Testowanie symulacji zagrożeń dla przedsiębiorstw rozwiązania Dell Endpoint Security Suite

Dotyczy produktów:

• Dell Endpoint Security Suite Enterprise

Wiele symulatorów zagrożeń stara się emulować zachowanie oprogramowania wymuszającego okup, wykonując czynności podobne do tych, które wykonałoby oprogramowanie ransomware, gdyby pozwolono mu działać na komputerze. Narzędzia te nie zawierają złośliwego oprogramowania w formacie przenośnego pliku wykonywalnego, który skanuje w rozwiązaniu Dell Endpoint Security Suite Enterprise. Podstawowym mechanizmem wykrywania w rozwiązaniu Dell Endpoint Security Suite Enterprise jest działanie wstępne: agent skanuje potencjalne złośliwe oprogramowanie i zapobiega występowaniu niewłaściwego zachowania. Innymi słowy, rozwiązanie Dell Endpoint Security Suite Enterprise nie decyduje, czy plik jest dobry, czy zły na podstawie charakterystyki zachowania próbki, lecz bierze pod uwagę charakterystykę statyczną (przed wykonaniem) próbki. Złośliwe oprogramowanie zazwyczaj wygląda inaczej statycznie niż legalne oprogramowanie. Są to cechy, które analizuje pakiet Dell Endpoint Security Suite Enterprise, a nie wzorce zachowań wygenerowane po wykonaniu.

Nie dotyczy

Typowy przepływ pracy dla tych aplikacji polega na tym, że aplikacja tworzy katalog testowy, w którym należy wykonać następujące operacje jako sprawdzenie:

1. Zastąp zawartość zaszyfrowanych plików.
2. Szyfruj pliki testowe silnym szyfrowaniem i bezpiecznie usuwaj oryginały.
3. Zaszyfruj pliki testowe silnym szyfrowaniem i wymuś usunięcie oryginału.
4. Usuń oryginalne pliki, szyfruje i symuluje generowanie kluczy i uzgadnianie.
5. Szyfruje pliki przy użyciu słabego szyfrowania i usuwa oryginały

Jak widać, żaden z tych wskaźników nie jest wskaźnikiem statycznym. Z wyjątkiem niektórych aspektów ochrony pamięci i kontroli skryptów, pakiet Dell Endpoint Security Suite Enterprise nie wykorzystuje zachowania programu w celu zidentyfikowania go jako złośliwego oprogramowania. Ochrona pamięci nie identyfikuje żadnych działań wymienionych powyżej, ponieważ nie próbują one bezpośrednio wykorzystywać pamięci; Wykonują legalne działania (na przykład szyfrowanie pliku), które współdzielą tę formę złośliwego oprogramowania.

Należy pamiętać, że wielu z tych dostawców symulatorów złośliwego oprogramowania to firmy szkoleniowe w zakresie bezpieczeństwa IT, które mają żywotny interes w tym, aby ich narzędzia zwracały użytkownikowi przerażające wyniki, skłaniając go do żądania szkolenia. Dell Endpoint Security Suite Enterprise działa dobrze w walce z prawdziwym złośliwym oprogramowaniem, ale niestety nie emuluje poprawnie statycznych atrybutów złośliwego oprogramowania na tyle, aby można je było autorytatywnie przetestować.

Przykładowe produkty:

RanSim

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.