close
企業趨勢

攻擊者不再爆門而是登入 Palo Alto: 由 PAM 到 AI Agent 管治


123

Palo Alto Networks宣布在香港推出新一代身份安全平台 Idira,將原本主要監控人類員工特殊權限存取管理(PAM),擴展至機器帳戶與 AI Agent。Palo Alto Networks 表示,Idira 是一個管理企業內人類、機器及代理型身份的身份安全平台。這亦是 Palo Alto Networks 收購 CyberArk 後首個重大產品整合,為現有 CyberArk 客戶提供升級選項。

機器身份數量已經「爆棚」:109 隻機械人對 1 個人

根據 Palo Alto Networks 最新調查報告,機器身份(包括 AI Agent)現時已達人類身份 109 倍,較一年前 82 倍急升近 32.9%。更值得留意是,109 隻機器身份之中,有 79 隻其實是 AI Agent,佔整體機器身份約 72.5%。

這項調查訪問全球接近 3,000 位網絡保安決策者。研究預測,未來 12 個月機器身份將增長 77%,人類身份增長 56%,AI Agent 身份增長速度最快,達 85%。換言之,未來企業內部「打工仔」比例愈來愈低,各種自動化程式、服務帳戶及 AI Agent 將佔絕大多數。

20260709170102 Palo Alto安全管理系統與AI Agent在企業中的應用示意圖.

攻擊者不再「爆門」,而是直接「登入」

過去網絡攻擊多數依靠漏洞入侵,但現時身份本身已成為最大缺口。研究顯示,過去 1 年有 9 成企業曾發生身份相關資料外洩事件。企業一方面加緊部署 AI Agent 提升效率,另一方面未必追得上治理這批「數碼員工」的步伐——目前只有 37% 企業能夠撤銷 AI Agent 憑證,僅 30% 具備不可篡改稽核日誌記錄 Agent 行為。

Idira :由「常駐權限」走向「即時授權」

Idira 嘗試解決核心問題:傳統 PAM 只集中管理少數擁有高權限的管理員帳戶,但現時幾乎每個帳戶(包括 AI Agent)都可能隨時接觸敏感數據。平台主要處理 3 件事:

主動探索:持續掃描環境內所有身份、權限及存取路徑,並提供即時授權(just-in-time)機制。
動態控制:以「零常駐權限」(Zero Standing Privilege)模式取代長期有效存取權,改由中央控制平面按需要授權。
自動治理:將身份生命週期由建立到撤銷全面自動化,減少人手審批延誤。
現有 CyberArk 客戶可視乎原有產品版本,免費或以額外授權方式升級至新功能,涵蓋傳統 PAM、現代 PAM、員工存取及機器/AI 身份保護 4 大類別。

企業身份安全政策,AI Agent 應該點樣「入冊」?

無論企業有否打算採購 Idira 或同類產品,AI 時代正嚴重考驗身份安全思維。以下幾點值得企業內部 IT 及保安團隊反思,並考慮寫入正式身份安全政策(Identity Security Policy):

AI Agent 要有獨立身份,不應借用人類帳戶:不少企業初期部署 AI Agent 時,為求方便直接沿用現有服務帳戶或 API Key,長遠會令追蹤及問責變得混亂。政策上應要求每個 AI Agent 都有獨立、可追溯身份記錄。

預設「零常駐權限」,減少長期有效高風險存取:目前仍有 61% 特殊權限存取請求採用固定權限模式,而非按需要授予。企業應訂立具時限、按用途授權原則,用完即收回。

建立可撤銷、可稽核機制:政策必須明確規定,一旦 AI Agent 出現異常行為,例如存取範圍超出授權,保安團隊要能夠即時中止其存取權,並保留完整日誌以供追查。

「誰批准建立這個 Agent」這個問題要有答案:AI Agent 部署決策本身就是一次管治事件。企業應清楚記錄由哪位員工或部門提出建立要求、用途及存取範圍,避免出現「無人知道這個 Agent 為何存在」的情況。

買個平台之外還要想多一步

值得留意是,單靠採購一個身份安全平台,並不會自動解決問題。企業首先要做好資產盤點——如果連自己有多少個 AI Agent、部署在哪裏都不清楚,任何工具都難以發揮作用。另外,將所有身份管理集中在單一供應商平台,雖然方便統一治理,但亦要衡量供應商鎖定(vendor lock-in)風險,以及一旦該平台本身出事,會否變成單點故障。

企業亦要小心「將 AI Agent 當人類管理」這個思維陷阱。AI Agent 行為模式及存取需求,與人類員工有很大差異——每一次授權都可能觸發連鎖工作流程,牽涉多個系統。企業設計政策時不能簡單照搬現有員工存取規則,而要重新設計一套適合機器及代理身份的治理框架。

總結與展望:身份治理將成為 AI 部署先決條件

隨着企業加快部署自主 AI Agent,身份已取代網絡邊界,成為新一代攻防戰場。Idira 只是眾多廠商回應這個趨勢的其中一步,預計未來 1 年會有更多網絡保安廠商,陸續加強機器及代理身份管理功能,形成新一輪競爭。對企業而言,重點不在於選用哪個品牌工具,而是能否盡快建立一套涵蓋人類、機器及 AI Agent 的統一身份治理政策——這一步做得慢,隨時成為下一次資料外洩事件源頭。

兩位男士在Palo Alto展台前合照,背景有公司標誌和展示屏幕.
左; Wickie Fung, Hong Kong & Greater Bay Area at Palo Alto Networks,右: Sheung-Chi Ng, Director, Solutions Engineering – North Asia, Palo Alto Networks