Evaluación continua del riesgo

Un mayor uso de dispositivos informáticos portátiles e Internet permite a los usuarios de Citrix Workspace trabajar desde casi cualquier ubicación y en cualquier dispositivo. El desafío con esta flexibilidad es que el acceso remoto expone los datos sensibles a riesgos de seguridad a través de actividades delictivas cibernéticas como la exfiltración de datos, el robo, el vandalismo y las interrupciones del servicio. También es probable que los empleados de las organizaciones contribuyan a este daño.

Algunas formas convencionales de abordar estos riesgos son implementar autenticación multifactor, sesiones de inicio de sesión breves, etc. Aunque estos métodos de evaluación de riesgos garantizan un mayor nivel de seguridad, no proporcionan una seguridad completa después de la validación inicial de los usuarios. Si un usuario malintencionado tiene éxito en obtener acceso a la red, hace un uso indebido de los datos confidenciales que son perjudiciales para una organización.

Para mejorar el aspecto de seguridad y garantizar una mejor experiencia de usuario, Citrix Analytics introduce la solución de evaluación continua de riesgos. Esta solución protege sus datos tanto de los ciberdelincuentes externos como de los usuarios maliciosos al asegurarse de que la exposición al riesgo del usuario de Citrix Virtual Apps and Desktops sigue siendo la misma que cuando se verifica durante la etapa inicial, sin necesidad de que el usuario lo demuestre cada vez. Esta solución se logra evaluando continuamente un evento arriesgado durante una sesión y aplicando automáticamente acciones para evitar que los recursos de la organización sigan usándose.

Evaluación continua del riesgo

Casos de uso

Considere a un usuario Adam Maxwell, que pudo acceder a una red por primera vez después de varios intentos fallidos de inicio de sesión desde una ubicación inusual que es contraria a su comportamiento habitual. Además, la ubicación tiene un historial de ataques cibernéticos. En este caso, se requiere que tomes medidas inmediatas para evitar que la cuenta de Adán siga siendo malversada. Puede bloquear la cuenta de Adam y notificarle la acción tomada. Esta acción puede crear temporalmente interrupciones del servicio en la cuenta del usuario. El usuario puede ponerse en contacto con el administrador para obtener ayuda para restaurar la cuenta.

Considere otro caso en el que Adam ha accedido a una red desde un nuevo dispositivo y desde una nueva IP por primera vez. Puede ponerse en contacto con Adam pidiéndole confirmar si identifica esta actividad. Si es así, podría ser que Adam ha cambiado su dispositivo de trabajo y está trabajando desde su red doméstica. Esta actividad no causa ningún daño a la seguridad de su organización y puede ignorarse. Sin embargo, si el usuario no realizó esta actividad, es probable que la cuenta se haya visto comprometida. En este caso, puede bloquear la cuenta del usuario para evitar cualquier daño adicional.

Funciones principales

La evaluación continua de riesgos automatiza algunas de las funcionalidades asociadas con las directivas y los paneles de visibilidad:

Soporta múltiples condiciones

Al crear o modificar una directiva, puede agregar hasta cuatro condiciones. Las condiciones pueden contener combinaciones de indicadores de riesgo por defecto e indicadores de riesgo personalizados, puntuaciones de riesgo de usuario o ambos.

Para obtener más información, consulte ¿Qué son las directivas?.

Notificar a los usuarios antes de aplicar acciones

Antes de aplicar una acción apropiada en la cuenta de un usuario, puede notificar al usuario y evaluar la naturaleza de una actividad inusual que se ha detectado.

Para obtener más información, consulte Solicitar respuesta del usuario.

Notificar a los usuarios después de aplicar acciones

Para algunas actividades, esperar la respuesta del usuario antes de aplicar una acción puede poner en riesgo la cuenta del usuario y la seguridad de su organización. En tales casos, puede aplicar una acción disruptiva cuando detecta una actividad inusual y notificar al usuario acerca de la misma.

Para obtener más información, consulte Notificar al usuario después de aplicar la acción disruptiva.

Modos de aplicación y supervisión

Puede establecer directivas en modos de aplicación o supervisión en función de sus requisitos. Las directivas en modo de aplicación tienen un impacto directo en las cuentas de los usuarios. Sin embargo, si quiere evaluar el impacto o el resultado de las directivas antes de implementarlas, puede configurar las directivas para el modo de supervisión.

Para obtener más información, consulte Modelos compatibles.

Visibilidad de los paneles de acceso y directivas

Con el panel Resumen de acceso, puede obtener información sobre el número de intentos de acceso realizados por los usuarios. Para obtener más información, consulte Resumen de acceso.

Mediante el panel Directivas y acciones, puede obtener información sobre las directivas y acciones aplicadas en las cuentas de usuario. Para obtener más información, consulte Directivas y acciones.

Directivas predeterminadas

Citrix Analytics introduce directivas predefinidas que están habilitadas en el panel de directivas de forma predeterminada. Estas directivas se crean mediante el uso de indicadores de riesgo y puntuaciones de riesgo de usuario como condiciones predefinidas. Se asigna una acción global a cada directiva predeterminada.

Para obtener más información, consulte ¿Qué son las directivas?.

Puede utilizar las siguientes directivas predeterminadas o modificarlas según sus requisitos:

Nombre de directiva Condición Origen de datos Acción
Explotación de credenciales correcta Cuando se activan los indicadores de riesgo de errores de autenticación excesivos, acceso por primera vez desde la nueva ubicación y errores de autorización excesivos Citrix Gateway Bloquear usuario
Exfiltración potencial de datos Cuando se activa el indicador de riesgo de exfiltración de datos potenciales Citrix Virtual Apps and Desktops Cerrar sesión usuario
Acceso inusual desde una IP sospechosa Cuando se activan el acceso por primera vez desde una nueva ubicación y el inicio de sesión desde indicadores de riesgo de IP sospechosos Citrix Gateway Bloquear usuario
Acceso inusual a aplicaciones desde una ubicación inusual Cuando se activan los indicadores de riesgo de tiempo inusual de acceso a la aplicación y acceso por primera vez desde una nueva ubicación Citrix Virtual Apps and Desktops y Citrix Gateway Bloquear usuario
Usuario de bajo riesgo: Acceso por primera vez desde la nueva IP Cuando se activa el primer acceso desde el nuevo indicador de riesgo IP para un usuario cuya puntuación de riesgo es inferior a 70 Citrix Gateway Solicitar respuesta del usuario
Acceso por primera vez desde el dispositivo Cuando se activa el indicador de riesgo por primera vez desde el nuevo dispositivo Citrix Virtual Apps and Desktops Solicitar respuesta del usuario

Evaluación continua del riesgo