Článek přečtěte do 7 min.

Citrix jako lídr v poskytování bezpečných hybridních pracovních prostředí prostřednictvím svých špičkových produktů virtualizace, zabezpečeného soukromého přístupu a poskytování aplikací. Po desetiletí umožňujeme organizacím dosáhnout provozní flexibility při zachování robustních bezpečnostních standardů. Nedávný závazek agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) Secure by Design Pledge nejen posiluje dlouhodobou misi v oblasti bezpečnosti, ale také poskytuje příležitost prokázat závazek začlenit bezpečnost jako základní prvek životního cyklu produktu.

Spojením se s touto iniciativou po boku více než 200 kolegů v oboru se Citrix zavazuje poskytovat měřitelná bezpečnostní vylepšení a dále posilovat důvěru zákazníků v produkty. V tomto příspěvku se podělíme o to, jak Citrix plní cíle závazku, a nastíníme komplexní strategii pro dosažení Secure by Design, šité na míru jedinečným výzvám a příležitostem, které představují virtuální desktopy, poskytování aplikací a správa koncových bodů.

Všech sedm cílů Secure by Design je důležitými bezpečnostními prvky pro zlepšení celkového stavu zabezpečení produktu a postupů pro podniky. Pro Citrix tento závazek staví na zavedených postupech a hladce se shoduje s vizí poskytování bezpečných, škálovatelných a uživatelsky zaměřených podnikových produktů. Závazek zahrnuje použitelné závazky, včetně odstranění výchozích hesel, implementace vícefaktorové autentizace (MFA) ve výchozím nastavení, snížení tříd zranitelnosti, vylepšení bezpečnostních záplat a posílení kultury odpovědnosti. To hluboce rezonuje vzhledem k technickým a provozním složitostem produktů, které slouží jako páteř hybridních pracovních sil po celém světě.

V kontextu virtuálních desktopů Citrix upřednostnil posílení své platformy Virtual Apps a Desktops, aby preventivně čelil vznikajícím hrozbám. To zahrnuje zabudování bezpečnostních kontrol, které zmírňují rizika spojená se vzdáleným přístupem, jako je neoprávněný přístup k relaci nebo únik dat, a zároveň zajišťují bezproblémovou použitelnost pro koncové uživatele. Pro poskytování aplikací vylepšujeme řešení Citrix Gateway a Secure Private Access, aby prosadili nejméně privilegovaný přístup a integrovali pokročilé schopnosti detekce hrozeb s důrazem na omezení zneužitelných útočných ploch.

Strategie pro splnění slibu Secure by Design Pledge je záměrná i prozíravá. Bezpečným řešením specifických požadavků virtualizovaných prostředí a hybridních pracovních modelů Citrix nejen plní výzvu CISA k akci, ale také nastavuje měřítko pro dokonalost zabezpečení v tomto odvětví.

Autentizace

V hybridních pracovních prostředích, kde se uživatelé připojují k aplikacím a desktopům z celé řady koncových bodů, zůstávají útoky založené na pověření, jako je phishing, významným a trvalým rizikem. Aby Citrix dosáhl souladu s Secure by Design Pledge, zejména s jeho cílem umožnit MFA ve výchozím nastavení, posouvá přijetí MFA na klíčové platformy, včetně Citrix Virtual Apps a Desktops. Přístup se zaměřuje na zjednodušení vynucení MFA jak pro administrativní konzoly, tak pro relace koncových uživatelů, se strategickým záměrem zavést MFA jako výchozí ověřování všude, kde je to možné. Citrix navíc upřednostňuje možnosti MFA odolné proti phishingu, jako jsou přístupové klíče FIDO2, aby dále posílil zabezpečení a zároveň zachoval bezproblémový uživatelský zážitek. Toho dosahujeme bezproblémovou integrací s poskytovateli identity založenými na standardech (IdP) prostřednictvím protokolů, jako je SAML 2.0 a OpenID Connect. Tato vylepšení přímo podporují cíl Secure by Design snížit rizika související s autentizací tím, že zajišťují, že robustní, vícevrstvá autentizace je základní součástí  produktového ekosystému.

Stejně tak zásadní pro rámec Secure by Design je odstranění výchozích hesel, která představují trvalou zranitelnost při nasazení technologií.

Během procesu registrace vynucujeme změnu hesla, aby zajistili, že každé nasazení začíná bezpečným základem. Pracovní postupy vyzve administrátory, aby překonfigurovali přihlašovací údaje ihned po instalaci a začlenili zabezpečení do nejranějších fází používání produktu. Tato opatření jsou v souladu s cílem vymýtit výchozí hesla, omezit povrchy útoků a podporovat u zákaznické základny myšlení v první řadě na zabezpečení.

Třída eliminace zranitelnosti

Virtualizační a síťová řešení, jako jsou ta, která poskytuje Citrix, jsou ze své podstaty vystavena systémovým rizikům, včetně eskalace oprávnění (CWE-269) a poškození paměti (CWE-119). V souladu se smlouvou Secure by Design Pledge, konkrétně jejím cílem eliminovat celé třídy zranitelností, Citrix začleňuje robustní bezpečnostní postupy do životního cyklu vývoje, aby proaktivně čelil těmto hrozbám. V rámci bezpečného životního cyklu vývoje (SDLC) využívají pokročilé komerční běžně dostupné nástroje a skripty vyvinuté na míru k detekci a nápravě těchto tříd zranitelností. Aby se vypořádal s problémy s poškozením paměti, jako je přetečení vyrovnávací paměti, Citrix přijímá paradigmata programování bezpečného pro paměť, implementuje ochranu v době kompilace a posílí je pomocí ochrany za běhu, kde je to možné. Tyto snahy se společně zaměřují na vymýcení širokých kategorií zranitelností v jejich kořenech, čímž se sníží plocha útoku napříč produktovým portfoliem. Citrix využívá komplexní a dobře zavedené postupy v rámci svého SDLC, aby zajistil integritu svých binárních souborů. Využitím kombinace různých statických a dynamických testovacích technik vytváří Citrix solidní základnu pro své softwarové komponenty. Tento přísný přístup se konkrétně zaměřuje na eliminaci různých tříd zranitelnosti včetně eskalace oprávnění, což je kritická třída bezpečnostních chyb, které by jinak mohly umožnit neoprávněným uživatelům získat zvýšený přístup a kontrolu v rámci systému.

Když je v komponentě produktu Citrix, jeho podpůrné infrastruktuře nebo souvisejících službách objevena významná zranitelnost, tým Citrixu pro zabezpečení produktu zahájí důslednou reakci v souladu s cílem systémové prevence. Tento proces začíná důkladnou analýzou hlavních příčin, aby se identifikovaly základní faktory přispívající k problému. Na základě těchto zjištění definujeme a upřednostňujeme preventivní opatření navržená tak, aby minimalizovala nebo eliminovala potenciál podobných zranitelností v budoucnu. Tým Citrix Product Security úzce spolupracuje s inženýrskými skupinami na integraci těchto bezpečnostních vylepšení do  vývojových a zaváděcích kanálů. Aby byl zajištěn trvalý pokrok a odpovědnost, je toto úsilí předmětem pravidelného dohledu a silného řízení, přičemž bezpečnostní a produktové vedení provádí kontroly pravidelně. Tato kadence umožňuje sledovat efektivitu iniciativ, identifikovat opakující se vzorce a podle toho zdokonalovat strategie. Systematickým řešením celých tříd zranitelností Citrix nejen plní závazek Secure by Design, ale také posiluje odolnost  virtualizačních a síťových řešení pro zákazníky.

Zásady zveřejnění chyb zabezpečení (VDP)

Několik základních prvků Secure By Design Pledge je v souladu se zavedenými osvědčenými postupy společnosti Citrix. Jasný příklad tohoto sladění je zřejmý na stránce Citrix Product Security Vulnerability Response, která slouží jako zdroj pro zákazníky a bezpečnostní výzkumníky. Toto podrobně popisuje proces reakce na zabezpečení produktu a nabízí podrobné popisy každé fáze. Zdůrazňuje také soulad Citrix s ISO/IEC 29147:2018, mezinárodní normou, která poskytuje pokyny, požadavky a doporučení pro zodpovědné odhalování zranitelností v produktech a službách.

Zdroj Vulnerability Response navíc nabízí praktické informace a pokyny k odhalení zranitelnosti, což je klíčový cíl Secure By Design Pledge. Zajišťuje transparentnost tím, že poskytuje průmyslu přímý způsob, jak kontaktovat tým pro řešení incidentů zabezpečení produktu (PSIRT) na adrese secure@cloud.com s dotazy, dotazy nebo nahlásit zranitelnost produktu. Tento proces je základem systému příjmu odezvy na bezpečnostní incidenty a doplňuje probíhající program odměn za chyby, posiluje oddanost transparentnosti a zaměření na dodávání a udržování bezpečných produktů pro zákazníky.

Jednou z oblastí zlepšení, o které aktivně usilujeme, je zveřejnění strojově čitelného popisu procesu odhalování zranitelnosti, jak doporučuje závazek. Toto vylepšení usnadní bezpečnostním výzkumníkům najít a porozumět postupům při zveřejňování, sníží potřebné úsilí a podpoří větší zapojení a spolupráci mezi bezpečnostní komunitou a týmy pro bezpečnost produktů. V současné době implementujeme tuto aktualizaci a její dokončení se očekává brzy po publikování blogu.

Secure by Design Pledge také podporuje zvýšenou interakci mezi organizacemi a veřejností prostřednictvím kanálů, jako jsou blogové příspěvky nebo jiné formy aktivního zapojení. Taková komunikace prospívá oběma stranám tím, že nastoluje otevřený dialog, který je kritickým základem pro efektivní řízení zranitelnosti.

Hlášení Common Weakness Enumeration

Citrix dodržuje konzistentní praxi zahrnutí polí Common Weakness Enumeration (CWE) do každé verze CVE pro své produkty, což je dlouhodobý osvědčený postup napříč produktovými řadami. Jasné a přesné výkazy CVE podporují zákazníky při bezpečné a efektivní správě produktů. Jako CVE Numbering Authority (CNA) tým Citrix Product Security vylepšuje své procesy, aby zajistil, že záznamy CVE pro všechny produkty Citrix obsahují přesná pole CWE a CPE, jako je propojení přetečení vyrovnávací paměti s CWE-120 a specifikace dotčených verzí pomocí identifikátorů CPE. Tyto informace poskytují zákazníkům stručné shrnutí a klasifikaci každé zranitelnosti, což usnadňuje lepší řízení rizik.

Kromě svých interních procesů tým Citrix Product Security aktivně podporuje partnerství s kolegy v oboru a bezpečnostními organizacemi, aby posílil kolektivní odolnost proti kybernetickým hrozbám. Prostřednictvím sdílení dat a strategií reakce skupina přispívá k širšímu ekosystému zpravodajství o hrozbách, z čehož mají prospěch nejen její zákazníci, ale i širší technologická komunita. Tento přístup založený na spolupráci doplňuje její roli CNA a umožňuje rychlejší identifikaci a zmírnění rizik napříč různými platformami.

Vzhledem k tomu, že zabezpečení produktů ve společnosti Citrix neustále postupuje a přizpůsobuje se vznikajícím a přetrvávajícím hrozbám, zůstáváme odhodláni sladit se s celosvětově uznávanými standardy a podporovat úsilí o všeobecné zlepšení osvědčených bezpečnostních postupů. Secure By Design Pledge představuje pevný základ a Citrix s nadšením přijímá tuto i budoucí příležitosti k neustálému zlepšování.

Důkazy o průniku

Zlepšení schopnosti zákazníků shromažďovat důkazy o průniku je zásadní pro podnikovou kybernetickou odolnost a Citrix v tomto dává zákazníkům možnost již léta. Produkty včetně Citrix Virtual Desktop and Applications a NetScaler (Application Delivery Controller, Gateway a Web Application Firewall) generují podrobné protokoly potřebné pro podporu efektivní detekce narušení a správy incidentů. Tyto protokoly zahrnují širokou škálu protokolů aplikací, syslogprotokoly auditu, protokoly správy, exporty AppFlow a IPFIX, síťové protokoly, které lze shromažďovat a předávat platformám SIEM, jako je Splunk, ELK nebo Microsoft Sentinel, pro centralizovanou správu a analýzu. ADC Console Analytics zlepšuje viditelnost tím, že agreguje události zabezpečení, detekuje anomálie a poskytuje v reálném čase přehled o vzorcích provozu a protokolech ověřování. Poskytuje také různé pohledy, konkrétně Web InsightHDX InsightGateway InsightSecurity Insight, SSL Insight.

Citrix poskytuje ochranu Web Application Firewall pro virtuální servery Gateway, virtuální servery pro řízení provozu a autentizační virtuální servery a chrání je před škodlivými útoky ověřováním příchozích požadavků pomocí schématu API. Citrix zajišťuje, že tyto poznatky zapadnou do širších pracovních postupů v oblasti zabezpečení a zvýší celkovou odolnost. Protokoly WAF mohou například odhalit vzorce útoků a pomáhají týmům vyladit obranu proti vyvíjejícím se hrozbám, jako je SQL injection, útoky s přetečením vyrovnávací paměti, vkládání příkazů, skriptování mezi weby a zero-day exploity. Navíc protokoly ověřování nFactor, sledování relací VPN a protokoly transakcí HTTP pomáhají identifikovat pokusy o neoprávněný přístup a anomálie chování.

To zákazníkům umožňuje rychle identifikovat narušení, porozumět jejich rozsahu a efektivně reagovat, což snižuje dopad kybernetických hrozeb.

Citrix: Posílení základů bezpečné hybridní budoucnosti

Komplexní portfolio Citrixu výrazně umožňuje sladit se – a dosáhnout – ambiciózních cílů nastíněných v příslibu. Nedávné akvizice a integrace těchto produktů, jako je deviceTRUST pro zajištění shody s koncovými body v reálném čase, a opevněná vývojová prostředí Strong Network, jsou příkladem neochvějného odhodlání výrazně snížit potenciální útoky v různých digitálních ekosystémech. Udržujeme akreditaci FedRAMP Moderate pro Citrix Cloud Government a Application Delivery Controller je certifikován, aby vyhovoval řadě obranných, federálních a podnikových bezpečnostních standardů, včetně Federálních standardů zpracování informací (FIPS), Common Criteria (CC) a seznamu schválených produktů pro informační síť Ministerstva obrany (DoDIN APL). Tyto certifikace odrážejí závazek Citrixu poskytovat bezpečné a interoperabilní produkty organizacím v obranném, federálním, státním a podnikovém sektoru. Pečlivě uplatňujeme tyto progresivní principy a špičkové metodiky, abychom zajistili robustní zabezpečení produktů a zajistili, že citlivá data zůstanou zabezpečena ve stále složitějším a propojeném hybridním prostředí.

Bezpečnost produktů Citrix: Pohled dopředu

Secure by Design Pledge slouží jako katalyzátor pro Citrix a motivuje tým Product Security k posílení a zvýšení bezpečnosti hybridních pracovních řešení. Začleněním těchto kritických bezpečnostních cílů do technického plánu zaujímáme progresivní přístup – předvídáme a neutralizujeme potenciální hrozby dříve, než se mohou objevit, spíše než aby reagovali až poté. Tento závazek umožňuje poskytovat bezpečné platformy, na které se zákazníci mohou s důvěrou spolehnout. Jak postupujeme kupředu, aktivně podporujeme a oceňujeme technickou zpětnou vazbu od uživatelské komunity a podporujeme spolupráci při zdokonalování úsilí. To zajišťuje, že zabezpečení není dodatečným nápadem, ale základním, vnitřním bezpečnostním prvkem zapečeným v každém aspektu nasazení Citrixu, od návrhu až po implementaci.

Pro další informace o produktech Citrix, nás neváhejte kontaktovat.

Citrix udržuje pro své zákazníky Trust Center, které poskytuje samoobslužný přístup k zásadám, postupům, bezpečnostním upozorněním a hodnotícím zprávám třetích stran (jako jsou audity bezpečnostních programů, penetrační testy a související artefakty). Citrix navíc provozuje externí bug bounty program, který výzkumníkům umožňuje zodpovědně odhalovat zranitelnosti a povzbuzovat externí bezpečnostní zprávy. Nakonec Citrix poskytuje zákazníkům podrobnosti o opravených zranitelnostech jako běžnou součást svých poznámek k vydání.

Zdroj: Citrix