В 2026 году защиту приложений корректнее рассматривать как единый контур, где веб-интерфейс, мобильный клиент и API образуют одну поверхность атаки и один набор рисков. Злоумышленник выбирает не «веб или мобайл», а самый удобный путь к данным, транзакциям и бизнес-логике - чаще всего через API и автоматизацию. Поэтому эффективная защита строится не вокруг одного класса средств, а вокруг согласованной архитектуры, которая закрывает ключевые сценарии на всех уровнях.
В первой части мы фиксируем актуальные для начала 2026 года угрозы и собираем “архитектуру защиты” по слоям: обеспечение доступности (включая L7-сценарии), защита веб-уровня, противодействие автоматизированным атакам и ботам, системная защита API (авторизация, контроль злоупотреблений, валидация и ограничение запросов), а также использование мобильных сигналов доверия - integrity/attestation - как дополнительного фактора при управлении риском.
Результат этой части - понятная модель: что именно защищаем, где проходит граница ответственности между ИБ/ИТ/разработкой и провайдерами сервисов, какие контроли являются обязательными в 2026, и по каким критериям выбирать решения и сервисы так, чтобы они работали в эксплуатации, а не только на пилоте.
Ключевые вопросы дискуссии:
- Ландшафт угроз для веб-приложений 2025–2026
- Какие атаки на веб-приложения лидировали в 2025 году: DDoS, инъекции, бот-атаки, атаки на API, Zero-Day?
- Как изменилась картина по сравнению с 2024 годом: рост объёма DDoS, автоматизация атак на API, использование ИИ/ML атакующими?
- Какие отрасли чаще всего атакуют: ритейл, финансы, госсектор, медиа, промышленность?
- Как меняется профиль атакующих: APT-группы, киберкриминал, ботнеты IoT, DDoS-as-a-Service?
- Как изменились DDoS-атаки в 2025: мощность, длительность, сложность (многовекторные, атаки уровня L7)?
- Как WAF эволюционировал: от сигнатур к ML/AI, от статических правил к поведенческому анализу?
- Почему API стали главной целью атак в 2025–2026: рост API-first архитектур, микросервисы, мобильные приложения?
- Что такое WAAP (Web Application and API Protection) и чем отличается от классического WAF?
- Технологии защиты: Anti‑DDoS, WAF, API Security
- Какие технологии Anti-DDoS актуальны в 2026: облачные решения, гибридные, on-premise?
- Как защищаться от атак на IoT и ботнетов: CDN, rate limiting, поведенческий анализ?
- Провокационный вопрос: «Достаточно ли только Anti-DDoS для защиты веб-приложений, или это лишь первая линия?»
- Что защищает WAF и от каких атак: инъекции, XSS, CSRF, RCE, Zero-Day?
- Как настраивать WAF, чтобы не блокировать легитимный трафик: тюнинг, whitelist/blacklist, обучение на трафике?
- On-premise vs облачный WAF: что выбрать в зависимости от задачи (критичка, финансы, ритейл)?
- Как защищать API: аутентификация, rate limiting, валидация схем, мониторинг аномалий, теневые API?
- Провокационный вопрос: «Можно ли защитить API одним только WAF, или нужны специализированные решения?»
- Итоги эфира и планы на 2026
- Какие новые угрозы могут появиться в 2026-2027: AI-powered атаки, deepfake для социальной инженерии, квантовые угрозы?
- Успеет ли индустрия защиты за развитием атак, или мы всегда будем играть в догонялки?
- Финальный прогноз: что станет must-have для защиты веб-приложений к концу 2026 года?
Приглашенные эксперты:
|
|
Александр Пушкин Заместитель генерального директора, «Перспективный мониторинг» (ГК «ИнфоТеКС») |
|
|
Антон Апряткин Руководитель отдела клиентских решений, NGENIX |
 |
Лука Сафонов Бизнес-партнер по инновационному развитию, Группа компаний «Гарда» |
 |
Мария Шай Ведущий эксперт, RED Security |
 |
Дмитрий Царев Руководитель управления облачных решений кибербезопасности, BI.ZONE |
 |
Михаил Парфенов Главный архитектор по ИБ, DPA Analytics |
 |
Александр Сурмачевский Лидер продуктовой практики WAF, Positive Technologies |
 |
Артем Артамонов
Ведущий пресейл инженер, StormWall |
Модераторы:
|
|
Вадим Шелест Руководитель направления анализа защищенности, Wildberries & Russ |
