Tech Brief: App-Schutz

In den letzten Jahren haben wir in allen Branchen einen Anstieg der Angriffe auf persistente Bedrohungen (APT) verzeichnet. Anstelle eines typischen Select & Run-Angriffs (zum Beispiel Ransomware) besteht das Ziel für Angreifer darin, in Ihrem Netzwerk zu bleiben und über einen längeren Zeitraum unentdeckt zu bleiben. Laut Untersuchungen von FireEye beträgt die durchschnittliche Verweilzeit für 2018 in Nord- und Südamerika 71 Tage, EMEA 177 Tage und APAC 204 Tage. Der Data Breach Investigations Report 2019 kommt zu dem Schluss, dass die Entdeckung der meisten Sicherheitsverletzungen Monate oder länger dauerte. Dies gibt Angreifern eine beträchtliche Zeit, um mit ihrem Angriff fortzufahren, zu verbreiten, sensible Daten zu sammeln und zu exfiltrieren, bevor sie entdeckt werden (oder wenn überhaupt).

Der Endbenutzer gilt weithin als das schwächste Stück auf der Angriffsfläche einer Organisation. Es ist für Angreifer gängige Praxis geworden, ausgefeilte Methoden zu verwenden, um Benutzer dazu zu bringen, Malware auf ihren Endpunkten zu installieren. Nach der Installation kann die Malware stillschweigend sensible Daten wie Anmeldeinformationen des Benutzers, sensible Informationen, das geistige Eigentum des Unternehmens oder vertrauliche Daten sammeln und exfiltrieren. Mit der Zunahme von BYO-Geräten und dem Zugriff auf Unternehmensressourcen von nicht verwalteten Endpunkten werden Endpunkte zu einer noch exponierteren Bedrohungsfläche. Da viele Benutzer von zu Hause aus arbeiten, wird das Risiko für die Organisationen aufgrund der fehlenden Vertrauenswürdigkeit des Endpunktgeräts erhöht.

Durch die Verwendung von virtuellen Apps und Desktops wurde eine Angriffsfläche von Endpunkten erheblich reduziert - Daten werden zentral in einem Rechenzentrum gespeichert und es ist für den Angreifer viel schwieriger, sie zu stehlen. Die virtuelle Sitzung wird nicht auf dem Endpunkt ausgeführt, und Benutzer haben im Allgemeinen keine Berechtigung, Apps innerhalb der virtuellen Sitzung zu installieren. Die Daten innerhalb der Sitzung sind im Rechenzentrum oder im Cloudressourcenstandort sicher. Ein kompromittierter Endpunkt kann jedoch Sitzungstastenanschläge und Informationen erfassen, die auf dem Endpunkt angezeigt werden. Citrix bietet Administratoren die Möglichkeit, diese Angriffsvektoren mithilfe einer Zusatzfunktion namens App-Schutz zu verhindern. Mit dieser Funktion können Administratoren von Citrix Virtual Apps and Desktops (CVAD) Richtlinien speziell für eine oder mehrere Bereitstellungsgruppen durchsetzen. Wenn Benutzer eine Verbindung zu Sitzungen aus diesen Bereitstellungsgruppen herstellen, wird der Endpunkt des Benutzers entweder Anti-Screen-Capture oder Anti-Keylogging oder beide auf den Endpunkten durchgesetzt.

Anti-Keylogging

Ein Keylogger ist eines der bevorzugten Tools des Angreifers für die Datenexfiltration, da er auf einem infizierten Computer verbleiben kann, ohne merklichen Schaden anzurichten. Alle vom Benutzer eingegebenen Tastatureingaben werden erfasst, einschließlich Kombinationen aus Benutzername/Kennwort, Kreditkartennummern und vertraulichen Daten. Die gesammelten Daten exfiltrieren später dann stillschweigend. Spyware/Keylogger werden häufig von Angreifern verwendet - es ist eine der drei wichtigsten Malware-Varianten, die bei Sicherheitsverletzungen vorhanden sind.

Mit Verschlüsselung macht das Anti-Keylogging des App-Schutzes den Text unlesbar, den der Benutzer auf physischen und Bildschirmtastaturen eingibt. Die Anti-Keylogging-Funktion verschlüsselt den Text, bevor ein Keylogging-Tool von der Kernel/OS-Ebene aus darauf zugreifen kann. Ein auf dem Client-Endpunkt installierter Keylogger, der die Daten vom Betriebssystem/Treiber liest, würde Kauderwelsch anstelle der Tastenanschläge erfassen, die der Benutzer tippt.

App-Schutzrichtlinien sind nicht nur für veröffentlichte Anwendungen und Desktops aktiv, sondern auch für Citrix Workspace-Authentifizierungsdialoge. Ihr Citrix Workspace ist vor dem Zeitpunkt geschützt, in dem Ihre Benutzer das erste Authentifizierungsdialogfeld öffnen.

Anti-Keylogging Richtlinien für den Schutz der Citrix App

Anti-Screen-Aufnahme

Die Anti-Screen-Erfassung verhindert, dass eine App versucht, einen Screenshot oder eine Aufzeichnung des Bildschirms innerhalb einer virtuellen App oder einer Desktop-Sitzung aufzunehmen. Die Bildschirmaufnahme-Software könnte Inhalte innerhalb der Erfassungsregion nicht erkennen. Der von der App ausgewählte Bereich ist ausgegraut oder die App erfasst nichts anstelle des Bildschirm-Bereichs, den sie kopieren möchte. Die Anti-Screen-Capture-Funktion gilt für das Snip und Sketch, Snipping Tool, Shift+Strg+Bildschirm drucken unter Windows.

Citrix App-Schutzrichtlinien Anti-Bildschirmaufnahme

Der Schutz erstreckt sich auf Dateien von Citrix Files oder anderen Connectoren wie Google Drive oder Microsoft OneDrive, auf die von der Citrix Workspace-App aus zugegriffen wird. Die Apps sind auch vor Bildschirmschabern geschützt.

Ein weiterer Anwendungsfall für die Anti-Screen-Erfassung besteht darin, die Weitergabe vertraulicher Daten in einem virtuellen Meeting-/Webkonferenzanwendung (wie GoToMeeting, Microsoft Teams oder Zoom) zu verhindern. Missbräuche (Weitergabe von Daten mit dem falschen Empfänger oder Veröffentlichung von Daten an unbeabsichtigte Zielgruppen) ist eine häufige Variante von Bedrohungsaktionen, die viele Branchen plagt. Im Jahr 2019waren Fehllieferungen eine Hauptursache für Sicherheitsvorfälle im Gesundheitswesen. Ihre Daten und Anwendungen sind nicht nur vor externen Bedrohungen, sondern auch vor Ihren eigenen Mitarbeitern geschützt. Interne Akteure waren 2019 an 34% der Sicherheitsvorfälle beteiligt, aber diese Zahl ist in einigen Branchen höher (45% in der Bildung und satte 59% im Gesundheitswesen).

Wie funktioniert es?

App-Schutzrichtlinien schützen Client-Endpunkte, auf denen Windows-, Linux- und macOS-Betriebssysteme ausgeführt werden. App-Schutzrichtlinien steuern den Zugriff auf bestimmte API-Aufrufe des zugrunde liegenden Betriebssystems, die zur Erfassung von Bildschirmen oder Tastaturdrücken erforderlich sind. App-Schutzrichtlinien können daher auch vor benutzerdefinierten und speziell entwickelten Hacker-Tools schützen. Mit der Weiterentwicklung des Betriebssystems können jedoch neue Möglichkeiten zur Erfassung von Bildschirmen und Protokollierungsschlüsseln entstehen. Während Citrix weiterhin identifiziert und adressieren, kann Citrix keinen vollständigen Schutz in bestimmten Konfigurationen und Bereitstellungen garantieren.

Wenn sich ein Benutzer bei StoreFront oder Citrix Workspace anmeldet, werden die Sicherheitsfunktionen des Endpunkts bewertet und mit den verfügbaren Ressourcen abgeglichen. Durch App-Schutzrichtlinien geschützte Anwendungen und Desktops sind nur sichtbar, wenn ein Endpunkt die Sicherheitsanforderungen erfüllt. Eine solche Anforderung ist eine Überprüfung, ob die App-Schutzkomponenten installiert sind.

Diagramm zum App-Schutz

Es wird oft davon ausgegangen, dass Sie die Benutzererfahrung opfern müssen, um eine bessere Sicherheit zu erhalten. App-Schutzrichtlinien werden auf eine Weise implementiert, die für die Endbenutzer nahtlos ist:

  • Geschützte Ressourcen werden Benutzern verborgen, wenn sie nicht auf sie zugreifen können, da der Client keine App-Schutzrichtlinien unterstützt
  • Die Anti-Screen-Erfassung ist nur aktiviert, wenn sich ein geschütztes Fenster auf dem Bildschirm befindet (Benutzer können es minimieren, wenn sie einen Screenshot des ungeschützten Fensters erstellen müssen)
  • Der Anti-Keylogging-Schutz ist nur aktiviert, wenn das geschützte Fenster im Fokus ist

Zusammenfassung

App-Schutzrichtlinien können dazu beitragen, Anwendungsdaten vor Angreifern zu schützen, die heimlich entweder einen Keylogger oder Screen Capture-Tools oder beide auf Endpunkten installiert haben. App-Schutzrichtlinien ermöglichen es Unternehmen, BYODzu nutzen und Ressourcen auf Remote-Mitarbeiter, Auftragnehmer und Gig-Economy-Mitarbeiter auszudehnen. Weitere Informationen zur Konfiguration von App-Schutzrichtlinien, spezifischen Anforderungen und Kompatibilität finden Sie in unserer Produktdokumentation zum Anwendungsschutz.

Tech Brief: App-Schutz