Исследователи зафиксировали резкий рост атак на веб-ресурсы и предупреждают: дальше будет хуже
По итогам 2025 года каждая пятая успешная кибератака на организации была направлена на веб-ресурсы. Это уже не точечные инциденты - это устойчивая тенденция, за которой стоят зрелые инструменты, автоматизация и деньги. Эксперты Positive Technologies выпустили объёмный отчёт с прогнозом на 2026-2027 годы, и картина там тревожная.
DDoS удвоился, уязвимости никуда не делись
Самым массовым методом давления остаются DDoS-атаки. Их доля среди инцидентов с веб-ресурсами достигла 46% - и за год показатель вырос вдвое. В России цифра ещё выше: 48% всех зарегистрированных атак на сайты приходится именно на отказ в обслуживании. Причины понятны: геополитическое давление, готовые сервисы «DDoS на прокат» и низкий порог входа - атаковать сегодня можно без серьёзной технической подготовки. трансляция матча Новая Зеландия - Бельгия
Второй большой фронт - уязвимости. В мировом масштабе на их эксплуатацию пришлось 40% успешных инцидентов, в России - 43%. При тестах на проникновение специалисты использовали бреши в публичных приложениях в 60% случаев, когда им удавалось пробраться во внутреннюю сеть компании. Более половины проверенных приложений содержали уязвимости высокого риска. Девять из десяти - хотя бы среднего уровня.
Особняком стоят ошибки контроля доступа. Категория Broken Access Control заняла 51% всех выявленных уязвимостей в проектах по анализу защищённости за 2025 год и начало 2026-го. Такие баги позволяют не просто подсмотреть чужие данные, но и повышать привилегии, обходить проверки и даже вмешиваться в бизнес-логику - например, менять итоговую стоимость заказа.
ИИ помогает всем - и атакующим тоже
Разработчики активно подключают ИИ-ассистентов к рабочему процессу. Проблема в том, что генерируемый код зачастую наследует небезопасные паттерны из открытых репозиториев. Синтаксически модели пишут правильно - точность выше 95%. Но с безопасностью в среднем на 55%. Хуже всего дела обстоят с XSS и ошибками логирования, где нужно учитывать контекст сразу нескольких частей приложения.
С другой стороны баррикады - автоматизированный поиск слабых мест. ИИ уже помогает преступникам анализировать старые версии сайтов, восстанавливать логику приложений и генерировать эксплойты под типовые ошибки. По прогнозу аналитиков, массовая генерация кода с помощью нейросетей приведёт к появлению предсказуемых уязвимостей - и их будут искать так же автоматически.
Отдельная история - компрометация учётных данных. В 2025 году украденные логины, пароли и токены применялись в 17% успешных атак на веб-сервисы. Рынок отработан до автоматизма: логи инфостилеров продаются оптом, учётки проверяются скриптами, готовые доступы к корпоративным системам перепродаются брокерами. К 2027 году старые утечки будут обрабатываться с помощью ИИ - алгоритмы очистят базы паролей и сопоставят их с живыми сервисами быстрее, чем успеет среагировать служба безопасности.
API, CI/CD и open source: новая поверхность атаки
Угроза давно вышла за периметр «сайта». API превратились в самостоятельную мишень: микросервисы, облачные интеграции и ИИ-агенты плодят эндпойнты быстрее, чем их успевают учитывать и защищать. Забытые интерфейсы могут месяцами торчать в открытом доступе - и никто об этом не знает.
Инфраструктура разработки тоже под прицелом. Компрометация репозиториев, CI/CD-конвейеров и реестров пакетов даёт атакующим доступ не к одному приложению, а ко всей цепочке - клиентам, партнёрам, зависимым системам. В open source-экосистеме почти половина атак (49%) нацелена на кражу учётных данных через стилеры, ещё 36% - на установку бэкдоров и троянов удалённого доступа в среду разработчика. Уже зафиксированы самораспространяющиеся черви в npm и поддельные MCP-серверы, которые злоумышленники подбрасывают на GitHub в расчёте попасть прямо в рабочий процесс.
Последствия таких атак редко остаются техническими. В мировой статистике нарушение основной деятельности стало итогом 62% успешных инцидентов с веб-приложениями. В России - 75%. Утечки данных зафиксированы в 34% российских случаев: чаще всего уходят учётные данные, персональная информация и коммерческая тайна. Аналитики настаивают: безопасность нужно встраивать на этапе проектирования, а не прикручивать перед релизом. Иначе веб-приложение становится не просто мишенью, а плацдармом для атак на всех, кто с ним связан.
