Teste de simulação de ameaças do Dell Endpoint Security Suite Enterprise
Resumo: Este artigo apresenta informações sobre os testes de simulação de ameaças.
Sintomas
- Em maio de 2022, o Dell Endpoint Security Suite Enterprise deixou de receber manutenção. Este artigo não é mais atualizado pela Dell. Para obter mais informações, consulte a Política de ciclo de vida do produto (fim do suporte/fim da vida útil) do Dell Data Security. Se você tiver alguma dúvida sobre artigos alternativos, entre em contato com sua equipe de vendas ou envie um e-mail para endpointsecurity@dell.com.
- Consulte Segurança de endpoints para obter mais informações sobre os produtos atuais.
Produtos afetados:
- Dell Endpoint Security Suite Enterprise
Muitos simuladores de ameaças procuram emular o comportamento do ransomware realizando algumas ações semelhantes ao que o ransomware faria se fosse autorizado a ser executado no computador. Essas ferramentas não contêm malware em um formato executável portátil que o Dell Endpoint Security Suite Enterprise verifica. O principal mecanismo de detecção do Dell Endpoint Security Suite Enterprise é a pré-execução: o agente verifica qualquer malware em potencial e impede a ocorrência de mau comportamento. Em outras palavras, o Dell Endpoint Security Suite Enterprise não decide se um arquivo é bom ou defeituoso com base nas características comportamentais da amostra, em vez disso, ele analisa as características estáticas (pré-execução) da amostra. Geralmente, o malware tem uma aparência diferente estaticamente do software legítimo. Essas são as características analisadas pelo Dell Endpoint Security Suite Enterprise, e não quaisquer padrões de comportamento gerados após a execução.
Causa
Não aplicável
Resolução
Um fluxo de trabalho típico para esses aplicativos seria que o aplicativo cria um diretório de teste no qual executar as seguintes operações como uma verificação:
- Substitua o conteúdo dos arquivos criptografados.
- Criptografa arquivos de teste com criptografia forte e exclui o original com segurança.
- Criptografa arquivos de teste com criptografia forte e exclui à força o original.
- Exclui arquivos originais, criptografa e simula geração de chaves e handshake.
- Criptografa arquivos com criptografia fraca e exclui originais
Como você pode ver, nenhum desses indicadores são indicadores estáticos. Exceto por certos aspectos do Memory Protection e do Script Control, o Dell Endpoint Security Suite Enterprise não usa o comportamento de um programa para tentar identificá-lo como malware. O Memory Protection não identifica nenhuma das ações mencionadas acima, pois não está tentando explorar diretamente a memória; Eles estão realizando ações legítimas (por exemplo, criptografar um arquivo) que compartilham essa forma de malware.
Lembre-se de que muitos desses fornecedores de simuladores de malware são empresas de treinamento de segurança de TI que têm interesse em que suas ferramentas retornem resultados assustadores ao usuário, levando-o a solicitar treinamento. O Dell Endpoint Security Suite Enterprise tem bom desempenho contra malware real, mas, infelizmente, essa ferramenta não emula corretamente os atributos estáticos de malware o suficiente para ser um teste autorizado do produto.
Alguns exemplos de produtos são:
RanSim
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.