Un agente endpoint non può segnalare la propria assenza. Il rapporto Axonius Actionability 2026, realizzato con il Ponemon Institute su 662 professionisti IT e di sicurezza, ha quantificato una lacuna che i team SOC conoscono da anni. Nell'intera base clienti Axonius, il 12,7% dei dispositivi in un inventario mediano di 298.000 unità non ha l'agente di sicurezza previsto. Se un dispositivo non ha agente, nessuna console di gestione lo mostra. Se un record CMDB è obsoleto, nessuna riconciliazione lo segnala. Un dipendente che ha installato Claude Enterprise al di fuori degli acquisti IT crea uno spazio di lavoro SaaS, una superficie di identità e un insieme di token API che la telemetria endpoint da sola non può inventariare in modo affidabile. La percentuale di copertura sulla dashboard EDR è strutturalmente incompleta perché il meccanismo di segnalazione non può vedere ciò che non copre.
Il rapporto Axonius/Ponemon 2026 svela la lacuna nella copertura degli agenti
Questa lacuna è più critica oggi rispetto a sei mesi fa. I vendor SOC e XDR stanno spingendo indagine e remediation autonoma in produzione. Questi agenti interrogheranno le stesse dashboard, si fideranno delle stesse percentuali di copertura e agiranno sugli stessi punti ciechi che gli analisti umani hanno imparato a gestire. Un analista umano mette in dubbio un numero di copertura del 98%. Un agente autonomo lo considera verità assoluta e agisce a velocità macchina.
Sponsored Protocol
Tre segnali convergenti sulla stessa lacuna
Il sondaggio Gravitee 2026 su oltre 900 dirigenti ha rilevato che l'88% ha segnalato incidenti legati all'IA confermati o sospetti, e solo il 14,4% ha messo in produzione agenti con piena approvazione di sicurezza. Il rapporto Axonius/Ponemon ha scoperto che il 52% degli intervistati lascerebbe che gli agenti autonomi agiscano sulle raccomandazioni, mentre il 63% ha dichiarato che i dati sottostanti mancano di informazioni importanti. Il CSA Agentic Trust Framework richiede una governance dei dati verificata prima che gli agenti agiscano su qualsiasi risultato. Mike Riemer, Field CISO di Ivanti, ha sottolineato che le vulnerabilità note sulle reti honeypot di Azure vengono attaccate in meno di 90 secondi. Le misure di sicurezza tradizionali continuano a funzionare, ma solo per ciò che possono vedere. Un agente EDR distribuito sull'87,3% dell'inventario dei dispositivi lascia il restante 12,7% fuori dalla telemetria, dall'applicazione delle policy e dalla logica di rilevamento di quell'agente.
Dati di deployment esclusivi quantificano la scala
Joe Diamond, CEO di Axonius, ha dichiarato a VentureBeat che il CISO medio vede circa il 50% di ciò che è effettivamente sulla rete. I dati di deployment di oltre 900 clienti Axonius confermano questi numeri. TransUnion è passata dal 70% al 99% di copertura endpoint dopo la verifica out-of-band. Western Union è passata dall'85% al 99% consolidando i dati di 38 strumenti e riducendo il carico di lavoro manuale della metà. Lumen ha scoperto 1,1 milioni di asset, mentre il CMDB ne mostrava 17.000. Ciò si traduce in circa 37.000 endpoint non gestiti per organizzazione, fuori da ogni policy, ciclo di patch e regola di rilevamento. Diamond ha indicato Mythos, il modello di ragionamento avanzato di Anthropic, come segno che le capacità offensive a velocità macchina renderanno qualsiasi asset sconosciuto molto più rischioso di oggi.
Sponsored Protocol
Tre approcci competono per colmare il divario
Nessuna singola architettura risolve oggi il problema della visibilità. Tre approcci competono, ciascuno con compromessi specifici che i team di sicurezza dovrebbero valutare prima dell'acquisto. Un livello di integrazione dedicato utilizza adattatori API bidirezionali per costruire un inventario sempre aggiornato. Axonius gestisce oltre 1.400 adattatori e ora scopre installazioni shadow di Claude Enterprise tramite il suo adattatore Anthropic (disponibile dal 15 giugno 2026). L'intelligenza nativa della piattaforma EDR e XDR costruisce un contesto più ricco degli asset all'interno del perimetro dell'agente. Il vantaggio è la profondità, ma il limite è strutturale: l'intelligenza nativa è vincolata a ciò che l'agente può vedere, e la lacuna identificata dal rapporto Ponemon vive proprio dove finisce quella visibilità. La modernizzazione del CMDB richiede una riconciliazione continua contro tre o più fonti di telemetria indipendenti. Solo il 13% delle organizzazioni riconcilia quotidianamente, secondo i dati Axonius/Ponemon. Il restante 87% opera su record obsoleti che alimentano una prioritizzazione errata in qualsiasi pipeline di remediation automatizzata.
Sponsored Protocol
Cinque porte di accesso per la prontezza dei dati EDR
Prima di lasciare che gli agenti SOC autonomi chiudano ticket o mettano in quarantena asset, questa checklist verifica se i tuoi dati EDR e sugli asset sono sufficientemente solidi. È indipendente dal vendor e funziona con qualsiasi EDR e CMDB. Le cinque aree di rischio sono: delta dell'inventario degli asset (soglia massima 10%), servizi AI non gestiti (nessun servizio ad alto rischio fuori dagli acquisti approvati), accuratezza dei record CMDB (almeno l'85% dei record validati), copertura degli agenti endpoint (almeno il 95% verificata out-of-band) e mappatura della proprietà degli asset (proprietario assegnato entro 24 ore). Superare tutte le soglie è necessario prima di abilitare la remediation automatizzata.
Sponsored Protocol
Cinque domande da porre prima di autorizzare azioni SOC autonome
Cosa verifica indipendentemente la copertura degli agenti endpoint al di fuori della console EDR? Come riconcilia il SOC i conflitti tra EDR, CMDB, inventario cloud, IdP e strumenti di discovery? Gli agenti AI possono agire su asset con proprietà sconosciuta o contesa? Il sistema può distinguere tra non vulnerabile e non visibile? Quale gate di qualità dei dati blocca la remediation autonoma quando la copertura o la proprietà scende sotto la soglia? Rispondere a queste domande è essenziale per evitare che gli agenti autonomi compiano azioni basate su dati incompleti.
Rischio per il board: dati di copertura strutturalmente incompleti
Kayne McGladrey, Senior Member IEEE, ha confermato il pattern in diverse interviste pubblicate su VentureBeat. La lacuna strutturale nella copertura auto-segnalata non è nuova. La novità è che gli agenti autonomi agiranno a velocità macchina senza i workaround istituzionali che gli analisti umani hanno sviluppato in anni di esperienza. Diamond ha dichiarato che i risultati si accumulano perché i dati non sono attendibili, la proprietà non è chiara e intere classi di asset non sono nemmeno inquadrate. Il CSA Agentic Trust Framework richiede che qualsiasi agente promosso a un livello di autonomia superiore superi cinque gate, tra cui precisione dimostrata e audit di sicurezza. Gli obblighi di trasparenza dell'articolo 50 dell'AI Act europeo entrano in vigore il 2 agosto 2026. Le organizzazioni che distribuiscono agenti SOC agentici su dati incompleti affrontano un rischio operativo immediato che supera qualsiasi tempistica normativa. La frase pronta per il board: i nostri report di copertura EDR sono strutturalmente incompleti perché un agente endpoint non può segnalare la propria assenza, e stiamo verificando la copertura tramite discovery out-of-band prima di distribuire agenti autonomi che agirebbero su quei report a velocità macchina.
Sponsored Protocol
Per approfondire, leggi l'articolo su VentureBeat e scopri come OpenAI mette paletti all'Europa e l'impatto delle assunzioni di Paul Meade da Apple su Meteoraweb.
