Sophos 發布《2026 年身分安全現況報告》,這是一份針對全球 17 個國家、共 5,000 名 IT 與網路安全主管進行的廠商中立調查。調查發現,有 71% 的組織在過去一年曾遭遇至少一次與身分相關的資安事件,平均每個組織通報了三起獨立事件。重複受害情況也相當明顯,其中有 5% 的組織甚至通報遭遇六次以上的外洩事件。這些攻擊主要源於人為錯誤以及非人類身分 (Non-Human Identity, NHI) 管理不當,而隨著代理式 AI (Agentic AI) 加速攻擊流程,這項挑戰也正迅速惡化。
有三分之二 (67%) 的勒索軟體受害組織在本次調查中確認,其勒索軟體事件源自於身分攻擊,顯示身分憑證遭入侵已成為勒索軟體的主要入侵途徑。Sophos X-Ops 研究團隊在過去一年中也持續觀察到此一趨勢。其帶來的財務衝擊相當驚人:平均復原成本達 164 萬美元,中位數則為 75 萬美元,而有 73% 的受害組織支出超過 25 萬美元。
Sophos 資訊安全長 Ross McKerchar 表示,身分已成為現代資安中的主要攻擊面,而這些數據顯示,多數組織正逐漸失去防禦優勢。其中,非人類身分的問題尤其迫切。AI 代理正以超越資安團隊可追蹤的速度被賦予權限,而無法及早因應的組織,未來將面臨越來越高昂的補救成本。
《2026 年身分安全現況報告》的其他關鍵發現:
- 資料與財務竊取成為外洩事件的主要衝擊:整體而言,10% 的組織通報去年曾發生影響業務的身分入侵事件,主要後果為資料竊取 (49%)、勒索軟體 (48%) 及財務竊取 (47%)。
- 能見度仍是關鍵弱點:僅有 24% 的組織會持續監控異常登入行為,而超過半數的組織僅每三個月或更久才檢查一次。
- 偵測缺口依然存在:有 14% 曾遭入侵的組織,無法在損害發生前偵測並阻止最嚴重的身分攻擊事件。員工數介於 100 至 250 人的小型組織,其偵測失敗的機率幾乎是中型企業的兩倍。
- 關鍵基礎設施產業面臨最高風險:能源、石油/天然氣與公用事業 (80%),以及地方/中央政府機構 (78%),是所有受調查產業中通報外洩比例最高的領域。
- 合規挑戰反映更廣泛的風險:認為法規遵循要求「極具挑戰性」的組織,其外洩事件比例高達 82.4%,比合規壓力較低的組織 (68.3%) 高出 14.1 個百分點。
事件中,近 43% 被歸因於人為錯誤,例如員工遭到誘騙而交出帳號憑證。另有 41% 的事件則與非人類身分 (NHI) 管理不佳有關,包括將 API 金鑰儲存在程式碼中、使用靜態憑證,以及遺留未清除的服務帳號。NHI 管理不佳的組織,遭遇財務竊取的機率高出 22%,且平均復原成本比一般組織高出約 15 萬美元。
NHI 管理問題正持續惡化。AI 代理能夠自主建立子代理,而每個子代理都可能產生新的憑證,並擁有廣泛且長期的存取權限,但人員監督卻不一致。現有的身分管理框架並非為此類情境而設計,而多數組織也已明顯落後:僅有三分之一的組織會定期輪替或稽核服務帳號與非人類身分,而持續進行這類作業的比例更只有 11%。
降低身分型風險的建議措施
為降低與身分相關的攻擊風險,組織應採取涵蓋人類與非人類身分的多層式防護策略。關鍵措施包括:對所有使用者帳號強制啟用多因素驗證 (MFA)、落實最小權限原則,以及及時停用或移除閒置帳號。
針對非人類身分,組織還應建立完整的 NHI 資產清冊並進行分類、以短期憑證取代長效憑證,並導入憑證管理平台 (Secrets Management Platform),以大規模管理 NHI 憑證。隨著代理式 AI 加速推動 NHI 數量成長,部署身分威脅偵測與回應 (ITDR) 能力,以及採用零信任 (Zero Trust) 安全架構,也正成為越來越重要的防禦層。