Dell Endpoint Security Suite Enterprise Threat Simulation 测试
Summary: 本文提供有关威胁模拟测试的信息。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
提醒:
- 从 2022 年 5 月起,Dell Endpoint Security Suite Enterprise 停止维护。戴尔不再更新本文。有关更多信息,请参阅 Dell Data Security 的产品生命周期(结束支持/停售)政策。如果您对其他文章有任何疑问,请联系您的销售团队或联系 endpointsecurity@dell.com。
- 请参阅端点安全性,了解有关当前产品的其他信息。
受影响的产品:
- Dell Endpoint Security Suite Enterprise
许多威胁模拟器试图通过执行一些类似于勒索软件在计算机上运行的操作来模拟勒索软件的行为。这些工具不包含 Dell Endpoint Security Suite Enterprise 扫描的可移植可执行格式的恶意软件。Dell Endpoint Security Suite Enterprise 中的主要检测机制是预执行:代理将扫描任何潜在的恶意软件并防止不良行为发生。换言之,Dell Endpoint Security Suite Enterprise 不会根据样本的行为特征来决定文件是好是坏,而是查看样本的静态(执行前)特征。恶意软件在静态上看起来通常与合法软件不同。这些是 Dell Endpoint Security Suite Enterprise 分析的特征,而不是执行后生成的任何行为模式。
Cause
不适用
Resolution
这些应用程序的典型工作流是应用程序创建一个测试目录,在其中执行以下操作作为检查:
- 替换加密文件的内容。
- 使用强加密对测试文件进行加密,并安全地删除原始文件。
- 使用强加密对测试文件进行加密,并强制删除原始文件。
- 删除原始文件,加密并模拟密钥生成和握手。
- 加密弱加密的文件并删除原始文件
如您所见,这些指标都不是静态指标。除了内存保护和脚本控制的某些方面外,Dell Endpoint Security Suite Enterprise 不会使用程序的行为来尝试将其识别为恶意软件。内存保护不会识别上述任何操作,因为它们不会尝试直接利用内存;他们正在执行合法操作(例如,加密文件),而这些操作恰好共享这种形式的恶意软件。
请记住,这些恶意软件模拟器供应商中的许多都是 IT 安全培训公司,他们对他们的工具有既得利益,会向用户返回可怕的结果,促使他们请求培训。Dell Endpoint Security Suite Enterprise 在抵御真实恶意软件时表现良好,但遗憾的是,此工具无法正确模拟恶意软件的静态属性,不足以成为产品的权威测试。
示例产品包括:
RanSim
提醒:Dell Endpoint Security Suite Enterprise 版本 2.0.1451.6 和 2.0.1452.9 具有经过修改的更新数学模型,可捕获这些勒索模拟器。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Affected Products
Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000129793
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.