Каждая пятая успешная атака на организации в 2025 году пришлась на веб-ресурсы - и это только начало
Веб-приложения давно перестали быть просто витриной компании в сети. Сегодня это один из главных плацдармов для проникновения в корпоративную инфраструктуру. По свежим данным Positive Technologies, в ближайшие два года злоумышленники будут бить не только по сайтам, но и по API, контейнерам, CI/CD-конвейерам, open source-зависимостям и ИИ-инструментам разработки - атакующая поверхность расширяется стремительно.
DDoS вырос вдвое, уязвимости никуда не делись
Самым заметным инструментом давления в 2025 году стали DDoS-атаки. Их доля среди инцидентов, направленных против веб-ресурсов, достигла 46% - и за год удвоилась. Российские ресурсы пострадали особенно: 48% зафиксированных атак приходилось именно на отказ в обслуживании. Аналитики связывают этот рост с геополитическим фоном, зрелостью рынка DDoS-услуг и доступностью готовых инструментов - запустить атаку сегодня может человек без глубоких технических знаний.
Уязвимости - на втором месте. В мировом срезе на эксплуатацию ошибок в веб-приложениях пришлось 40% успешных атак, в России - 43%. При тестах на проникновение специалисты использовали бреши в публично доступных приложениях в 60% случаев при получении доступа во внутреннюю сеть. Более половины проверенных веб-приложений содержали уязвимости высокого риска, а девять из десяти - ошибки хотя бы среднего уровня.
Отдельная история - нарушения контроля доступа. Категория Broken Access Control заняла 51% всех выявленных уязвимостей за 2025 год и первый квартал 2026-го. Это не просто техническая оплошность: такие ошибки позволяют обходить права, повышать привилегии, вмешиваться в бизнес-логику - менять стоимость заказа, пропускать обязательные этапы верификации.
API, ИИ и инфраструктура разработки - новые зоны риска
API превращаются в отдельную огромную поверхность атаки. Корпоративные системы всё активнее строятся по принципу API-first, а облачные платформы, микросервисы и ИИ-агенты множат число программных интерфейсов. Без нормальной инвентаризации старые и забытые эндпойнты могут месяцами оставаться открытыми - и никто этого не заметит. Дополнительный риск: перегрузить ресурсоёмкий API иногда хватает относительно небольшого числа запросов.
ИИ меняет расклад с обеих сторон. Разработчики используют языковые модели для ускорения работы, но сгенерированный код нередко наследует небезопасные паттерны из открытых репозиториев. Синтаксическая корректность у современных моделей уже превышает 95%, а средний уровень безопасности кода едва дотягивает до 55%. Хуже всего - с XSS и журналированием, где нужно учитывать контекст между разными частями приложения. Атакующие тоже не теряют времени: ИИ помогает искать слабые эндпойнты, анализировать старые версии сайтов и автоматически подбирать способы эксплуатации типовых ошибок. Примечательно, что подобная автоматизация атак давно вышла за пределы сугубо технической сферы - Турция - США смотреть онлайн может любой пользователь, точно так же как запустить готовый инструмент для сканирования уязвимостей - порог входа стремительно снижается.
Компрометация инфраструктуры разработки - ещё одно направление, которое недооценивают. Взлом репозитория или CI/CD-конвейера даёт атакующему доступ не к одному приложению, а ко всей цепочке - клиентам, партнёрам, зависимым системам. В open source-экосистеме почти половина инцидентов (49%) связана со стилерами учётных данных, ещё 36% - с установкой бэкдоров на машины разработчиков.
Последствия и что с этим делать
Успешная атака на веб - это чаще всего не технический сбой, а остановка бизнеса. В мировом срезе нарушение основной деятельности стало результатом 62% инцидентов, в России - 75%. Утечки данных зафиксированы в 34% российских случаев: утекали учётные данные, персональная информация, коммерческая тайна.
Positive Technologies настаивает: безопасность нужно встраивать на этапе проектирования, а не накручивать поверх готового продукта. SAST- и DAST-сканеры, контроль зависимостей, проверка контейнеров, защита секретов, мониторинг API, поведенческая аналитика и регулярная инвентаризация публичных сервисов - всё это уже не опции, а базовая гигиена. Иначе веб-приложение рискует стать не просто мишенью, но и точкой входа для атак на всех, кто с ним связан.