Simulační testování firemních hrozeb sady Dell Endpoint Security Suite
Summary: Tento článek obsahuje informace o testování simulace hrozeb.
Symptoms
- V květnu 2022 dosáhl nástroj Dell Endpoint Security Suite Enterprise ukončení údržby. Tento článek již není společností Dell aktualizován. Další informace naleznete v zásadách životního cyklu produktu (konec podpory/životnosti) nástroje Dell Data Security. Máte-li jakékoli dotazy týkající se alternativních článků, obraťte se na prodejní tým nebo na adresu endpointsecurity@dell.com.
- Další informace o aktuálních produktech naleznete v článku Zabezpečení koncového bodu.
Dotčené produkty:
- Dell Endpoint Security Suite Enterprise
Mnoho simulátorů hrozeb se snaží napodobit chování ransomwaru prováděním některých akcí podobných tomu, co by ransomware udělal, pokud by bylo povoleno spustit v počítači. Tyto nástroje neobsahují žádný malware v přenosném spustitelném formátu, který prověřuje sada Dell Endpoint Security Suite Enterprise. Primárním mechanismem detekce v sadě Dell Endpoint Security Suite Enterprise je předběžné spuštění: agent zkontroluje veškerý potenciální malware a zabrání nevhodnému chování. Jinými slovy, sada Dell Endpoint Security Suite Enterprise nerozhoduje o tom, zda je soubor dobrý nebo špatný na základě charakteristik chování vzorku, ale na základě statických charakteristik (před spuštěním) vzorku. Malware obecně vypadá staticky jinak než legitimní software. Toto jsou vlastnosti, které analyzuje sada Dell Endpoint Security Suite Enterprise, nikoli jakékoli vzorce chování generované po spuštění.
Cause
Není k dispozici
Resolution
Typickým pracovním postupem pro tyto aplikace by bylo, že aplikace vytvoří testovací adresář, ve kterém se mají provádět následující operace jako kontrola:
- Nahraďte obsah šifrovaných souborů.
- Zašifrujte testovací soubory se silným šifrováním a bezpečně odstraňte originál.
- Zašifruje testovací soubory se silným šifrováním a vynutí odstranění originálu.
- Odstraní původní soubory, zašifruje a simuluje generování klíčů a handshake.
- Šifruje soubory slabým šifrováním a maže originály
Jak vidíte, žádný z těchto indikátorů není statický. S výjimkou určitých aspektů ochrany paměti a správy skriptů nepoužívá sada Dell Endpoint Security Suite Enterprise chování programu k pokusu o identifikaci malwaru. Ochrana paměti neidentifikuje žádnou z výše uvedených akcí, protože se nepokoušejí přímo zneužít paměť. Provádějí legitimní akce (například šifrování souboru), které sdílejí tuto formu malwaru.
Mějte na paměti, že mnoho z těchto dodavatelů simulátorů malwaru jsou firmy zabývající se školením v oblasti IT bezpečnosti, které mají zájem na tom, aby jejich nástroje vracely uživatelům děsivé výsledky a vybízely je k vyžádání školení. Sada Dell Endpoint Security Suite Enterprise si vede dobře proti skutečnému malwaru, bohužel však neemuluje správně statické atributy malwaru natolik, aby mohla být směrodatným testem produktu.
Mezi příklady produktů patří:
RanSim
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.