Поделиться
Bi.Zone: 98% российских компаний имеют теневые ИT-ресурсы и не знают об этом
Специалисты Bi.Zone CPT проверили ИT-инфраструктуру более чем 200 российских компаний на наличие теневых ИT-активов, или shadow IT. Это любые устройства, программное обеспечение, сервисы и домены, про которые по любым причинам не знает служба кибербезопасности, и к которым не применяются процессы, связанные с защитой этих активов. Проверка показала, что лишь 2% организаций знают обо всех своих ИT-активах, включая корпоративные домены, IP-адреса, а также сервисы, которые там находятся, и контролируют их. Об этом CNews сообщили представители Bi.Zone.
78% уязвимостей, выявленных командой Bi.Zone CPT в российских компаниях за 2025 г., были обнаружены именно на теневых ИT-ресурсах.
Из всех обнаруженных за 2025 г. сервисов, которые были забыты или созданы в обход корпоративных регламентов, большинство составляют веб-сервисы и сервисы удаленного доступа. По данным Bi.Zone DFIR, эта разновидность теневых ИT-активов присутствовала у 70% компаний, пострадавших в 2025 году от атак с шифрованием.
Павел Загуменнов, руководитель направления EASM, Bi.Zone: «По нашим данным, из тех уязвимостей, которые используются в реальных атаках, до 60% начинают эксплуатироваться в считаные дни или даже часы после появления PoC или эксплоита, поэтому организациям так важно устранять их как можно быстрее. Однако в теневых активах, невидимых для служб ИT и кибербезопасности, такие уязвимости могут не устраняться годами, превращаясь в открытую дверь для злоумышленников. Чем больше у компании теневых ИT-ресурсов, тем выше вероятность, что атакующие уже получили доступ в инфраструктуру и затаились внутри, выбирая момент для монетизации, например шифрования данных ради выкупа или продажи доступа в даркнете. По данным Bi.Zone DFIR, среднее время пребывания злоумышленников в инфраструктуре составило 42 дня, а максимальное — 181 день».
Минимизировать риски, связанные с теневыми ВT-ресурсами, можно с помощью непрерывной инвентаризации и контроля внешнего периметра, которые обеспечивают решения класса EASM (external attack surface management). Кроме того, необходимо приоритизировать уязвимости, опираясь на информацию о наличии публичных эксплоитов и об обсуждении их покупки на теневых ресурсах, а также на данные от киберразведки, подтверждающие, что уязвимость уже эксплуатировали в реальных атаках. Таким образом, компании могут устранять наиболее опасные для них уязвимости в первую очередь. Среди обязательных мер также мониторинг упоминаний компании на теневых ресурсах (например, появление сообщений о свежих утечках или о продаже украденных корпоративных доступов). Для этого необходимо использовать решения класса DRP.
Короткая ссылка
