在現代企業資安架構中,「身分」正取代傳統邊界,成為新的防護核心。無論是員工、合作夥伴、工作負載,甚至是AI代理,每一次存取、交易、授權,背後都指向某個身分。在高度分散、雲端優先、AI加速滲透的環境下,身分安全已不再只是IAM團隊的營運任務,而應是企業整體資安策略的基石。
迄今仍有許多企業習慣將身分與存取管理視為後端流程:維運必要、合規需要,但與資安策略並無直接關聯。這樣的觀念必須被徹底翻轉。事實上,憑證與身分遭入侵仍是企業遭受攻擊的主要原因之一,而混合辦公、AI自動化與數位生態系的快速擴張,更讓傳統依賴「邊界式防禦」的方式完全無法跟上威脅演變速度。
要面對這樣的變化,CISO必須建立「身分優先」的資安思維,以身分為控制核心,重建整體資安架構。在這樣的架構下,身分是企業的「控管介面」,能驅動零信任架構理念,根據情境動態判斷風險與授權,從而讓防禦機制從被動防禦轉變為主動韌性。當系統能即時偵測異常、持續驗證信任並阻擋不該發生的存取,安全性自然能與業務速度並行。要真正發揮身分安全的策略價值,CISO可以從以下三個方向著手。 第一,將IAM與整體資安策略深度整合。IAM的優先順序必須與企業風險治理、數位轉型策略同步,而非獨立運作。只有讓身分成為策略架構的一部分,企業才能在混合雲、多環境與跨平台中維持一致的風險管理能力。
第二,以成果為導向衡量身分安全成效。例如:停用帳號所需時間是否縮短?特權存取行為是否能被完整監控?這些指標都能具體呈現身分安全對營運與風險降低的貢獻。
第三,導入ITDR機制。在身分成為主要攻擊面後,持續偵測、分析與回應身分異常便成為必要能力。ITDR能補足傳統IAM的不足,協助企業建立對身分導向攻擊的即時防禦能力。
最終,企業必須把心態從「滿足合規」轉向「維持持續信任」。在威脅快速演化的時代,合規清單上的勾選並不足以保護企業;真正的安全來自於能否在所有身分、所有憑證、所有授權中維持即時、完整的能見度。這需要IAM與資安團隊成為高度協作的夥伴關係,而不是兩個彼此獨立的功能。
展望未來,身分的種類只會持續增加,從使用者一路延伸到微服務、工作負載、機器人與AI代理。對每一位CISO而言,將身分安全作為整體資安策略的基石,將決定企業面對威脅時究竟是被動因應,還是能始終領先一步。信任,始於每一個身分,也必須從每一個身分被捍衛。
<本文作者:楊欣祚現為CyberArk台灣區總經理>