Рахунок за ідентифікацію пред'явлено: Cisco та ServiceNow роблять ставку на автентифікацію без участі людини

Питання, яке кожен керівник платформи має цього тижня поставити перед своїм CFO, — чи відповідає стек ідентифікації, закладений у бюджет на 2025 рік, тому навантаженню, яке реально працює у продакшні. Мабуть, ні. За останні два тижні Cisco оголосила про намір придбати Astrix Security, ServiceNow випустила новий продукт для управління на основі Armis і Veza, а XBOW закрила додаткові $35 мільйонів понад уже оголошений раунд Series C. Три різні ставки, одна спільна теза: ідентичність, яка зараз має значення, — це та, до якої не прив'язана жодна людина.

Для керівників платформ, що перебувають у циклах поновлення контрактів на шести- та семизначні суми зі своїми постачальниками IAM і CNAPP, цей тиждень переосмислив розмову про закупівлі. Ера дашбордів у засобах безпеки завершується. Відкривається ера агентів, і постачальники змінюють позиціювання ще до того, як це зроблять бюджети.

Що сталося

Cisco оголосила про намір придбати Astrix Security — компанію у сфері нелюдських ідентичностей, зосереджену на API ключах, сервісних акаунтах, OAuth токенах і облікових даних, які AI агенти використовують для доступу до корпоративних систем. Cisco планує інтегрувати Astrix у Cisco Identity Intelligence і розширити можливості на Secure Access та Duo, позиціонуючи угоду як частину своїх зусиль із захисту так званої «агентської робочої сили».

ServiceNow обрала інший шлях до тієї самої проблеми, запустивши Autonomous Security & Risk — продукт, який об'єднує інтеграції Armis і Veza в єдиний шар управління. Veza забезпечує видимість людських і нелюдських ідентичностей та відносин доступу між ними. Armis додає розвідку активів у реальному часі для IT, OT, IoT, хмарних навантажень і підключених пристроїв.

XBOW, чия платформа використовує AI для безперервного пошуку та експлуатації вразливостей додатків, залучила додаткові $35 мільйонів від Accenture Ventures, DNX Ventures, Liberty Global Tech Ventures, NVentures, Samsung Ventures та SentinelOne S Ventures. Це розширює попередньо оголошений раунд на $120 мільйонів до $155 мільйонів загалом, причому Samsung виступає привілейованим реселером у Південній Кореї.

На тлі всього цього, як повідомляє MSSP Alert, дослідження Keeper виявило, що 89% старших IT-керівників стикаються з труднощами в управлінні зростаючим обсягом ідентичностей, причому нелюдські ідентичності є найбільш швидкозростаючим сегментом. Дані Gigamon ще невтішніші: AI задіяний у 83% зафіксованих зламів, а 65% організацій зазнали злому протягом минулого року. MSPAlliance тим часом додала Service Lines до Cyber Verify, щоб MSP могли зіставляти перевірені контролі з конкретними керованими послугами, які вони продають, та узгоджувати ці відповідності з MSA. Sysdig вивела можливості CNAPP за межі дашборду — в AI агенти для написання коду, CLI, плагіни та MCP сервіси.

Технічна анатомія

Структурний зсув тут — це не нова модель загроз, а новий принципал. Протягом двох десятиліть системи ідентифікації будувалися навколо людини за клавіатурою зі сесією SSO та записом у директорії. Сервісні акаунти існували, але скоріше допускалися, ніж управлялися. SAML і OIDC несли основне навантаження, а журнали аудиту припускали наявність людини на іншому кінці.

Те, що зламало це припущення, — це агент. AI агент, що викликає внутрішній API, не поводиться як сервісний акаунт у cron завданні, і не поводиться як користувач, що увійшов у систему. Він ланцюжком викликає інструменти, зберігає OAuth токени між сесіями, викликає MCP сервіси від імені кількох людей і виконує дії в машинному темпі з наміром, характерним для людини. Облікові дані, які він використовує — API ключ, OAuth refresh токен, workload identity — були розроблені для одного з двох старих світів, але не для цього гібридного.

Саме цю прогалину закриває Astrix і саме її моделює Veza з іншого кута. Astrix інвентаризує облікові дані та прив'язує їх до навантажень, які їх споживають. Veza будує граф відносин доступу, відображаючи, яка ідентичність (людська чи ні) може досягти якого ресурсу через яке дозволення. Armis знаходиться на шар нижче — він повідомляє, що реально є в мережі та який пристрій або навантаження є справжнім джерелом певної дії. З'єднайте три разом — і отримаєте щось близьке до підтвердження походження дії агента: хто її ініціював, які облікові дані її здійснили, який актив її виконав, яких даних вона торкнулася.

Безголовий крок Sysdig просуває поверхню примусового виконання в протилежному напрямку — в IDE, CLI та MCP сервіс. Компроміс реальний. Ви скорочуєте перемикання контексту та час тріажу, але водночас розподіляєте рішення щодо політик по поверхнях, які історично не мали зобов'язань з аудиту. Якщо агент викликає виправлення через CLI плагін, питання про те, хто це затвердив і чи було затвердження зафіксовано з такою ж точністю, як консольна дія, стає проблемою проектування контролів, а не UX. Саме тут такі фреймворки, як MITRE ATT&CK, досі важко чисто моделюють агентно-опосередковані TTP, і де категорії OWASP щодо порушеного контролю доступу тихо переписуються на практиці, хоча ще не в офіційних документах.

Хто постраждає

Протягом наступних 90 днів три групи перебувають під загрозою.

По-перше, команди fintech і iGaming платформ, які будували свій стек ідентифікації навколо єдиного IDP та інструменту CSPM. Якщо 89% старших IT-керівників не можуть впоратися зі своїм обсягом ідентичностей, у регульованих вертикалях ситуація гірша, а не краща — адже там більш старе розростання сервісних акаунтів і більш важкі зобов'язання з аудиту. Юридичний радник ліцензованого оператора вже цього тижня має запитати VP Eng, чи може компанія надати на вимогу список кожної нелюдської ідентичності, що має доступ до даних гравців або розрахункових систем, з розбивкою за типом облікових даних і навантаженням, яке їх споживає. Якщо відповідь передбачає таблицю Excel, наступний візит регулятора буде неприємним.

По-друге, середні MSSP та MSP без стратегії щодо нелюдських ідентичностей. Cisco збирається включити Astrix у Duo та Secure Access, ServiceNow — включити Veza та Armis у робочу площину, де вже живуть фінанси та операції. MSP, що продає базовий стек EDR плюс SIEM, незабаром виглядатиме бляклим поруч із конкурентом, чий звіт Cyber Verify безпосередньо прив'язує контролі до сервісних ліній і контрактних зобов'язань.

По-третє, постачальники точкових CNAPP рішень без агентської стратегії. Безголовий крок Sysdig — це сигнал. Якщо ваш CNAPP існує лише в консолі, ваша розмова про поновлення у 2026 році буде складнішою, бо покупець запитає, навіщо їхнім розробникам виходити з Cursor або Claude Code, щоб використовувати його. Юніт-економіка «ще однієї ліцензії на портал» погіршується з кожним новим агентом у робочому процесі.

Ринок найму слідує за бюджетами. Очікуйте, що інженерія нелюдських ідентичностей стане окремим рядком у вакансіях протягом дванадцяти місяців — окремо від IAM і окремо від хмарної безпеки.

Інструкція для команд безпеки

Розглядайте цей квартал як квартал закупівель та архітектури, а не оцінки інструментів.

Проведіть інвентаризацію нелюдських ідентичностей до наступного засідання правління. API ключі, OAuth токени, сервісні акаунти, workload identities, облікові дані агентів. Позначте кожен тегом із навантаженням, яке він обслуговує, обсягом даних, яких він торкається, і людиною або системою, відповідальною за його ротацію. Якщо ви не можете його позначити — ви не можете ним керувати, і вже точно не можете його аудитувати. Звіртеся з каталогом CISA KEV щодо будь-яких відкритих сервісів, які ці ідентичності представляють.

Переговорюйте, а не просто поновлюйте. Якщо у вас наближається контракт Duo або Cisco Identity — інтеграція Astrix є вагомим аргументом. Якщо у вас є розгортання ServiceNow GRC — Autonomous Security & Risk має бути окремим рядком у вашій наступній розмові про true-up, а не апселом, який ви приймаєте за прейскурантом. Постачальники рухалися цього місяця, бо очікують, що ваш бюджет рухатиметься наступного кварталу. Змусьте їх заробити частку гаманця.

Для MSP зокрема — уважно вивчіть функцію Service Lines в MSPAlliance Cyber Verify. Зіставлення перевірених контролів із конкретними сервісними лініями та MSA — це саме той артефакт, який перетворює звіт про відповідність із маркетингового PDF на контрактний інструмент. Це змінює те, як ви відстоюєте ціноутворення в розмовах про поновлення з досвідченими клієнтами.

Нарешті, на наступальній стороні — перевірте тезу про AI-керований пентест на одному застосунку перед підписанням корпоративної угоди. Раунд XBOW на $155 мільйонів сигналізує про стійкість, але питання закупівлі — чи дійсно безперервні валідовані знахідки витісняють ваш наявний бюджет на разові пентести або просто додаються до нього. CFO запитає. Майте відповідь.

Ключові висновки

• Нелюдські ідентичності тепер є домінуючою категорією ідентичностей для покупців у сфері безпеки: за дослідженням Keeper, 89% старших IT-керівників мають труднощі з управлінням своїм обсягом ідентичностей.
• Придбання Astrix компанією Cisco та запуск Autonomous Security & Risk від ServiceNow — це одна й та сама ставка з протилежних кінців стека: управління агентською робочою силою.
• Безголова безпека (CNAPP Sysdig в AI агентах, CLI, MCP сервісах) обмінює втому від дашбордів на розподілене примусове виконання політик — і цей обмін потребує явних захисних заходів аудиту.
• MSP без артефакту відповідності на рівні сервісних ліній — наприклад, нової функції Cyber Verify від MSPAlliance — незабаром програватимуть у переговорах про ціноутворення конкурентам, які його мають.
• Команди, що оцінюють інструменти ідентифікації, мають запитати, чи дають їм контракти на поновлення перевагу на рівні агентського шару, або чи вони прив'язані до стека 2024 року за цінами 2026 року.