Verifica dell'identità

Nome controllo

Verifica dell'identità

Configurazione consigliata

Configurare, convalidare e rivedere regolarmente l'impostazione della verifica dell'identità degli utenti per assicurarsi che siano impostati correttamente e siano allineati ai processi aziendali.

Panoramica sul controllo

L'obiettivo di controllo delle impostazioni di verifica dell'identità in Salesforce è imporre l'autenticazione basata sul rischio richiedendo agli utenti di fornire una prova secondaria dell'identità ogni volta che il contesto di accesso cambia.

Rischio per la sicurezza se non configurato

Il rischio principale è che una singola password compromessa diventi un gateway diretto ai dati, poiché non esiste un controllo secondario per verificare che l'utente sia chi dichiara di essere. Ciò consente agli aggressori di accedere da dispositivi non autorizzati o da posizioni non rilevate, causando acquisizioni silenziose di account ed esfiltrazioni di dati di massa.

Scenari di minaccia

Mancanza della verifica dell'identità configurata, una singola password trapelata diventa un percorso per consentire agli aggressori di accedere da qualsiasi dispositivo o IP non riconosciuto senza attivare una sfida di secondo fattore. Ciò consente a un hacker di ignorare i consueti blocchi di velocità di sicurezza ed esfiltrare immediatamente i dati sensibili.

Intervallo di punteggi CVSS stimato

Critico (9.0–10.0).

Considerazioni sull'impatto del rischio

La gravità del rischio dipende dal tipo di utenti e dal modo in cui accedono all'applicazione, dalle dimensioni della popolazione degli utenti e dai privilegi di accesso concessi al momento dell'accesso.

Rischio maggiore quando

L'impostazione della verifica utente non è configurata con metodi di asserzione forti e ambiti di autorizzazione eccessivi.

Rischio basso o nullo quando

Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più dei seguenti elementi:

• Limitazione di accesso IP: Limitazione di accesso IP per gli utenti con privilegi di modifica dell'impostazione
• Mappatura attributi protetti: Gli attributi utente e le regole di provisioning sono strettamente limitati per imporre privilegi minimi.
• Timeout di accesso: Disconnette automaticamente gli utenti dal fornitore di servizi quando si disconnettono da Salesforce.
• Applicazione della MFA: La MFA viene applicata per gli utenti Salesforce

Considerazioni su Business e integrazione

I clienti devono valutare la giustificazione aziendale per ogni metodo di verifica e garantire l'allineamento con le policy di accesso, i requisiti normativi e le aspettative di esperienza degli utenti.

Rimedio consigliato

Esaminare tutti i metodi di verifica utente configurati per verificare che siano in linea con la policy di sicurezza aziendale.

Guida all'esame dello stato della sicurezza

Esame dello stato della sicurezza identifica l'impostazione della verifica dell'identità chiave configurata in Salesforce per aiutare i clienti a ridurre la federazione dell'identità, che include l'impostazione della MFA, l'obbligo di verifica dell'identità per le modifiche delle email, la notifica di reimpostazione della password in linea con le basi di riferimento di sicurezza consigliate da Salesforce e i principi Zero Trust.