위치:
새 사용자 환영 이메일 설정 제어
환영 이메일에 대한 Salesforce "링크 만료" 설정은 새 사용자의 활성화 링크가 활성 상태로 유지되는 시간 범위를 정의하는 보안 제어입니다.
제어 이름
새 사용자 활성화
권장 구성
- 새 사용자 환영 이메일 설정 만료 일자 1개
설정>세션 설정>신규 사용자 환영 이메일 설정>링크 1일 후 만료됩니다.
제어 개요
환영 이메일에 대한 Salesforce "링크 만료" 설정은 새 사용자의 활성화 링크가 활성 상태로 유지되는 시간 범위를 정의하는 보안 제어입니다. 이 창을 제한하면 관리자가 짧은 기간 후에 사용하지 않는 링크 또는 가로채기된 링크가 유용하지 않게 표시되도록 하여 오래된 자격 증명을 통해 무단 계정 액세스의 위험을 최소화합니다.
구성되지 않은 경우 보안 위험
사용자 활성화 이메일의 만료 기간을 엄격하게 제한하지 않으면 "인사말" 링크가 전송되기 오래 후에 손상된 이메일 Inbox에서 차단되거나 액세스될 경우 조직이 무단 계정 인수의 위험이 증가합니다. 이 확장된 기회 기간을 사용하면 위협이 계정을 활성화하고 자체 자격 증명을 설정하여 의도한 보안 기간을 우회하고 잠재적으로 Salesforce 환경에 감지되지 않은 입력을 얻을 수 있습니다.
위협 시나리오
위협 작업자가 사용자의 받은 Inbox 액세스하고 만료 제한이 엄격하지 않으므로 며칠 또는 몇 주 전에 전송된 만료되지 않은 활성화 링크를 찾습니다. 사용자는 링크를 사용하여 자체 자격 증명을 설정하고 계정을 하이재킹하여 실제 사용자 또는 보안 팀이 문제가 있다는 것을 깨닫기 전에 Salesforce 환경에서 합법적인 지지를 확보합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
사용자 액세스 범위에 따라 증가되는 위험
위험이 높은 경우
장기 활성화 링크의 위험성은 초기 로그인에 대한 다단계 인증(MFA) 적용이 부족하므로 링크를 가로채는 공격자가 단일 요소만으로 전체 액세스 권한을 얻을 수 있습니다.
또한 신규 사용자의 로그인 IP 범위 또는 신뢰할 수 있는 네트워크 제한이 없으므로 원격 위협 작업자가 무단 위치에서 활성화 링크를 사용하지 못하도록 방지하는 지리적 또는 네트워크 기반 배리어가 없기 때문에 더 넓은 공격 표면이 생성됩니다.
낮은 위험 또는 비위험
장기 활성화 링크의 위험을 최소화하기 위해 조직은 모든 신규 사용자에 대해 다단계 인증(MFA)을 적용하여 중단된 링크만으로도 두 번째 확인 요소 없이 액세스할 수 없습니다.
또한 프로필 또는 조직 수준에서 로그인 IP 범위를 구현하면 활성화 프로세스가 신뢰할 수 있는 기업 네트워크로 제한되어 원격 위협 작업자가 무단 위치에서 훔친 링크를 사용하지 못하도록 효과적으로 차단합니다.
비즈니스 및 통합 고려 사항
관리자는 플랫폼에 액세스하는 회사 내 사용자 수 및 환경을 고려해야 합니다.
권장 수정
사용자 활성화 이메일의 링크 만료를 정의합니다.
보안 상태 검토 지침
보안 상태 검토에서 새 사용자 환영 이메일 만료 설정이 1일로 설정되었음을 확인합니다.
