【CyberArk調查】機器身分成關鍵攻擊面　60%港企缺乏身分安全管理

全球身分安全供應商 CyberArk 正式發布最新《2025 身分安全形勢報告》香港調查結果，其中 60% 受訪香港企業缺乏身分安全管理，以保護雲端架構和工作負載。當中 95% 港企過去 12 個月曾經歷以身分為中心的安全事故，包括網絡釣魚和語音詐騙攻擊、特權存取權限遭濫用等，數字高於全球平均水平。

CyberArk 北亞區總監潘耀康表示：「受機器身分數量激增和 AI 代理整合影響，身分生態系統日趨複雜，因此企業亟需一種現代化且統一的安全策略。隨著香港通過《保護關鍵基礎設施（電腦系統）條例草案》等舉措加強網絡安全框架，企業將需提升其韌性標準。」

是次調查顯示，隨著 AI 和雲端技術獲廣泛應用，全球企業正無意間構成以身分為中心的新攻擊面；機器身分在大多數企業處於未知且未受管理的狀態，而 AI 代理的主要部署挑戰，涉及對外部操控和敏感存取的安全疑慮，反映身分安全正面臨前所未有且日益嚴峻的挑戰。

《2025 身分安全形勢報告》香港主要調查結果

1. 「機器崛起」導致未受保護的特權身分激增：

企業內，由雲端和 AI 驅動的機器身分數量，現已遠超人類身分，當中逾半擁有敏感或特權存取權限。惟不少企業仍未對人類和機器存取關鍵系統提供充分安全保護。

• 全球企業中，每位員工平均擁有 82 個機器身分。
• 高達 92% 受訪香港企業表示，其「特權用戶」的定義僅適用於人類身分，但實際上 51% 機器身分擁有特權或敏感存取權限。
• 60% 受訪香港企業缺乏身分安全管理，以保護雲端架構和工作負載。
• 95% 港企在過去 12 個月曾經歷以身分為中心的安全事故，包括網絡釣魚和語音詐騙攻擊、特權存取權限遭濫用，以及身分或憑證被竊取，數字高於全球平均水平（87%）。

2. AI 無處不在，以身分為中心的 AI 代理風險日益顯現：

獲授權與未經授權的 AI 及大型語言模型（LLMs）應用正推動企業變革，同時加劇網絡安全風險。企業對 AI 代理的出現及其擁有的特權存取感到擔憂，進一步凸顯具針對性的身分安全投資尤為迫切。

• AI 預計將在今年內生成大量具特權和敏感存取權限的新身分，成為主要身分來源。
• 67% 受訪香港企業尚未針對 AI 採取身分安全管理。
• 46% 企業無法管控對影子 AI 的安全使用。
• AI 代理的主要部署挑戰涉及對操控風險及敏感存取的疑慮。

3. 複雜挑戰與身分孤島讓安全領導者不堪重負，削弱企業韌性：

零散的身分安全機制及對環境的可視度不足，令企業在面對日益演變的網絡威脅時難以維持足夠韌性。特權管理合規要求愈趨嚴苛，使大多企業面臨更大壓力。

• 66% 受訪香港企業指身分孤島是網絡安全風險的根本原因。
• 73% 香港安全專業人員指，企業在營運上更重視業務效率，而非穩健的網絡安全系統。
• 預計今年內，擁有特權存取權限的人類與機器身分數量將倍增。
• 87% 受訪香港企業面臨來自保險公司要求加強特權控制的壓力。

CyberArk 全球策略總監 Clarence Hinton 表示：「企業爭相將 AI 融入各種環境，無意間帶來一系列全新身分安全風險，當中包括未受管理及未受保護的機器身分存取問題，而 AI 代理的特權存取亦將構成全新威脅面。為保持韌性，CISO 和安全領導者必須使其身分安全策略更加現代化，以應對不斷擴大的新攻擊面，這種攻擊面源於具有特權存取權限的身分數量激增，以及由身分孤島所帶來的潛在風險。」