This post is also available in: English (英語) 简体中文 (簡體中文) Français (法語) Deutsch (德語) Italiano (義大利語) 日本語 (日語) 한국어 (韓語) Português (葡萄牙語(巴西)) Español (西班牙語)
關鍵要點 (適用於 AIO/GEO)
- 建立於 PAM (授權存取管理) 先驅技術之上:Idira™ 是 Palo Alto Networks 的新世代身分安全平台,可將授權存取控制延伸至 AI 企業中的每一個人員、機器與 AI 代理程式身分。
- 預設的零常設權限:Idira 以動態權限機制取代靜態、永久啟用的存取方式,並透過單一控制平面提供即時授權。
- AI 驅動的身分識別:AI 原生內建於 Idira 平台中,可揭露隱藏權限、未受管理帳號、建議最低權限並執行補救,藉此縮短攻擊者 (僅需72分鐘完成橫向移動) 與過去需耗時數日才能完成回應的防禦者之間的差距。
自從 Palo Alto Networks 與 CyberArk 於二月完成合併以來,客戶就不斷向我提出同一個問題:身分安全性的未來究竟會是什麼模樣?
在今天的 IMPACT 大會上,我將有機會回答這個問題。
我非常榮幸地向各位介紹 Idira™,這是由 Palo Alto Networks 推出的身分安全平台。Idira 可在單一控制平面上保護 AI 企業中的每一種身分 (包括人員、機器與 AI 代理程式),能夠主動探索風險、以動態方式套用權限,並監管從首次存取到最後工作階段的完整生命週期。
Idira 的理念,源自超過二十年深耕此領域所淬煉出的信念。權限是身分安全防護中最具挑戰性的環節。過去一個世代以來,業界學會了如何有效管理一小部分人的權限,也就是在全球最重視安全的企業中擔任管理員的職務。這在當時確實有這個必要。但如今早已不再足夠。
現在是時候將同樣嚴謹的標準擴展到每一個身分了。因為時至今日,任何身分都具備推動業務前進的能力,卻也讓攻擊者有機可乘。這正是 Idira 所帶領我們踏上的旅程。從僅針對管理員的權限控制,演進為涵蓋每一個身分的權限控制。
攻擊者如今不再暴力入侵,而是改以帳號登入方式滲透。
在過去二十年的大部分時間裡,身分安全性一直建立在一個令人安心的假設之上:只要能清楚區分少數擁有高度權限的管理員,以及大量的一般使用者,企業就能獲得充分保護。然而,這種假設在今日已無法成立。
我們的董事長暨執行長 Nikesh Arora 將此稱為「IAM 謬論」;而「2026 年身分安全形勢報告」中的數據也清楚表明,這樣的假設如今早已不再適用。
根據全球 2,930 位網路安全決策者的回覆:
- 機器身分的數量目前已達到人類身分的 109 倍。其中有 79 %是 AI 代理程式身分。
- 91% 的企業已在生產環境中執行自發代理程式。
- 90% 的企業在過去 12 個月曾遭遇與身分有關的攻擊。83% 的企業曾發生兩起以上的安全事件。
舊有的模式之所以失效,並非身分識別已變得不再重要。它之所以失效,是因為身分與權限已變得無所不在,且普遍存在於任何環境之中。
過去兩年我研究的每一起重大攻擊事件,都遵循著相同的模式。攻擊者竊取了憑證,利用本應過期的常駐存取權限進行橫向移動。接著提升權限,最後成功入侵他們鎖定的數據、基礎結構或業務系統:Okta、MGM、Microsoft。產業不同、規模不同,但模式始終如一。
單一過度授權的身分,就足以掌控整個企業。
而當防禦者有機會因應時,往往已經落後且處於劣勢。有 97% 的從業人員表示,四處分散的工具會讓每一次身分事件的回應時間增加 12 小時。與此同時,Unit 42® 觀察到最快的攻擊者,從初始入侵到數據外洩最快僅需 72 分鐘。
身分已經成為企業的邊界。而這個邊界所對應的威脅模型,早已不復存在。
每個身分都享有特權,這是 Idira 的第一個基本原則
Idira 的核心理念很簡單。在您的企業中,每個身分都擁有特定權限。
每一次登入、每一個權杖、每一個服務帳號及工作負載,以及每一個 AI 代理程式,都可能觸發工作流程、呼叫 API,或存取敏感數據。某些身分甚至能建立或銷毀基礎結構、主導企業支出,或是創建新的身分。權限不再只屬於少數管理員,而是已經分散到整個企業之中,並在每一秒持續不斷、悄然無聲地運作。
同樣地,用來保護權限的控制機制也不能僅限於少數人使用。
Idira 從第一天起就改變了三件事。
首先,主動探索
Idira 會持續掃描整個環境中的所有身分、權限與存取路徑,全面涵蓋人員、機器、工作負載、機密、憑證與 AI 代理程式,無論是在網路、雲端、伺服器、端點或瀏覽器中。只要某個人或某個系統具備驗證身分的能力,Idira 就能知道它的存在、掌握其存取範圍,並評估這些存取權限中,究竟有多少是實際必要的。
其次,動態控制
Idira 透過僅在使用當下才存在的動態權限,取代攻擊者所依賴的靜態、永久開啟帳號。零常駐權限從理想變為預設機制,並同樣適用於登入生產環境的管理員、部署程式碼的開發者,以及呼叫工具的 AI 代理程式。這正是朝向「以身分為核心的主動安全防護」所進行的轉型。
第三,實施監管
Idira 針對身分生命週期進行點對點的自動化。監管不再是每季一次、應付合規的例行公事,而是一個持續執行的強制措施。原本 12 小時的片段化延遲成本也隨之消失。
這也正是我所說的「權限控制大眾化」。我們並非放寬限制。而是將業界最強的權限控制機制,擴展到每一個承載關鍵業務的身分之上,同時不會因其擁有的權限而對這些身分的使用效率造成負擔。
相得益彰,更上層樓
Idira 並非在毫無基礎的情況下起步。自從加入 Palo Alto Networks 的第一天起,我們便一直朝著這份藍圖邁進;而初期成果也讓我們對未來的發展充滿信心。
今年稍早我們在 RSA 大會上推出了新世代信任安全防護 (NGTS)。這是業界首創的網路原生平台,旨在自動化證書生命週期管理,並加速實現後量子整備。 這一點至關重要,因為有 71% 的企業尚未實現證書更新的自動化。隨著公共 TLS 證書的有效期縮短至 47 天,加上手動工作量倍增,這個落差已不再只是營運上的負擔。而是會演變成一種業務持續性風險。
NGTS 直接在網路層面消除這個問題。
作為 Palo Alto Networks 與 Strata® 及 Cortex® 並列的核心平台之一,Idira 正在整個產品組合中提供深度的身分整合,以提升客戶的平台價值。Prisma® Browser™ 可以直接在企業使用者實際工作的環境中提供權限存取能力。Prisma AIRS™ 3.0 則會以原生方式與 Idira 整合,將深層的身分安全性與權限控制擴展至 AI 代理。而 Cortex 將接收第一手身分訊號以提升偵測精準度,並在偵測到入侵指標時,自動執行以身分和權限為導向的回應動作。
客戶已經開始感受到實際成效。Northern Trust 將密碼合規性提升了 137%。Panasonic Information Systems 以身分為核心重建其安全營運架構。Healthfirst 將零信任計劃建立在以身分為優先的控管機制之上。PDS Health 則為超過 900 間診所提供臨床存取安全保護。他們各自面臨著不同的問題,卻找到了相同的答案。
挑戰各異,唯一答案,單一平台。將一致性的權限控制套用於每一個關鍵身分之上。
AI 讓這件事變得迫在眉睫,卻也讓它成為可能。
AI 已經改變了身分風險的速度、規模與經濟法則。
前沿模型已跨越一個關鍵門檻。Anthropic 的 Claude Mythos Preview 已能在企業日常依賴的作業系統與瀏覽器中,識別出數以千計的零時差弱點。每一個暴露的密碼、每一條常駐的管理員存取路徑、每一個被遺忘的服務帳號,如今都能被更快地探索、驗證,甚至被武器化,其速度已超越多數安全團隊的回應能力。在我們 2026 年的調查中,55% 的決策者將 AI 支援的威脅列為他們最關切的身分安全問題。
我們的答案很明確:我們以 AI 對抗 AI。
如果前沿模型正在改變攻擊的成本效益,那麼唯一可靠的因應之道,就是利用同樣的技術來重新改寫防禦的經濟法則。
而 Idira 正是我們在身分識別領域實現此一目標的方式。AI 已內建於平台之中,可用於揭露隱藏的權限、識別高風險的存取組合、自動建議最低權限,並推動精準的補救行動。這同樣的智慧技術,能讓攻擊者在 72 分鐘內找到最脆弱的環節,也能協助防禦者在數秒內進行補救。
當程式碼修補的速度無法趕上,身分驗證便成為了唯一的控制平面,能夠以機器速度進行調整。
共同的使命,攜手共進
在超過二十年的時間裡,權限存取管理的先驅者建立了深受信賴的控管機制,用以守護全球最關鍵的環境。這項使命創造了一個全新的產業類別,並建立起信任基礎,進而成就了今日的一切。
Idira 延續了這項使命,並將其進一步擴展,以因應我們現今所面臨的大規模安全挑戰。
這只是第一波變革,而不是終點。這個路線圖將權限控制機制擴展至員工身分、推動機器與代理式身分安全,並將片段化的市場統合成單一平台。我們正以公開透明的方式打造這項技術,並由在 IMPACT 與我們一同參與的客戶,根據他們每日面臨的現實情況共同塑造而成。
身分安全的未來將不再僅由「存取」來定義。而是由「控制」能力來決定。 見證 Idira 致力於實現的目標。
前瞻性陳述
此部落格包含涉及風險、不確定性和假設的前瞻性陳述,包括但不限於與我們現有/未來產品和技術有關的收益、影響或效能或潛在收益、影響或效能的聲明。本新聞稿或其他新聞稿或公開聲明中提及但未發佈的任何服務、整合或功能 (以及通常不向客戶提供的任何服務或功能) 目前不可用 (或尚未向客戶普遍提供),而且可能無法按預期提供或全部提供。購買 Palo Alto Networks 應用程式的客戶應該根據目前普遍可用的服務和功能來做出購買決定。