Citrix Analytics for Security

Évaluation continue des risques

L’utilisation accrue des périphériques informatiques portables et d’Internet permet aux utilisateurs de Citrix Workspace de travailler à partir de presque n’importe quel emplacement et sur n’importe quel appareil. Le défi lié à cette flexibilité réside dans le fait que l’accès à distance expose les données sensibles à des risques de sécurité par le biais d’activités cybercriminelles telles que l’exfiltration de données, le vol, le vandalisme et les interruptions de service. Les employés au sein des organisations sont également susceptibles de contribuer à ce préjudice.

Certaines façons conventionnelles de faire face à ces risques sont d’implémenter l’authentification multifactorielle, de courtes sessions de connexion, etc. Bien que ces méthodes d’évaluation des risques assurent un niveau de sécurité plus élevé, elles ne fournissent pas une sécurité complète après la validation initiale des utilisateurs. Si un utilisateur malveillant réussit à accéder au réseau, il utilise à mauvais escient les données sensibles ce qui est nuisible à une organisation.

Pour améliorer l’aspect sécurité et garantir une meilleure expérience utilisateur, Citrix Analytics introduit la solution d’évaluation continue des risques. Cette solution protège vos données à la fois contre les cybercriminels externes et les initiés malveillants en veillant à ce que l’exposition aux risques de l’utilisateur Citrix Virtual Apps and Desktops reste la même qu’elle l’était lors de la vérification initiale, sans exiger de l’utilisateur qu’il le prouve à chaque fois. Cette solution est obtenue en évaluant en permanence un événement risqué au cours d’une session et en appliquant automatiquement des actions pour éviter que les ressources de l’organisation ne soient utilisées à mauvais escient.

Évaluation continue des risques

Cas d’utilisation

Considérez un utilisateur Adam Maxwell, qui a pu accéder à un réseau pour la première fois après plusieurs tentatives de connexion échouées à partir d’un emplacement inhabituel qui est contraire à leur comportement habituel. En outre, cet emplacement est connu pour être à l’origine de cyberattaques. Dans ce scénario, vous devez prendre des mesures immédiates pour éviter toute utilisation abusive du compte d’Adam. Vous pouvez verrouiller le compte d’Adam et l’informer des mesures prises. Cette action peut créer temporairement des interruptions de service pour le compte de l’utilisateur. L’utilisateur peut contacter l’administrateur pour obtenir de l’aide pour restaurer le compte.

Considérez un autre scénario où Adam a accédé à un réseau à partir d’un nouvel appareil et d’une nouvelle adresse IP pour la première fois. Vous pouvez contacter Adam pour confirmer s’il identifie cette activité. Si oui, il se peut qu’Adam ait changé son appareil de travail et travaille à partir de son réseau domestique. Cette activité ne nuit pas à la sécurité de votre organisation et peut être ignorée. Toutefois, si l’utilisateur n’a pas effectué cette activité, il est probable que le compte a été compromis. Dans ce scénario, vous pouvez verrouiller le compte de l’utilisateur pour éviter tout autre dommage.

Fonctionnalités principales

L’évaluation continue des risques automatise certaines fonctionnalités associées aux stratégies et tableaux de bord de visibilité :

Prise en charge de plusieurs conditions

Lorsque vous créez ou modifiez une stratégie, vous pouvez ajouter jusqu’à quatre conditions. Les conditions peuvent contenir des combinaisons d’indicateurs de risque par défaut et d’indicateurs de risque personnalisés, de scores de risque utilisateur, ou les deux.

Pour de plus amples informations, consultez Que sont les stratégies ?.

Notifier les utilisateurs avant d’appliquer des actions

Avant d’appliquer une action appropriée sur le compte d’un utilisateur, vous pouvez l’informer et évaluer la nature d’une activité inhabituelle qui a été détectée.

Pour de plus amples informations, consultez Demander réponse de l’utilisateur.

Notifier les utilisateurs après avoir appliqué des actions

Pour certaines activités, attendre la réponse de l’utilisateur avant d’appliquer une action peut mettre en péril le compte de l’utilisateur et la sécurité de votre organisation. Dans de tels scénarios, vous pouvez appliquer une action perturbatrice lorsque vous détectez une activité inhabituelle et en informer l’utilisateur.

Pour de plus amples informations, consultez Notifier l’utilisateur après avoir appliqué une action perturbatrice.

Modes d’application et de surveillance

Vous pouvez définir des stratégies en mode d’application ou de surveillance en fonction de vos besoins. Les stratégies en mode application ont un impact direct sur les comptes des utilisateurs. Toutefois, si vous souhaitez évaluer l’impact ou le résultat de vos stratégies avant de les mettre en œuvre, vous pouvez définir vos stratégies en mode de surveillance.

Pour de plus amples informations, consultez Modes pris en charge.

Visibilité dans les tableaux de bord d’accès et de stratégie

À l’aide du tableau de bord Récapitulatif des accès, vous pouvez obtenir des informations sur le nombre de tentatives d’accès effectuées par les utilisateurs. Pour de plus amples informations, consultez Récapitulatif des accès.

À l’aide du tableau de bord Stratégies et actions, vous pouvez obtenir des informations sur les stratégies et les actions appliquées aux comptes d’utilisateurs. Pour de plus amples informations, consultez Stratégies et actions.

Stratégies par défaut

Citrix Analytics introduit des stratégies prédéfinies activées par défaut dans le tableau de bord Stratégies. Ces politiques sont créées en utilisant des indicateurs de risque et des scores de risque des utilisateurs comme conditions prédéfinies. Une action globale est affectée à chaque stratégie par défaut.

Pour de plus amples informations, consultez Que sont les stratégies ?.

Vous pouvez utiliser les stratégies par défaut suivantes ou les modifier en fonction de vos besoins :

Nom de stratégie Condition Source de données Action
Exploitation réussie des informations d’identification Lorsque les indicateurs de risque d’échecs d’authentification excessifs, d’accès initial à partir d’un nouvel emplacementet d’échecs d’autorisation excessifs sont déclenchés Citrix Gateway Verrouiller l’utilisateur
Exfiltration potentielle des données Lorsque l’indicateur de risque Exfiltration potentielle des données est déclenché Citrix Virtual Apps and Desktops Fermer la session utilisateur
Accès inhabituel à partir d’une adresse IP suspecte Lorsque le premier accès à partir d’un nouvel emplacement et l’ ouverture de session à partir d’indicateurs de risque IP suspects sont déclenchés Citrix Gateway Verrouiller l’utilisateur
Accès inhabituel aux applications à partir d’un emplacement inhabituel Lorsque l’ heure inhabituelle d’accès à l’application et l’accèsà la première fois à partir de nouveaux indicateurs de risque de localisation sont déclenchés Citrix Virtual Apps and Desktops et Citrix Gateway Verrouiller l’utilisateur
Utilisateur à faible risque - accès pour la première fois à partir d’une nouvelle IP Lorsque l’indicateur de risque Accès pour la première fois à partir d’une nouvelle IP est déclenché pour un utilisateur dont le score de risque est inférieur à 70 Citrix Gateway Demander réponse de l’utilisateur
Premier accès à partir de l’appareil Lorsque l’indicateur de risque Premier accès à partir d’un nouvel appareil est déclenché Citrix Virtual Apps and Desktops Demander réponse de l’utilisateur

Évaluation continue des risques