Каждая пятая успешная атака на организации в 2025 году ударила по веб-ресурсам - и дальше будет хуже
Веб-приложения давно перестали быть просто витриной. Сегодня это полноценная боевая поверхность: API, CI/CD-конвейеры, контейнеры, ИИ-ассистенты разработки - всё это стало мишенью. По данным исследователей Positive Technologies, в ближайшие два года атаки на веб-инфраструктуру станут не только чаще, но и изощрённее.
Цифры, которые говорят сами за себя
В 2025 году каждый пятый успешный взлом организаций был направлен именно на веб-ресурсы. Сильнее всего досталось государственным структурам - 28% атак на веб пришлось на их долю. Следом идут ИТ-компании и транспортные организации - по 8%. Но в отдельных секторах цифры и вовсе пугающие: среди онлайн-сервисов веб-атаки составили 79% всех успешных инцидентов. ЧМ-2026 Иордания - Аргентина
Главный инструмент давления - DDoS. Доля атак на отказ в обслуживании выросла за год вдвое и достигла 46% от всех инцидентов против веб-ресурсов. Российские компании ощутили это особенно остро: 48% случаев. Рост объясняется просто - геополитика, зрелый рынок DDoS-сервисов и инструменты, не требующие никакой технической подготовки. Порог входа для атакующего сегодня минимален.
Уязвимости - второй по масштабу вектор. В мировом разрезе на их эксплуатацию пришлось 40% успешных атак, в России - 43%. При тестах на проникновение специалисты использовали бреши в публично доступных приложениях в 60% случаев получения доступа во внутреннюю сеть компаний. Более половины проверенных веб-приложений содержали уязвимости высокого риска, а девять из десяти - среднего или низкого уровня.
Доступ, логика, учётные данные
Отдельная история - ошибки управления доступом. На категорию Broken Access Control пришлось 51% выявленных уязвимостей за 2025 год и первый квартал 2026-го. Такие баги позволяют не просто посмотреть чужие данные, но и менять цены в заказах, обходить обязательные этапы верификации и повышать собственные привилегии. Это уже не технический изъян - это дыра в бизнес-логике.
Украденные учётные данные применялись в 17% успешных атак на веб-сервисы. Схема отточена: логи инфостилеров продаются оптом, проверка связки логин-пароль автоматизирована, а рабочие доступы к корпоративным системам перепродают брокеры начального доступа. Ожидается, что к 2026-2027 годам старые утечки начнут активно обрабатывать с помощью ИИ - алгоритмы будут очищать базы, сопоставлять записи с реальными сервисами и находить точки входа быстрее, чем любой аналитик.
ИИ: помогает разработчику и атакующему одновременно
ИИ-ассистенты в разработке генерируют синтаксически корректный код в 95% случаев. Звучит впечатляюще. Но средний уровень безопасности такого кода - лишь 55%. Модели плохо справляются с XSS и ошибками журналирования там, где нужно учитывать контекст между разными частями приложения. В итоге код работает, но дырявит.
Атакующие тоже не стоят на месте. ИИ помогает им искать слабые эндпойнты, анализировать старые версии сайтов, восстанавливать логику приложений и генерировать вредоносные нагрузки. Массовая ИИ-генерация приложений создаст предсказуемые паттерны уязвимостей - и злоумышленники научатся искать их автоматически. Это уже не фантастика.
API при этом превращаются в отдельный фронт. Микросервисы, SaaS-интеграции, ИИ-агенты - всё это наращивает число программных интерфейсов. Забытые эндпойнты могут месяцами висеть открытыми. А ресурсоёмкие API уязвимы к перегрузке даже при небольшом числе запросов.
Последствия и что с этим делать
Успешная атака на веб в 75% российских инцидентов заканчивается остановкой основных бизнес-процессов. Утечка данных - в 34% случаев. Среди похищенного чаще всего оказываются учётные данные, персональная информация и коммерческая тайна.
Аналитики рекомендуют встраивать безопасность в проектирование с самого начала, а не накручивать защиту перед релизом. SAST и DAST, контроль зависимостей, проверка контейнеров, мониторинг API, анализ поведения пользователей и постоянная инвентаризация публичных сервисов - это уже не опциональный список. Это минимум. Без него веб-приложение легко превращается не просто в жертву, а в плацдарм для атак на клиентов и партнёров. Кстати, похожие сценарии с цепочками доверия и уязвимостью открытых систем всё активнее обсуждают и далеко за пределами ИТ-отрасли - например, в контексте цифровой инфраструктуры крупных международных мероприятий, таких как ЧМ-2026 Иордания - Аргентина и другие матчи турнира, где онлайн-сервисы работают под максимальной нагрузкой и давлением. Веб больше не тихая витрина - это линия фронта.
