Os agentes de segurança autônomos precisam de dados completos. Veja como verificar se o seu está pronto.

Picture of Edição - Istoé TECH
Edição - Istoé TECH
Os agentes de segurança autônomos precisam de dados completos. Veja como verificar se o seu está pronto.

Um agente de endpoint não pode relatar sua própria ausência. O Relatório de Actionability da Axonius de 2026, realizado com o Ponemon Institute e pesquisando 662 profissionais de TI e segurança, apontou um número para uma lacuna que as equipes de SOC têm trabalhado durante anos. Em toda a base de clientes da Axonius, 12,7% dos dispositivos em um inventário médio de 298.000 dispositivos não possuem o agente de segurança esperado.

Se um dispositivo não tiver agente, nenhum console de gerenciamento o mostrará. Se um registro do CMDB estiver obsoleto, nenhuma reconciliação o sinalizará. Um funcionário que instalou o Claude Enterprise fora de compras criou um espaço de trabalho SaaS, uma superfície de identidade e uma pegada de token de API que a telemetria de endpoint por si só não irá inventariar de forma confiável. A percentagem de cobertura no painel do EDR está estruturalmente incompleta porque o mecanismo de relatório não consegue ver o que não cobre.

Essa lacuna é mais importante agora do que há seis meses. Os fornecedores de SOC e XDR estão promovendo investigação e remediação mais autônomas na produção. Esses agentes consultarão os mesmos painéis, confiarão nas mesmas porcentagens de cobertura e agirão nos mesmos pontos cegos que os analistas humanos aprenderam a contornar. Um analista humano adivinha um número de cobertura de 98%. Um agente autônomo trata isso como uma verdade básica e se move na velocidade da máquina.

Três sinais independentes convergiram para a mesma lacuna

A pesquisa de 2026 da Gravitee com mais de 900 executivos descobriu que 88% relataram incidentes confirmados ou suspeitos relacionados à IA, e apenas 14,4% enviaram agentes ao vivo com aprovação total de segurança. O relatório Axonius/Ponemon descobriu que 52% dos entrevistados permitiriam que agentes autônomos agissem de acordo com as recomendações – enquanto 63% disseram que os dados subjacentes carecem de informações importantes. O Agentic Trust Framework do CSA exige governança de dados verificada antes que os agentes atuem em qualquer descoberta.

Mike Riemer, CISO de campo da Ivanti, disse que as vulnerabilidades conhecidas nas redes honeypot do Azure agora são atacadas em menos de 90 segundos. “As medidas de segurança tradicionais continuam a funcionar”, disse Riemer ao VentureBeat.

A ressalva é que essas medidas protegem apenas o que podem ver. Um agente EDR implantado em 87,3% do inventário de dispositivos deixa os 12,7% restantes fora da telemetria, aplicação de políticas e lógica de detecção desse agente.

Dados de implantação exclusivos quantificam a escala

Joe Diamond, CEO da Axonius, disse ao VentureBeat que o CISO médio vê cerca de 50% do que realmente está na rede. “Digamos que 50% do seu ambiente está assentado em matéria escura”, disse Diamond. “Eles não sabem o que é, ou onde está, ou quem tem acesso a ele, se é seguro, se não é seguro.”

Os dados de implantação de mais de 900 clientes Axonius confirmam esses números. A TransUnion passou de 70% para 99% de cobertura de endpoint após verificação fora de banda. A Western Union passou de 85% para 99% consolidando dados de 38 ferramentas e reduzindo pela metade a carga de trabalho manual. A Lumen descobriu 1,1 milhão de ativos, enquanto o CMDB mostrou 17 mil. Isso se traduz em cerca de 37.000 endpoints não gerenciados por organização, fora de todas as políticas, de todos os ciclos de patches e de todas as regras de detecção.

Diamond apontou o Mythos, o modelo de raciocínio de fronteira da Anthropic, como um sinal de que a capacidade ofensiva à velocidade da máquina tornará qualquer ativo desconhecido muito mais arriscado do que é hoje. “As pessoas tendem a ter a síndrome do objeto brilhante”, disse ele. “Se você não entendeu como era 50% do seu ambiente de uma perspectiva de endpoint tradicional e acha que vai avançar para o controle granular e a governança da IA, seu programa irá falhar.” Diamond chamou a mudança mais ampla da IA ​​de “tão grande, senão maior que a Internet”.

Três abordagens competem para preencher a lacuna

Nenhuma arquitetura resolve o problema de visibilidade hoje. Três abordagens competem, cada uma com compensações nomeadas que as equipes de segurança devem avaliar antes da aquisição.

Uma camada de integração dedicada usa adaptadores de API bidirecionais para criar um inventário sempre atual. Axonius executa mais de 1.400 adaptadores e agora descobre instalações shadow Claude Enterprise por meio de seu adaptador Anthropic (GA em 15 de junho). “Criamos uma integração bidirecional de API com todos os sistemas de TI e todos os controles de segurança para construir um inventário sempre atualizado da aparência do ambiente”, disse Diamond ao VentureBeat.

Inteligência EDR e XDR nativa da plataforma cria um contexto de ativos mais rico dentro da área de atuação do agente. A profundidade na área de atuação do agente é a vantagem. A limitação é estrutural. A inteligência nativa da plataforma é limitada pelo que o agente pode ver, e a lacuna identificada pelo relatório Ponemon reside exatamente onde essa visibilidade termina.

Modernização do CMDB requer reconciliação contínua com três ou mais fontes de telemetria independentes. Apenas 13% das organizações fazem reconciliações diariamente, de acordo com dados da Axonius/Ponemon. Os 87% restantes operam com registros obsoletos que alimentam a priorização incorreta em qualquer pipeline de remediação automatizado.

Preparação de dados EDR: cinco portas antes da remediação autônoma

Antes de permitir que agentes SOC autônomos fechem tickets ou coloquem ativos em quarentena, esta lista de verificação informa se seus dados de EDR e de ativos são sólidos o suficiente para serem confiáveis. Ele é independente de fornecedor, funciona com qualquer EDR e CMDB e oferece cinco portas de aprovação/reprovação que você pode executar em uma única sessão de trabalho.

Área de Risco

O que os dados mostram

Limite de prontidão

Ação a ser tomada agora

Delta de inventário de ativos

Ponemon: apenas 45% consolidam em uma única visualização. Forrester TEI: 150% mais ativos do que o identificado anteriormente. Lúmen: 17K no CMDB vs. 1,1M descoberto.

Delta ≤10% entre descoberta, CMDB e contagem de agentes EDR. Delta acima de 10% bloqueia a correção automatizada até a reconciliação.

Execute a descoberta baseada em API em todos os segmentos. Diferença em relação à contagem do console CMDB e EDR. Reconciliar o mínimo trimestral.

Serviços de IA não gerenciados

Gravite: 88% de incidentes de IA confirmados ou suspeitos. Apenas 14,4% com aprovação total de segurança. Adaptador antrópico (disponibilidade geral em 15 de junho) descobre instalações não gerenciadas da Claude Enterprise.

Nenhum serviço de IA de alto risco fora das aquisições aprovadas. Varreduras semanais de descoberta de SaaS. Instâncias não gerenciadas de alto risco acionam a triagem de IR antes da revisão da exceção.

Implante descoberta SaaS ou adaptadores em nível de protocolo para detecção de serviços de IA. Automatize verificações semanais. Roteie instâncias não gerenciadas para a fila de IR.

Precisão do registro CMDB

Ponemon: apenas 13% reconciliam diariamente (RSAC 2026). Brooks Running: 20% de discrepância de servidor entre console e descoberta independente. Principais barreiras à remediação: priorização pouco clara, propriedade pouco clara, dados inconsistentes.

≥85% dos registros validado contra mais de 3 fontes de telemetria independentes. Nenhum registro obsoleto ou órfão na fila de correção ativa.

Faça referência cruzada do CMDB com inventário de nuvem, telemetria EDR e diretório IdP. A reconciliação contínua substitui os ciclos anuais de auditoria.

Lacuna de cobertura do agente de endpoint

Ponemon: um agente não pode reportar sua própria ausência (p. 8). TransUnion: 70% a 99% após verificação fora de banda. RSAC 2026: 12,7% dos dispositivos médios de 298 mil sem o agente esperado.

≥95% de cobertura do agente verificado por meio de descoberta fora de banda. Muitos CISOs definem isso como o mínimo antes de permitir a remediação autônoma. Nenhuma métrica apenas auto-relatada nos relatórios do conselho.

Execute a descoberta baseada em rede ou orientada por API na lista de dispositivos gerenciados. A cobertura abaixo de 95% bloqueia o escopo da correção automatizada.

Mapeamento de propriedade de ativos

Ponemon: 32% aplicam tags de forma consistente. Apenas 51% atribuem propriedade sobre novas exposições (págs. 9, 16). TransUnion: 12 mil a 190 mil ativos com propriedade mapeada.

Proprietário atribuído dentro de 24 horas. Tags consistentes na nuvem, EDR, CMDB. Três sistemas mostrando três proprietários = falha.

Automatize a propriedade por meio de tags de nuvem, associação a grupos IdP ou metadados CMDB. Mapeie ativo, correção e proprietário da empresa como campos separados.

Cinco perguntas a serem feitas antes de permitir a ação autônoma do SOC

  1. O que verifica de forma independente a cobertura do agente de endpoint fora do console EDR?

  2. Como o SOC reconcilia conflitos entre EDR, CMDB, inventário de nuvem, IdP e ferramentas de descoberta?

  3. Os agentes de IA podem agir sobre ativos de propriedade desconhecida ou disputada?

  4. O sistema consegue distinguir “não vulnerável” de “não visível”?

  5. Que barreira de qualidade dos dados bloqueia a remediação autónoma quando a cobertura ou a propriedade cai abaixo do limite?

Estrutura de risco pronta para o conselho

Kayne McGladrey, membro sênior do IEEE, confirmou o padrão em várias entrevistas publicadas do VentureBeat. A lacuna estrutural na cobertura autodeclarada não é nova. A novidade é que os agentes autónomos agirão à velocidade da máquina, sem as soluções institucionais que os analistas humanos desenvolveram ao longo de anos de experiência. Diamond expôs claramente o que está em jogo no nível do conselho em um comunicado à imprensa de abril de 2026: “As descobertas se acumulam porque os dados não são confiáveis, a propriedade não é clara e classes inteiras de ativos nem sequer estão em cena”.

O Agentic Trust Framework da CSA exige que qualquer agente promovido a um nível de autonomia superior passe por cinco portas, incluindo precisão demonstrada e uma auditoria de segurança. As obrigações de transparência do Artigo 50 da Lei de IA da UE entram em vigor em 2 de agosto de 2026. O Digital Omnibus de maio de 2026 adiou as obrigações do sistema de alto risco para dezembro de 2027, mas as organizações que implantam agentes SOC agenticos em dados de ativos incompletos enfrentam um risco operacional imediato que ultrapassa qualquer cronograma regulatório.

A frase pronta para uso: nossos relatórios de cobertura de EDR estão estruturalmente incompletos porque um agente de endpoint não pode relatar sua própria ausência, e estamos verificando a cobertura por meio de descoberta fora de banda antes de implantar agentes autônomos que atuariam nesses relatórios na velocidade da máquina.

Manual do diretor de segurança

  1. Execute a descoberta de ativos fora da banda esta semana. Compare os resultados com a exportação do CMDB e a contagem do console EDR. Se o delta exceder 10%, interrompa a definição do âmbito da remediação automatizada até que a lacuna seja reconciliada.

  2. Implante a descoberta de SaaS para serviços de IA. Os funcionários instalam IA antes das compras, antes da segurança. As verificações semanais são o mínimo. Encaminhe qualquer instância não gerenciada de alto risco para sua fila de resposta a incidentes para triagem antes da revisão da exceção.

  3. Mapeie a propriedade dos ativos para a responsabilidade de remediação. Ponemon descobriu que apenas 32% das organizações aplicam tags de forma consistente. Se três sistemas mostrarem três proprietários diferentes para o mesmo ativo, a correção automatizada não terá destino de roteamento. Corrija a camada de propriedade antes de implantar agentes que dependam dela.

  4. Elimine métricas de cobertura somente auto-relatadas. Qualquer cálculo de risco ou relatório do conselho que se baseie apenas na cobertura informada pelo console EDR é baseado em dados que o sistema de relatórios não pode verificar. Exija verificação fora de banda para cada número de cobertura que informa uma decisão de risco.



Fonte ==> Cyberseo

Edição - Istoé TECH

O Portal Isto é Tech é um portal de notícias sobre o mercado de tecnologia do mundo.
Colunas

Leia Também

Athletic Brewing abre torneira de marketing para se destacar no verão lotado

Athletic Brewing abre torneira de marketing para se destacar no verão lotado

Edição - Istoé TECH 21 de maio de 2026 0
Por que a American Family Insurance fez um reality show para o Hulu

Por que a American Family Insurance fez um reality show para o Hulu

Edição - Istoé TECH 5 de maio de 2026 0
O que os profissionais de marketing precisam saber quando os filmes de marca retornam às telas

O que os profissionais de marketing precisam saber quando os filmes de marca retornam às telas

Edição - Istoé TECH 23 de abril de 2026 0
Como a IA está tornando a criação de anúncios mais rápida e justa

Como a IA está tornando a criação de anúncios mais rápida e justa

Edição - Istoé TECH 22 de abril de 2026 0
Heinz dá início ao acordo com a NFL introduzindo a 57ª escolha do draft no novo clube

Heinz dá início ao acordo com a NFL introduzindo a 57ª escolha do draft no novo clube

Edição - Istoé TECH 21 de abril de 2026 0
O marketing do criador agora é um 'canal de mídia principal' enquanto a pesquisa desacelera: IAB

O marketing do criador agora é um ‘canal de mídia principal’ enquanto a pesquisa desacelera: IAB

Edição - Istoé TECH 20 de abril de 2026 0
Maximizando o momento da transação: Por que o ponto de compra é a alavanca de crescimento mais subvalorizada do varejo

Maximizando o momento da transação: Por que o ponto de compra é a alavanca de crescimento mais subvalorizada do varejo

Edição - Istoé TECH 20 de abril de 2026 0
Sociável: a última campanha publicitária do Pinterest incentiva as pessoas a sair das redes sociais

Sociável: a última campanha publicitária do Pinterest incentiva as pessoas a sair das redes sociais

Edição - Istoé TECH 16 de abril de 2026 0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Últimas Notícias

[the_ad id="48"]