Verificación de identidad

Nombre de control

Verificación de identidad

Configuración recomendada

Configure, valide y revise regularmente la configuración de verificación de identidad de usuario para asegurarse de que están configuradas correctamente y alineadas con procesos comerciales.

Descripción general de control

El objetivo de control de la configuración de Verificación de identidad en Salesforce es aplicar la autenticación basada en riesgo requiriendo a los usuarios proporcionar pruebas secundarias de identidad siempre que cambie su contexto de inicio de sesión.

Riesgo de seguridad si no está configurado

El riesgo principal es que una única contraseña comprometida se convierta en una pasarela directa a sus datos, ya que no hay ninguna comprobación secundaria para verificar que el usuario es quien dice ser. Esto permite a los atacantes iniciar sesión desde dispositivos o ubicaciones no autorizados sin ser detectados, lo que lleva a tomas de control de cuentas silenciosas y a la exfiltración masiva de datos.

Escenarios de amenazas

Falta de Verificación de identidad configurada, una única contraseña filtrada se convierte en una ruta para que los atacantes inicien sesión desde cualquier dispositivo o IP desconocidos sin desencadenar un reto de segundo factor. Esto permite a un hacker omitir los saltos de velocidad de seguridad habituales y exfiltrar inmediatamente datos confidenciales.

Intervalo de puntuación de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones sobre el impacto del riesgo

La gravedad del riesgo depende del tipo de usuarios y cómo acceden a la aplicación, el tamaño de la población de usuarios, los privilegios de acceso otorgados al iniciar sesión.

Riesgo más alto cuando

La configuración de verificación de usuario no está configurada con métodos de afirmación sólidos y ámbitos de permisos excesivos.

Riesgo bajo o nulo cuando

Este control puede considerarse de bajo riesgo cuando se implementa uno o más de los siguientes elementos:

• Restricción de inicio de sesión de IP: Restricción de inicio de sesión de IP para usuarios con privilegios para modificar la configuración
• Asignación de atributos segura: Los atributos de usuario y las reglas de aprovisionamiento tienen un ámbito estricto para aplicar el menor privilegio.
• Tiempo de espera de inicio de sesión: Cierre sesión automáticamente de los usuarios en el proveedor de servicio cuando cierran sesión en Salesforce.
• Aplicación de MFA: MFA se aplica para usuarios de Salesforce

Consideraciones comerciales y de integración

Los clientes deben evaluar la justificación comercial para cada método de verificación y garantizar la alineación con políticas de acceso, requisitos normativos y expectativas de experiencia de usuario.

Remediación recomendada

Revise todos los métodos de verificación de usuario configurados para asegurarse de que se alinean con la política de seguridad de la empresa.

Directrices de revisión del estado de seguridad

Security Health Review identifica la configuración de verificación de identidad clave configurada en Salesforce para ayudar los clientes a reducir la federación de identidad, que incluye la configuración de MFA, el requisito de verificación de identidad para cambios de correo electrónico, la notificación de restablecimiento de contraseña en alineación con las líneas base de seguridad recomendadas por Salesforce y los principios de Zero Trust.