Тестування корпоративної симуляції загроз Dell Endpoint Security Suite
Summary: Ця стаття містить інформацію про тестування симуляції загроз.
Symptoms
- Станом на травень 2022 року Dell Endpoint Security Suite Enterprise завершив технічне обслуговування. Ця стаття більше не оновлюється компанією Dell. Для отримання додаткової інформації зверніться до політики життєвого циклу продукту (кінець підтримки / кінець терміну служби) для безпеки даних Dell. Якщо у вас виникнуть запитання щодо альтернативних статей, зверніться до свого відділу продажів або зв'яжіться з endpointsecurity@dell.com.
- Довідник Endpoint Security для отримання додаткової інформації про поточні продукти.
Продукти, на які вплинули:
- Dell Endpoint Security Suite Enterprise
Багато симуляторів загроз прагнуть імітувати поведінку програм-вимагачів, виконуючи деякі дії, подібні до тих, які робили б програми-вимагачі, якби їм дозволили працювати на комп'ютері. Ці інструменти не містять шкідливого програмного забезпечення у форматі Portable Executable, яке сканує Dell Endpoint Security Suite Enterprise. Основний механізм виявлення в Dell Endpoint Security Suite Enterprise – це попереднє виконання: агент сканує будь-яке потенційне шкідливе програмне забезпечення та запобігає неправильній поведінці. Іншими словами, Dell Endpoint Security Suite Enterprise не вирішує, хороший чи поганий файл на основі поведінкових характеристик зразка, замість цього він дивиться на статичні (до виконання) характеристики зразка. Зловмисне програмне забезпечення зазвичай статично відрізняється від законного програмного забезпечення. Саме ці характеристики аналізує Dell Endpoint Security Suite Enterprise, а не будь-які патерни поведінки, що генеруються після виконання.
Cause
Не застосовується
Resolution
Типовим робочим процесом для цих програм буде те, що програма створює тестовий каталог, в якому слід виконати наступні операції в якості перевірки:
- Замініть вміст зашифрованих файлів.
- Шифруйте тестові файли за допомогою надійного шифрування та безпечно видаляйте оригінали.
- Шифруйте тестові файли за допомогою надійного шифрування та примусово видаляйте оригінали.
- Видаляйте оригінальні файли, шифруйте та імітуйте генерацію ключів і рукостискання.
- Шифрує файли зі слабким шифруванням і видаляє оригінали
Як бачите, жоден з цих показників не є статичним. За винятком певних аспектів захисту пам'яті та контролю сценаріїв, Dell Endpoint Security Suite Enterprise не використовує поведінку програми для спроб визначити її як зловмисне програмне забезпечення. Захист пам'яті не виявляє жодної з вищезазначених дій, оскільки вони не є спробою безпосереднього використання пам'яті; Вони виконують законні дії (наприклад, шифрують файл), які поширюють цю форму зловмисного програмного забезпечення.
Майте на увазі, що багато з цих постачальників симуляторів зловмисного програмного забезпечення є навчальними фірмами з ІТ-безпеки, які зацікавлені в тому, щоб їхні інструменти повертали користувачеві страшні результати, спонукаючи їх запросити навчання. Dell Endpoint Security Suite Enterprise добре працює проти реального шкідливого програмного забезпечення, але, на жаль, цей інструмент недостатньо правильно емулює статичні атрибути шкідливого програмного забезпечення, щоб бути авторитетним тестом продукту.
Приклади продуктів:
RanSim
Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.