Usted está aquí:
Configurar políticas de OAuth: Especificar perfiles/conjuntos de permisos para acceder a aplicaciones cliente externas
Estos parámetros de seguridad restringen el acceso a la aplicación y la visibilidad del Iniciador de aplicación a un subconjunto específico de usuarios al requerir una autorización previa administrativa explícita a través de perfiles y conjuntos de permisos asignados.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Los usuarios aprobados por el administrador están previamente autorizados para Aplicaciones cliente externas y Especificar conjuntos de perfiles/permisos para acceder a Aplicaciones cliente externas
Configuración recomendada
Autorizar previamente el acceso a la aplicación de usuario a través de políticas de aplicación cliente externas: seleccione Los usuarios aprobados por el administrador se han autorizado previamente.
Configure una aplicación cliente externa para mostrar en el Iniciador de aplicación: seleccione Los usuarios aprobados por el administrador están previamente autorizados y especifique los perfiles y conjuntos de permisos autorizados.
Descripción general de control
Estos parámetros de seguridad restringen el acceso a la aplicación y la visibilidad del Iniciador de aplicación a un subconjunto específico de usuarios al requerir una autorización previa administrativa explícita a través de perfiles y conjuntos de permisos asignados.
Riesgo de seguridad si no está configurado
La ausencia de autorización previa aprobada por el administrador y conjuntos de permisos definidos conducen a una supervisión reducida y a la identificación no autorizada de herramientas organizativas confidenciales, lo que aumenta el posible radio de explosión de una aplicación comprometida.
Escenarios de amenazas
Un usuario no autorizado o una cuenta comprometida identifica y dirige una herramienta financiera confidencial en el Iniciador de aplicación que era visible de forma global, recopilando más tarde datos porque la plataforma carecía de restricciones administrativas de aprobación previa.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
El hecho de no restringir el acceso a las aplicaciones facilita la proliferación de puntos de acceso a los datos no gestionados y permite a los agentes malintencionados realizar reconocimientos internos para trazar el ecosistema de software de la organización para su posible explotación.
Riesgo más alto cuando
Cuando la aplicación proporciona acceso a datos regulados y está visible para toda la plantilla de trabajo independientemente de su función funcional o estado de necesidad de saber verificado.
Bajo riesgo cuando
Si la empresa aplica un modelo de visibilidad restrictivo donde las herramientas solo se proporcionan a los usuarios después de una revisión de seguridad formal y la asignación de un conjunto de permisos específico.
Consideraciones comerciales y de integración
La implementación de estos controles garantiza que solo las aplicaciones examinadas sean accesibles, aunque requiere un proceso administrativo establecido para gestionar el ciclo de vida de asignaciones de conjuntos de permisos y perfiles para la base de usuarios.
Remediación recomendada
Vaya a Políticas de OAuth para la aplicación cliente externa, seleccione Los usuarios aprobados por el administrador están previamente autorizados y luego agregue explícitamente los perfiles y conjuntos de permisos autorizados a la política.
Directrices de revisión del estado de seguridad
Security Health Review identifica la autorización previa administrativa como un estándar altamente recomendado para mantener el control centralizado sobre el ecosistema de aplicaciones y evitar el descubrimiento no autorizado de herramientas comerciales confidenciales.
