技术简报:应用程序保护
近年来,我们看到所有行业的高级持续性威胁(APT)攻击都在增加。与典型的选择和运行攻击(例如勒索软件)不同,攻击者的目标是呆在您的网络中,并在很长一段时间内不被发现。根据FireEye的研究,2018年美洲的平均居住时间为71天,EMEA为177天,亚太地区为204天。2019年数据泄露调查报告结论是,大多数安全漏洞需要数月或更长时间才能发现。这给了攻击者大量的时间来继续他们的攻击,传播,收集敏感数据,并在他们被发现之前将其泄露出去。
最终用户通常被认为是组织攻击面上最薄弱的部分。攻击者使用复杂的方法欺骗用户在其端点上安装恶意软件已经成为一种常见的做法。一旦安装,恶意软件可以无声地收集和泄露敏感数据,如用户的凭据,敏感信息,公司的知识产权,或机密数据。随着BYO设备的增加以及企业资源从未受管理的端点访问,端点成为更加暴露的威胁面。由于许多用户在家工作,由于端点设备的不可信,组织面临的风险增加了。
随着虚拟应用程序和桌面的使用,端点的攻击面大大减少——数据集中存储在数据中心,攻击者更难窃取数据。虚拟会话没有在端点上运行,用户通常没有在虚拟会话中安装应用程序的权限。会话中的数据在数据中心或云资源位置是安全的。然而,一个受损的端点可以捕获会话击键和在端点上显示的信息。Citrix为管理员提供了防止这些攻击媒介的能力,使用了一个名为App保护的附加功能。该特性使Citrix虚拟应用程序和桌面(CVAD)管理员能够在一个或多个交付组上执行特定的策略。当用户从这些交付组连接到会话时,用户的端点要么具有防屏幕捕获功能,要么具有防键盘记录功能,或者在端点上执行这两种功能。
Anti-keylogging
键盘记录程序是攻击者最喜欢的数据泄露工具之一,因为它可以留在受感染的机器上而不会造成任何明显的损害。收集用户输入的所有击键信息,包括用户名/密码组合、信用卡号码和机密数据。收集到的数据随后会悄无声息地泄露出去。间谍软件/键盘记录器通常被攻击者使用-它是安全漏洞中存在的三大恶意软件之一。
通过加密,该应用程序的防键盘记录功能会对用户在物理键盘和屏幕键盘上输入的文本进行篡改。反键盘记录功能在任何键盘记录工具可以从内核/操作系统级别访问它之前对文本进行加密。安装在客户机端点上的键盘记录器从OS/驱动程序读取数据,将捕获乱码而不是用户键入的击键。
应用程序保护策略不仅对已发布的应用程序和桌面有效,对Citrix Workspace身份验证对话框也有效。从用户打开第一个身份验证对话框的那一刻起,您的Citrix工作区就受到保护。
防截屏
防屏幕截图防止应用程序试图在虚拟应用程序或桌面会话中截取屏幕截图或录制屏幕。屏幕捕获软件将无法检测捕获区域内的内容。应用程序选择的区域是灰色的,或者应用程序什么也没有捕获,而不是它期望复制的屏幕部分。防截屏功能适用于截屏和草图,截屏工具,Windows上的Shift+Ctrl+Print screen。
该保护扩展到来自的文件Citrix文件或任何其他连接器,如Google Drive或Microsoft OneDrive,可以从Citrix Workspace应用程序中访问。这些应用程序不受屏幕抓取的影响,工作区中的所有微应用程序及其通知也是如此。
防屏幕捕获的另一个用例是防止在虚拟会议/ web会议应用程序(如GoToMeeting, Microsoft Teams或Zoom)中共享敏感数据。错误交付(与错误的接收者共享数据或将数据发布给意外的受众)是困扰许多行业的常见威胁操作类型。在2019在美国,流产一直是医疗行业安全事件的主要来源。您的数据和应用程序不仅可以免受外部威胁,还可以免受您自己员工的威胁。2019年,内部行为者参与了34%的安全事件,但这一数字在某些行业更高(教育行业为45%,医疗行业高达59%)。
它是如何工作的?
应用程序保护策略保护运行Windows和macOS操作系统的客户端端点。应用程序保护策略通过控制对底层操作系统的特定API调用的访问来工作,这些调用需要捕获屏幕或键盘按压。因此,应用程序保护策略甚至可以针对定制和专门构建的黑客工具提供保护。然而,随着操作系统的发展,捕获屏幕和记录键的新方法可能会出现。在Citrix继续识别和解决问题的同时,Citrix不能保证在特定的配置和部署中提供全面的保护。
当用户登录到StoreFront时,端点的安全功能将根据可用资源进行评估和匹配。只有当终端满足安全要求时,应用保护策略保护的应用和桌面才可见。其中一个要求是检查是否安装了应用程序保护组件。
人们通常认为必须牺牲用户体验才能获得更好的安全性。应用程序保护策略以一种对最终用户无缝的方式实现:
- 当用户的客户端不支持App保护策略,无法访问受保护的资源时,将对用户隐藏
- 只有当受保护的窗口在屏幕上时才启用防屏幕捕获(如果用户必须对未受保护的窗口进行截图,则可以将其最小化)
- 只有当受保护的窗口处于焦点时,才启用防键盘记录保护
总结
应用程序保护策略可以帮助保护应用程序数据免受攻击者的攻击,这些攻击者在端点上秘密安装了键盘记录程序或屏幕捕获工具,或两者兼而有之。应用程序保护政策允许公司接受BYOD,并将资源扩展到远程工作者承包商和零工经济工人。有关应用程序保护策略配置、特定要求和兼容性的更多信息,请参阅我们的应用程序保护产品文档