Directivas de protección de aplicaciones

En los últimos años, hemos visto un aumento de los ataques por adelantado de amenazas persistentes (APT) en todas las industrias. En lugar de un ataque típico de selección y ejecución (por ejemplo, ransomware), el objetivo de los atacantes es permanecer dentro de la red y permanecer sin ser detectados durante un período prolongado. Según una investigación de FireEye, el tiempo medio de vida para 2018 en las Américas es de 71 días, la EMEA es de 177 días y el APAC es de 204 días. Informe de investigaciones de infracciones de datos 2019 concluye que la mayoría de las infracciones de seguridad tardaron meses o más en descubrirlas. Esto les da a los atacantes un tiempo significativo para continuar con su ataque, propagar, recoger datos confidenciales y exfiltrarlos antes de que sean descubiertos (o si lo hacen).

El usuario final es ampliamente considerado la pieza más débil en la superficie de ataque de una organización. Se ha convertido en una práctica común para los atacantes utilizar métodos sofisticados para engañar a los usuarios para que instalen malware en sus dispositivos de punto final. Una vez instalado, el malware puede recopilar y exfiltrar de forma silenciosa datos confidenciales, como credenciales del usuario, información confidencial, propiedad intelectual de la empresa o datos confidenciales. Con el aumento de los dispositivos BYO y el acceso a recursos corporativos desde dispositivos de punto final no administrados, los dispositivos de punto final se convierten en una superficie de amenazas aún más expuesta. Con muchos usuarios trabajando desde casa, el riesgo para las organizaciones aumenta debido a la falta de fiabilidad del dispositivo de punto final.

Con el uso de aplicaciones y escritorios virtuales, se ha reducido considerablemente una superficie de ataque de dispositivos de punto final: los datos se almacenan de forma centralizada en un centro de datos y es mucho más difícil para el atacante robarlos. La sesión virtual no se está ejecutando en el dispositivo de punto final y los usuarios generalmente no tienen permiso para instalar aplicaciones dentro de la sesión virtual. Los datos de la sesión son seguros en el centro de datos o en la ubicación de recursos en la nube. Sin embargo, un extremo comprometido puede capturar pulsaciones de teclas de sesión e información mostrada en el dispositivo de punto final. Citrix proporciona a los administradores la capacidad de prevenir estos vectores de ataque mediante una función complementaria llamada Protección de aplicaciones. Esta función permite a los administradores de Citrix Virtual Apps and Desktops (CVAD) aplicar directivas específicamente en uno o varios grupos de entrega. Cuando los usuarios se conectan a sesiones desde estos grupos de entrega, el dispositivo de punto final del usuario tiene una captura anti pantalla o anti-registro de teclas, o ambos se aplican en los dispositivos de punto final.

Antiregistro de teclas

Un keylogger es una de las herramientas favoritas del atacante para la exfiltración de datos, ya que puede permanecer en una máquina infectada sin causar ningún daño notable. Se recopilan todas las pulsaciones de teclas introducidas por el usuario, incluidas las combinaciones de nombre de usuario y contraseña, números de tarjetas de crédito y datos confidenciales. Los datos cosechados luego se exfiltra silenciosamente más adelante. Spyware/KeyLoggers es comúnmente utilizado por los atacantes: es una de las 3 principales variedades de malware que están presentes en las infracciones de seguridad.

Con el cifrado, el anti-keylogging de la protección de la aplicación hace gala el texto que el usuario está escribiendo tanto para teclados físicos como en pantalla. La función anti-keylogging cifra el texto antes de que cualquier herramienta de registro de teclas pueda acceder a él desde el nivel Kernel/OS. Un keylogger instalado en el punto final del cliente, leyendo los datos del controlador del OS/, capturaría galimatías en lugar de las pulsaciones de teclas que el usuario está escribiendo.

Las directivas de protección de aplicaciones están activas no solo para aplicaciones y escritorios publicados, sino también para los cuadros de diálogo de autenticación de Citrix Workspace. Citrix Workspace está protegido desde el momento en que los usuarios abren el primer cuadro de diálogo de autenticación.

Directivas de protección de Citrix App anti registro de claves

Captura anti pantalla

La captura anti pantalla impide que una aplicación intente tomar una captura de pantalla o una grabación de la pantalla dentro de una aplicación virtual o sesión de escritorio. El software de captura de pantalla no podría detectar contenido dentro de la región de captura. El área seleccionada por la aplicación aparece atenuada o la aplicación no captura nada en lugar de la sección de pantalla que espera copiar. La función anti captura de pantalla se aplica al recorte y boceto, herramienta de recorte, Mayús+Ctrl+Imprimir pantalla en Windows.

Directivas de protección de Citrix App anti captura de pantalla

La protección se extiende a los archivos desde Citrix Files o cualquier otro conector, como Google Drive o Microsoft OneDrive, a los que se accede desde la aplicación Citrix Workspace. Las aplicaciones están protegidas contra raspadores de pantalla, al igual que todas las microaplicaciones y sus notificaciones desde Workspace.

Otro caso de uso para la captura anti pantalla es impedir el uso compartido de datos confidenciales en aplicaciones de reuniones virtuales o conferencias web (como GoToMeeting, Microsoft Teams o Zoom). La mala entrega (compartir datos con el destinatario equivocado o publicar datos a audiencias no deseadas) es una variedad común de acciones de amenazas que afecta a muchas industrias. En 2019, la mala entrega ha sido una de las principales fuentes de incidentes de seguridad en el sector sanitario. Sus datos y aplicaciones están protegidos no solo de amenazas externas, sino también de sus propios empleados. Los actores internos han participado en el 34% de los incidentes de seguridad en 2019, pero este número es mayor en algunas industrias (45% en Educación y un gran 59% en Salud).

Cómo funciona

Las directivas de protección de aplicaciones protegen los puntos finales de cliente que ejecutan sistemas operativos Windows y macOS. Las directivas de protección de aplicaciones funcionan controlando el acceso a llamadas API específicas del sistema operativo subyacente, necesarias para capturar pantallas o pulsaciones de teclado. Por lo tanto, las directivas de protección de aplicaciones pueden proporcionar protección incluso contra herramientas personalizadas y diseñadas específicamente para hackers. Sin embargo, a medida que evolucionan los sistemas operativos, pueden surgir nuevas formas de capturar pantallas y claves de registro. Mientras Citrix continúa identificando y abordando, Citrix no puede garantizar una protección completa en configuraciones e implementaciones específicas.

Cuando un usuario inicia sesión en StoreFront, las capacidades de seguridad del dispositivo de punto final se evalúan y se comparan con los recursos disponibles. Las aplicaciones y escritorios protegidos por directivas de protección de aplicaciones solo son visibles si un dispositivo de punto final cumple los requisitos de seguridad. Uno de estos requisitos es comprobar si los componentes de protección de la aplicación están instalados.

Diagrama de protección de aplicaciones

A menudo se supone que tiene que sacrificar la experiencia del usuario para obtener una mejor seguridad. Las directivas de protección de aplicaciones se implementan de una manera que es perfecta para los usuarios finales:

  • Los recursos protegidos se ocultan a los usuarios si no pueden acceder a ellos porque el cliente no admite directivas de protección de aplicaciones
  • La captura anti pantalla solo se activa cuando una ventana protegida está en la pantalla (los usuarios pueden minimizarla si deben tomar capturas de pantalla de la ventana desprotegida)
  • La protección contra el registro de teclas solo está habilitada cuando la ventana protegida está en el foco

Resumen

Las directivas de protección de aplicaciones pueden ayudar a proteger los datos de las aplicaciones de atacantes que han instalado subrepticiamente un keylogger o herramientas de captura de pantalla o ambas en los dispositivos de punto final. Las directivas de protección de aplicaciones permiten a las empresas abrazar BYODy extender recursos a trabajadores remotoscontratistas y trabajadores de la economía de conciertos. Obtenga más información sobre la configuración de las directivas de protección de aplicaciones, los requisitos específicos y la compatibilidad en nuestra Documentación del producto de protección de aplicaciones

Directivas de protección de aplicaciones