Sophos研究｜7成企業曾遇身份入侵　人為錯誤及非人類身份成主要攻擊點

隨著 AI 代理迅速普及，身份風險將持續升溫。網絡安全解決方案供應商 Sophos 發表報告，顯示有逾七成企業於過去一年內曾發生身份入侵事件，其中 5% 企業更經歷六次或以上的重複攻擊。Sophos 發現，攻擊主要由人為錯誤與粗疏的「非人類身分」（NHI，Non-Human Identity）管理導致，企業必須注意。

Sophos 的《2026 年身份安全現況報告》（State of Identity Security 2026），涵蓋 17 個國家，合共 5,000 名 IT 與網絡安全從業員。調查結果顯示，受害企業中約三分之二（67%）承認攻擊事件源自身份入侵，顯示身份憑證外洩已成為勒索軟件的主要入侵途徑。Sophos X-Ops 團隊也發現此趨勢在過去一年中愈趨明顯，相關攻擊所造成的代價尤為高昂，平均復原成本達 164 萬美元，中位數達 75 萬美元；另有 73% 的受害企業需承擔超過 25 萬美元的支出。

非人身份管理欠佳企業　較易發生財務竊取事件

隨著具自主執行功能的 AI 代理（Agentic AI）讓攻擊流程加快，企業所面對的網絡風險亦變得更嚴峻。近 43% 的入侵事件源於人為錯誤，例如員工受騙而洩露登入憑證，而 41% 涉及非人身份（NHI）管理不善，包括程式碼中遺留的 API 金鑰、靜態憑證及以及未受監控的帳號。研究顯示，非人身份管理欠佳的企業發生財務竊取事件的機率高出 22%，復原成本亦平均增加 15 萬美元。

非人身份問題正迅速惡化，隨著 AI 代理（Agentic AI）自行建立子代理，並為子代理生成權限新憑證，新憑證不單覆蓋廣泛並且能獲得持續的存取權限。 網絡安全團隊多數難以同步追蹤，而現有的身份管理框架監管也未針對此挑戰而設計，導致企業的防禦明顯落後早已落後。數據指僅三分之一的企業定期輪換或稽核非人身份與服務帳號，而僅 11% 能持續執行。

企業需採取多層防禦策略

為了降低身分相關的攻擊風險，Sophos 建議企業採取覆蓋人類與非人身份的多層防禦策略。首先，應全面推行多重驗證（MFA），適用於所有用戶帳號，並實施「最小權限原則」以限制存取範圍，並及時停用或刪除閒置帳號，以避免暴露於風險之中。

在非人身份管理方面，企業必須建立完整的識別清單並進行分類管理，以短期憑證取代長期憑證，並運用 Secrets Management 平台集中控管非人身份資料。隨著 AI 代理（Agentic AI）推動非人身份的快速擴張，企業有必要部署身份威脅偵測與回應（ITDR）能力及採用「零信任架構」（Zero Trust），已成為確保防禦韌性與營運安全的關鍵。

《2026 年身份安全現況報告》其他主要發現：

．資料與錢財竊取最常見：在過去一年中，10% 的企業因身份入侵而遭受業務損失，主要後果包括資料外洩（49%）、勒索軟件（48%）及錢財盜竊（47%）。

．監控不足成漏洞：僅 24% 的企業持續監控異常登入行為；逾半數每三個月或更久才檢查一次。

．偵測缺口持續存在：有 14% 曾遭入侵的企業未能在攻擊造成損失前偵測並阻止事件。中小型企業（規模約100–250 名員工）的偵測失敗率幾乎是中型企業的兩倍。

．關鍵基礎設施風險最高：能源、石油／天然氣與公用事業（80%），以及政府部門（78%）錄得所有產業中最高的入侵率。

．合規困難與風險呈正比：調查顯示法規遵循難度越高，企業面臨的入侵風險也越大。在認為合規要求「極具挑戰性」的企業當中，有 82.4% 曾遭受入侵；相較之下，合規負擔較低的企業入侵率為 68.3%，兩者相差達 14 個百分點。

按此瀏覽完整報告。