Каждая пятая успешная кибератака в 2025 году ударила по веб-ресурсам - и дальше будет хуже
Веб-приложения давно перестали быть просто цифровой витриной. Теперь это один из главных маршрутов, по которому злоумышленники пробираются внутрь корпоративной инфраструктуры. По свежим данным Positive Technologies, в 2025 году каждая пятая успешная атака на организации была направлена именно на веб-ресурсы - и в 2026-2027 годах картина только усложнится.
DDoS вырос вдвое, уязвимости никуда не делись
Самым массовым инструментом давления остаются DDoS-атаки. Их доля среди инцидентов с веб-ресурсами достигла 46% - и за год она удвоилась. Российские сайты и сервисы получили чуть больше: 48% атак против них велись именно на отказ в обслуживании. Причина - не только геополитика, но и зрелость рынка DDoS-услуг. Сегодня организовать атаку можно без глубоких технических знаний: нужные инструменты доступны как сервис. ЧМ-2026 Норвегия - Сенегал
Параллельно не сдаёт позиций эксплуатация уязвимостей. В мировом масштабе на неё пришлось 40% успешных инцидентов, в России - 43%. Важный штрих: при тестах на проникновение специалисты использовали бреши в публичных приложениях в 60% векторов проникновения во внутреннюю сеть российских компаний. Больше половины проверенных приложений несли уязвимости высокого риска. Девять из десяти - ошибки среднего или низкого уровня. Это не исключение. Это норма.
Отдельного внимания заслуживает категория Broken Access Control - нарушения управления доступом. На неё пришёлся 51% всех выявленных уязвимостей по итогам 2025 года и первого квартала 2026-го. Такие ошибки позволяют читать чужие данные, обходить проверки прав, повышать привилегии и даже менять логику приложения - например, корректировать стоимость заказа или пропускать обязательные шаги авторизации.
Украденные пароли, API без присмотра и ИИ на службе у атакующих
Компрометация учётных данных превратилась в отдельную индустрию. В 2025 году похищенные логины, токены и ключи применялись в 17% успешных атак на веб-сервисы. Рынок работает как конвейер: логи инфостилеров продаются оптом, проверка автоматизирована, а рабочие доступы к корпоративным системам перепродаются брокерами. Проблема в том, что вход с легитимными учётными данными выглядит как обычная активность - и системы мониторинга зачастую его просто не замечают.
API превращаются в отдельную болевую точку. Рост микросервисных архитектур, SaaS-интеграций и ИИ-агентов плодит всё новые программные интерфейсы - многие из которых никто не инвентаризирует месяцами. Старые забытые эндпойнты остаются открытыми. Для перегрузки ресурсоёмких API иногда хватает относительно небольшого числа запросов - и сервис ложится.
ИИ меняет расклад с обеих сторон. Разработчики используют ассистентов для ускорения работы, но сгенерированный код наследует небезопасные паттерны из открытых репозиториев. Синтаксически он почти безупречен - корректность превышает 95%. А вот средний уровень безопасности такого кода едва дотягивает до 55%. Хуже всего модели справляются с XSS и ошибками журналирования. Атакующие тем временем используют ту же автоматизацию: ищут слабые эндпойнты, анализируют старые версии сайтов, генерируют вредоносный код. Массовое производство приложений через ИИ создаёт предсказуемые паттерны уязвимостей - а значит, и возможности для массовой эксплуатации.
Инфраструктура разработки стала мишенью. Последствия - на бизнес
Риск сместился и выше по цепочке - в инфраструктуру разработки. Репозитории, CI/CD-конвейеры, реестры пакетов и хранилища секретов всё чаще оказываются в прицеле. Компрометация одного звена может открыть доступ не к одному приложению, а сразу к клиентам, партнёрам и зависимым системам. В open source-экосистеме на кражу учётных данных пришлось 49% атак. Ещё 36% были нацелены на удалённый доступ через бэкдоры. Зафиксированы самораспространяющиеся черви в npm и вредоносный контент, замаскированный под инструменты для ИИ-ассистентов разработки.
Итог атак - прежде всего остановка процессов, а не абстрактная «техническая проблема». В России нарушение основной деятельности стало следствием 75% успешных инцидентов с веб-приложениями. К утечке данных привели 34% случаев. Среди похищенного - учётные данные, персональная информация, коммерческая тайна. Кстати, пока говорим о цифровых угрозах, ЧМ-2026 Норвегия - Сенегал наглядно показывает, как большие события притягивают не только внимание аудитории, но и нагрузку на веб-инфраструктуру организаторов. Positive Technologies рекомендует встраивать безопасность на этапе проектирования, а не проверять приложение уже перед запуском - иначе оно рискует стать не просто целью, а плацдармом для атак на всю экосистему вокруг него.