Теневые ПО в компаниях скрывают почти 80% уязвимостей, которыми пользуются хакеры
Неучтенные ИТ-ресурсы становятся брешью в безопасности ИТ-инфраструктуры, через которую хакеры проникают в систему. У двух третей компаний, пострадавших от атак шифрования в 2025 году, были Shadow IT (теневые ИТ), состоящие в основном из сервисов удаленного доступа и веб-сервисов. Они представляют угрозу и для операторов каршеринга, которые работают с большим числом персональных данных, считают эксперты по информбезопасности.
Черный вход для хакеров
Лишь 2% организаций знают обо всех своих IT-активах, включая корпоративные домены, IP-адреса, а также сервисы, которые там находятся, и контролируют их. При этом 78% уязвимостей, выявленных командой BI.ZONE CPT в российских компаниях за 2025 год, были обнаружены именно на теневых IT-ресурсах.
Специалисты BI.ZONE (Continuous Penetration Testing, CPT) проверили IT-инфраструктуру более чем 200 российских компаний на наличие теневых IT-активов — shadow IT (неучтенные цифровые системы). Это любые устройства, программное обеспечение, сервисы и домены, про которые по любым причинам не знает служба кибербезопасности, и к которым не применяются процессы, связанные с защитой этих активов.
Из всех обнаруженных за 2025 год сервисов, которые были забыты или созданы в обход корпоративных регламентов, большинство составляют веб-сервисы и сервисы удаленного доступа. По данным BI.ZONE DFIR, эта разновидность теневых IT-активов присутствовала у 70% компаний, пострадавших в 2025 году от атак с шифрованием.
«По нашим данным, из тех уязвимостей, которые используются в реальных атаках, до 60% начинают эксплуатироваться в считанные дни или даже часы после появления PoC или эксплоита, поэтому организациям так важно устранять их как можно быстрее», — рассказал руководитель направления EASM, BI.ZONE Павел Загуменнов.
Каршеринг расплатится данными клиентов
Эксперт отметил, что Shadow IT представляют для операторов каршеринга точно такую же угрозу, как и для компаний в любой другой отрасли. «Это часть инфраструктуры, за которой никто не следит и не занимается устранением уязвимостей, из-за чего ее могут использовать злоумышленники в своих атаках. При этом компании из сферы каршеринга оперируют большими объемами персональных данных», — отметил Павел Загуменнов.
В случае если атака будет успешной, злоумышленники могут получить доступ к этим данным и использовать их в своих целях. Например, для дальнейшего онлайн-мошенничества или продать базу на теневых ресурсах, пояснил эксперт. «В этом смысле операторам шеринга особенно важно следить за безопасностью своей инфраструктуры и не допускать появления shadow IT, потому что речь идет о безопасности не только самой компании, но и ее клиентов», — считает Павел Загуменнов.
Так, летом 2025 года индийский каршеринговый сервис Zoomcar сообщил, что хакер получил доступ к персональным данным минимум 8,4 млн клиентов. В частности, злоумышленник заполучил имена и номера телефонов пользователей, а также регистрационные знаки автомобилей.
Компания зарегистрировала 9 июня 2025 года инцидент, связанный с несанкционированным доступом к её информационным системам. Некоторые из её сотрудников получили сообщения от злоумышленника, который предупредил о получении доступа к данным сервиса.
Компания внедрила дополнительные меры безопасности в облаке и внутренней сети, усилила мониторинг системы и пересмотрела средства контроля доступа.
Ситуация с теневыми IT возникает из-за конфликта — бизнесу нужен результат, говорит начальник отдела безопасности «СёрчИнформ» Алексей Дрозд. «Распространено мнение, что для его достижения все средства хороши, а любые правила и ограничения со стороны ИТ и ИБ можно проигнорировать во имя великой цели. Часто итог плачевный, а масштаб проблемы зависит от того, в каком звене процессов появилась эта самодеятельность», — пояснил эксперт.
Он привел пример таких брешей в безопасности каршерингов. В команде одного из сервисов аналитик выгрузил данные в арендованное облако, забыв про настройки приватности. База оказалась открыта всему Интернету. Другой классический случай халатности — статичный пароль в AnyDesk (удаленный доступ) без второго фактора – утечка связки дает злоумышленникам готовый вход в сеть сервиса.
Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ-департамента, говорят в BI.ZONE. В таких программах копятся уязвимости, через которые киберпреступники могут проникнуть в корпоративную систему. Теневые IT могут использоваться как одним сотрудником, так и командой. После увольнения автора поддержка этих ИТ возлагается на ИТ-департамент и становится крайне сложной из-за отсутствия описаний и исходников.
Показательный кейс – открытый ИИ-ассистент Clawdbot. Проблема оказалась в архитектуре: шлюз Clawdbot по умолчанию доверяет всем подключениям с localhost, рассказывает Алексей Дрозд. Когда пользователи ради удобства размещали его за обратным прокси, проксированный трафик маскировался под локальный, и аутентификация просто отключалась. Найти такие серверы через Shodan можно было за секунды, говорит эксперт.
Алексей Дрозд выделяет три глобальных риска из-за теневых ИТ: ошибки конфигурации, прямые утечки и отсутствие patch-менеджмента.
При ошибке конфигурации, когда пользователь что-то настроил неправильно, остаются открытые базы, публичные облака. При прямых утечках идет синхронизация с личным диском «для удобства», загрузка кода в публичные ИИ-сервисы – вынос данных за периметр. Когда ИТ не знает о теневом софте – не ставит обновления, не закрывает уязвимости, это значит, что отсутствует patch-менеджмент. «Возвращаясь к примеру с ИИ, актуальная версия Clawdbot уже безопаснее, но у большинства стоит та самая, «удобная», с открытыми портами», — отметил Алексей Дрозд.
В теневых активах, невидимых для ИТ-служб и кибербезопасности, такие уязвимости могут не устраняться годами, превращаясь в открытую дверь для злоумышленников. Чем больше у компании теневых IT-ресурсов, тем выше вероятность, что атакующие уже получили доступ в инфраструктуру и затаились внутри, выбирая момент для монетизации, например, шифрования данных ради выкупа или продажи доступа в даркнете, говорит Павел Загуменнов. По данным BI.ZONE DFIR, среднее время пребывания злоумышленников в инфраструктуре составило 42 дня, а максимальное — 181 день.
Как выйти из цифровой тени
Для борьбы с неучтенными ресурсами важно проводить аудит, уверены в «СёрчИнформ»: «Нужна карта сети, учет установленного софта, контроль подключаемых устройств, мониторинг исходящих потоков в облака и веб-интерфейсы. Нашли теневое решение – блокируйте или легализуйте, но уже с участием ИБ и средств защиты информации (СЗИ)».
Корпоративный ноутбук тоже не является панацеей: сотрудник зайдет в личный аккаунт и с него. «Проблема не в железе, а в поведении и в отсутствии легальных, быстрых и безопасных альтернатив», — говорит Алексей Дрозд. Эксперт считает, что в идеале нужно разработать «Положение по управлению Shadow IT». В нём будет отображён процесс аудита и мягкого «приземления» теневых ИТ-сервисов. К примеру: «На рабочих устройствах разрешается использовать только одобренные сервисы». Если есть потребность в чём-то новом, создаётся заявка в ИТ-департамент
Если на заявку ответ не пришёл, то руководитель отдела дает поручение сотруднику подключить/написать теневой ИТ-сервис. Тогда становится понятным, кто принял решение и дал команду, пояснил эксперт.
Распоряжение нужно делать в электронном виде через систему заявок или хотя бы через корпоративную электронную почту. В распоряжении определяется цель и ответственный за теневой ИТ-сервис. Ответственный за теневой ИТ-сервис обязан прислать необходимые данные по нему, чтобы ИТ-департамент поставил сервис на учёт. После получения информации о появлении нового сервиса, сотрудник отдела информационной безопасности или ИТ-департамента проводит аудит этого сервиса. При необходимости принимает меры, чтобы сервис решал задачи бизнеса с минимальными рисками для безопасности компании.
«Сотрудник ИБ или ИТ не может запретить использование сервиса без предложения другого, более безопасного решения бизнес-задачи. Главное при разработке подобного Положения – не породить ещё больше бюрократии, чем неудобств», — резюмировал Алексей Дрозд.
В BI.ZONE также отмечают важность непрерывной инвентаризации и контроля внешнего периметра, которые обеспечивают решения класса EASM (external attack surface management).
«Кроме того, необходимо приоритизировать уязвимости, опираясь на информацию о наличии публичных эксплоитов и об обсуждении их покупки на теневых ресурсах, а также на данные от киберразведки, подтверждающие, что уязвимость уже эксплуатировали в реальных атаках», — говорит Павел Загуменнов. Таким образом, компании могут устранять наиболее опасные для них уязвимости в первую очередь.
Среди обязательных мер, отмечает эксперт, нужен мониторинг упоминаний компании на теневых ресурсах. Например, появление сообщений о свежих утечках или о продаже украденных корпоративных доступов. Для этого необходимо использовать решения класса DRP, уточнил Павел Загуменнов.
Павел Паршков
Изображение: DALL-E
