CyberArk发布的一份全球报告显示，经济环境不隹和AI等技术创新的速度，正在提高从身分切入的资安风险。《CyberArk 2023身分安全威胁情势报告》中显示，人类和机器身分数量预期将成长240％，而对数位和云端计画的投资速度高於资安投入，将快速扩大未受保护的身分攻击面，种种因素可能导致「资安债」的持续扩大。

CyberArk北亚区总监谢文骏(右)、CyberArk大中华区技术顾问黄开印(左)

经济紧缩加上数位转型加速，使企业面临更高风险

企业组织在2022年经历了资安债的增长，主要因为疫情期间资安支出普遍落後於更广泛的数位业务计画投资。到了2023年，包括经济紧缩、员工流动率升高、消费支出下降以及全球环境的不确定性等因素，更可能造成资安债持续恶化。而随着企业领导者仍持续投资数位和云端计画，以追求更大的效能和创新，更对资安造成了连锁反应。

●近??全部（99%）的受访者预期在今年会出现与身分相关的威胁，这源於经济压力下的裁员、地缘政治因素、云端采用以及混合工作型态等因素。58%的多数受访者表示威胁将在诸如云端部署或旧有应用软体迁移等数位转型计画中产生。

●由於员工异动带来的威胁，例如不满的前员工或被滥用的遗留凭据，超过三分之二（68%）的企业组织预期在2023年会出现员工流动所导致的资安问题。

●企业在未来12个月内将部署比现有数量多出68%的SaaS工具。大量的人类和机器身分可透过SaaS工具取得敏感资料，如果缺乏适当保护，极可能成为攻击的入囗。

2023整体威胁情势

报告揭示了今年身分与资安的关注领域。

●93%受访的资安专业人员中，预计在2023年会面临AI威胁，其中AI生成的恶意软体被列为头号??患。

●近九成的受访组织（89% - 较2022年报告的73%增加）在过去一年中遭受勒索软体攻击，其中60%的受影响企业支付了两次或更多次赎金以复原资料，这显示他们很可能是双重敲诈勒索攻击的受害者。

●67%的能源、石油和天然气公司预计他们无法阻止或甚至侦测到来自软体供应链的攻击（相较於所有组织的59%）。但这个行业的大多数受访者（69%）同时也承认他们在过去12个月中并未尝试透过实施更好的资安措施来改善此问题。

以身分为中心的攻击面更为扩大

包括人类和机器的身分，是所有攻击，或几??所有攻击的核心。近一半的身分必须存取敏感资料以完成其工作，因此成为攻击的首选途径。该报告发现IT环境中的关键区域并未获得足够的保护，并辨识出具重大风险的身分类型。

●63% 的受访者表示，最高敏感性的员工存取未得到充分保护，而拥有机敏资料存取权的机器数量比人类更多（45% vs. 38%）。

●凭据存取仍然是受访者认为最大的风险（被35% 提及），其次是防御规避（31%）、执行（28%）、初始存取（28%）和提权（27%）。

●由於未知和未受管理的身分存取，关键商用软体（例如对外的营收相关应用软体、ERP和财务管理软体）被视为风险最高的领域。只有 46% 的组织采取身分安全控管以保护关键商用软体。

●合作夥伴、顾问和服务提供商等第三方公司被认为是风险最高的人类身分类型。

●69% 的受访者表示，由於安全隐患，机器人流程自动化（RPA）和bot部署脚步放缓。

CyberArk 北亚区总监谢文骏表示：「即使在裁员和宏观经济的巨大压力下，企业追求不断提高业务效率和创新的渴??依然不减。以数位和云端计画为主的业务转型不断导致企业身分数量激增。尽管攻击手段不断翻新，但侵害身分仍然是绕过网路防御并存取敏感资料和资产的最有效方式，这样的风险让『信任谁和信任什麽』成为所有资安措施最首要工作，进而可以预防资安债的持续累积，并为组织建立长期资安韧性。」

CyberArk 能做些什麽？

●落实零信任原则：身分安全对於坚实的零信任实施至关重要。受访者表示，身分管理（79%）和端点安全/设备信任（78%）对支援零信任具有「关键」或「重要」的作用。

●安全存取敏感资料的策略：受访企业计划在2023年引入的三个改善身分安全的措施是：JIT即时存取（32%的受访者提到）；采用最小授权原则保护业务关键应用软体（32%）；以及自动供装和撤销存取权限（31%）。

●与可信赖的合作夥伴整合：超过一半的受访者（51%）将寻求可信赖的资安合作夥伴的协助，以预测和规画未来2023年的资安风险解决方案。