CyberArk調查：92%港企忽視機器身份 機器身份成關鍵攻擊面

CyberArk正式發佈最新《2025身份安全形勢報告》的香港調查結果。調查顯示，隨著AI和雲端技術獲廣泛應用，全球企業正無意間構成以身份為中心的新攻擊面。調查亦發現，機器身份在大多數企業處於未知且未受管理的狀態，而AI代理的主要部署挑戰涉及對外部操控和敏感存取的安全疑慮，反映身份安全正面臨前所未有且日益嚴峻的挑戰。

《2025身份安全形勢報告》香港主要調查結果

「機器崛起」導致未受保護的特權身份激增：企業內，由雲端和AI驅動的機器身份數量現已遠超人類身份，當中逾半擁有敏感或特權存取權限。然而，不少企業仍未對人類和機器存取關鍵系統提供充分安全保護。

• 全球企業中，每位員工平均擁有82個機器身份。
• 高達92%受訪香港企業表示，其「特權用戶」的定義僅適用於人類身份，但實際上51%機器身份擁有特權或敏感存取權限。
• 60%受訪香港企業缺乏身份安全管理，以保護雲端架構和工作負載。
• 95%港企在過去12個月曾經歷以身份為中心的安全事故，包括網絡釣魚和語音詐騙攻擊、特權存取權限遭濫用，以及身份或憑證被竊取，數字高於全球平均水平(87%)。

AI無處不在，以身份為中心的AI代理風險日益顯現：獲授權與未經授權的AI及大型語言模型(LLMs)應用正推動企業變革，同時加劇網絡安全風險。企業對AI代理的出現及其擁有的特權存取感到擔憂，進一步凸顯具針對性的身份安全投資尤為迫切。

• AI預計將在今年內生成大量具特權和敏感存取權限的新身份，成為主要身份來源。
• 67%受訪香港企業尚未針對AI採取身份安全管理。
• 46%企業無法管控對影子AI的安全使用。
• AI代理的主要部署挑戰涉及對操控風險及敏感存取的疑慮。

複雜挑戰與身份孤島讓安全領導者不堪重負，削弱企業韌性：零散的身份安全機制及對環境的可視度不足，令企業在面對日益演變的網絡威脅時難以維持足夠韌性。特權管理合規要求愈趨嚴苛，使大多企業面臨更大壓力。

• 66%受訪香港企業指身份孤島是網絡安全風險的根本原因。
• 73%香港安全專業人員指，企業在營運上更重視業務效率，而非穩健的網絡安全系統。
• 預計今年內，擁有特權存取權限的人類與機器身份數量將倍增。
• 87%受訪香港企業面臨來自保險公司要求加強特權控制的壓力。

CyberArk全球策略總監Clarence Hinton表示：「企業爭相將AI融入各種環境，無意間帶來一系列全新身份安全風險，當中包括未受管理及未受保護的機器身份存取問題，而AI代理的特權存取亦將構成全新威脅面。為保持韌性，CISO和安全領導者必須使其身份安全策略更加現代化，以應對不斷擴大的新攻擊面，這種攻擊面源於具有特權存取權限的身份數量激增，以及由身份孤島所帶來的潛在風險。」

CyberArk北亞區總監潘耀康表示：「受機器身份數量激增和AI代理整合影響，身份生態系統日趨複雜，因此企業亟需一種現代化且統一的安全策略。隨著香港通過《保護關鍵基礎設施(電腦系統)條例草案》等舉措加強網絡安全框架，企業將需提升其韌性標準。CyberArk作為公私營機構值得信賴的夥伴，致力協助保護特權存取，有效應對當今日益演變的身份威脅。」