Безопасность веба: итоги 2025-го и сценарии на ближайшее будущее
2025 год окончательно показал: веб-сервисы перестали быть просто витриной компании и превратились в один из ключевых бизнес-активов. Любое публичное приложение - это одновременно точка роста и точка уязвимости. Чем больше автоматизируются и усложняются атаки, тем привлекательнее становятся такие сервисы для злоумышленников.
Особенно сильно это ощутили отрасли с высокой цифровой нагрузкой: розничная торговля, финансовые технологии, промышленность, государственные структуры и здравоохранение. Именно там массово внедряются веб-порталы, личные кабинеты, интеграции с партнерами и подрядчиками - а значит, увеличивается площадь атаки и потенциальный ущерб.
Веб как канал распространения вредоносного ПО
Распространение вредоносного ПО через веб-ресурсы за год почти удвоилось. Сайты, порталы, кабинеты для партнеров и клиентов стали удобной точкой входа для заражения как конечных пользователей, так и инфраструктур организаций.
Особую тревогу вызывает влияние таких атак на цепочки поставок. Компрометация одного онлайн-сервиса может привести к заражению систем не только самой компании, но и ее партнеров, интеграторов, клиентов. Регуляторы все чаще рассматривают подобные инциденты как нарушение должного уровня кибербезопасности, что увеличивает риски штрафов, проверок и ограничений.
Фактически зона ответственности бизнеса уже давно не ограничивается только "своими" серверами и приложениями. За безопасность веб-интерфейсов, встраиваемых виджетов, партнёрских интеграций и даже отдельных скриптов на сайте сегодня приходится отвечать так же жестко, как за критические внутренние системы.
От кражи данных к разрушению инфраструктуры
Если еще несколько лет назад основной мотивацией атакующих была кража конфиденциальных данных, то сейчас все чаще фиксируются попытки именно разрушить ИТ-инфраструктуру. Количество атак с использованием шифровальщиков (ransomware) и специальных программ-стиральщиков (wiper), уничтожающих данные без возможности восстановления, заметно выросло.
Веб-приложения в этой модели играют роль удобного стартового плацдарма:
- они публично доступны,
- время от обнаружения уязвимости до ее эксплуатации минимально,
- многие системы защиты по-прежнему сосредоточены на периметре, а не на уровне логики приложений.
Получив первоначальный доступ через уязвимость в вебе, злоумышленники нередко перемещаются внутрь инфраструктуры, захватывают доменные контроллеры, системы резервного копирования, платформы виртуализации, а затем запускают шифрование или стирание данных.
Эволюция DDoS: "тихие" и затяжные кампании
Существенно изменилась и тактика DDoS-атак. Вместо привычных массированных и непрерывных ударов злоумышленники все чаще используют короткие, но мощные импульсы трафика, разделенные паузами. Такие кампании могут длиться неделями:
- резкие пиковые нагрузки выводят сервис из строя или вызывают частичную деградацию,
- затем следует пауза, во время которой сервис будто бы "оживает",
- через некоторое время атака повторяется.
Этот подход затрудняет однозначную классификацию инцидента как DDoS: трафик напоминает то всплеск маркетинговой активности, то нестабильность у провайдера. Эксплуатационные команды тратят значительные ресурсы на разбор "плавающих" проблем производительности, а системы мониторинга не всегда фиксируют ситуацию как продолжительную атаку.
Для бизнеса такой формат особенно опасен:
- пользователи сталкиваются с периодическими сбоями и медленной работой,
- падают конверсии и растет отток клиентов,
- руководство недооценивает масштаб ущерба, так как отсутствует один большой, явно выраженный инцидент.
В сумме такие "ползучие" кампании часто наносят больший финансовый вред, чем разовый мощный удар.
React2Shell: "звезда" 2025 года
Самым громким инцидентом 2025 года стала уязвимость React2Shell (CVE-2025-55182). Проблема в механизме React Server Components позволяла интерпретировать пользовательские данные как доверенные серверные. По сути, злоумышленнику было достаточно отправить всего один специально сформированный HTTP-запрос - и вероятность успешной эксплуатации стремилась к 100%.
Масштабы уязвимости оказались огромными:
- по оценкам, React используется примерно на 6% всех сайтов,
- около 39% облачных окружений также завязаны на данный стек,
- многие современные фреймворки по умолчанию включают поддержку Server Components.
В результате под угрозой оказались миллионы приложений - от небольших сервисов до критически важных систем. Пока разработчики спешно готовили и раскатывали патчи, единственным реальным щитом для многих компаний стали системы класса WAF. Выступая в роли "прослойки" между внешним трафиком и логикой приложения, они позволяли блокировать вредоносные запросы и держать сервис в рабочем состоянии даже при активной эксплуатации React2Shell в интернете.
"Рабочие лошадки" атак: старые уязвимости никуда не делись
На фоне громких историй о React2Shell есть риск не заметить куда более рутинную, но опасную картину: большинство реальных атак по-прежнему строятся на старых, давно описанных уязвимостях.
Рейтинг, опубликованный MITRE в 2025 году, выделил 25 наиболее критичных и распространенных типов слабостей в ПО. Это своего рода попытка навести порядок в лавинообразном росте количества CVE: на их основе уже сформировалось порядка 50 тысяч конкретных уязвимостей.
Несмотря на универсальность методологии MITRE, первые три строки рейтинга заняли именно классические проблемы веб-приложений:
1. CWE-79 (XSS, межсайтовый скриптинг) - внедрение произвольного скрипта в страницу, которое позволяет атакующему выполнять действия от лица пользователя, воровать его данные, токены сессий и т.п.
2. CWE-89 (SQL-инъекция) - прямой доступ к базе данных с возможностью чтения, изменения или удаления информации, а иногда и вмешательства в бизнес-логику приложения.
3. CWE-352 (CSRF, подделка межсайтовых запросов) - заставляет браузер легитимного пользователя, уже авторизованного в системе, выполнить действие, инициированное злоумышленником.
Факт, что именно эти техники остаются в лидерах, показывает: проблемы не в отсутствии знаний, а в недостаточной дисциплине разработки и тестирования, а также в нехватке системного подхода к защите веб-приложений.
ИИ как катализатор атак
2025 год стал переломным с точки зрения автоматизации атак. Искусственный интеллект перестал быть преимущественно инструментом защитников и активно вошел в арсенал злоумышленников.
Нейросети и специализированные модели начали использовать для:
- автоматизированного анализа открытого кода и инфраструктуры на предмет уязвимостей,
- разбора патчей и обновлений с целью понять, какую именно дыру они закрывают,
- быстрой генерации эксплойтов и "обфускации" вредоносного кода, чтобы усложнить его детектирование.
Интервал между публикацией новой уязвимости (CVE) и началом ее массовой эксплуатации сократился до нескольких часов. В условиях, когда многие компании живут по схеме "обнаружили - протестировали - запатчили", этот темп делает реактивную модель защиты малоэффективной. Пока обновление доезжает до продакшена, уязвимость уже может быть активно отработана.
В таких условиях критически важно переходить к проактивной модели:
- закладывать безопасные практики разработки (SDLC, DevSecOps),
- использовать виртуальные патчи через WAF и другие средства фильтрации,
- опираться на автоматизированный анализ кода и инфраструктуры до релиза,
- сокращать цепочку "нашли проблему - внедрили защиту" до минимума.
Аккаунты пользователей как стратегическая цель
Технические брешьи - не единственный и даже не всегда основной способ проникновения в системы. Учетные записи пользователей по-прежнему остаются одним из самых ценных ресурсов для атакующих: через них можно войти в уже защищенную среду под видом легитимного пользователя.
Особую популярность приобрели атаки формата Password Spraying - "распыление паролей". В отличие от классического перебора, где злоумышленник пытается взломать одну учетку множеством попыток, этот подход подразумевает:
- берется небольшой набор слабых, часто используемых паролей, вроде `Winter2024!`, `Password1`, `Qwerty123!`,
- эти пароли последовательно применяются к большому числу аккаунтов,
- количество попыток для одного пользователя ограничено, поэтому механизмы защиты от брутфорса срабатывают значительно реже.
Если в компании не внедрены строгая политика паролей и многофакторная аутентификация, вероятность успешного "распыления" оказывается весьма высокой. Для атакующих это дешёвый, автоматизируемый и масштабируемый способ получить первые валидные логины и пароли, а уже затем повышать привилегии внутри инфраструктуры.
Минимальный набор защиты для веба: что критично уже сегодня
С учетом трендов 2025 года можно выделить базовую конфигурацию защиты веб-приложений, без которой риски становятся неоправданно высокими:
1. WAF (Web Application Firewall)
Фильтрация HTTP/HTTPS-трафика, защита от XSS, SQL-инъекций, CSRF и эксплойтов к новым уязвимостям, включая виртуальные патчи до обновления кода.
2. DDoS-защита на уровне сети и приложений
Комбинация фильтрации трафика, поведенческого анализа и динамических правил, умеющих выявлять именно импульсные и затяжные кампании.
3. Регулярное управление уязвимостями
- сканирование приложений и инфраструктуры,
- приоритизация уязвимостей на основе контекста (важность сервиса, степень эксплуатации в мире),
- максимально автоматизированный процесс установки обновлений.
4. Безопасная разработка (DevSecOps)
- статический и динамический анализ кода,
- автоматические проверки на XSS, SQL-инъекции, небезопасную сериализацию и пр.,
- обязательные код-ревью с фокусом на безопасность.
5. Управление учетными записями и доступом
- политика сложных и уникальных паролей,
- обязательная многофакторная аутентификация для критичных систем,
- регулярный аудит прав доступа, особенно администраторских.
6. Мониторинг и реагирование
- централизованный сбор логов,
- корреляция событий по нескольким сервисам,
- отработка сценариев реагирования на инциденты (playbook'и, учения).
Как будут развиваться угрозы в ближайшие годы
Сформировавшиеся в 2025 году тенденции позволяют сделать несколько прогнозов:
- Рост атак на цепочки поставок
Веб-интерфейсы подрядчиков, SaaS-сервисы, библиотеки и плагины будут становиться всё более популярными целями, так как позволяют одним ударом затронуть десятки и сотни компаний.
- Усиление роли ИИ в атаках и защите
Уже сейчас ИИ помогает искать уязвимости и писать эксплойты; дальше будут появляться "адаптивные" атаки, динамически меняющие тактику в зависимости от работы защитных систем. В ответ защитные решения также будут активнее использовать машинное обучение для анализа аномалий и поведения пользователей.
- Повышение требований регуляторов
Особенно в секторах финтеха, здравоохранения и госсектора. Компании всё чаще будут обязаны не только внедрять средства защиты, но и документировать процесс управления рисками, регулярно проходить аудит и тесты на проникновение.
- Смещение фокуса от периметра к приложениям и данным
Границы инфраструктуры размываются из‑за облаков, удаленной работы и внешних интеграций. Значит, защищать нужно не только "вход" в сеть, но и каждое отдельное приложение, каждый сервис и сами данные - шифрование, сегментация, токенизация.
Что бизнесу стоит делать уже сейчас
Чтобы не стать жертвой новых атак, компаниям важно перейти от разрозненных мер к комплексной программе защиты веба:
- провести инвентаризацию всех веб-сервисов (включая админские панели, старые тестовые стенды, редко используемые кабинеты партнеров);
- классифицировать системы по критичности и сосредоточить усилия сначала на наиболее важных;
- внедрить WAF и DDoS-защиту не как "галочку", а как управляемый сервис с регулярным анализом логов и адаптацией правил;
- пересмотреть процессы разработки: без включения безопасности в SDLC дыра в коде будет появляться быстрее, чем закрываться патчами;
- обучать команды - от разработчиков до службы поддержки - основам безопасной работы с веб-приложениями и инцидентами;
- готовить план действий на случай критических уязвимостей уровня React2Shell, чтобы заранее понимать, кто и как принимает решения, какие временные меры включаются (виртуальные патчи, ограничение функциональности и пр.).
Итог: безопасность веба как постоянный процесс
Главный вывод по итогам 2025 года: защита веба перестала быть задачей разовой настройки. Это непрерывный процесс, в котором:
- ежедневно появляются новые уязвимости,
- злоумышленники быстро их автоматизируют с помощью ИИ,
- регуляторы ужесточают требования,
- пользователи ожидают стабильной и безопасной работы сервисов 24/7.
Побеждать в такой гонке могут только те компании, которые воспринимают безопасность не как издержки, а как неотъемлемую часть продукта. Веб-сервис становится полноценным бизнес-активом - а значит, его защита должна планироваться, развиваться и финансироваться на одном уровне с развитием функциональности и пользовательского опыта.
