Sie befinden sich hier:
Identitätsüberprüfung
Das Steuerziel der Einstellungen für die Identitätsüberprüfung in Salesforce besteht darin, die risikobasierte Authentifizierung zu erzwingen, indem Benutzer aufgefordert werden, bei jeder Änderung ihres Anmeldekontexts einen sekundären Identitätsnachweis zu erbringen.
Steuerelementname
Identitätsüberprüfung
Empfohlene Konfiguration
Konfigurieren, validieren und überprüfen Sie das Setup der Benutzeridentitätsüberprüfung regelmäßig, um sicherzustellen, dass sie richtig eingerichtet sind und mit Geschäftsprozessen übereinstimmen.
Steuerelementübersicht
Das Steuerziel der Einstellungen für die Identitätsüberprüfung in Salesforce besteht darin, die risikobasierte Authentifizierung zu erzwingen, indem Benutzer aufgefordert werden, bei jeder Änderung ihres Anmeldekontexts einen sekundären Identitätsnachweis zu erbringen.
Sicherheitsrisiko, wenn nicht konfiguriert
Das primäre Risiko besteht darin, dass ein einzelnes kompromittiertes Kennwort zu einem direkten Gateway für Ihre Daten wird, da es keine sekundäre Überprüfung gibt, um zu überprüfen, ob der Benutzer derjenige ist, für den er sich ausgibt. Dadurch können sich Angreifer unerkannt über nicht autorisierte Geräte oder Standorte anmelden, was zu stillen Accountübernahmen und Massendatenexfiltration führt.
Bedrohungsszenarien
Wenn die Identitätsüberprüfung nicht konfiguriert ist, wird ein einzelnes geleaktes Kennwort zu einem Pfad für Angreifer, um sich über ein nicht erkanntes Gerät oder eine nicht erkannte IP anzumelden, ohne eine Second-Faktor-Herausforderung auszulösen. Dadurch kann ein Hacker die üblichen Sicherheitsgeschwindigkeitsunterschiede umgehen und sofort sensible Daten exfiltrieren.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Der Risikoschweregrad hängt vom Benutzertyp und davon ab, wie er auf die Anwendung zugreift, von der Größe der Benutzerpopulation und von den Zugriffsberechtigungen, die bei der Anmeldung gewährt werden.
Höheres Risiko, wenn
Das Benutzerüberprüfungs-Setup ist nicht mit starken Behauptungsmethoden und übermäßigen Berechtigungsumfängen konfiguriert.
Geringes oder kein Risiko, wenn
Diese Steuerung kann als risikoarm angesehen werden, wenn eine oder mehrere der folgenden Aktionen implementiert sind:
- IP-Anmeldeeinschränkung: IP-Anmeldeeinschränkung für Benutzer mit Berechtigungen zum Ändern des Setups
- Sichere Attributzuordnung: Benutzerattribute und Bereitstellungsregeln sind eng begrenzt, um geringste Berechtigungen zu erzwingen.
- Anmelde-Timeout: Melden Sie Benutzer automatisch beim Serviceanbieter ab, wenn sie sich bei Salesforce abmelden.
- MFA Enforcement: Die MFA wird für Salesforce-Benutzer erzwungen
Überlegungen zu Unternehmen und Integration
Kunden sollten die geschäftliche Begründung für jede Überprüfungsmethode auswerten und sicherstellen, dass sie mit den Zugriffsrichtlinien, den gesetzlichen Anforderungen und den Erwartungen an die Benutzererfahrung in Einklang stehen.
Empfohlene Sanierung
Überprüfen Sie alle konfigurierten Benutzerüberprüfungsmethoden, um sicherzustellen, dass sie mit der Unternehmenssicherheitsrichtlinie übereinstimmen.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert das Setup der Schlüsselidentitätsüberprüfung, das in Salesforce konfiguriert ist, um Kunden beim Reduzieren der Identitätszuordnung zu unterstützen. Dazu zählen das Setup der Multi-Faktor-Authentifizierung, die Identitätsüberprüfung bei E-Mail-Änderungen, die Benachrichtigung zum Zurücksetzen von Kennwörtern in Übereinstimmung mit den von Salesforce empfohlenen Sicherheitsgrundsätzen und den Zero Trust Prinzipien.
