Ein böswilliger Akteur, der sich als Benutzer ausgibt, ist in Salesforce unglaublich schwer zu erkennen. Sobald ein böswilliger Akteur legitime Anmeldedaten erlangt hat, kann er sich als Administrator ausgeben, auf sensitive Daten zugreifen und diese exfiltrieren – oft ohne einen Alarm auszulösen.
Indem sie zwischen Benutzeridentitäten wechseln, können Angreifer im Lärm großer Organisationen untertauchen. Mit komplexen Hierarchien von Profilen, Berechtigungssätzen, Rollen und Systemberechtigungen sind diese Angriffe in Salesforce schwer zu lokalisieren und zu verhindern.
In diesem Artikel gehen wir auf einen realen Angriff ein, bei dem Millionen von Datensätzen abgefangen wurden, und zeigen Ihnen, wie Sie Angriffe durch Benutzeridentitäten verhindern können.
Ein großes multinationales Unternehmen wandte sich an uns, nachdem es entdeckt hatte, dass Millionen von Datensätzen aus ihrem Salesforce CRM exfiltriert worden waren. Nach einer eingehenden Untersuchung haben wir herausgefunden, wie der Angreifer unbemerkt entkommen konnte.
So kam es zu der Datenschutzverletzung:
Mit mehr als einer Million Benutzern war diese Umgebung von Natur aus schwer zu verwalten, aber einige vermeidbare Hauptrisiken trugen zu dem Datenleck bei.
Folgendes haben wir herausgefunden:
Die Organisation hatte mehr als 600 Super-Admin-Konten, von denen viele eingefroren waren. Diese eingefrorenen Konten behielten jedoch weiterhin volle Berechtigungen. In Salesforce werden durch das Einfrieren eines Kontos dessen Berechtigungen nicht entfernt. Bei einer Reaktivierung erhält das Konto alle vorherigen Zugriffsrechte zurück.
Dies stellt ein erhebliches Risiko dar. Bedrohungsakteure wie Scattered Spider nutzen Social Engineering, um Helpdesks dazu zu bringen, Passwörter und MFA zurückzusetzen, wodurch eingefrorene Konten mit intakten Rechten reaktiviert werden.
Die Organisation hatte Dutzende veralteter App-Zuweisungen. Diese veralteten App-Zuweisungen behalten oft OAuth-Tokens und Berechtigungen bei, wodurch eine Hintertür für Angreifer oder böswillige Insider geschaffen wird, um auf sensitive Daten zuzugreifen und diese zu exfiltrieren.
Das vielleicht alarmierendste Problem ist, dass die Produktionsdaten dieses Unternehmens mit einer riesigen Sandbox-Umgebung synchronisiert wurden. Sandboxes fehlen in der Regel die strengen Kontrollen von Produktionsumgebungen, was zu einer gefährlichen Mischung aus sensitive Daten und schwächeren Zugriffskontrollen führt.
Obwohl die Nachahmung eines Benutzers schwer zu erkennen ist, war dieses Datenleck vermeidbar. So schließen Sie die Lücken:
Prüfen und beseitigen Sie Berechtigungen, die nicht mehr benötigt werden. Wenn Sie ein Konto einfrieren, entfernen Sie seine Berechtigungen, um die Angriffsfläche zu verringern und Audits zu vereinfachen. Regelmäßige Überprüfungen helfen dabei, das Least-Privilege-Prinzip durchzusetzen.
Überprüfen Sie den Zugriff auf Drittanbieter-Apps und entfernen Sie Zuweisungen, die nicht mehr relevant sind. Dadurch wird eine unnötige Exposure vermieden und das Risiko einer Datenexfiltration durch vergessene Integrationen verringert.
Die beste Praxis ist, keine Produktionsdaten in Sandbox-Umgebungen zu synchronisieren. Halten Sie Umgebungen isoliert, um versehentliche exposure zu verhindern und stärkere Zugriffskontrollen aufrechtzuerhalten.
Die obige Empfehlung kann schwierig umzusetzen sein, insbesondere in einem großen Unternehmen. Varonis bietet die umfassendste Salesforce-Sicherheitslösung zur Eliminierung von Risiken und Erkennung von Bedrohungen mit automatisierten Sanierungen, um sicherzustellen, dass Sicherheit und Bedrohungserkennung skaliert werden.
Varonis zeigt Ihnen die effektiven Berechtigungen jedes Benutzers und wie er diese mithilfe automatisierter Sanierung erhalten hat, beispielsweise durch das Entfernen von Berechtigungen aus eingefrorenen oder veralteten Konten.
Varonis entdeckt alle verbundenen Drittanbieter-Apps, bewertet deren Risiko und überwacht ihre Aktivität. Es kann nicht genehmigte oder ungenutzte App-Verbindungen automatisch entfernen.
Varonis überwacht Salesforce und Ihren gesamten Datenbestand proaktiv auf verdächtiges Verhalten, einschließlich Berechtigungseskalation, Massenzugriff auf Objekte und Datenexfiltration. Varonis korreliert Identitäten über Apps hinweg, um Bedrohungen wie einen Benutzer aufzudecken, der sich über Okta anmeldet, auf Salesforce zugreift und Daten an ein persönliches Konto sendet.
Um Ihre sensitiven Daten zu schützen, müssen Sie wissen, wo sie gespeichert sind, wer darauf zugreifen kann und was mit ihnen geschieht. Nur Varonis vereint all dies auf einer Plattform.
Varonis schützt Salesforce und andere SaaS-Apps sowie Cloud- und lokale Daten.
Möchten Sie herausfinden, welche Risiken in Ihrer Salesforce-Umgebung bestehen? Starten Sie noch heute eine kostenlose Data Risk Assessment.