Dell Endpoint Security Suite Enterprise – Bedrohungssimulationstests
Summary: Dieser Artikel enthält Informationen zu Bedrohungssimulationstests.
Symptoms
- Mit Stand Mai 2022 hat Dell Endpoint Security Suite Enterprise das Ende der Wartung erreicht. Dieser Artikel wird durch Dell nicht mehr aktualisiert. Weitere Informationen finden Sie in der Produktlebenszyklus-Policy (Ende des Supports/der Nutzungsdauer) für Dell Data Security. Wenn Sie Fragen zu alternativen Artikeln haben, wenden Sie sich an Ihren Vertriebsmitarbeiter oder wenden Sie sich an endpointsecurity@dell.com.
- Weitere Informationen zu aktuellen Produkten finden Sie unter Endpoint Security.
Betroffene Produkte:
- Dell Endpoint Security Suite Enterprise
Viele Bedrohungssimulatoren versuchen, das Verhalten von Ransomware zu emulieren, indem sie einige Aktionen ausführen, die denen ähneln, die Ransomware tun würde, wenn sie auf dem Computer ausgeführt würde. Diese Tools enthalten keine Malware in einem Portable Executable-Format, das von Dell Endpoint Security Suite Enterprise gescannt wird. Der primäre Erkennungsmechanismus in Dell Endpoint Security Suite Enterprise ist die Vorabausführung: Der Agent scannt potenzielle Malware und verhindert so schädliches Verhalten. Mit anderen Worten: Dell Endpoint Security Suite Enterprise entscheidet nicht basierend auf den Verhaltensmerkmalen des Beispiels, ob eine Datei fehlerfrei oder fehlerhaft ist, sondern untersucht stattdessen die statischen (vor der Ausführung ausgeführten) Merkmale des Beispiels. Malware sieht statisch in der Regel anders aus als legitime Software. Dies sind die Merkmale, die Dell Endpoint Security Suite Enterprise analysiert, keine Verhaltensmuster, die nach der Ausführung generiert werden.
Cause
Nicht zutreffend
Resolution
Ein typischer Workflow für diese Anwendungen besteht darin, dass die Anwendung ein Testverzeichnis erstellt, in dem die folgenden Vorgänge zur Überprüfung durchgeführt werden:
- Ersetzen Sie den Inhalt verschlüsselter Dateien.
- Verschlüsseln Sie Testdateien mit starker Verschlüsselung und löschen Sie das Original sicher.
- Testdateien mit starker Verschlüsselung verschlüsseln und das Original zwangsweise löschen.
- Löschen der Originaldateien, Verschlüsseln und Simulieren von Schlüsselgenerierung und Handshake
- Verschlüsselt Dateien mit schwacher Verschlüsselung und löscht Originale
Wie Sie sehen können, handelt es sich bei keinem dieser Indikatoren um statische Indikatoren. Mit Ausnahme bestimmter Aspekte von Speicherschutz und Skriptkontrolle versucht Dell Endpoint Security Suite Enterprise nicht, das Verhalten eines Programms als Malware zu identifizieren. Memory Protection identifiziert keine der oben genannten Aktionen, da sie nicht versuchen, den Arbeitsspeicher direkt auszunutzen. Sie führen legitime Aktionen durch (z. B. die Verschlüsselung einer Datei), die zufällig diese Form von Malware weitergeben.
Denken Sie daran, dass es sich bei vielen dieser Anbieter von Malware-Simulatoren um IT-Sicherheitsschulungsunternehmen handelt, die ein berechtigtes Interesse daran haben, dass ihre Tools dem Benutzer beängstigende Ergebnisse liefern, was ihn dazu veranlasst, eine Schulung anzufordern. Dell Endpoint Security Suite Enterprise schneidet gut gegen echte Malware ab, aber leider emuliert dieses Tool die statischen Attribute von Malware nicht korrekt genug, um ein maßgebender Test des Produkts zu sein.
Zu den Beispielprodukten gehören:
RanSim
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.