在AI、雲端與自動化共同推動的全新時代,身分安全的下一個篇章,正是從特權開始。在企業IT仍以本地端架構為主的年代,特權存取管理(PAM)是一個相對明確的工作。保護少數系統管理員的登入憑證、把密碼放進金庫、固定輪換、紀錄特權操作—這樣的作法有效又足夠。當時的IT世界有清楚的邊界,也有固定的使用者型態。然而,那樣的世界已經離我們越來越遠。
現代IT的運作比以往任何時候都更快速、更自動化,也更分散。這帶來效率,但同時也帶來風險。開發人員可能等不及漫長的核准流程;工程師為了交付速度而選擇繞過安全機制;帳密、API Token被硬寫進程式碼並在不同團隊間流轉;權限在不同平台間快速累積,但卻極少被回收。如今,身分遭盜用、憑證外洩,正成為企業面臨的主要攻擊手法。只要某個帳號還保留,一旦被入侵,影響範圍就會瞬間擴大,形成無法預測的爆炸性風險。因此,傳統的最小特權原則已不足以應付現代需求,企業必須重新思考特權管理的方式。
過去的「最小特權」往往仍允許某些權限長期維持開啟狀態。但在今日高度動態的IT環境中,這些永遠存在的權限就是潛在的漏洞,等待被攻擊者利用。這也是「零常設特權」(ZSP)逐漸成為主流的原因。
所謂零常設特權,就是沒有任何身分預設擁有權限。需要權限時才動態授予,任務完成後立即收回。ZSP通常與即時授權(JIT)搭配使用,使權限僅在必要的時間存在,並且最終自動消失。這種模式的核心價值很明確:不讓任何多餘的權限長期存在,就不會出現「一個帳號被盜、整個系統都暴露」的風險。
企業已經開始使用AI代理來執行本來需要人工完成的任務,甚至開始建立完整的自治式工作流程。AI代理會自己下指令、呼叫API、抓資料,甚至部署資源。這種自主行為意味著:AI代理也握有特權。然而,多數企業並未將AI代理當成需要管理的身分。它們隱含的權限往往未被納入控管,這讓AI成為企業最容易忽略、但風險極高的身分類別。
未來的身分安全因此需要走向「統一化」:不論是人類、機器、AI代理、工作負載還是應用程式,企業都需要透過單一管理介面來控管它們的權限與行為。這並不是要推翻現有架構,而是要讓企業能以一致的方法管理所有特權,從傳統伺服器到雲端,再到最新的AI系統,都能遵循相同的原則與安全流程。
當特權被正確管理,因權限外洩而引發的風險大幅下降、自動化流程得以安全運作、AI系統能放心挹注企業的創新、IT能夠以更快更安全的速度擴展雲端與現代架構。特權不再僅僅是需要解決的問題,而是支持企業邁向下一個階段的根基。
<本文作者:楊欣祚現為CyberArk台灣區總經理>