Dell Endpoint Security Suite Enterprise Threat Simulation Tests
Summary: Dit artikel bevat informatie over het testen van bedreigingssimulaties.
Symptoms
- Vanaf mei 2022 heeft Dell Endpoint Security Suite Enterprise het einde van het onderhoud bereikt. Dit artikel wordt niet meer bijgewerkt door Dell. Raadpleeg voor meer informatie het beleid voor de productlevenscyclus (einde support/einde levensduur) voor Dell Data Security. Als u vragen heeft over alternatieve artikelen, neem dan contact op met uw verkoopteam of neem contact op met endpointsecurity@dell.com.
- Raadpleeg Eindpuntbeveiliging voor meer informatie over huidige producten.
Betreffende producten:
- Dell Endpoint Security Suite Enterprise
Veel bedreigingssimulatoren proberen het gedrag van ransomware na te bootsen door enkele acties uit te voeren die vergelijkbaar zijn met wat ransomware zou doen als het op de computer zou worden uitgevoerd. Deze tools bevatten geen malware in een draagbaar uitvoerbaar formaat dat door Dell Endpoint Security Suite Enterprise wordt gescand. Het primaire detectiemechanisme in Dell Endpoint Security Suite Enterprise is voorafgaand aan de uitvoering: de agent scant mogelijke malware en voorkomt slecht gedrag. Met andere woorden, Dell Endpoint Security Suite Enterprise beslist niet of een bestand goed of slecht is op basis van de gedragskenmerken van het voorbeeld, maar kijkt naar de statische kenmerken (voorafgaand aan de uitvoering) van het voorbeeld. Malware ziet er statisch over het algemeen anders uit dan legitieme software. Dit zijn de kenmerken die Dell Endpoint Security Suite Enterprise analyseert, geen gedragspatronen die na de uitvoering worden gegenereerd.
Cause
Niet van toepassing
Resolution
Een typische workflow voor deze applicaties is dat de applicatie een testdirectory maakt waarin de volgende bewerkingen ter controle moeten worden uitgevoerd:
- Vervang de inhoud van versleutelde bestanden.
- Versleutel testbestanden met sterke versleuteling en verwijder het origineel veilig.
- Versleutel testbestanden met sterke versleuteling en verwijder het origineel geforceerd.
- Verwijder originele bestanden, versleutelt en simuleert sleutelgeneratie en handshake.
- Versleutelt bestanden met zwakke versleuteling en verwijdert originelen
Zoals u kunt zien, zijn geen van deze indicatoren statische indicatoren. Met uitzondering van bepaalde aspecten van geheugenbescherming en scriptbeheer, maakt Dell Endpoint Security Suite Enterprise geen gebruik van het gedrag van een programma om te proberen het als malware te identificeren. Geheugenbescherming identificeert geen van de hierboven genoemde acties, omdat er niet wordt geprobeerd het geheugen rechtstreeks te misbruiken; Ze voeren legitieme acties uit (bijvoorbeeld het versleutelen van een bestand) die toevallig deze vorm van malware delen.
Houd er rekening mee dat veel van deze leveranciers van malwaresimulatoren IT-beveiligingstrainingsbedrijven zijn die er belang bij hebben dat hun tools enge resultaten opleveren voor de gebruiker, waardoor ze training aanvragen. Dell Endpoint Security Suite Enterprise presteert goed tegen echte malware, maar helaas emuleert deze tool de statische kenmerken van malware niet correct genoeg om een bindende test van het product te zijn.
Voorbeelden van producten zijn:
RanSim
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.