Control de configuración de tiempo de espera de sesión

Nombre de control

Tiempo de espera de sesión

Configuración recomendada

• Establecer el valor Tiempo de espera de sesión en 15 minutos o menos
• Ventana emergente de advertencia Desactivar tiempo de espera de sesión
• Activar el cierre de sesión de Force en el tiempo de espera de sesión

Configuración>Configuración de sesión>Tiempo de espera de sesión.

Descripción general de control

El control de tiempo de espera de sesión de Salesforce es una medida de seguridad diseñada para protegerse contra accesos no autorizados finalizando automáticamente sesiones de usuario tras un periodo de inactividad especificado.

Riesgo de seguridad si no está configurado

El fallo en la configuración de un tiempo de espera de sesión apropiado en Salesforce aumenta el riesgo de acceso no autorizado a datos confidenciales cuando un usuario deja una estación de trabajo desatendida o se pierde un dispositivo. Esta brecha de seguridad puede llevar al secuestro de sesiones y la exfiltración de datos, mientras que también da como resultado el incumplimiento de los estándares reguladores del sector que requieren controles de acceso con plazos específicos.

Escenarios de amenazas

Un atacante explota una sesión desatendida y activa o un token de sesión robado para obtener acceso persistente no autorizado a datos confidenciales.

Intervalo de puntuación de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones sobre el impacto del riesgo

Tenga en cuenta el comportamiento del usuario y el entorno donde el usuario accede a la plataforma.

Riesgo más alto cuando

Si el tiempo de espera de una sesión no está configurado (o está mal configurado), la siguiente falta de controles puede aumentar aún más el riesgo de seguridad:

• Falta de autenticación de múltiples factores (MFA): Sin MFA, una sesión solo está protegida por un único conjunto de credenciales. Si una sesión permanece activa indefinidamente, un atacante que obtiene acceso al dispositivo no tiene que omitir ninguna capa de seguridad adicional.
• Falta de "Forzar cierre de sesión en tiempo de espera de sesión": Si esta configuración específica está desactivada, Salesforce no puede finalizar la sesión cuando caduca, permitiendo al navegador mantener la sesión activa mientras permanezca abierta.
• Falta de restricciones de dirección IP: Si las sesiones no están bloqueadas en la dirección IP de origen o restringidas a intervalos corporativos, se puede robar un token de sesión "persistente" y utilizarlo desde cualquier ubicación de forma global sin ser cuestionado.
• Falta de bloqueo automático de estación de trabajo o dispositivo: Si no hay ninguna política organizativa o control técnico (como GPO o MDM) para bloquear el equipo o dispositivo móvil de un usuario después de un periodo de inactividad, la sesión abierta de Salesforce se deja completamente expuesta a cualquier usuario con acceso físico.
• Falta de sustituciones a nivel de perfil: Basarse solo en la configuración amplia de "Toda la organización" en vez de tiempos de espera más cortos y estrictos para perfiles de privilegios altos (como Administradores del sistema) aumenta el "radio de explosión" si se secuestra la sesión de un administrador.
• Falta de supervisión de sesiones en tiempo real: Sin herramientas como Supervisión de eventos de Salesforce o Políticas de seguridad de transacciones, la organización no puede detectar o eliminar automáticamente sesiones sospechosas que han estado activas durante un tiempo anormalmente largo.
• Falta de "Bloquear sesiones en el dominio": No restringir las sesiones al dominio específico donde se iniciaron puede aumentar el riesgo de ataques de secuencias de comandos de sitio cruzadas (XSS) o de fijación de sesiones.

Riesgo bajo o nulo cuando

Para reducir el riesgo cuando un tiempo de espera de sesión estricto no es factible o no está configurado, puede implementar una estrategia de "defensa en profundidad" utilizando los siguientes controles: 1. Controles de seguridad nativos de Salesforce

• Aplicar autenticación de múltiples factores (MFA): Requiere un segundo factor para todos los inicios de sesión. Incluso si una sesión permanece activa, un atacante primero tendría que omitir MFA para establecer esa sesión.
• Forzar cierre de sesión en tiempo de espera de sesión: Asegúrese de que este parámetro está activado en Configuración de sesión. Sin él, algunos navegadores pueden mantener una sesión "agotada" activa indefinidamente en segundo plano.
• Bloquear sesiones en la dirección IP: Esto evita el "secuestro de sesiones" garantizando que la sesión solo se pueda utilizar desde la dirección IP específica donde se originó.
• Intervalos de direcciones IP de inicio de sesión (nivel de perfil): Restrinja el acceso a redes específicas de confianza (por ejemplo, su VPN corporativa). Esto garantiza que incluso una sesión activa no sea útil si el dispositivo se traslada a una red no fiable.
• Horas de inicio de sesión: Defina plazos específicos (por ejemplo, 8:00 AM a 6:00 PM) donde los usuarios pueden acceder a Salesforce. Esto evita automáticamente la persistencia de la sesión durante las horas fuera de servicio.

2. Supervisión y automatización avanzadas (Shield)

• Políticas de seguridad de transacciones (Salesforce Shield): Cree políticas en tiempo real que se desencadenen en comportamientos sospechosos. Por ejemplo, puede bloquear o desafiar automáticamente una sesión con MFA si un usuario intenta una exportación de datos de gran tamaño o accede a registros confidenciales tras un largo periodo de "inactividad".
• Supervisión de eventos: Utilice Supervisión de eventos en tiempo real para realizar un seguimiento de LoginEvent y SessionHijackingEvent para identificar y finalizar de forma programática sesiones anómalas.

3. Controles de identidad y extremos

• Inicio de sesión único (SSO): Delegue la gestión de sesiones a un proveedor de identidad (IdP) central como Okta o Azure AD. A continuación puede aplicar políticas de sesión globales más estrictas o "eliminar" todas las sesiones de aplicación activas desde un único panel si un dispositivo está comprometido.
• Gestión de extremos (MDM/GPO): Implemente una política corporativa que bloquee automáticamente la estación de trabajo física o el dispositivo móvil después de 5 a 10 minutos de inactividad. Esto mitiga el riesgo de una "estación de trabajo desatendida" que es la amenaza principal de sesiones largas.

Consideraciones comerciales y de integración

Los clientes deben evaluar los puntos de entrada de sus extremos de usuarios y a qué datos está expuesto cada perfil de usuario.

Remediación recomendada

Implemente Tiempo de espera de sesión en el nivel de extremo y también en el nivel de plataforma.

Directrices de revisión del estado de seguridad

Security Health Review identifica la configuración de la plataforma relacionada con el tiempo de espera de la sesión inspeccionando el tiempo de espera de la sesión en comparación con las prácticas recomendadas del sector (15 minutos).