de penetração deve seguir ao realizar um teste?. A. Regras de engajamento. B. Regras de aceitação. C. Regras de entendimento. D. Regras de execução.

Em qual das seguintes opções se encontra a etapa de uma investigação em que são obtidas imagens forenses?. A. Aquisição. B. Preservação. C. Relatórios. D. Descoberta eletrônica.

Um analista de segurança descobre que um vetor de ataque, usado em um incidente recente, era uma vulnerabilidade conhecida em dispositivos IoT. O analista precisa revisar os registros para identificar o momento da exploração inicial. Qual dos seguintes registros o analista deve revisar primeiro?. A. Ponto de extremidade. B. Aplicativo. C. Firewall. D. NAC.

Um grupo de desenvolvedores possui uma conta de backup compartilhada para acessar o repositório de código-fonte. Qual das seguintes opções é a melhor maneira de proteger a conta de backup em caso de falha no SSO?. A. RAS. B. EAP. C. SAML. D. PAM.

Qual dos seguintes agentes maliciosos teria maior probabilidade de desfigurar o site de um grupo musical de grande destaque?. A. Atacante inexperiente. B. Crime organizado. C. Estado-nação. D. Ameaça interna.

Qual das seguintes opções descreve melhor o conceito de informações armazenadas fora do país de origem, mas ainda sujeitas às leis e exigências desse país?. A. Soberania de dados. B. Geolocalização. C. Propriedade intelectual. D. Restrições geográficas.

Qual das seguintes opções uma empresa deve usar para comprovar a realização de testes externos de segurança de rede?. A. Análise de impacto nos negócios. B. Análise da cadeia de suprimentos. C. Avaliação de vulnerabilidades. D. Atestado de terceiros.

Qual das seguintes opções permite que um administrador de sistemas ajuste as permissões de um arquivo?. A. Aplicação de patches. B. Lista de controle de acesso. C. Imposição de configuração. D. Princípio do menor privilégio.

Qual das seguintes opções um administrador de segurança utilizaria para cumprir um padrão de segurança mínimo durante uma atualização de patches?. A. Política de segurança da informação. B. Expectativas de nível de serviço. C. Procedimento operacional padrão. D. Relatório de resultados de testes.

Um administrador de sistemas recebe uma mensagem de texto de um número desconhecido, de um remetente que alega ser o CEO da empresa. A mensagem informa que uma situação de emergência exige a redefinição de senha. Qual dos seguintes vetores de ameaça está sendo utilizado?. A. Typosquatting. B. Smishing. C. Pretexting. D. Impersonação.

Uma empresa está ciente de um determinado risco de segurança relacionado a um segmento de mercado específico. A empresa opta por não assumir a responsabilidade e direcionar seus serviços para um segmento de mercado diferente. Qual das seguintes opções descreve essa estratégia de gerenciamento de riscos?. A. Isenção. B. Exceção. C. Evitar. D. Transferência.

Uma empresa deseja melhorar a disponibilidade de seu aplicativo com uma solução que exija o mínimo de esforço caso um servidor precise ser substituído ou adicionado. Qual das seguintes opções seria a melhor solução para atingir esses objetivos?. A. Balanceamento de carga. B. Tolerância a falhas. C. Servidores proxy. D. Replicação.

Qual dos seguintes tipos de vulnerabilidades é causado principalmente pelo uso e gerenciamento inadequados de certificados criptográficos?. A. Configuração incorreta. B. Reutilização de recursos. C. Armazenamento de chaves inseguro. D. Conjuntos de cifras fracos.

Um administrador de segurança está lidando com um problema em um sistema legado que comunica dados usando um protocolo não criptografado para transferir dados confidenciais a terceiros. Não há atualizações de software disponíveis que utilizem um protocolo criptografado, portanto, é necessário um controle compensatório. Quais das seguintes opções são as mais apropriadas para o administrador sugerir? (Selecione duas.). A. Tokenização. B. Rebaixamento criptográfico. C. Tunelamento SSH. D. Segmentação. E. Instalação de patches. F. Mascaramento de dados.

Qual das seguintes opções deve ser usada para garantir que um dispositivo seja inacessível a um recurso conectado à rede?. A. Desativação de serviços não utilizados. B. Firewall de aplicação web. C. Isolamento de host. D. IDS baseado em rede.

Um engenheiro de segurança de uma grande empresa precisa aprimorar o IAM (Gerenciamento de Identidades e Acessos) para garantir que os funcionários só possam acessar os sistemas corporativos durante seus turnos. Qual dos seguintes controles de acesso o engenheiro de segurança deve implementar?. A. Baseado em funções. B. Restrições de horário. C. Privilégio mínimo. D. Autenticação biométrica.

Qual das seguintes opções melhor explica por que um analista de segurança realiza varreduras diárias de vulnerabilidades em todos os endpoints corporativos?. A. Para rastrear o status das instalações de patches. B. Para encontrar implantações de TI paralelas na nuvem. C. Para monitorar continuamente o inventário de hardware. D. Para buscar invasores ativos na rede.

Qual das seguintes opções seria a maior preocupação para uma empresa que está ciente das consequências do não cumprimento das regulamentações governamentais?. A. Direito ao esquecimento. B. Sanções. C. Relatórios externos de conformidade. D. Atestado.

Uma organização recebeu uma nova exigência regulatória para implementar controles corretivos em seu sistema financeiro. Qual das seguintes opções é a razão mais provável para essa nova exigência?. A. Para se defender contra ameaças internas que alteram dados bancários. B. Para garantir que erros não sejam transmitidos para outros sistemas. C. Para permitir a aquisição de seguros empresariais. D. Para evitar alterações não autorizadas em dados financeiros.

Diversos membros da equipe da empresa se reúnem para discutir funções e responsabilidades em caso de uma violação de segurança que afete os escritórios no exterior. Qual das seguintes opções é um exemplo disso?. A. Exercício teórico. B. Teste de penetração. C. Dispersão geográfica. D. Resposta a incidentes.

Qual das seguintes opções é um exemplo de estratégia de proteção de dados que utiliza tokenização?. A. Criptografar bancos de dados que contenham dados sensíveis. B. Substituir dados sensíveis por valores substitutos. C. Remover dados sensíveis de sistemas de produção. D. Aplicar hash a dados sensíveis em sistemas críticos.

Qual dos seguintes aspectos do ciclo de vida do gerenciamento de dados é mais diretamente impactado por regulamentações locais e internacionais?. A. Destruição. B. Certificação. C. Retenção. D. Sanitização.

Uma organização está desenvolvendo um programa de segurança que define as responsabilidades associadas à operação geral de sistemas e softwares dentro da organização. Qual dos seguintes documentos provavelmente comunicaria essas expectativas?. A. Plano de continuidade de negócios. B. Procedimento de gerenciamento de mudanças. C. Política de uso aceitável. D. Política do ciclo de vida de desenvolvimento de software.

Um administrador de sistemas cria um script que valida a versão do sistema operacional, os níveis de patch e os aplicativos instalados quando os usuários fazem login. Qual dos exemplos a seguir descreve melhor a finalidade desse script?. A. Dimensionamento de recursos. B. Enumeração de políticas. C. Aplicação de linha de base. D. Implementação de proteções.

Qual das seguintes atividades um administrador de sistemas deve realizar para colocar em quarentena um sistema potencialmente infectado?. A. Mova o dispositivo para um ambiente isolado do ar. B. Desative o login remoto por meio da Política de Grupo. C. Converta o dispositivo em um ambiente de teste (sandbox). D. Apagar remotamente o dispositivo usando a plataforma MDM.

Uma empresa está mudando sua política de dispositivos móveis. A empresa tem os seguintes requisitos: Dispositivos de propriedade da empresa; Capacidade de reforçar a segurança dos dispositivos; Risco de segurança reduzido; Compatibilidade com os recursos da empresa. Qual das seguintes opções melhor atenderia a esses requisitos?. A. BYOD. B. CYOD. C. COPE. D. COBO.

Enquanto um usuário verifica seus e-mails, um servidor é infectado por um malware proveniente de um disco rígido externo conectado a ele. O malware rouba todas as credenciais do usuário armazenadas no navegador. Qual dos seguintes tópicos de treinamento o usuário deve revisar para evitar que essa situação se repita?. A. Segurança operacional. B. Mídias e cabos removíveis. C. Gerenciamento de senhas. D. Engenharia social.

Qual das seguintes opções é uma razão pela qual as variáveis ambientais são uma preocupação ao analisar as potenciais vulnerabilidades do sistema?. A. O conteúdo das variáveis ambientais pode afetar o alcance e o impacto de uma vulnerabilidade explorada. B. Os valores das variáveis de ambiente na memória podem ser sobrescritos e usados por atacantes para inserir código malicioso. C. As variáveis de ambiente definem os padrões criptográficos do sistema e podem criar vulnerabilidades se forem utilizados algoritmos obsoletos. D. As variáveis ambientais determinarão quando as atualizações serão executadas e poderão mitigar a probabilidade de exploração de vulnerabilidades.

Qual dos seguintes documentos detalha como realizar uma tarefa de segurança técnica?. A. Padrão. B. Política. C. Diretriz. D. Procedimento.

Um usuário precisa concluir um treinamento em https://comptiatraining.com. Após inserir manualmente o URL, o usuário percebe que o site acessado é visivelmente diferente do site padrão da empresa. Qual das seguintes opções é a explicação mais provável para a diferença?. A. Cross-site scripting (XSS). B. Pretexting (pretexting). C. Typosquatting (typosquatting). D. Vishing (vishing).

Qual das seguintes etapas do processo de gerenciamento de riscos envolve o estabelecimento do escopo e dos riscos potenciais associados a um projeto?. A. Mitigação de riscos. B. Identificação de riscos. C. Tratamento de riscos. D. Monitoramento e revisão de riscos.

Após uma auditoria de senhas, um analista de segurança precisa aprimorar a política de autenticação da empresa. A. Comprimento. B. Complexidade. C. Privilégio mínimo. D. Algo que você possui. E. Chaves de segurança. F. Biometria.

Uma empresa está considerando expandir os controles de acesso para um aplicativo usado por contratados e funcionários internos, visando reduzir custos. Qual dos seguintes elementos de risco a equipe de implementação deve compreender antes de conceder acesso ao aplicativo?. A. Limiar. B. Apetite. C. Evitação. D. Registrar.

Qual das seguintes atividades deve ser realizada primeiro para compilar uma lista de vulnerabilidades em um ambiente?. A. Varredura automatizada. B. Teste de penetração. C. Busca de ameaças. D. Agregação de logs. E. Emulação de adversários.

Uma empresa com um site de alta disponibilidade busca reforçar seus controles a qualquer custo. A empresa quer garantir a segurança do site identificando quaisquer vulnerabilidades em potencial. Qual das seguintes opções tem maior probabilidade de atingir esse objetivo?. A. Restrições de permissão. B. Programa de recompensas porbugs. C. Varredura de vulnerabilidades. D. Reconhecimento.

A equipe de auditoria interna determina que um aplicativo de software não está mais dentro do escopo dos requisitos de relatórios externos. Qual das seguintes opções confirmará a perspectiva da gerência de que o aplicativo não é mais aplicável?. A. Inventário e retenção de dados. B. Direito ao esquecimento. . Cuidado e diligência devidos. D. Confirmação e atestação.

Qual das seguintes fases do processo de resposta a incidentes tenta minimizar a interrupção?. A. Recuperação. B. Contenção. C. Preparação. D. Análise.