隨著數位轉型加速，企業組織內部管理的身份數量呈爆炸性增長，從傳統的IT管理人員到新興的服務帳戶和人工智慧代理。身份安全廠商 Delinea 的報告指出，其中有大量身份在缺乏追蹤和保護的「陰影中」運行，形成了所謂的「未受管理身份」。這些身份嚴重擴大了企業的攻擊面，削弱了法規遵循的能力，並對業務連續性構成重大威脅。因此，組織將身份發現與管理提升為核心安全實踐，已成為非協商性的迫切需求。

 

未受管理身份的定義、風險類型與衝擊

未受管理的身份是指那些沒有被身份管理系統追蹤、治理或保護的實體，可能是因為無意間的疏忽，或是安全流程中的漏洞所致。這些身份既包括人類，也包括機器。

每個組織都管理著成千上萬個身份，從管理員和開發人員到服務帳戶和人工智慧代理。但其中許多身分都在暗中運行，既未被追蹤也未受保護，這些未被管理的身份既包括人的身份，也包括機器的身份。

這些未受管理的身份會悄悄擴大攻擊面，削弱合規性，並威脅業務連續性，構成重大風險，包括：

1. IT 管理員：未妥善管理的 IT 管理員身分可能導致權限過高和建立後門帳戶，從而增加未經授權存取和潛在損害的風險。共享特權帳戶使得追蹤個人操作變得困難，尤其是在 IT 維運外包的情況下，會造成監管方面的挑戰。
2. 員工使用者：員工身分資訊極易受到人為錯誤的影響，而人為錯誤是導致資料外洩的主要途徑之一。遠距辦公的興起增加了遭受基於身分的攻擊的風險，使他們成為勒索軟體的主要目標。孤立帳戶和權限蔓延可能導致未經授權的存取和詐欺。
3. 開發人員：通常需要存取關鍵系統和數據，如果管理不當，可能會導致安全風險。他們可能包括遠端第三方或短期僱用人員，這增加了存取權限管理不善的風險。開發人員對快速存取的需求也可能導致他們繞過安全協定。
4. 機器與人工智慧：由於自動化和人工智慧工作流程的普及，包括人工智慧代理在內的機器身分正在迅速成長。一旦遭到入侵，這些身分可能導致對自動化系統和敏感資料的未經授權存取。人工智慧投毒和智能體人工智慧的興起擴大了攻擊面，若不加以管理，將帶來重大風險。

除了上述身份類型的具體風險，未受管理身份還會帶來三大類全面的衝擊：

• 安全性風險：這些身份是憑證竊取的首要目標，可能導致攻擊者在網路中橫向移動、進行特權提升，並獲取敏感數據。許多現實世界的資料外洩事件與此類身份相關。

• 合規性與法規風險：缺乏完整的身份清單會導致稽核失敗和不合規，違反如 GDPR、HIPAA 和 SOX 等法規標準，帶來巨額罰款與聲譽損害。

• 營運風險：低效的存取管理和未經授權的操作會增加 IT 營運負擔和複雜性，可能導致資料被意外刪除或業務中斷，造成經濟損失。

 

身份難以控制的原因

控制未受管理身份之所以困難，主要原因在於多種因素的疊加作用：

1. 缺乏集中式可見度：組織無法在多雲和本地環境中獲得統一的身份視圖。
2. 團隊孤島化：IT 與安全團隊之間的職責脫節，造成身份管理中的漏洞。
3. 快速的雲端與 DevOps 實踐：這些新的工作方式和技術採用速度遠超傳統身份管理流程的跟進速度。
4. 不完善的離職流程：未能正確停用離職或合約結束人員的帳戶，導致孤立帳戶的產生。
5. 影子IT盛行：由業務部門主導的技術採用在 IT 部門的視野之外創建了大量身份。

 

最佳實踐與現代解決方案

從高階主管到IT、安全和身分團隊，每個人都應該意識到，他們環境中很大一部分身分可能未知，因此也缺乏管理。幸運的是，現代身分解決方案正在幫助企業重新獲得可見度和控制力。以下是一些最佳實踐：

1. 持續身份發現和清點：在多雲和本地環境中持續發現新的人類和機器身份非常重要。
2. 自動化配置和取消配置：實施自動化生命週期管理流程，以便斷開休眠或未使用的身份連接。
3. 最小權限和即時存取：將所有身分（包括人和機器）的存取權限限制在必要的最低限度，並且僅在需要時才提供存取權限。
4. 定期審計和訪問審查：進行定期審查，以確保合規性並發現異常情況。
5. 利用身分識別治理和特權存取管理(PAM) 解決方案：使用進階工具管理和保護身份，並選擇了解如何在各種複雜的 IT 環境中尋找、管理和保護身分的供應商。

現代身份安全解決方案，例如特權存取管理（PAM）、雲端基礎設施授權管理（CIEM）及身份治理與管理（IGA），在數位轉型的時代至關重要。透過實施這些強健的身份管理實踐並利用現代工具，組織能夠系統化地發掘和修復未受管理身份，從而保護數位資產並確保業務連續性。

資料來源：https://www.helpnetsecurity.com/2025/11/04/delinea-unmanaged-identities-risks/