Системний агент безпеки кінцевих точок не може повідомити про власну відсутність. Згідно зі звітом Axonius Actionability Report 2026, проведеним спільно з Ponemon Institute за участю 662 фахівців з ІТ та безпеки, виявлено прогалину, яку команди безпеки (SOC) намагаються подолати вже багато років. У базі клієнтів Axonius 12,7% пристроїв із медіанним інвентарем у 298 000 одиниць не мають встановленого очікуваного агента безпеки.
Якщо на пристрої відсутній агент, жодна консоль керування його не відобразить. Якщо запис у CMDB (база даних управління конфігурацією) застарів, жодне зіставлення його не позначить. Співробітник, який встановив Claude Enterprise поза процедурами закупівель, створив робочий простір SaaS, поверхню ідентифікації та слід від API-токенів, які самі по собі неможливо надійно врахувати за допомогою телеметрії кінцевих точок. Відсоток покриття на панелі EDR (Endpoint Detection and Response) є структурно неповним, оскільки механізм звітування не може бачити те, що він не охоплює.
Ця прогалина має значно більшу вагу зараз, ніж шість місяців тому. Постачальники рішень SOC та XDR (Extended Detection and Response) активно впроваджують більш автономні засоби розслідування та усунення загроз. Ці агенти будуть звертатися до тих самих панелей моніторингу, довіряти тим самим відсоткам покриття та діяти на основі тих самих “сліпих зон”, навколо яких навчилися працювати аналітики-люди. Людина-аналітик поставить під сумнів цифру покриття 98%, тоді як автономний агент сприйме її як абсолютну істину й діятиме зі швидкістю машини.
Три незалежні сигнали вказують на однакову прогалину
Згідно з дослідженням Gravitee 2026, у якому взяли участь понад 900 керівників, 88% повідомили про підтверджені або підозрювані інциденти, пов’язані зі штучним інтелектом (ШІ), і лише 14,4% запустили агентів у виробниче середовище з повним дозволом безпеки. Звіт Axonius/Ponemon виявив, що 52% респондентів дозволили б автономним агентам діяти за рекомендаціями, тоді як 63% зазначили, що базові дані містять важливу інформацію. Framework Agentic Trust від CSA вимагає перевіреного управління даними перед тим, як агенти діятимуть на будь-які виявлення.
Майк Рімер, Field CISO в Ivanti, зазначив, що відомі вразливості в мережах-приманках Azure атакуються менш ніж за 90 секунд. “Традиційні заходи безпеки продовжують працювати”, – сказав Рімер VentureBeat.
Але є застереження: ці заходи захищають лише те, що вони бачать. Агент EDR, розгорнутий на 87,3% інвентарю пристроїв, залишає решту 12,7% поза межами телеметрії цього агента, примусового застосування політик та логіки виявлення.
Ексклюзивні дані розгортання кількісно визначають масштаб проблеми
Джо Діамонд, генеральний директор Axonius, повідомив VentureBeat, що в середньому CISO (Chief Information Security Officer) бачить приблизно 50% того, що насправді знаходиться в мережі. “Уявіть, що 50% їхнього середовища перебувають у “темній матерії””, – сказав Діамонд. “Вони не знають, що це, де це, хто має до цього доступ, чи захищене воно, чи ні”.
Дані розгортання від понад 900 клієнтів Axonius підтверджують ці цифри. TransUnion збільшив покриття кінцевих точок з 70% до 99% після позасмугової перевірки. Western Union досяг показника 99% з 85%, об’єднавши дані з 38 інструментів і скоротивши ручну роботу наполовину. Lumen виявив 1,1 мільйона активів, тоді як CMDB показував 17 000. Це означає, що приблизно 37 000 некерованих кінцевих точок на організацію залишаються поза межами будь-яких політик, циклів виправлень та правил виявлення.
Діамонд вказав на Mythos, передову модель міркування від Anthropic, як на ознаку того, що наступальні можливості на швидкості машини зроблять будь-який невідомий актив набагато ризикованішим, ніж сьогодні. “Люди схильні до синдрому блискучого об’єкта”, – сказав він. “Якщо ви не розуміли, як виглядає 50% вашого середовища з точки зору традиційних кінцевих точок, і ви думаєте, що зможете швидко досягти детального контролю та управління ШІ, ваша програма зазнає невдачі”. Діамонд назвав ширший зсув у бік ШІ “настільки ж великим, якщо не більшим, ніж поява інтернету”.
Три підходи конкурують за закриття прогалини
Жодна архітектура сама по собі не вирішує проблему видимості сьогодні. Конкурують три підходи, кожен з яких має певні компроміси, які команди безпеки повинні оцінити перед закупівлею.
Виділений рівень інтеграції використовує двонаправлені адаптери API для створення завжди актуального інвентарю. Axonius має понад 1400 адаптерів і тепер виявляє приховані інсталяції Claude Enterprise через свій адаптер Anthropic (GA з 15 червня). “Ми створили двонаправлену інтеграцію API з усіма ІТ-системами та засобами контролю безпеки для побудови актуального інвентарю того, як виглядає середовище”, – сказав Діамонд VentureBeat.
Власна розвідка EDR та XDR платформи будує більш багатий контекст активів всередині зони покриття агента. Перевагою є глибина аналізу в межах зони покриття агента. Обмеження є структурним. Власна розвідка платформи обмежена тим, що може бачити агент, а прогалина, виявлена звітом Ponemon, знаходиться саме там, де закінчується ця видимість.
Модернізація CMDB вимагає безперервного зіставлення з трьома або більше незалежними джерелами телеметрії. Лише 13% організацій проводять зіставлення щодня, згідно з даними Axonius/Ponemon. Решта 87% працюють із застарілими записами, які призводять до неправильної пріоритезації будь-якого конвеєра автоматизованого усунення.
Готовність даних EDR: п’ять етапів перед автономним усуненням
Перш ніж дозволити автономним агентам SOC закривати заявки або карантинувати активи, цей контрольний список покаже, наскільки надійні ваші дані EDR та інвентарю активів. Він є незалежним від постачальника, працює з будь-яким EDR та CMDB, і пропонує п’ять етапів “пройшов/не пройшов”, які можна пройти за один робочий сеанс.
|
Область ризику |
Що показують дані |
Критерій готовності |
Дії зараз |
|
Розбіжність інвентарю активів |
Ponemon: лише 45% консолідуються в єдиному поданні. Forrester TEI: на 150% більше активів, ніж було виявлено раніше. Lumen: 17 тис. у CMDB проти 1,1 млн виявлених. |
Розбіжність ≤10% між даними виявлення, CMDB та кількістю агентів EDR. Розбіжність понад 10% блокує автоматизоване усунення до моменту узгодження. |
Використовуйте виявлення на основі API для всіх сегментів. Порівняйте з даними CMDB та консолі EDR. Узгоджуйте щонайменше щокварталу. |
|
Некеровані сервіси ШІ |
Gravitee: 88% підтверджених або підозрюваних інцидентів ШІ. Лише 14,4% із повним дозволом безпеки. Адаптер Anthropic (GA з 15 червня) виявляє некеровані інсталяції Claude Enterprise. |
Відсутність високоризикованих сервісів ШІ поза затвердженими закупівлями. Щотижневі сканування виявлення SaaS. Некеровані високоризиковані інсталяції запускають розслідування інцидентів перед переглядом винятків. |
Розгорніть сканування SaaS або адаптери на рівні протоколів для виявлення сервісів ШІ. Автоматизуйте щотижневі сканування. Передавайте некеровані інсталяції до черги реагування на інциденти. |
|
Точність записів CMDB |
Ponemon: лише 13% узгоджуються щодня (RSAC 2026). Brooks Running: 20% розбіжність серверів між консоллю та незалежним виявленням. Основні перешкоди для усунення: нечітка пріоритезація, нечітке володіння, неузгоджені дані. |
≥85% записів перевірено за 3+ незалежними джерелами телеметрії. Відсутність застарілих або покинутих записів у активній черзі усунення. |
Перехресно перевіряйте CMDB з інвентарем хмарних ресурсів, телеметрією EDR та каталогом IdP (Identity Provider). Безперервне узгодження замінює щорічні аудити. |
|
Прогалина в покритті агентів кінцевих точок |
Ponemon: агент не може повідомити про власну відсутність (стор. 8). TransUnion: з 70% до 99% після позасмугової перевірки. RSAC 2026: 12,7% із 298 тис. пристроїв не мають очікуваного агента. |
≥95% покриття агентами, перевірене за допомогою позасмугового виявлення. Багато CISO встановлюють цей показник як мінімальний перед дозволом на автоматизоване усунення. Відсутність показників, що звітують лише про себе, у звітах для ради директорів. |
Використовуйте мережеве або API-кероване виявлення проти списку керованих пристроїв. Покриття нижче 95% блокує масштабування автоматизованого усунення. |
|
Відображення власника активу |
Ponemon: 32% послідовно застосовують теги. Лише 51% призначають власника для нових вразливостей (стор. 9, 16). TransUnion: 12 тис. до 190 тис. активів з відображеними власниками. |
Власник призначений протягом 24 годин. Теги послідовні в хмарі, EDR, CMDB. Три системи, що показують трьох власників = провал. |
Автоматизуйте призначення власника за допомогою хмарних тегів, членства в групах IdP або метаданих CMDB. Відображайте актив, відповідального за усунення та бізнес-власника як окремі поля. |
П’ять питань, які слід поставити перед дозволом на автономні дії SOC
-
Що незалежно перевіряє покриття агентів кінцевих точок поза консоллю EDR?
-
Як SOC узгоджує конфлікти між EDR, CMDB, інвентарем хмарних ресурсів, IdP та інструментами виявлення?
-
Чи можуть агенти ШІ діяти щодо активів з невідомим або спірним власником?
-
Чи може система розрізняти “не вразливий” та “невидимий”?
-
Який поріг якості даних блокує автоматизоване усунення, коли покриття або володіння падає нижче встановленого рівня?
Формулювання ризиків для ради директорів
Кейн МакГладрі, старший член IEEE, підтвердив цю закономірність у кількох опублікованих інтерв’ю VentureBeat. Структурна прогалина в самозвітному покритті не є новою. Новим є те, що автономні агенти діятимуть на основі цих даних зі швидкістю машини, без інституційних обхідних шляхів, розроблених аналітиками-людьми за роки досвіду. Діамонд чітко окреслив ставки на рівні ради директорів у прес-релізі від квітня 2026 року: “Виявлення накопичуються, тому що даним не довіряють, власність незрозуміла, а цілі класи активів навіть не враховуються”.
Framework Agentic Trust від CSA вимагає, щоб будь-який агент, підвищений до вищого рівня автономії, проходив п’ять етапів, включаючи підтверджену точність та аудит безпеки. Зобов’язання щодо прозорості Статті 50 Закону ЄС про ШІ набувають чинності 2 серпня 2026 року. Digital Omnibus від травня 2026 року переніс зобов’язання щодо високоризикованих систем на грудень 2027 року, але організації, які розгортають автономних агентів SOC на неповних даних про активи, стикаються з негайним операційним ризиком, який випереджає будь-які регуляторні терміни.
Речення для ради директорів: Наші звіти про покриття EDR є структурно неповними, оскільки агент кінцевої точки не може повідомити про власну відсутність, і ми перевіряємо покриття за допомогою позасмугового виявлення перед розгортанням автономних агентів, які б діяли на основі цих звітів зі швидкістю машини.
Посібник для директора з безпеки
-
Проведіть позасмугове виявлення активів цього тижня. Порівняйте результати з експортом вашої CMDB та кількістю в консолі EDR. Якщо розбіжність перевищує 10%, зупиніть масштабування автоматизованого усунення доки прогалину не буде узгоджено.
-
Розгорніть виявлення SaaS для сервісів ШІ. Співробітники встановлюють ШІ до закупівель, до відділу безпеки. Щотижневі сканування – це мінімум. Направляйте будь-які некеровані високоризиковані інсталяції до вашої черги реагування на інциденти для первинного аналізу перед переглядом винятків.
-
Відобразіть власника активу на відповідальність за усунення. Ponemon виявив, що лише 32% організацій послідовно застосовують теги. Якщо три системи показують трьох різних власників для одного й того ж активу, автоматизоване усунення не має цільового маршруту. Виправте рівень володіння, перш ніж розгортати агентів, які від нього залежать.
-
Скасуйте показники покриття, що звітують лише про себе. Будь-який розрахунок ризику або звіт для ради директорів, який покладається лише на дані покриття з консолі EDR, побудований на даних, які система звітування не може перевірити. Вимагайте позасмугової перевірки для кожного показника покриття, який впливає на рішення щодо ризику.
Як захиститися (Порада CryptoDom): Уникайте використання будь-яких агентів безпеки, які звітують про власну відсутність – це фундаментальна вада. Натомість, впроваджуйте рішення для управління активами, які використовують незалежні джерела даних (мережеве сканування, API, інвентарні системи) для перевірки наявності та стану всіх компонентів вашої інфраструктури, включно з агентами безпеки.
За даними порталу: venturebeat.com