報告發現，在接受調查的1750名IT安全決策者中，近五分之四(79%)認為，相對其他IT和數字計劃，安全性正在退居次要地位。這些舉措，尤其是那些優先考慮遠程或混合工作、為客戶和公民提供新數字服務以及遠程供應商和供應商外包的增加的舉措，在每個組織中創造了數十萬個新的數字身份，這可能會增加他們面臨網絡安全的風險。

“我們在大多數攻擊中看到的共性 - 無論是數據泄露，還是服務被關閉 - 都是身份妥協，”CyberArk技術總監David Higgins說。“這是攻擊者的共同目標之一。如果他們可以破壞身份對資源進行身份驗證的方式，那么橫向移動就是這樣發生的。我們擁有的身份越多，我們擁有的攻擊面就越大。

新的企業計劃增加了計算機標識的數量

該報告指出，組織中的數字身份數量非常高，并且隨著高優先級舉措的推出，這一數字身份將繼續增長。“一個人類用戶平均有30個獨立的身份-這可能是一個較低的數字，”希金斯說。“如果那個人離開了，并且沒有一個好的生命周期管理計劃，你可能有30個孤兒帳戶。

對于機器身份來說，情況更糟，根據該報告，機器身份的數量比人類身份多出45比1。“機器身份的數量反映了當今組織的運作方式，”希金斯解釋說。“自動化是一個關鍵焦點，每次自動化進入混合時，都需要更多的機器身份。

Higgins說，機器身份可能會給組織帶來比人類身份更大的風險，因為它們可能更難監控。“對人類用戶采用的傳統行為分析無法應用于機器，因此你擁有的機器身份越多，問題就越困難。

70%的組織在過去一年中經歷過勒索軟件攻擊

除了正在創建的身份數量問題之外，還有可以訪問敏感信息的身份證件數量。根據CyberArk的數據，組織中超過一半的員工(52%)通常可以訪問敏感信息，而超過三分之二的非人類(68%)可以訪問敏感數據和資產。“外部或內部威脅參與者只需要一個受損的身份就可以啟動攻擊鏈，”報告指出。“數字計劃的加速以及由此帶來的數字身份激增，構成了不斷擴大的攻擊面。

該報告還發現，70%的組織在過去12個月內經歷過勒索軟件攻擊 - 平均每個兩次 - 71%的組織遭受了成功的供應鏈相關攻擊。

報告指出，不斷擴大的攻擊面，迅速擴散的身份以及滯后的網絡安全投資共同使組織面臨更高水平的網絡安全風險。攻擊者了解這一點，并一直遵循創新和投資的并行路徑來利用漏洞。

下一個合乎邏輯的步驟是實施零信任原則，將這種防御性思維付諸實踐。