Итоги 2025 года с точки зрения безопасности веб-приложений

2025 год показал, что атаки на веб-приложения бьют не по серверам, а по выручке. ИИ ускорил эксплуатацию уязвимостей, DDoS стал незаметным, а простои — дорогими. Итоги года и выводы, которые обязательно надо учесть.

1. 1. Введение
2. 2. Усиление угроз и изменение характера атак
3. 3. Статистика и атакуемые отрасли
4. 4. Основные уязвимости
5. 5. Тренды
6. 6. Выводы

Введение

2025 год закрепил тенденцию: веб-приложения превратились в значимый цифровой актив бизнеса и одновременно в достаточно уязвимый элемент инфраструктуры. Для компаний в промышленности, финтехе, ретейле, госсекторе, транспорте и логистике атаки на внешние сервисы всё чаще приводили к прямым финансовым потерям, а не только к техническим инцидентам. Потери выражались в недополученной выручке, потери ликвидности, нарушении контрактных обязательств, росте издержек и снижении доверия клиентов.

Особенность года — рост совокупной стоимости инцидента в сетевой безопасности. Даже атаки без полной остановки сервиса приводили к деградации клиентского опыта, увеличению нагрузки на поддержку и необходимости срочных изменений в архитектуре. Веб-приложения и API стали основной точкой давления из-за их доступности и высокой автоматизации атак.

Усиление угроз и изменение характера атак

Аналитики отмечают почти двукратный рост распространения вредоносных программ через веб-ресурсы, что усиливает риски инцидентов, связанных в том числе с цепочкой поставок. Компрометация одного сервиса быстро затрагивала клиентов и партнёров. Для бизнеса это означает расширение зоны ответственности и рост регуляторных рисков. В 2025 году компании всё чаще сталкивались с ситуацией, когда технический инцидент перерастал в юридический и репутационный кризис.

В 2025 году мы наблюдали увеличение количества атак, направленных не просто на компрометацию, а на полное уничтожение инфраструктуры — с применением ransomware (шифровальщиков) и wiper (стирателей), способных останавливать бизнес-сервисы. Веб-приложения оставались удобным вектором из-за публичной доступности и высокой скорости эксплуатации уязвимостей. Даже несколько часов простоя веб-сервиса оказывали влияние на финансовые показатели отчётного периода.

Стала сложнее и тактика хакеров в проведении DDoS-атак: доминировали короткие серии с паузами в течение длительного времени. Такой подход усложняет фильтрацию трафика и перегружает команды эксплуатации. Бизнес сталкивается с деградацией сервисов, а не с полным отказом, что делает инциденты менее заметными, но более затяжными, и приводит к более высоким суммарным потерям.

Статистика и атакуемые отрасли

Статистика утечек в России за 2025 год подтвердила системный характер проблемы: около 225 крупных инцидентов и более 767 млн строк данных в публичном доступе. Наибольшему риску взломов подверглись ретейл, промышленность, сфера здравоохранения, государственные службы и информационные технологии. Финансовый сектор, ИТ и онлайн-сервисы возглавили рейтинг наиболее атакуемых отраслей.

В большинстве случаев атаки начинались с классических приёмов: фишинга, взлома подрядчиков, эксплуатации ошибок в веб-приложениях или использования слабого контроля доступа. Отсутствие многофакторной аутентификации и базовой гигиены учётных данных по-прежнему оказывает прямое влияние на масштаб ущерба.

Основные уязвимости

Самой заметной уязвимостью 2025 года стала React2Shell (CVE-2025-55182). Она продемонстрировала, насколько опасными становятся ошибки в популярных фреймворках при массовом использовании. Ошибка в механизме React Server Components позволяла интерпретировать пользовательские данные как доверенные серверные. Для атаки хватало одного HTTP-запроса, а успешность эксплуатации приближалась к 100 %.

По разным оценкам, React применяют порядка 6 % всех сайтов и около 39 % облачных окружений, поэтому уязвимость затронула огромный пласт инфраструктуры. Дополнительную опасность создаёт то, что многие популярные фреймворки и библиотеки встраивают React Server по умолчанию. Уязвимость охватила миллионы приложений, включая те, где React использовался косвенно через зависимости.

До выхода патчей компании могли рассчитывать только на средства защиты на уровне трафика. WAF корпоративного класса в таких сценариях выполнял роль буфера между интернетом и бизнес-логикой, позволяя сохранить работоспособность сервисов.

В 2025 году MITRE зафиксировали рост общего числа CVE и опубликовали рейтинг 25 наиболее опасных и распространённых проблем в программном обеспечении, которые в совокупности стали причиной появления порядка 50 000 уязвимостей. Притом что методология MITRE описывает универсальные техники и тактики атак, применимые к разным типам систем, первые 3 позиции этого рейтинга заняли именно уязвимости веб-приложений, что наглядно отражает их доминирующую роль в реальных сценариях атак. Это были:

1. CWE-79 — некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг), что открывает путь к краже сессий и учёных данных.
2. CWE-89 — SQL-инъекция, которая даёт прямой доступ к данным и бизнес-логике.
3. CWE-352 — подделка межсайтовых запросов (CSRF), которая позволяет выполнять действия от имени пользователя.

MITRE ATT&CK — систематизированное описание техник (приёмов) и тактик, которые используют злоумышленники при атаках на организации. Эта методология позволяет обеспечить должный уровень защиты и своевременно выявить атаки на инфраструктуру, а также даёт понимание того, на каком этапе вредоносной операции находятся хакеры, какую цель они преследуют и каким способом можно обнаружить их присутствие.

Для бизнеса это означает возможность оценивать риск в разрезе этапов атаки: первичный доступ, выполнение кода, закрепление и воздействие. WAF корпоративного класса встраивался в эту модель как средство контроля начальных этапов и срыва цепочки до нанесения реального ущерба.

Тренды

Тренд 2025 года — появление атак, выполненных практически полностью с помощью нейросетей (искусственного интеллекта) почти без участия человека. С помощью ИИ злоумышленники ускорили поиск уязвимостей, анализ патчей и разработку эксплойтов. Время между публикацией CVE и эксплуатацией сократилось до часов. Это требует моментальной реакции и, в свою очередь, повысило ценность защитных решений с ML и AI, которые позволяют находить аномалии и блокировать даже эксплуатацию 0-day уязвимостей.

Практика года подтверждает необходимость эшелонированной защиты в виде модулей (GRS, rate limit, antibot и ML). Интеграция WAF с TI (Threat Intelligence, киберразведка) и SIEM (Security Information and Event Management, управление информационной безопасностью и событиями безопасности) позволяет выявить цепочку атаки, предотвратить её на ранних этапах, а также понимать источник и логику.

Выводы

Итоги 2025 года показывают: веб-приложения стали одной из самых уязвимых точек цифрового бизнеса и одновременно самым быстрым каналом нанесения прямого финансового ущерба. Рост деструктивных атак, активное применение ИИ злоумышленниками и сокращение времени между появлением уязвимости и её эксплуатацией исключают сценарий реактивной защиты. Компании, которые продолжают полагаться только на патчи и ручные процессы, должны заранее принимать риски простоев, утечек и срыва обязательств.

Практика года подтверждает, что WAF корпоративного класса перестал быть вспомогательным средством ИБ. Он работает как значимый элемент сетевой безопасности, который закрывает первичные векторы атак, даёт время на исправление уязвимостей и сохраняет доступность цифровых сервисов. В условиях 2025 года инвестиции в зрелую защиту веб-приложений напрямую поддерживают устойчивость бизнеса.