Ландшафт кібербезпеки різко змінився на конференції RSA 2026, де провідні постачальники, такі як CrowdStrike, Cisco та Palo Alto Networks, представили інструменти безпеки, керовані агентами. Однак, незважаючи на ці досягнення, залишається фундаментальна прогалина: жоден постачальник не надав рішення, здатного надійно відрізняти законну активність агентів від шкідливої поведінки. Це залишає підприємства вразливими серед, де противники тепер діють на машинної швидкості.
вікно виявлення, що скорочується
Швидкість сучасних атак пришвидшується. Генеральний директор CrowdStrike Джордж Куртц повідомив, що середній час злому скоротився з 48 хвилин у 2024 році до всього 29 хвилин на сьогоднішній день, при цьому найшвидші зафіксовані зломи відбувалися менш ніж за 27 секунд. Це означає, що захисники залишили менше хвилини, щоб відреагувати, перш ніж загроза пошириться. Одночасно різко зросла кількість додатків, керованих ІІ, що працюють на кінцевих точках: CrowdStrike тепер виявляє понад 1800 унікальних додатків ІІ, що налічують майже 160 мільйонів екземплярів, всі з яких генерують шквал даних у системи безпеки, призначені для робочих процесів, керованих людьми.
Йдеться не лише про швидкість, а й про масштаб. Проблема не просто в тому, що атаки відбуваються швидше, а в тому, що складність управління ІІ-агентами перевантажує існуючі операції безпеки.
Розрив у впровадженні агентів
Дослідження Cisco показують значний розрив між інтересом підприємств до ІІ-агентів та їх фактичним розгортанням. Вісімдесят п’ять відсотків опитаних організацій тестують ІІ-агенти, але лише 5% запровадили їх у виробництво. Ця нерішучість випливає з фундаментальних питань, на які команди безпеки поки що не можуть відповісти: * Які агенти працюють, які їх дозволи і хто відповідає, коли вони виходять з ладу?
Етай Маор, віце-президент з розвідки загроз у Cato Networks, ємно висловив цю проблему: «Ми прагнемо до збільшення складності в ІІ, створюючи наступну хвилю проблем безпеки замість вирішення існуючих».
Невиразний агент
Однією з основних проблем є те, що активність, ініційована агентом, часто виглядає ідентично поведінці людини у стандартних журналах безпеки. Як пояснив технічний директор CrowdStrike Еліа Зайцев, “Агент, що запускає веб-браузер, виглядає нічим не відрізняється від людини, яка запускає той же браузер”. Диференціація вимагає глибокої видимості кінцевої точки та можливості відстежити активність до її джерела – можливості, якої не вистачає багатьом командам безпеки.
Ця вразливість вже використовується. Атака на ланцюжок поставок ClawHavoc, спрямована на реєстр навичок ClawHub, продемонструвала, як скомпрометовані ІІ-агенти можуть доставляти шкідливе програмне забезпечення, яке стирає свої власні сліди, залишаючись у сплячому режимі до активації. Куртц попередив: ** «Творці передового ІІ не захищатимуть себе самі. Вони спочатку будують, а потім забезпечують безпеку».**
Два підходи, одна сліпа зона
Постачальники реагують двома основними стратегіями:
- Підхід A: Агенти всередині SIEM. Cisco та Splunk інтегрують ІІ-агенти безпосередньо у свої платформи SIEM для автоматичного тріажу та реагування.
- Підхід B: Аналітика конвеєра. CrowdStrike просуває аналітику вгору конвеєром обробки даних, збагачуючи події до того, як вони досягнуть аналітиків.
Однак жоден з підходів не вирішує критично важливий недолік: базовий рівень нормальної поведінки агента. Обидва підходи прискорюють тріаж та виявлення, але не визначають, як виглядає авторизована активність агента у конкретному середовищі.
П’ять кроків для негайних дій
Терміновість очевидна. Лідерам безпеки необхідно діяти зараз, щоб адаптуватися до агентурного ландшафту загроз. Ось що потрібно зробити:
- Інвентаризуйте всіх агентів: Визначте кожну програму ІІ, яка працює на ваших кінцевих точках.
- Підтвердіть диференціацію активності агентів: Переконайтеся, що ваші інструменти можуть розрізняти поведінку агентів та людей.
- Погодьте архітектуру з існуючим SIEM: Виберіть рішення, сумісне з поточним стеком безпеки.
- Створіть базовий рівень поведінки агентів: Визначте авторизовані дії для кожного агента та виявляйте відхилення.
- Проведіть стрес-тест ланцюжка поставок: Проскануйте агентів перед розгортанням та відстежуйте їх на предмет компрометації після встановлення.
Ландшафт безпеки фундаментально помінявся. SOC був створений для захисту людей за допомогою машин; тепер він повинен захищати машини за допомогою машин. Вікно прийняття рішень звужується. Команди, які не адаптуються, будуть пригнічені швидкістю та складністю агентурної загрози.
