Positive Technologies зафиксировала резкий рост атак на веб-приложения - и предупреждает: дальше будет хуже
По итогам 2025 года каждая пятая успешная кибератака на организации пришлась на веб-ресурсы. Это уже не точечные инциденты - это системная уязвимость, которую злоумышленники целенаправленно и всё изощрённее эксплуатируют. Исследователи из Positive Technologies опубликовали развёрнутый прогноз угроз на 2026-2027 годы, и картина в нём тревожная.
DDoS удвоился, уязвимости никуда не делись
Самым заметным оружием остаётся DDoS. Доля атак на отказ в обслуживании среди всех инцидентов с веб-ресурсами достигла 46% - и за год удвоилась. Среди российских организаций этот показатель ещё выше: 48%. Причины понятны - геополитическая напряжённость, зрелый рынок DDoS-услуг и инструменты, которые не требуют особой технической грамотности. Порог входа для атакующего снизился до минимума. ЧМ-2026 Панама - Англия
Уязвимости - на втором месте, но отрыв невелик. На их эксплуатацию пришлось 40% успешных инцидентов в мире и 43% в России. При тестах на проникновение специалисты использовали бреши в публично доступных приложениях в 60% векторов проникновения во внутреннюю сеть. Больше половины проверенных приложений содержали критические ошибки. Девять из десяти - хотя бы среднего уровня.
Отдельная история - Broken Access Control. На эту категорию пришёлся 51% всех выявленных уязвимостей. Такие ошибки позволяют читать чужие данные, обходить проверки прав, повышать привилегии и даже вмешиваться в бизнес-логику: например, менять сумму заказа или пропускать обязательные шаги верификации.
Украденные пароли, умные алгоритмы и забытые API
Компрометация учётных данных закрепилась как отдельный, хорошо отлаженный канал атак. В 2025 году похищенные логины, токены и ключи применялись в 17% успешных инцидентов против веб-сервисов. Рынок работает как конвейер: инфостилеры собирают данные, брокеры начального доступа их перепродают, покупатели автоматизируют проверку. Атака с легитимными учётными данными почти неотличима от обычной пользовательской активности - именно поэтому она так опасна.
В прогнозе на ближайшие два года исследователи особо выделяют ИИ как усилитель угроз сразу с нескольких сторон. Алгоритмы помогут злоумышленникам быстрее обрабатывать старые утечки, сопоставлять записи с реальными сервисами и находить рабочие точки входа. Параллельно растёт риск со стороны сгенерированного кода: синтаксически модели пишут почти идеально - точность выше 95%, - но средний уровень безопасности такого кода едва дотягивает до 55%. Хуже всего дело обстоит с XSS и ошибками журналирования.
API превращаются в самостоятельную поверхность атаки. Микросервисы, SaaS-интеграции и ИИ-агенты плодят новые эндпойнты быстрее, чем команды безопасности успевают их инвентаризировать. Старые и забытые интерфейсы могут месяцами оставаться открытыми. Отдельный риск - ресурсоёмкие API, где для перегрузки сервера порой достаточно совсем небольшого числа запросов.
Инфраструктура разработки стала полноценной мишенью
Атаки на CI/CD-конвейеры, репозитории, реестры пакетов и хранилища секретов - уже не экзотика. Компрометация такой инфраструктуры даёт доступ не к одному приложению, а сразу к цепочке: клиентам, партнёрам, зависимым системам. В open source-экосистеме почти половина подобных инцидентов (49%) связана с кражей учётных данных через стилеры, ещё треть - с бэкдорами и троянами удалённого доступа. Фиксируются самораспространяющиеся черви в npm и поддельные MCP-серверы на GitHub, нацеленные прямо на рабочие процессы разработчиков.
Последствия атак - не абстрактная техническая проблема. В мировом масштабе нарушение основной деятельности стало результатом 62% успешных атак на веб-приложения, в России этот показатель достигает 75%. Данные утекают в 34% российских инцидентов - чаще всего это учётные записи, персональная информация и коммерческая тайна.
Среди особо уязвимых отраслей - госсектор (28% всех атак на веб-ресурсы), ИТ и транспорт. В сегменте онлайн-сервисов на веб пришлось 79% успешных инцидентов. Это не цифры для отчёта. Это сигнал к тому, чтобы пересмотреть, на каком этапе жизненного цикла приложения безопасность вообще появляется в повестке. Пока для большинства компаний ответ - слишком поздно. ЧМ-2026 Панама - Англия - пример того, как массовые онлайн-трансляции собирают миллионную аудиторию и одновременно становятся привлекательной целью для организаторов DDoS-атак на крупные веб-платформы. Исследователи рекомендуют встраивать защиту уже на этапе проектирования, использовать SAST- и DAST-сканеры, контролировать зависимости, мониторить поведение пользователей и непрерывно вести инвентаризацию публичных сервисов - иначе само приложение рискует стать плацдармом для атак на всех вокруг.
