• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 新聞速寫

當機器身分與人類比例高達 109:1 時,企業應如何評估身分安全成熟度

2026-07-09
分類 : 新聞速寫
0
A A
0

文/Palo Alto Networks 機器身分安全產品行銷資深總監Peter Beardmore 以及Palo Alto Networks 機器身分解決方案副總裁Uzi Ailon

企業內部平均每位員工相對應的機器身分在今年達到了 109:1,高於去年的 82:1。此外,有 77% 的企業預期這個數字還會持續攀升。

機器身分不僅是由 API 金鑰和憑證組成而已,其結構也正在發生變化。根據《2026 年身分安全現況報告》,已有 99% 的企業使用了 AI 代理(AI agents),其中 40% 的 AI 代理已經擁有存取企業內部資料的權限。機器身份不只是在數量上激增,它們還變得更聰明、更具自主性,且更難以追蹤。

大多數企業對於已經部署的機器身分,仍缺乏一致性的管控機制,僅有 37% 的企業有能力撤銷 AI 代理的憑據;且只有 30% 的企業針對這些 AI 代理的行為,擁有不可篡改的稽核日誌。此外,根據 《Unit 42® 全球事件回應報告》,AI 輔助攻擊可在 25 分鐘內,從初始入侵推進至資料竊取。

這讓資安團隊陷入兩難,他們被要求支援更多自動化流程、更多雲端服務與更多 AI 代理程式,卻尚未完整掌握已在企業內部運作的機器身分全貌。

在奧斯汀舉行的 Impact 2026 大會上,我們在機器身分安全專題中推出了「成熟度框架」,為資安團隊提供了一套評估方法,幫助他們衡量自身現狀、找出盲點,並釐清接下來的優先執行順序。在本篇文章中,我們將回顧該場專題的核心摘要,並提供一個實用的切入點,協助企業在本季度為機器身分安全 KPI 建立基準值。

重點:企業中機器身分與人類身分的比例已達 109:1,高於去年的 82:1。(2026 Palo Alto Networks 身分安全現況報告)

為什麼秘密資訊管理無法以「機器速度」保障 AI 代理的安全?

秘密資訊管理幫助了大多數企業安然度過第一波浪潮。當時你可能擁有數百個、甚至數千個秘密資訊,你只要將它們集中託管在憑據金庫中,設定好輪替策略,任務就完成了。

然而,那樣的模型並不是為了現在的新世界所設計的——在這個新世界裡,容器在短短數秒內便能完成啟動與消失;每個雲端平台的驗證方式都截然不同,且 AI 代理需要擁有自己的身分,而不僅僅是借用憑據。

秘密資訊管理依然是根本,但光靠它已經不夠了。當你最快的輪替策略是以「小時」為單位計算,而攻擊者的行動則是以「分鐘」為單位時,這項防禦方程式就無法成立了。你需要的是「身分」,而不僅僅是「憑據」。

這項轉變體現在以下三個面向:

  • AI 代理程式需要加密身分,而不是靜態的 API 金鑰。
  • 工作負載需要能橫跨舊有虛擬機器、容器、無伺服器架構與多雲端環境的通用驗證機制。
  • 資安團隊需要的是一份涵蓋企業內所有機器身分的統一清冊,而不是在六個不同的憑據金庫之間逐一搜尋、拼湊資訊。

機器身分安全的下一階段,必須能清楚掌握組織內有哪些機器身分存在、它們可存取哪些資源、由誰負責管理,以及當風險狀況改變時,企業能以多快的速度調整其存取權限。隨著自主系統開始以機器速度做出存取決策,憑據金庫過度分散將進一步衍生出嚴重的營運持續運作、稽核合規與風險管理等問題。

您的企業位於機器身分成熟度曲線的哪個階段?

雖然推動這項轉變的因素相當明確,但達成目標所需的步驟卻不然。企業環境高度複雜,且不同組織部門之間的成熟度往往不一致、差異甚大,使得企業難以制定一套兼具一致性與實務可行性的策略。

考慮到這些挑戰,我們建立了包含五個層級的機器身分安全成熟度指標,正常而言,大多數企業都不會完美符合單一層級。資安團隊不需要在一夜之間達到第五級,我們的目標是掌握全局,並制定出一個能夠識別、填補漏洞,又能與業務優先順序保持一致的策略。

秘密資訊

機器身分關鍵績效指標KPI

以下五個層級,從「我們不知道有哪些機器身分存在」,逐步邁向「我們能在雲端、本地端、CI/CD 流水線、SaaS 環境與 AI 代理程式之間,持續探索、治理、輪替、撤銷並稽核機器身分存取權限」。

然而,成熟度模型只有在能衡量進展時才有價值。以下具體 KPI可協助判斷,企業是真的在向前推進,還只是完成表面上的檢核項目。

第 1 級到第 2 級:從盲點走向可視性

在雲端、本地端、CI/CD 與 SaaS 環境中,究竟有哪些機器身分存在?

  • 已納入清冊的秘密資訊比例:這適用於所有環境,包括雲端、本地端、CI/CD 與 SaaS。若無法以具體數據回答這項問題,代表您仍處於第 1 級。
  • 偵測到未受管理秘密資訊數量:透過 Idira™ Discovery and Context功能,企業現在可以透過Secrets Manager,對散落於各個環境中、原先一無所知的秘密資訊和憑據金庫建立可視性。第一次建立秘密資訊/身分清冊的結果通常會令人震驚,在企業「以為」擁有的數量與「實際」在運作的數量之間,往往存在超乎想像的差距。
  • 識別出的未控管憑據金庫數量:憑據金庫過度分散,是企業資安中容易被忽視的隱形風險,也凸顯多數企業所使用的秘密資訊儲存位置,實際上比預期更多。

如果無法產出最新的秘密資訊/身分清冊,您所在企業的本季度第一個 KPI應該要是「清冊的覆蓋率 」。可視性是後續每個成熟度階段的基礎,這也是基本零信任架構真正落地的起點:無法識別的項目,就無法驗證。

第 2 級到第 3 級:從可視到可控

您所知道的秘密資訊是否確實受到一致策略的控管?

  • 秘密資訊集中管理比例:目標為 100% 的生產環境秘密資訊都納入由策略驅動的輪替機制中。
  • 遭入侵憑據的平均輪替時間:若仍需數天才完成輪替,代表企業存在明顯風險;理想目標應是在數分鐘至數小時內完成。
  • 憑據金庫擴散比率:減少每個環境中的活躍秘密資訊儲存庫數量,對於維持資本紀律及降低總持有成本至關重要。
  • 政策涵蓋率:指的是被「強制執行」輪替與存取政策的秘密資訊比例,而不僅僅只是停留在文件紀錄。

第 3 級到第 4 級:從秘密資訊到身分

您所在企業中的工作負載是否仍依賴靜態憑據,或已採用以身分為基礎的驗證機制?

  • 靜態、長效憑據的比例減少:每淘汰一組靜態憑據,就少一個永久後門。
  • 具備加密身分的工作負載百分比:這是從「基於憑據的安全」轉變為「基於身分的安全」的分水嶺。
  • 使用基於身分的驗證機制,與共用秘密資訊或 API 金鑰連線的比例。
  • 建立新工作負載身分的平均時間:如果讓一項新服務上線,都需要填寫表單並等待三天,那麼您還沒準備好進入層級 4。

第 4 級到第 5 級:從身分走向大規模治理

機器身分生命週期管理,是否能跟上跨環境、跨工作負載與 AI 代理程式的規模化需求?

  • 透過工作負載身分進行治理的 AI 代理比例:《2026 Identity Security Landscape》調查發現,僅有 37% 的組織具備撤銷 AI 代理程式憑據的能力,這便是正是目前安全防禦的漏洞 。
  • 撤銷代理程式存取的平均時間:當代理程式失控或遭到入侵時,企業能多快切斷其存取權限?調查顯示,多數企業無法回答這個問題。
  • 環境具備代理程式不可竄改稽核日誌的比例:僅有 30% 的企業表示具備此能力。若缺乏這項能力,就無法回答「哪個代理程式在何時存取了什麼」。
  • 身分生命週期自動化比例:從建置到撤銷都無需人工干預。在大規模運作下,手動的身分管理是一項安全漏洞,而非一項流程。

在各個層級都至關重要的三項成熟度指標

無論您正在建立第一份資產清冊,或已在大規模治理 AI 代理,以下三項訊號都能反映您所在企業機器身分安全計畫的實際運作健康度:

  1. 稽核準備時間:產出完整機器身分清冊所需的時數。如果答案是「我們可能需要幾週」,這本身就已說明一切。
  • 具備明確負責人的機器身分比例:孤兒身分就像敞開、等待攻擊的大門。
  • 偵測機器身分遭到入侵的平均時間:《Unit 42 Incident Response Report 》顯示,AI 輔助的攻擊從取得存取權限到外洩資料僅需 25 分鐘。您的偵測空窗期必須短於攻擊者的攻擊鏈。

您的基礎架構準備好迎接代理式 AI 了嗎?

如果尚未掌握第 1、2、3 層級之能力,企業難以很難有效保障 AI 代理員工的安全,而第 4 與第 5 層級,則可驗證企業是否具備規模化部署的能力。

AI 代理具有不可預測性(Non-deterministic),它們會自己判斷要使用哪些工具、要存取哪些資料,因此也可能做出預期之外的行為。 如果企業沒有做好身分治理,就很難知道是哪一個 AI 代理存取了哪些資料;當它出現異常行為時,也很難即時把它停用。

這套成熟度指標也可作為檢視企業 AI 準備度的初步判斷。企業目前所處的成熟階段,將決定它是否能安全地部署 AI 代理,或只是把更多自主運作的機器盲目地加入到一個原本就看不清、也難以控管的環境中。

Idira™ 時代:Impact 2026 揭示全新能力

Impact 2026 大會的機器身分安全專題,涵蓋橫跨整個成熟度光譜的全新功能,這些功能目前已整合於 Idira™ 身份安全平台 中:

資產偵測與情境分析

立即全面盤點混和雲端和第三方保管庫的秘密資訊、工作負載及 AI 代理,提供持續性的情境,以治理高達 109:1 的機器對人類身分比例。

安全工作負載存取

為每個工作負載提供通用加密身分,無論工作負載源自何處或位於何處,皆可即時驗證存取。

降低憑據金庫分散程度

集中化管理傳統及第三方憑據金庫,為基礎架構團隊降低總持有成本,並減輕日常的營運負擔。

無限制存取

使用最合適的存取方式(基於身分或基於秘密資訊),安全地將任何工作負載連接到任何目標,且不會對 CI/CD 流水線造成任何阻礙。

為開發人員打造的精準 AI

全新 AI 驅動的工具能自動識別 IDE(整合開發環境)中內嵌(Hardcoded)的秘密資訊,並將其轉化為安全的 API 呼叫。

從可衡量的項目著手

機器身分安全並非一蹴可及。第一步應該先瞭解企業在成熟度曲線中所處的位置,下一步則是選擇能證明企業正在前進的 KPI。

請從上述列表中挑選出三個符合目前企業成熟度層級的 KPI,並在本季度建立基準值。如果您不清楚自己的數據,請從 Idira Discovery & Context 開始建立可視性,因為企業無法改善看不見的東西。

成熟度指標能夠為您指引方向,而基準測試則能告訴您是否正在前進。

欲了解更多詳細資訊,請參閱《2026 Identity Security Landscape Report》。

標籤: Palo Alto Networks資訊安全
上一篇文章

HPE助力主權AI研究與大型企業 簡化超級運算架構的部署與管理體驗

相關文章

HPE助力主權AI研究與大型企業 簡化超級運算架構的部署與管理體驗
新聞速寫

HPE助力主權AI研究與大型企業 簡化超級運算架構的部署與管理體驗

2026-07-09
AhnLab V3 榮獲VB100最高A+認證 100% 惡意軟體偵測率 展現世界級端點安全防護實力
新聞速寫

AhnLab V3 榮獲VB100最高A+認證 100% 惡意軟體偵測率 展現世界級端點安全防護實力

2026-07-09
◤ SentinelOne 亞洲區資安工程總監王琳。
供應商視野

SentinelOne AI 全棧式安全平臺邁向自動化 SOC

2026-07-08
2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • 當機器身分與人類比例高達 109:1 時,企業應如何評估身分安全成熟度
  • HPE助力主權AI研究與大型企業 簡化超級運算架構的部署與管理體驗
  • AhnLab V3 榮獲VB100最高A+認證 100% 惡意軟體偵測率 展現世界級端點安全防護實力
  • 銀行數位金庫面臨換鎖大限?解密二零三零資安存亡戰
  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0
  • 主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

【金融業】後量子密碼遷移 PQC 的落地實務

一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量

從微支付到跨境結算,大廠布局 AI Agent 經濟基建

文/許加政(資策會數轉院資深研究員) AI 的快速發展與應用,其角色已從「回答問

【影】為主動式AI鋪路 嘉基啟動資料庫與資訊架構改造,升級智慧醫療

整理/鄭宜芬 在醫療資源不均、高齡化加速與AI快速改變醫療現場的時代,醫院的角色

別再要求 IT 讀心術:當 IT 被迫發明需求時,治理其實已經失敗

數位專案的頻繁失控,往往並非源自技術能力不足,而是組織在不自覺中,將「尚未想清楚

量子風險升至董事會層級 金管會揭 PQC 遷移指引七大策略

整理/鄭宜芬 為協助金融機構因應量子運算技術發展可能帶來之資安風險,金融監督管理

【專訪】遠創智慧資訊處資深經理兼副處長陳懿玲

從 ETC 到停車 AI 治理平台 打造大規模 Edge 營運韌性 在生成式 A

當區塊鏈風險離開鏈上——跨鏈世代的資安盲點與治理挑戰

過去幾年,企業評估區塊鏈風險時,焦點多放在智慧合約漏洞、私鑰保管與帳本安全。然而

從生成式 AI 到 AI Agent 國科會揭五大治理風險與防範指引

整理/鄭宜芬 隨著生成式 AI 乃至 AI Agent(AI 代理人)技術逐漸深

CRA 驅動信任根升級 FIDO:AI Agent 時代臺灣硬體供應鏈迎新挑戰

整理/鄭宜芬 隨著全球「無密碼驗證」(Passwordless Authenti

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音