智能体安全:填补数据盲区,确保自主防护有效
终端安全智能体无法报告自身的缺失情况。2026年Axonius行动力报告由Ponemon研究所执行,对662名IT和安全专业人士进行调查,为SOC团队多年来一直努力解决的问题提供了量化数据。在Axonius客户群体中,拥有298,000台设备的中等规模库存中,12.7%的设备缺少预期的安全智能体。
如果一台设备没有安装智能体,管理控制台就不会显示它。如果配置管理数据库(CMDB)记录过时,也不会有重新标记机制。员工未经采购流程安装Claude Enterprise,创建了SaaS工作区、身份表面和API令牌痕迹,这些仅靠终端遥测数据无法可靠地清点。EDR仪表板上的覆盖率在结构上存在不完整性,因为报告机制无法看到它未覆盖的内容。
如今,这一差距的重要性比六个月前更为突出。SOC和XDR供应商正在推动更多自主调查和修复功能投入生产。这些智能体将查询相同的仪表板,信任相同的覆盖率数据,并在人类分析师已经学会绕过的相同盲点上采取行动。人类分析师会对98%的覆盖率数据持怀疑态度,而自主智能体则将其视为真实情况并以机器速度执行操作。
三项独立信号指向同一差距
Gravitee 2026年调查对900多名高管进行的研究发现,88%的受访者报告了已确认或疑似的人工智能相关事件,只有14.4%的智能体获得完全安全批准后投入使用。Axonius/Ponemon报告发现,52%的受访者允许自主智能体根据建议采取行动,而63%的人表示基础数据缺乏重要信息。CSA的智能体信任框架要求智能体在根据任何发现采取行动前必须经过验证的数据治理。
Ivanti的现场首席信息安全官Mike Riemer表示,Azure蜜罐网络上的已知漏洞现在在90秒内就会被攻击。”传统安全措施仍然有效,”Riemer告诉VentureBeat。
但需要注意的是,这些措施仅保护它们能够看到的内容。在87.3%的设备库存中部署的EDR智能体会使剩余的12.7%处于该智能体的遥测、策略执行和检测逻辑之外。
独家部署数据量化了规模
Axonius首席执行官Joe Diamond告诉VentureBeat,平均每名首席信息安全官只能看到网络上实际内容的约50%。”假设他们环境的50%处于暗物质状态,”Diamond说,”他们不知道它是什么,在哪里,谁有访问权限,是否安全,或者不安全。”
来自900多名Axonius客户的部署数据证实了这些数字。TransUnion通过带外验证将终端覆盖率从70%提高到99%。Western Union通过整合38个工具的数据并将手动工作量减半,覆盖率从85%提高到99%。Lumen发现了110万个资产,而CMDB只显示了17,000个。这意味着每个组织约有37,000个未管理的终端处于每个策略、每个补丁周期和每个检测规则之外。
Diamond将Mythos(Anthropic的前沿推理模型)视为机器速度攻击能力将使任何未知资产比今天风险大得多的迹象。”人们往往有追逐亮点的倾向,”他说,”如果你从传统终端角度不理解50%的环境情况,并且认为你可以快速冲刺到AI的细粒度控制和治理,你的项目将会失败。”Diamond称更广泛的AI转变”与互联网一样大,甚至更大。”
三种方法竞争填补差距
目前没有单一架构能够解决可见性问题。三种方法相互竞争,安全团队在采购前应评估每种方法的权衡。
专用集成层
使用双向API适配器构建始终最新的资产清单。Axonius运行1,400多个适配器,现在通过其Anthropic适配器(6月15日正式发布)发现影子Claude Enterprise安装。”我们创建了与所有IT系统和所有安全控制的双向API集成,以构建环境最新状态的资产清单,”Diamond告诉VentureBeat。
平台原生EDR和XDR智能
在智能体足迹内构建更丰富的资产上下文。智能体足迹内的深度是优势。限制是结构性的。平台原生智能受限于智能体能看到的内容,而Ponemon报告确定的差距恰恰在于可见性结束的地方。
CMDB现代化
需要针对三个或更多独立遥测源进行持续对账。根据Axonius/Ponemon数据,只有13%的组织每天进行对账。其余87%的组织根据过时的记录运行,这些记录会向任何自动化修复管道提供错误的优先级排序。
EDR数据就绪性:自主修复前的五道关卡
在允许自主SOC智能体关闭工单或隔离资产之前,这份清单可告诉您您的EDR和资产数据是否足够可靠以供信任。它不偏向特定供应商,适用于任何EDR和CMDB,并为您提供可以在单个工作会话中运行的五个通过/不通过检查点。
| 风险领域 | 数据显示 | 就绪阈值 | 立即采取的行动 |
| 资产清单差异 | Ponemon:只有45%整合为单一视图。Forrester TEI:比先前识别的资产多150%。Lumen:CMDB中有17K,发现110万。 | 发现、CMDB和EDR智能体计数之间的差异≤10%。差异超过10%会阻止自动修复,直到完成对账。 | 对所有网段运行基于API的发现。与CMDB和EDR控制台计数进行比较。最少每季度对账一次。 |
| 未管理的AI服务 | Gravitee:88%已确认或疑似AI事件。只有14.4%获得完全安全批准。Anthropic适配器(6月15日正式发布)发现未管理的Claude Enterprise安装。 | 经批准的采购流程外没有高风险AI服务。每周进行SaaS发现扫描。未管理的高风险实例在异常审查前触发事件响应(IR)分级。 | 部署SaaS发现或AI服务检测的协议级适配器。自动化每周扫描。将未管理实例路由到IR队列。 |
| CMDB记录准确性 | Ponemon:只有13%每天对账(RSAC 2026)。Brooks Running:控制台与独立发现之间存在20%的服务器差异。主要修复障碍:优先级不明确、所有权不明确、数据不一致。 | ≥85%的记录针对3+个独立遥测源进行验证。活动修复队列中没有过期或孤立的记录。 | 将CMDB与云清单、EDR遥测和身份提供者(IdP)目录进行交叉验证。持续对账取代年度审计周期。 |
| 终端智能体覆盖差距 | Ponemon:智能体无法报告自身的缺失情况(第8页)。TransUnion:从70%提升到99%后… | 智能体覆盖所有关键资产。没有关键资产在智能体覆盖范围之外。每周验证覆盖率。 | 实施智能体健康检查。验证关键系统的智能体存在性。实施自动化的智能体部署策略。 |
关注微信号:智享开源 ,及时了解更新信息。
公众号:智享开源
还没有任何评论,你来说两句吧!