網路存取

控制名稱

網路存取權 - 信任的 IP 範圍

建議組態

設定>網路存取權>新增>開始 - 結束 IP 位址。

控制概觀

定義信任的 IP 範圍。

未設定安全性風險

無法在 Salesforce 網路存取中設定信任的 IP 範圍,因此允許使用者嘗試從任何位置或全域網路登入,進而造成重大安全性漏洞。雖然 Salesforce 仍需要標準認證,但由於沒有 IP 限制,因此如果密碼透過網路釣魚或認證填充遭到入侵,攻擊者可以略過「信任網路」層,並從未經授權的外部環境存取敏感公司資料。

威脅情況

主要威脅案例涉及認證收集攻擊,其中惡意執行動作使用者透過目標式網路釣魚行銷活動取得高權限使用者的登入認證。在未定義信任的 IP 範圍的情況下,攻擊者可以成功從遠端且未經授權的位置 (例如海外伺服器或公用網路) 登入 Salesforce,以略過安全性層級,以否則觸發無法辨識 IP 的登入挑戰。在內部時,攻擊者可以匯出敏感的客戶資料、修改重要組態,或安裝惡意的第三方整合。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

取決於儲存在平台中的敏感資料,以及可存取資料的任何使用者或整合使用者。

風險愈高時機

「敏感資料」會儲存在自訂欄位中,且沒有額外的存取控制限制,且會豁免 Salesforce 安全依預設控制,例如強制裝置啟用。

低風險或無風險的時機

實作下列一或多個控制項時,可以將此控制項視為低度風險:

• 已設定 MFA
• 單一登出已設定
• 在設定檔層級啟用「IP 登入限制」

業務與整合考量事項

客戶應評估與整合使用者相關的 IP 位址。

建議的補救措施

請考慮整合使用者,以及連線或外部應用程式網路連線至組織。

安全性健康檢閱指南

「安全性健康檢閱」會透過檢查是否已將 IP 範圍設定為信任 IP 位址的一部分,來識別「網路設定」。