Вы находитесь здесь:
Группы наборов полномочий
Управляйте группой наборов полномочий, чтобы убедиться, что доступ пользователя предоставляется на основе определенных должностных функций (лиц) и соответствует принципу наименьших привилегий, сводя к минимуму «разрастание полномочий».
Управление именем
Управление группой наборов полномочий
Рекомендованная конфигурация
Наборы полномочий пакета, основанные на образах или ролях заданий пользователя:
Стандартные группы наборов полномочий | Группы наборов полномочий клиента | Группы наборов полномочий из управляемых пакетов | Группы наборов полномочий на основе сеанса.
Общие сведения о контроле
Управляйте группой наборов полномочий, чтобы убедиться, что доступ пользователя предоставляется на основе определенных должностных функций (лиц) и соответствует принципу наименьших привилегий, сводя к минимуму «разрастание полномочий».
Риск безопасности, если он не настроен
Неэффективное управление группами наборов полномочий (PSG) может превратить упрощенную модель безопасности в "черный ящик" накладывающегося доступа. Если ПСЖ управляются некорректно, компания сталкивается со значительным разрывом между предполагаемой безопасностью и фактическими полномочиями пользователя.
Сценарии угроз
Неуправляемая группа наборов полномочий выступает в качестве «черного поля безопасности», где пользователь, изменивший роли, сохраняет устаревшие полномочия высокого уровня, например, «Изменение всех данных» или «Экспорт отчетов», которые не были предоставлены. Вредоносный исполнитель или скомпрометированная организация могут потом использовать эти пакетные недокументированные полномочия для извлечения всей базы данных клиентов, при этом действие остается незамеченным, поскольку оно отображается как легитимное поведение системы в сложной структуре группы.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Повышенный риск зависит от количества пользователей, ролей и полномочий в компании.
Повышенный риск при
Отсутствие многофакторной проверки подлинности (MFA) и мониторинга событий в реальном времени значительно увеличивает риск, поскольку это позволяет неавторизованным субъектам использовать чрезмерно привилегированные организации без немедленного обнаружения.
Кроме того, отсутствие официальных периодических проверок доступа гарантирует, что несанкционированные привилегии будут скрыты, что приведет к активности ненужных полномочий высокого уровня через много лет после изменения бизнес-роли пользователя.
Низкий или нулевой риск при
Чтобы минимизировать риски, связанные с неэффективным управлением группой наборов полномочий (PSG), компании могут внедрить мониторинг событий Salesforce Shield для обеспечения доступности в режиме реального времени и автоматической блокировки подозрительных действий, например, экспорта пакетных данных, которые могут попытаться выполнить чрезмерно привилегированные пользователи.
Кроме того, создание строгого процесса ежеквартального обзора доступа (QAR) обеспечивает систематическое обнаружение и исправление несанкционированных полномочий путем проверки текущих назначений группы каждого пользователя относительно его фактических рабочих функций.
Рекомендации по бизнесу и интеграции
Администраторы должны просмотреть группы наборов полномочий, чтобы соответствовать структуре компании.
Рекомендованное исправление
Внедрите периодическую проверку доступа и выполните группировку наборов полномочий, соответствующих принципу наименьших привилегий.
Руководство по проверке состояния безопасности
Нет/нет - в настоящее время не проверяется средством проверки состояния безопасности.
