許多工程師在處理企業級權限管理時,習慣將 IAM (Identity and Access Management,身分與存取管理) 視為一套設定好規則的門禁系統。然而,隨著企業規模擴大,實際的權限分佈往往比我們想像中混亂得多。
目前的企業環境中存在著一種身分識別暗物質 (Identity Dark Matter)。所謂暗物質,是指那些存在於中央 IAM 監控範圍之外的身分活動。這包括了未被納入管理的影子 IT 應用程式、應用程式內建的本地帳號 (Local Accounts)、不透明的認證流程,以及權限過高的非人類身分 (Non-Human Identities,如 API Key 或服務帳號)。
根據 Orchid Security 的分析,近 46% 的企業身分活動其實發生在中央 IAM 的視線之外。這意味著資安團隊以為自己掌控了所有大門,但實際上建築物內部有無數個後門與秘密通道在運作。
身分可視化與智能平台 (IVIP) 的崛起
為了填補這個可視化缺口的概念就是 IVIP (Identity Visibility and Intelligence Platform)。在 Gartner 的身分架構框架中,IVIP 位於第五層:可視化與可觀測性 (Visibility and Observability)。
它與傳統 IAM 或 IGA (Identity Governance and Administration,身分治理與管理) 的核心差異在於:傳統工具依賴於靜態配置、手動審核或 API 整合,只能看到被納入管理範圍內的系統;而 IVIP 則追求的是連續性的運行時洞察 (Runtime Insight),透過分析實際的遙測數據 (Telemetry) 來發現那些未被記錄的身分行為。
簡單來說,傳統 IAM 是在問管理員:根據文件,誰應該有權限?而 IVIP 是在問系統:實際上,誰正在使用這個權限?
IVIP 的核心技術能力
一個合格的 IVIP 平台不能只是另一個資料庫,它必須扮演身分生態系統的智能引擎,具備以下三大能力:
首先是連續發現。它必須能自動偵測所有人類與非人類身分,即便這些身分不在正式的 IAM 註冊名單中。
其次是數據統一。它需要將來自目錄服務、各類應用程式與基礎設施的碎片化資訊,整合為一個一致的事實來源 (Source of Truth)。
最後是轉化智能。利用 AI 與分析工具將雜亂的信號轉化為安全洞察。例如,透過 LLM (大語言模型) 解析身分活動的意圖,區分正常的運維操作與異常的攻擊模式。
實務上的落實:以 Orchid Security 為例
在工程實作上,要達到這種可視化不能只靠 API,因為很多老舊系統根本沒有 API。Orchid Security 採取的是二進位分析 (Binary Analysis) 與動態插樁 (Dynamic Instrumentation) 技術,直接在應用程式內部檢查認證與授權邏輯。
這種做法能揭露三個關鍵風險: 第一,外部域名帳號。許多應用程式中潛伏著使用個人信箱註冊的帳號,這對數據外洩風險極高。 第二,權限過剩。大量帳號擁有不必要的管理員或 API 權限。 第三,孤兒帳號 (Orphaned Accounts)。許多帳號在員工離職或專案結束後依然有效,在老舊環境中這類帳號比例甚至高達 60%。
面對 AI Agent 的新挑戰
隨著 AI Agent (自主 AI 代理) 的普及,身分暗物質的問題被放大。AI Agent 擁有獨立的身分與權限,且操作速度極快。針對此趨勢,IVIP 引入了五項治理原則: 將 Agent 的行為追溯到負責的人類所有者。 記錄完整的操作鏈條 (Agent $\rightarrow$ 工具/API $\rightarrow$ 行為 $\rightarrow$ 目標)。 根據資源敏感度動態評估存取決定。 使用即時權限 (Just-in-Time) 取代永久特權。 發現風險時自動執行憑證輪換或終止會話。
給資安領導者的實作建議
對於想要縮減身分攻擊面的團隊,建議採取以下路徑: 建立跨部門工作組。打破 IT 運維、應用程式擁有者與合規團隊之間的資訊孤島。 優先分析機器身分。非人類身分通常風險最高且可視性最低。 導入自動化修復。例如發現孤兒帳號後立即自動停用,而非等待每季一次的人工審核。 將指標從控制項轉向結果。不要計算部署了多少套工具,而要衡量實際降低了多少百分比的閒置權限。
總結來說,身分管理不能只靠鎖好大門。在現代複雜的雲端與 AI 環境中,建立一套能洞察暗物質的可觀測平面,才是防止攻擊者在陰影中潛伏的唯一方法。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。