Citrix Analytics para seguridad

Evaluación continua del riesgo

Un mayor uso de dispositivos informáticos portátiles e Internet permite a los usuarios de Citrix Workspace trabajar desde casi cualquier ubicación y en cualquier dispositivo. El desafío con esta flexibilidad es que el acceso remoto expone los datos sensibles a riesgos de seguridad a través de actividades delictivas cibernéticas como la exfiltración de datos, el robo, el vandalismo y las interrupciones del servicio. También es probable que los empleados de las organizaciones contribuyan a este daño.

Algunas formas convencionales de abordar estos riesgos son implementar la autenticación multifactor, sesiones breves de inicio de sesión, etc. Aunque estos métodos de evaluación de riesgos garantizan un mayor nivel de seguridad, no proporcionan una seguridad completa después de la validación inicial de los usuarios. Si un usuario malintencionado tiene éxito en obtener acceso a la red, hace un uso indebido de los datos confidenciales que son perjudiciales para una organización.

Para mejorar el aspecto de seguridad y garantizar una mejor experiencia de usuario, Citrix Analytics introduce la solución de evaluación continua de riesgos. Esta solución protege sus datos tanto de los ciberdelincuentes externos como de los internos maliciosos, asegurando que la exposición al riesgo del usuario de Citrix Virtual Apps and Desktops siga siendo la misma que cuando se verificó durante la etapa inicial, sin necesidad de que el usuario lo demuestre cada vez. Esta solución se logra evaluando continuamente un evento arriesgado durante una sesión y aplicando automáticamente acciones para evitar que los recursos de la organización sigan usándose.

Evaluación continua del riesgo

Casos de uso

Considere a un usuario Adam Maxwell, que pudo acceder a una red por primera vez después de varios intentos fallidos de inicio de sesión desde una ubicación inusual que es contraria a su comportamiento habitual. Además, la ubicación tiene un historial de ataques cibernéticos. En este caso, se requiere que tomes medidas inmediatas para evitar que la cuenta de Adán siga siendo malversada. Puede bloquear la cuenta de Adam y notificarle la acción tomada. Esta acción puede crear temporalmente interrupciones del servicio en la cuenta del usuario. El usuario puede ponerse en contacto con el administrador para obtener ayuda para restaurar la cuenta.

Considere otro caso en el que Adam ha accedido a una red desde un nuevo dispositivo y desde una nueva IP por primera vez. Puede ponerse en contacto con Adam pidiéndole confirmar si identifica esta actividad. Si es así, podría ser que Adam ha cambiado su dispositivo de trabajo y está trabajando desde su red doméstica. Esta actividad no causa ningún daño a la seguridad de su organización y puede ignorarse. Sin embargo, si el usuario no realizó esta actividad, es probable que la cuenta se haya visto comprometida. En este caso, puede bloquear la cuenta del usuario para evitar cualquier daño adicional.

Funciones principales

La evaluación continua de riesgos automatiza algunas de las funcionalidades asociadas con las directivas y los paneles de visibilidad:

Soporta múltiples condiciones

Al crear o modificar una directiva, puede agregar hasta cuatro condiciones. Las condiciones pueden contener combinaciones de indicadores de riesgo por defecto e indicadores de riesgo personalizados, puntuaciones de riesgo de usuario o ambos.

Para obtener más información, consulte ¿Qué son las directivas?.

Notificar a los usuarios antes de aplicar acciones

Antes de aplicar una acción apropiada en la cuenta de un usuario, puede notificar al usuario y evaluar la naturaleza de una actividad inusual que se ha detectado.

Para obtener más información, consulte Solicitar respuesta del usuario.

Notificar a los usuarios después de aplicar acciones

Para algunas actividades, esperar la respuesta del usuario antes de aplicar una acción puede poner en riesgo la cuenta del usuario y la seguridad de su organización. En tales casos, puede aplicar una acción disruptiva cuando detecta una actividad inusual y notificar al usuario acerca de la misma.

Para obtener más información, consulte Notificar al usuario después de aplicar la acción disruptiva.

Modos de aplicación y supervisión

Puede establecer directivas en modos de aplicación o supervisión en función de sus requisitos. Las directivas en modo de aplicación tienen un impacto directo en las cuentas de los usuarios. Sin embargo, si quiere evaluar el impacto o el resultado de las directivas antes de implementarlas, puede configurar las directivas para el modo de supervisión.

Para obtener más información, consulte Modelos compatibles.

Visibilidad de los paneles de acceso y directivas

Con el panel Resumen de acceso, puede obtener información sobre el número de intentos de acceso realizados por los usuarios. Para obtener más información, consulte Resumen de acceso.

Mediante el panel Directivas y acciones, puede obtener información sobre las directivas y acciones aplicadas en las cuentas de usuario. Para obtener más información, consulte Directivas y acciones.

Directivas predeterminadas

Citrix Analytics introduce directivas predefinidas que están habilitadas en el panel de directivas de forma predeterminada. Estas directivas se crean mediante el uso de indicadores de riesgo y puntuaciones de riesgo de usuario como condiciones predefinidas. Se asigna una acción global a cada directiva predeterminada.

Para obtener más información, consulte ¿Qué son las directivas?.

Puede utilizar las siguientes directivas predeterminadas o modificarlas según sus requisitos:

Nombre de directiva Condición Origen de datos Acción
Explotación de credenciales correcta Cuando se activan los indicadores de riesgo Fallos de autenticación excesivos, Acceso desde una ubicación inusual y Fallos excesivos de autorización Citrix Gateway Bloquear usuario
Exfiltración potencial de datos Cuando se activa el indicador de Exfiltración potencial de datos riesgo Citrix Virtual Apps and Desktops Cerrar sesión usuario
Acceso inusual desde una IP sospechosa Cuando se Acceso desde una ubicación inusual activan los indicadores de Inicio de sesión desde IP sospechosa riesgo y Citrix Gateway Bloquear usuario
Usuario de bajo riesgo: Acceso por primera vez desde la nueva IP Cuando se activa el indicador de Acceso por primera vez desde una nueva IP riesgo para un usuario cuya puntuación de riesgo es inferior a 70 Citrix Gateway Solicitar respuesta del usuario
Acceso por primera vez desde el dispositivo Cuando se activa el indicador de Acceso por primera vez desde un dispositivo nuevo riesgo Citrix Virtual Apps and Desktops Solicitar respuesta del usuario
Acceso inusual a aplicaciones desde una ubicación inusual Cuando se desencadena el tiempo inusual de acceso a la aplicación (virtual/SaaS) y los indicadores de Acceso desde una ubicación inusual riesgo Citrix Virtual Apps and Desktops y Citrix Gateway Bloquear usuario

Nota

Para el acceso a aplicaciones inusuales desde una directiva de ubicación inusual, no se puede cumplir la condición Tiempo inusual de acceso a la aplicación (virtual/SaaS) porque este indicador de riesgo está obsoleto. Si desea seguir aplicando esta directiva, modifique esta condición con un indicador de riesgo diferente.

Evaluación continua del riesgo