Mo RezaAli
🇬🇧 EN 🇮🇹 IT 🇦🇪 AR 🇨🇳
تواصل
Article

ليس بائعًا، لكنه خرق: فشل Vercel في إدارة مخاطر الطرف الثالث

عندما تعترف برامج إدارة مخاطر الطرف الثالث فقط بـ "البائعين الذين ندفع لهم"، فإنها تقلل من تقدير التعرض في البيئات المدفوعة بالهوية.

3 min readMarketing
عندما تعترف برامج إدارة مخاطر الطرف الثالث فقط بـ "البائعين الذين ندفع لهم"، فإنها تقلل من تقدير التعرض في البيئات المدفوعة بالهوية.

لم يكن خرق الأمان الأخير الذي تعرضت له Vercel فشلًا تقنيًا، بل كان إغفالًا متوقعًا في كيفية تعريف الشركات لمخاطر الطرف الثالث. تم منح موظف حق الوصول إلى Context.ai، وهي أداة لم يتم تصنيفها كبائع، مما كشف عن عيب نظامي: الافتراض الخطير بأن البائعين المدفوعين فقط هم من يشكلون مخاطر.

ما يهم أكثر

  • يبرز خرق Vercel خطر تجاهل “البائعين الظل” في إدارة مخاطر الطرف الثالث.
  • حصلت Context.ai على وصول مؤسسي من خلال OAuth، على الرغم من عدم كونها بائعًا رسميًا.
  • غالبًا ما تتجاهل الشركات المخاطر الناتجة عن الأدوات التي لا تدفع مقابلها، مما يخلق ثغرات خطيرة.
  • تحتاج أطر إدارة مخاطر الطرف الثالث الحالية إلى مراجعة لتشمل التطبيقات ذات الخدمة الذاتية.
  • يستغل المهاجمون فجوات التعريف، وليس فقط العيوب التقنية.

لماذا يظهر هذا الآن

تعتبر حادثة Vercel بمثابة إنذار لإدارة مخاطر الطرف الثالث (TPRM). مع تزايد استخدام الشركات للتطبيقات ذات الخدمة الذاتية مثل Context.ai، تتزايد المخاطر. لقد أثار هذا الخرق نقاشًا متجددًا حول ما إذا كانت أطر TPRM كافية لتحديد المخاطر الناتجة عن الأدوات المعتمدة بدون إشراف رسمي.

لا تزال العديد من المؤسسات تعتمد على تعريفات قديمة للأطراف الثالثة، متجاهلة التطبيقات التي لا توجد لها عقود مباشرة. هذا الإغفال يجعلها عرضة للخطر، خاصة مع توسع بيئات العمل الهجينة وزيادة احتمالية حدوث خروقات.

كيفية الاختيار

الحالة أفضل خطوة لماذا احذر
استخدام التطبيقات ذات الخدمة الذاتية تحديث تعريفات TPRM التعرف على جميع التطبيقات التي لديها وصول كمخاطر محتملة تجاهل تحديثات السياسات الداخلية
الاعتماد على أذونات OAuth إجراء تدقيقات منتظمة التأكد من منح الأذونات الضرورية فقط تعقيد تتبع الأذونات
عدم وجود عقود رسمية مع الأدوات تنفيذ عملية تسجيل البائعين توحيد التحكم في الوصول لجميع التطبيقات مقاومة من المستخدمين المعتادين على المرونة

الصورة الأكبر

إن خرق Vercel ليس مجرد حادثة معزولة؛ بل يكشف عن اتجاه مقلق في أمان المؤسسات. استغل المهاجمون فجوة تعريفية، مما أتاح لهم الوصول من خلال أداة لم تعترف بها برنامج TPRM الخاص بـ Vercel. يبرز هذا سوء تفسير خطير في بروتوكولات الأمان: الاعتقاد بأن الأدوات غير المدفوعة ليست مخاطر.

الآثار كبيرة. من خلال الفشل في التعرف على البائعين الظل، تخلق الشركات نقاط ضعف في الأمان. حصلت Context.ai على بيانات Vercel بدون عقود رسمية أو حوكمة، تعمل بنفس مستوى الوصول مثل البائعين التقليديين ولكن بدون تدقيق. قد لا يفهم الموظفون مخاطر منح مثل هذا الوصول، مما يزيد من تفاقم المشكلة.

أين تتعمق أكثر

  1. Forrester AI Access - استكشف دور الذكاء الاصطناعي في تحسين اتخاذ القرار.
  2. Forrester Decisions - رؤى حول استراتيجيات إدارة المخاطر الفعالة.
  3. The Forrester Wave™ - تقييم مفصل لحلول إدارة المخاطر.
  4. Forrester Market Insights - ابقَ على اطلاع على اتجاهات السوق والتهديدات.

ماذا تفعل هذا الأسبوع

افتح إطار إدارة المخاطر الخاص بك وحدد أي التطبيقات مصنفة كبائعين. قم بتقييم ما إذا كانت تعريفاتك بحاجة إلى تحديث لتشمل الأدوات ذات الخدمة الذاتية، مما يتجنب الفخاخ التي واجهتها Vercel. يمكن أن تمنع هذه الخطوة الاستباقية حدوث خروقات مماثلة في مؤسستك.

المصادر والمزيد من القراءة

  1. ليس بائعًا، لكنه خرق: فشل Vercel في إدارة مخاطر الطرف الثالث
  2. البيانات، الذكاء الاصطناعي والتحليلات
  3. Forrester Decisions
  4. The Forrester Wave™
  5. Forrester AI