Olet tässä:
Kaavan poistaminen käytöstä raporttien hallinnasta
Organisaationlaajuinen asetus, joka poistaa Excel-kaavat raporttien vienneistä estämällä haitalliset kaava-injektiohyökkäykset, kun käyttäjät lataavat luottamuksellisia tietoja laskentataulukoina.
Ohjaimen nimi
Raporttien hallinta - Poista kaava käytöstä raportissa.
Ohjauksen yleiskatsaus
Organisaationlaajuinen asetus, joka poistaa Excel-kaavat raporttien vienneistä estämällä haitalliset kaava-injektiohyökkäykset, kun käyttäjät lataavat luottamuksellisia tietoja laskentataulukoina.
Kuvaus
Kun tämä on käytössä, Salesforce vie raportteja vain staattisina arvoina (ei =FORMULATEXT(), ei VBA-makroja), mikä estää hyökkääjiä upottamasta suoritettavaa koodia mukautettuihin kaavakenttiin, jotka suoritetaan avatessaan Excel/LibreOffice.
Suositeltu kokoonpano
Ota käyttöön ”Poista kaava käytöstä raportissa estääksesi kaavojen syöttämisen raportin tulokseen” -asetus raportti-/mittaristoasetuksista.
Tietoturvan vaikutus
Estää kaavaan perustuvan haittaohjelmiston jakelun ensisijaisen vektorin laillisten liiketoimintaraporttien avulla. Pakottaa turvalliset staattiset viennit suojelemaan alempia vastaanottajia automaattiselta koodin suoritukselta.
Liiketoiminnan vaikutus
Ylläpitää raporttien vientiominaisuuksia, mutta välttää Excel-makrojen suojausriskejä. Käyttäjien työnkulun muutoksia ei vaadita. Tukee vaatimustenmukaisuutta tietojen turvallista jakamista varten.
Tietoturvariski, jos ei määritetty
Käyttäjäraportit sisältävät kaava-injektion mahdollisen haavoittuvuuden, kun ne viedään Exceliin, mikä mahdollistaa haittaohjelmien toimituksen luotettujen yritysasiakirjojen kautta.
Uhkien skenaariot
Kaava-injektioiden hyökkäysten ja tietojen paljastamisen hyökkäysten riski on lisääntynyt. Raporttien vientioikeuksia käyttävät vaarantuneet käyttäjät upottavat pahantahtoisia kaavoja (=CMD('net user hacker password!/add') ja =HYPERLINK("javascript:malware()")) kaavakenttiin, jotka suoritetaan, kun johtajat ja rahoitustiimit avaavat viedyt CSV-tiedostot Excelissä.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Jokaisesta raportin viennistä tulee potentiaalinen haittaohjelmakenttä, joka vaikuttaa käyttäjien määrään ja raporttien jaon yleisyyteen. Lailliset monimutkaiset kaavat täytyy ottaa uudelleen käyttöön staattisina yhteenvetokenttinä.
Korkeampi riski, kun
Ulkoiset käyttäjät vievät raportteja, mukautetut kaavakentät sisältävät dynaamisia laskutoimia, sähköpostin/Experience Cloudin kautta jaetut raportit tai Excelin raskaat rahoitus-/myyntitiimit.
Matalan riskin milloin
Vain Salesforce-käyttöliittymässä tarkastellut raportit, ei mukautettuja kaavakenttiä, vain sisäiset käyttäjät, PDF-viennin valinta määritetty.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Ilmoita muutoksesta raportoitaville käyttäjille, tarkasta olemassa olevat kaavakentät ennen käyttöönottoa ja testaa kriittisiä raportteja sandbox-vienneissä.
Tietoturvan terveystarkastuksen ohjeet
Täytyy olla.
Kuka vaikuttaa
Raporttien rakentajat käyttävät kaavakenttiä, loppukäyttäjät vievät tietoja Exceliin, tietoturvatiimit valvovat vientikuvioita ja vaatimustenmukaisuusvirkailijat vahvistavat tietojen turvalliset jakoasetukset.
