问题根源:遗留的数字身份
随着组织发展演变,员工、承包商、服务和系统不断更替,但其账户往往长期留存。这些被弃用的"孤儿账户"潜伏在各类应用、平台、资产和云控制台中持续存在。
账户残留问题并非源于管理疏忽,而是系统碎片化所致。传统IAM(身份访问管理)和IGA(身份治理与管理)系统主要面向人工用户设计,需要为每个应用手动配置连接器、架构映射、权限目录和角色建模。许多应用从未完成完整集成。与此同时,服务账户、机器人程序、API接口和Agent-AI流程等非人工身份(NHI)天然缺乏管控,游离于标准IAM框架之外,通常没有明确归属、可见性或生命周期管理。
最终形成的是身份治理盲区中的"暗物质"——这些账户虽脱离监管视线,却仍在基础设施中保持活跃状态。
监管缺失的四大成因
- 集成瓶颈:每个应用都需要独特配置才能纳入IAM管理,未托管系统和本地系统往往被忽视
- 局部可见性:IAM工具仅能监控"受管理"身份,遗漏本地管理员账户、服务身份和遗留系统
- 权属混乱:人员流动、企业并购和分布式团队导致应用/账户归属关系模糊
- AI代理冲击:Agent-AI创造了半自主运行的新型数字身份,其行为独立于人工操作,进一步冲击传统IAM模型
现实安全威胁
孤儿账户如同企业敞开的"后门",持有有效凭证且常具高权限,却无实际责任人。攻击者对此心知肚明:
- 殖民管道事件(2021):攻击者通过已停用VPN账户(未配置MFA)入侵系统,多方证据证实该账户属于"非活跃/遗留账户"
- Akira勒索软件攻击制造企业(2025):突破口是未注销的第三方供应商"幽灵账户"(Barracuda托管XDR团队的事故报告)
- 并购场景:收购后整合阶段常发现数千个陈旧账户/令牌,企业普遍反映孤儿账户(多为NHI)是并购后的持续威胁,前员工令牌仍活跃的情况极为常见
这类账户引发多重风险:
- 合规违规:违反最小权限原则和账户回收要求(ISO 27001、NIS2、PCI DSS、FedRAMP等标准)
- 运营低效:虚增许可数量,增加审计负担
- 拖累应急响应:调查取证和修复工作因未知账户延误
解决方案:持续身份审计
企业需要确凿证据而非主观推测。消除孤儿账户要求实现完整的身份可观测性——无论是否受管理,都能查看并验证每个账户、权限和活动。现代防护措施包括:
- 身份遥测采集:直接从受管/非受管应用获取活动信号
- 统一审计追踪:关联入职/转岗/离职事件、认证日志和使用数据以验证权属
- 角色情境映射:将实际使用情况和权限上下文归档至身份档案,完整记录"何人何时为何使用何资源"
- 持续执行机制:自动标记或停用无活动/无主账户,无需等待人工审核
当这些遥测数据汇入中央身份审计层时,将彻底消除可见性盲区,使孤儿账户从隐性负债转变为可量化、可管理的实体。
Orchid安全视角
Orchid的身份审计能力为此提供基础支撑。通过整合应用级遥测与自动化审计采集,持续提供关于人工身份、非人工身份及Agent-AI实际使用情况的可验证洞察。这并非另一套IAM系统,而是确保身份决策基于实证而非推测的"连接纽带"。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)