Test di simulazione delle minacce aziendali di Dell Endpoint Security Suite
Summary: Questo articolo fornisce informazioni sui test di simulazione delle minacce.
Symptoms
- A maggio 2022, Dell Endpoint Security Suite Enterprise ha raggiunto la fine della manutenzione. Questo articolo non viene più aggiornato da Dell. Per ulteriori informazioni, fare riferimento alla policy del ciclo di vita del prodotto (fine del supporto/fine del ciclo di vita) per Dell Data Security. Per eventuali domande sugli articoli alternativi, rivolgersi al proprio team di vendita o contattare endpointsecurity@dell.com.
- Fare riferimento alla pagina Sicurezza degli endpoint per ulteriori informazioni sui prodotti correnti.
Prodotti interessati:
- Dell Endpoint Security Suite Enterprise
Molti simulatori di minacce cercano di emulare il comportamento del ransomware eseguendo azioni simili a quelle che farebbe il ransomware se potesse essere eseguito sul computer. Questi strumenti non contengono malware in formato eseguibile portatile sottoposto a scansione da Dell Endpoint Security Suite Enterprise. Il meccanismo di rilevamento principale di Dell Endpoint Security Suite Enterprise è la pre-esecuzione: l'agente esegue la scansione di qualsiasi potenziale malware e impedisce che si verifichino comportamenti scorretti. In altre parole, Dell Endpoint Security Suite Enterprise non decide se un file è valido o non valido in base alle caratteristiche comportamentali del campione, ma esamina le caratteristiche statiche (pre-esecuzione) del campione. I malware in genere hanno un aspetto statico diverso rispetto ai software legittimi. Queste sono le caratteristiche analizzate da Dell Endpoint Security Suite Enterprise, non eventuali modelli di comportamento generati dopo l'esecuzione.
Cause
Non applicabile
Resolution
Un flusso di lavoro tipico per queste applicazioni consiste nella creazione di una directory di test in cui eseguire le seguenti operazioni come controllo:
- Sostituire il contenuto dei file crittografati.
- Crittografa i file di prova con crittografia avanzata ed elimina in modo sicuro l'originale.
- Crittografa i file di test con crittografia avanzata ed elimina forzatamente l'originale.
- Elimina i file originali, crittografa e simula la generazione di chiavi e l'handshake.
- Crittografa i file con crittografia debole ed elimina gli originali
Come si può notare, nessuno di questi indicatori è statico. Fatta eccezione per alcuni aspetti relativi alla protezione della memoria e al controllo degli script, Dell Endpoint Security Suite Enterprise non utilizza il comportamento di un programma per tentare di identificarlo come malware. La protezione della memoria non identifica nessuna delle azioni sopra menzionate, in quanto non stanno tentando di sfruttare direttamente la memoria; Stanno eseguendo azioni legittime (ad esempio, la crittografia di un file) che condividono questa forma di malware.
Tieni presente che molti di questi fornitori di simulatori di malware sono società di formazione sulla sicurezza IT che hanno un interesse personale nel fatto che i loro strumenti restituiscano risultati spaventosi all'utente, spingendolo a richiedere una formazione. Dell Endpoint Security Suite Enterprise funziona bene contro i malware reali, ma purtroppo questo strumento non emula correttamente gli attributi statici dei malware abbastanza da essere un test autorevole del prodotto.
Ecco alcuni prodotti di esempio:
RanSim
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.