Tillatelsessettgrupper

Navn på kontroll

Behandle tillatelsessettgrupper

Anbefalt konfigurasjon

Pakk sammen tillatelsessett basert på brukerjobbpersoner eller roller:

Standard tillatelsessettgrupper | Tillatelsessettgrupper for kunder | Tillatelsessettgrupper fra administrerte pakker | Øktbaserte tillatelsessettgrupper.

Oversikt over kontroll

Behandle tillatelsessettgruppe for å forsikre deg om at brukertilgang gis basert på bestemte jobbfunksjoner (personer) og følger prinsippet om minst rettigheter, slik at tillatelsesutvidelse minimeres.

Sikkerhetsrisiko hvis ikke konfigurert

Ineffektiv behandling av tillatelsessettgrupper (PSG-er) kan gjøre en strømlinjeformet sikkerhetsmodell til en "svart boks" med overlappende tilgang. Når PSG-er ikke styres riktig, står firmaet overfor en betydelig gap mellom tiltenkt sikkerhet og faktiske brukertillatelser.

Trusselscenarier

En ikke-administrert tillatelsessettgruppe fungerer som en "sikkerhetssvart boks" der en bruker som har endret roller, beholder tidligere tillatelser på høyt nivå, som Endre alle data eller Eksportere rapporter, som aldri ble klargjort. En skadelig utøver eller kompromittert konto kan deretter bruke disse pakkede, udokumenterte rettighetene til å eksfiltrere hele kundedatabasen, mens aktiviteten forblir uoppdaget fordi den vises som legitim systemvirkemåte i den komplekse gruppestrukturen.

Beregnet CVSS Score-område

Kritisk (9.0–10.0).

Viktige punkter om risikoinnvirkning

Økt risiko avhengig av antall brukere, roller og tillatelser i firmaet.

Høyere risiko når

Fraværet av godkjenning med flere faktorer (MFA) og Sanntids hendelsesovervåking forsterker risikoen betydelig, fordi det tillater uautoriserte aktører å utnytte overprivatiserte kontoer uten umiddelbar deteksjon.

I tillegg sikrer mangel på formelle periodiske tilgangsvurderinger at uautoriserte rettigheter forblir skjulte, og lar unødvendige tillatelser på høyt nivå være aktive lenge etter at en brukers forretningsrolle har blitt endret.

Lav eller ingen risiko når

For å redusere risikoen forbundet med ineffektiv administrasjon av tillatelsessettgruppe (PSG) kan selskaper implementere Salesforce Shield Event Monitoring for å gi sanntids synlighet og automatisk blokkering av mistenkelige aktiviteter, som masseeksport av data, som overprivatiserte brukere kan forsøke.

I tillegg sikrer etablering av en streng QAR-prosess (Quarterly Access Review) at uautorisert tillatelse systematisk identifiseres og rettes opp ved å validere hver brukers gjeldende gruppetildelinger mot deres faktiske jobbfunksjoner.

Viktige punkter om virksomheten og integrasjonen

Administratorer bør se gjennom tillatelsessettgruppene for å samsvare med firmaets struktur.

Anbefalt rettelse

Implementer periodisk tilgangsvurdering, og utfør gruppering av tillatelsessett som er i samsvar med prinsippet om færrest rettigheter.

Veiledning for vurdering av sikkerhetstilstand

Ikke relevant - For øyeblikket ikke inspisert av verktøyet Sikkerhetstilstandsvurdering.