Сайты, API и CI/CD-конвейеры: где ломают компании в 2025-2027 годах

По итогам 2025 года каждая пятая успешная атака на организации была направлена против веб-ресурсов. Это уже не точечные инциденты - это системная тенденция, которая в ближайшие два года будет только ускоряться. Positive Technologies опубликовала развёрнутый прогноз угроз для веб-приложений и инфраструктуры разработки на 2026-2027 годы, и картина получилась тревожная.

DDoS удвоился. Уязвимости никуда не делись

Главный инструмент давления - DDoS. Доля атак на отказ в обслуживании достигла 46% всех инцидентов против веб-сервисов и за год выросла вдвое. Среди российских ресурсов - 48%. Аналитики связывают рост с тремя факторами: геополитическая напряжённость, зрелый рынок DDoS-услуг и доступность инструментов, которые не требуют высокой технической подготовки. Порог входа для атакующих упал до минимума. Иордания - Аргентина смотреть онлайн

Уязвимости держатся на втором месте. В мировом ландшафте на эксплуатацию ошибок в приложениях пришлось 40% успешных инцидентов, в России - 43%. При тестах на проникновение специалисты использовали бреши в публично доступных приложениях в 60% векторов получения доступа к внутренним сетям. Более половины проверенных приложений содержали уязвимости высокого риска. Девять из десяти - хотя бы среднего уровня.

Отдельная история - ошибки управления доступом. На категорию Broken Access Control пришлось 51% выявленных уязвимостей в проектах по анализу защищённости за 2025 год и первый квартал 2026-го. Такие ошибки позволяют обходить проверки прав, повышать привилегии и вмешиваться в логику приложения - вплоть до подмены суммы заказа или подтверждения транзакции без обязательных этапов верификации.

ИИ на двух фронтах - и не всегда на нашей стороне

Разработчики активно используют ИИ-ассистентов, и это создаёт неочевидный риск. Синтаксически сгенерированный код корректен более чем в 95% случаев, но средний уровень его безопасности не превышает 55%. Модели плохо справляются с XSS и ошибками журналирования - там, где важен контекст между разными частями приложения. Массовая генерация кода с помощью ИИ приведёт к появлению предсказуемых, воспроизводимых уязвимостей, которые атакующие смогут искать и эксплуатировать автоматически.

Атакующие тоже не стоят на месте. ИИ помогает им анализировать устаревшие версии сайтов, восстанавливать логику приложений, генерировать вредоносный код и искать слабые эндпойнты. Старые утечки учётных данных в 2026-2027 годах будут обрабатываться алгоритмами: очистка баз паролей, сопоставление записей с реальными сервисами, автоматический поиск рабочих точек входа. Атака с легитимными учётными данными выглядит как активность обычного пользователя - обнаружить её вовремя становится всё сложнее.

API, open source и инфраструктура разработки - новая поверхность атаки

API-first-подход, микросервисы и SaaS-интеграции умножили число программных интерфейсов в корпоративных системах. Без регулярной инвентаризации старые и забытые эндпойнты могут месяцами оставаться открытыми. Часть из них уязвима к перегрузке: для падения сервера иногда достаточно относительно небольшого числа запросов.

В open source-экосистеме чаще всего атакуют ради кражи учётных данных - на стилеры приходится 49% инцидентов. В 36% случаев целью было получение удалённого доступа через бэкдоры. Компрометация CI/CD-конвейера или реестра пакетов даёт атакующим доступ не к одному приложению, а ко всей цепочке: клиентам, партнёрам, зависимым системам. Зафиксированы случаи самораспространяющихся червей в npm и поддельных MCP-серверов на GitHub, рассчитанных на проникновение в рабочий процесс разработчика.

Последствия атак чаще всего - не техническая неисправность, а остановка бизнес-процессов. В мировом масштабе нарушение основной деятельности стало результатом 62% успешных атак на веб-приложения, в России - 75%. Утечка информации зафиксирована в 34% российских инцидентов. Защита веб-сервисов сегодня - это не файрвол перед запуском, а непрерывная работа: безопасная разработка, контроль зависимостей, мониторинг API, анализ поведения и постоянная инвентаризация всего, что смотрит в публичную сеть.