Positive Technologies зафиксировала резкий рост атак на веб-ресурсы и предупреждает: дальше будет хуже

Веб-приложения давно перестали быть просто лицом компании в интернете - теперь это одна из главных дверей, в которую ломятся злоумышленники. По итогам 2025 года каждая пятая успешная атака на организации была направлена именно на веб-ресурсы. Эксперты Positive Technologies выпустили объёмный отчёт с прогнозом на 2026-2027 годы, и картина там тревожная.

DDoS удвоился, уязвимости - везде

Главный инструмент давления сегодня - атаки на отказ в обслуживании. Доля DDoS среди всех инцидентов с веб-ресурсами достигла 46% и за год выросла вдвое. Российские сайты страдают особенно: 48% зафиксированных инцидентов - именно DDoS. Причины понятны: геополитическая напряжённость, зрелый рынок соответствующих сервисов и низкий порог входа - атаку теперь можно заказать без каких-либо технических знаний. смотреть Тунис - Япония на RUTUBE Спорт

Второй крупный вектор - уязвимости. В 40% успешных атак по всему миру, в России - в 43%, злоумышленники эксплуатировали дыры в веб-приложениях. При тестах на проникновение специалисты использовали уязвимости публичных приложений в 60% случаев для получения доступа во внутреннюю сеть. Более половины проверенных приложений содержали уязвимости высокого риска. Девять из десяти - хотя бы среднего уровня.

Особняком стоит категория Broken Access Control: ошибки управления доступом и бизнес-логики составили 51% всех выявленных уязвимостей в 2025 году и первом квартале 2026-го. Такие баги позволяют читать чужие данные, обходить проверки прав или, например, менять стоимость заказа в свою пользу. Тихо и незаметно.

Украденные пароли, умный ИИ и забытые API

Компрометация учётных данных закрепилась как отдельный устойчивый канал - в 17% атак на веб-сервисы применялись украденные логины, токены или ключи. Рынок давно отлажен: логи инфостилеров продаются оптом, проверка пар «логин-пароль» автоматизирована, а готовые доступы к корпоративным системам перепродают брокеры начального доступа. Атака с легитимными credentials выглядит как обычная активность - обнаружить её сложно даже при зрелом мониторинге.

В ближайшие два года ситуацию усугубит ИИ. Алгоритмы будут обрабатывать старые утечки: очищать базы паролей, сопоставлять их с реальными сервисами и быстрее находить рабочие точки входа. Одновременно растёт поверхность атаки через API. Микросервисы, SaaS-интеграции и ИИ-агенты плодят интерфейсы быстрее, чем их успевают инвентаризировать. Старые забытые эндпойнты могут месяцами висеть открытыми - и никто об этом не знает.

Инфраструктура разработки стала полем боя

Отдельная головная боль - атаки на цепочку поставок ПО. CI/CD-конвейеры, репозитории, реестры пакетов, хранилища секретов: компрометация любого звена даёт доступ не только к одному приложению, но и к клиентам, партнёрам и зависимым системам. В open source-экосистеме почти половина подобных инцидентов - кража учётных данных, треть - установка backdoor-троянов на машины разработчиков. Зафиксировано появление самораспространяющихся червей в npm и вредоносного контента для ИИ-ассистентов - поддельные MCP-серверы на GitHub ждут, пока разработчик сам подключится к ним в рабочем процессе.

Сгенерированный ИИ-ассистентами код тоже несёт риски: синтаксически он корректен в 95% случаев, но средний уровень безопасности едва дотягивает до 55%. Хуже всего модели справляются с XSS и ошибками журналирования - там нужен контекст между разными частями приложения, которого у модели нет.

Последствия атак - не технические неприятности, а реальные потери. В России нарушение основной деятельности стало итогом 75% успешных атак на веб-приложения. К утечке данных привели 34% инцидентов. Positive Technologies настаивает: безопасность нужно встраивать на этапе проектирования, а не накручивать поверх готового продукта. Иначе веб-приложение превращается не просто в мишень, а в плацдарм для атак на всех, кто с ним связан.