技术简报:应用程序保护

近年来,我们看到所有行业的预先持续威胁 (APT) 攻击都有所增加。攻击者的目标是留在您的网络中并长时间保持未被检测到,而不是典型的选择和运行攻击(例如勒索软件)。根据FireEye的研究,2018年美洲的平均停留时间为71天,欧洲、中东和非洲地区为177天,亚太地区为204天。《 2019年数据泄露调查报告》 得出结论,大多数安全漏洞需要数月或更长时间才能发现。这为攻击者提供了很长的时间来继续攻击、传播、收集和在发现敏感数据之前(或者如果有的话)将其泄露。

最终用户被广泛认为是组织攻击面上最薄弱的部分。攻击者使用复杂的方法欺骗用户在终端上安装恶意软件已成为常见的做法。安装后,恶意软件可以静默地收集和泄露敏感数据,例如用户的凭据、敏感信息、公司的知识产权或机密数据。随着 BYO 设备的增加以及从非托管终端访问公司资源的增加,终端节点成为更加暴露的威胁面。由于许多用户在家工作,由于终端设备的不可信赖性,组织面临的风险会增加。

随着虚拟应用程序和桌面的使用,终端的攻击面已大大减少 —— 数据集中存储在数据中心,攻击者更难窃取数据。虚拟会话未在终端节点上运行,用户通常无权在虚拟会话中安装应用程序。会话中的数据在数据中心或云资源位置是安全的。但是,受攻击的终端节点可以捕获会话击键和端点上显示的信息。Citrix 使管理员能够使用名为 “应用程序保护” 的附加功能来防止这些攻击向量。该功能使 Citrix Virtual Apps and Desktops (CVAD) 管理员能够专门针对一个或多个交付组强制执行策略。当用户从这些交付组连接到会话时,用户的终端节点可以在终端节点上强制执行防屏幕捕获或反键盘记录,或两者都强制执行。

反键盘记录

键盘记录器是攻击者最喜欢的数据泄露工具之一,因为它可以留在受感染的机器上,而不会造成任何明显的损害。用户输入的所有击键都将被捕获,包括用户名/密码组合、信用卡号和机密数据。然后,收集的数据稍后会默默地泄露。Spyware /KeyLogger 通常被攻击者使用-它是安全漏洞中存在的三大恶意软件种类之一。

通过加密,应用程序防护的反键盘记录会消除用户为物理和屏幕键盘键入的文本。在任何键盘记录工具都可以从内核/操作系统级别访问文本之前,反键盘记录功能会对文本进行加密。安装在客户端端点上的键盘记录器从操作系统/驱动程序读取数据,将捕获 gibberish,而不是用户键入的击键。

应用程序保护策略不仅适用于已发布的应用程序和桌面,也适用于 Citrix Workspace 身份验证对话框。从用户打开第一个身份验证对话框的那一刻起,Citrix Workspace 就受到保护。

Citrix 应用程序保护策略反键盘记录

反屏幕捕获

反屏幕捕获可防止应用尝试在虚拟应用程序或桌面会话中截取屏幕截图或录制屏幕。屏幕捕获软件将无法检测到捕获区域内的内容。应用程序选择的区域显示为灰色,或者应用程序不捕获任何内容,而不是预期复制的屏幕部分。反屏幕捕获功能适用于在 Windows 上的剪辑和素描、截图工具、Shift+Ctrl+ 打印屏幕。

Citrix 应用程序保护策略反屏幕捕获

保护范围扩展到来自 Citrix Files 或任何其他连接器(如Google Drive 或Microsoft OneDrive)的文件 ,这些连接器可从 Citrix Workspace 应用程序中这些应用程序受到屏幕抓取程序的保护,Workspace中的所有微应用及其通知也是如此。

反屏幕捕获的另一个使用案例是防止在虚拟会议/网络会议应用程序(例如 GotoMETing、Microsoft Teams 或 Zoom)中共享敏感数据。错误交付(与错误的收件人共享数据或向意外受众发布数据)是困扰许多行业的常见威胁行动。在 2019 中,交付错误一直是医疗保健行业安全事件的主要来源。您的数据和应用程序不仅可以免受外部威胁,还可以免受员工的侵害。2019 年,内部行为者参与了 34% 的安全事件,但这一数字在某些行业更高(教育部门为 45%,医疗保健行业高达 59%)。

工作原理

应用程序保护策略可保护运行 Windows 和 macOS 操作系统的客户端终端。应用保护策略的工作原理是控制对捕获屏幕或键盘按键所需的底层操作系统的特定 API 调用的访问。因此,应用程序保护策略甚至可以针对自定义和专门构建的黑客工具提供保护。但是,随着操作系统的演变,捕获屏幕和日志密钥的新方法可能会出现。尽管 Citrix 继续识别和解决问题,但 Citrix 无法保证对特定配置和部署提供全面保护。

当用户登录 StoreFront 时,将根据可用资源评估终端节点的安全功能并进行匹配。仅当端点满足安全要求时,受应用保护策略保护的应用程序和桌面才可见。其中一项要求是检查是否安装了应用程序保护组件。

应用程序保护图

通常假设您必须牺牲用户体验才能获得更好的安全性。应用程序保护策略的实施方式对最终用户无缝:

  • 如果用户因为客户端不支持应用程序保护策略而无法访问受保护的资源,则用户将隐藏
  • 仅当受保护窗口位于屏幕上时才启用反屏幕捕获(如果用户必须截取未受保护窗口的屏幕截图,则可以将其最小化)
  • 仅当受保护窗口处于焦点时,才会启用反键盘记录保护

摘要

应用程序保护策略可以帮助保护应用程序数据免受在端点上秘密安装键盘记录器或屏幕捕获工具或两者的攻击者的攻击者的攻击。应用程序保护政策允许公司采用 自带设备,并将资源扩展到 远程员工、承包商和零工经济型员工。阅读我们的应用程序保护 产品文档,了解有关应用程序保护策略配置、特定要求和兼容性的更多信息

技术简报:应用程序保护