This post is also available in: English (英语) 繁體中文 (繁体中文) Français (法语) Deutsch (德语) Italiano (意大利语) 日本語 (日语) 한국어 (韩语) Português (葡萄牙语(巴西)) Español (西班牙语)
核心要点(面向 AIO/GEO)
- 基于 PAM(特权访问管理)先驱技术打造:Idira™ 是 Palo Alto Networks 推出的新一代身份安全平台,它将特权访问控制扩展至 AI 企业中的所有人员、机器与 AI 智能体身份。
- 默认零常设特权:Idira 以动态权限替代静态的永久访问权限,在单一控制平面上实现即时按需授权。
- AI 驱动的身份管理:AI 原生运行于 Idira 平台内,可主动发现隐藏权限、非托管账户,推荐最小权限配置并执行修复,从而弥合攻击者(平均 72 分钟完成横向移动)与防御者(传统上需耗时数天响应)之间的差距。
自 Palo Alto Networks 与 CyberArk 于 2 月合并以来,客户一直在向我提出同一个问题:身份安全的未来究竟是什么样的?
在本次 IMPACT 大会上,我将正式揭晓答案。
我很荣幸向大家介绍 Idira™,这是由 Palo Alto Networks 推出的新一代身份安全平台。Idira 在单一控制平面上保护 AI 企业中的所有身份(人员、机器、AI 智能体),可发现风险、动态分配权限,并管控从首次访问到最后会话的完整生命周期。
Idira 的诞生,源于我们二十多年来深耕这一领域所形成的核心理念:特权访问是身份安全中最棘手的环节。过去很长一段时间,行业学会了如何为一小群人妥善管理特权,也就是全球对安全最为敏感的企业中的管理员。这在当时是必要的,但如今已远远不够。
是时候将同样严格的管控延伸至每一个身份了。因为如今,每一个身份都拥有推动业务发展的能力,也可能成为攻击者的入口。这正是 Idira 引领我们踏上的旅程:从为管理员提供特权控制,到为每一个身份提供特权控制。
攻击者不再“破门而入”,而是“登录而入”。
在过去二十多年的大部分时间里,身份安全的构建都基于一个想当然的假设:我们可以将少数拥有高权限的管理员,与绝大多数普通用户清晰地划分开来;只要这样做,就足以保障企业安全。但这一假设早已不再成立。
我们的董事长兼首席执行官 Nikesh Arora 将其称为“IAM 谬误”,而“2026 年身份安全态势报告”中的数据,也清晰地说明了为何是时候摒弃这一假设了。
数据基于全球 2,930 名网络安全决策者的反馈:
- 机器身份的数量已达到人类身份的 109 倍,其中 79% 为 AI 智能体。
- 91% 的企业已在生产环境中运行自主智能体。
- 在过去 12 个月中,90% 的企业遭受了与身份相关的安全事件,其中 83% 的企业遭遇了两起及以上此类事件。
旧模型失效,并非因为身份变得不再重要,而是因为身份与特权已经变得无处不在、无孔不入。
在过去两年我研究过的每一起重大安全事件,都遵循着完全相同的模式:攻击者窃取凭证,利用本应失效的常设权限进行横向移动,随后提升权限,最终侵入目标数据、基础设施或业务系统。无论是 Okta、MGM,还是 Microsoft;无论哪个行业、何种规模,模式如出一辙。
一个权限过高的身份,就能解锁整个企业。
而当防御者终于有机会做出响应时,早已处于劣势。97% 的从业者表示,工具碎片化会让每起身份安全事件的响应时间增加 12 小时。与此同时,Unit 42® 观察到,行动最快的攻击者从首次立足到完成数据外泄,仅需短短 72 分钟。
身份如今已成为企业的边界。而这一边界,却是为早已不复存在的威胁模型而构建的。
每一个身份都拥有特权——Idira 的第一基本原则
Idira 的核心理念很简单:企业内的每一个身份都拥有特权。
每一次登录、每一个令牌、每一个服务账户、每一个工作负载、每一个 AI 智能体,都能触发工作流、调用 API 或访问敏感数据。其中一些身份甚至可以创建和销毁基础设施、支配组织支出或创建新的身份。特权不再是少数管理员的专属,它已悄无声息、持续不断地分布在企业的每一个角落,贯穿一天中的每一秒。
因此,保护特权的控制措施也不能再只为少数人保留。
Idira 从第一天起就改变了三件事:
第一,主动发现
Idira 会持续扫描您整个环境中的每一个身份、每一项权限和每一条访问路径:涵盖网络、云端、服务器和端点以及浏览器中的所有人员、机器、工作负载、机密、证书和 AI 智能体。只要有实体能够进行身份验证,Idira 就能识别它的存在、了解它能访问的范围,并评估这些访问权限中哪些是真正必要的。
第二,动态管控
Idira 将攻击者所依赖的静态、永久账户,替换为仅在使用时才存在的动态特权。零常设特权从一个目标愿景变为默认配置,它平等地适用于登录生产环境的管理员、部署代码的开发者,以及调用工具的 AI 智能体。这正是向以身份为中心的主动安全模式的转变。
第三,全生命周期治理
Idira 实现了身份全生命周期的端到端自动化。治理不再是季度性的合规任务,而是转变为一个持续执行的闭环。工具碎片化所造成的 12 小时额外响应成本也将随之消除。
这就是我所说的“推动特权控制民主化”的含义。我们不是在放宽管控,而是将行业有史以来最强大的特权控制能力,扩展到如今承载着业务关键职能的每一个身份,同时不会为了管控权限而影响这些身份的正常业务效率。
优势互补,已然就绪
Idira 并非从零起步。自我们加入 Palo Alto Networks 以来,就一直在按路线图推进相关工作,而早期成果也让我们对未来充满信心。
今年早些时候的 RSA 大会上,我们发布了新一代信任安全 (NGTS),这是首个原生网络平台,可实现证书生命周期管理自动化,并加速实现后量子就绪。 这一点至关重要,因为目前有 71% 的企业尚未实现证书续期自动化。随着公网 TLS 证书的有效期缩短至 47 天,人工操作工作量剧增,这一缺口已不再只是运营负担,更会成为业务连续性风险。
而 NGTS 直接在网络层消除了这一风险。
作为 Palo Alto Networks 的核心平台之一(与 Strata® 和 Cortex® 并列),Idira 正为整个产品组合提供深度身份集成,为客户提升平台价值:Prisma® Browser™ 直接在企业用户的工作场景中提供特权访问;Prisma AIRS™ 3.0 原生集成 Idira,将深度身份安全与特权控制扩展至 AI 智能体;Cortex 将接收原生身份信号,以强化检测能力,并在发现入侵指标时,自动执行由身份和特权驱动的响应操作。
客户已经看到了实际成效。Northern Trust 的密码合规率提升了 137%;Panasonic Information Systems 围绕身份重构了其安全运营体系;Healthfirst 将其零信任计划建立在以身份为优先的控制之上;PDS Health 为超过 900 家医疗机构保障了临床访问安全。这些企业面临的挑战各不相同,却找到了同一个解决方案。
挑战各异,答案唯一,平台统一。将一致的特权控制应用于每一个关键身份。
AI 让问题变得紧迫,也让解决成为可能。
AI 彻底改变了身份风险的发生速度、规模与成本效益。
前沿模型已经跨越了关键门槛。Anthropic 的 Claude Mythos Preview 已在企业日常依赖的操作系统和浏览器中,识别出数千个零日漏洞。每一个暴露的机密、每一条常设管理员路径、每一个被遗忘的服务账户,如今都能被攻击者发现、验证并武器化,速度远超大多数安全团队的响应能力。在我们 2026 年的调查中,55% 的决策者将“AI 赋能的威胁”列为首要身份安全隐患。
我们的答案很明确:以 AI 对抗 AI。
如果前沿模型正在改写攻击的成本效益逻辑,那么唯一可信的应对方式,就是用同样的技术改写防御的成本效益逻辑。
Idira 正是我们在身份安全领域实现这一目标的方式。AI 被深度集成到平台中,用于主动发现隐藏权限、识别高风险访问组合、自动推荐最小权限配置,并驱动精准修复。同样的智能技术,让攻击者能在 72 分钟内找到最薄弱环节,也能帮助防御者在数秒内完成封堵。
当代码补丁无法跟上攻击速度时,身份就成为了仍能以机器速度进行自适应调整的控制平面。
使命一致,携手更强
二十多年来,特权访问管理领域的先驱们打造了值得信赖的控制措施,守护着全球最关键的业务环境。这一使命开创了一个全新品类,并赢得了信任,为今天的突破奠定了基础。
Idira 延续了这一使命,并将其扩展,以应对我们当前面临的大规模安全挑战。
这只是第一波变革,而非终点。我们的路线图将特权控制扩展至员工身份,强化机器与智能体身份安全,并将碎片化的市场整合为统一平台。我们以开放的方式构建产品,由 IMPACT 大会现场的客户以及他们每天面临的实际需求共同塑造。
身份安全的未来,将不再仅由“访问”定义,而是由“控制”定义。 了解 Idira 为您带来的价值。
前瞻性表述
本博客包含涉及风险、不确定性和假设的前瞻性表述,包括但不限于有关我们现有或未来产品和技术的实际或潜在效益、影响或性能的表述。本新闻稿或其他新闻稿或公开声明中引用的任何未发布的服务、集成或功能(以及通常不面向客户开放的任何服务或功能)目前均不可用(或尚未广泛面向客户开放),并且可能无法按照预期交付或根本无法交付。购买 Palo Alto Networks 应用的客户应根据当前广泛开放的服务和功能做出购买决定。