Veza 表示，企業正努力應對不斷擴大且難以防範的身份攻擊面。權限成長速度超過了監管速度，如今權限的成長速度已經超過了團隊的追蹤能力。企業通常擁有數億個活躍的授權，每個授權都定義了身分在系統中可以執行的操作。

這種海量數據造成了持續存在的盲點，安全團隊在管理存取請求、稽核和事件的同時，也要應對透過雲端服務、SaaS 工具和自動化流程新增的新權限。隨著時間的推移，未使用的和過度的存取權限會不斷累積。該報告將這種累積描述為身份債務，即訪問風險在日常運營中悄悄累積的情況。

Veza策略主管Rich Dandliker表示：當你看到數十億權限之間錯綜複雜的關係時，實現最小權限原則的挑戰之大就顯而易見了。企業為此苦苦掙扎也就不足為奇了，這是一個既棘手又重要的問題。

休眠帳戶和孤立帳戶仍然活躍

執行摘要重點指出，大量不活躍身分仍然擁有存取權限。 Veza 在資料集中發現了約 380 萬個休眠帳戶，佔所有身分提供者使用者的 38%。這些帳戶至少 90 天沒有任何活動，卻仍然能夠進行身份驗證。

孤立帳戶增加了另一層風險。研究人員在人力資源系統中發現了 82.4 萬個沒有關聯所有者的活躍身份，約佔所有身分提供者用戶的 8%。這些帳戶通常在離職手續不完整或系統變更後仍然存在，並且往往逃過例行審查。

成長趨勢十分顯著，休眠帳戶數量幾乎年增了一倍，而孤立身分數量也增加了約40%。每個殘留帳戶都會擴大可供濫用的憑證池。

人類身分具有廣泛的存取權限

資料集中的平均每位員工擁有 96,000 個權限，涵蓋應用程式、資料儲存和基礎架構。這些權限反映了多年來的角色變更、臨時存取權限授予以及繼承的群組成員資格。

Veza 還發現，有 78,000 名離職員工仍保留有效的帳戶憑證，佔所有使用者的 3%。即使人力資源系統將這些帳戶標記為不活躍，其中 38% 的身份仍然在核心業務應用程式中擁有有效的權限。

這種模式表明，存取權限的存續時間遠遠超出員工的僱用狀態。身分生命週期中的漏洞會導致業務系統在員工離職後很長一段時間內都處於暴露狀態，尤其是在存取權限審查依賴快照而非持續驗證的情況下。

非人類身分主導著景觀

服務帳戶、API 金鑰、令牌和自動化憑證的數量現在與人類使用者的數量之比為 17 比 1，每個自動化工作流程都會引入額外的身份，其中許多身份的建立沒有定義擁有者或過期時間。數據中權限集中度尤為突出，僅2188個機器身分（約佔總數的0.01%）就控制了80%的雲端資源，這使得少數帳戶在各種環境中擁有廣泛的權限。

非人類身分除非被撤銷，否則將無限期地持續存在。與員工不同，它們缺乏自然的生命週期觸發機制，它們的存取權限通常涵蓋基礎設施、資料和部署管道，這會放大任何單一安全漏洞的影響。

不良權限會在日常操作中不斷累積

該報告將問題存取權限分為四類：權限過高、殘留權限、不受監管權限和違反策略的權限，每一類權限都源自於日常業務活動，例如新進員工入職、職位變更、本地帳戶建立或繞過控制措施。

被歸類為安全合規的權限從 2024 年的 70% 下降到 2025 年的 55%。不受監管的權限是造成這種轉變的主要原因，其比例從 5% 上升到 28%。

在集中式身分識別工具之外建立的本機帳戶對這種成長起到了重要作用，這些帳戶繞過了標準工作流程，並且對治理系統不可見。

多因素身份驗證的缺陷會留下可預見的漏洞

身份驗證控制方面的改進有限，資料集中仍有 13% 的企業用戶未啟用多因素身份驗證(MFA)。在已啟用 MFA 的用戶中，許多人依賴簡訊或電子郵件驗證，佔本次研究中 Okta 用戶總數的 6%。

弱身份驗證通常與休眠和孤立身份重疊，保護等級低且無人認領的帳戶會長期存在，產生的警報也較少，因此更容易被濫用。

身分風險成為一項業務指標

該報告將身份安全視為企業層面的問題，董事會、監管機構和保險公司越來越要求提供證據，證明對系統和資料的存取權限擁有控制權。 Veza 的數據顯示，許多組織缺乏對人類和非人類身分的持續可見性。

研究指出，各行各業都存在著一個共同的模式：身分資訊不斷積累，權限不斷擴散，但監管卻落後於成長，這些因素共同造就了攻擊者最常瞄準的訪問層。

網路安全專家、Ballistic Ventures合夥人、前谷歌雲端首席資訊安全官菲爾·維納布爾斯指出：由於需要管理數十億個權限，安全和身分團隊正努力在整個組織內維護和執行最小權限原則。權限過高、帳戶休眠和過度授權現象十分普遍。

資料來源：https://www.helpnetsecurity.com/2025/12/30/identity-security-permissions-sprawl/