BI.ZONE: 98% российских компаний имеют теневые ИT-ресурсы и не знают об этом

29 января 2026 г.

78% брешей в защите находятся именно на этих ресурсах

Специалисты BI.ZONE CPT проверили ИT-инфраструктуру более чем 200 российских компаний на наличие теневых ИT-активов, или shadow IT. Это любые устройства, программное обеспечение, сервисы и домены, про которые по любым причинам не знает служба кибербезопасности, и к которым не применяются процессы, связанные с защитой этих активов. Проверка показала, что лишь 2% организаций знают обо всех своих ИT-активах, включая корпоративные домены, IP-адреса, а также сервисы, которые там находятся, и контролируют их.

78% уязвимостей, выявленных командой BI.ZONE CPT в российских компаниях за 2025 год, были обнаружены именно на теневых ИT-ресурсах.

Из всех обнаруженных за 2025 год сервисов, которые были забыты или созданы в обход корпоративных регламентов, большинство составляют веб-сервисы и сервисы удаленного доступа. По данным BI.ZONE DFIR, эта разновидность теневых ИT-активов присутствовала у 70% компаний, пострадавших в 2025 году от атак с шифрованием.

Павел Загуменнов, руководитель направления EASM, BI.ZONE, комментирует: «По нашим данным, из тех уязвимостей, которые используются в реальных атаках, до 60% начинают эксплуатироваться в считаные дни или даже часы после появления PoC или эксплоита, поэтому организациям так важно устранять их как можно быстрее. Однако в теневых активах, невидимых для служб ИT и кибербезопасности, такие уязвимости могут не устраняться годами, превращаясь в открытую дверь для злоумышленников. Чем больше у компании теневых ИT-ресурсов, тем выше вероятность, что атакующие уже получили доступ в инфраструктуру и затаились внутри, выбирая момент для монетизации, например шифрования данных ради выкупа или продажи доступа в даркнете. По данным BI.ZONE DFIR, среднее время пребывания злоумышленников в инфраструктуре составило 42 дня, а максимальное — 181 день».

Минимизировать риски, связанные с теневыми ИT-ресурсами, можно с помощью непрерывной инвентаризации и контроля внешнего периметра, которые обеспечивают решения класса EASM (external attack surface management). Кроме того, необходимо приоритизировать уязвимости, опираясь на информацию о наличии публичных эксплоитов и об обсуждении их покупки на теневых ресурсах, а также на данные от киберразведки, подтверждающие, что уязвимость уже эксплуатировали в реальных атаках. Таким образом компании могут устранять наиболее опасные для них уязвимости в первую очередь. Среди обязательных мер также мониторинг упоминаний компании на теневых ресурсах (например, появление сообщений о свежих утечках или о продаже украденных корпоративных доступов). Для этого необходимо использовать решения класса DRP.

Источник: Пресс-служба компании BI.ZONE