Citrix Analytics for Security

Évaluation continue des risques

L’utilisation accrue des appareils informatiques portables et d’Internet permet aux utilisateurs de Citrix Workspace de travailler depuis presque n’importe quel endroit et sur n’importe quel appareil. Le défi de cette flexibilité réside dans le fait que l’accès à distance expose les données sensibles à des risques de sécurité par le biais d’activités cybercriminelles telles que l’exfiltration de données, le vol, le vandalisme et les interruptions de service. Les employés au sein des organisations sont également susceptibles de contribuer à ces dommages.

Certains moyens conventionnels de remédier à ces risques sont d’implémenter une authentification multifacteur, des sessions de connexion courtes, etc. Bien que ces méthodes d’évaluation des risques garantissent un niveau de sécurité plus élevé, elles ne fournissent pas une sécurité complète après la validation initiale des utilisateurs. Si un utilisateur malveillant parvient à accéder au réseau, il utilise à mauvais escient des données sensibles qui nuisent à une organisation.

Pour améliorer l’aspect sécurité et garantir une meilleure expérience utilisateur, Citrix Analytics introduit la solution d’évaluation continue des risques. Cette solution protège vos données à la fois des cybercriminels externes et des initiés malveillants en garantissant que l’exposition au risque des utilisateurs qui utilisent Citrix Virtual Apps and Desktops ou Citrix DaaS (anciennement le Citrix Virtual Apps and Desktops Service) reste la même qu’elle était lors de la vérification au cours de la phase initiale, sans demandant à l’utilisateur de le prouver à chaque fois. Cette solution est obtenue en évaluant en permanence un événement à risque au cours d’une session et en appliquant automatiquement des mesures pour empêcher toute utilisation abusive des ressources de l’organisation.

Évaluation continue des risques

Cas d’utilisation

Prenons l’exemple d’un utilisateur Adam Maxwell, qui a pu accéder à un réseau pour la première fois après plusieurs tentatives de connexion infructueuses à partir d’un emplacement inhabituel qui est contraire à son comportement habituel. De plus, l’emplacement a fait ses preuves en matière de cyberattaques. Dans ce scénario, vous devez prendre des mesures immédiates pour éviter que le compte d’Adam ne soit davantage utilisé à mauvais escient. Vous pouvez verrouiller le compte d’Adam et l’informer de l’action entreprise. Cette action peut entraîner temporairement des interruptions de service sur le compte de l’utilisateur. L’utilisateur peut contacter l’administrateur pour obtenir de l’aide pour restaurer le compte.

Imaginons un autre scénario dans lequel Adam accède pour la première fois à un réseau à partir d’un nouvel appareil et d’une nouvelle adresse IP. Vous pouvez contacter Adam pour lui demander de confirmer s’il identifie cette activité. Si c’est le cas, il se peut qu’Adam ait changé d’appareil de travail et qu’il travaille depuis son réseau domestique. Cette activité ne nuit pas à la sécurité de votre organisation et peut être ignorée. Toutefois, si l’utilisateur n’a pas effectué cette activité, il est probable que le compte ait été compromis. Dans ce scénario, vous pouvez verrouiller le compte de l’utilisateur pour éviter tout dommage supplémentaire.

Fonctionnalités principales

L’évaluation continue des risques automatise certaines des fonctionnalités associées aux stratégies et aux tableaux de bord de visibilité :

Prise en charge de plusieurs conditions

Lorsque vous créez ou modifiez une stratégie, vous pouvez ajouter jusqu’à quatre conditions. Les conditions peuvent contenir des combinaisons d’indicateurs de risque par défaut et d’indicateurs de risque personnalisés, de scores de risque utilisateur, ou les deux.

Pour plus d’informations, consultez la section Que sont les stratégies.

Informer les utilisateurs avant d’appliquer des actions

Avant d’appliquer une action appropriée sur le compte d’un utilisateur, vous pouvez informer l’utilisateur et évaluer la nature d’une activité inhabituelle détectée.

Pour plus d’informations, consultez Demander une réponse de l’utilisateur final.

Informer les utilisateurs après avoir appliqué des actions

Pour certaines activités, attendre la réponse de l’utilisateur avant d’appliquer une action peut mettre en danger le compte de l’utilisateur et la sécurité de votre organisation. Dans de tels scénarios, vous pouvez appliquer une action perturbatrice lorsque vous détectez une activité inhabituelle et que vous en informez l’utilisateur.

Pour plus d’informations, consultez la section Notifier l’utilisateur après avoir appliqué une action perturbatrice.

Modes d’application et de surveillance

Vous pouvez définir des stratégies sur des modes d’application ou de surveillance en fonction de vos besoins. Les politiques en mode d’application ont un impact direct sur les comptes des utilisateurs. Toutefois, si vous souhaitez évaluer l’impact ou le résultat de vos stratégies avant de les implémenter, vous pouvez définir vos stratégies en mode de surveillance.

Pour plus d’informations, consultez la section Modes pris en charge.

Visibilité des tableaux de bord d’accès et de stratégie

À l’aide du tableau de bord Access Summary, vous pouvez obtenir des informations sur le nombre de tentatives d’accès effectuées par les utilisateurs. Pour plus d’informations, consultez la section Résumé des accès.

À l’aide du tableau de bord Stratégies et actions, vous pouvez obtenir des informations sur les stratégies et les actions appliquées aux comptes d’utilisateurs. Pour plus d’informations, consultez la section Stratégies et actions.

Stratégies par défaut

Citrix Analytics introduit des stratégies prédéfinies qui sont activées par défaut dans le tableau de bord Stratégies . Ces stratégies sont créées en utilisant des indicateurs de risque et des scores de risque utilisateur comme conditions prédéfinies. Une action globale est attribuée à chaque stratégie par défaut.

Pour plus d’informations, consultez la section Que sont les stratégies.

Vous pouvez utiliser les stratégies par défaut suivantes ou les modifier en fonction de vos besoins :

Nom de la stratégie Condition Source de données Action
Exploitation réussie des informations d’identification Lorsque les indicateurs de risque d’échec d’authentification excessif et d’ ouverture de session suspecte sont déclenchés Citrix Gateway Verrouiller l’utilisateur
Exfiltration potentielle des données Lorsque l’indicateur de risque potentiel d’exfiltration de données est déclenché Citrix Virtual Apps and Desktops et Citrix DaaS Fermer la session utilisateur
Accès inhabituel à partir d’une adresse IP suspecte Lorsque les indicateurs de risque d’ouverture de session et d’ouverture de session suspects sont déclenchés Citrix Gateway Verrouiller l’utilisateur
Utilisateur à faible risque : premier accès à partir d’une nouvelle adresse IP Lorsque la passerelle - Premier accès à partir du nouvel indicateur de risque IP est déclenchée pour un utilisateur dont le score de risque est inférieur à 70 Citrix Gateway Demander une réponse de l’utilisateur final
Premier accès à partir de l’appareil Lorsque l’indicateur de risque CVAD - Premier accès à partir d’un nouvel appareil est déclenché Citrix Virtual Apps and Desktops et Citrix DaaS Demander une réponse de l’utilisateur final
Accès inhabituel aux applications à partir d’un emplacement inhabituel Lorsque le moment inhabituel d’accès aux applications (virtuel/SaaS) et les indicateurs de risque d’ouverture de session suspecte sont déclenchés Citrix Virtual Apps and Desktops et Citrix DaaS, Citrix Gateway Verrouiller l’utilisateur

Remarque

Pour la stratégie Accès inhabituel aux applications à partir d’un emplacement inhabituel, la condition Heure inhabituelle d’accès à l’application (virtuel/SaaS) ne peut pas être satisfaite car cet indicateur de risque est obsolète. Si vous souhaitez continuer à appliquer cette stratégie, modifiez cette condition avec un indicateur de risque différent.

Évaluation continue des risques