Вы находитесь здесь:
Отключение формулы в управлении отчетами
Общеорганизационный параметр, который лишает формулы Excel возможности экспорта отчетов, предотвращая атаки впрыскивания вредоносных формул при загрузке конфиденциальных данных в виде электронных таблиц.
Управление именем
Управление отчетами - Отключение формулы в отчете.
Общие сведения о контроле
Общеорганизационный параметр, который лишает формулы Excel возможности экспорта отчетов, предотвращая атаки впрыскивания вредоносных формул при загрузке конфиденциальных данных в виде электронных таблиц.
Описание
Если функция включена, Salesforce экспортирует отчеты только в виде статических значений (нет =FORMULATEXT(), нет макросов VBA), блокируя встраивание злоумышленниками выполняемого кода в настраиваемые поля формул, выполняемые при открытии в Excel/LibreOffice.
Рекомендованная конфигурация
Включите параметр «Отключить формулу в отчете во избежание инъекции формулы в вывод отчета» - «Настройка» в параметре отчета/панели мониторинга.
Влияние на безопасность
Устраняет основной вектор для распространения вредоносного ПО на основе формул посредством законных бизнес-отчетов. Вынуждает безопасно экспортировать статические данные, защищая получателей в нисходящем направлении от автоматического выполнения кода.
Влияние на бизнес
Сохраняет функции экспорта отчетов, исключая риски безопасности макросов Excel. Не требуются изменения бизнес-правил пользователя. Поддерживает требования соответствия для безопасного общего доступа к данным.
Риск безопасности, если он не настроен
Отчеты пользователей содержат потенциальную уязвимость при инъекции формулы при экспорте в Excel, включающую доставку вредоносного ПО посредством надежных бизнес-документов.
Сценарии угроз
Повышенный риск атак с использованием инъекций формул и атак с целью разглашения информации; скомпрометированные пользователи с полномочиями экспорта отчетов встраивают вредоносные формулы (=CMD('net user hacker password!/add'), =HYPERLINK("javascript:malware()")) в поля формул, выполняемые при открытии руководителями и финансовыми группами экспортированных CSV-файлов в Excel.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Каждый экспорт отчета становится потенциальным вектором вредоносного программного обеспечения; масштабы влияния с количеством пользователей и частотой распространения отчетов; законные сложные формулы должны быть повторно внедрены в качестве статических полей резюмирования.
Повышенный риск при
Внешние пользователи экспортируют отчеты, поля настраиваемой формулы содержат динамические вычисления, отчеты, распространяемые посредством электронной почты/Experience Cloud или групп, работающих с финансами/продажами Excel.
Низкий риск при
Отчеты, просматриваемые только в пользовательском интерфейсе Salesforce, без полей настраиваемой формулы, только внутренние пользователи, установлен параметр экспорта PDF.
Рекомендации по бизнесу и интеграции
Сообщите об изменениях пользователям с большим количеством отчетов; проверьте существующие поля формул перед включением; протестируйте критические отчеты в экспорте безопасной среды.
Руководство по проверке состояния безопасности
Наверное.
На кого влияет
Конструкторы отчетов, использующие поля формул, конечные пользователи, экспортирующие в Excel, группы безопасности, отслеживающие схемы экспорта, сотрудники по вопросам соответствия, проверяющие средства управления безопасным общим доступом к данным.
