從PAM走向Identity Security Platform：為何「只管特權帳號」已不足夠？

CyberArk在其對2026年網絡安全趨勢的觀察中指出：當企業大量引入AI（包括可自主執行任務的AI代理），「身份」將成為最主要的攻擊入口之一，身份安全(Identity Security)亦會由配套措施升級為整體防禦策略的核心。 對香港企業而言，若屬關鍵基礎設施相關行業，合規要求與營運韌性(Operational Resilience)會同步提高，身份安全平台的落地速度、可審計性與自動化能力將直接影響合規成本與事故影響層面。 AI驅動威脅升級：從「入侵」走向「自動化濫用」

過去攻擊鏈常見模式是釣魚或漏洞入侵後再橫向移動；踏入2026，AI被用作放大器，令偵察、社工、憑證濫用與權限提升更快、更廣、更難分辨。 在「AI代理」逐步進入企業工作流的情況下，安全團隊要面對的不再只是真人帳號，還包括大量機器身份、API Key、Token、憑證與臨時權限的生命週期管理問題。 因此，防守重點會由「阻擋入侵」擴展至「控制已驗證後的行為」：包括降低常設特權、限制高風險操作、以及把可疑會話即時關聯到身份與情境。

香港正推進關鍵基礎設施電腦系統保護相關立法與監管框架，重點包括治理架構、風險管理、事故通報、變更管理與審計可追溯性。 對不少本地機構（例如金融、運輸、公用事業、醫療及大型外判供應鏈）而言，真正的難點往往不是「買到工具」，而是如何把權限、帳號、供應商遠端維護、雲端工作負載與DevOps密鑰管理統一納入同一套政策與稽核邏輯。 這亦是CyberArk在香港用例中較易突出的地方：以身份為核心，把人與機器的特權存取、憑證與會話監控串成可操作、可審計、可自動化的管控閉環。

CyberArk的獨特性：不只PAM，而是「Identity Security Platform」取向

不少市場方案仍以「保管密碼庫」作核心；CyberArk近年則更強調以身份安全平台覆蓋人類與機器身份、特權存取、會話風險控制與（機器）憑證生命週期等能力，將特權「常設」轉為「按需、可到期、可審計」。 另一個在AI時代更關鍵的差異，是把AI代理與自動化工作流納入安全範圍，從發現、授權、監控到撤權，減少因Token長期有效、權限過大或無人負責而引起的風險累積。 這種由「控制帳號」走向「控制身份風險與行為」的框架，對需要同時滿足監管、內控與外判管理的香港企業尤其實用。

企業防禦建議：三步把身份安全變成可交付成果

• 先盤點「最危險的身份」：Domain Admin、雲端超級管理員、CI/CD密鑰、外判商特權帳號與高敏系統服務帳號，優先納入最小權限與會話監控。​

• 以「按需特權」取代「長期特權」：把高風險操作改為需審批/需理由/可到期，並將關鍵會話錄影或行為審計納入流程，便於回應合規查核與事故調查。​

• 把機器身份當成一級資產：針對API Key、憑證與Token落實發現、輪換、到期與撤銷機制，並把AI代理/自動化帳號納入相同治理標準。

香港企業與機構（包括但不限於關鍵基建營運者）要把身份安全由「政策」落到「可運行的控制」，可用90天做一個可驗收的推進：先把最高風險的特權帳號與第三方/外判商遠端維護納入集中管控，落實密碼/密鑰代管與自動輪換，降低「長期不變憑證」帶來的橫向移動風險。 第二步用會話管理把「登入後行為」納入審計（錄影/即時監控/必要時終止可疑連線），令SOC、內審與合規可以用同一套證據鏈回應調查與查核。 第三步用Just-in-time（JIT）把常設特權轉成按需、到期自動撤權，並以政策化方式將最小權限落實到日常運維與平台工程流程中，做到「效率不倒退、風險可量化下降」。

總括而言，AI時代的身份安全不再只是「保護登入」，而是要把每一次高權限行為變成可被看見、可被追溯、可被限制的業務流程，從而把不可控風險轉化為可治理風險。 對香港企業而言，最實際的成功標準不是部署了多少功能，而是能否用一致的政策把人、系統、第三方與自動化工具的存取風險納入同一套治理與審計語言，並在事故發生時快速還原「誰在何時因何原因做了甚麼」這條證據鏈。 當身份成為共同底座，企業才能在推進雲端、DevOps與AI代理應用的同時，維持可控的攻擊面與可交付的合規信心。

與我們聯繫以了解更多：   

電話：2168 0388   

Whatsapp: 9828 3401   

電郵：inquiry@amidas.com.hk