Тестирование моделирования угроз Dell Endpoint Security Suite Enterprise

Затронутые продукты:

• Dell Endpoint Security Suite Enterprise

Многие симуляторы угроз стремятся имитировать поведение программы-вымогателя, выполняя некоторые действия, аналогичные тем, которые выполняла бы программа-вымогатель, если бы ей было разрешено работать на компьютере. Эти инструменты не содержат вредоносного ПО в формате переносимых исполняемых файлов, которые сканируются Dell Endpoint Security Suite Enterprise. Основным механизмом обнаружения в Dell Endpoint Security Suite Enterprise является предварительное выполнение: агент сканирует любое потенциальное вредоносное ПО и предотвращает недопустимое поведение. Другими словами, Dell Endpoint Security Suite Enterprise не принимает решение о том, является ли файл хорошим или плохим, на основе поведенческих характеристик примера, а вместо этого рассматривает статические характеристики (до выполнения) образца. Вредоносное ПО, как правило, статически выглядит иначе, чем легитимное программное обеспечение. Dell Endpoint Security Suite Enterprise анализирует именно эти характеристики, а не какие-либо шаблоны поведения, созданные после выполнения.

Неприменимо

Типичный рабочий процесс для этих приложений заключается в том, что приложение создает тестовый каталог, в котором в качестве проверки выполняются следующие операции:

1. Замена содержимого зашифрованных файлов.
2. Шифрование тестовых файлов с помощью надежного шифрования и безопасное удаление оригиналов.
3. Шифрование тестовых файлов с помощью надежного шифрования и принудительного удаления оригинала.
4. Удаление исходных файлов, шифрование и имитация создания ключей и подтверждения подключения.
5. Шифрует файлы слабым шифрованием и удаляет оригиналы

Как видите, ни один из этих индикаторов не является статическим. За исключением некоторых аспектов защиты памяти и управления сценариями, Dell Endpoint Security Suite Enterprise не использует поведение программы для идентификации ее как вредоносного ПО. Memory Protection не идентифицирует упомянутые выше действия, поскольку они не являются попыткой прямого использования памяти; Они выполняют законные действия (например, шифруют файл), которые используют эту форму вредоносного ПО.

Имейте в виду, что многие из этих поставщиков симуляторов вредоносного ПО являются фирмами по обучению ИТ-безопасности, которые лично заинтересованы в том, чтобы их инструменты возвращали пользователю пугающие результаты, побуждая его запрашивать обучение. Dell Endpoint Security Suite Enterprise хорошо справляется с реальным вредоносным ПО, но, к сожалению, этот инструмент недостаточно корректно эмулирует статические атрибуты вредоносного ПО, чтобы служить надежным тестом продукта.

Примеры продуктов:

RanSim

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.