98% российских компаний имеют теневые IT‑ресурсы и не знают об этом

78% брешей в защите находятся именно на этих ресурсах

29 января 2026 г.

Специалисты BI.ZONE CPT проверили IT‑инфраструктуру более чем 200 российских компаний на наличие теневых IT‑активов, или shadow IT. Это любые устройства, программное обеспечение, сервисы и домены, про которые по любым причинам не знает служба кибербезопасности, и к которым не применяются процессы, связанные с защитой этих активов. IT‑отдел и корпоративная служба кибербезопасности не контролируют такие активы и чаще всего даже не знают о них. Проверка показала, что лишь 2% организаций знают обо всех своих IT‑активах, включая корпоративные домены, IP‑адреса, а также сервисы, которые там находятся, и контролируют их.

78% уязвимостей, выявленных командой BI.ZONE CPT в российских компаниях за 2025 год, были обнаружены именно на теневых IT‑ресурсах.

Из всех обнаруженных за 2025 год сервисов, которые были забыты или созданы в обход корпоративных регламентов, большинство составляют веб‑сервисы и сервисы удаленного доступа. По данным BI.ZONE DFIR, эта разновидность теневых IT‑активов присутствовала у 70% компаний, пострадавших в 2025 году от атак с шифрованием.

По нашим данным, из тех уязвимостей, которые используются в реальных атаках, до 60% начинают эксплуатироваться в считаные дни или даже часы после появления PoC или эксплоита, поэтому организациям так важно устранять их как можно быстрее. Однако в теневых активах, невидимых для служб IT и кибербезопасности, такие уязвимости могут не устраняться годами, превращаясь в открытую дверь для злоумышленников. Чем больше у компании теневых IT‑ресурсов, тем выше вероятность, что атакующие уже получили доступ в инфраструктуру и затаились внутри, выбирая момент для монетизации, например шифрования данных ради выкупа или продажи доступа в даркнете. По данным BI.ZONE DFIR, среднее время пребывания злоумышленников в инфраструктуре составило 42 дня, а максимальное — 181 день.

Павел Загуменнов

Руководитель направления EASM

Минимизировать риски, связанные с теневыми IT‑ресурсами, можно с помощью непрерывной инвентаризации и контроля внешнего периметра, которые обеспечивают решения класса EASM (external attack surface management), например BI.ZONE CPT. Кроме того, необходимо приоритизировать уязвимости, опираясь на информацию о наличии публичных эксплоитов и об обсуждении их покупки на теневых ресурсах, а также на данные от киберразведки, подтверждающие, что уязвимость уже эксплуатировали в реальных атаках. Таким образом компании могут устранять наиболее опасные для них уязвимости в первую очередь. Среди обязательных мер также мониторинг упоминаний компании на теневых ресурсах (например, появление сообщений о свежих утечках или о продаже украденных корпоративных доступов). Для этого необходимо использовать решения класса DRP, например BI.ZONE Digital Risk Protection.