1 июня 2026 г.

Тень в сети: как выявить Shadow IT и несанкционированные инструменты удаленного доступа

В 2026 году Shadow IT превратился из «забытого диска» в главный канал для APT-атак. Сотрудники сами устанавливают TeamViewer и AnyDesk, а хакеры используют легитимные утилиты Windows. Разбираем, как обнаружить скрытый удаленный доступ, почему точечные решения (EDR и NTA по отдельности) больше не работают, и отвечаем на главные вопросы про теневые ИТ. Решение — трехуровневая платформа F6 MXDR, которая сократила MTTR до 10 минут в реальном кейсе против группы C0met.

Содержание

  • Что такое Shadow IT в 2026 году и как это используют хакеры
  • Анатомия скрытых угроз: инструменты LotL и методы маскировки
  • Почему точечные решения (NTA, EDR) больше не эффективны
  • Синергия F6 MXDR: трехуровневый заслон против Shadow IT
  • Кейс: детектирование APT-группировки C0met за 10 минут
  • Часто задаваемые вопросы (FAQ) про Shadow IT и удаленный доступ
  • Заключение: как вывести инфраструктуру из тени

1. Что такое Shadow IT в 2026 году и как это используют хакеры

Shadow IT (теневые ИТ) — это любые ИТ-активы, программное обеспечение или сервисы, используемые внутри компании без ведома ИТ-департамента. Раньше это были забытые облачные диски. Сегодня это:

  • RDP-порты, открытые во внешнюю сеть «для удобства настройки»
  • AnyDesk, TeamViewer, MeshAgent, которые сотрудники ставят в обход корпоративного VPN
  • Неучтенные тестовые серверы и старые шлюзы
По данным F6, в каждой второй крупной компании ИТ-департамент не видит значительной части активов.

Два вектора атаки через Shadow IT

Вектор Описание Пример
Внешний Хакеры ищут забытые серверы и легитимные RAT-инструменты для входа APT-группы сканируют интернет на предмет открытых RDP
Внутренний Сотрудники сами устанавливают ПО удаленного доступа, создавая «черный ход» Установка TeamViewer без согласования с ИБ

«Shadow IT — это не проблема дисциплины, а критическая брешь, через которую APT-группировки проникают в сеть»

2. Анатомия скрытых угроз: инструменты LotL и методы маскировки

В 2026 году хакеры перешли на тактику Living‑off‑the‑Land (LotL) — они используют легитимные системные утилиты, чтобы не вызывать подозрений.

Топ-5 инструментов двойного назначения

Инструмент Как применяют хакеры Риск
AnyDesk / TeamViewer Запуск портативных версий из %TEMP% (без прав администратора) Высокий
RDP / SSH Множественные попытки входа в нерабочее время Критический
WinRM / PsExec Удаление журналов событий, выполнение команд от SYSTEM Критический
WMIExec + Ngrok Создание скрытых туннелей на порт 3389 через публичный интернет Высокий
MeshAgent Используется группировкой Bearlyfy для доставки вымогателя GenieLocker Высокий

3. Почему точечные решения (NTA, EDR) больше не эффективны

Традиционный «лоскутный» подход к ИБ ведёт к росту нагрузки на аналитиков без реальной защиты.

  • NTA видит трафик RDP/AnyDesk, но не понимает, что внутри зашифрованной сессии.
  • EDR фиксирует процессы, но не знает, какие данные передаются по сети.
  • Аналитики вручную сопоставляют тысячи алертов → растёт MTTR, появляется окно для хакеров.
Раздельные NTA и EDR не коррелируют события. Нужна единая платформа.

4. Синергия F6 MXDR: трехуровневый заслон против Shadow IT

F6 MXDR объединяет телеметрию из разных источников: защиту почты (BEP), анализ сетевого трафика (NTA) и защиту конечных устройств (EDR 3.0).

  • BEP: песочница, Time-of-Click, Time-of-Context, скриншоты угроз, ML-анализ.
  • NTA: выявляет скрытые туннели и активность на неучтённых устройствах.
  • EDR 3.0: работает на Astra Linux, РЕД ОС, РОСА, защищён от удаления, связывает поток с PID процесса.

5. Кейс: детектирование APT-группировки C0met за 10 минут

Реальный случай

Объект: промышленное предприятие. Угроза: скрытое присутствие APT-группы C0met (бывшие Shadow).

  1. NTA зафиксировал попытку туннелирования трафика.
  2. Автоматическая корреляция связала поток с процессом WMIExec на рабочей станции.
  3. EDR изолировал устройство без потери управления агентом.

Результат: MTTR = 10 минут. Эксфильтрация данных предотвращена, APT-группа блокирована.

6. Часто задаваемые вопросы (FAQ) про Shadow IT и удаленный доступ

1. В чем разница между Shadow IT и обычным нарушением политик ИБ?+
Shadow IT — использование любых неучтенных технологий (оборудование, софт, облака) без ведома ИТ-отдела. При Shadow IT инфраструктура становится «невидимой» для защиты: вы не знаете, что этот сервер или RDP-шлюз вообще существует, поэтому не можете его защитить. Обычное нарушение — это, например, слабый пароль на разрешённом устройстве.
2. Какие инструменты удаленного доступа чаще всего используют сотрудники в обход ИБ?+
Топ-3 по практике F6: 1) AnyDesk и TeamViewer — для быстрой помощи или работы из дома, если корпоративный VPN неудобен. 2) Встроенный RDP Windows — администраторы открывают во внешнюю сеть «для удобства». 3) Chrome Remote Desktop — почти не оставляет следов в журналах.
3. Как быстро можно обнаружить несанкционированный удаленный доступ?+
При разрозненных NTA и EDR — недели или месяцы. На платформе F6 MXDR обнаружение занимает от нескольких минут до часа благодаря автоматической корреляции сетевого потока и процесса. В кейсе с C0met — всего 10 минут.
4. Что такое тактика Living-off-the-Land (LotL) простыми словами?+
Хакер не ставит вредоносное ПО, а использует легитимные программы (PowerShell, PsExec, TeamViewer). Его действия похожи на работу администратора. Бороться с LotL можно только поведенческим анализом в связке «сеть + устройство».
5. Какие первые признаки наличия «теневого» RAT-инструмента?+
Всплески RDP-трафика в нерабочее время; AnyDesk.exe из %TEMP%; массовое использование PsExec; попытки очистить журналы WinRM; подключения к неизвестным IP на портах 80,443,3389.
6. Обязательно ли покупать MXDR, если уже есть EDR и NTA от разных вендоров?+
Разные вендоры не интегрируются автоматически — аналитик вручную сопоставляет алерты часами. F6 MXDR — готовая платформа с предвстроенной корреляцией «из коробки».
7. Что делать прямо сейчас, чтобы снизить риск Shadow IT без бюджета?+
Бесплатные шаги: сканирование внешних IP на порты 3389,22,5938; политика запрещённых приложений через AppLocker; настройка оповещений на установку ПО удаленного доступа (даже через бесплатный Wazuh); разъяснительная работа с сотрудниками.
8. Какие российские ОС поддерживает EDR от F6?+
Агент F6 Linux EDR 3.0 поддерживает Astra Linux (спецверсии), РЕД ОС, РОСА Linux. Защищён от несанкционированного удаления: для деинсталляции требуется пароль из консоли.

7. Заключение: как вывести инфраструктуру из тени

Три главных вывода для бизнеса:

  • Shadow IT — это финансовый риск: простои, утечки, штрафы.
  • Вы не можете защитить то, чего не видите. Без единой платформы вы тонете в «белом шуме».
  • Переход от лоскутных решений к MXDR — единственный способ закрыть брешь.

Проведите аудит RDP-портов, проверьте наличие AnyDesk/TeamViewer без согласования и рассмотрите внедрение единой платформы MXDR.

👉 Узнать про F6 MXDR

В рубрике: Новости    

+7 (3952) 980-020 или напишите

© 2011-2026, ООО «Сетевые технологии»

664081 Иркутск ул.Красноказачья 119 оф 402

Т. (3952) 980-020, info@seti38.ru

Главная
О компании
Новости
Решения
Продукция
Демо
Карта сайта
Разработка сайта:
Виртуальные технологии