Test af trusselssimulering i Dell Endpoint Security Suite Enterprise
Summary: Denne artikel indeholder oplysninger om test af trusselsimulering.
Symptoms
- Fra og med maj 2022 har Dell Endpoint Security Suite Enterprise nået afslutningen for sin vedligeholdelse. Denne artikel opdateres ikke længere af Dell. Du kan finde flere oplysninger i politikken for produktets levetid (slutdato for levetid/slutdato for support) for Dell Data Security. Hvis du har spørgsmål til alternative artikler, kan du kontakte din salgsafdeling eller endpointsecurity@dell.com.
- Se Slutpunktssikkerhed for at få yderligere oplysninger om aktuelle produkter.
Berørte produkter:
- Dell Endpoint Security Suite Enterprise
Mange trusselsimulatorer søger at efterligne ransomwares adfærd ved at udføre nogle handlinger, der ligner hvad ransomware ville gøre, hvis de fik lov til at køre på computeren. Disse værktøjer indeholder ingen malware i et bærbart eksekverbart format, som Dell Endpoint Security Suite Enterprise scanner. Den primære registreringsmekanisme i Dell Endpoint Security Suite Enterprise er forududførelse: agenten scanner eventuel malware og forhindrer dårlig opførsel. Med andre ord afgør Dell Endpoint Security Suite Enterprise ikke, om en fil er god eller dårlig, baseret på eksemplets adfærdsmæssige egenskaber, men ser i stedet på eksemplets statiske egenskaber (før udførelse). Malware ser generelt anderledes ud statisk end legitim software. Det er disse egenskaber, som Dell Endpoint Security Suite Enterprise analyserer, og ikke nogen adfærdsmønstre, der genereres efter udførelsen.
Cause
Ikke relevant
Resolution
En typisk arbejdsgang for disse applikationer vil være, at applikationen opretter en testmappe, hvor man kan udføre følgende handlinger som en kontrol:
- Udskift indholdet af krypterede filer.
- Krypter testfiler med stærk kryptering og sletter originalen sikkert.
- Krypter testfiler med stærk kryptering og sletter originalen med magt.
- Slet originale filer, krypterer og simulerer tastegenerering og håndtryk.
- Krypterer filer med svag kryptering og sletter originaler
Som du kan se, er ingen af disse indikatorer statiske indikatorer. Med undtagelse af visse aspekter af hukommelsesbeskyttelse og scriptstyring bruger Dell Endpoint Security Suite Enterprise ikke et programs funktionsmåde til at forsøge at identificere det som malware. Hukommelsesbeskyttelse identificerer ikke nogen af de handlinger, der er nævnt ovenfor, da de ikke forsøger at udnytte hukommelsen direkte; De udfører legitime handlinger (for eksempel kryptering af en fil), som tilfældigvis deler denne form for malware.
Husk, at mange af disse malwaresimulatorleverandører er it-sikkerhedsuddannelsesfirmaer, der har en interesse i, at deres værktøjer returnerer skræmmende resultater til brugeren, hvilket får dem til at anmode om træning. Dell Endpoint Security Suite Enterprise klarer sig godt mod ægte malware, men desværre emulerer dette værktøj ikke malwarens statiske egenskaber korrekt nok til at være en autoritativ test af produktet.
Eksempler på produkter omfatter:
RanSim
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.