在云优先技术和软件即服务 （SaaS） 模型的推动下，数字生态系统的快速发展暴露了传统第三方治理实践中的明显弱点。关键基础设施技术研究所 （ICIT） 2024 年的一份报告强调，企业需要采用现代化的治理框架来降低与第三方访问和数字身份管理相关的风险。 

长期以来，第三方治理模型依赖于静态的年度评估，难以解决当今 SaaS 主导环境的复杂性。像 Snowflake 泄露这样的事件凸显了凭据泄露的危险，这可能会通过单个供应商影响数百家企业。传统框架通常缺乏与身份和访问管理 （IAM） 流程的集成，从而在云帐户配置和监督方面留下了关键漏洞。 

ICIT 强调利用内部和外部网络安全事件见解的重要性。例如，由威胁行为者 UNC5537 精心策划的 Snowflake 泄露事件涉及专门设计用于收集客户凭据的恶意软件。此事件揭示了一个根本的弱点：第三方治理系统中缺乏强大的 IAM 集成。从此类案例中主动学习可以指导企业采取更具弹性的控制措施，并降低重复攻击的风险。 

IAM 在保护 SaaS 生态系统方面发挥着关键作用，但第三方治理流程中通常不存在 IAM。专为本地环境设计的传统 IAM 系统无法解决基于云的软件开发的分散性问题。随着 DevOps 团队越来越依赖 SaaS 平台来获取代码存储库、构建工具和基础设施，对全面 IAM 集成的需求也在增长。如果没有适当的 IAM 控制，云帐户注册过程通常缺乏多因素身份验证 （MFA） 和最低权限访问等保护措施。这种疏忽为凭据盗窃创造了肥沃的土壤，使攻击者能够渗透云服务并提升权限。 

ICIT 倡导从静态评估转变为动态、数据驱动的治理模型。这些系统使用持续的数据反馈来监控供应商行为并实时调整风险评分。例如，突然的异常情况（例如凭证泄露）可能会触发自动化工作流程，以通知利益相关者并促使立即采取纠正措施。这种方法最大限度地减少了对年度自我认证的依赖，并将第三方治理转变为运营风险管理功能。 

将 IAM 与第三方治理集成对于解决现代软件供应链的复杂性至关重要。将IAM 应嵌入到整个供应商生命周期中 - 从入门认证到取消配置。这包括对特权账户实施 MFA、应用行为监控以及确保符合企业范围的数字身份策略。通过将 IAM 与治理实践保持一致，组织可以降低基于凭证攻击的可能性并提高整体供应链安全性。该报告还呼吁对包括审计师和监管机构在内的主要利益相关者进行教育，让他们了解实时、IAM 增强的治理系统的好处。  

ICIT 报告最后还传达了一个明确的信息：企业必须调整其第三方治理策略，以反映云优先运营的现实情况，这包括投资高级 IAM 工具、重新思考供应商风险评估方法以及促进 IAM 与治理团队之间的协作，否则可能会导致软件供应链攻击及其相关业务影响的风险增加。通过采用嵌入 IAM 的实时治理框架，组织可以保护其数字生态系统，同时实现当今竞争格局所需的创新和敏捷性。  

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送