U bent hier:
Groepen machtigingensets
Beheer Groep machtigingensets om ervoor te zorgen dat gebruikerstoegang wordt verleend op basis van specifieke functiefuncties (identiteiten) en zich houdt aan het principe van de minste rechten, waarbij "toestemmingsuitbreiding" wordt geminimaliseerd.
Controlenaam
Beheer van groepen machtigingensets
Aanbevolen configuratie
Bundelmachtigingensets samen op basis van gebruikerstaakidentiteiten of -rollen:
Groepen standaardmachtigingensets | Groepen klantenmachtigingensets | Groepen machtigingensets uit beheerde pakketten | Op sessie gebaseerde groepen machtigingensets.
Overzicht van besturingselementen
Beheer Groep machtigingensets om ervoor te zorgen dat gebruikerstoegang wordt verleend op basis van specifieke functiefuncties (identiteiten) en zich houdt aan het principe van de minste rechten, waarbij "toestemmingsuitbreiding" wordt geminimaliseerd.
Beveiligingsrisico indien niet geconfigureerd
Ineffectief beheer van groepen machtigingensets (PSG's) kan een gestroomlijnd beveiligingsmodel veranderen in een "black box" van overlappende toegang. Wanneer PSG's niet correct worden beheerd, wordt het bedrijf geconfronteerd met een aanzienlijk hiaat tussen beoogde beveiliging en feitelijke gebruikersmachtigingen.
Dreigingsscenario's
Een onbeheerde groep machtigingensets fungeert als een "zwarte doos voor beveiliging", waarbij een gebruiker die van rol is veranderd, verouderde machtigingen op hoog niveau behoudt, zoals "Alle gegevens wijzigen" of "Rapporten exporteren", die nooit zijn verwijderd. Een kwaadwillende of gecompromitteerde account kan deze gebundelde, niet-gedocumenteerde machtigingen vervolgens gebruiken om de gehele klantendatabase te exfiltreren, waarbij de activiteit niet wordt gedetecteerd omdat deze wordt weergegeven als legitiem systeemgedrag binnen de complexe groepsstructuur.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Verhoogd risico afhankelijk van het aantal gebruikers, rollen en machtigingen in het bedrijf.
Hoger risico wanneer
De afwezigheid van multi-factorenauthenticatie (MFA) en Real-time Event Monitoring vergroot het risico aanzienlijk, omdat het niet-geverifieerde actoren in staat stelt misbruik te maken van accounts met te veel rechten zonder onmiddellijke detectie.
Bovendien zorgt een gebrek aan formele periodieke toegangsbeoordelingen ervoor dat ongeautoriseerde machtigingen verborgen blijven, waardoor onnodige machtigingen op hoog niveau nog lang actief zijn nadat de bedrijfsrol van een gebruiker is gewijzigd.
Laag of geen risico wanneer
Om de risico's van ineffectief beheer van de Permission Set Group (PSG) te minimaliseren, kunnen bedrijven Salesforce Shield Event Monitoring implementeren om realtime zichtbaarheid te bieden en verdachte activiteiten, zoals bulkexports van gegevens, te blokkeren, die gebruikers met te veel rechten zouden kunnen proberen.
Daarnaast zorgt het instellen van een rigoureus QAR-proces (Quarterly Access Review) ervoor dat ongeautoriseerde machtigingen systematisch worden geïdentificeerd en hersteld door de huidige groepstoewijzingen van elke gebruiker te valideren op basis van diens feitelijke functie.
Overwegingen bij bedrijf en integratie
Beheerders moeten hun groepen machtigingensets controleren om ze af te stemmen op hun bedrijfsstructuur.
Aanbevolen oplossing
Implementeer periodieke toegangsbeoordeling en voer groepering van machtigingensets uit die overeenkomen met het principe van de minste rechten.
Begeleiding bij beoordeling van beveiligingstoestand
N.v.t. - Momenteel niet geïnspecteerd door de tool Beoordeling van beveiligingstoestand.
