Anthony Grieco, Cisco’s SVP en Chief Security and Trust Officer, aarzelde niet toen VentureBeat vroeg of incidenten met malafide agenten het klantenbestand van Cisco bereiken.
“Honderd procent. We zien ze regelmatig”, vertelde Grieco aan VentureBeat in een exclusief interview op RSAC 2026. “Ik heb er een paar gehoord die ik niet kan herhalen, maar ze komen wel op plaatsen waar, weet je, agenten dingen doen waarvan zij denken dat ze de juiste dingen zijn om te doen.”
De incidenten die Grieco beschreef volgen een consistent patroon: authenticatie slaagt, identiteitscontroles zijn voltooid. De agent is precies wie hij beweert te zijn. Vervolgens krijgt het toegang tot gegevens die nooit aan te raken waren, of onderneemt het een actie die niemand op dat granulariteitsniveau heeft geautoriseerd. Het falen is niet de identiteit; het is autorisatie.
“Het bedrijf zegt dingen als: we gaan 500 agenten per werknemer hebben”, vertelde Grieco aan VentureBeat. “De veiligheidsleiders zijn echt gefocust op hoe we ervoor kunnen zorgen dat we dat veilig doen.”
Cisco’s State of AI Security 2026-rapport ontdekte dat 83% van de organisaties van plan was om agentencapaciteiten in te zetten, maar dat slechts 29% zich bereid voelde deze te beveiligen. Vijf leveranciers hebben identiteitsframeworks voor agenten geleverd op RSAC 2026. Geen enkele heeft elk gat gedicht. Dat geldt ook voor Cisco.
VentureBeat bracht vier autorisatielacunes in kaart in het exclusieve interview van Grieco en vijf onafhankelijke bronnen. De normatieve matrix aan het einde van dit verhaal geeft aan wat we eraan moeten doen.
De autorisatiekloof die nog niemand heeft gedicht
Grieco kwam via de engineering- en dreigingsonderzoeksorganisaties van Cisco naar voren voordat hij een rol op zich nam die zich uitstrekt over beide kanten van de beveiligingsoperatie van het bedrijf: het bouwen van de producten die Cisco verkoopt en het uitvoeren van het programma dat Cisco zelf verdedigt.
De door hem beschreven autorisatiekloof is specifiek en operationeel.
“Deze agent hier is een financiële agent, maar zelfs als hij een financiële agent is, zou hij geen toegang moeten hebben tot alle financiële gegevens”, vertelde Grieco aan VentureBeat. “Het zou toegang moeten hebben tot de onkostendeclaraties, en niet alleen tot de onkostendeclaraties, maar ook tot de individuele onkostendeclaraties op een bepaald moment. Dat soort gedetailleerde controle krijgen is echt een van de grootste dingen die ons zullen helpen ja te zeggen tegen veel van de agentische ontwikkelingen.”
Onafhankelijke beoefenaars bevestigden het patroon tijdens RSAC 2026. Kayne McGladrey, een senior lid van de IEEE, vertelde VentureBeat dat Organisaties klonen standaard menselijke gebruikersprofielen voor agentenen de wildgroei aan rechten begint op de eerste dag. Carter Rees, vice-president van AI bij Reputatieidentificeerde de structurele reden. Het platte autorisatievlak van een LLM respecteert de gebruikersrechten nietvertelde Rees aan VentureBeat. Een agent op dat platte vlak hoeft zijn bevoegdheden niet te escaleren. Het heeft ze al.
“De grootste uitdaging die we zien is weten wat er aan de hand is”, aldus Grieco. “Het kunnen beschikken over identiteits- en toegangscontrolekaarten daarvoor, dat is echt cruciaal.”
Elia Zaitsev, CTO van CrowdStrike, beschreef de zichtbaarheidsdimensie in een exclusief VentureBeat-interview op RSAC 2026. In de meeste standaardregistratieconfiguraties is de activiteit van een agent niet te onderscheiden van die van een mens. Om deze twee te onderscheiden, is het nodig om door de procesboom te lopen. De meeste bedrijfslogboeken kunnen dat onderscheid niet maken.
Vijf leveranciers hebben agentidentiteitsframeworks geleverd bij RSAC, waaronder Cisco’s Duo IAM en MCP-gatewaybedieningen. Geen enkele heeft elk gat gedicht dat VentureBeat heeft geïdentificeerd. De vier gaten hieronder zijn wat nog open blijft.
Normalisatie-instellingen komen steeds dichter bij dezelfde diagnose
De autorisatie- en identiteitslacunes die Grieco beschreef, zijn niet alleen observaties van leveranciers. Drie onafhankelijke normalisatie-instellingen kwamen begin 2026 tot parallelle conclusies. NCCoE van NIST publiceerde in februari 2026 een conceptpaper, “Accelerating the Adoption of Software and AI Agent Identity and Authorization”, waarin expliciet werd opgeroepen tot demonstratieprojecten over hoe bestaande identiteitsnormen van toepassing zijn op autonome agenten.
De OWASP Top 10 voor Agentic-applicatiesuitgebracht in december 2025, identificeerde misbruik van tools door overbevoorrechte toegang en onveilige delegatie als grootste risico’s. En de Cloud Security Alliance heeft de CSAI Foundation gelanceerd op RSAC 2026 met als missie “Het beveiligen van het Agentic Control Plane”, inclusief een speciale Agentic AI IAM-framework gebouwd rond gedecentraliseerde identificatiegegevens en zero trust-principes. Wanneer NIST, OWASP en CSA allemaal onafhankelijk dezelfde gap-klasse in dezelfde marktcyclus signaleren, is het signaal structureel en niet leverancierspecifiek.
MCP-beveiliging vereist ontdekking vóór controle
VentureBeat vroeg Grieco naar de paradox van MCP, het Model Context Protocol dat elke leverancier op RSAC 2026 omarmde en tegelijkertijd de beveiligingslekken erkende. Grieco heeft niet betoogd dat het protocol veilig is. Hij betoogde dat het blokkeren ervan niet langer realistisch is.
“Daar kun je in de huidige tijd als veiligheidsleider geen nee tegen zeggen”, vertelde Grieco aan VentureBeat. “En dus, hoe gaan we daarmee om.”
Binnen Cisco’s eigen omgeving heeft het team van Grieco MCP-detectie-, proxying- en inspectiemogelijkheden toegevoegd AI-verdediging en Cisco Secure Access. Deze aanpak behandelt MCP-servers op dezelfde manier als bedrijven schaduw-IT behandelen: vind ze voordat u ze beheert.
Etay Maor, VP Threat Intelligence bij Cato Networks, valideerde die aanpak vanuit de vijandige kant. Tijdens RSAC 2026 demonstreerde Maor een Living Off the AI-aanval waarbij Atlassian’s MCP en Jira Service Management aan elkaar werden gekoppeld. Aanvallers scheiden vertrouwde tools, services en modellen niet van elkaar. Ze ketenen ze alle drie. “We hebben een HR-visie op agenten nodig”, vertelde Maor aan VentureBeat. “Onboarding, monitoring, offboarding.”
Bijna de helft van de kritieke infrastructuur is verouderd en ongepatcht
Mislukkingen in de autorisatie van agenten zijn moeilijker te detecteren en te beheersen als de onderliggende infrastructuur al jaren geen beveiligingspatch heeft ontvangen – en die kloof vergroot alle andere kwetsbaarheden in dit verhaal. Cisco heeft een Brits adviesbureau opdracht gegeven WPI-strategie om het risico van technologie op het einde van de levensduur in de VS, het VK, Frankrijk, Duitsland en Japan te onderzoeken. De rapport ontdekte dat bijna de helft van de kritieke netwerkinfrastructuur in deze regio’s veroudert of al verouderd is. Verkopers patchen het niet meer.
“Bijna 50% van de kritieke infrastructuur in deze regio’s was aan het verouderen, het einde van de levensduur of bijna het einde van de levensduur”, vertelde Grieco aan VentureBeat. “Het betekent dat leveranciers geen beveiligingspatches meer voor hen leveren.”
Cisco’s Veerkrachtige infrastructuur Initiative schakelt ongebruikte functies standaard uit en voert verouderde protocollen uit volgens een afschaffingsschema van drie releases. Grieco kwam terug op de veronderstelling dat ‘secure by default’ een statische prestatie is. “Een van de dingen waar de meeste mensen niet aan denken, is dat dit geen statische punten in de tijd zijn”, vertelde Grieco aan VentureBeat. “Het is niet zo dat je het één keer doet en dan is het klaar.”
Agentische matrix met beveiligingskloven voor ondernemingen
De vier gaten hieronder zijn wat veiligheidsdirecteuren op maandagochtend kunnen doen. Elke rij brengt in kaart van wat kapot gaat, waarom het kapot gaat en wat eraan te doen, kruiselings gevalideerd door vijf onafhankelijke bronnen.
Bronnen: VentureBeat-analyse van Grieco’s exclusieve interview op RSAC 2026, gevalideerd aan de hand van onafhankelijke rapportages van McGladrey (IEEE), Rees (Reputation), Maor (Cato Networks) en Zaitsev (CrowdStrike). Mei 2026.
|
Beveiligingskloof |
| Wat mislukt en wat kost het |
Waarom je huidige stack het niet haalt |
Waar leverancierscontroles nu staan |
Eerste actie voor uw team |
|
Veroudering van de infrastructuur |
Bijna de helft van de kritieke netwerkactiva heeft het einde van zijn levensduur of nadert dit (WPI-strategie); Agents die op niet-gepatchte systemen werken, erven kwetsbaarheden die geen enkele leverancier kan oplossen |
De jaarlijkse patchfrequentie kan geen gelijke tred houden met de snelheid van bedreigingen; EoL-systemen ontvangen geen beveiligingsupdates en geen ondersteuning van leveranciers |
Veerkrachtige infrastructuur schakelt onveilige standaardinstellingen uit, waarschuwt voor risicovolle configuraties, beëindigt verouderde protocollen volgens een schema van drie releases |
Infra-team: controleer elk netwerkitem op basis van de EoL-data van de leverancier dit kwartaal. Herclassificeer EoL-vervanging van IT-upgrade naar beveiligingsinvestering in de volgende budgetcyclus |
|
MCP-ontdekking |
MCP-servers verspreiden zich over verschillende omgevingen zonder inzicht in de beveiliging; ontwikkelaars bedenken verbindingen met agenttools die de bestaande governance omzeilen |
Schaduw-MCP-implementaties omzeilen bestaande detectietools; er bestaat geen standaard inventarisatiemechanisme; Bewaker demonstreerde aanvallers die MCP + Jira aan elkaar koppelden in een Living Off the AI-aanval |
AI-verdediging voegt MCP-detectie, proxying en inspectie toe; behandelt MCP-servers als schaduw-IT |
Beveiligingsoperaties: voer een MCP-serverinventarisatie uit in alle omgevingen voordat u agent-governance-controles implementeert. Als u uw MCP-oppervlak niet kunt opsommen, kunt u het ook niet beveiligen |
|
Overmatige toestemming van agenten |
Agenten erven brede toegang op menselijk niveau op een vlak autorisatievlak; de agent hoeft de bevoegdheden niet te escaleren omdat deze deze al heeft (Rees) |
IAM-teams klonen standaard menselijke profielen voor agenten (McGladrey); er bestaan geen beperkte, tijdgebonden machtigingen voor niet-menselijke identiteiten |
Twee nu registreert agenten als afzonderlijke identiteitsobjecten met gedetailleerde, tijdgebonden machtigingen per toolaanroep |
IAM-team: stop onmiddellijk met het klonen van menselijke accounts voor agenten. Reik elke agentmachtiging op een specifieke dataset, specifieke actie en specifiek tijdvenster. Grieco’s test: heeft deze financiële agent alleen toegang tot de individuele onkostendeclaraties die hij op dit moment nodig heeft? |
|
Gedragszichtbaarheid van agenten |
Agentacties zijn in beveiligingslogboeken niet te onderscheiden van menselijke acties (Zaitsev); een agent met te veel toestemming die in logboeken op een mens lijkt, is onzichtbaar voor het SOC |
Standaardregistratie legt de afstamming van de procesboom niet vast; geen enkele leverancier heeft een volledige platformonafhankelijke gedragsbasislijn voor agentactiviteiten geleverd |
SOC-telemetrie-integratie met Splunk voor agentspecifieke detectie en respons |
SOC-leider: update logboekregistratie om de afstamming van de procesboom vast te leggen, zodat door agenten geïnitieerde acties te onderscheiden zijn van door mensen geïnitieerde acties. Als uw SIEM niet kan antwoorden: “was dit een mens of een agent?” voor elke sessie is de kloof open |
“Eerlijk gezegd moeten we dit snel doen en zo snel evolueren om bij te houden waar de tegenstanders naartoe gaan”, vertelde Grieco aan VentureBeat.
De hierboven in kaart gebrachte hiaten zijn niet theoretisch. Grieco bevestigde dat de incidenten al plaatsvinden. De besturingselementen bestaan in delen van meerdere leveranciers. Geen enkele leverancier heeft de volledige stapel samengesteld.
