駭客已轉變攻擊策略,不再專注軟體漏洞或網路弱點,而是鎖定更容易竊取的目標:
身份憑證。
根據資安業者 BeyondID 的最新報告,
稱為 identity economy 的黑市正在蓬勃發展,其中用戶名、密碼、權杖和訪問權限如同一般網購商品般被買賣交易。對攻擊者來說,盜用憑證提供了便捷途徑,使其可以直接繞過防火牆和其他防禦機制,進入企業系統核心。
被盜取訪問權的價值飆升
金融服務和醫療保健公司仍然是駭客首選目標,但實際上沒有任何行業能倖免於難。2023 年的研究指出,95%的企業曾經歷某種形式的身份詐騙,銀行每次事件平均損失高達 31 萬美元。
網路攻擊的獲利也相當驚人。2025 年 2 月,與北韓有關的駭客從一家加密貨幣交易所竊取了約 15 億美元的虛擬資產。雖然每次入侵並非如此大規模,但即使只有一個帳戶被入侵,也可能導致資料外洩、業務中斷和高昂的復原成本。
隨著量子運算(技術即將問世,將盜取憑證的價值提升。今日被加密的資料未來可能被解密,使過去的資料外洩成為新的安全威脅。
針對行為而非技術弱點身份盜竊的手法
網路釣魚仍是最普遍的策略之一,現在更藉由 AI 強化,使虛假訊息更加真實可信。
中間人攻擊、
會話劫持和
社交工程持續構成重大威脅。駭客可能持續向用戶發送多因素驗證(MFA)提示,直到用戶因厭煩而同意存取請求,這種稱為「
MFA 疲勞」(MFA fatigue)的技術正日益盛行。
內部人員同樣扮演著關鍵角色。報告顯示,約 60% 的被盜憑證可追溯至內部使用者,通常源於非蓄意的失誤。閒置帳戶、行動裝置安全防護不足以及權限設定過於寬鬆,都為攻擊者提供了額外的入侵管道。
BeyondID 執行長 Arun Shrestha 表示,許多組織正面臨保護快速增長的 AI 系統的挑戰。企業部署 AI 代理來處理核心功能時,這些非人類身份常被賦予過度權限或保護不足。舉例來說,一個具有超級用戶權限的 IT 自動化代理,可能造成區域性基礎設施故障的風險;在金融機構中,駭客成功偽造採購機器人執行欺詐交易。Shrestha 建議,
企業應對 AI 代理實施身份驗證、持續監控和即時行為分析,同時加強權限管理和定期審核,防止攻擊者接管系統。
身份管理的不足
許多企業仍將身分識別與存取管理(IAM)視為次要任務,導致資安團隊疲於奔命,讓駭客有機可趁利用未修補的漏洞。而報告中更提到「身分濫用路徑」(identity exploit vectors)概念,指的是駭客入侵系統後通常會遵循的特定行動模式。這些弱點大多與防護不足的人類或機器身分相關,包括 AI 系統使用的帳號。
Shrestha 指出,將 IAM 目標與業務成果連結是解決問題的關鍵。某財星 1000 強金融服務公司的 IAM 負責人透過展示身份控制優化的實際效益,成功獲得高層支持。董事會級指標如用戶配置時間、身份驗證成功率和訪問違規等,讓高階管理層直接看到 IAM 的價值。當該公司將配置時間縮短 45%、安全事件減少 70% 後,領導層認識到 IAM 是關鍵投資,而非僅是技術專案。
資安長的應對策略
資安長應先盤點所有身份、實施最小權限、刪除未用帳戶,並持續監控活動以早期偵測異常。
教育工作亦為關鍵。資安長需向高層展示身份盜竊對營收、法規和信任的直接影響。使用數據和商業語言有助爭取資源強化身份管理。將身份視為核心資產並完善防護,即可打擊依賴盜取訪問權的網路犯罪經濟。
專家建議企業採取以下防護措施:
- 全面盤點組織內所有人類和非人類身份
- 實施最小權限原則,僅授予每個身份必要的訪問權限
- 清除閒置帳戶,有效減少潛在攻擊面
- 持續監控用戶活動,快速識別異常行為
- 為 AI 系統建立強健的身份驗證機制和即時行為分析
- 將身份管理策略與業務成效明確連結,爭取高層支持
本文轉載自 HelpNetSecurity。