Positive Technologies зафиксировала резкий рост атак на веб-приложения - и предупреждает, что дальше будет хуже
Веб-приложения окончательно превратились в главную мишень цифровых атак. По итогам 2025 года каждый пятый успешный взлом организации был направлен именно на веб-ресурсы. Эта цифра уже не звучит как тревожный сигнал - она звучит как диагноз.
DDoS удвоился. Уязвимости никуда не делись
Самый заметный тренд года - взрывной рост DDoS-атак. Их доля среди инцидентов с веб-ресурсами достигла 46% в глобальном масштабе и 48% в России, причём за год показатель удвоился. Причины очевидны: геополитическая турбулентность, дешевеющие сервисы для организации атак и низкий порог входа - чтобы положить сайт, сегодня не нужна армия хакеров. матч Уругвай - Испания ЧМ-2026
Второй по частоте вектор - эксплуатация уязвимостей. На неё пришлось 40% успешных инцидентов в мире и 43% в России. Среди веб-приложений, прошедших проверку на защищённость, больше половины содержали уязвимости высокого риска. Девять из десяти - хотя бы одну среднего или низкого уровня. Лидер по числу находок - ошибки контроля доступа: категория Broken Access Control заняла 51% всех выявленных проблем. Это не абстрактная техническая погрешность: такие баги позволяют читать чужие данные, повышать привилегии и даже менять цену заказа в корзине.
Украденные пароли, умные алгоритмы и забытые API
Компрометация учётных данных закрепилась как устойчивый канал проникновения - 17% атак на веб-сервисы прошли именно через неё. Рынок вокруг этого вектора давно поставлен на поток: логи инфостилеров продаются оптом, проверка пар логин-пароль автоматизирована, а готовые доступы к корпоративным системам перепродают брокеры начального доступа. В ближайшие два года ситуацию дополнительно осложнит ИИ - алгоритмы начнут эффективнее очищать старые базы утечек, сопоставлять записи с живыми сервисами и находить рабочие точки входа быстрее, чем любая ручная проверка. Атака с легитимными учётными данными выглядит как обычная сессия пользователя - обнаружить её на раннем этапе становится всё сложнее.
Отдельная и быстро растущая поверхность атаки - API. Микросервисы, облачные платформы и ИИ-агенты плодят программные интерфейсы быстрее, чем компании успевают их инвентаризировать. Забытые эндпойнты могут месяцами торчать в открытом доступе. Некоторые из них настолько ресурсоёмки, что для перегрузки сервера хватает относительно небольшого числа запросов.
ИИ помогает обеим сторонам - но безопасности пока не хватает
ИИ-ассистенты вошли в рабочий процесс разработчиков плотно и, судя по всему, надолго. Синтаксически корректный код модели выдают в 95% случаев. С безопасностью хуже: средний показатель - около 55%. Особенно слабо модели справляются с XSS и ошибками журналирования, где нужно отслеживать контекст между разными частями приложения. Массовая генерация кода с предсказуемыми паттернами - это, по сути, массовое производство одинаковых уязвимостей, которые можно искать и эксплуатировать автоматически.
Атакующие тоже не стоят на месте. ИИ уже помогает сканировать слабые эндпойнты, анализировать старые версии сайтов и генерировать эксплойты под типовые ошибки. В open source-экосистеме появились самораспространяющиеся черви в npm и вредоносные MCP-серверы, замаскированные под полезные инструменты для разработчиков. Цель - попасть в рабочий процесс и дотянуться до кода, секретов и инфраструктуры.
Последствия: бизнес встаёт, данные утекают
Успешная атака на веб-ресурс в России в 75% случаев приводит к нарушению основной деятельности компании. В 34% - к утечке данных. Чаще всего утекают учётные данные, персональная информация и коммерческая тайна. Среди наиболее пострадавших отраслей - госсектор (28% всех успешных атак на веб), ИТ-компании и транспорт. В отдельных сегментах зависимость ещё острее: у онлайн-сервисов 79% всех инцидентов связаны именно с веб-ресурсами.
Рекомендация аналитиков однозначна: безопасность нужно встраивать в процесс проектирования и разработки, а не прикручивать перед запуском. SAST- и DAST-сканеры, контроль зависимостей, мониторинг API, защита секретов, анализ поведения пользователей и постоянная инвентаризация публичных сервисов - не опции, а базовый минимум. Иначе веб-приложение рискует стать не просто жертвой атаки, но и плацдармом для удара по клиентам и партнёрам.
