Vercel最近的安全泄露并不是技术失误,而是公司在定义第三方风险时的可预测性疏忽。一名员工被授予访问Context.ai的权限,而该工具并未被归类为供应商,这暴露出一个系统性缺陷:仅将付费供应商视为风险的危险假设。
最重要的是什么
- Vercel的泄露突显了在第三方风险管理中忽视“影子供应商”的危险。
- Context.ai通过OAuth获得了企业访问权限,尽管并不是正式的供应商。
- 公司往往忽视未支付工具带来的风险,从而造成严重漏洞。
- 当前的TPRM框架需要修订,以包括自助服务应用程序。
- 攻击者利用定义差距,而不仅仅是技术缺陷。
为什么现在会出现这个问题
Vercel事件是对第三方风险管理(TPRM)的警钟。随着企业越来越多地使用像Context.ai这样的自助服务应用程序,风险也在增加。这次泄露引发了关于TPRM框架是否足以识别未经正式监督的工具所带来的风险的重新讨论。
许多组织仍然依赖过时的第三方定义,忽视没有直接合同的应用程序。这种疏忽使他们变得脆弱,尤其是在混合工作环境扩展和泄露潜在风险增加的情况下。
如何选择
| 情况 | 最佳举措 | 原因 | 注意事项 |
|---|---|---|---|
| 使用自助服务应用程序 | 更新您的TPRM定义 | 将所有具有访问权限的应用程序视为潜在风险 | 忽视内部政策更新 |
| 依赖OAuth权限 | 定期进行审计 | 确保仅授予必要的权限 | 跟踪权限的复杂性 |
| 与工具缺乏正式合同 | 实施供应商入职流程 | 标准化所有应用程序的访问控制 | 用户对灵活性的抵制 |
更大的图景
Vercel的泄露不仅仅是一个孤立事件;它揭示了企业安全中的一个令人担忧的趋势。攻击者利用了定义差距,通过一个未被Vercel的TPRM程序识别的工具获得了访问权限。这突显了安全协议中的一种危险误解:认为未付费工具不是风险。
其影响是显著的。通过未能识别影子供应商,公司创造了安全盲点。Context.ai在没有正式合同或治理的情况下访问了Vercel的数据,其访问级别与传统供应商相同,但没有受到审查。员工可能不理解授予此类访问权限的风险,从而加剧了问题。
深入探讨的方向
- Forrester AI Access - 探索AI在改善决策中的作用。
- Forrester Decisions - 有关有效风险管理策略的见解。
- The Forrester Wave™ - 风险管理解决方案的详细评估。
- Forrester Market Insights - 了解市场趋势和威胁的最新动态。
本周该做什么
打开您的风险管理框架,识别哪些应用程序被归类为供应商。评估您的定义是否需要更新,以包括自助服务工具,避免Vercel遇到的陷阱。这一步主动措施可以防止您的组织发生类似的泄露。