Olet tässä:
Käyttöoikeusjoukot
Salesforce-pääkäyttäjien tulisi kohdistaa käyttäjille ”Minimikäyttöoikeus” -profiili perustasoksi noudattaakseen vähiten käyttöoikeuksia ja yksinkertaistaakseen käyttäjien hallintaa.
Ohjaimen nimi
Käyttöoikeusjoukkojen hallinta
Suositeltu kokoonpano
Määritä asetukset ja käyttöoikeudet, jotka sallivat käyttäjien käyttää useita työkaluja ja toimintoja:
Vakiomuotoiset käyttöoikeusjoukot | Mukautetut käyttöoikeusjoukot | Integraation käyttöoikeusjoukot | Istuntoon perustuvat käyttöoikeusjoukot.
Ohjauksen yleiskatsaus
Salesforce-pääkäyttäjien tulisi kohdistaa käyttäjille ”Minimikäyttöoikeus” -profiili perustasoksi ja myöntää kaikki lisätoiminnalliset käyttöoikeudet modulaaristen, tehtäviin perustuvien käyttöoikeusjoukkojen avulla, jotta he voivat noudattaa vähiten käyttöoikeuksia ja yksinkertaistaa käyttäjien hallintaa.
Nämä joukot tulisi paketoida käyttöoikeusjoukkoryhmiin, jotka vastaavat tiettyjä yrityshenkilöitä, käyttämällä vanhentumispäivämääriä ja mykistäviä joukkoja tarvittaessa tarkan hallinnan ylläpitämiseksi ja valtuuttamattoman käytön estämiseksi.
Tietoturvariski, jos ei määritetty
Salesforce-käyttöoikeusjoukkojen ei-aktiivinen hallinta johtaa ”käyttöoikeuksien kerääntymiseen”, jossa käyttäjät kertovat vanhoja käyttöoikeuksia, jotka ohittavat vähiten käyttöoikeuksia koskevan periaatteen ja luovat laajoja, valvomatonta tietoturvaa. Tämä hallinnan puute muuttaa tietoturvamallisi "musta laatikoksi", mikä lisää merkittävästi luvattoman datan suodattamisen riskiä ja tekee vaatimustenmukaisuuden onnistuneista auditoinneista lähes mahdottomia.
Uhkien skenaariot
Hyökkääjä vaarantaa vakiokäyttäjän tunnukset ja huomaa, että tilillä on "orpoja" hallintaoikeuksia, kuten kaikkien tietojen muokkausoikeuksia, johtuen projektin kohdistuksesta vuosia sitten, jota ei koskaan kumottu. Käyttämällä tätä havaitsemattomia "käyttöoikeuksia", hyökkääjä suodattaa hiljaa koko asiakastietokannan vanhan API:n kautta, ohittaen vakiomuotoiset rooleihin perustuvat rajoitukset, joiden yhtiö olettaa olevan edelleen voimassa.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Lisääntynyt riski, riippuen käyttöoikeusjoukoissa määritettyjen käyttäjien, roolien ja asetusten määrästä.
Korkeampi riski, kun
Riskit lisääntyvät merkittävästi monimenetelmäisen todennuksen (MFA) ja reaaliaikaisen Event Monitoringin puuttuessa, mikä sallii vaarantuneiden tilien käyttää liikaa käyttöoikeuksia käynnistämättä hälytystä.
Lisäksi automatisoitujen käyttöoikeustarkistusten puute ja nollapohjaisten profiilien noudattamisen epäonnistuminen varmistaa, että "privilege creep" pysyy piilossa ja pysyvästi, jolloin korkean riskin hallinnalliset aukot ovat avoinna pitkään, kun käyttäjän liiketoimintatarpeet ovat muuttuneet.
Matala riski tai ei riskiä, kun
Salesforce Shield Event Monitoringin ja transaktioiden suojauskäytäntöjen käyttöönotto auttaa havaitsemaan ja estämään riskialttiita toimintoja, kuten joukkodatan vientiä, riippumatta käyttäjälle kohdistetuista käyttöoikeuksista.
Lisäksi MFA:n noudattaminen ja istuntoon perustuvien käyttöoikeusjoukkojen käyttäminen varmistaa, että parannetut käyttöoikeudet ovat aktiivisia vain ehdottoman välttämättömissä tapauksissa ja vahvistetun henkilöllisyyden alla, mikä neutraloi tehokkaasti staattisen "orpota" -käyttöoikeuden uhan.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Pääkäyttäjien tulisi tarkastaa käyttöoikeusjoukkojen kohdistukset noudattaakseen organisaatiossa määritettyä yhtiörakennettaan.
Suositeltu korjaus
Suorita säännöllinen käyttöoikeustarkastus ja tarkasta käyttöoikeusjoukot, jotka noudattavat vähiten käyttöoikeuksia koskevaa periaatetta.
Tietoturvan terveystarkastuksen ohjeet
N/A - Tällä hetkellä ei tarkastettu Suojauksen terveystarkastus -työkalulla.
