Un endpoint agente non può segnalare la propria assenza. Secondo il rapporto 2026 Axonius Actionability Report, condotto con Ponemon Institute e che ha intervistato 662 professionisti IT e di sicurezza, è stata messa a numero una lacuna che i team SOC hanno gestito per anni. Nei dati provenienti dai clienti di Axonius, il 12,7% dei dispositivi in un inventario mediano di 298.000 dispositivi manca del previsto agente di sicurezza.
Se un dispositivo non ha un agente, nessun pannello di gestione lo mostra. Se il registro CMDB è datato, nessuna riconciliazione lo segnala. Un dipendente che ha installato Claude Enterprise fuori da un acquisto approvato ha creato uno spazio di lavoro SaaS, una superficie di identità e un footprint del token API che la sola telemetria degli endpoint non sarà in grado di catalogare in modo affidabile. La percentuale di copertura sul dashboard EDR è strutturalmente incompleta poiché il meccanismo di segnalazione non riesce a vedere ciò che non è coperto.
Questo divario è più rilevante adesso rispetto a sei mesi fa
I fornitori di SOC e XDR stanno spingendo per introdurre più investigazioni e attività di riparazione autonome nel processo produttivo. Questi agenti interrogheranno i medesimi dashboard, fidandosi degli stessi numeri di copertura e agendo sugli stessi punti ciechi che gli analisti umani hanno imparato ad aggirare. Un analista umano mette in discussione un numero del 98% di copertura. Un agente autonomo lo considera come verità e opera a velocità macchina.
Tre segnali indipendenti convergono sullo stesso divario
Il sondaggio Gravitee 2026 su 900 dirigenti ha evidenziato che l'88% ha segnalato incidenti confermati o sospettati legati all'AI, ma solo il 14,4% ha messo in funzione agenti con l'approvazione completa sulla sicurezza. Il rapporto Axonius/Ponemon ha rilevato che il 52% dei rispondenti permetterebbe agli agenti autonomi di agire su raccomandazioni mentre il 63% ritenne che i dati sottostanti mancassero di informazioni fondamentali.
Il Framework per la Fiducia Agente della CSA richiede una governance verificata dei dati prima che un agente agisca su qualsiasi trovare. Mike Riemer, Field CISO di Ivanti, ha dichiarato che le vulnerabilità note sulle reti di honeypot di Azure vengono attaccate in meno di 90 secondi. “Le misure di sicurezza tradizionali continuano a funzionare,” ha detto Riemer a VentureBeat.
L’eccezione è che quelle misure proteggono solo ciò che sono in grado di vedere. Un agente EDR implementato su circa il 87,3% del portafoglio dei dispositivi lascia il restante 12,7% fuori dalla telemetria, dall’esecuzione delle politiche e dalla logica di rilevamento.
Dati esclusivi di distribuzione quantificano la scala
Joe Diamond, CEO di Axonius, ha dichiarato a VentureBeat che il tipico CISO vede circa la metà di ciò che realmente si trova in rete. “Diciamo che il 50% del loro ambiente si trova in materia oscura,” ha detto Diamond. “Non sanno cos'è, dove si trova, chi vi ha accesso, se è sicuro o no.”
I dati di distribuzione di oltre 900 clienti Axonius confermano quei numeri. TransUnion è passata dal 70% al 99% della copertura degli endpoint dopo la verifica fuori banda. Western Union ha ridotto da 85% a 99% consolidando i dati provenienti da 38 strumenti e dimezzando il carico manuale. Lumen ha scoperto 1,1 milioni di asset, dove la voce CMDB mostrava 17.000. Questo equivale a circa 37.000 endpoint non gestiti per organizzazione, tutti al di fuori di ogni politica, ciclo di aggiornamenti e regola di rilevamento.
Diamond ha indicato Mythos, il modello di ragionamento avanzato di Anthropic, come un segnale che le capacità offensive a velocità macchina faranno rischiare molto di più gli asset sconosciuti rispetto a oggi. “Le persone tendono ad avere la sindrome degli oggetti brillanti,” ha detto. “Se non si ha una comprensione del 50% degli asset del proprio ambiente da una prospettiva di endpoint tradizionale e si pensa di correre a gestire con precisione la governance dell'AI, il programma fallirà.” Diamond ha definito il cambiamento verso l'intelligenza artificiale “almeno altrettanto grande, se non più grande dell'internet.”
Tre approcci competono per colmare il gap
Nessuna singola architettura risolve oggi il problema della visibilità. Tre approcci competono, ognuno con scelte note di prezzo che i team di sicurezza dovrebbero valutare prima dell’acquisto.
Un layer di integrazione dedicato
Usa adapter API bidirezionali per costruire un inventario sempre aggiornato. Axonius esegue più di 1.400 adapter e oggi trova installazioni non controllate di Claude Enterprise tramite il proprio adapter per Anthropic (disponibile dal 15 giugno). “Abbiamo creato un’integrazione API bidirezionale con tutti i sistemi IT e con tutti i controlli di sicurezza per costruire un inventario sempre aggiornato di come appare l’ambiente,” ha detto Diamond a VentureBeat.
Intelligenza EDR e XDR nativa del piattaforma
Crea un contesto degli asset più ricco all’interno del footprint dell’agente. L'avvantaggio è la profondità dentro il coverage dell'agente. Il limite è strutturale. La capacità nativa della piattaforma è limitata a ciò che l’agente può mostrare, e il problema identificato nel rapporto Ponemon si trova precisamente lì dove la visibilità finisce.
Modernizzazione della CMDB
Prestabiliti: Cinque gate da soddisfare prima della rimozione autonoma
Prima di permettere agli agenti autonomi di chiudere ticket o isolare asset, questa checklist ti dice se i tuoi dati EDR e di asset sono abbastanza solidi da poter trustare. Si applica a qualsiasi EDR e CMDB, e ti dà cinque test pass/fail da eseguire in una sessione lavorativa.
Questi test valutano cinque aree di rischio chiave: