Актуальные киберугрозы веб-приложений и инфраструктуры разработки

Современный ландшафт цифровых угроз демонстрирует очевидный тренд: веб-приложения и инфраструктура разработки давно превратились из второстепенной цели в ключевую мишень для атакующих. . По нашим данным (за период с начала 2025 года по первый квартал 2026 года), на веб-ресурсы приходится каждая пятая успешная атака на организации.

Цена компрометации веб-ресурсов выросла. Если раньше взлом сайта часто ограничивался банальным дефейсом или кражей маркетинговой базы данных, то сегодня веб-приложение — это полноценные ворота вглубь корпоративного периметра, способные остановить ключевые бизнес-процессы, парализовать цепочки поставок или полностью скомпрометировать процесс создания программного обеспечения.

В этой статье рассказываем про ключевые тренды и прогнозы, связанные с киберугрозами веб-приложений.

Распределение угроз: от госсектора до ритейла

Основной удар в исследуемом периоде приняли на себя государственные учреждения. На долю госсектора пришлось 28% от общего количества успешных кибератак на веб-ресурсы во всех отраслях. Более того, если рассматривать структуру инцидентов внутри самого государственного сегмента, то именно на веб-сервисы направлена треть (35%) всех деструктивных действий атакующих.

Схожая картина наблюдается в сфере онлайн-сервисов, где специфика бизнеса изначально завязана на веб-интерфейсы: здесь на долю веб-приложений пришлось абсолютное большинство инцидентов — 79%.

Транспортные и IT-компании разделили по 8% от общей доли успешных атак. При этом в транспортном секторе веб-ресурсы становились целью в 38% случаев от всех зарегистрированных инцидентов внутри отрасли, что подчеркивает уязвимость систем бронирования, логистики и пассажирских сервисов.

На этом фоне выделяется динамика атак на финансовый сектор. Доля веб-сервисов в успешных атаках на банки и финансовые институты снизилась до 15%, показав падение на 7 процентных пунктов по сравнению с 2024 годом. Финансовые организации традиционно первыми внедряют наиболее жесткие стандарты защиты веб-приложений и межсетевые экраны уровня веб-приложений (WAF), что вынуждает злоумышленников искать альтернативные пути проникновения, смещая фокус с классического веб-периметра на другие элементы инфраструктуры.

Доминирующие методы компрометации

Главным трендом исследуемого периода стал взрывной рост атак, направленных на отказ в обслуживании (DDoS). Их доля среди всех инцидентов в сфере веб-ресурсов достигла 46%, что ровно в два раза превышает показатели 2024 года. DDoS перестал быть инструментом хактивистов-любителей и превратился в полноценное оружие киберпреступников, способное надолго выводить из строя критическую инфраструктуру. Сильнее всего этот деструктивный тренд ощутили на себе телекоммуникационные организации (79% успешных инцидентов в отрасли завершились отказом в обслуживании), государственные учреждения (76%), финансовый сектор (64%) и транспортные компании (63%).

Вторым по значимости, но первым по степени технологической опасности методом остается непосредственная эксплуатация уязвимостей программного обеспечения. На этот вектор пришлось 40% успешных кибератак в глобальном ландшафте. Среди атак на российские организации 43% были реализованы путем эксплуатации уязвимостей. Злоумышленники мгновенно берут на вооружение новые публичные уязвимости и активно ищут логические ошибки ^[1] в самописном коде, которые позволяют обойти встроенные механизмы авторизации.

Использование скомпрометированных учетных данных — например, легитимных паролей, полученных в ходе фишинговых кампаний или методом перебора — зафиксировано в 17% успешных атак. Параллельно с этим в 17% инцидентов на веб-ресурсах применялось вредоносное программное обеспечение. Изучение природы этого ВПО выявило четкие паттерны монетизации: практически в каждом втором случае успешного внедрения вредоносного кода веб-сервисы сталкивались с инфостилерами, предназначенными для кражи сессий и конфиденциальных данных, а в каждом четвертом случае (26%) на взломанных серверах разворачивались программы-вымогатели (шифровальщики).

Новые технологические вызовы: теневые API и риски контейнеризации

Современные архитектурные подходы (переход на микросервисы, повсеместное использование API и контейнеризация) радикально расширили площадь потенциальной атаки.

Злоумышленники целятся в API, потому что на этой технологии строится большинство современных приложений. Проблема усугубляется существованием так называемых теневых API — интерфейсов, которые были созданы разработчиками для тестов или интеграций, но были не задокументированы, забыты и не поставлены на мониторинг службой кибербезопасности. Отсутствие строгой многофакторной аутентификации на таких эндпойнтах и недостаточная фильтрация входных параметров превращают API в идеальную точку входа в приложение для кражи массивов данных напрямую из СУБД и совершения других действий.

Параллельно с этим среды контейнеризации на базе Docker и Kubernetes стали универсальным технологическим слоем, который одновременно выступает и универсальной плоскостью для проведения атак. Архитектура контейнеров создает специфические риски: компрометация одного контейнера из-за уязвимости в развернутом на нем веб-приложении используется нападающими как плацдарм для горизонтального перемещения по внутренней сети оркестратора. Неправильная конфигурация прав доступа, например, запуск процессов с правами root или предоставление избыточного доступа к сокету Docker, позволяет атакующим получить привилегированный доступ в среде контейнеризации или выйти за ее пределы. В результате злоумышленник может совершить кражу данных из приложения, развернуть бэкдоры, майнеры или ботнеты, а также совершить деструктивные действия в системе.

Фактор искусственного интеллекта: гонка вооружений в автоматизации

Период 2025–2026 годов ознаменовался полноценной интеграцией технологий на базе искусственного интеллекта ^[2] и больших языковых моделей в процессы как нападения, так и защиты.

Искусственный интеллект уже хорошо справляется с поиском и верификацией распространенных веб-уязвимостей, таких как небезопасные прямые ссылки на объекты и внедрение SQL-кода. Помимо этого, современные агентные ИИ-системы все лучше справляются с поиском уязвимостей в бизнес-логике приложений. Также злоумышленники отслеживают релизы патчей безопасности и предпринимают попытки путем реверс-инжиниринга выявить отличия между старой и новой версией приложения.

Вместе с тем, наблюдается устойчивая тенденция к сокращению времени между раскрытием и эксплуатацией уязвимостей. Киберпреступники начинают массово эксплуатировать уязвимости уже через несколько часов после их раскрытия. Проводимые эксперименты показывают, что ряд коммерческих моделей способны находить ранее неизвестные логические цепочки для эксплуатации уязвимостей.

Преступники активно используют коммерческие модели в реальных кибератаках. Успеху способствует уязвимость ряда популярных коммерческих моделей перед многошаговыми атаками: процент успешных попыток убеждения выше при многошаговых промптах, чем при атаках в один запрос.

На стороне атакующих ИИ применяется для быстрого поиска логических уязвимостей в веб-приложениях и генерации эксплойтов под конкретную конфигурацию жертвы. В процессе проведения атаки алгоритмы способны сходу модифицировать полезную нагрузку, адаптируя ее таким образом, чтобы обходить сигнатурные фильтры классических межсетевых экранов. Автоматизация во многом реализуется за счет автономных ИИ-агентов – скриптов, которые способны самостоятельно оценивать ответы веб-сервера, корректировать свои действия и выстраивать сложную многоступенчатую цепочку атаки без участия человека.

В ответ на растущую угрозу сторона защиты развивает и адаптирует ИИ-инструменты для превентивного выявления уязвимостей как в существующих приложениях и сервисах, так и в разрабатываемых.

Защита противопоставляет этому свои интеллектуальные инструменты.

Помимо этого, вендоры коммерческих SAST- и DAST-решений также внедряют ИИ в целях автоматизации процессов безопасной разработки. Внедрение LLM и агентов в SAST позволяет значительно оптимизировать процесс: добавляется семантическая разметка кода, генерация эксплойтов и экспертизы, индексированная база исходников, доступ к средствам навигации по коду и другие преимущества. AI-driven SAST- и DAST-сканеры могут не только выявить уязвимости, но и сразу проверить их на эксплуатируемость, что позволяет их приоритизировать и сократить число ложноположительных срабатываний.

Supply chain и удар по конвейеру разработки

Особое место в актуальном ландшафте угроз занимают атаки на цепочку поставок, где целью становится не работающее веб-приложение, а инфраструктура, в которой оно создается. Злоумышленники атакуют серверы автоматизации сборки и развертывания (Jenkins, TeamCity), системы контроля версий (GitLab, GitHub) и рабочие станции инженеров.

Главным драйвером таких инцидентов выступает экосистема открытого ПО. Поскольку ни один современный веб-продукт не пишется с нуля и состоит из сотен внешних библиотек, компрометация одного популярного компонента автоматически ставит под удар тысячи использующих его приложений. Атакующие активно применяют тайпсквоттинг, загружая в публичные репозитории (npm, PyPI) вредоносные пакеты с названиями, имитирующими легитимные библиотеки с минимальными опечатками. Другой опасный сценарий — взлом учетных записей независимых разработчиков с последующим внедрением скрытых бэкдоров в доверенные компоненты, которые затем автоматически скачиваются серверами CI/CD по всему миру.

Последствия таких атак откровенно деструктивны. Помимо прямой остановки бизнес-процессов из-за недоступности сервисов, компании сталкиваются с масштабными утечками персональных данных клиентов, коммерческой тайны и исходного кода. Захваченная инфраструктура контейнеризации скрыто эксплуатируется нападающими для майнинга или организации прокси-серверов, превращая корпоративные мощности в узлы чужих ботнетов.

Взгляд в будущее: чего ждать в 2026–2027 годах

Мы ожидаем дальнейшую интеллектуализацию киберпреступности. Автономные ИИ-агенты станут привычным инструментом, способным вести непрерывную разведку и эксплуатацию веб-ресурсов в автоматическом режиме. Давление на цепочки поставок через open source продолжит нарастать, что сделает верификацию входящего стороннего кода обязательным стандартом выживания для любого технологического бизнеса.

Сами атаки станут носить более комбинированный характер: компрометация учётных данных приложения или инфраструктуры разработки через фишинг, целевые атаки через экосистему открытого кода и цепочки доверия между SaaS/OAuth-интеграциями. В этих условиях победу одержат те компании, которые перейдут от фрагментарного закрытия уязвимостей к построению сквозных процессов результативной кибербезопасности на всех этапах жизни веб-приложений.

С полной версией исследования ^[3] вы можете ознакомиться на нашем сайте.

Анна Сафронова

Старший аналитик направления аналитических исследований Positive Technologies