Dell Endpoint Security Suite Enterprise脅威シミュレーション テスト
Summary: この記事では、脅威シミュレーション テストについて説明します。
Symptoms
- 2022年5月をもって、Dell Endpoint Security Suite Enterpriseはメンテナンス終了となりました。この記事は今後、Dellによってアップデートされることはありません。詳細については、「 Dell Data Securityの製品ライフサイクル(サポート終了/ライフサイクル終了)」を参照してください。その他の記事に関する質問がある場合は、担当のセールス チームに連絡するか、またはendpointsecurity@dell.comにお問い合わせください。
- 現在の製品に関する追加情報については、エンドポイント セキュリティページを参照してください。
対象製品:
- Dell Endpoint Security Suite Enterprise
多くの脅威シミュレーターは、ランサムウェアがコンピューター上で実行を許可された場合と同様のアクションを実行することで、ランサムウェアの動作をエミュレートしようとしています。これらのツールには、Dell Endpoint Security Suite Enterpriseがスキャンするポータブル実行可能ファイル形式のマルウェアは含まれていません。Dell Endpoint Security Suite Enterpriseの主な検出メカニズムは実行前です。エージェントが潜在的なマルウェアをスキャンし、不正な動作の発生を防止します。つまり、Dell Endpoint Security Suite Enterpriseは、サンプルの動作特性に基づいてファイルが良いか悪いかを判断するのではなく、サンプルの静的な(実行前の)特性を確認します。通常、マルウェアは正規のソフトウェアとは静的に異なって見えます。これらは、Dell Endpoint Security Suite Enterpriseが分析する特性であり、実行後に生成される動作パターンではありません。
Cause
-
Resolution
これらのアプリケーションの一般的なワークフローでは、アプリケーションがテスト ディレクトリを作成し、そこでチェックとして次の操作を実行します。
- 暗号化されたファイルの内容を置き換えます。
- 強力な暗号化を使用してテストファイルを暗号化し、元のファイルを安全に削除します。
- テストファイルを強力な暗号化で暗号化し、オリジナルを強制的に削除します。
- 元のファイルを削除し、暗号化し、キー生成とハンドシェイクをシミュレートします。
- 弱い暗号化でファイルを暗号化し、元のファイルを削除します
ご覧のとおり、これらのインジケーターはどれも静的インジケーターではありません。メモリー保護とスクリプト制御の特定の側面を除き、Dell Endpoint Security Suite Enterpriseは、プログラムの動作を使用してマルウェアとして識別することはありません。メモリ保護は、メモリを直接利用しようとしていないため、上記のアクションを識別しません。彼らは、この形式のマルウェアを共有する正当なアクション(ファイルの暗号化など)を実行しています。
これらのマルウェアシミュレーターベンダーの多くは、ツールに既得権益を持つITセキュリティトレーニング会社であり、ユーザーに恐ろしい結果を返すため、トレーニングを要求するように促すことに注意してください。Dell Endpoint Security Suite Enterpriseは、実際のマルウェアに対しては優れたパフォーマンスを発揮しますが、残念ながら、このツールはマルウェアの静的属性を正しくエミュレートするため、製品の正式なテストにはなりません。
製品の例は次のとおりです。
RanSim
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。