исследование 3 июня 2026

Как обнаружить теневые активы и сократить поверхность атаки

Теневые активы (shadow IT) — это домены, поддомены, IP-адреса, облачные сервисы и веб-приложения, которые подключены к вашей сети или работают от имени компании, но не учтены в инвентаризации и не контролируются ИБ. Именно они чаще всего становятся точкой входа для атакующего: забытый тестовый стенд, поддомен подрядчика, публичный бакет или панель администрирования, о которой никто не помнит. **Если коротко:** обнаружение теневых активов — это не разовое сканирование, а процесс управления внешней поверхностью атаки (ASM, Attack Surface Management). Сначала пассивная разведка по открытым источникам, затем активное сканирование внешнего периметра, затем инвентаризация доменов, IP и сервисов — и постоянная переоценка, потому что периметр меняется каждую неделю. Ниже — какие бывают теневые активы и как их найти, как выстроить сам процесс ASM и с чего начать. Сравнить ASM- и CTEM-платформы по подтверждённым сигналам можно в [рейтинге ASM](/rating/attack-surface-management).

6 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Как обнаружить теневые активы и сократить поверхность атаки — Тематическая иллюстрация к исследованию: Как обнаружить теневые активы и сократить поверхность атаки. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое теневые активы и почему они опасны

Теневой актив — любой внешне доступный ресурс, который относится к организации, но выпал из-под контроля: его нет в CMDB, на него не распространяются политики обновлений, его сертификаты и доступы никто не отслеживает. Появляются такие активы естественным путём: маркетинг поднял лендинг на стороннем хостинге, разработка оставила тестовый поддомен, после слияния пришла чужая инфраструктура, подрядчик завёл сервис «от имени» компании.

Опасность в том, что злоумышленник видит ваш периметр целиком, а вы — только его учтённую часть. Атакующему достаточно одного незакрытого RDP, устаревшей CMS или открытой панели, чтобы получить точку опоры. Поэтому задача ASM — свести «карту, которую видит атакующий» к «карте, которой управляет защита», и держать разрыв между ними минимальным.

Поверхность атаки: коротко в цифрах

Классы теневых активов 6+

Домены, поддомены, IP, облако, веб-сервисы, учётки

Главный источник shadow IT

Активы в обход ИБ: маркетинг, разработка, подрядчики

Режим обнаружения непрерывный

Периметр меняется — разовое сканирование устаревает

Базовый цикл ASM 5 этапов

Разведка → инвентаризация → анализ → приоритизация → устранение

Методы обнаружения: от пассивной разведки к сканированию

Обнаружение теневых активов опирается на три группы методов, которые дополняют друг друга. Поодиночке каждый оставляет слепые зоны, вместе — дают полную карту периметра.

- **Пассивная разведка (OSINT).** Сбор данных без касания инфраструктуры цели: записи DNS, сертификаты в логах Certificate Transparency, данные WHOIS и ASN, поисковые индексы и архивы, утечки и пасты. Так находятся поддомены и связанные домены, о которых внутри компании уже забыли. - **Активное сканирование внешнего периметра.** Проверка обнаруженных IP и хостов: открытые порты, баннеры сервисов, версии ПО, TLS-сертификаты, открытые админ-панели и устаревшие веб-приложения. Это переводит «адрес существует» в «адрес уязвим». - **Инвентаризация доменов, IP и сервисов.** Сведение находок в единый реестр активов с атрибуцией («это точно наше»), привязкой к владельцу и статусу. Без инвентаризации разведка превращается в шум, а не в управляемый список.

Тип теневого актива → как найти

Тип теневого актива	Где прячется	Как обнаружить
Забытые поддомены	DNS, старые проекты	Certificate Transparency, перебор и пассивный DNS, dangling-CNAME
Связанные домены и бренды	Регистраторы, ASN	WHOIS, реверс-WHOIS, ASN/диапазоны IP организации
Внешние IP и хосты	Облако, хостинг, филиалы	Сканирование диапазонов, баннеры сервисов, открытые порты
Облачные ресурсы	S3-бакеты, объектные хранилища, API	Перебор имён бакетов, утечки конфигов, поиск по индексам
Веб-приложения и панели	Тестовые стенды, админки	Фингерпринт CMS/фреймворков, поиск /admin, скриншоты хостов
Утёкшие учётные данные	Пасты, дампы, репозитории	Мониторинг утечек, поиск секретов в публичных репозиториях

Где чаще всего находят теневые активы

Усреднённая редакционная оценка распределения находок по классам активов при первичном ASM-обследовании внешнего периметра. Это ориентир для приоритизации, а не статистика по вашей сети.

Забытые поддомены 35 % находок

35 % находок

Внешние IP и открытые сервисы 25 % находок

25 % находок

Веб-приложения и админ-панели 20 % находок

20 % находок

Облачные ресурсы и хранилища 12 % находок

12 % находок

Утёкшие учётные данные 8 % находок

8 % находок

Процесс ASM: 5 этапов непрерывного цикла

01 Discovery (разведка)
Пассивный сбор по OSINT: DNS, Certificate Transparency, WHOIS/ASN, поисковые индексы. Цель — собрать максимум кандидатов в активы.
02 Inventory (инвентаризация и атрибуция)
Сведение находок в единый реестр, проверка принадлежности, привязка к владельцу и бизнес-функции. Спорное — на подтверждение.
03 Assessment (анализ)
Активное сканирование подтверждённых активов: порты, версии, сертификаты, открытые панели, известные уязвимости из БДУ ФСТЭК.
04 Prioritization (приоритизация)
Ранжирование по риску: внешняя доступность, критичность данных, наличие эксплойта, простота захвата. Не «все дыры сразу», а самые опасные.
05 Remediation и контроль
Устранение или вывод актива из периметра, назначение владельца, повторное сканирование. Затем цикл повторяется — периметр живой.

Чек-лист запуска обнаружения теневых активов

Соберите сид-данные известные домены, бренды, диапазоны IP и ASN организации как отправную точку разведки.

Запустите пассивную разведку Certificate Transparency, пассивный DNS, реверс-WHOIS для поиска связанных доменов и поддоменов.

Подтвердите принадлежность прежде чем сканировать, докажите, что актив ваш; спорное помечайте «требует подтверждения».

Просканируйте внешний периметр открытые порты, баннеры сервисов, версии ПО, TLS-сертификаты, забытые админ-панели.

Сверьте находки с БДУ ФСТЭК сопоставьте версии сервисов с известными уязвимостями и оцените эксплуатируемость.

Заведите единый реестр активов каждый актив с владельцем, статусом и датой последней проверки, иначе находки устареют.

Назначьте владельцев и сроки устранения приоритизируйте по риску, а не по дате обнаружения.

Сделайте процесс непрерывным пересканирование по расписанию; периметр меняется каждую неделю.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. ASM- и CTEM-платформы сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом ASM](/rating/attack-surface-management): здесь — методы и процесс, там — сравнение конкретных платформ по подтверждённым фактам.

Следующий шаг

Разобрались с методами и процессом — переходите к сравнению платформ: **[рейтинг ASM и CTEM платформ →](/rating/attack-surface-management)**. Полезно прочитать рядом: [что такое ASM и CTEM](/research/chto-takoe-asm-ctem), [рейтинг ASM и CTEM 2026](/research/reyting-asm-ctem-2026) и [выбор ASM-платформы для мониторинга периметра](/research/vybor-asm-platformy).

Частые вопросы

Чем теневые активы отличаются от обычных уязвимостей?

Уязвимость — это слабое место в известном активе, который вы уже контролируете. Теневой актив — это ресурс, о существовании которого вы не знаете вовсе. Сначала его нужно обнаружить и атрибутировать, и только потом можно говорить об уязвимостях на нём. ASM закрывает именно первый, «слепой» этап.

Можно ли обнаружить теневые активы без активного сканирования?

Часть — да: пассивная разведка по DNS, Certificate Transparency и WHOIS находит поддомены и связанные домены, не касаясь инфраструктуры. Но чтобы понять, что на найденном хосте открыто и уязвимо ли оно, нужен этап активного сканирования внешнего периметра по подтверждённым активам.

Как часто нужно проводить обнаружение?

Непрерывно. Разовое обследование даёт срез на сегодня, но периметр меняется постоянно: поднимаются новые сервисы, истекают сертификаты, подрядчики заводят ресурсы. Поэтому ASM строят как цикл с пересканированием по расписанию, а не как единичный аудит.

С чего начать, если инвентаризации активов вообще нет?

С сид-данных: известные домены, бренды и диапазоны IP. От них пассивная разведка разворачивает карту связанных доменов и поддоменов, дальше — атрибуция и первичное сканирование. Главное на старте — завести единый реестр активов, иначе находки рассыпаются и устаревают.

Где сравнить конкретные ASM-платформы между собой?

В рейтинге ASM и CTEM платформ — там решения ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России

Рейтинг ASM и CTEM платформ Сравнить поставщиков по подтверждённым сигналам ASM и CTEM: что такое управление поверхностью атаки Рейтинг ASM и CTEM платформ 2026 Выбор ASM-платформы для мониторинга внешнего периметра