Агент на кінцевій точці не може повідомити про власну відсутність. Звіт “The 2026 Axonius Actionability Report”, проведений спільно з Ponemon Institute за участю 662 ІТ-спеціалістів та спеціалістів з безпеки, кількісно оцінив прогалину, яку команди SOC (Security Operations Center) долали роками. Серед клієнтів Axonius, 12,7% пристроїв з медіанної інвентаризації в 298 000 одиниць не мають очікуваного агента безпеки.
Якщо на пристрої немає агента, жодна консоль управління його не відобразить. Якщо запис у CMDB (Configuration Management Database) застарів, жодне узгодження його не виявить. Співробітник, який встановив Claude Enterprise поза офіційними каналами закупівель, створив SaaS-середовище, поверхню ідентифікації та слід API-токенів, які seule телеметрія кінцевих точок не зможе надійно інвентаризувати. Відсоток покриття на панелі EDR (Endpoint Detection and Response) є структурно неповним, оскільки механізм звітування не бачить того, що він не охоплює.
Ця прогалина стає більш значущою, ніж будь-коли раніше. Постачальники рішень SOC та XDR (Extended Detection and Response) активно впроваджують більш автономні інструменти для розслідування та усунення загроз. Ці агенти будуть надсилати запити до тих самих панелей моніторингу, довіряти тим самим відсоткам покриття та діяти, спираючись на ті самі сліпі зони, навколо яких навчилися працювати аналітики-люди. Людський аналітик ставить під сумнів показник покриття у 98%, тоді як автономний агент сприймає його як істину та діє зі швидкістю машини.
Три незалежні сигнали вказали на одну й ту ж прогалину
Опитування Gravitee 2026 року серед понад 900 керівників виявило, що 88% повідомили про підтверджені або підозрювані інциденти, пов’язані зі штучним інтелектом (ШІ), при цьому лише 14,4% запустили агенти в експлуатацію з повним схваленням безпеки. Звіт Axonius/Ponemon виявив, що 52% респондентів дозволили б автономним агентам діяти за рекомендаціями, тоді як 63% зазначили, що базові дані містять важливу неповну інформацію. Структура Agentic Trust Framework від CSA вимагає верифікованого управління даними, перш ніж агенти зможуть діяти за будь-якими висновками.
Майк Рімер, Field CISO в Ivanti, зазначив, що відомі уразливості в мережах-приманках (honeypot networks) Azure атакують менш ніж за 90 секунд. “Традиційні заходи безпеки продовжують працювати”, – сказав Рімер журналістам VentureBeat.
Однак, ці заходи захищають лише те, що вони можуть бачити. Агент EDR, розгорнутий на 87,3% інвентаризованих пристроїв, залишає решту 12,7% поза зоною дії телеметрії, політик безпеки та логіки виявлення цього агента.
Ексклюзивні дані розгортання кількісно оцінюють масштаб проблеми
Джо Діамонд, генеральний директор Axonius, повідомив VentureBeat, що в середньому CISO (Chief Information Security Officer) бачить лише близько 50% реальних активів у мережі. “Можна сказати, що 50% їхнього середовища перебуває в “темній матерії”. Вони не знають, що це, де воно знаходиться, хто має до нього доступ, чи воно захищене, чи ні”, – зазначив Діамонд.
Дані розгортання від понад 900 клієнтів Axonius підтверджують ці цифри. TransUnion збільшила покриття кінцевих точок з 70% до 99% після незалежної перевірки. Western Union досягла показника 99% з 85%, об’єднавши дані з 38 інструментів і скоротивши ручне навантаження вдвічі. Lumen виявила 1,1 мільйона активів, тоді як CMDB показувала лише 17 000. Це означає, що приблизно 37 000 некерованих кінцевих точок на організацію залишаються поза зоною дії будь-яких політик, циклів оновлень та правил виявлення.
Діамонд вказав на Mythos, передову модель від Anthropic, як на ознаку того, що наступальні можливості на швидкості машини зроблять будь-який невідомий актив значно ризикованішим, ніж сьогодні. “Люди схильні до синдрому блискучого об’єкта”, – сказав він. “Якщо ви не розуміли, як виглядає 50% вашого середовища з точки зору традиційних кінцевих точок, і ви думаєте, що зможете швидко досягти гранулярного контролю та управління ШІ, ваша програма зазнає невдачі”. Діамонд назвав ширший зсув до ШІ “настільки ж великим, якщо не більшим, ніж поява Інтернету”.
Три підходи конкурують за закриття прогалини
Жодна окрема архітектура сьогодні не вирішує проблему видимості. Три підходи конкурують, кожен зі своїми компромісами, які команди безпеки повинні оцінити перед закупівлею.
Виділений шар інтеграції використовує двонаправлені API-адаптери для побудови завжди актуального інвентарю. Axonius використовує понад 1400 адаптерів і тепер виявляє тіньові встановлення Claude Enterprise через свій адаптер Anthropic (загальнодоступний з 15 червня). “Ми створили двонаправлену API-інтеграцію з усіма ІТ-системами та всіма засобами контролю безпеки для побудови завжди актуального інвентарю того, як виглядає середовище”, – розповів Діамонд VentureBeat.
Нативна інтелектуальна база EDR та XDR будує багатший контекст активів всередині зони дії агента. Перевага полягає в глибині всередині зони дії агента. Обмеження є структурним. Нативна інтелектуальна база платформи обмежена тим, що може бачити агент, а прогалина, виявлена у звіті Ponemon, існує саме там, де закінчується ця видимість.
Модернізація CMDB вимагає безперервного узгодження з трьома або більше незалежними джерелами телеметрії. Лише 13% організацій проводять узгодження щодня, згідно з даними Axonius/Ponemon. Решта 87% працюють із застарілими записами, які подають неправильні пріоритети до будь-якого конвеєра автоматизованого усунення.
Готовність даних EDR: п’ять етапів перед автономним усуненням
Перш ніж дозволити автономним агентам SOC закривати заявки або карантинувати активи, цей контрольний список покаже, чи достатньо надійні ваші дані EDR та активів. Він є незалежним від постачальника, працює з будь-яким EDR та CMDB, і пропонує п’ять етапів проходження/відмови, які можна пройти за один робочий сеанс.
|
Зона ризику |
Що показують дані |
Поріг готовності |
Поточна дія |
|
Розбіжність інвентарю активів |
Ponemon: лише 45% об’єднують дані в єдиний вигляд. Forrester TEI: на 150% більше активів, ніж було виявлено раніше. Lumen: 17 тис. у CMDB проти 1,1 млн виявлених. |
Розбіжність ≤10% між даними виявлення, CMDB та кількістю агентів EDR. Розбіжність понад 10% блокує автоматичне усунення до узгодження. |
Запустіть виявлення через API на всіх сегментах. Порівняйте з даними CMDB та консолі EDR. Узгоджуйте мінімум щокварталу. |
|
Некеровані послуги ШІ |
Gravitee: 88% підтверджених або підозрюваних інцидентів з ШІ. Лише 14,4% з повним дозволом безпеки. Адаптер Anthropic (GA 15 червня) виявляє некеровані встановлення Claude Enterprise. |
Відсутність високоризикованих послуг ШІ поза межами затверджених закупівель. Щотижневе сканування SaaS. Некеровані високоризиковані екземпляри ініціюють розслідування безпеки перед розглядом винятків. |
Розгорніть сканування SaaS або адаптери на рівні протоколу для виявлення послуг ШІ. Автоматизуйте щотижневі сканування. Направляйте некеровані екземпляри до черги реагування на інциденти. |
|
Точність записів CMDB |
Ponemon: лише 13% проводять узгодження щодня (RSAC 2026). Brooks Running: 20% розбіжності серверів між консоллю та незалежним виявленням. Основні перешкоди для усунення: нечітке визначення пріоритетів, нечітке визначення відповідальних, непослідовні дані. |
≥85% записів верифіковані за допомогою 3+ незалежних джерел телеметрії. Відсутність застарілих або покинутих записів у черзі активного усунення. |
Перехресно перевіряйте CMDB з інвентаризацією хмари, телеметрією EDR та каталогом IdP (Identity Provider). Безперервне узгодження замінює щорічні аудити. |
|
Розрив у покритті агентів кінцевих точок |
Ponemon: агент не може повідомити про свою відсутність (стор. 8). TransUnion: з 70% до 99% після незалежної перевірки. RSAC 2026: 12,7% з 298 тис. пристроїв не мають очікуваного агента. |
≥95% покриття агентів, підтверджене незалежним виявленням. Багато CISO встановлюють це як мінімум перед дозволом автоматичного усунення. Відсутність метрик, що звітуються лише самим собою, у звітах для правління. |
Запустіть мережеве або API-орієнтоване виявлення порівняно зі списком керованих пристроїв. Покриття нижче 95% блокує визначення обсягу автоматичного усунення. |
|
Прив’язка власності активів |
Ponemon: 32% послідовно застосовують теги. Лише 51% призначають власника при нових виявленнях (стор. 9, 16). TransUnion: 12 тис. активів з відомою власністю проти 190 тис. активів із загальною кількістю. |
Власник призначений протягом 24 годин. Теги послідовні для хмари, EDR, CMDB. Три системи, що показують трьох різних власників = збій. |
Автоматизуйте визначення власника через хмарні теги, членство в групах IdP або метадані CMDB. Призначте власника активу, відповідального за усунення та бізнес-власника як окремі поля. |
П’ять запитань перед дозволом автономних дій SOC
-
Що незалежно перевіряє покриття агентів кінцевих точок поза межами консолі EDR?
-
Як SOC узгоджує конфлікти між EDR, CMDB, інвентаризацією хмари, IdP та інструментами виявлення?
-
Чи можуть агенти ШІ діяти щодо активів з невідомою або спірною власністю?
-
Чи може система розрізняти “не вразливий” від “невидимий”?
-
Який етап контролю якості даних блокує автоматичне усунення, коли покриття або власність падає нижче порогового значення?
Формування ризиків для ради директорів
Кейн МакГладрі, старший член IEEE, підтвердив цю закономірність у численних опублікованих інтерв’ю VentureBeat. Структурна прогалина у самозвітному покритті не є новою. Новим є те, що автономні агенти діятимуть на основі цих даних зі швидкістю машини, без інституційних обхідних шляхів, розроблених аналітиками-людьми за роки досвіду. Діамонд чітко окреслив ставки для правління директорів у прес-релізі від квітня 2026 року: “Висновки накопичуються, тому що даним не довіряють, власність не визначена, а цілі класи активів навіть не фігурують у загальній картині”.
Agentic Trust Framework від CSA вимагає, щоб будь-який агент, переведений на вищий рівень автономії, пройшов п’ять етапів, включаючи доведену точність та аудит безпеки. Зобов’язання щодо прозорості відповідно до статті 50 Закону ЄС про ШІ набувають чинності 2 серпня 2026 року. У травні 2026 року Digital Omnibus переніс зобов’язання щодо високоризикованих систем на грудень 2027 року, але організації, які розгортають автономних агентів SOC на неповних даних про активи, стикаються з негайними операційними ризиками, що випереджають будь-які регуляторні терміни.
Формулювання для ради директорів: Наші звіти про покриття EDR є структурно неповними, оскільки агент кінцевої точки не може повідомити про власну відсутність, і ми перевіряємо покриття за допомогою незалежного виявлення перед розгортанням автономних агентів, які діяли б на основі цих звітів зі швидкістю машини.
Плейбук директора з безпеки
-
Проведіть незалежне виявлення активів цього тижня. Порівняйте результати з експортом вашої CMDB та даними консолі EDR. Якщо розбіжність перевищує 10%, зупиніть визначення обсягу автоматичного усунення доти, доки прогалина не буде усунена.
-
Розгорніть виявлення SaaS для послуг ШІ. Співробітники встановлюють ШІ до офіційних закупівель та схвалення безпекою. Щотижневе сканування є мінімальною вимогою. Направляйте будь-які некеровані високоризиковані екземпляри до вашої черги реагування на інциденти для первинного аналізу перед розглядом винятків.
-
Прив’яжіть власність активів до відповідальності за усунення. Ponemon виявив, що лише 32% організацій послідовно застосовують теги. Якщо три системи показують трьох різних власників для одного активу, автоматичне усунення не має цільового маршруту. Виправте шар власності перед розгортанням агентів, які від нього залежать.
-
Скасуйте метрики покриття, що звітуються лише самим собою. Будь-який розрахунок ризиків або звіт для правління, який покладається виключно на показники покриття, звітовані консоллю EDR, побудований на даних, які система звітування не може перевірити. Вимагайте незалежної перевірки для кожного показника покриття, який впливає на рішення щодо ризиків.
Як захиститися (Порада ІТ-Блогу): Регулярно використовуйте незалежні інструменти для виявлення активів у вашій мережі, які доповнюють дані з EDR та CMDB. Це допоможе виявити “невидимі” пристрої або сервіси, що можуть стати ціллю для зловмисників.
За даними порталу: venturebeat.com