На связи Лука Сафонов — бизнес-партнер по инновационному развитию компании «Гарда». В прошлой статье я рассказывал про организацию сетевой безопасности в финтехе, а сегодня хочу поговорить в целом про безопасность веба.
2025 год в очередной раз продемонстрировал, что веб-сервисы превратились в значимый цифровой актив бизнеса. Публичная доступность приложений в сочетании с высокой степенью автоматизации атак делает их идеальной мишенью для злоумышленников. Особенно уязвимыми оказались ритейл, финтех, промышленность, госсектор и здравоохранение.
Угрозы усиливаются, и характер атак меняется
Объемы распространения вредоносного ПО через веб-ресурсы выросли почти в два раза. Это усиливает риски инцидентов, связанных в том числе с цепочкой поставок, и одновременно расширяет зону ответственности бизнеса и повышает регуляторные риски. Ведь компрометация даже одного онлайн-сервиса сегодня способна одновременно затронуть как клиентов, так и партнеров.
Если раньше атакующие хотели по большей части завладеть ценными данными, то сегодня они стремятся уничтожить ИТ-инфраструктуру. Количество подобных атак с использованием шифровальщиков (ransomware) и стирателей (wiper) также выросло. Веб-приложения в этом смысле остаются удобным вектором атак из-за своей публичной доступности и высокой скорости эксплуатации уязвимостей.
Тактика DDoS-атак также эволюционировала. Злоумышленники стали чаще применять короткие импульсные атаки с регулярными паузами, растягивая кампании на длительный период. Такой подход затрудняет обнаружение и фильтрацию трафика, истощает ресурсы эксплуатационных команд. В результате бизнес сталкивается с постепенной деградацией сервисов, что делает инциденты менее заметными для систем мониторинга. Однако длятся подобные атаки дольше и в совокупности наносят более значительный финансовый ущерб. Подробнее о том, как изменился инструментарий злоумышленников при проведении DDoS-атак писали в этой статье.
Главные уязвимости: «медиазвезды» и «рабочие лошадки»
Самой нашумевшей уязвимостью 2025 года стал React2Shell (CVE-2025-55182). Уязвимость React Server Components позволяла интерпретировать пользовательские данные как доверенные серверные. В результате для успешной атаки злоумышленникам было достаточно одного HTTP-запроса, а успешность эксплуатации приближалась к 100%.
По разным оценкам в мире React используют примерно на 6 % всех сайтов и почти в 39% облачных средах, а многие современные фреймворки включают Server Components по умолчанию. Поэтому уязвимость затронула миллионы приложений. До выхода патчей единственной надежной защитой для многих компаний оставались решения класса WAF, выступавшие буфером между внешним трафиком и внутренней логикой приложения и позволявший сервису работать даже при активной эксплуатации уязвимости.
Однако за громкими инцидентами вроде React2Shell легко упустить тот факт, что подавляющее большинство реальных атак по-прежнему строятся на давно известных уязвимостях. Это подтверждает опубликованный в 2025 году рейтинг MITRE, содержащий 25 наиболее опасных и распространенных типов уязвимостей в ПО. Рейтинг стал своего рода ответом MITRE на значительный рост числа зарегистрированных CVE, которые совокупно стали причиной появления около 50 тыс конкретных уязвимостей.
Несмотря на то что методология MITRE охватывает универсальные тактики и техники атак, первые три места в этом рейтинге заняли именно уязвимости веб-приложений:
CWE-79 (XSS) — межсайтовый скриптинг, благодаря чему злоумышленники могут выполнять действия от имени пользователя и похищать данные;
CWE-89 (SQL-инъекция, дающая прямой путь к извлечению или модификации данных и бизнес-логики приложения;
CWE-352 (CSRF) — подделка межсайтовых запросов, позволяющая атакующим выполнять действия от имени легитимного пользователя.
Тренды и прогнозы
Прошлый год стал переломным в части автоматизации атак. Злоумышленники начали массово использовать искусственный интеллект для поиска уязвимостей, анализа патчей и генерации эксплойтов. В результате время между публикацией CVE и началом ее эксплуатации сократилось до нескольких часов, что делает традиционную реактивную модель, «патчим после обнаружения», неэффективной.
Однако технические уязвимости — это не единственный вектор атак. Учетные записи пользователей продолжают оставаться ценным активом для злоумышленников. Особенно популярны атаки типа Password Spraying («распыление паролей»), когда хакеры применяют небольшой набор слабых или предсказуемых паролей (например, Winter2024!, Password1) к множеству учетных записей, чтобы обойти ограничения на частые попытки входа для одного пользователя. Такие атаки наиболее эффективны при отсутствии многофакторной аутентификации (MFA) или при ее некорректной настройке. Вот только парочка реальных инцидентов:
атака на Microsoft 365 через ботнет из 130 000 устройств использовала технику Password Spraying в сочетании с неинтерактивным входом, который обходил политики условного доступа и MFA;
ransomHub через RDP. Эта серия атак, которая началась еще в 2024 году. Распыление паролей через открытый RDP приводило к развертыванию вымогателя уже через 118 часов. Злоумышленники использовали эксплойт Mimikatz для сброса учетных данных и латерального движения, а затем похищали данные (до 2 ГБ) через Rclone и шифровали инфраструктуру.
В 2026 год кардинальных изменений в природе уязвимостей веб-приложений не произойдет. XSS, SQLi и CSRF по-прежнему останутся в топе. Зато инструментарий атакующих станет мощнее. Для бизнеса это означает, что окно для реагирования сократится до минимума.
Минимальный набор средств защиты для веба
Эскалация деструктивных атак, массовое применение ИИ для автоматизации поиска и эксплуатации уязвимостей, а также сокращение окна между публикацией CVE и первыми атаками делают реактивную модель защиты веб-приложений заведомо проигрышной. Как выстроить защиту, если угрозы становятся все сложнее? Считаю, что даже «минимальный» уровень сетевой безопасности больше не может быть хаотичным или сводиться к отдельным точечным решениям. Он должен быть структурированным и начинаться с выстраивания процессов. В этом смысле отличной отправной точкой служит открытый фреймворк OWASP SAMM (Software Assurance Maturity Model). Он предлагает простой, но охватывающий весь жизненный цикл приложения. Фреймворк помогает расставить приоритеты и ответить на такие вопросы: где внедрять пентесты, как организовать мониторинг, когда и какие средства защиты (СЗИ) подключать.
Минимальный жизнеспособный набор технических средств, который в 2026 году позволит бизнесу обеспечить доступность сервисов и избежать критических инцидентов, включает WAF корпоративного класса. Дополнительную ценность дает интеграция WAF с SIEM и источниками Threat Intelligence (TI). Это позволяет видеть логику, понимать тактику злоумышленника и реагировать еще до того, как будет нанесен ущерб.
