Каждая пятая успешная атака на бизнес в 2025 году пришлась на веб-ресурсы - и это только начало
Веб-приложения давно перестали быть просто цифровой витриной. Сегодня это полноценный вектор вторжения: по итогам 2025 года каждый пятый успешный взлом организации начинался именно с веб-ресурса. Positive Technologies опубликовала масштабный отчёт о текущей угрозе и прогноз на 2026-2027 годы - и картина получилась тревожной.
DDoS и уязвимости: два главных инструмента атакующих
Самый заметный тренд - взрывной рост DDoS. На атаки типа «отказ в обслуживании» пришлось 46% всех инцидентов против веб-ресурсов, причём за год эта доля удвоилась. Среди российских организаций показатель ещё выше - 48%. Причины очевидны: геополитическая напряжённость, зрелый рынок DDoS-сервисов и низкий порог входа для атакующих. Сегодня устроить перегрузку сервера можно без глубокой технической подготовки - достаточно арендовать нужный инструмент. Англия - Гана эфир
Параллельно не теряет позиций эксплуатация уязвимостей. В мировом разрезе на неё пришлось 40% успешных атак, в России - 43%. При тестах на проникновение специалисты использовали дыры в публичных приложениях в 60% случаев при получении доступа во внутреннюю сеть. Более половины проверенных веб-приложений содержали уязвимости высокого риска. Девять из десяти - хотя бы среднего уровня.
Отдельная история - ошибки управления доступом. Категория Broken Access Control заняла 51% всех выявленных уязвимостей в проектах по анализу защищённости. Такие баги позволяют не просто читать чужие данные, но и обходить проверки прав, повышать привилегии и даже вмешиваться в логику приложения: например, менять стоимость заказа или подтверждать операцию в обход обязательных шагов верификации.
ИИ и API: новая поверхность атаки
Угроза эволюционирует. API превращаются в самостоятельную мишень: рост микросервисных архитектур, SaaS-интеграций и ИИ-агентов умножает число программных интерфейсов быстрее, чем компании успевают их контролировать. Забытые эндпойнты могут месяцами оставаться открытыми - и именно туда всё чаще смотрят атакующие.
ИИ меняет расклад с обеих сторон. Разработчики используют нейросетевые ассистенты для ускорения работы, но сгенерированный код наследует небезопасные паттерны: синтаксически модели правы в 95% случаев, а по безопасности средний показатель едва дотягивает до 55%. Хуже всего дела обстоят с XSS и ошибками логирования. Злоумышленники, в свою очередь, используют автоматизацию для поиска слабых эндпойнтов, анализа старых версий сайтов и генерации эксплойтов. В прогнозе исследователей - волна предсказуемых уязвимостей в приложениях, собранных с помощью ИИ, которые преступники смогут искать и эксплуатировать потоком.
Компрометация учётных данных тоже никуда не делась. В 2025 году украденные логины, токены и ключи применялись в 17% атак на веб-сервисы. Рынок устроен по сервисной модели: логи инфостилеров продаются оптом, проверка автоматизирована, а готовые доступы к корпоративным системам перепродают брокеры начального доступа. К 2026-2027 годам старые утечки будут обрабатываться с помощью ИИ - алгоритмы ускорят очистку баз и подбор рабочих точек входа. Распознать такую атаку крайне сложно: она выглядит как обычная активность легитимного пользователя.
Последствия и что делать
Жертвами чаще всего становились госструктуры - 28% успешных атак на веб-ресурсы, ИТ-компании и транспорт - по 8%. В отдельных секторах зависимость от веб-сервисов критическая: у онлайн-платформ 79% всех инцидентов пришлось именно на веб.
Последствия - не технические сбои, а остановка бизнеса. В мире нарушение основной деятельности стало результатом 62% успешных атак, в России - 75%. Утечка данных зафиксирована в 34% российских инцидентов. Среди похищенного - учётные данные, персональная информация и коммерческая тайна.
Исследователи рекомендуют встраивать безопасность на этапе проектирования, а не проверять приложение накануне запуска. В арсенале защиты - SAST- и DAST-сканеры, контроль зависимостей, мониторинг API, анализ поведения пользователей и постоянная инвентаризация публичных сервисов. Без этого веб-приложение рискует стать не просто мишенью, а плацдармом для атак на клиентов и партнёров.