Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Die größten Sicherheitsrisiken für Ihre Salesforce-Organisation

Geschrieben von Lexi Croisdale | Sep 4, 2023 2:48:00 PM

Salesforce beherbergt häufig die vertraulichsten Daten Ihres Unternehmens. Obwohl das CRM-Tool viele der anstrengenden Aufgaben erfüllt, um Ihre Daten zu schützen, vergessen Unternehmen oft, dass es eine gemeinsame Verantwortung ist, Cyber-Bedrohungen zu bekämpfen. Interne Sicherheitsteams und Salesforce-Administratoren sind auch für den Schutz von Unternehmensdaten verantwortlich. Dazu gehört auch, wer Zugriff auf Daten hat, wie Benutzer auf Daten zugreifen können und wie man den Zugriff und die Aktivität auf Daten kontinuierlich überwachen kann.  

Da sich die Bedrohungen weiterentwickeln, ist es wichtig zu wissen, welche Sicherheitsrisiken heute am besorgniserregendsten sind.  

Ryan O'Boyle, Senior Manager of Cloud Architecture and Operations bei Varonis, und Christine Marshall, Courses and Community Director bei Salesforce Ben, haben die größten Sicherheitsrisiken für Ihre Salesforce-Organisation aufgedeckt und Erkenntnisse darüber geteilt, wie Unternehmen ihre sensiblen Daten schützen können.  

Zu den besorgniserregendsten Risiken, die sie identifiziert haben, gehören:  

  • Datenexposition aufgrund komplexer Berechtigungsmodelle 
  • Sensible Daten dort, wo sie nicht hingehören  
  • API-Verbindungen mit Datenlecks  
  • Falsche Konfigurationen, die Daten öffentlich zugänglich machen können 
  • Eine Trennung zwischen Salesforce-Administratoren und ihren Sicherheitsteams (CISOs, CIOs usw.) 

In diesem Blog zeigen wir, wie Salesforce-Experten und Sicherheitsteams die besorgniserregendsten Risiken in Salesforce-Umgebungen bekämpfen können.   

Sichern Die sich Ihre Datenrisikoprüfung gratis

Profile und Berechtigungssätze reinigen. 

Salesforce-Benutzer haben angegeben, dass die Verwaltung von Profilen innerhalb der Anwendung sehr kompliziert sein kann. Um die Benutzerfreundlichkeit zu verbessern, plant Salesforce, die Berechtigungen für Profile bis 2026 einzustellen.  

Wenn Sie sich jetzt auf diese Änderung vorbereiten, wird sichergestellt, dass Ihre Salesforce-Umgebung nahtlos funktionieren wird, wenn die Änderungen in Kraft treten, und dass Ihre Daten geschützt sind.   

Ryan empfahl, mit einer Grundlinie darüber zu beginnen, welche Berechtigungen in Ihren Profilen existieren, zu verstehen, worauf die Benutzer zugreifen können, benötigte Berechtigungen in Gruppen mit Berechtigungssätzen umzuwandeln und dann zurückgebliebene Profile zu bereinigen, die veraltet und unbenutzt sind.  

Varonis vereinfacht die Berechtigungsanalyse und zeigt Ihnen nicht nur, was die effektiven Berechtigungen einer Person sind, sondern auch, wie sie sie erhalten hat – bis auf Objekt- und Feldebene. In diesem Beispiel kann Melissa Donovan aufgrund ihrer Account-Exec-Profilberechtigungen Berichte exportieren.

„Das langfristige Ziel ist eine höhere Sicherheit und bessere Benutzerfreundlichkeit. Ein stärker konsolidiertes Berechtigungsmodell wird Unternehmen dabei helfen, zu einem Modell der geringsten Rechte zu gelangen und sicherzustellen, dass nur die richtigen Benutzer im Unternehmen den richtigen Zugriff auf die richtigen Datensätze in den richtigen Bereichen der Umgebung haben“, so Ryan.   

Christine fügte hinzu, dass jetzt ein guter Zeitpunkt ist, um bei der Prüfung Ihrer Prozesse die Dokumentation dazu durchzusehen, warum bestimmte Profilberechtigungen existieren. Indem Sie dem Spiel einen Schritt voraus sind, verhindern Sie, dass die technischen Schulden Ihrer Salesforce-Umgebung zunehmen.   

Lesen Sie mehr: 10 Tipps zur Behebung Ihrer technischen Schulden in Salesforce 

„Finden Sie heraus, warum Sie bestimmte Profile haben und wofür diese gedacht sind, und fangen Sie dann an, sie zu beschneiden und darüber nachzudenken, was in Berechtigungssätze verschoben werden könnte, wo Sie Duplikate oder ungenutzte Profile haben und warum etwas eingerichtet wurde. Fangen Sie jetzt an, diese Aufklärungsarbeit zu leisten, denn das wird es Ihnen in Zukunft leichter machen“, sagte Christine.  

Risiken im Zusammenhang mit Anwendungen von Drittanbietern 

Ein weiterer Bereich, den Sicherheitsteams und Administratoren analysieren und prüfen müssen, sind alle mit Ihrer Salesforce-Umgebung verbundenen Drittanbieteranwendungen.  

Unabhängig davon, ob es sich um eine Sandbox-Umgebung oder das Hinzufügen einer Integration handelt, werden Anwendungen von Drittanbietern häufig ohne Kontrolle durch das Sicherheitsteam mit einer Salesforce-Organisation verbunden, was zu einem Mangel an Kommunikation und Transparenz darüber führt, welche Anwendungen verbunden sind, wer die Anwendungen verwendet und welchen Zugriff diese Anwendungen auf Ihre Informationen haben könnten. 

Wir implementieren großartige Sicherheitsrichtlinien für unsere eigenen persönlichen Geräte, aber leider vergessen wir manchmal, diese auch in unseren Unternehmensumgebungen umzusetzen.
Ryan O'Boyle, Senior Manager of Cloud Architecture and Operations bei Varonis

In ihrer Rolle bei Salesforce Ben hat Christine erlebt, wie Administratoren Anwendungen von Drittanbietern Systemadministratorzugriff gewähren, wodurch die Anwendungen eine breite Palette von Zugriffen auf Ihre Salesforce-Organisation und die darin enthaltenen Daten erhalten. 

Sowohl Ryan als auch Christine empfehlen eine Zusammenarbeit von Sicherheitsteams und Salesforce-Administratoren, um ihren vorhandenen Bestand an Drittanbieter-Apps zu prüfen, den benötigten Zugriff neu zu bewerten und Apps zu entfernen, die nicht mehr verwendet werden.  

Christine fügt hinzu, dass die meisten Salesforce-Benutzer keinen Sicherheitshintergrund haben und sich der Auswirkungen ihrer Entscheidungen möglicherweise nicht bewusst sind. 

„Als Salesforce-Experten müssen wir anfangen, Sicherheit in unsere tägliche Arbeit einzubauen“, sagte Christine. „Das ist ebenso wichtig wie die Verwendung des Health-Check-Tools oder des Optimierers. Wir müssen damit beginnen, dies auch für die Anwendungen von Drittanbietern zu tun. Bauen Sie diese Überprüfung ein und seien Sie proaktiv, denn zu viele Sicherheitsprobleme sind reaktiv, und dann ist es in der Regel zu spät. 

Um proaktiv zu sein, sollten Sie wöchentlich, monatlich oder vierteljährlich Risikobewertungen Ihrer Salesforce-Umgebung durchführen, um herauszufinden, welche Anwendungen Zugriff auf die Daten in der Umgebung haben und wie diese Zugriff erhalten haben. 

Man sollte prüfen, welche Apps inaktiv, risikoreich oder nicht verifiziert sind. In diesem Beispiel sind mehrere Apps veraltet und können entfernt werden, da sie auf sensible Daten zugreifen können.

Schattendaten auf Community-Seiten lokalisieren und löschen. 

In den letzten Jahren gab es einen Vorstoß in Richtung „Digital First“, der Kunden den Zugang zu Self-Service-Support ermöglicht, wodurch Salesforce-Communitys und Erlebnisseiten immer beliebter wurden. Salesforce-Communitys sind eine großartige Möglichkeit, häufig gestellte Fragen, fachliche Artikel, Vertriebs- und Marketingmaterial und vieles mehr zu teilen.  

Das Risiko, dass diese Community-Sites Daten preisgeben, ist jedoch hoch, und es ist für Unternehmen wichtig zu verstehen, wie die Berechtigungen dieser Sites aus Datensicht konfiguriert sind. 

Daten auf diesen Websites können unter anderem durch falsch konfigurierte Berechtigungen offengelegt werden. Jemand lädt eine Datei hoch, die an einen Datensatz angehängt wird, der sie dann in eine Community-Site einbindet, wodurch sensible Daten der gesamten Organisation oder in manchen Fällen dem gesamten Internet zugänglich gemacht werden. 

Zusätzlich zu falsch konfigurierten Berechtigungen entdeckte unser Team bei Varonis auch Community-Sites, die aus geschäftlicher Sicht im Wesentlichen deaktiviert waren, jedoch nicht in Salesforce deaktiviert wurden. Diese „verlassenen“ Communitys, die Varonis Threat Labs als „Geisterseiten“ bezeichnet, haben immer noch Verbindungen zu Ihrer Umgebung und den darin enthaltenen Daten, wodurch die Wahrscheinlichkeit steigt, dass sie in die falschen Hände geraten. 

Bei dieser Sicherheitslücke handelt es sich nicht um einen Fehler oder ein technisches Problem auf Seiten von Salesforce, sondern um ein reines Konfigurationsproblem bei den Berechtigungen innerhalb der Organisation selbst. Sie kann durch eine angemessene Sicherheitsüberprüfung Ihrer Salesforce-Organisation vermieden werden.  

Exposure von Salesforce-Links 

Einige Unternehmen kennen sich mit dem Teilen von Links in Microsoft 365 oder Google aus, aber wussten Sie, dass es diese Funktion auch in Salesforce gibt?  

Die Einstellung kann in Ihren Salesforce-Organisationen aktiviert werden und ermöglicht es Endbenutzern, Dateien und Anhänge zu Datensätzen über eine öffentliche URL zu teilen.  

Es gibt einige großartige Sicherheitsmaßnahmen, die implementiert werden können, aber die meisten Salesforce-Benutzer wissen nicht, dass die Share-Einstellungen überhaupt aktiviert wurden und dass weitere Schritte unternommen werden müssen.  

„Die Wahrheit ist leider, dass viele Leute nicht wissen, dass die Einstellungen in der Umgebung überhaupt aktiviert sind oder wie viele Benutzer auf diese öffentlichen Links zugreifen oder sie sogar erstellen können“, sagte Ryan. „Das ist ein großer Trend, den wir beobachten, und ich würde jeden da draußen dazu ermutigen, einen kurzen Blick darauf zu werfen, wer öffentliche Links in seinem Salesforce erstellen kann.“ 

Proaktiv mit Ihrer Salesforce-Sicherheit umgehen.  

Auch wenn die in diesem Blog behandelten Risiken unterschiedlich sein mögen, bleibt ein Aspekt konstant: Unternehmen müssen Zeit aufwenden und formelle Sicherheitsprozesse erstellen, um ihre Salesforce-Umgebungen sicher zu halten. 

Salesforce tut so viel für uns, aber die Sicherheit unserer Daten liegt in unserer Verantwortung. Ich denke, jetzt ist eine großartige Gelegenheit für Salesforce-Experten, ihre Unternehmen über ihre Rolle und deren Umfang aufzuklären und sie daran zu erinnern, dass etwas getan werden muss.
Christine Marshall, Courses and Community Director bei Salesforce Ben

Christine und Ryan geben an, dass der Beginn einer Risikobewertung eine gute Möglichkeit ist, Einblick in die Sicherheitsbedenken in Ihrem Unternehmen zu gewinnen. Varonis bietet eine kostenlose Risikobewertung, die Ihnen konkrete Schritte zur Priorisierung und Behebung wichtiger Sicherheitsrisiken und Compliance-Probleme in Ihren Daten bietet.  

„Eines unserer Ziele ist es, die Risikobewertung zu vereinfachen und Ihnen das Leben leichter zu machen, wenn es darum geht, Daten, potenzielle Fehlkonfigurationen und Integrationen zu sichern und sicherzustellen, dass Sie die höchstmögliche Sicherheitsstufe erreichen“, so Ryan. „Es ist etwas, das Sie intern nutzen können, um andere im Unternehmen zu schulen und die Effizienz Ihres Teams zu steigern.“ 

Sehen Sie sich die komplette Sitzung mit Ryan und Christine an, um mehr über die Sicherheitsrisiken für Ihre Umgebung zu erfahren und darüber, wie Varonis für Salesforce Ihre Daten schützen kann.