Testning av hotsimulering för Dell Endpoint Security Suite Enterprise
Summary: Den här artikeln innehåller information om testning av hotsimulering.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Obs!
- Från och med maj 2022 har Dell Endpoint Security Suite Enterprise nått slutet på underhåll. Den här artikeln uppdateras inte längre av Dell. Mer information finns i policyn för produktlivscykel (slut på support/slut på livslängd) för Dell Data Security. Om du har frågor om alternativa artiklar kan du kontakta ditt försäljningsteam eller endpointsecurity@dell.com.
- Mer information om aktuella produkter finns i Endpoint Security.
Berörda produkter:
- Dell Endpoint Security Suite Enterprise
Många hotsimulatorer försöker efterlikna beteendet hos utpressningstrojaner genom att utföra vissa åtgärder som liknar vad utpressningstrojaner skulle göra om de tilläts köras på datorn. Dessa verktyg innehåller ingen skadlig kod i ett portabelt körbart format som Dell Endpoint Security Suite Enterprise genomsöker. Den primära identifieringsmekanismen i Dell Endpoint Security Suite Enterprise är förkörning: agenten söker igenom alla potentiella skadliga program och förhindrar att dåligt beteende inträffar. Med andra ord avgör Dell Endpoint Security Suite Enterprise inte om en fil är bra eller dålig baserat på provets beteende, utan tittar istället på provets statiska egenskaper (före körning). Skadlig programvara ser i allmänhet annorlunda ut statiskt än legitim programvara. Det här är de egenskaper som Dell Endpoint Security Suite Enterprise analyserar, inte några beteendemönster som genereras efter körningen.
Cause
Gäller ej
Resolution
Ett typiskt arbetsflöde för dessa program är att programmet skapar en testkatalog där följande åtgärder kan utföras som en kontroll:
- Ersätt innehållet i krypterade filer.
- Kryptera testfiler med stark kryptering och radera originalet på ett säkert sätt.
- Kryptera testfiler med stark kryptering och ta bort originalet med tvång.
- Ta bort originalfiler, krypterar och simulerar nyckelgenerering och handskakning.
- Krypterar filer med svag kryptering och tar bort original
Som du kan se är ingen av dessa indikatorer statiska. Med undantag för vissa aspekter av minnesskydd och skriptkontroll använder Dell Endpoint Security Suite Enterprise inte beteendet hos ett program för att försöka identifiera det som ett skadligt program. Memory Protection identifierar inte någon av de åtgärder som nämns ovan, eftersom de inte är ett försök att direkt utnyttja minnet. De utför legitima åtgärder (till exempel krypterar en fil) som råkar dela denna form av skadlig kod.
Tänk på att många av dessa leverantörer av simulatorer för skadlig programvara är IT-säkerhetsutbildningsföretag som har ett egenintresse av att deras verktyg returnerar skrämmande resultat till användaren, vilket får dem att begära utbildning. Dell Endpoint Security Suite Enterprise fungerar bra mot riktiga skadliga program, men tyvärr emulerar det här verktyget inte de statiska attributen hos skadlig kod tillräckligt för att vara ett auktoritativt test av produkten.
Exempel på produkter är:
RanSim
Obs! Version 2.0.1451.6 och 2.0.1452.9 för Dell Endpoint Security Suite Enterprise har en uppdaterad matematisk modell som har modifierats för att fånga upp dessa utpressningssimulatorer.
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.
Additional Information
Videos
Affected Products
Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000129793
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.