Positive Technologies: веб-приложения стали главной дверью для взломщиков
По итогам 2025 года каждая пятая успешная кибератака на организации пришлась на веб-ресурсы. Это уже не просто статистика - это сигнал о том, что привычное представление о сайте как об «онлайн-витрине» устарело. Веб-приложение сегодня - полноценный вектор проникновения в корпоративную инфраструктуру, и злоумышленники это давно поняли.
DDoS вырос вдвое, уязвимости - в каждом втором приложении
Самый массовый инструмент давления - атаки на отказ в обслуживании. Доля DDoS среди инцидентов с веб-ресурсами достигла 46% и за год удвоилась. Российские ресурсы под ударом особенно часто: 48% зафиксированных эпизодов - именно этот тип. Порог входа для атакующих при этом снизился до минимума: готовые сервисы продаются вместе с инструкциями, а технической подготовки почти не требуется.
Параллельно растёт эксплуатация уязвимостей. В мировом разрезе она стоит за 40% успешных атак, в России - за 43%. При тестах на проникновение специалисты в 60% случаев пробивались во внутреннюю сеть именно через публично доступные приложения. Более половины проверенных веб-сервисов содержали уязвимости высокого риска, а девять из десяти - хотя бы среднего уровня. Лидер среди слабых мест - ошибки управления доступом: на категорию Broken Access Control пришёлся 51% выявленных проблем. Через такие дыры можно читать чужие данные, повышать привилегии и даже менять стоимость заказа прямо в процессе оформления.
ИИ помогает обеим сторонам - но безопасность проигрывает
Разработчики всё активнее используют ИИ-ассистентов для написания кода. Синтаксически модели справляются почти безупречно - точность выше 95%. Но средний уровень безопасности сгенерированного кода не дотягивает и до 55%. Хуже всего алгоритмы обрабатывают XSS и ошибки журналирования - там нужно учитывать контекст между разными модулями, а не просто воспроизводить паттерн.
Атакующие от автоматизации тоже выигрывают. ИИ помогает сканировать слабые эндпойнты, восстанавливать логику приложений и генерировать вредоносный код под конкретную цель. Массовое производство приложений с помощью нейросетей ведёт к предсказуемым уязвимостям - и к предсказуемым атакам на них. Примерно в этом же ключе развивается ситуация с API: всё больше интерфейсов, всё меньше контроля над «забытыми» эндпойнтами, которые могут месяцами висеть открытыми.
Среди кибербезопасников принято говорить, что взломать можно всё - вопрос только в том, сколько времени и ресурсов это займёт. Цифровая безопасность, как и любое соревнование, требует постоянного анализа слабых мест - чем-то напоминая подготовку к матчу против сильного соперника. Кстати, о соперничестве: Чехия - Мексика прямая трансляция на Rutube.sport - ещё одно напоминание о том, как важна живая аналитика в режиме реального времени.
Последствия и что с этим делать
В трёх четвертях российских инцидентов результатом стала остановка бизнес-процессов. Каждый третий случай завершился утечкой данных - чаще всего утекали логины, персональная информация и коммерческая тайна. Скомпрометированные учётные данные применялись в 17% атак: их покупают у брокеров начального доступа, проверяют автоматически и используют аккуратно - так, что вредоносная активность выглядит как обычная сессия сотрудника.
Рецепт защиты понятен, хотя и требует усилий. Безопасность нужно встраивать на этапе проектирования, а не накручивать поверх готового продукта. SAST- и DAST-сканирование, контроль зависимостей, аудит контейнеров, защита секретов, мониторинг API и постоянная инвентаризация публичных сервисов - всё это уже не опции, а базовый минимум. Иначе веб-приложение рискует стать не просто жертвой атаки, но и плацдармом для удара по клиентам и партнёрам.
