教育您的用户以帮助保护您的组织
学习目标
完成本单元后,您将能够:
- 解释强密码策略。
- 描述如何避免成为网络钓鱼电子邮件的受害者。
- 定义针对用户权限的最小权限方法。
用户可以访问有价值的数据
正如我们在上一单元中所介绍的,当今的网络犯罪目标往往是员工。有权访问财务记录或医疗保健数据等敏感数据的员工是黑客的重要目标。这就是为什么对 Salesforce 用户进行安全行为教育非常有助于保护您的实施安全并确保客户数据的安全。
个人用户在确保数据安全方面发挥着关键作用。让用户了解他们在保护 Salesforce 数据安全方面发挥的作用,从长远来看大有裨益。公司可以拥有的最有价值的资产是客户的信任。而您有责任保证客户的数据安全,以便每天都能赢得他们的信任。
与您的同事或其他 Salesforce 管理员讨论他们富有创意的用户合作方式,使他们更加了解并更有动力尽自己的一份力量来保护数据安全。寻找有趣的方式来对用户进行安全教育,例如举办竞赛或游戏,看看谁能最快注册多重身份验证 (MFA),这将让用户更愿意采用安全行为。您还可以采取更系统性的方法,与 IT 或网络安全团队合作定期进行网络钓鱼测试,训练用户对来自黑客的网络钓鱼电子邮件保持警惕。
注意密码
密码是防止未经授权访问 Salesforce 实施的第一道防线。最低限度要设置密码历史记录、长度和复杂性要求,以增强密码安全性并指定用户忘记密码时应采取的行动。
为了加强对用户帐户的保护,我们还要求客户使用 MFA 访问 Salesforce。MFA 意味着您必须拥有多种形式的身份验证才能获得访问权限,通常是您知道的东西(例如密码)和您拥有的东西(例如移动身份验证器应用程序上的代码)。
美国国家标准与技术研究院 (NIST) 定期发布数字身份认证和生命周期管理指南。无论您是否使用 MFA 和单点登录 (SSO) 等附加技术来提供额外保护,这些简单的最佳实践都有助于减少密码威胁。
使用唯一密码
我们都这么做过——在多个网站上使用相同的密码(Rover123,有人用吧?)。虽然这样会让密码容易记住,但由于该模式非常常见,所以攻击者在尝试破解密码时最先尝试的就是添加微小的变化。正是因为使用此类不安全的密码,当网站或平台遭到破坏(被黑客攻击)并且用户凭据被公开或在线出售时,攻击者就能访问重要信息。如果在遭破坏的网站上所用的密码也用于其他重要的地方,例如您的网上银行或公司数据库访问,则可能会导致严重的问题。如果您使用仅包含微小不同的同一组密码,攻击者只需尝试不同的变体就可以访问许多网站。
使用复杂的密码
要求密码至少包含 10 个字符,但密码越长越好。鼓励用户创建一个密码短语(一组串在一起的有实际意义的单词),以使其更容易记住,并至少结合一个数字和一个字符。强密码的一个例子是:CouchEagle$Window9783Fan。
每年更改密码
要求用户每年重置密码。
密码保密
提醒您的用户切勿通过在线或电话方式与任何人共享密码,包括他们的 Salesforce 密码。
使用密码管理器
使用 LastPass 或 1Password 等密码管理器是确保密码安全可靠的最佳方法之一。您的组织可能会为您提供密码管理器,但是即使组织没有提供,您也可以自己选择一个。密码管理器允许您保存任何网站的登录信息、生成安全密码并将其存储在安全的数据库中,让您无需记住您所使用的每项服务的复杂强密码。我们还建议为您的密码管理器启用 MFA 以使其更加安全。
Salesforce 绝不会通过电子邮件或电话联系您或您的用户询问您的密码。如果有人冒充 Salesforce 联系您并要求您提供密码或任何其他敏感信息(例如社会保障号码),请立即向 security@salesforce.com 报告该事件。
不要被网络钓鱼欺骗
大多数网络钓鱼攻击使用恶意软件来感染计算机,其代码旨在窃取密码或数据或破坏整个计算机或网络。幸运的是,您和您的用户不需要成为安全专家即可发现网络钓鱼电子邮件。
使用搜索引擎查找主题或发件人的电子邮箱
请记住,网络钓鱼电子邮件旨在利用正常的人类行为并引诱您单击恶意链接或下载附件。它们可能非常可信并且基于合法的前提,例如表示包裹正在送货或您的薪水已准备好。通常,发件人的电子邮件地址可能会引发危险信号,因为它与实际发件人的公司名称不匹配。 如果您不确定电子邮件是否合法,请尝试在搜索引擎中输入主题行或发件人的电子邮件地址,看看是否有任何其他来源报告其为网络钓鱼尝试。
单击之前请考虑来源并验证链接
切勿点击可疑电子邮件或来自未知发件人的电子邮件中的链接或打开附件。指导您的用户在点击之前暂停一下并认真评估来自未知发件人的电子邮件。验证电子邮件中的链接是否合法的另一个好办法是将鼠标悬停在链接上方以确认它们的定向位置。例如,如果电子邮件要求您单击 Salesforce 营销白皮书的链接,请将鼠标悬停在该链接上以查看 URL 是否以 salesforce.com 结尾。
与 Salesforce 核实
如果您不确定电子邮件是否来自 Salesforce,请通知您公司的 IT 或网络安全团队。由于安全团队需要电子邮件标头,因此您必须将可疑电子邮件的副本作为附件转发到 security@salesforce.com。请在主题行中包含“网络钓鱼”或“恶意软件”字样,以表明该电子邮件疑似网络钓鱼电子邮件。
您公司的安全团队可能会与 Salesforce 安全团队密切合作来识别恶意电子邮件。您还可以查看 security.salesforce.com 以获取 Salesforce 安全团队已知的最新电子邮件威胁列表。
让您的用户参与到安全行动中
用户行为的微小变化可能会产生重大影响。当 Salesforce 安全团队向我们自己的员工发送网络钓鱼电子邮件时,我们了解到,与未接受安全培训的员工相比,接受过安全培训的员工点击网络钓鱼链接的可能性只有一半,举报此类链接的可能性几乎是前者的两倍。请考虑在您自己的公司进行网络钓鱼测试,并定期提醒用户遵循安全最佳实践
谨慎地分配权利
一个关键的安全实践是为用户提供完成其工作所需的最小访问权限,也称为最小权限原则。
例如,业务分析师不需要查看客户的开单信息。一个很强大的最佳实践是限制具有管理员权限的用户数量(通常我们建议不超过五个),并定期检查以确保这些人需要继续拥有管理员权限。您还可以限制字段级别的可见性和权限。随着时间的推移,谁需要什么访问权限可能会发生变化,因此建立一种机制来定期仔细检查访问权限非常重要。
资源
- Salesforce 博客:做一个有安全意识的管理员
- 外部站点:NIST 特刊 800-63B:数字身份指南
- Trailhead Live:低代码的爱——维护安全的组织并自信地进行扩展
- Trailhead Live:管理员最佳实践:通过用户审计消除组织中的安全风险
- Trailhead:用户身份验证
- Salesforce 安全性:Salesforce 安全资源