Веб-приложения стали главной мишенью хакеров: DDoS растёт вдвое, уязвимости - везде
По итогам 2025 года каждая пятая успешная кибератака на организации была направлена против веб-ресурсов. Это уже не точечная угроза - это системный провал в том, как бизнес строит и защищает свои цифровые активы. Positive Technologies опубликовала прогноз на 2026-2027 годы, и картина там тревожная.
DDoS-волна удвоилась. И это только начало
Самым массовым инструментом давления остаётся DDoS. На атаки с отказом в обслуживании пришлось 46% всех зафиксированных инцидентов против веб-ресурсов - и за год этот показатель вырос вдвое. Для российских компаний цифра ещё выше: 48% атак. Причины понятны - геополитика, зрелый рынок DDoS-услуг и инструменты, которыми умеет пользоваться любой, у кого есть немного денег и злого умысла. трансляция матча Новая Зеландия - Египет
Больше всего достаётся госсектору: на его долю - 28% успешных атак на веб. Следом идут ИТ-компании и транспортные организации. В онлайн-сервисах веб стал вообще почти единственной точкой входа - 79% всех инцидентов в отрасли.
Уязвимости, утечки, API - три фронта одновременно
DDoS - шум и давление. Но тихие атаки через уязвимости опаснее. В мировом разрезе эксплуатация ошибок в веб-приложениях составила 40% успешных взломов, в России - 43%. При тестах на проникновение специалисты использовали публичные приложения как точку входа во внутреннюю сеть в 60% случаев. Более половины проверенных сервисов несли уязвимости высокого риска. Девять из десяти - хотя бы среднего.
Отдельная история - контроль доступа. На ошибки категории Broken Access Control пришлось 51% всех выявленных уязвимостей за 2025 год и первый квартал 2026-го. Это не просто технический изъян: такие дыры позволяют менять стоимость заказа, обходить проверки прав и подтверждать действия без обязательных шагов. Логика ломается - и вместе с ней бизнес-процессы.
Компрометация учётных данных закрывает тройку главных угроз. В 17% атак на веб злоумышленники входили с чужими логинами и паролями. Рынок давно выстроен: стилеры собирают данные, брокеры перепродают готовые доступы, ИИ помогает сортировать и проверять базы. Атака с легитимными учётными данными выглядит как обычный вход пользователя. Засечь её на ранней стадии крайне сложно.
API превращаются в отдельную обширную поверхность. Микросервисы, облака, SaaS-интеграции, ИИ-агенты - всё это плодит эндпойнты, часть из которых никто не инвентаризирует месяцами. Забытый интерфейс - открытая дверь.
ИИ помогает обеим сторонам. Но разработчики проигрывают
Здесь - самый неудобный вывод отчёта. ИИ-ассистенты ускоряют разработку, но генерируют небезопасный код. Синтаксически он корректен в 95% случаев. Безопасен - лишь в 55%. Хуже всего модели справляются с XSS и ошибками журналирования, где нужно понимать контекст между разными частями приложения. Атакующие тем временем используют те же технологии: ищут слабые эндпойнты, анализируют старые версии сайтов, генерируют эксплойты.
Последствия атак в России жёстче, чем в среднем по миру. Нарушение основной деятельности - результат 75% успешных инцидентов против веб (62% глобально). Утечки данных - 34% против 23%. Среди похищенного чаще всего оказываются учётные данные, персональная информация и коммерческая тайна.
Positive Technologies настаивает: безопасность нужно встраивать в процесс с самого начала, а не накручивать поверх готового продукта. SAST, DAST, контроль зависимостей, мониторинг API, инвентаризация публичных сервисов - всё это должно работать постоянно, а не раз в год перед аудитом. Иначе веб-приложение становится не просто мишенью, а плацдармом для удара по клиентам и партнёрам.
