【資安事件真正破口:身分】攻擊者拿著合法帳號在 29 分鐘內攻陷系統,決策者如何應對?
資安事件發生後,多數組織的第一反應是搶救資料、重建伺服器、重設密碼。但這套思維正在讓企業陷入更大的風險。
根據網路安全公司 Palo Alto Networks Unit 42 全球事件回應報告,近 90% 的資安事件調查可追溯至身分遭入侵。攻擊者通常不是利用技術漏洞破門而入,而是拿著偷來的憑證,以合法使用者的身分走進來。
電信與資安服務提供商 Verizon 的資料外洩調查報告(DBIR),分析了 22,052 起事件與 12,195 起確認資安事件,同樣指出憑證濫用佔非錯誤類資安事件初始入侵向量的 22%。
等到有人察覺異狀,攻擊者往往已在環境裡潛伏數週,悄悄提升權限、建立立足點、修改存取設定。伺服器可以還原,但一個已經被竄改的身分環境,沒有那麼容易處理。
日誌告訴你威脅去了哪,但無法告訴你它怎麼進來的
長期以來,調查資安事件的主要工具是日誌(SIEM 資料、事件記錄、稽核軌跡),這些資料能告訴你威脅大致在哪裡移動、大致在什麼時間點,但有兩件事它告訴不了你,一是攻擊者究竟是從哪個存取點、哪個權限進來的;二是入侵之後,下游有哪些東西被悄悄改動。
雲端資料保護與復原公司 Druva 執行長暨創辦人 Jaspreet Singh 指出,傳統鑑識模型以日誌為核心,日誌是過去理解橫向移動的唯一機制,但它只呈現了部分圖像。在試圖還原系統的時候,還需要知道哪些資料被碰過、哪些權限被修改、還原點究竟能不能信任,而這些問題,日誌通常給不出完整答案。
讓情況更嚴峻的是,攻擊者的行動速度正在加快。根據雲端原生資安公司 CrowdStrike 的報告,2025 年攻擊者在取得初始存取後的平均突破時間僅 29 分鐘,且 82% 的偵測案例中不含傳統惡意程式。攻擊者越來越習慣用合法工具與有效帳號在環境裡移動,而不是留下容易被偵測的惡意程式痕跡。
Singh 也強調,資安復原的流程並非按部就班的直線,而是一個反覆迭代的循環:還原、調查、隔離、再調查、再還原。沒辦法打個勾就繼續往下走,必須一邊推進、一邊持續驗證。
身分環境的復原,至今沒有標準解法
還原一台虛擬機器、復原一個資料庫,這些是已解決的問題,但還原一個可信任的身分環境卻不是。
身分不是靜態的物件,而是一張跨系統的關係網路,使用者、群組、角色、服務帳號、權限在不同系統間層層繼承與傳遞。現代企業的身分環境通常橫跨地端 Active Directory、雲端 Entra ID、Okta 等身分提供者,加上持續增加的自動化工具與 AI 代理,每一個都帶著自己的身分與存取權限,而且全部都在不斷變動。
這使得一個根本問題變得很難回答:六個月前,你的身分環境長什麼樣子?
多數組織有一些快照,但通常缺乏關係脈絡。誰在什麼時候有哪些存取權、這些權限怎麼隨時間演變、哪些系統依賴哪些身分。沒有這些資訊,要驗證一個還原點是否可信,基本上只能靠猜。
非人類身分的爆炸性增長,是管理最落後的環節
如果說人類身分的管理已經夠複雜,非人類身分的問題只會更麻煩。
服務帳號、API token、機器憑證的數量,在多數企業環境中遠超過人類帳號。Singh 說,一家約 1,200 名員工的公司,可能正在管理超過 2,000 個 token。這還不包括 AI 代理、IoT 裝置與 SaaS 整合,每一個都帶著自己的身分與存取權限。
Microsoft 的身分遙測資料顯示,97% 以上的身分攻擊是密碼噴射或暴力破解,而當現代多因素驗證確實被部署時,可以阻擋 99% 以上的身分攻擊。
問題在於,攻擊者在成功登入後越來越習慣直接操作 token 與 OAuth 授權,繞過密碼層的防護。這意味著防線不能只停在密碼管理,還需要延伸到工作階段與授權的管控。
這背後有一個長期存在的習慣問題。某人需要存取權限、很緊急、你就給了。沒有人回來要你把它收回去。這是殭屍帳號與休眠憑證的老故事。
隨著 AI 代理與自動化工作流程普及,同樣的動態以 token 取代使用者帳號,以指數級的量在運作。這些 token 普遍過度授權、監控不足,就這樣靜靜躺在那裡。Singh 坦承,業界在這個問題上仍處於早期階段,即時存取、意圖授權等解法要在企業規模下可靠運作,還需要幾年時間。
把身分建模為持續演進的關係圖,而非靜態快照
更有效的應對方向,是把身分視為持續演進的關係圖來追蹤,而不只是在某個時間點對目錄物件做快照。
MetaGraph 與 AI 的結合也展現出新的可能性。Singh 描述了一個實驗,他們把 MetaGraph 暴露給 Claude,不是交派任務,而是直接問它能做什麼。Claude 回應說它可以對權限進行迴歸分析、追蹤跨系統的變更關聯。
Singh 的結論是,建立圖形結構,讓 AI 最終能解決一般分析師根本無從理解的問題。問題的核心不只是資料存在,而是資料的結構化方式讓 AI 能真正推理,而不需要依賴技術人員手動追蹤橫跨數十個系統的連結。
身分復原的順序有其邏輯前提,而這個前提目前尚未被多數組織內化為標準程序。
下游應用服務不能在身分環境可信之前恢復上線,你必須先把身分理清楚、確認可以信任,才能繼續把其他東西帶回來,然後繼續驗證,繼續推進。資安復原不是一條直線,但身分必須走在前面,這個原則不會改變。
【推薦閱讀】
◆ 機器身份數量是人類的 82 倍!傳統 IAM 瀕臨崩潰,如何防堵「AI 代理」成最大破口?
◆ 【Google 雲端威脅展望報告】攻擊空窗期縮至數天,企業如何轉向「自動化調度」確保營運韌性?
◆ 【超越釣魚信成最大破口】數位廣告將取代 Email 成為最大攻擊來源,企業該怎麼防禦?
*本文開放合作夥伴轉載,參考資料:Forbes、DeepStrike,圖片來源:Unsplash
(責任編輯:鄒家彥)