위치:
보고서에서 수식 비활성화
보고서 내보내기에서 Excel 수식을 제거하는 조직 전체 설정으로 사용자가 중요한 데이터를 스프레드시트로 다운로드할 때 악성 수식 삽입 공격을 방지합니다.
제어 이름
보고서 관리 - 보고서에서 수식을 비활성화합니다.
제어 개요
보고서 내보내기에서 Excel 수식을 제거하는 조직 전체 설정으로 사용자가 중요한 데이터를 스프레드시트로 다운로드할 때 악성 수식 삽입 공격을 방지합니다.
상세 설명
활성화하면 Salesforce가 보고서를 정적 값으로만 내보냅니다(없음 =FORMULATEXT(), VBA 매크로 없음) Excel/LibreOffice에서 열릴 때 실행되는 사용자 정의 수식 필드에 실행 가능한 코드를 포함하지 못하도록 공격자를 차단합니다.
권장 구성
"보고서에서 수식 비활성화하여 보고서 출력에 수식 삽입 방지" - 보고서/대시보드 설정에서 설정을 활성화합니다.
보안 영향
합법적인 비즈니스 보고서를 통해 수식 기반 악성웨어 배포를 위한 기본 벡터를 제거합니다. 다운스트림 수신자를 자동 코드 실행으로부터 보호하는 안전한 정적 내보내기를 강제 적용합니다.
비즈니스 영향
Excel 매크로 보안 위험을 제거하면서 보고서 내보내기 기능을 유지합니다. 사용자 워크플로 변경은 필요하지 않습니다. 보안 데이터 공유에 대한 규정 준수 요구 사항을 지원합니다.
구성되지 않은 경우 보안 위험
사용자 보고서에 Excel로 내보낼 때 잠재적인 수식 삽입 취약성이 포함되어 있으므로 신뢰할 수 있는 비즈니스 문서를 통해 악성웨어를 전달할 수 있습니다.
위협 시나리오
수식 삽입 공격 및 정보 공개 공격의 위험 증가; 보고서 내보내기 권한이 있는 사용자가 Excel에서 내보낸 CSV를 열 때 실행되는 수식 필드에 악성 수식을 (=CMD('net user hacker password!/add'), =HYPERLINK("javascript:malware()"))를 내장합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
모든 보고서를 내보내는 것은 잠재적인 악성웨어 벡터가 됩니다. 이는 사용자 수 및 보고서 배포 주기에 따라 규모에 영향을 미치며 합법적인 복잡한 수식을 정적 요약 필드로 다시 구현해야 합니다.
위험이 높은 경우
외부 사용자가 보고서를 내보내고, 사용자 정의 수식 필드에 동적 계산이 포함되어 있거나, 이메일/Experience Cloud를 통해 배포된 보고서 또는 Excel을 사용하는 재무/세일즈 팀이 있습니다.
낮은 위험 시기
Salesforce UI에서만 보고, 사용자 정의 수식 필드 없음, 내부 사용자만, PDF 내보내기 기본 설정 설정
비즈니스 및 통합 고려 사항
보고서가 많은 사용자에게 변경 사항을 전달하고 활성화하기 전에 기존 수식 필드를 감사하거나 Sandbox 내보내기에서 중요 보고서를 테스트합니다.
보안 상태 검토 지침
확실합니다.
영향을 받는 사람
수식 필드를 사용하는 빌더, Excel로 내보내는 최종 사용자, 내보내기 패턴을 모니터링하는 보안 팀, 보안 데이터 공유 제어를 확인하는 규정 준수 담당자가 보고합니다.
