startup

Los agentes de seguridad autónomos necesitan datos completos. Así es como puedes verificar si el tuyo está listo.

Fuente: venturebeat.com 10 min de lectura

Compartir

Los agentes de seguridad autónomos necesitan datos completos. Así es como puedes verificar si el tuyo está listo.

Estás leyendo un resumen. El contenido completo está en venturebeat.com.

Un agente de punto final no puede informar su propia ausencia. El Informe de Accionabilidad de Axonius 2026, realizado con el Instituto Ponemon y encuestando a 662 profesionales de TI y seguridad, cuantificó una brecha en la que los equipos SOC han trabajado durante años. A través de la base de clientes de Axonius, el 12.7% de los dispositivos en un inventario mediano de 298,000 dispositivos carecen de su agente de seguridad esperado. Si un dispositivo no tiene agente, ninguna consola de gestión lo muestra. Si un registro de CMDB está obsoleto, no se señala ninguna reconciliación. Un empleado que instaló Claude Enterprise fuera de la adquisición creó un espacio de trabajo SaaS, una superficie de identidad y una huella de token API que la telemetría del punto final por sí sola no podrá inventariar de manera confiable. El porcentaje de cobertura en el panel de EDR es estructuralmente incompleto porque el mecanismo de informes no puede ver lo que no cubre. Esa brecha importa más ahora que hace seis meses. Los proveedores de SOC y XDR están impulsando más investigaciones y remediaciones autónomas en producción. Esos agentes consultarán los mismos paneles, confiarán en los mismos porcentajes de cobertura y actuarán sobre los mismos puntos ciegos que los analistas humanos aprendieron a esquivar. Un analista humano duda de un número de cobertura del 98%. Un agente autónomo lo trata como una verdad absoluta y se mueve a velocidad de máquina. Tres señales independientes convergieron en la misma brecha. La encuesta de Gravitee 2026 de más de 900 ejecutivos encontró que el 88% reportó incidentes relacionados con IA confirmados o sospechosos, y solo el 14.4% envió agentes en vivo con plena aprobación de seguridad. El informe Axonius/Ponemon encontró que el 52% de los encuestados permitirían que agentes autónomos actúen según recomendaciones, mientras que el 63% dijo que los datos subyacentes carecen de información importante. El Marco de Confianza Agente del CSA requiere una gobernanza de datos verificada antes de que los agentes actúen sobre cualquier hallazgo. Mike Riemer, CISO de Campo en Ivanti, dijo que las vulnerabilidades conocidas en las redes en trampa de Azure ahora son atacadas en menos de 90 segundos. “Las medidas de seguridad tradicionales siguen funcionando”, dijo Riemer a VentureBeat. La advertencia es que esas medidas solo protegen lo que pueden ver. Un agente de EDR desplegado en el 87.3% del inventario de dispositivos deja el 12.7% restante fuera de la telemetría, la aplicación de políticas y la lógica de detección de ese agente. Los datos de implementación cuantifican la escala. Joe Diamond, CEO de Axonius, dijo a VentureBeat que el CISO promedio ve aproximadamente el 50% de lo que realmente está en la red. “Digamos que el 50% de su entorno está en materia oscura”, dijo Diamond. “No saben qué es, dónde está, ni quién tiene acceso a ello, si está seguro o no”. Los datos de implementación de más de 900 clientes de Axonius confirman esos números. TransUnion pasó del 70% al 99% de cobertura de puntos finales después de una verificación fuera de banda. Western Union pasó del 85% al 99% al consolidar datos de 38 herramientas y reducir a la mitad la carga de trabajo manual. Lumen descubrió 1.1 millones de activos, donde el CMDB mostró 17,000. Eso se traduce en aproximadamente 37,000 puntos finales no gestionados por organización que están fuera de cada política, cada ciclo de parches y cada regla de detección. Diamond señaló a Mythos, el modelo de razonamiento de frontera de Anthropic, como un signo de que la capacidad ofensiva a velocidad de máquina hará que cualquier activo desconocido sea mucho más arriesgado de lo que es hoy. “Las personas tienden a tener síndrome del objeto brillante”, dijo. “Si no entendías cómo se veía el 50% de tu entorno desde una perspectiva tradicional de punto final, y piensas que vas a correr hacia un control granular y gobernanza de IA, tu programa fracasará”. Diamond llamó al cambio más amplio hacia la IA “tan grande, si no más grande que Internet”. Tres enfoques compiten para cerrar la brecha. Ninguna arquitectura única resuelve el problema de visibilidad hoy. Tres enfoques compiten, cada uno con compromisos nombrados que los equipos de seguridad deben evaluar antes de la adquisición. Una capa de integración dedicada utiliza adaptadores de API bidireccionales para construir un inventario siempre actualizado. Axonius ejecuta más de 1,400 adaptadores y ahora descubre instalaciones sombras de Claude Enterprise a través de su adaptador Anthropic (GA 15 de junio). “Creamos una integración de API bidireccional con todos los sistemas de TI y todos los controles de seguridad para construir un inventario siempre actualizado de cómo se ve el entorno”, dijo Diamond a VentureBeat. La inteligencia nativa de la plataforma EDR y XDR construye un contexto de activos más rico dentro de la huella del agente. La profundidad dentro de la huella del agente es la ventaja. La limitación es estructural. La inteligencia nativa de la plataforma está limitada por lo que el agente puede ver, y la brecha que identificó el informe de Ponemon vive precisamente donde esa visibilidad termina. La modernización de CMDB requiere reconciliación continua contra tres o más fuentes de telemetría independientes. Solo el 13% de las organizaciones reconcilian diariamente, según datos de Axonius/Ponemon. El 87% restante opera con registros obsoletos que alimentan una priorización incorrecta en cualquier línea de remediación automatizada. Preparación de datos EDR: Cinco puertas antes de la remediación autónoma. Antes de permitir que los agentes SOC autónomos cierren tickets o pongan activos en cuarentena, esta lista de verificación te dice si tus datos de EDR y activos son lo suficientemente sólidos como para confiar. Es independiente del proveedor, funciona con cualquier EDR y CMDB, y te da cinco puertas de aprobación/rechazo que puedes ejecutar en una sola sesión de trabajo. Área de Riesgo Qué muestran los datos Umbral de preparación Acción a tomar ahora Delta de inventario de activos Ponemon: solo el 45% se consolidan en una vista única. Forrester TEI: 150% más activos de los previamente identificados. Lumen: 17K en CMDB vs. 1.1M descubiertos. Delta ≤10% entre el conteo de descubrimiento, CMDB y agente EDR. Delta superior al 10% bloquea la remediación automática hasta que se reconcilie. Ejecuta descubrimiento basado en API contra todos los segmentos. Compara con el conteo de CMDB y consola de EDR. Reconciliación trimestral mínima. Servicios de IA no gestionados Gravitee: 88% de incidentes de IA confirmados o sospechosos. Solo el 14.4% con plena aprobación de seguridad. El adaptador Anthropic (GA 15 de junio) descubre instalaciones no gestionadas de Claude Enterprise. No hay servicios de IA de alto riesgo fuera de la adquisición aprobada. Escaneos semanales de descubrimiento SaaS. Instancias no gestionadas de alto riesgo activan triage de IR antes de la revisión de excepciones. Despliega descubrimiento SaaS o adaptadores a nivel de protocolo para detección de servicios de IA. Automatiza escaneos semanales. Rutea instancias no gestionadas a la cola de IR. Precisión del registro de CMDB Ponemon: solo el 13% reconciliamos diariamente (RSAC 2026). Brooks Running: 20% de discrepancia en servidores entre la consola y el descubrimiento independiente. Principales barreras de remediación: priorización poco clara, propiedad poco clara, datos inconsistentes. ≥85% de los registros validados contra 3+ fuentes de telemetría independientes. Sin registros obsoletos u huérfanos en la cola activa de remediación. Cruzar referencias de CMDB contra inventario en la nube, telemetría EDR y directorio IdP. La reconciliación continua reemplaza los ciclos de auditoría anuales. Brecha de cobertura de agente de punto final Ponemon: un agente no puede informar su propia ausencia (p. 8). TransUnion: del 70% al 99% después de verificación fuera de banda. RSAC 2026: el 12.7% de 298K dispositivos medianos carecen del agente esperado. ≥95% de cobertura de agentes verificada a través de descubrimiento fuera de banda. Muchos CISOs establecen esto como mínimo antes de permitir la remediación autónoma. Sin métricas de solo auto-informe en informes de la junta. Realiza descubrimiento basado en red o impulsado por API contra la lista de dispositivos gestionados. Cobertura por debajo del 95% bloquea el alcance de la remediación automática. Mapeo de propiedad de activos Ponemon: el 32% aplica etiquetas de manera consistente. Solo el 51% asigna propiedad a nuevas exposiciones (pp. 9, 16). TransUnion: 12K a 190K activos mapeados con propiedad. Propietario asignado dentro de 24 horas. Etiquetas consistentes en la nube, EDR, CMDB. Tres sistemas que muestran tres propietarios diferentes = falla. Automatiza la propiedad a través de etiquetas en la nube, membresía de grupo IdP o metadatos de CMDB. Mapea los propietarios de activos, remediación y negocio como campos separados. Cinco preguntas para hacer antes de permitir la acción autónoma de SOC. ¿Qué verifica independientemente la cobertura de agente de punto final fuera de la consola de EDR? ¿Cómo reconcilia el SOC los conflictos entre EDR, CMDB, inventario en la nube, IdP y herramientas de descubrimiento? ¿Pueden los agentes de IA actuar sobre activos con propiedad desconocida o disputada? ¿Puede el sistema distinguir entre “no vulnerable” y “no visible”? ¿Qué puerta de calidad de datos bloquea la remediación autónoma cuando la cobertura o propiedad cae por debajo del umbral? Enmarcado del riesgo listo para la junta Kayne McGladrey, miembro senior de IEEE, ha confirmado el patrón en múltiples entrevistas publicadas en VentureBeat. La brecha estructural en la cobertura auto-reportada no es nueva. Lo que es nuevo es que los agentes autónomos actuarán sobre ello a velocidad de máquina sin los mecanismos institucionales que los analistas humanos desarrollaron durante años de experiencia. Diamond expuso claramente las apuestas a nivel de junta en un comunicado de prensa de abril de 2026: “Las conclusiones se acumulan porque los datos no son confiables, la propiedad no está clara y enteras clases de activos ni siquiera están en la imagen”. El Marco de Confianza Agente del CSA requiere que cualquier agente promovido a un nivel de autonomía más alto debe pasar cinco puertas, incluyendo exactitud demostrada y una auditoría de seguridad. Las obligaciones de transparencia del Artículo 50 de la Ley de IA de la UE entrarán en vigor el 2 de agosto de 2026. El Omnibus Digital de mayo de 2026 trasladó las obligaciones de sistemas de alto riesgo a diciembre de 2027, pero las organizaciones que despliegan agentes SOC agentes sobre datos de activos incompletos enfrentan un riesgo operativo inmediato que supera cualquier línea de tiempo regulatoria. La oración lista para la junta: Nuestros informes de cobertura de EDR son estructuralmente incompletos porque un agente de punto final no puede informar su propia ausencia, y estamos verificando la cobertura a través de descubrimiento fuera de banda antes de desplegar agentes autónomos que actuarían sobre esos informes a velocidad de máquina. Manual del director de seguridad. Ejecuta descubrimiento de activos fuera de banda esta semana. Compara los resultados con tu exportación de CMDB y el conteo de consola de EDR. Si la diferencia excede el 10%, detén el alcance de remediación automatizada hasta que se reconcile la brecha. Despliega descubrimiento SaaS para servicios de IA. Los empleados instalan IA antes de la adquisición, antes de la seguridad. Los escaneos semanales son el mínimo. Rutea cualquier instancia no gestionada de alto riesgo a tu cola de respuesta a incidentes para su triage antes de la revisión de excepciones. Mapea la propiedad del activo a la responsabilidad de remediación. Ponemon encontró que solo el 32% de las organizaciones aplican etiquetas de manera consistente. Si tres sistemas muestran tres propietarios diferentes para el mismo activo, la remediación automatizada no tiene un objetivo de enrutamiento. Corrige la capa de propiedad antes de desplegar agentes que dependen de ella. Elimina métricas de cobertura solo auto-reportadas. Cualquier cálculo de riesgo o informe de la junta que dependa únicamente de la cobertura reportada en consola de EDR se basa en datos que el sistema de informes no puede verificar. Requiere verificación fuera de banda para cada número de cobertura que informe una decisión de riesgo.

Leer el artículo completo en el sitio original

Enlace externo a venturebeat.com

Artículos relacionados