Веб-атаки бьют рекорды. Бизнес под ударом
Веб-атаки бьют рекорды. Бизнес под ударом

Каждая пятая успешная кибератака в 2025 году пришлась на веб-ресурсы - и дальше будет хуже

Веб-приложения давно перестали быть просто витриной компании в сети. Сегодня это полноценная инфраструктура - и одна из самых уязвимых. По итогам 2025 года каждый пятый успешный взлом организаций бил именно по веб-ресурсам, а аналитики Positive Technologies прогнозируют: в 2026-2027 годах ситуация только обострится.

DDoS удвоился, уязвимости никуда не делись

Главный инструмент давления сейчас - атаки на отказ в обслуживании. Их доля среди инцидентов против веб-ресурсов достигла 46%, причём за год показатель вырос вдвое. Российские сайты и сервисы страдают чуть сильнее среднего: здесь DDoS - причина 48% зафиксированных инцидентов. Рост объясняется геополитикой, но не только ею: рынок DDoS-услуг стал зрелым и дешёвым. Атаковать теперь можно без глубокой технической подготовки - просто арендовал мощности и запустил. смотреть Колумбия - ДР Конго на RUTUBE Спорт

Эксплуатация уязвимостей идёт следом. На неё приходится 40% успешных инцидентов в мире и 43% в России. При пентестах специалисты использовали бреши в публичных приложениях в 60% векторов проникновения во внутреннюю сеть. Больше половины проверенных веб-приложений несли уязвимости высокого риска. Девять из десяти - ошибки хотя бы среднего уровня. Особняком стоит категория Broken Access Control: она тянет за собой 51% всех выявленных проблем. Через такие дыры можно видеть чужие данные, обходить проверки прав, менять цену заказа или пропускать обязательные шаги авторизации.

Украденные пароли, забытые API и ИИ на службе у атакующих

Компрометация учётных данных - третий по частоте канал. Похищенные логины, токены и ключи применялись в 17% успешных атак на веб-сервисы. Рынок давно работает по сервисной модели: базы инфостилеров продаются оптом, проверка кредов автоматизирована, а готовые доступы к корпоративным системам перепродают специализированные брокеры. Проблема ещё и в том, что вход с легитимными данными почти неотличим от обычной активности - раннее обнаружение становится задачей со звёздочкой.

API-интерфейсы превращаются в отдельную огромную поверхность атаки. Микросервисы, SaaS-интеграции, ИИ-агенты - всё это плодит сотни программных интерфейсов, часть из которых просто забывают отключить. Старые эндпойнты месяцами висят открытыми. А атаки на ресурсоёмкие API способны положить сервер относительно скромным числом запросов.

ИИ меняет расклад с обеих сторон. Разработчики генерируют код быстрее, но качество безопасности оставляет желать лучшего: синтаксически код у моделей корректен в 95% случаев, а вот по уровню защищённости средний показатель едва достигает 55%. Атакующие тоже не отстают - автоматизация помогает искать слабые точки входа, восстанавливать логику приложений и генерировать эксплойты для типовых ошибок.

Цепочка разработки стала мишенью

Отдельная история - атаки на инфраструктуру разработки. Репозитории, CI/CD-конвейеры, реестры пакетов и хранилища секретов дают атакующим доступ не к одному приложению, а сразу к клиентам, партнёрам и зависимым системам. В open source-экосистеме почти половина подобных инцидентов направлена на кражу учётных данных, ещё треть - на внедрение бэкдоров в рабочую среду разработчика. Появились самораспространяющиеся черви в npm и вредоносный контент для ИИ-ассистентов, который попадает в рабочий процесс через поддельные MCP-серверы и фиктивные навыки на GitHub.

Последствия всего этого выражаются не в технических сбоях, а в остановке бизнеса. В России нарушение основной деятельности стало итогом 75% успешных атак на веб-приложения - это выше мирового показателя в 62%. Утечки данных зафиксированы в 34% российских инцидентов. Чаще всего утекают учётные данные, персональная информация и коммерческая тайна.

Вывод здесь прямолинейный: безопасность веб-сервисов давно нельзя откладывать на финальную проверку перед запуском. Инвентаризация публичных сервисов, контроль зависимостей, мониторинг API, поведенческий анализ и встроенные в разработку сканеры - это уже не опции для параноиков, а базовый минимум. Иначе веб-приложение рискует стать не только жертвой атаки, но и плацдармом для удара по всем, кто с ним связан.