Dell Endpoint Security Suite Enterprise Threat Simulation Testing
Summary: Cet article fournit des informations sur les tests de simulation de menaces.
Symptoms
- depuis mai 2022, Dell Endpoint Security Suite Enterprise n’est plus couvert par les services de maintenance. Cet article n’est plus mis à jour par Dell. Pour plus d’informations, consultez la politique de cycle de vie des produits (fin de support/fin de vie) pour Dell Data Security. Si vous avez des questions concernant des articles, contactez votre équipe des ventes ou endpointsecurity@dell.com.
- Consultez l’article sur la sécurité des points de terminaison pour plus d’informations sur les produits actuels.
Produits concernés :
- Dell Endpoint Security Suite Enterprise
De nombreux simulateurs de menaces cherchent à émuler le comportement des ransomwares en effectuant certaines actions similaires à ce qu’un ransomware ferait s’il était autorisé à s’exécuter sur l’ordinateur. Ces outils ne contiennent aucun logiciel malveillant au format Portable Executable analysé par Dell Endpoint Security Suite Enterprise. Le principal mécanisme de détection dans Dell Endpoint Security Suite Enterprise est la pré-exécution : l’agent analyse tous les logiciels malveillants potentiels et empêche les mauvais comportements de se produire. En d’autres termes, Dell Endpoint Security Suite Enterprise ne détermine pas si un fichier est bon ou mauvais en fonction des caractéristiques comportementales de l’échantillon, mais examine les caractéristiques statiques (avant exécution) de l’échantillon. D’un point de vue statique, les logiciels malveillants n’ont généralement pas la même apparence que les logiciels légitimes. Ce sont ces caractéristiques que Dell Endpoint Security Suite Enterprise analyse, et non les modèles de comportement générés après l’exécution.
Cause
Sans objet
Resolution
Un workflow classique pour ces applications consiste à créer un répertoire de test dans lequel effectuer les opérations suivantes en tant que vérification :
- Remplacez le contenu des fichiers chiffrés.
- Chiffrez les fichiers de test avec un cryptage fort et supprimez l’original en toute sécurité.
- Chiffrez les fichiers de test avec un cryptage fort et forcez la suppression de l’original.
- Supprimez les fichiers d’origine, chiffrez et simulez la génération de clés et l’établissement d’une liaison.
- Chiffre les fichiers avec un chiffrement faible et supprime les originaux
Comme vous pouvez le constater, aucun de ces indicateurs n’est statique. À l’exception de certains aspects de la protection de la mémoire et du contrôle des scripts, Dell Endpoint Security Suite Enterprise n’utilise pas le comportement d’un programme pour tenter de l’identifier comme un logiciel malveillant. La protection de la mémoire n’identifie aucune des actions mentionnées ci-dessus, car elles ne tentent pas d’exploiter directement la mémoire ; Ils effectuent des actions légitimes (par exemple, le chiffrement d’un fichier) qui partagent cette forme de logiciel malveillant.
Gardez à l’esprit que bon nombre de ces fournisseurs de simulateurs de logiciels malveillants sont des entreprises de formation à la sécurité informatique qui ont un intérêt direct à ce que leurs outils renvoient des résultats effrayants à l’utilisateur, l’incitant à demander une formation. Dell Endpoint Security Suite Enterprise fonctionne bien contre les logiciels malveillants réels, mais malheureusement, cet outil n’émule pas suffisamment correctement les attributs statiques des logiciels malveillants pour constituer un test faisant autorité du produit.
Exemples de produits :
RanSim
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.