Identiteitsverificatie

Controlenaam

Identiteitsverificatie

Aanbevolen configuratie

Configureer, valideer en controleer regelmatig de set-up van gebruikersidentiteitsverificatie om ervoor te zorgen dat deze correct is ingesteld en overeenkomt met bedrijfsprocessen.

Overzicht van besturingselementen

De controledoelstelling van instellingen voor Identiteitsverificatie in Salesforce is het afdwingen van op risico gebaseerde authenticatie door gebruikers te verplichten een secundair identiteitsbewijs te leveren telkens wanneer hun inlogcontext verandert.

Beveiligingsrisico indien niet geconfigureerd

Het primaire risico is dat één gecompromitteerd wachtwoord een directe toegangspoort tot uw gegevens wordt, aangezien er geen secundaire controle is om te controleren of de gebruiker is wie deze beweert te zijn. Hierdoor kunnen aanvallers ongemerkt inloggen vanaf ongeautoriseerde apparaten of locaties, wat leidt tot stille accountovernames en bulkexfiltratie van gegevens.

Dreigingsscenario's

Als er geen identiteitsverificatie is geconfigureerd, wordt één uitgelekt wachtwoord een pad voor aanvallers om in te loggen vanaf elk onbekend apparaat of IP-adres zonder een tweede factor te activeren. Hierdoor kan een hacker de gebruikelijke beveiligingsdrempels omzeilen en gevoelige gegevens onmiddellijk verwijderen.

Geschatte CVSS-scorebereik

Kritiek (9,0–10,0).

Overwegingen bij risico-impact

De ernst van het risico is afhankelijk van het type gebruikers en de manier waarop ze toegang krijgen tot de toepassing, de grootte van de gebruikerspopulatie en de toegangsprivileges die bij inloggen worden verleend.

Hoger risico wanneer

De set-up van gebruikersverificatie is niet geconfigureerd met sterke definitiemethoden en buitensporige machtigingenbereiken.

Laag of geen risico wanneer

Deze controle kan als laag risico worden beschouwd wanneer een of meer van de volgende zaken worden geïmplementeerd:

• IP-inlogbeperking: IP-inlogbeperking voor gebruikers met machtigingen om de set-up te wijzigen
• Veilige kenmerktoewijzing: Gebruikerskenmerken en leveringsregels zijn strikt gericht op het afdwingen van de minste rechten.
• Time-out bij inloggen: Log gebruikers automatisch uit bij de serviceprovider wanneer ze uitloggen bij Salesforce.
• MFA-afdwinging: MFA wordt afgedwongen voor Salesforce-gebruikers

Overwegingen bij bedrijf en integratie

Klanten moeten de rechtvaardiging van hun bedrijf voor elke verificatiemethode evalueren en zorgen voor afstemming met het toegangsbeleid, wettelijke vereisten en verwachtingen van de gebruikerservaring.

Aanbevolen oplossing

Controleer alle geconfigureerde gebruikersverificatiemethoden om er zeker van te zijn dat ze overeenkomen met het beveiligingsbeleid voor de onderneming.

Begeleiding bij beoordeling van beveiligingstoestand

Beoordeling van beveiligingstoestand identificeert de belangrijkste identiteitsverificatie-instellingen die in Salesforce zijn geconfigureerd om klanten te helpen identiteitsbundeling te verminderen, waaronder de set-up van MFA, identiteitsverificatievereiste voor e-mailwijzigingen, kennisgeving over het opnieuw instellen van een wachtwoord in overeenstemming met de door Salesforce aanbevolen beveiligingsbaselines en Zero Trust principes.