Citrix Analytics für Sicherheit

Kontinuierliche Risikobewertung

Eine verstärkte Nutzung tragbarer Computergeräte und des Internets ermöglicht es Citrix Workspace-Benutzern, von fast jedem Ort und auf jedem Gerät aus zu arbeiten. Die Herausforderung bei dieser Flexibilität besteht darin, dass der Fernzugriff sensible Daten durch cyberkriminelle Aktivitäten wie Datenexfiltration, Diebstahl, Vandalismus und Serviceunterbrechungen Sicherheitsrisiken aussetzt. Mitarbeiter innerhalb von Organisationen werden wahrscheinlich ebenfalls zu diesem Schaden beitragen.

Einige herkömmliche Methoden zur Bewältigung solcher Risiken sind die Implementierung einer Multifaktor-Authentifizierung, kurzer Anmeldesitzungen usw. Obwohl diese Risikobewertungsmethoden ein höheres Sicherheitsniveau gewährleisten, bieten sie nach der ersten Validierung der Benutzer keine vollständige Sicherheit. Wenn ein böswilliger Benutzer erfolgreich Zugriff auf das Netzwerk erhält, missbraucht er sensible Daten, die für eine Organisation schädlich sind.

Um den Sicherheitsaspekt zu verbessern und eine bessere Benutzererfahrung zu gewährleisten, führt Citrix Analytics die Lösung einer kontinuierlichen Risikobewertung ein. Diese Lösung schützt Ihre Daten sowohl vor externen Cyberkriminellen als auch vor böswilligen Insidern, indem sichergestellt wird, dass das Risiko des Benutzers von Citrix Virtual Apps and Desktops unverändert bleibt wie bei der Überprüfung in der Anfangsphase, ohne dass der Benutzer dies jedes Mal nachweisen muss. Diese Lösung wird erreicht, indem ein riskantes Ereignis während einer Sitzung kontinuierlich bewertet und automatisch Maßnahmen angewendet werden, um zu verhindern, dass die Ressourcen des Unternehmens weiter missbraucht werden.

Kontinuierliche Risikobewertung

Anwendungsfälle

Stellen Sie sich einen Benutzer Adam Maxwell vor, der nach mehreren fehlgeschlagenen Anmeldeversuchen von einem ungewöhnlichen Ort aus, der seinem üblichen Verhalten widerspricht, zum ersten Mal auf ein Netzwerk zugreifen konnte. Außerdem weist der Standort eine Erfolgsbilanz bei Cyberangriffen auf. In diesem Szenario müssen Sie sofort Maßnahmen ergreifen, um zu verhindern, dass Adams Konto weiter missbraucht wird. Sie können Adams Konto sperren und ihn über die ergriffenen Maßnahmen informieren. Diese Aktion kann vorübergehend zu Dienstunterbrechungen für das Konto des Benutzers führen. Der Benutzer kann sich an den Administrator wenden, um Unterstützung bei der Wiederherstellung des Kontos zu erhalten.

Stellen Sie sich ein anderes Szenario vor, in dem Adam zum ersten Mal von einem neuen Gerät und von einer neuen IP auf ein Netzwerk zugegriffen hat. Sie können Adam kontaktieren und um Bestätigung bitten, ob er diese Aktivität identifiziert. Wenn ja, könnte es sein, dass Adam sein Arbeitsgerät gewechselt hat und von seinem Heimnetzwerk aus arbeitet. Diese Aktivität schadet der Sicherheit Ihres Unternehmens nicht und kann ignoriert werden. Wenn der Benutzer diese Aktivität jedoch nicht ausgeführt hat, ist es wahrscheinlich, dass das Konto kompromittiert wurde. In diesem Szenario können Sie das Konto des Benutzers sperren, um weitere Schäden zu vermeiden.

Hauptfeatures

Kontinuierliche Risikobewertung automatisiert einige der Funktionen, die mit Richtlinien und Sichtbarkeits-Dashboards verbunden sind:

Unterstützt mehrere Bedingungen

Wenn Sie eine Richtlinie erstellen oder ändern, können Sie bis zu vier Bedingungen hinzufügen. Die Bedingungen können Kombinationen aus Standardrisikoindikatoren und benutzerdefinierten Risikoindikatoren, Benutzerrisikobewertungen oder beidem enthalten.

Weitere Informationen finden Sie unter Was sind Richtlinien.

Benachrichtigen Sie Benutzer, bevor Sie Aktionen anwenden

Bevor Sie eine entsprechende Aktion auf das Konto eines Benutzers anwenden, können Sie den Benutzer benachrichtigen und die Art einer ungewöhnlichen Aktivität beurteilen, die entdeckt wurde.

Weitere Informationen finden Sie unter Benutzerantwort anfordern.

Benutzer nach dem Anwenden von Aktionen benachrichtigen

Bei einigen Aktivitäten kann das Warten auf eine Benutzerantwort vor dem Anwenden einer Aktion das Konto des Benutzers und die Sicherheit Ihres Unternehmens gefährden. In solchen Szenarien können Sie eine störende Aktion anwenden, wenn Sie eine ungewöhnliche Aktivität feststellen, und den Benutzer darüber informieren.

Weitere Informationen finden Sie unter Benutzer nach Anwendung einer störenden Aktion benachrichtigen.

Durchsetzung und Monitormodi

Sie können Richtlinien basierend auf Ihren Anforderungen auf Durchsetzungs- oder Überwachungsmodi festlegen. Richtlinien im Durchsetzungsmodus wirken sich direkt auf die Benutzerkonten aus. Wenn Sie jedoch die Auswirkungen oder das Ergebnis Ihrer Richtlinien beurteilen möchten, bevor Sie sie implementieren, können Sie Ihre Richtlinien auf den Überwachungsmodus einstellen.

Weitere Informationen finden Sie unter Unterstützte Modi.

Einblick in Zugriff und Richtlinien-Dashboards

Mithilfe des Dashboards “Zugriffsübersicht “ können Sie Einblicke in die Anzahl der Zugriffsversuche von Benutzern erhalten. Weitere Informationen finden Sie unter Zugriffsübersicht.

Mithilfe des Dashboards Richtlinien und Aktionen können Sie Einblicke in die Richtlinien und Aktionen erhalten, die auf Benutzerkonten angewendet werden. Weitere Informationen finden Sie unter Richtlinien und Aktionen.

Standardrichtlinien

Citrix Analytics führt vordefinierte Richtlinien ein, die standardmäßig im Richtlinien-Dashboard aktiviert sind. Diese Richtlinien werden erstellt, indem Risikoindikatoren und Benutzerrisikobewertungen als vordefinierte Bedingungen verwendet werden. Jeder Standardrichtlinie wird eine globale Aktion zugewiesen.

Weitere Informationen finden Sie unter Was sind Richtlinien.

Sie können die folgenden Standardrichtlinien verwenden oder sie basierend auf Ihren Anforderungen ändern:

Richtlinienname Bedingung Datenquelle Aktion
Erfolgreicher Berechtigungs-Exploit Wenn die übermäßige Authentifizierung fehlschlägt und der Zugriff von einem ungewöhnlichen Standort aus Risikoindikatoren ausgelöst wird Citrix Gateway Benutzer sperren
Potenzielle Datenexfiltration Wenn der Risikoindikator für potenzielle Datenexfiltration ausgelöst wird Citrix Virtual Apps and Desktops Benutzer abmelden
Ungewöhnlicher Zugriff von einer verdächtigen IP Wenn der Zugriff von einem ungewöhnlichen Ort und die Anmeldung von verdächtigen IP-Risikoindikatoren ausgelöst werden Citrix Gateway Benutzer sperren
Benutzer mit geringem Risiko - Erstzugriff von neuer IP Wenn der Gateway- Erstzugriff von einem neuen IP-Risikoindikator für einen Benutzer ausgelöst wird, dessen Risikobewertung weniger als 70 beträgt Citrix Gateway Benutzerantwort anfordern
Erster Zugriff vom Gerät Wenn der CVAD-Erstzugriff von einem neuen Gerät ausgelöst wird Citrix Virtual Apps and Desktops Benutzerantwort anfordern
Ungewöhnlicher App-Zugriff von einem ungewöhnlichen Ort Wenn die ungewöhnliche Zeit des Anwendungszugriffs (Virtual/SaaS) und der Zugriff von einem ungewöhnlichen Standort aus ausgelöst werden, werden Risikoindikatoren ausgelöst Citrix Virtual Apps and Desktops und Citrix Gateway Benutzer sperren

Hinweis

Für den ungewöhnlichen App-Zugriff von einer ungewöhnlichen Standortrichtlinie aus kann die Bedingung Ungewöhnliche Zeit des Anwendungszugriffs (virtuell/SaaS) nicht erfüllt werden, da dieser Risikoindikator veraltet ist. Wenn Sie diese Richtlinie weiterhin durchsetzen möchten, ändern Sie diese Bedingung mit einem anderen Risikoindikator.

Kontinuierliche Risikobewertung