Представьте, что ваш собственный охранник физически не способен сообщить, что его нет на посту. Абсурд? Именно так работает добрая половина современной корпоративной безопасности. Отчёт Axonius за 2026 год, подготовленный совместно с Ponemon Institute на основе опроса 662 ИТ- и специалистов по безопасности, наконец-то облёк в цифры проблему, которую SOC-команды годами обходили через заднюю дверь. В среднем по клиентской базе Axonius 12,7% устройств из 298-тысячной медианной инвентаризации просто не имеют ожидаемого агента безопасности.
Если у девайса нет агента — ни одна консоль управления его не покажет. Если запись в CMDB устарела — никакая система сверки не выдаст флаг. Сотрудник, установивший Claude Enterprise в обход закупок, создал целую экосистему: SaaS-рабочее пространство, поверхность идентификации и целый букет API-токенов, которые эндпоинтная телеметрия в одиночку никогда не проинвентаризирует должным образом. Процент покрытия на дашборде EDR структурно неполон, потому что сам механизм отчётности не видит того, что не покрывает.
И этот пробел сейчас опаснее, чем полгода назад. SOC- и XDR-вендоры всё активнее внедряют в продакшн автономные расследования и реагирование. Их агенты будут опрашивать те же дашборды, доверять тем же процентам покрытия и действовать вслепую в тех же зонах, которые живые аналитики научились обходить. Человек-аналитик усомнится в цифре 98% покрытия. Автономный агент примет её за истину в последней инстанции и рванет на машинной скорости.
Три независимых сигнала сошлись на одной и той же дыре
Опрос Gravitee за 2026 год среди 900 с лишним руководителей показал: 88% подтвердили или подозревают инциденты, связанные с ИИ, и лишь 14,4% запускали агентов в бой с полного одобрения службы безопасности. Отчёт Axonius/Ponemon выявил: 52% респондентов готовы позволить автономным агентам действовать по рекомендациям — при том что 63% признали: базовые данные лишены критически важной информации. CSA Agentic Trust Framework требует верифицированного управления данными прежде, чем агент сделает хоть один шаг на основе находки.
Майк Ример, полевой CISO из Ivanti, рассказал, что известные уязвимости в сетях-приманках Azure теперь атакуют за 90 секунд. «Традиционные меры безопасности по-прежнему работают, — уточнил Ример в интервью VentureBeat. — Но с оговоркой: они защищают только то, что видят». EDR-агент, развёрнутый на 87,3% устройств, оставляет оставшиеся 12,7% за бортом своей телеметрии, политик и логики обнаружения.
Эксклюзивные данные о развёртывании: масштаб в цифрах
Джо Даймонд, CEO Axonius, в беседе с VentureBeat припечатал: средний CISO видит примерно 50% того, что на самом деле болтается в сети. «Скажем, половина их среды — тёмная материя, — объяснил Даймонд. — Они не знают, что это, где это, у кого доступ, защищено ли оно». Данные о развёртывании от более чем 900 клиентов Axonius подтверждают эти цифры. TransUnion подтянули покрытие эндпоинтов с 70% до 99% после внешней верификации. Western Union — с 85% до 99%, сконсолидировав данные из 38 инструментов и наполовину сократив ручной труд. Lumen обнаружили 1,1 миллиона активов, тогда как CMDB показывала 17 тысяч. Это примерно 37 тысяч неуправляемых эндпоинтов на организацию — вне любой политики, любого патч-цикла и любого правила обнаружения.
Даймонд особо выделил Mythos — фронтирную модель рассуждений от Anthropic — как признак того, что наступательные возможности на машинной скорости сделают любой неизвестный актив в разы опаснее, чем сегодня. «Люди страдают синдромом блестящей игрушки, — заметил он. — Если вы не понимали, как выглядит половина вашей среды с точки зрения традиционных эндпоинтов, и думаете, что спринтом добежите до детального контроля ИИ — ваша программа провалится». Даймонд назвал общий сдвиг в сторону ИИ «событием масштаба интернета, если не круче».
Три подхода конкурируют за латание дыры
Сегодня ни одна архитектура не решает проблему видимости целиком. Три подхода борются за место под солнцем, каждый со своим набором компромиссов, которые командам безопасности стоит оценить до закупки.
Выделенный слой интеграции использует двунаправленные API-адаптеры для построения всегда актуальной инвентаризации. Axonius управляет 1400+ адаптерами и теперь ловит тенистые установки Claude Enterprise через свой Anthropic-адаптер (GA с 15 июня). «Мы сделали двунаправленную API-интеграцию со всеми ИТ-системами и всеми средствами контроля безопасности, чтобы построить всегда актуальный срез среды», — рассказал Даймонд VentureBeat.
Платформенная EDR/XDR-аналитика строит богатый контекст активов внутри зоны действия агента. Глубина внутри футапринта агента — её преимущество. Ограничение — структурное. Платформенная аналитика ограничена тем, что видит агент, а разрыв, который выявил отчёт Ponemon, находится именно там, где эта видимость заканчивается.
Модернизация CMDB требует непрерывной сверки как минимум с тремя независимыми источниками телеметрии. Всего 13% организаций проводят сверку ежедневно, по данным Axionus/Ponemon. Оставшиеся 87% живут с устаревшими записями, которые подсовывают неверные приоритеты в любой автоматический конвейер реагирования.
Готовность данных EDR: пять ворот перед автономным реагированием
Прежде чем отпускать автономные SOC-агенты закрывать тикеты или карантинить устройства — вот чеклист, который покажет, насколько ваши EDR-данные и данные об активах вообще заслуживают доверия. Он не привязан к вендору, работает с любым EDR и CMDB и даёт пять точек «сдал/не сдал», которые можно пройти за одну рабочую сессию.
| Область риска | Что показывают данные | Порог готовности | Что делать прямо сейчас |
|---|---|---|---|
| Разница в инвентаризации активов | Ponemon: только 45% консолидируют в единый обзор. Forrester TEI: на 150% больше активов, чем считалось. Lumen: 17K в CMDB vs 1,1M обнаружено. | Расхождение ≤10% между discovery, CMDB и подсчётом EDR-агентов. Расхождение выше 10% блокирует автоматическое реагирование до сверки. | Запустить discovery на основе API по всем сегментам. Сверить с CMDB и консолью EDR. Сверять минимум ежеквартально. |
| Неуправляемые AI-сервисы | Gravitee: 88% подтверждённых или подозреваемых инцидентов с ИИ. Лишь 14,4% с полным одобрением безопасности. Anthropic-адаптер (GA с 15 июня) обнаруживает неконтролируемые установки Claude Enterprise. | Ни одного высокорискового AI-сервиса вне утверждённых закупок. Еженедельное сканирование SaaS-discovery. Неуправляемые высокорисковые экземпляры — в triage IR до рассмотрения исключений. | Развернуть SaaS-discovery или протокольные адаптеры для обнаружения AI-сервисов. Автоматизировать еженедельные сканы. Неуправляемые экземпляры — в очередь IR. |
| Точность записей CMDB | Ponemon: только 13% сверяют ежедневно (RSAC 2026). Brooks Running: 20% расхождение серверов между консолью и независимым discovery. Главные барьеры реагирования: неясные приоритеты, неясная принадлежность, противоречивые данные. | ≥85% записей подтверждены 3+ независимыми источниками телеметрии. Никаких устаревших или осиротевших записей в активной очереди реагирования. | Перекрестно сверить CMDB с облачной инвентаризацией, телеметрией EDR и каталогом IdP. Непрерывная сверка заменяет ежегодные аудиты. |
| Пробел в покрытии эндпоинтных агентов | Ponemon: агент не может сообщить о своём отсутствии (стр. 8). TransUnion: с 70% до 99% после внешней верификации. RSAC 2026: 12,7% из 298K медианных устройств не имеют ожидаемого агента. | ≥95% покрытия агентов, подтверждённого внешним discovery. Многие CISO устанавливают это как минимум перед включением автономного реагирования. Никаких метрик только на самоотчётах в отчётах для совета директоров. | Запустить discovery на основе сети или API против управляемого списка устройств. Покрытие ниже 95% блокирует автоматическое реагирование. |
| Карта принадлежности активов | Ponemon: 32% последовательно применяют теги. Лишь 51% назначают владельца на новые угрозы (стр. 9, 16). TransUnion: с 12K до 190K активов с привязанным владельцем. | Владелец назначен в течение 24 часов. Теги согласованы между облаком, EDR, CMDB. Три системы показывают трёх владельцев = провал. | Автоматизировать назначение владельца через облачные теги, членство в группах IdP или метаданные CMDB. Разделить поля: владелец актива, владелец реагирования, бизнес-владелец. |
Пять вопросов, которые стоит задать до включения автономного SOC
1. Что независимо верифицирует покрытие эндпоинтных агентов за пределами консоли EDR? 2. Как SOC разрешает конфликты между EDR, CMDB, облачной инвентаризацией, IdP и discovery-инструментами? 3. Могут ли AI-агенты действовать на активах с неизвестной или спорной принадлежностью? 4. Способна ли система отличить «не уязвим» от «не виден»? 5. Какой ворот качества данных блокирует автоматическое реагирование, когда покрытие или принадлежность падает ниже порога?
Риск-фрейминг для совета директоров
Кейн МакГлэдри, старший член IEEE, подтвердил этот паттерн в нескольких публичных интервью VentureBeat. Структурная дыра в самоотчётности покрытия — не новость. Новость в другом: автономные агенты будут действовать в ней на машинной скорости, без тех институциональных костылей, которые живые аналитики вырабатывали годами. Даймонд сформулировал ставки на уровне совета директоров предельно чётко в пресс-релизе апреля 2026: «Находки копятся, потому что данным не доверяют, принадлежность неясна, а целые классы активов даже не фигурируют на радаре».
CSA Agentic Trust Framework требует: любой агент, продвигаемый на более высокий уровень автономии, должен пройти пять ворот, включая продемонстрированную точность и аудит безопасности. Статья 50 EU AI Act об обязательствах прозрачности вступает в силу 2 августа 2026 года. Майский 2026 Digital Omnibus отодвинул обязательства для высокорисковых систем до декабря 2027, но организации, разворачивающие агент