- 27,609
- 46
- 8 Ноя 2022
С какими киберугрозами бизнес столкнется в 2026–2027 годах.
Веб-приложения перестали быть только витриной бизнеса и превратились в одну из главных точек входа для атак. Positive Technologies в новом отчете предупреждает , что в ближайшие два года злоумышленники будут чаще бить не только по сайтам, но и по API, контейнерам, CI/CD-конвейерам, open source-пакетам и ИИ-инструментам разработки.
По итогам 2025 года каждая пятая успешная атака на организации была направлена на веб-ресурсы. Чаще всего жертвами становились госучреждения, на долю которых пришлось 28% успешных атак на веб-ресурсы, а также ИТ-компании и транспортные организации, получившие по 8%. В отдельных отраслях зависимость от веб-сервисов оказалась еще выше: среди онлайн-сервисов на веб-ресурсы пришлось 79% успешных инцидентов, среди транспортных организаций - 38%, среди госучреждений - 35%.
Самым заметным методом давления стали DDoS-атаки. Доля успешных атак на отказ в обслуживании достигла 46% от всех зарегистрированных инцидентов против веб-ресурсов и за год выросла вдвое. Российские веб-ресурсы также чаще всего сталкивались с DDoS: на такой метод пришлось 48% инцидентов. В Positive Technologies связывают рост с геополитической напряженностью, зрелостью рынка DDoS-сервисов и доступностью инструментов для атак без высокой технической подготовки.
Уязвимости остаются вторым крупным направлением атак. В мировом ландшафте на эксплуатацию ошибок в веб-приложениях пришлось 40% успешных инцидентов, в России - 43%. При внешних тестах на проникновение специалисты PT SWARM использовали уязвимости публично доступных приложений в 60% векторов получения доступа во внутреннюю сеть российских компаний. Более половины проверенных веб-приложений в 2025 году содержали уязвимости высокого риска, а девять из десяти - ошибки среднего или низкого уровня.
Отдельный риск создают ошибки управления доступом и бизнес-логики. На категорию Broken Access Control пришлось 51% выявленных уязвимостей в проектах по анализу защищенности веб-приложений за 2025 год и первый квартал 2026 года. Подобные ошибки позволяют получать доступ к чужим данным, обходить проверки прав, повышать привилегии и вмешиваться в логику приложения, например менять стоимость заказа или подтверждать действие без обязательных этапов проверки.
Компрометация учетных данных стала еще одним устойчивым каналом атак. В 2025 году украденные логины, пароли, токены и ключи применялись в 17% успешных атак на веб-сервисы. Злоумышленники все чаще используют сервисную модель: логи инфостилеров продаются отдельно, проверка учетных данных автоматизируется, а готовые доступы к корпоративным системам перепродаются брокерами начального доступа.
Positive Technologies ожидает, что в 2026–2027 годах старые утечки будут активнее обрабатываться с помощью ИИ. Алгоритмы помогут очищать базы паролей, сопоставлять записи с реальными сервисами и быстрее находить рабочие точки входа. Для компаний риск усиливается тем, что атака с легитимными учетными данными выглядит как обычная активность пользователя или служебной учетной записи, поэтому раннее обнаружение становится сложнее.
API превращаются в отдельную большую поверхность атаки. Все больше корпоративных систем строится по API-first-подходу, а микросервисы, облачные платформы, SaaS-интеграции и ИИ-агенты увеличивают число программных интерфейсов. Без инвентаризации старые и забытые эндпойнты могут месяцами оставаться доступными для злоумышленников. В отчете отдельно отмечается риск атак на ресурсоемкие API, где для перегрузки сервера иногда хватает относительно небольшого числа запросов.
ИИ меняет ситуацию с обеих сторон. Разработчики используют ИИ-ассистентов для ускорения работы, но сгенерированный код часто наследует небезопасные паттерны из открытых репозиториев. По данным, которые приводит Positive Technologies, синтаксическая корректность кода у моделей уже превышает 95%, а средний уровень безопасности достигает только 55%. Хуже всего модели справляются с XSS и ошибками журналирования, где требуется учитывать контекст между разными частями приложения.
Атакующие тоже получают выгоду от автоматизации. ИИ может помогать искать слабые эндпойнты, анализировать старые версии сайтов, восстанавливать логику приложений, генерировать вредоносный код и подбирать способы эксплуатации типовых ошибок. В прогнозе Positive Technologies массовая генерация приложений с помощью ИИ приведет к появлению предсказуемых уязвимостей, которые преступники смогут искать и эксплуатировать автоматизированно.
Еще одно направление риска связано с инфраструктурой разработки. Компрометация репозиториев, CI/CD-конвейеров, реестров пакетов, хранилищ секретов и процессов сборки дает атакующим доступ не только к одному приложению, но и к клиентам, партнерам и зависимым системам. В open source-экосистеме чаще всего атакуют ради кражи учетных данных: на стилеры пришлось 49% таких инцидентов. В 36% случаев целью становилось получение удаленного доступа к системам разработчиков через бэкдоры и трояны удаленного доступа.
В отчете также отмечается появление самораспространяющихся червей в npm и вредоносного контента для ИИ-ассистентов разработки. Злоумышленники размещают поддельные MCP-серверы и вредоносные навыки на GitHub или специализированных маркетплейсах, рассчитывая попасть в рабочий процесс разработчика и дальше двинуться к коду, секретам и инфраструктуре.
Последствия успешных атак чаще всего выражаются не в технической проблеме, а в остановке процессов. В мировом ландшафте нарушение основной деятельности стало результатом 62% успешных атак на веб-приложения, в России - 75%. К утечке информации привели 23% мировых инцидентов и 34% российских. Среди похищенных данных чаще всего встречались учетные данные, персональная информация и коммерческая тайна.
Positive Technologies рекомендует компаниям переносить безопасность ближе к этапу проектирования и разработки, а не проверять приложение только перед запуском. В защите веб-сервисов ключевую роль играют безопасная разработка, SAST- и DAST-сканеры, контроль зависимостей, проверка контейнеров, защита секретов, мониторинг API, анализ поведения пользователей и постоянная инвентаризация публичных сервисов. В противном случае веб-приложение может стать не только целью атаки, но и площадкой для дальнейших атак на клиентов, партнеров и подрядчиков.
Веб-приложения перестали быть только витриной бизнеса и превратились в одну из главных точек входа для атак. Positive Technologies в новом отчете предупреждает , что в ближайшие два года злоумышленники будут чаще бить не только по сайтам, но и по API, контейнерам, CI/CD-конвейерам, open source-пакетам и ИИ-инструментам разработки.
По итогам 2025 года каждая пятая успешная атака на организации была направлена на веб-ресурсы. Чаще всего жертвами становились госучреждения, на долю которых пришлось 28% успешных атак на веб-ресурсы, а также ИТ-компании и транспортные организации, получившие по 8%. В отдельных отраслях зависимость от веб-сервисов оказалась еще выше: среди онлайн-сервисов на веб-ресурсы пришлось 79% успешных инцидентов, среди транспортных организаций - 38%, среди госучреждений - 35%.
Самым заметным методом давления стали DDoS-атаки. Доля успешных атак на отказ в обслуживании достигла 46% от всех зарегистрированных инцидентов против веб-ресурсов и за год выросла вдвое. Российские веб-ресурсы также чаще всего сталкивались с DDoS: на такой метод пришлось 48% инцидентов. В Positive Technologies связывают рост с геополитической напряженностью, зрелостью рынка DDoS-сервисов и доступностью инструментов для атак без высокой технической подготовки.
Уязвимости остаются вторым крупным направлением атак. В мировом ландшафте на эксплуатацию ошибок в веб-приложениях пришлось 40% успешных инцидентов, в России - 43%. При внешних тестах на проникновение специалисты PT SWARM использовали уязвимости публично доступных приложений в 60% векторов получения доступа во внутреннюю сеть российских компаний. Более половины проверенных веб-приложений в 2025 году содержали уязвимости высокого риска, а девять из десяти - ошибки среднего или низкого уровня.
Отдельный риск создают ошибки управления доступом и бизнес-логики. На категорию Broken Access Control пришлось 51% выявленных уязвимостей в проектах по анализу защищенности веб-приложений за 2025 год и первый квартал 2026 года. Подобные ошибки позволяют получать доступ к чужим данным, обходить проверки прав, повышать привилегии и вмешиваться в логику приложения, например менять стоимость заказа или подтверждать действие без обязательных этапов проверки.
Компрометация учетных данных стала еще одним устойчивым каналом атак. В 2025 году украденные логины, пароли, токены и ключи применялись в 17% успешных атак на веб-сервисы. Злоумышленники все чаще используют сервисную модель: логи инфостилеров продаются отдельно, проверка учетных данных автоматизируется, а готовые доступы к корпоративным системам перепродаются брокерами начального доступа.
Positive Technologies ожидает, что в 2026–2027 годах старые утечки будут активнее обрабатываться с помощью ИИ. Алгоритмы помогут очищать базы паролей, сопоставлять записи с реальными сервисами и быстрее находить рабочие точки входа. Для компаний риск усиливается тем, что атака с легитимными учетными данными выглядит как обычная активность пользователя или служебной учетной записи, поэтому раннее обнаружение становится сложнее.
API превращаются в отдельную большую поверхность атаки. Все больше корпоративных систем строится по API-first-подходу, а микросервисы, облачные платформы, SaaS-интеграции и ИИ-агенты увеличивают число программных интерфейсов. Без инвентаризации старые и забытые эндпойнты могут месяцами оставаться доступными для злоумышленников. В отчете отдельно отмечается риск атак на ресурсоемкие API, где для перегрузки сервера иногда хватает относительно небольшого числа запросов.
ИИ меняет ситуацию с обеих сторон. Разработчики используют ИИ-ассистентов для ускорения работы, но сгенерированный код часто наследует небезопасные паттерны из открытых репозиториев. По данным, которые приводит Positive Technologies, синтаксическая корректность кода у моделей уже превышает 95%, а средний уровень безопасности достигает только 55%. Хуже всего модели справляются с XSS и ошибками журналирования, где требуется учитывать контекст между разными частями приложения.
Атакующие тоже получают выгоду от автоматизации. ИИ может помогать искать слабые эндпойнты, анализировать старые версии сайтов, восстанавливать логику приложений, генерировать вредоносный код и подбирать способы эксплуатации типовых ошибок. В прогнозе Positive Technologies массовая генерация приложений с помощью ИИ приведет к появлению предсказуемых уязвимостей, которые преступники смогут искать и эксплуатировать автоматизированно.
Еще одно направление риска связано с инфраструктурой разработки. Компрометация репозиториев, CI/CD-конвейеров, реестров пакетов, хранилищ секретов и процессов сборки дает атакующим доступ не только к одному приложению, но и к клиентам, партнерам и зависимым системам. В open source-экосистеме чаще всего атакуют ради кражи учетных данных: на стилеры пришлось 49% таких инцидентов. В 36% случаев целью становилось получение удаленного доступа к системам разработчиков через бэкдоры и трояны удаленного доступа.
В отчете также отмечается появление самораспространяющихся червей в npm и вредоносного контента для ИИ-ассистентов разработки. Злоумышленники размещают поддельные MCP-серверы и вредоносные навыки на GitHub или специализированных маркетплейсах, рассчитывая попасть в рабочий процесс разработчика и дальше двинуться к коду, секретам и инфраструктуре.
Последствия успешных атак чаще всего выражаются не в технической проблеме, а в остановке процессов. В мировом ландшафте нарушение основной деятельности стало результатом 62% успешных атак на веб-приложения, в России - 75%. К утечке информации привели 23% мировых инцидентов и 34% российских. Среди похищенных данных чаще всего встречались учетные данные, персональная информация и коммерческая тайна.
Positive Technologies рекомендует компаниям переносить безопасность ближе к этапу проектирования и разработки, а не проверять приложение только перед запуском. В защите веб-сервисов ключевую роль играют безопасная разработка, SAST- и DAST-сканеры, контроль зависимостей, проверка контейнеров, защита секретов, мониторинг API, анализ поведения пользователей и постоянная инвентаризация публичных сервисов. В противном случае веб-приложение может стать не только целью атаки, но и площадкой для дальнейших атак на клиентов, партнеров и подрядчиков.
- Источник новости
- www.securitylab.ru
