帕洛阿尔托推出身份安全平台‘Idira’……AI普及下“攻击者更倾向于登录而非入侵”

Palo Alto Networks推出了名为“Idira”的新身份安全平台，旨在将企业内部人员、机器及人工智能代理的账户整合至单一权限管理体系中。其背后判断是，随着生成式AI的加速引入，企业安全的重心正从阻断网络外部入侵转向“谁以何种权限登录”。 该平台基于Palo Alto Networks于今年2月以约250亿美元（约合37.45万亿韩元）收购的CyberArk技术构建。CyberArk被视为“特权访问管理”（PAM）领域的代表企业，Idira的特点在于将管理范围从传统以人为中心的权限管控拓展至机器账户和AI代理账户。 ### 机器与AI账户数量是人类的109倍 根据Palo Alto Networks提供的数据，当前企业环境中，机器及AI身份与人类身份的比例约为109比1。此外，61%的特权访问请求并非采用“按需授权”模式，而是以“常设权限”状态处理。该公司调查显示，在过去一年中，每10家企业就有9家遭遇过身份相关入侵事件。 这表明攻击方式正在发生变化。过去主要以从外部“攻破”系统的黑客行为为主，而如今，利用盗取的账户和权限像正常用户一样“登录”的渗透方式日益增多。一旦授予的常设权限越多，潜在危害范围也越大。 ### 核心是“消除常设权限”与实时管控 Idira主要由三大功能构成。首先，利用AI持续发现企业整体的身份、权限及访问路径，并识别风险因素。其次，应用动态管控替代固定权限，对所有身份强制实施“零常设权限”（Zero Standing Privilege），即消除常设权限，仅在必要时授予权限的“即时访问”（Just-in-Time）方式。 此外，通过AI驱动策略，实现从身份创建、变更到废弃的全生命周期治理与合规工作的自动化。对安全团队而言，可期望将分散在多种工具中的访问管理功能统一到一个管控窗口。 ### 现有客户按许可类型升级 现有CyberArk软件即服务客户将根据其持有的许可类型，适用不同的升级路径。传统PAM客户将自动获得身份检测和用户体验改进功能，而“零常设权限”及机器/代理身份保护功能则需另行购买。 相比之下，现代PAM的IT企业版和开发者版客户可免费获得身份检测、消除常设权限及用户体验改进功能。工作访问（Workforce Access）客户可立即享受用户体验改进服务，消除常设权限和机器保护功能可通过升级扩展。持有密钥和工作负载（Secrets & Workloads）许可的客户，可结合现有PAM功能，整合至Idira平台。 ### “如今攻击者不是入侵，而是登录” Idira的首席产品技术官Peretz Regev表示：“‘身份’已成为AI企业环境的新战场。现在，攻击者不再是攻破系统进入，而是登录进来，所有身份都已成为攻击目标。” 这一言论与安全市场的宏观趋势相契合。随着云、SaaS、自动化工具及AI代理的增多，仅管理少数管理员的特权账户模型正面临局限。企业不仅需要简单的认证，更需要能够实时判断“谁在何种情境下访问何种资源”的精密身份安全体系。 Palo Alto Networks认为，Idira将扮演将碎片化的身份安全环境整合至单一管控体系的角色。该平台即日起正式提供服务，附加功能计划于今年内陆续发布。随着AI普及在提升企业生产力的同时，也加剧了安全复杂性，“身份”管理领域的竞争未来很可能日益激烈。 TP AI注意事项 本文使用基于TokenPost.ai的语言模型进行摘要。正文主要内容可能被省略或与事实存在差异。