Fiche technique : Protection des applications

Ces dernières années, nous avons assisté à une augmentation des attaques à l’avance par menaces persistantes (APT) dans toutes les industries. Au lieu d’une attaque type select & run (par exemple un ransomware), l’objectif des attaquants est de rester à l’intérieur de votre réseau et de rester inaperçus pendant une longue période. Selon une étude de FireEye, le temps de séjour moyen pour 2018 dans les Amériques est de 71 jours, de 177 jours dans la zone EMEA et de 204 jours dans la région APAC. Le rapport d’enquête 2019 sur les violations de données conclut que la plupart des failles de sécurité ont pris des mois, voire plus, à Cela donne aux attaquants un temps significatif pour poursuivre leur attaque, se propager, récolter des données sensibles et les exfiltrer avant qu’ils ne soient découverts (ou le cas échéant).

L’utilisateur final est largement considéré comme la pièce la plus faible sur la surface d’attaque d’une organisation. Il est devenu pratique courante pour les attaquants d’utiliser des méthodes sophistiquées pour tromper les utilisateurs pour qu’ils installent des logiciels malveillants sur leurs terminaux. Une fois installé, le logiciel malveillant peut collecter et exfiltrer silencieusement des données sensibles telles que les informations d’identification de l’utilisateur, les informations sensibles, la propriété intellectuelle de l’entreprise ou les données confidentielles. Avec l’augmentation des périphériques BYO et l’accès aux ressources de l’entreprise à partir de points de terminaison non gérés, les terminaux deviennent une surface de menace encore plus exposée. Avec de nombreux utilisateurs travaillant à domicile, le risque pour les organisations est accru en raison de la méfiance de l’appareil terminal.

Avec l’utilisation d’applications virtuelles et de postes de travail, une surface d’attaque des terminaux a été considérablement réduite : les données sont stockées de manière centralisée dans un datacenter et il est beaucoup plus difficile pour l’attaquant de les voler. La session virtuelle ne s’exécute pas sur le point de terminaison et les utilisateurs n’ont généralement pas l’autorisation d’installer des applications au sein de la session virtuelle. Les données de la session sont sécurisées dans le centre de données ou l’emplacement des ressources cloud. Toutefois, un point de terminaison compromis peut capturer les frappes de touches de session et les informations affichées sur le point de terminaison. Citrix offre aux administrateurs la possibilité de prévenir ces vecteurs d’attaque, à l’aide d’une fonctionnalité complémentaire appelée Protection des applications. Cette fonctionnalité permet aux administrateurs de Citrix Virtual Apps and Desktops (CVAD) d’appliquer des stratégies spécifiquement sur un ou plusieurs groupes de mise à disposition. Lorsque les utilisateurs se connectent à des sessions à partir de ces groupes de mise à disposition, le point de terminaison de l’utilisateur a soit la capture d’écran ou l’anti-journalisation des clés, soit les deux appliqués sur les terminaux.

Anti-journalisation des touches

Un keylogger est l’un des outils préférés de l’attaquant pour l’exfiltration des données, car il peut rester sur une machine infectée sans causer de dommages notables. Toutes les frappes saisies par l’utilisateur sont collectées, y compris les combinaisons nom d’utilisateur/mot de passe, numéros de cartes de crédit et données confidentielles. Les données récoltées s’exfiltrent ensuite silencieusement plus tard. Spyware/Keyloggers est couramment utilisé par les attaquants - c’est l’une des 3 meilleures variétés de logiciels malveillants présents dans les violations de sécurité.

Avec le chiffrement, l’anti-journalisation des touches de la protection de l’application altère le texte que l’utilisateur saisit pour les claviers physiques et à l’écran. La fonction anti-keylogging chiffre le texte avant que tout outil de journalisation de clés puisse y accéder à partir du niveau noyau ou OS. Un keylogger installé sur le point de terminaison client, lisant les données du système d’OS/pilote, capturerait charabia au lieu des frappes frappées par l’utilisateur.

Les stratégies de protection des applications sont actives non seulement pour les applications et les postes de travail publiés, mais aussi pour les boîtes de dialogue d’authentification Citrix Workspace. Votre Citrix Workspace est protégé à partir du moment où vos utilisateurs ouvrent la première boîte de dialogue d’authentification.

Stratégies de protection des applications Citrix anti-keylogging

Prévention de capture d’écran

La prévention de capture d’écran empêche une application de tenter de prendre une capture d’écran ou un enregistrement de l’écran au sein d’une application virtuelle ou d’une session de bureau. Le logiciel de capture d’écran ne serait pas en mesure de détecter le contenu dans la région de capture. La zone sélectionnée par l’application est grisée ou l’application ne capture rien à la place de la section d’écran qu’elle s’attend à copier. La fonction de prévention de capture d’écran à l’outil de capture et d’esquisse, capture d’écran, Maj+Ctrl+Imprimer l’écran sous Windows.

Stratégies de protection des applications Citrix Anti-capture d'écran

La protection s’étend aux fichiers provenant de Citrix Files ou de tout autre connecteur tel que Google Drive ou Microsoft OneDrive accessibles depuis l’application Citrix Workspace. Les applications sont également protégées contre les grattoirs d’écran.

Un autre cas d’utilisation pour la capture anti-écran est d’empêcher le partage de données sensibles dans une réunion virtuelle/applications de conférence Web (telles que GoToMeeting, Microsoft Teams ou Zoom). La mauvaise livraison (partage de données avec le mauvais destinataire ou publication de données à des publics non désirés) est une variété d’actions de menace courante qui frappe de nombreux secteurs. En 2019, les erreurs de livraison ont été l’une des principales sources d’incidents de sécurité dans le secteur de la santé. Vos données et applications sont protégées non seulement contre les menaces externes, mais aussi contre vos propres employés. Les acteurs internes ont été impliqués dans 34 % des incidents de sécurité en 2019, mais ce nombre est plus élevé dans certains secteurs (45 % dans l’éducation et 59 % dans le secteur de la santé).

Fonctionnement

Les politiques de protection des applications protègent les terminaux clients exécutant les systèmes d’exploitation Windows, Linux et macOS. Les stratégies de protection des applications fonctionnent en contrôlant l’accès à des appels d’API spécifiques du système d’exploitation sous-jacent, requis pour capturer des écrans ou des pressions de clavier. Les stratégies de protection des applications peuvent donc fournir une protection même contre les outils de piratage personnalisés et spécialement conçus. Cependant, à mesure que le système d’exploitation évolue, de nouvelles façons de capturer des écrans et des touches de journalisation peuvent émerger. Bien que Citrix continue d’identifier et d’aborder, Citrix ne peut pas garantir une protection complète dans des configurations et déploiements spécifiques.

Lorsqu’un utilisateur se connecte à StoreFront ou à Citrix Workspace, les capacités de sécurité du terminal sont évaluées et comparées aux ressources disponibles. Les applications et postes de travail protégés par les stratégies de protection des applications ne sont visibles que si un point de terminaison répond aux exigences de sécurité. L’une de ces exigences consiste à vérifier si les composants de protection des applications sont installés.

Diagramme de protection des applications

On suppose souvent que vous devez sacrifier l’expérience utilisateur pour obtenir une meilleure sécurité. Les stratégies de protection des applications sont mises en œuvre de manière transparente pour les utilisateurs finaux :

  • Les ressources protégées sont masquées aux utilisateurs s’ils ne peuvent pas y accéder car le client ne prend pas en charge les stratégies de protection des applications
  • La capture anti-écran est activée uniquement lorsqu’une fenêtre protégée est à l’écran (les utilisateurs peuvent la réduire s’ils doivent prendre une capture d’écran de la fenêtre non protégée)
  • La protection anti-journalisation des touches est activée uniquement lorsque la fenêtre protégée est en focus

Résumé

Les stratégies de protection des applications peuvent aider à protéger les données d’application contre les attaquants qui ont installé subrepticement un keylogger ou des outils de capture d’écran ou les deux sur les terminaux. Les stratégies de protection des applications permettent aux entreprises d’adopter le BYODet d’étendre les ressources aux télétravailleurs, aux sous-traitants et aux travailleurs de l’économie à la demande. Pour en savoir plus sur la configuration des stratégies de protection des applications, les exigences spécifiques et la compatibilité, consultez notre documentation produit de protection des applications

Fiche technique : Protection des applications