Citrix Analytics para la seguridad

Evaluación continua del riesgo

Un mayor uso de dispositivos informáticos portátiles e Internet permite a los usuarios de Citrix Workspace trabajar desde casi cualquier ubicación y en cualquier dispositivo. El desafío de esta flexibilidad es que el acceso remoto expone los datos confidenciales a riesgos de seguridad a través de actividades cibernéticas como la exfiltración de datos, el robo, el vandalismo y las interrupciones del servicio. También es probable que los empleados de las organizaciones contribuyan a este daño.

Algunas formas convencionales de abordar estos riesgos son implementar autenticación multifactor, sesiones de inicio de sesión breves, etc. Aunque estos métodos de evaluación de riesgos garantizan un mayor nivel de seguridad, no proporcionan una seguridad completa tras la validación inicial de los usuarios. Si un usuario malintencionado consigue acceder a la red, hace un mal uso de los datos confidenciales que son perjudiciales para una organización.

Para mejorar el aspecto de la seguridad y garantizar una mejor experiencia de usuario, Citrix Analytics presenta la solución de evaluación continua de riesgos. Esta solución protege sus datos tanto de los ciberdelincuentes externos como de los intrusos malintencionados al garantizar que la exposición al riesgo del usuario de Citrix Virtual Apps and Desktops siga siendo la misma que cuando se verificó durante la etapa inicial, sin necesidad de que el usuario lo demuestre en todo momento. Esta solución se logra evaluando continuamente un evento de riesgo durante una sesión y aplicando acciones automáticamente para evitar que los recursos de la organización se utilicen de forma incorrecta.

Evaluación continua del riesgo

Casos de uso

Piense en un usuario Adam Maxwell, que pudo acceder a una red por primera vez tras varios intentos fallidos de inicio de sesión desde una ubicación inusual que es contraria a su comportamiento habitual. Además, la ubicación tiene un historial de ataques cibernéticos. En este caso, debes tomar medidas inmediatas para evitar que la cuenta de Adam se use indebidamente. Puede bloquear la cuenta de Adam y notificarle sobre la acción tomada. Esta acción podría crear interrupciones del servicio temporalmente en la cuenta del usuario. El usuario puede ponerse en contacto con el administrador para que le ayude a restaurar la cuenta.

Considere otro caso en el que Adam ha accedido a una red desde un dispositivo nuevo y desde una nueva IP por primera vez. Puede ponerte en contacto con Adam para confirmar si identifica esta actividad. Si es así, puede ser que Adam haya cambiado su dispositivo de trabajo y esté trabajando desde su red doméstica. Esta actividad no daña la seguridad de su organización y se puede ignorar. Sin embargo, si el usuario no realizó esta actividad, es probable que la cuenta se haya visto comprometida. En este caso, puede bloquear la cuenta del usuario para evitar daños adicionales.

Funciones principales

La evaluación continua de riesgos automatiza algunas de las funcionalidades asociadas con las directivas y los paneles de control de visibilidad:

Soporta múltiples condiciones

Al crear o modificar una directiva, puede agregar hasta cuatro condiciones. Las condiciones pueden contener combinaciones de indicadores de riesgo de incumplimiento e indicadores de riesgo personalizados, puntuaciones de riesgo del usuario o ambos.

Para obtener más información, consulte Qué son las directivas.

Notificación a los usuarios antes de aplicar acciones

Antes de aplicar una acción adecuada en la cuenta de un usuario, puede notificarlo y evaluar la naturaleza de una actividad inusual detectada.

Para obtener más información, consulte Solicitar respuesta del usuario.

Notificar a los usuarios tras aplicar acciones

En algunas actividades, esperar la respuesta del usuario antes de aplicar una acción puede poner en riesgo la cuenta del usuario y la seguridad de su organización. En estos casos, puede aplicar una acción disruptiva cuando detecta una actividad inusual y notificar al usuario sobre la misma.

Para obtener más información, consulte Notificar al usuario después de aplicar una acción disruptiva.

Modos de aplicación y supervisión

Puede establecer directivas para los modos de cumplimiento o supervisión en función de sus requisitos. Las directivas en modo de aplicación tienen un impacto directo en las cuentas de los usuarios. Sin embargo, si quiere evaluar el impacto o el resultado de sus directivas antes de implementarlas, puede configurar las directivas en modo de supervisión.

Para obtener más información, consulte Modos compatibles.

Visibilidad de los paneles de control de directivas y acceso

Con el panel Resumen de acceso, puede obtener información sobre el número de intentos de acceso realizados por los usuarios. Para obtener más información, consulte Resumen de acceso.

Mediante el panel Directivas y acciones, puede obtener información sobre las directivas y acciones aplicadas en las cuentas de usuario. Para obtener más información, consulte Directivas y acciones.

Directivas predeterminadas

Citrix Analytics introduce directivas predefinidas que están habilitadas en el panel Directivas de forma predeterminada. Estas directivas se crean mediante indicadores de riesgo y puntuaciones de riesgo del usuario como condiciones predefinidas. Se asigna una acción global a todas las directivas predeterminadas.

Para obtener más información, consulte Qué son las directivas.

Puede utilizar las siguientes directivas predeterminadas o modificarlas según sus requisitos:

Nombre de directiva Condición Origen de datos Acción
Explotación de credenciales correcta Cuando se activan los indicadores de riesgo de errores de autenticación excesivos y acceso desde una ubicación inusual Citrix Gateway Bloquear usuario
Exfiltración potencial de datos Cuando se activa el indicador de riesgo filtración de datos potencial Citrix Virtual Apps and Desktops Cerrar sesión usuario
Acceso inusual desde una IP sospechosa Cuando se activan los indicadores de riesgo de acceso desde una ubicación inusual e inicio de sesión desde IP sospechosa Citrix Gateway Bloquear usuario
Usuario de bajo riesgo: acceso por primera vez desde una nueva IP Cuando se activa el Gateway: acceso por primera vez desde un nuevo indicador de riesgo IP para un usuario cuya puntuación de riesgo es inferior a 70 Citrix Gateway Solicitar respuesta del usuario
Acceso por primera vez desde el dispositivo Cuando se activa el indicador de riesgo CVAD: acceso por primera vez desde un dispositivo nuevo Citrix Virtual Apps and Desktops Solicitar respuesta del usuario
Acceso inusual a aplicaciones desde una ubicación inusual Cuando se activan los indicadores de riesgo de tiempo inusual de acceso a las aplicaciones (virtual/SaaS) y acceso desde una ubicación inusual Citrix Virtual Apps and Desktops y Citrix Gateway Bloquear usuario

Nota

Para la directiva Acceso a aplicaciones inusuales desde una ubicación inusual, no se puede cumplir la condición Tiempo inusual de acceso a las aplicaciones (virtual/SaaS) porque este indicador de riesgo está obsoleto. Si quiere seguir aplicando esta directiva, modifique esta condición con un indicador de riesgo diferente.

Evaluación continua del riesgo