Авторка: Kateryna Ivanenko, Invicti Brand Manager
Безопасность приложений важна как никогда: кибератаки становятся все более сложными, приложения чаще взламываются, поверхность атак быстро расширяется. Поэтому важно знать об основных тенденциях безопасности приложений и о том, чего мы можем ожидать в 2026 году.
Наиболее очевидная тенденция: ИИ везде
Компании все больше используют искусственный интеллект, включая чат-боты на основе LLM и ИИ-помощники для написания кода. Это создает определенный уровень риска: атаки на LLM развиваются (например, инъекция промпта является уже хорошо известной уязвимостью), и, согласно анализу, LLM, как правило, создают недостаточно безопасный код.
Однако злоумышленники также используют ИИ, поэтому атаки становятся более быстрыми и сложными, и компании часто не успевают адаптироваться к текущему ландшафту угроз. Таким образом, кибербезопасность, включая зрелую программу безопасности приложений, становится все более важной для устойчивости к таким рискам.
Но ИИ используется и в AppSec. Поставщики ПО по безопасности приложений добавляют все больше и больше функций на основе искусственного интеллекта (например, для улучшения сканирования), что может вызвать беспокойство с точки зрения безопасности, но если есть четкие политики для предотвращения инцидентов, это помогает сделать защиту более эффективной.
Учитывая все это, можно с уверенностью сказать, что если организация не будет идти в ногу с современным подходом к безопасности приложений, она столкнется с растущим количеством атак, что приведет к разным последствиям, от утечки данных до повреждения репутации.
Уязвимости гораздо быстрее эксплуатируют
В первой половине 2025 года около 32,1% известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) были использованы в течение 24 часов после раскрытия – по сравнению с 23,6% в 2024 году.
Отчасти это объяснимо использованием искусственного интеллекта злоумышленниками, как упоминалось выше. Это делает важным для организации как можно быстрее устранить такие недостатки. Маловероятно, что эта тенденция прекратит.
Атаки на веб-приложения становятся более распространенными
Отчет AppSec за 2025 год показывает, что количество атак на веб-приложения выросло на 33% по сравнению с прошлым годом, что отражает, как злоумышленники все больше сосредотачиваются на приложениях, а не только на сетях.
Это большой скачок, который, скорее всего, будет расти в 2026 году.
Увеличение рисков для API
За последние два года 57% организаций столкнулись по крайней мере с одним нарушением безопасности данных, связанным с API, и 73% из них подверглись трем или более инцидентам.
Еще более тревожно, что 41% сообщили о пяти или более нарушениях, что указывает на системные слабые места в защите API и усиливает потребность в специализированных мерах безопасности.
Также количество инцидентов, связанных с OWASP Top 10 по безопасности API, выросло на 32%.
Поскольку прикладные программные интерфейсы все еще являются одним из основных путей для веб-атак, поставщики программного обеспечения активно расширяют свои решения по безопасности API. Это включает в себя тщательное тестирование безопасности, чтобы обеспечить устранение уязвимостей.
Что может помочь с тестированием безопасности API: Invicti DAST (на основе Acunetix и Netsparker) и Mend SAST.
При условии, что организация не применяет надлежащие меры безопасности, она становится легкой мишенью для атак и в 2026 году.
Нарушенный контроль доступа остается широко распространенным
Категория рисков безопасности приложений №1 не изменилась из предыдущего издания, а также является давним членом OWASP Top 10.
На этот раз нарушенный контроль доступа охватывает 40 отдельных проблем безопасности, которые могут определенным образом позволить злоумышленникам получить доступ к запрещенным данным, ресурсам, учетным записям пользователей или операциям.
Примеры CWE включают в себя некоторые пути раскрытия конфиденциальной информации, отсутствующую или неправильную авторизацию и проблемы с хранением конфиденциальных данных.
Что можно использовать для тестирования безопасности: Invicti DAST (на основе Acunetix и Netsparker) и Mend SAST.
Вероятнее всего, в 2026 году эта категория рисков безопасности будет на высоте.
Неправильных конфигураций безопасности становится больше
Еще одна категория в OWASP Top 10, неправильные конфигурации безопасности, продолжает расти, поднявшись на три позиции с 2021 года. Эта тенденция неудивительна, учитывая, что авторы отчета обнаружили, что каждая протестированная программа содержала, по крайней мере, одну неправильную конфигурацию.
Ожидается, что ошибки конфигурации будут оставаться значительной угрозой безопасности в ближайшем будущем, поскольку программы становятся все более сложными.
Высокое место сбоя цепочки поставки ПО
Сбои в цепочке поставки программного обеспечения также занимают гораздо более высокую позицию, эта тенденция была замечена и в прошлом году, и ожидается, что она продолжится.
Еще в 2021 году Gartner предупреждал, что к 2025 году почти половина (45%) организаций пострадает от атаки на цепочки поставок программного обеспечения. Последние данные свидетельствуют о том, что прогноз был консервативным. Согласно отчету о состоянии информационной безопасности за 2025 год, 61% предприятий столкнулись со сбоями в цепочке поставок за последние 12 месяцев.
Что может помочь в поиске уязвимых библиотек в приложении (один из векторов supply-chain): Mend SCA.
Некоторые категории OWASP Top 10 стали менее распространенными
Сюда входят криптографические сбои, инъекции и небезопасный дизайн. Кажется, что многие команды безопасности приложений уделяют больше внимания таким проблемам, чем раньше, особенно учитывая, что инъекции это очень известный класс уязвимостей.
Результаты в следующем году могут отличаться, но поскольку существует тенденция к снижению, вероятнее всего, эти категории не станут более распространенными в 2026 году.
Больше утечек секретов
Сюда входят ключи API, токены и пароли. Отчет GitGuardian State of Secrets Sprawl 2025 сообщает о 23,8 миллиона новых жестко закодированных секретов, найденных на публичном GitHub в 2024 году – на 25% больше, чем в прошлом году.
В том же отчете говорится, что около 70% секретов остаются активными через два года. Это означает, что даже «старые» утечки все еще можно использовать.
Такой рост значителен и, вероятно, продолжит увеличиваться в 2026 году.
Выводы
Ожидается, что следующий год будет еще сложнее, чем 2025, с точки зрения кибербезопасности. Однако организации могут идти в ногу с этими рисками, используя правильные инструменты и внедряя передовые программы AppSec.
Если вы хотите бесплатно протестировать Invicti DAST или Mend (SAST, SCA, безопасность контейнеров), которые бесшовно интегрируются, оставьте свои контактные данные ниже, и мы свяжемся с вами в течение рабочих часов:
