Testowanie symulacji zagrożeń dla przedsiębiorstw rozwiązania Dell Endpoint Security Suite
Summary: Ten artykuł zawiera informacje na temat testowania symulacji zagrożeń.
Symptoms
- Od maja 2022 r. oprogramowanie Dell Endpoint Security Suite Enterprise osiągnęło koniec konserwacji. Ten artykuł nie jest już aktualizowany przez firmę Dell. Aby uzyskać więcej informacji, zapoznaj się z artykułem Zasady dotyczące cyklu życia produktu (koniec wsparcia technicznego / koniec żywotności) dla programu Dell Data Security. Jeśli masz pytania dotyczące innych artykułów, skontaktuj się z działem sprzedaży lub napisz wiadomość na adres endpointsecurity@dell.com.
- Aby uzyskać dodatkowe informacje na temat obecnych produktów, zapoznaj się z artykułem Endpoint Security.
Dotyczy produktów:
- Dell Endpoint Security Suite Enterprise
Wiele symulatorów zagrożeń stara się emulować zachowanie oprogramowania wymuszającego okup, wykonując czynności podobne do tych, które wykonałoby oprogramowanie ransomware, gdyby pozwolono mu działać na komputerze. Narzędzia te nie zawierają złośliwego oprogramowania w formacie przenośnego pliku wykonywalnego, który skanuje w rozwiązaniu Dell Endpoint Security Suite Enterprise. Podstawowym mechanizmem wykrywania w rozwiązaniu Dell Endpoint Security Suite Enterprise jest działanie wstępne: agent skanuje potencjalne złośliwe oprogramowanie i zapobiega występowaniu niewłaściwego zachowania. Innymi słowy, rozwiązanie Dell Endpoint Security Suite Enterprise nie decyduje, czy plik jest dobry, czy zły na podstawie charakterystyki zachowania próbki, lecz bierze pod uwagę charakterystykę statyczną (przed wykonaniem) próbki. Złośliwe oprogramowanie zazwyczaj wygląda inaczej statycznie niż legalne oprogramowanie. Są to cechy, które analizuje pakiet Dell Endpoint Security Suite Enterprise, a nie wzorce zachowań wygenerowane po wykonaniu.
Cause
Nie dotyczy
Resolution
Typowy przepływ pracy dla tych aplikacji polega na tym, że aplikacja tworzy katalog testowy, w którym należy wykonać następujące operacje jako sprawdzenie:
- Zastąp zawartość zaszyfrowanych plików.
- Szyfruj pliki testowe silnym szyfrowaniem i bezpiecznie usuwaj oryginały.
- Zaszyfruj pliki testowe silnym szyfrowaniem i wymuś usunięcie oryginału.
- Usuń oryginalne pliki, szyfruje i symuluje generowanie kluczy i uzgadnianie.
- Szyfruje pliki przy użyciu słabego szyfrowania i usuwa oryginały
Jak widać, żaden z tych wskaźników nie jest wskaźnikiem statycznym. Z wyjątkiem niektórych aspektów ochrony pamięci i kontroli skryptów, pakiet Dell Endpoint Security Suite Enterprise nie wykorzystuje zachowania programu w celu zidentyfikowania go jako złośliwego oprogramowania. Ochrona pamięci nie identyfikuje żadnych działań wymienionych powyżej, ponieważ nie próbują one bezpośrednio wykorzystywać pamięci; Wykonują legalne działania (na przykład szyfrowanie pliku), które współdzielą tę formę złośliwego oprogramowania.
Należy pamiętać, że wielu z tych dostawców symulatorów złośliwego oprogramowania to firmy szkoleniowe w zakresie bezpieczeństwa IT, które mają żywotny interes w tym, aby ich narzędzia zwracały użytkownikowi przerażające wyniki, skłaniając go do żądania szkolenia. Dell Endpoint Security Suite Enterprise działa dobrze w walce z prawdziwym złośliwym oprogramowaniem, ale niestety nie emuluje poprawnie statycznych atrybutów złośliwego oprogramowania na tyle, aby można je było autorytatywnie przetestować.
Przykładowe produkty:
RanSim
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.