Agent krajnje točke ne može prijaviti svoju odsutnost. The Izvješće o djelovanju Axoniusa za 2026provedeno s Institut Ponemon i anketiranjem 662 IT i sigurnosnih stručnjaka, izveli su broj na prazninu koju su timovi SOC-a godinama rješavali. Preko baze kupaca Axoniusa12,7% uređaja u srednjem popisu od 298.000 uređaja nema očekivani sigurnosni agent.
Ako uređaj nema agenta, upravljačka konzola ga ne prikazuje. Ako je CMDB zapis zastario, nikakvo usklađivanje ga ne označava. Zaposlenik koji je instalirao Claude Enterprise izvan nabave stvorio je SaaS radni prostor, površinu identiteta i otisak API-tokena koji sama telemetrija krajnje točke neće pouzdano popisati. Postotak pokrivenosti na nadzornoj ploči EDR-a strukturno je nedovršen jer mehanizam izvješćivanja ne može vidjeti što ne pokriva.
Taj jaz sada je važniji nego prije šest mjeseci. Dobavljači SOC-a i XDR-a guraju autonomnije istraživanje i sanaciju u proizvodnju. Ti će agenti postavljati upite istim nadzornim pločama, vjerovati istim postocima pokrivenosti i djelovati na iste slijepe točke koje su ljudski analitičari naučili zaobići. Ljudski analitičar ponovno pogađa brojku pokrivenosti od 98%. Autonomni agent to tretira kao temeljnu istinu i kreće se brzinom stroja.
Sadržaj objave
- 1 Tri neovisna signala konvergirala su na istom procjepu
- 2 Ekskluzivni podaci o implementaciji kvantificiraju razmjer
- 3 Tri pristupa natječu se za smanjivanje jaza
- 4 Spremnost EDR podataka: pet vrata prije autonomne sanacije
- 5 Pet pitanja koja treba postaviti prije dopuštanja autonomne akcije SOC-a
- 6 Uokvirivanje rizika spremno za ploču
- 7 Priručnik direktora sigurnosti
Tri neovisna signala konvergirala su na istom procjepu
Graviteeovo istraživanje iz 2026 od 900 i više rukovoditelja otkrilo je da je 88% prijavilo potvrđene ili sumnjive incidente povezane s umjetnom inteligencijom, a samo 14,4% poslalo je agente uživo uz potpuno sigurnosno odobrenje. Izvješće Axonius/Ponemon pokazalo je da bi 52% ispitanika dopustilo autonomnim agentima da djeluju prema preporukama — dok je 63% reklo da temeljnim podacima nedostaju važne informacije. CSA-ov Agentic Trust Framework zahtijeva provjereno upravljanje podacima prije nego što agenti postupe prema bilo kakvom nalazu.
Mike Riemer, terenski CISO na Ivantirekao je da se poznate ranjivosti na Azureovim honeypot mrežama sada napadaju za manje od 90 sekundi. “Tradicionalne sigurnosne mjere nastavljaju funkcionirati”, rekao je Riemer za VentureBeat.
Upozorenje je da te mjere štite samo ono što mogu vidjeti. EDR agent raspoređen na 87,3% inventara uređaja ostavlja preostalih 12,7% izvan telemetrije, provedbe pravila i logike detekcije tog agenta.
Ekskluzivni podaci o implementaciji kvantificiraju razmjer
Joe Diamond, izvršni direktor Axoniusa, rekao je za VentureBeat da prosječni CISO vidi otprilike 50% onoga što je stvarno na mreži. “Recimo da je 50% njihovog okoliša u tamnoj tvari”, rekao je Diamond. “Oni ne znaju što je to, ni gdje je, ni tko ima pristup tome, je li sigurno ili nije sigurno.”
Podaci o implementaciji više od 900 kupaca Axoniusa potvrđuju te brojke. TransUnion je prešao sa 70% na 99% pokrivenosti krajnje točke nakon izvanpojasne provjere. Western Union je porastao s 85% na 99% konsolidacijom podataka iz 38 alata i smanjenjem ručnog opterećenja na pola. Lumen je otkrio 1,1 milijun imovine, gdje je CMDB pokazao 17.000. To znači otprilike 37.000 neupravljanih krajnjih točaka po organizaciji koje se nalaze izvan svake politike, svakog ciklusa zakrpa i svakog pravila otkrivanja.
Diamond je pokazao MythosAnthropicov granični model razmišljanja, kao znak da će ofenzivna sposobnost brzine stroja učiniti bilo koje nepoznato sredstvo daleko riskantnijim nego što je danas. “Ljudi obično imaju sindrom sjajnog predmeta”, rekao je. “Ako niste razumjeli kako 50% vašeg okruženja izgleda iz tradicionalne perspektive krajnje točke i mislite da ćete prijeći na granularnu kontrolu i upravljanje umjetnom inteligencijom, vaš program neće uspjeti.” Diamond je nazvao širi pomak umjetne inteligencije “velikim, ako ne i većim od interneta”.
Tri pristupa natječu se za smanjivanje jaza
Niti jedna arhitektura danas ne rješava problem vidljivosti. Natječu se tri pristupa, svaki s imenovanim kompromisima koje sigurnosni timovi trebaju ocijeniti prije nabave.
Namjenski integracijski sloj koristi dvosmjerne API adaptere za izgradnju uvijek aktualnog inventara. Axonius pokreće više od 1400 adaptera i sada otkriva instalacije u sjeni Claude Enterprise putem svog Anthropic adaptera (GA 15. lipnja). “Stvorili smo dvosmjernu API integraciju sa svim IT sustavima i svim sigurnosnim kontrolama kako bismo izgradili uvijek ažuran inventar izgleda okoline”, rekao je Diamond za VentureBeat.
Izvorna platformska EDR i XDR inteligencija gradi bogatiji kontekst imovine unutar traga agenta. Dubina unutar traga agenta je prednost. Ograničenje je strukturalno. Izvorna inteligencija platforme ograničena je onim što agent može vidjeti, a praznina koju je izvješće Ponemona identificiralo živi upravo tamo gdje ta vidljivost prestaje.
CMDB modernizacija zahtijeva kontinuirano usklađivanje s tri ili više neovisnih izvora telemetrije. Samo 13% organizacija svakodnevno usklađuje, prema Podaci o Aksoniju/Ponemonu. Preostalih 87% radi na zastarjelim zapisima koji unose netočno određivanje prioriteta u bilo koji automatizirani cjevovod sanacije.
Spremnost EDR podataka: pet vrata prije autonomne sanacije
Prije nego što dopustite autonomnim SOC agentima da zatvore tikete ili imovinu u karanteni, ovaj kontrolni popis govori vam jesu li vaši EDR i podaci o imovini dovoljno čvrsti da im možete vjerovati. Ne razlikuje se od dobavljača, radi s bilo kojim EDR-om i CMDB-om i daje vam pet prolaznih/neuspješnih prolaza koje možete pokrenuti u jednoj radnoj sesiji.
|
Područje rizika |
Što pokazuju podaci |
Prag spremnosti |
Radnje koje treba poduzeti odmah |
|
Delta inventara imovine |
Ponemon: samo 45% se konsolidira u jedan prikaz. Forrester TEI: 150% više imovine nego što je prethodno identificirano. Lumen: 17K u CMDB-u naspram otkrivenih 1,1M. |
Delta ≤10% između broja otkrića, CMDB-a i EDR agenta. Delta iznad 10% blokira automatiziranu sanaciju dok se ne uskladi. |
Pokrenite otkrivanje temeljeno na API-ju za sve segmente. Razlika u odnosu na CMDB i EDR broj konzole. Uskladite tromjesečni minimum. |
|
Neupravljane AI usluge |
Gravitee: 88% potvrđenih ili sumnjivih AI incidenata. Samo 14,4% s punim sigurnosnim odobrenjem. Anthropic adapter (GA, 15. lipnja) otkriva neupravljane instalacije Claude Enterprisea. |
Nema visokorizičnih usluga umjetne inteligencije izvan odobrene nabave. Tjedno skeniranje otkrivanja SaaS-a. Neupravljane visokorizične instance pokreću IR trijažu prije pregleda izuzetaka. |
Implementirajte SaaS otkrivanje ili adaptere na razini protokola za otkrivanje usluge umjetne inteligencije. Automatizirajte tjedna skeniranja. Usmjerite neupravljane instance u IR red čekanja. |
|
CMDB točnost zapisa |
Ponemon: samo 13% usklađuje dnevno (RSAC 2026). Brooks Running: 20% razlike između poslužitelja i neovisnog otkrivanja. Glavne prepreke sanaciji: nejasno određivanje prioriteta, nejasno vlasništvo, nedosljedni podaci. |
≥85% zapisa potvrđeno u odnosu na 3+ neovisna telemetrijska izvora. Nema zastarjelih ili napuštenih zapisa u aktivnom redu čekanja za ispravljanje. |
Usporedite CMDB s inventarom u oblaku, EDR telemetrijom i IdP imenikom. Kontinuirano usklađivanje zamjenjuje godišnje revizijske cikluse. |
|
Nedostatak pokrivenosti agenta krajnje točke |
Ponemon: agent ne može prijaviti svoju odsutnost (str. 8). TransUnion: 70% do 99% nakon izvanpojasne provjere. RSAC 2026: 12,7% od 298K srednjih uređaja kojima nedostaje očekivani agent. |
≥95% pokrivenost agenta potvrđeno izvanpojasnim otkrivanjem. Mnogi CISO postavljaju ovo kao minimum prije nego što dopuste autonomnu sanaciju. U izvješćima odbora nema mjernih podataka samo o vlastitim prijavama. |
Pokrenite otkrivanje temeljeno na mreži ili API-ju prema upravljanom popisu uređaja. Pokrivenost ispod 95% blokira automatsko određivanje opsega sanacije. |
|
Mapiranje vlasništva imovine |
Ponemon: 32% dosljedno primjenjuje oznake. Samo 51% dodjeljuje vlasništvo nad novim izloženostima (str. 9, 16). TransUnion: 12K do 190K imovine s mapiranim vlasništvom. |
Dodjela vlasnika unutar 24 sata. Oznake dosljedne u oblaku, EDR, CMDB. Tri sustava pokazuju tri vlasnika = kvar. |
Automatizirajte vlasništvo putem oznaka u oblaku, članstva u IdP grupi ili CMDB metapodataka. Mapirajte imovinu, sanaciju i vlasnika tvrtke kao zasebna polja. |
Pet pitanja koja treba postaviti prije dopuštanja autonomne akcije SOC-a
-
Što neovisno provjerava pokrivenost endpoint-agenta izvan EDR konzole?
-
Kako SOC pomiruje sukobe između EDR-a, CMDB-a, inventara u oblaku, IdP-a i alata za otkrivanje?
-
Mogu li AI agenti djelovati na imovinu s nepoznatim ili spornim vlasništvom?
-
Može li sustav razlikovati “nije ranjivo” od “nije vidljivo”?
-
Koja vrata kvalitete podataka blokiraju autonomnu sanaciju kada pokrivenost ili vlasništvo padnu ispod praga?
Uokvirivanje rizika spremno za ploču
Kayne McGladrey, viši član IEEE-a, potvrdio je obrazac u više objavljenih VentureBeat intervjua. Strukturni jaz u samoprocjeni pokrivenosti nije nov. Ono što je novo je da će autonomni agenti djelovati na njega brzinom stroja bez institucionalnih rješenja koja su ljudski analitičari razvili tijekom godina iskustva. Diamond je jasno stavio uloge na razini ploče Izjava za tisak iz travnja 2026: “Nalazi se gomilaju jer se podacima ne vjeruje, vlasništvo nije jasno, a cijele klase imovine nisu ni na slici.”
The CSA-ov Agentic Trust Framework zahtijeva da svaki agent promaknut na višu razinu autonomije mora proći pet vrata, uključujući dokazanu točnost i sigurnosnu reviziju. Obveze transparentnosti iz članka 50. Zakona o umjetnoj inteligenciji EU stupaju na snagu 2. kolovoza 2026. Digitalni omnibus iz svibnja 2026. pomaknuo je visokorizične sistemske obveze na prosinac 2027., ali organizacije koje postavljaju agente SOC na nepotpune podatke o imovini suočavaju se s trenutnim operativnim rizikom koji premašuje bilo koji regulatorni rok.
Rečenica spremna za ploču: Naša izvješća o pokrivenosti EDR-a strukturalno su nepotpuna jer agent krajnje točke ne može prijaviti vlastitu odsutnost, a mi provjeravamo pokrivenost izvanpojasnim otkrivanjem prije implementacije autonomnih agenata koji bi djelovali na ta izvješća brzinom stroja.
Priručnik direktora sigurnosti
-
Ovaj tjedan pokrenite otkrivanje sredstava izvan opsega. Usporedite rezultate sa svojim CMDB izvozom i brojem EDR konzole. Ako delta prijeđe 10%, zaustavite automatizirano određivanje opsega sanacije dok se razlika ne uskladi.
-
Implementirajte SaaS otkrivanje za AI usluge. Zaposlenici instaliraju AI prije nabave, ispred sigurnosti. Tjedno skeniranje je minimum. Usmjerite sve neupravljane instance visokog rizika u svoj red čekanja za odgovor na incident radi trijaže prije pregleda iznimke.
-
Preslikajte vlasništvo nad imovinom na odgovornost za sanaciju. Ponemon je otkrio da samo 32% organizacija dosljedno primjenjuje oznake. Ako tri sustava prikazuju tri različita vlasnika za isto sredstvo, automatizirana sanacija nema cilj usmjeravanja. Popravite sloj vlasništva prije implementacije agenata koji o njemu ovise.
-
Ukloni metriku pokrivenosti samo za vlastitu prijavu. Svaki izračun rizika ili izvješće odbora koje se oslanja samo na EDR pokrivenost izviještenu konzolom izgrađeno je na podacima koje sustav izvješćivanja ne može provjeriti. Zahtijevajte izvanpojasnu provjeru za svaki broj pokrivenosti koji donosi odluku o riziku.