近年企業資安攻擊模式持續改變,從過去鎖定系統漏洞、惡意程式,逐漸轉向「帳號」本身。SailPoint 香港及澳門董事總經理戴健慶接受《科技新報》專訪時指出,現在駭客「不是在 hacking,而是在 logging」,只要取得有效帳號與權限,就足以進入企業內部系統。
而在眾多帳號中,企業最容易忽略、也最容易成為資安破口的,其實是第三方合作夥伴與外包人員帳號。
「第三方帳號」是最大盲點
戴健慶指出,企業對正式員工通常還有 HR 系統可管理,但第三方合作夥伴、外包商、顧問與臨時人員的帳號,往往缺乏集中管理機制。 多數情況下,業務部門只會在「急著開權限」時通知 IT,希望外包人員盡快能工作;但等到專案結束、人員離開,卻很少有人主動要求回收帳號。
「很多公司其實連自己員工的帳號都沒管好,更不用說第三方帳號。」戴健慶坦言,這種情況不只發生在台灣,在香港、新加坡等亞洲市場其實都相當常見。
他認為,亞洲企業普遍對「身分治理」(Identity Governance)與「身分安全」(Identity Security)重視程度仍不足,許多企業甚至無法真正掌握:
- 公司裡有多少帳號
- 誰擁有哪些權限
- 哪些帳號其實已經沒人在使用
「假如你根本看不到,就不可能管得好。」 戴健慶也提到,現在許多駭客攻擊其實並不特別鎖定某個國家或產業,而是透過自動化工具在全球掃描漏洞與可用帳號,只要發現有權限長期未回收、缺乏管理的帳號,就可能成為攻擊入口。
AI Agent 成新風險
除了傳統員工與第三方帳號外,近年最紅的代理式AI(AI Agent)與生成式 AI 工具也正成為企業身分管理的新挑戰。
戴健慶指出,企業現在開始大量導入 AI Agent 處理流程、自動化作業與客服工作,但這些 AI Agent 本質上其實也是一種「身分」(Identity),同樣擁有帳號與權限,因此也必須納入身分安全管理。
他進一步解釋,AI Agent 與傳統帳號最大的不同,在於它除了自身權限外,還存在「誰能使用 AI Agent」的問題。舉例來說,即使某位員工原本沒有高權限,但若能透過 AI Agent 間接取得敏感資料或操作能力,仍可能形成越權風險。
戴健慶透露,現在業界比較好的做法,是將大型 AI 流程拆解成多個小型 AI Agent,並分別限制各自權限,而不是讓單一 AI Agent 擁有過大權限。
他也提到,AI 最大風險之一在於「沒有底線」。因為 AI Agent 的目標只有完成任務,它不像人類知道哪些事情可以做、哪些事情不能做。也因此如果沒有把權限切細、做好角色控管,AI Agent 很容易出現越權問題。
戴健慶也分享,去年曾有國際連鎖速食業者的 AI 招募系統,因測試帳號多年未移除,導致駭客透過舊帳號存取求職者資料庫,成為典型 AI 身分治理漏洞案例。
隨著 AI、遠端工作與第三方協作逐漸成為企業常態,戴健慶認為,企業未來資安重點已不只是防火牆或端點設備,而是能否真正掌握「誰能登入、能做什麼,以及何時該收回權限」。
(首圖來源:SailPoint)
科技新報粉絲團
加入好友
訂閱免費電子報
