Citrix Analytics for Security

Evaluación continua del riesgo

Un mayor uso de dispositivos informáticos portátiles e Internet permite a los usuarios de Citrix Workspace trabajar desde casi cualquier ubicación y en cualquier dispositivo. El desafío de esta flexibilidad es que el acceso remoto expone los datos confidenciales a riesgos de seguridad a través de actividades cibernéticas como la exfiltración de datos, el robo, el vandalismo y las interrupciones del servicio. También es probable que los empleados de las organizaciones contribuyan a este daño.

Algunas formas convencionales de abordar estos riesgos son implementar autenticación multifactor, sesiones de inicio de sesión breves, etc. Aunque estos métodos de evaluación de riesgos garantizan un mayor nivel de seguridad, no proporcionan una seguridad completa tras la validación inicial de los usuarios. Si un usuario malintencionado consigue acceder a la red, hace un mal uso de los datos confidenciales que son perjudiciales para una organización.

Para mejorar el aspecto de la seguridad y garantizar una mejor experiencia de usuario, Citrix Analytics presenta la solución de evaluación continua de riesgos. Esta solución protege sus datos tanto de ciberdelincuentes externos como de personas con información privilegiada malintencionada al garantizar que la exposición al riesgo de los usuarios que utilizan Citrix Virtual Apps and Desktops o Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) siga siendo la misma que cuando se verificó durante la fase inicial, sin necesidad de que el usuario lo demuestre cada vez. Esta solución se logra evaluando continuamente un evento de riesgo durante una sesión y aplicando automáticamente acciones para evitar que los recursos de la organización sigan haciendo un uso indebido.

Evaluación continua del riesgo

Casos de uso

Piense en un usuario Adam Maxwell, que pudo acceder a una red por primera vez tras varios intentos fallidos de inicio de sesión desde una ubicación inusual que es contraria a su comportamiento habitual. Además, la ubicación tiene un historial de ataques cibernéticos. En este caso, debes tomar medidas inmediatas para evitar que la cuenta de Adam se use indebidamente. Puede bloquear la cuenta de Adam y notificarle sobre la acción tomada. Esta acción podría crear interrupciones del servicio temporalmente en la cuenta del usuario. El usuario puede ponerse en contacto con el administrador para que le ayude a restaurar la cuenta.

Considere otro caso en el que Adam ha accedido a una red desde un dispositivo nuevo y desde una nueva IP por primera vez. Puede ponerse en contacto con Adam para confirmar si identifica esta actividad. Si es así, puede ser que Adam haya cambiado su dispositivo de trabajo y esté trabajando desde su red doméstica. Esta actividad no daña la seguridad de su organización y se puede ignorar. Sin embargo, si el usuario no realizó esta actividad, es probable que la cuenta se haya visto comprometida. En este caso, puede bloquear la cuenta del usuario para evitar daños adicionales.

Funciones principales

La evaluación continua de riesgos automatiza algunas de las funcionalidades asociadas con las directivas y los paneles de control de visibilidad:

Soporta múltiples condiciones

Al crear o modificar una directiva, puede agregar hasta cuatro condiciones. Las condiciones pueden contener combinaciones de indicadores de riesgo de incumplimiento e indicadores de riesgo personalizados, puntuaciones de riesgo del usuario o ambos.

Para obtener más información, consulte Qué son las directivas.

Notificación a los usuarios antes de aplicar acciones

Antes de aplicar una acción apropiada en la cuenta de un usuario, puede notificar al usuario y evaluar la naturaleza de una actividad inusual que se ha detectado.

Para obtener más información, consulte Solicitar la respuesta del usuario final.

Notificar a los usuarios tras aplicar acciones

Para algunas actividades, esperar la respuesta del usuario antes de aplicar una acción puede poner en riesgo la cuenta del usuario y la seguridad de su organización. En estos casos, puede aplicar una acción disruptiva cuando detecta una actividad inusual y notificar al usuario sobre la misma.

Para obtener más información, consulte Notificar al usuario después de aplicar una acción disruptiva.

Modos de aplicación y supervisión

Puede establecer directivas para los modos de cumplimiento o supervisión en función de sus requisitos. Las directivas en modo de cumplimiento tienen un impacto directo en las cuentas de los usuarios. Sin embargo, si quiere evaluar el impacto o el resultado de sus directivas antes de implementarlas, puede configurar las directivas en modo de supervisión.

Para obtener más información, consulte Modos compatibles.

Visibilidad de los paneles de control de directivas y acceso

Con el panel Resumen de acceso, puede obtener información sobre el número de intentos de acceso realizados por los usuarios. Para obtener más información, consulte Resumen de acceso.

Mediante el panel Directivas y acciones, puede obtener información sobre las directivas y acciones aplicadas en las cuentas de usuario. Para obtener más información, consulte Directivas y acciones.

Directivas predeterminadas

Citrix Analytics introduce directivas predefinidas que están habilitadas en el panel Directivas de forma predeterminada. Estas directivas se crean mediante indicadores de riesgo y puntuaciones de riesgo del usuario como condiciones predefinidas. Se asigna una acción global a todas las directivas predeterminadas.

Nota

Las directivas que aparecen en su entorno pueden variar en función de cuándo comenzó a usar Citrix Analytics y de si ha realizado algún cambio local.

Para obtener más información, consulte Qué son las directivas.

Puede utilizar las siguientes directivas predeterminadas o modificarlas según sus requisitos:

Nombre de directiva Condición Origen de datos Acción
Explotación de credenciales correcta Cuando se activan los errores de autenticación excesivos y los indicadores de riesgo de inicios de sesión sospechosos Citrix Gateway Bloquear usuario
Exfiltración potencial de datos Cuando se activa el indicador de riesgo filtración de datos potencial Citrix Virtual Apps and Desktops y Citrix DaaS Cerrar sesión usuario
Acceso inusual desde una IP sospechosa Cuando se activan los indicadores de riesgo de inicios de sesión sospechosos e inicios de sesión sospechosos desde direcciones IP sospechosas Citrix Gateway Bloquear usuario
Acceso por primera vez desde el dispositivo Cuando se activa el indicador de riesgo CVAD: acceso por primera vez desde un dispositivo nuevo Citrix Virtual Apps and Desktops y Citrix DaaS Solicitud de respuesta del usuario final
Trayecto imposible al acceder Cuando se activa el indicador de riesgo de trayecto imposible. Citrix Virtual Apps and Desktops y Citrix DaaS Solicitud de respuesta del usuario final
Trayecto imposible al autenticarse Cuando se activa el indicador de riesgo de trayecto imposible. Citrix Gateway Solicitud de respuesta del usuario final
Evaluación continua del riesgo