Pruebas de simulación de amenazas de Dell Endpoint Security Suite Enterprise
Resumen: En este artículo, se proporciona información sobre las pruebas de simulación de amenazas.
Síntomas
- Desde mayo de 2022, Dell Endpoint Security Suite Enterprise alcanzó el final de su período de mantenimiento. Dell ya no actualiza este artículo. Para obtener más información, consulte la Política de ciclo de vida útil (final del ciclo de vida/fin del soporte) del producto para Dell Data Security. Si tiene preguntas sobre artículos alternativos, comuníquese con el equipo de ventas o al correo endpointsecurity@dell.com.
- Consulte Endpoint Security para obtener información adicional acerca de los productos actuales.
Productos afectados:
- Dell Endpoint Security Suite Enterprise
Muchos simuladores de amenazas buscan emular el comportamiento del ransomware realizando algunas acciones similares a lo que haría el ransomware si se le permitiera ejecutarse en la computadora. Estas herramientas no contienen malware en un formato ejecutable portátil que Dell Endpoint Security Suite Enterprise escanea. El mecanismo de detección principal en Dell Endpoint Security Suite Enterprise es la ejecución previa: el agente escaneará cualquier malware potencial y evitará que se produzca un comportamiento incorrecto. En otras palabras, Dell Endpoint Security Suite Enterprise no decide si un archivo es bueno o malo en función de las características de comportamiento de la muestra, sino que analiza las características estáticas (previas a la ejecución) de la muestra. Por lo general, el malware tiene un aspecto distinto estáticamente que el software legítimo. Estas son las características que analiza Dell Endpoint Security Suite Enterprise, no los patrones de comportamiento generados después de la ejecución.
Causa
No corresponde
Resolución
Un flujo de trabajo típico para estas aplicaciones sería que la aplicación crea un directorio de prueba en el que se realizan las siguientes operaciones a modo de comprobación:
- Reemplace el contenido de los archivos cifrados.
- Cifrar los archivos de prueba con cifrado sólido y eliminar de forma segura el original.
- Cifre los archivos de prueba con cifrado sólido y elimine los originales a la fuerza.
- Elimina archivos originales, cifra y simula la generación de claves y el protocolo de enlace.
- Cifra los archivos con cifrado débil y elimina los originales
Como puede ver, ninguno de estos indicadores son indicadores estáticos. A excepción de ciertos aspectos de Protección de memoria y Control de scripts, Dell Endpoint Security Suite Enterprise no utiliza el comportamiento de un programa para intentar identificarlo como malware. Protección de memoria no identifica ninguna de las acciones mencionadas anteriormente, ya que no intentan explotar directamente la memoria; Están realizando acciones legítimas (por ejemplo, cifrar un archivo) que comparten esta forma de malware.
Tenga en cuenta que muchos de estos proveedores de simuladores de malware son empresas de capacitación en seguridad de TI que tienen un interés personal en que sus herramientas devuelvan resultados aterradores al usuario, lo que los lleva a solicitar capacitación. Dell Endpoint Security Suite Enterprise funciona bien contra malware real, pero lamentablemente, esta herramienta no emula correctamente los atributos estáticos del malware lo suficiente como para ser una prueba autorizada del producto.
Algunos ejemplos de productos son:
RanSim
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.