Usted estĆ” aquĆ:
Nuevo control de configuraciĆ³n de email de bienvenida de usuario
El parĆ”metro "Vencimiento de vĆnculo" de Salesforce para mensajes de email de bienvenida es un control de seguridad que define el periodo de tiempo durante el cual el vĆnculo de activaciĆ³n de un nuevo usuario permanece activo.
Nombre de control
ActivaciĆ³n de nuevo usuario
ConfiguraciĆ³n recomendada
- Nuevo usuario ConfiguraciĆ³n de email de bienvenida Caducidad establecida en 1 dĆa
ConfiguraciĆ³n>ConfiguraciĆ³n de sesiĆ³n>ConfiguraciĆ³n de email de bienvenida de nuevo usuario>El vĆnculo caduca en 1 dĆa.
DescripciĆ³n general de control
El parĆ”metro "Vencimiento de vĆnculo" de Salesforce para mensajes de email de bienvenida es un control de seguridad que define el periodo de tiempo durante el cual el vĆnculo de activaciĆ³n de un nuevo usuario permanece activo. Restringiendo este plazo, los administradores garantizan que los vĆnculos no utilizados o interceptados queden inservibles tras un breve periodo, minimizando el riesgo de acceso no autorizado a cuentas a travĆ©s de credenciales obsoletas.
Riesgo de seguridad si no estĆ” configurado
Sin un lĆmite estricto en la caducidad de los emails de activaciĆ³n de usuarios, la organizaciĆ³n se enfrenta a un mayor riesgo de apropiaciĆ³n de cuentas no autorizada si se intercepta o se accede a un vĆnculo de "bienvenida" en un Inbox de email comprometido mucho despuĆ©s de su envĆo. Esta ventana de oportunidad ampliada permite a los actores de amenazas activar la cuenta y establecer sus propias credenciales, omitiendo la ventana de seguridad prevista y obteniendo potencialmente una entrada no detectada en el entorno de Salesforce.
Escenarios de amenazas
Un actor de amenazas obtiene acceso a la Inbox de un usuario y encuentra un vĆnculo de activaciĆ³n no caducado enviado dĆas o semanas antes debido a la falta de lĆmites de caducidad estrictos. Utilizan con Ć©xito el vĆnculo para establecer sus propias credenciales y secuestrar la cuenta, obteniendo un punto de apoyo legĆtimo en su entorno de Salesforce antes de que el usuario real (o su equipo de seguridad) se dĆ© cuenta de que hay un problema.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
Riesgo aumentado dependiendo del Ɣmbito de acceso del usuario.
Mayor riesgo cuando
El riesgo de vĆnculos de activaciĆ³n duraderos se ve agravado de forma significativa por la falta de aplicaciĆ³n forzosa de la autenticaciĆ³n de mĆŗltiples factores (MFA) para los inicios de sesiĆ³n iniciales, que permite a un atacante que intercepta el vĆnculo obtener acceso completo con solo un factor.
AdemĆ”s, la ausencia de Intervalos de IP de inicio de sesiĆ³n o restricciones de red de confianza para nuevos usuarios crea una superficie de ataque mĆ”s amplia, ya que no hay barreras geogrĆ”ficas o basadas en red para evitar que un actor de amenazas remoto utilice el vĆnculo de activaciĆ³n desde una ubicaciĆ³n no autorizada.
Bajo o ningĆŗn riesgo cuando
Para minimizar el riesgo de vĆnculos de activaciĆ³n duraderos, las organizaciones deben aplicar la autenticaciĆ³n de mĆŗltiples factores (MFA) para todos los nuevos usuarios, garantizando que un vĆnculo interceptado por sĆ solo es insuficiente para obtener acceso sin un segundo factor de verificaciĆ³n.
AdemĆ”s, la implementaciĆ³n de Intervalos de direcciones IP de inicio de sesiĆ³n a nivel de perfil u organizaciĆ³n restringe el proceso de activaciĆ³n a redes corporativas de confianza, bloqueando de forma efectiva que los actores de amenazas remotos utilicen vĆnculos robados desde ubicaciones no autorizadas.
Consideraciones de negocio e integraciĆ³n
El administrador debe tener en cuenta el nĆŗmero de usuarios y el entorno de los usuarios en su compaƱĆa que accede a la plataforma.
RemediaciĆ³n recomendada
Defina la caducidad del vĆnculo para el email de activaciĆ³n del usuario.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review confirma que el parĆ”metro Caducidad de email de bienvenida de nuevo usuario estĆ” establecido en 1 dĆa.
