Controle o que cada um vê

Nome do controle

Controle de permissão

Configuração recomendada

• Permissões do usuário – Conjuntos de permissões | Permissões do aplicativo | Permissões do sistema
• Permissões de objeto – Acesso a objeto | Habilitar relatórios | Rastrear atividades | Rastrear histórico de campo
• Permissões de campo – Definir segurança em nível de campo – Visível | Somente leitura
• Revogar permissão – Configuração | Selecionar um usuário | Visualizar resumo | Gerenciar atribuições

Visão geral de controle

O Salesforce usa um modelo de segurança em camadas em que Permissões de objeto e campo definem a linha de base para acesso a dados (CRUD), enquanto Permissões administrativas, de usuário e personalizadas concedem funcionalidades específicas e autoridade no nível do sistema.

Para manter um ambiente seguro, essas permissões são gerenciadas por meio de Perfis e Conjuntos de permissões, permitindo que os administradores definam com precisão o escopo do usuário e usem mecanismos de revogação para remover o acesso imediatamente quando ele não for mais necessário ou se uma ameaça à segurança for identificada.

Risco de segurança, se não configurado

A falha na configuração adequada de permissões de objeto, campo e administrativas cria um risco significativo de acesso a privilégios e exposição de dados não autorizada, em que os usuários podem visualizar ou modificar registros comerciais confidenciais e configurações do sistema muito além de seus requisitos de trabalho. Contas comprometidas podem reter acesso persistente, levando a exfiltração de dados não autorizada.

Cenários de ameaça

Um intruso mal-intencionado que acessa por meio de uma conta comprometida e porque as permissões administrativas e no nível do objeto não foram estritamente gerenciadas ou revogadas na mudança de papel do usuário, o invasor silenciosamente exfila propriedade intelectual proprietária e registros financeiros confidenciais sem acionar alertas de segurança tradicionais.

Intervalo de pontuação de CVSS estimado

Crítico (9.0 a 10.0).

Considerações sobre impacto de risco

A gravidade do risco depende do tipo de usuário, do tamanho da população de usuários e do tipo de dados armazenados.

Risco maior quando

Quando os controles fundamentais para as permissões Objeto, Campo e Administrativo estão mal configurados, vários itens abaixo podem aumentar o risco, como falta de controle de acesso à API, excesso de permissão de Administrador do sistema, Modificar todos os dados e Visualizar todos os dados, falta de restrição de login de IP e permissão de exportação e geração de relatórios irrestritos.

Baixo ou Sem risco quando

Esse controle pode ser considerado de baixo risco quando um ou mais dos seguintes são implementados:

• Políticas de segurança da transação (Salesforce Shield): Crie políticas que acionem um desafio de MFA ou bloqueiem a ação totalmente se um usuário tentar uma atividade de alto risco, como exportar mais de um determinado número de registros ou acessar dados confidenciais de um endereço IP não reconhecido.
• Intervalos de IP de login e MFA: Ao impor Intervalos de IP de login no nível de perfil, garanta que os usuários possam acessar o sistema apenas de redes corporativas confiáveis (ou VPNs). Combinado com a autenticação multifator (MFA), isso reduz drasticamente o risco de ataques baseados em credencial.

Considerações de negócios e integração

Realize uma análise de impacto de negócios completa para garantir que a restrição do acesso ao objeto e ao campo não bloqueie inadvertidamente fluxos de trabalho cruciais entre departamentos ou faça integrações automatizadas de alta prioridade falharem.

Remediação recomendada

Implemente o princípio de privilégio mínimo ao atribuir permissões, realize revisão periódica para analisar e relatar permissões de usuário para identificar usuários "sobreprivilegiados".

Diretriz de revisão de saúde de segurança

N/A – atualmente não inspecionado pela ferramenta Análise de integridade de segurança.