George Kurtz by venturebeat

CrowdStrike, Cisco and Palo Alto Networks all shipped agentic SOC tools at RSAC 2026 — the agent behavioral baseline gap survived all three

by

George Kurtz by venturebeat
क्राउडस्ट्राइक के सीईओ जॉर्ज कर्ट्ज़ ने अपने आरएसए कॉन्फ्रेंस 2026 के मुख्य भाषण में इस बात पर प्रकाश डाला कि सबसे तेज़ रिकॉर्ड किया गया प्रतिद्वंद्वी ब्रेकआउट समय 27 सेकंड तक गिर गया है। औसत अब 29 मिनट है, जो 2024 में 48 मिनट से कम है। खतरा फैलने से पहले रक्षकों के पास इतना समय होता है। अब क्राउडस्ट्राइक सेंसर एंटरप्राइज़ एंडपॉइंट पर चल रहे 1,800 से अधिक विशिष्ट एआई अनुप्रयोगों का पता लगाते हैं, जो लगभग 160 मिलियन अद्वितीय एप्लिकेशन उदाहरणों का प्रतिनिधित्व करते हैं। प्रत्येक व्यक्ति मानव-गति वर्कफ़्लो के लिए डिज़ाइन किए गए एसआईईएम सिस्टम में प्रवाहित होने वाले डिटेक्शन इवेंट, पहचान इवेंट और डेटा एक्सेस लॉग उत्पन्न करता है।

सिस्को ने पाया कि सर्वेक्षण में शामिल 85% उद्यम ग्राहकों के पास एआई एजेंट पायलट चल रहे हैं। सिस्को के अध्यक्ष और मुख्य उत्पाद अधिकारी जीतू पटेल के आरएसएसी ब्लॉग पोस्ट के अनुसार, केवल 5% ने एजेंटों को उत्पादन में स्थानांतरित किया। वह 80-बिंदु का अंतर मौजूद है क्योंकि सुरक्षा दल एजेंटों द्वारा पूछे जाने वाले बुनियादी सवालों का जवाब नहीं दे सकते हैं। कौन से एजेंट चल रहे हैं, वे क्या करने के लिए अधिकृत हैं और कोई गलत होने पर कौन जवाबदेह है।

कैटो नेटवर्क्स में थ्रेट इंटेलिजेंस के वीपी एटे माओर ने आरएसएसी 2026 में वेंचरबीट को बताया, “नंबर एक खतरा सुरक्षा जटिलता है। लेकिन हम एआई में भी उसी दिशा में भाग रहे हैं।” माओर ने लगातार 16 वर्षों तक सम्मेलन में भाग लिया है। “हम एआई के लिए बहु-बिंदु समाधानों के साथ जा रहे हैं। और अब आप सुरक्षा जटिलता की अगली लहर पैदा कर रहे हैं।”

एजेंट आपके लॉग में इंसानों के समान दिखते हैं

अधिकांश डिफ़ॉल्ट लॉगिंग कॉन्फ़िगरेशन में, एजेंट द्वारा शुरू की गई गतिविधि सुरक्षा लॉग में मानव द्वारा शुरू की गई गतिविधि के समान दिखती है। क्राउडस्ट्राइक के सीटीओ एलिया ज़ैतसेव ने आरएसएसी 2026 में एक विशेष साक्षात्कार में वेंचरबीट को बताया, “यह अप्रभेद्य लगता है कि कोई एजेंट लुइस का वेब ब्राउज़र चलाता है, जबकि लुइस अपना ब्राउज़र चलाता है।” “मैं वास्तव में उस प्रक्रिया वृक्ष पर चल सकता हूं और कह सकता हूं, यह क्रोम प्रक्रिया लुइस द्वारा डेस्कटॉप से ​​लॉन्च की गई थी। यह क्रोम प्रक्रिया लुइस के क्लाउड कोवर्क या चैटजीपीटी एप्लिकेशन से लॉन्च की गई थी। इस प्रकार, यह एजेंट द्वारा नियंत्रित है।”

एंडपॉइंट दृश्यता की गहराई के बिना, वैध क्रेडेंशियल्स के साथ स्वीकृत एपीआई कॉल निष्पादित करने वाला एक समझौता एजेंट शून्य अलर्ट सक्रिय करता है। शोषण सतह का परीक्षण पहले से ही किया जा रहा है। अपने मुख्य वक्ता के दौरान, कर्ट्ज़ ने क्लॉहैवोक का वर्णन किया, जो एआई एजेंट पारिस्थितिकी तंत्र पर पहला बड़ा आपूर्ति श्रृंखला हमला है, जो ओपनक्लाव की सार्वजनिक कौशल रजिस्ट्री क्लॉहब को लक्षित करता है। कोई सिक्योरिटी के फरवरी ऑडिट में 2,857 में से 341 दुर्भावनापूर्ण कौशल पाए गए; एंटी सीईआरटी के एक अनुवर्ती विश्लेषण ने पूरे प्लेटफॉर्म पर ऐतिहासिक रूप से 1,184 समझौता किए गए पैकेजों की पहचान की। कर्ट्ज़ ने कहा कि क्लॉहब अब अपनी रजिस्ट्री में 13,000 कौशलों को होस्ट करता है। संक्रमित कौशल में बैकडोर, रिवर्स शेल और क्रेडेंशियल हार्वेस्टर शामिल थे; कर्ट्ज़ ने अपने मुख्य भाषण में कहा कि कुछ ने इंस्टॉलेशन के बाद अपनी मेमोरी मिटा दी और सक्रिय होने से पहले अव्यक्त रह सकते हैं। "सीमांत एआई निर्माता स्वयं को सुरक्षित नहीं करेंगे," कर्ट्ज़ ने कहा। "सीमांत प्रयोगशालाएँ उसी कार्यपुस्तिका का अनुसरण कर रही हैं। वे इसका निर्माण कर रहे हैं। वे इसे सुरक्षित नहीं कर रहे हैं."

दो एजेंटिक एसओसी आर्किटेक्चर, एक साझा ब्लाइंड स्पॉट

दृष्टिकोण ए: सिएम के अंदर एआई एजेंट। सिस्को और स्प्लंक ने स्प्लंक एंटरप्राइज सिक्योरिटी के लिए छह विशेष एआई एजेंटों की घोषणा की: डिटेक्शन बिल्डर, ट्राइएज, गाइडेड रिस्पांस, स्टैंडर्ड ऑपरेटिंग प्रोसीजर्स (एसओपी), मैलवेयर थ्रेट रिवर्सिंग और ऑटोमेशन बिल्डर। मैलवेयर थ्रेट रिवर्सिंग वर्तमान में स्प्लंक अटैक एनालाइज़र में उपलब्ध है और डिटेक्शन स्टूडियो आम तौर पर एक एकीकृत कार्यक्षेत्र के रूप में उपलब्ध है; शेष पांच एजेंट जून 2026 तक अल्फा या प्रीरिलीज़ में हैं। एक्सपोज़र एनालिटिक्स और फ़ेडरेटेड सर्च एक ही समयरेखा का पालन करते हैं। एसओसी के अपस्ट्रीम में, सिस्को का डिफेंसक्ला ढांचा तैनाती से पहले ओपनक्लाव कौशल और एमसीपी सर्वर को स्कैन करता है, जबकि नई डुओ आईएएम क्षमताएं सत्यापित पहचान और समयबद्ध अनुमतियों वाले एजेंटों पर शून्य भरोसा प्रदान करती हैं।

पटेल ने वेंचरबीट को बताया, “व्यवसाय-महत्वपूर्ण कार्यों के लिए उद्यमों में अपनाने में सबसे बड़ी बाधा पर्याप्त मात्रा में विश्वास स्थापित करना है।” “प्रतिनिधित्व करना और विश्वसनीय प्रत्यायोजन, उन दोनों के बीच का अंतर, एक दिवालियापन की ओर ले जाता है। दूसरा बाज़ार प्रभुत्व की ओर ले जाता है।”

दृष्टिकोण बी: अपस्ट्रीम पाइपलाइन का पता लगाना। क्राउडस्ट्राइक ने एनालिटिक्स को डेटा अंतर्ग्रहण पाइपलाइन में ही धकेल दिया, घटनाओं के विश्लेषक की कतार तक पहुंचने से पहले वास्तविक समय के विश्लेषण, पता लगाने और संवर्धन के लिए अपने ओनम अधिग्रहण को मूल रूप से फाल्कन के अंतर्ग्रहण प्रणाली में एकीकृत कर दिया। फाल्कन नेक्स्ट-जेन सिएम अब एंडपॉइंट टेलीमेट्री के लिए माइक्रोसॉफ्ट डिफेंडर को मूल रूप से शामिल करता है, इसलिए डिफेंडर दुकानों को अतिरिक्त सेंसर की आवश्यकता नहीं है। क्राउडस्ट्राइक ने तृतीय-पक्ष डेटा स्टोरों में फ़ेडरेटेड खोज और एक क्वेरी ट्रांसलेशन एजेंट भी पेश किया जो एसआईईएम माइग्रेशन में तेजी लाने के लिए लीगेसी स्प्लंक क्वेरीज़ को परिवर्तित करता है।

एजेंटिक एंटरप्राइज के लिए फाल्कन डेटा सिक्योरिटी रनटाइम पर डेटा एजेंटों की पहुंच के लिए क्रॉस-डोमेन डेटा हानि रोकथाम लागू करती है। क्राउडस्ट्राइक की शत्रु-सूचित क्लाउड जोखिम प्राथमिकता क्लाउड वर्कलोड में एजेंट गतिविधि को उसी डिटेक्शन पाइपलाइन से जोड़ती है। फाल्कन कम्प्लीट के माध्यम से एजेंट एमडीआर उन टीमों के लिए मशीन-स्पीड प्रबंधित डिटेक्शन जोड़ता है जो आंतरिक रूप से क्षमता का निर्माण नहीं कर सकते हैं।

“एजेंटिक एसओसी सब कुछ है, हम कैसे बने रहें?” ज़ैतसेव ने कहा। “अगर उनके पास अपनी स्वयं की एजेंटिक सहायता नहीं है तो ऐसा करने का लगभग कोई कल्पनीय तरीका नहीं है।”

क्राउडस्ट्राइक ने आरएसएसी 2026 में घोषित चार्लोट एआई एजेंटवर्क्स के माध्यम से बाहरी एआई प्रदाताओं के लिए अपना प्लेटफॉर्म खोला, जिससे ग्राहकों को फ्रंटियर एआई मॉडल का उपयोग करके फाल्कन पर कस्टम सुरक्षा एजेंट बनाने की सुविधा मिली। लॉन्च साझेदारों में एक्सेंचर, एंथ्रोपिक, एडब्ल्यूएस, डेलॉइट, क्रोल, एनवीआईडीआईए, ओपनएआई, सेल्सफोर्स और टेलीफ़ोनिका टेक शामिल हैं। आईबीएम ने समन्वित, मशीन-गति जांच और रोकथाम के लिए अपनी स्वायत्त खतरा संचालन मशीन के साथ चार्लोट एआई को एकीकृत करने वाले सहयोग के माध्यम से खरीदार की मांग को मान्य किया।

पारिस्थितिकी तंत्र के दावेदार. पालो ऑल्टो नेटवर्क्स ने वेंचरबीट के साथ एक विशेष प्री-आरएसएसी ब्रीफिंग में प्रिज्मा एआईआरएस 3.0 की रूपरेखा तैयार की, जो अपने एआई सुरक्षा प्लेटफॉर्म को आर्टिफैक्ट स्कैनिंग, एजेंट रेड टीमिंग और एक रनटाइम के साथ एजेंटों तक विस्तारित करता है जो मेमोरी पॉइज़निंग और अत्यधिक अनुमतियों को पकड़ता है। कंपनी ने एजेंट की खोज और क्रेडेंशियल सत्यापन के लिए एक एजेंटिक पहचान प्रदाता पेश किया। एक बार जब पालो अल्टो नेटवर्क कोई का प्रस्तावित अधिग्रहण बंद कर देता है, तो कंपनी एजेंटिक एंडपॉइंट सुरक्षा जोड़ती है। कॉर्टेक्स अपने ग्राहक आधार पर एजेंटिक सुरक्षा ऑर्केस्ट्रेशन प्रदान करता है।

इंटेल ने घोषणा की कि क्राउडस्ट्राइक के फाल्कन प्लेटफॉर्म को इंटेल-संचालित एआई पीसी के लिए अनुकूलित किया जा रहा है, डिवाइस पर एजेंट के व्यवहार का पता लगाने के लिए तंत्रिका प्रसंस्करण इकाइयों और सिलिकॉन-स्तरीय टेलीमेट्री का लाभ उठाया जा रहा है। कर्ट्ज़ ने एआईडीआर, एआई डिटेक्शन और रिस्पॉन्स को ईडीआर से परे अगली श्रेणी के रूप में तैयार किया, जो एंडपॉइंट्स, सास, क्लाउड और एआई पाइपलाइनों में एजेंट-स्पीड गतिविधि को ट्रैक करता है। उन्होंने कहा कि गोद लेने के पैमाने के रूप में “मनुष्यों के पास औसतन 90 एजेंट होंगे जो उनके लिए काम करेंगे”, लेकिन उन्होंने कोई समयसीमा निर्दिष्ट नहीं की।

किसी भी विक्रेता ने अंतर को बंद नहीं किया

क्या सुरक्षा नेता ज़रूरत

दृष्टिकोण ए: सिएम के अंदर एजेंट (सिस्को/स्प्लंक)

दृष्टिकोण बी: अपस्ट्रीम पाइपलाइन का पता लगाना (क्राउडस्ट्राइक)

गैप न तो बंद होता है

एजेंट वॉल्यूम पर ट्राइएज

छह एआई एजेंट स्प्लंक ईएस के अंदर ट्राइएज, डिटेक्शन और प्रतिक्रिया को संभालते हैं

विश्लेषक द्वारा देखे जाने से पहले ओनम-संचालित पाइपलाइन खतरों का पता लगाती है और उन्हें समृद्ध करती है

विसंगतियों को चिह्नित करने से पहले न तो आधारभूत सामान्य एजेंट व्यवहार

एजेंट बनाम मानव भेदभाव

डुओ आईएएम एजेंट की पहचान को ट्रैक करता है लेकिन एसओसी टेलीमेट्री में एजेंट को मानव गतिविधि से अलग नहीं करता है

प्रक्रिया वृक्ष वंशावली रनटाइम पर भिन्न होती है। एआईडीआर एजेंट-विशिष्ट पहचान तक विस्तारित है

किसी भी विक्रेता की घोषित क्षमताओं में आउट-ऑफ़-द-बॉक्स एजेंट व्यवहार आधार रेखा शामिल नहीं है

27 सेकंड की प्रतिक्रिया विंडो

गाइडेड रिस्पांस एजेंट मशीन की गति से नियंत्रण कार्यान्वित करता है

इन-पाइपलाइन डिटेक्शन से कतार की मात्रा कम हो जाती है। एजेंट एमडीआर प्रबंधित प्रतिक्रिया जोड़ता है

किसी भी दृष्टिकोण में मानव-इन-द-लूप शासन को मशीन-स्पीड प्रतिक्रिया के साथ समेटा नहीं गया है

लीगेसी सिएम पोर्टेबिलिटी

नेटिव स्प्लंक एकीकरण मौजूदा वर्कफ़्लो को सुरक्षित रखता है

क्वेरी ट्रांसलेशन एजेंट स्प्लंक क्वेरीज़ को परिवर्तित करता है। नेटिव डिफेंडर अंतर्ग्रहण Microsoft दुकानों को माइग्रेट करने देता है

माइग्रेशन के दौरान एकाधिक एसआईईएम चलाने वाली टीमों को कोई भी संबोधित नहीं करता है

एजेंट आपूर्ति श्रृंखला

डिफेंसक्लाव तैनाती से पहले कौशल और एमसीपी सर्वर को स्कैन करता है। एक्सप्लोरर संस्करण रेड-टीम एजेंट

ईडीआर एआई रनटाइम प्रोटेक्शन तैनाती के बाद समझौता किए गए कौशल को पकड़ लेता है। चार्लोट एआई एजेंटवर्क्स कस्टम एजेंटों को सक्षम बनाता है

न ही पूर्ण जीवनचक्र को कवर करता है। प्री-डिप्लॉयमेंट स्कैनिंग रनटाइम कारनामे को मिस कर देती है और इसके विपरीत भी

मैट्रिक्स एक चीज़ को दृश्यमान बनाता है जो मुख्य नोट्स में नहीं था। किसी भी विक्रेता ने एजेंट व्यवहार आधार रेखा नहीं भेजी। दोनों दृष्टिकोण ट्राइएज को स्वचालित करते हैं और पता लगाने में तेजी लाते हैं। घोषित क्षमताओं की वेंचरबीट की समीक्षा के आधार पर, यह परिभाषित नहीं किया गया है कि किसी दिए गए एंटरप्राइज़ वातावरण में सामान्य एजेंट व्यवहार कैसा दिखता है।

सुरक्षा के लिए माइक्रोसॉफ्ट सेंटिनल और कोपायलट चलाने वाली टीमें एक तीसरे आर्किटेक्चर का प्रतिनिधित्व करती हैं, जिसे औपचारिक रूप से इस सप्ताह आरएसएसी में प्रतिस्पर्धी दृष्टिकोण के रूप में घोषित नहीं किया गया है, लेकिन माइक्रोसॉफ्ट-भारी वातावरण में सीआईएसओ को यह परीक्षण करने की आवश्यकता है कि क्या सेंटिनल के मूल एजेंट टेलीमेट्री अंतर्ग्रहण और कोपायलट के स्वचालित ट्राइएज ऊपर पहचाने गए समान अंतराल को बंद करते हैं।

माओर ने आगाह किया कि विक्रेता की प्रतिक्रिया उस पैटर्न को दोहराती है जिसे उन्होंने 16 वर्षों से ट्रैक किया है। उन्होंने वेंचरबीट को बताया, “मुझे उम्मीद है कि हमें इस पूरे चक्र से नहीं गुजरना पड़ेगा।” “मुझे उम्मीद है कि हमने अतीत से सीखा है। यह वास्तव में ऐसा नहीं लगता है।”

जैतसेव की सलाह दो टूक थी. “आप पहले से ही जानते हैं कि क्या करना है। आप पांच, दस, पंद्रह वर्षों से जानते हैं कि क्या करना है। अंततः इसे करने का समय आ गया है।”

सोमवार सुबह करने योग्य पाँच काम

ये चरण आपके SOC प्लेटफ़ॉर्म पर ध्यान दिए बिना लागू होते हैं। किसी को भी मौजूदा उपकरणों को तोड़ने और बदलने की आवश्यकता नहीं है। दृश्यता से शुरू करें, फिर जैसे-जैसे एजेंट की मात्रा बढ़ती है, नियंत्रण में परतें डालें।

  1. अपने समापन बिंदु पर प्रत्येक एजेंट की सूची बनाएं। क्राउडस्ट्राइक सभी एंटरप्राइज़ उपकरणों में 1,800 एआई अनुप्रयोगों का पता लगाता है। सिस्को की डुओ आइडेंटिटी इंटेलिजेंस एजेंटिक पहचान की खोज करती है। पालो ऑल्टो नेटवर्क्स का एजेंटिक आईडीपी एजेंटों को सूचीबद्ध करता है और उन्हें मानव मालिकों के लिए मैप करता है। यदि आप एक अलग प्लेटफ़ॉर्म चलाते हैं, तो ज्ञात एजेंट निर्देशिकाओं और बायनेरिज़ के लिए EDR क्वेरी से शुरुआत करें। आप उन एजेंटों के लिए नीति निर्धारित नहीं कर सकते जिनके बारे में आप नहीं जानते।

  2. निर्धारित करें कि क्या आपका एसओसी स्टैक एजेंट को मानव गतिविधि से अलग कर सकता है। क्राउडस्ट्राइक का फाल्कन सेंसर और एआईडीआर प्रोसेस ट्री वंशावली के माध्यम से ऐसा करते हैं। पालो ऑल्टो नेटवर्क्स का एजेंट रनटाइम निष्पादन के समय मेमोरी पॉइज़निंग को पकड़ता है। यदि आपके उपकरण यह अंतर नहीं कर सकते हैं, तो आपके ट्राइएज नियम गलत व्यवहार मॉडल लागू कर रहे हैं।

  3. अपने वर्तमान सिएम के साथ वास्तुशिल्प दृष्टिकोण का मिलान करें। स्प्लंक दुकानें एप्रोच ए के माध्यम से एजेंट क्षमताएं हासिल करती हैं। माइग्रेशन का मूल्यांकन करने वाली टीमों को एप्रोच बी के माध्यम से स्प्लंक क्वेरी अनुवाद और देशी डिफेंडर अंतर्ग्रहण के साथ पाइपलाइन का पता चलता है। पालो ऑल्टो नेटवर्क्स का कॉर्टेक्स एक तीसरा विकल्प प्रदान करता है। माइक्रोसॉफ्ट सेंटिनल, गूगल क्रॉनिकल, इलास्टिक या अन्य प्लेटफार्मों पर टीमों को मूल्यांकन करना चाहिए कि क्या उनका एसआईईएम इस वॉल्यूम पर एजेंट-विशिष्ट टेलीमेट्री को निगल सकता है।

  4. अपनी अगली बोर्ड बैठक से पहले एक एजेंट व्यवहार आधार रेखा बनाएं। कोई भी विक्रेता इसे नहीं भेजता। परिभाषित करें कि आपके एजेंट क्या करने के लिए अधिकृत हैं: कौन सा एपीआई, कौन सा डेटा स्टोर, कौन सा कार्य, किस समय। उस दायरे से बाहर किसी भी चीज़ के लिए पहचान नियम बनाएं।

  5. अपनी एजेंट आपूर्ति श्रृंखला का दबाव-परीक्षण करें। सिस्को का डिफेंसक्ला और एक्सप्लोरर संस्करण तैनाती से पहले स्कैन और रेड-टीम एजेंट। क्राउडस्ट्राइक का रनटाइम डिटेक्शन तैनाती के बाद समझौता किए गए एजेंटों को पकड़ लेता है। दोनों परतें आवश्यक हैं. कर्ट्ज़ ने अपने मुख्य भाषण में कहा कि क्लॉहैवॉक ने मैलवेयर के साथ एक हजार से अधिक क्लॉहब कौशल से समझौता किया, जिसने इंस्टॉलेशन के बाद अपनी मेमोरी को मिटा दिया। यदि आपकी प्लेबुक मशीन की गति से अनधिकृत कार्यों को निष्पादित करने वाले अधिकृत एजेंट का हिसाब नहीं देती है, तो इसे फिर से लिखें।

एसओसी का निर्माण मशीनों का उपयोग करके मनुष्यों की सुरक्षा के लिए किया गया था। यह अब मशीनों का उपयोग करके मशीनों की सुरक्षा करता है। प्रतिक्रिया विंडो 48 मिनट से घटकर 27 सेकंड रह गई। अलर्ट उत्पन्न करने वाला कोई भी एजेंट अब केवल एक सेंसर नहीं, बल्कि एक संदिग्ध है। अगले 90 दिनों में सुरक्षा नेता जो निर्णय लेंगे, वह यह निर्धारित करेगा कि उनका एसओसी इस नई वास्तविकता में काम करेगा या इसके नीचे दब जाएगा।



<a href

Leave a Comment