Sie befinden sich hier:
Berechtigungssatzgruppensteuerung
Verwalten Sie die Berechtigungssatzgruppe, um sicherzustellen, dass der Benutzerzugriff auf der Grundlage bestimmter Auftragsfunktionen (Personas) erteilt wird und dem Prinzip der geringsten Berechtigung entspricht, wodurch die "Berechtigungsverbreitung" minimiert wird.
Steuerelementname
Verwaltung von Berechtigungssatzgruppen
Empfohlene Konfiguration
Bündeln Sie Berechtigungssätze anhand von Benutzerauftragspersonas oder -rollen:
Standardberechtigungssatzgruppen | Kundenberechtigungssatzgruppen | Berechtigungssatzgruppen aus verwalteten Paketen | Sitzungsbasierte Berechtigungssatzgruppen.
Steuerelementübersicht
Verwalten Sie die Berechtigungssatzgruppe, um sicherzustellen, dass der Benutzerzugriff auf der Grundlage bestimmter Auftragsfunktionen (Personas) erteilt wird und dem Prinzip der geringsten Berechtigung entspricht, wodurch die "Berechtigungsverbreitung" minimiert wird.
Sicherheitsrisiko, wenn nicht konfiguriert
Die ineffektive Verwaltung von Berechtigungssatzgruppen kann ein optimiertes Sicherheitsmodell in eine "Blackbox" mit sich überschneidendem Zugriff verwandeln. Wenn PSGs nicht ordnungsgemäß verwaltet werden, sieht sich das Unternehmen einer erheblichen Lücke zwischen der vorgesehenen Sicherheit und den tatsächlichen Benutzerberechtigungen gegenüber.
Bedrohungsszenarien
Eine nicht verwaltete Berechtigungssatzgruppe fungiert als "Sicherheits-Blackbox", in der ein Benutzer, der Rollen geändert hat, die alten Berechtigungen auf höchster Ebene behält, beispielsweise "Alle Daten modifizieren" oder "Berichte exportieren", die nie aufgehoben wurden. Ein bösartiger Akteur oder kompromittierter Account kann dann diese gebündelten, nicht dokumentierten Berechtigungen verwenden, um die gesamte Kundendatenbank zu exfiltrieren, wobei die Aktivität unentdeckt bleibt, da sie als legitimes Systemverhalten innerhalb der komplexen Gruppenstruktur angezeigt wird.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Erhöhtes Risiko in Abhängigkeit von der Anzahl der Benutzer, Rollen und Berechtigungen im Unternehmen.
Höheres Risiko, wenn
Das Fehlen der Multi-Faktor-Authentifizierung (MFA) und der Echtzeit-Ereignisüberwachung erhöht das Risiko erheblich, da nicht autorisierte Akteure überprivilegierte Accounts ohne sofortige Erkennung ausnutzen können.
Darüber hinaus wird durch das Fehlen formaler regelmäßiger Zugriffsüberprüfungen sichergestellt, dass nicht autorisierte Berechtigungen ausgeblendet bleiben und unnötige allgemeine Berechtigungen lange nach der Änderung der Geschäftsrolle eines Benutzers aktiv bleiben.
Geringes oder kein Risiko, wenn
Unternehmen können die Salesforce Shield-Ereignisüberwachung implementieren, um verdächtige Aktivitäten wie Massendatenexporte, die von überprivilegierten Benutzern möglicherweise versucht werden, in Echtzeit zu sehen und zu blockieren, um die mit der Verwaltung ineffektiver Berechtigungssatzgruppen verbundenen Risiken zu minimieren.
Darüber hinaus wird durch die Einrichtung eines strengen Quartalszugriffsüberprüfungsprozesses sichergestellt, dass nicht autorisierte Berechtigungen systematisch erkannt und behoben werden, indem die aktuellen Gruppenzuweisungen jedes Benutzers mit seinen tatsächlichen Auftragsfunktionen abgeglichen werden.
Überlegungen zu Unternehmen und Integration
Administratoren sollten ihre Berechtigungssatzgruppen überprüfen, um sie an ihre Unternehmensstruktur anzupassen.
Empfohlene Sanierung
Implementieren Sie die regelmäßige Zugriffsüberprüfung und führen Sie eine Gruppierung von Berechtigungssätzen durch, die dem Prinzip der geringsten Berechtigung entspricht.
Anleitung zur Sicherheitsintegritätsprüfung
N/A: Wird derzeit nicht vom Tool "Sicherheitsintegritätsüberprüfung" untersucht.
