Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

Что такое DNS Security и зачем это нужно

DNS (Domain Name System) — «телефонный справочник» интернета. Каждое обращение к любому сайту или сервису начинается с DNS-запроса: браузер спрашивает «какой IP у ideco.ru?» и получает ответ. Без этого был бы невозможен доступ к ресурсам по именам.

DNS Security (Protective DNS, PDNS) — это активный защитный слой, который анализирует DNS-запросы пользователей и блокирует обращения к вредоносным, фишинговым и нежелательным доменам до установления соединения. Представьте службу безопасности на сортировочном пункте: она проверяет адрес получателя ещё до того, как письмо отправлено. Если адрес значится в базе мошенников — письмо не уходит.

Как это работает

Обычный DNS-запрос проходит цепочку: клиент → DNS-резолвер → корневые серверы → IP-адрес → подключение. С Protective DNS в эту цепочку встраивается проверка:

Клиент → PDNS-резолвер → [Threat Intelligence + ML-анализ]
  ├─ Домен безопасен → нормальное разрешение → подключение
  └─ Домен опасен → блокировка (NXDOMAIN / sinkhole / блок-страница)

Какие угрозы блокирует DNS Security

По данным NSA (2020), использование Protective DNS снижает способность 92% вредоносного ПО использовать C2-каналы. Данные DNSFilter за Q1 2025 показывают, что 79% атак задействуют DNS-уровень.

Ключевые преимущества

• Простота внедрения. Достаточно сменить DNS-резолвер — без установки агентов, без изменения сетевой топологии. Развёртывание занимает минуты, а не недели.

• Покрытие всей сети. Каждое обращение к интернету начинается с DNS-запроса — добавление слоя DNS Security защищает все устройства, включая IoT, принтеры, камеры и промышленные контроллеры (на которые не получится установить антивирус/EDR).

• Защита вне периметра. Облачный PDNS работает везде — дома, в кафе, в аэропорту. По данным Control D, 51% гибридных сотрудников проводят в офисе менее половины рабочего времени, а значит, файрвол (даже в случае использования VPN) защищает их менее 50% времени.

• Раннее обнаружение. Блокировка происходит до загрузки контента — в отличие от антивирусов, которые анализируют файлы после загрузки.

Место DNS Security в тактической модели MITRE ATT&CK

DNS Security — не замена файрволу

Важно понимать: PDNS дополняет, а не заменяет NGFW, прокси и EDR. Это первый рубеж эшелонированной защиты:

Интернет
  ↓
[DNS Security / PDNS]  ← первый рубеж: блокировка по домену
  ↓
[NGFW / Proxy]         ← второй рубеж: блокировка по IP/URL/контенту
  ↓
[EDR / AV]             ← третий рубеж: защита на конечном устройстве
  ↓
[SIEM / SOC]           ← мониторинг и реагирование

Главное ограничение DNS Security — шифрованный DNS (DoH/DoT). Браузеры с включённым DNS-over-HTTPS отправляют запросы напрямую к публичным резолверам, минуя корпоративный PDNS. Как отмечает SEI CMU, злоумышленники уже используют DoH для обхода DNS-фильтрации. Меры противодействия: блокировка внешних DoH-провайдеров, принудительная настройка браузеров через GPO/MDM, использование PDNS-провайдеров с собственными DoH-эндпоинтами. В Ideco NGFW Novum, например, есть возможность блокировки DoH/DoT «одной галочкой» в настройках.

Мировой рынок: $1,6–2,0 млрд и рост на 10–14% в год

Посмотрим, насколько развит данный тип решений за рубежом, а потом перейдем к России.
Спойлер: если до 2022 года в сфере продуктов информационной безопасности Россия была «страной DLP» (существовало около 15 DLP-решений), а с 2022 года стала «страной NGFW» (более 50 компаний заявили о разработке своих решений), то в сфере DNS Security такого разнообразия пока нет.

Объём рынка и прогноз

По данным аналитических агентств, мировой рынок DNS Security в 2024–2025 годах оценивается в $1,6–2,0 млрд. Прогноз на 2030 год — $2,8–4,1 млрд при среднегодовом росте 10–14%.

Для контекста: общий рынок кибербезопасности в 2025 году составляет ~$220–230 млрд (MarketsandMarkets). DNS Security — это ~0,7–0,8% от него, но темп роста выше среднерыночного.

Ключевые драйверы интереса к продукту

1. Рост DNS-атак. По данным Forrester (2025), 95% организаций пережили DNS-связанные инциденты за последний год, средний ущерб — $1,1 млн.

2. Удалённая работа и BYOD. Периметр сети растворился — PDNS работает там, где файрвол бессилен.

3. IoT. К 2030 году — более 75 млрд подключённых устройств, и на каждое невозможно установить EDR-агент.

4. AI в руках атакующих. По данным DNSFilter, AI-трафик в сетях вырос на 69% за 2025 год; генеративный AI используется для массовой генерации фишинговых доменов. И это, видимо, только начало.

5. Регуляторное давление. CISA/NSA в США рекомендуют Protective DNS (руководство v1.3, 2025), ЕС запустил DNS4EU.

Зарубежные вендоры: кто задаёт правила

Обзор ключевых игроков

Тренды зарубежного рынка

Конвергенция с SASE/SSE. DNS Security всё активнее интегрируется в платформы Secure Access Service Edge. Cisco Umbrella стал частью Cisco Secure Access SSE, Cloudflare Gateway — частью Cloudflare One, Palo Alto DNS Security — частью Prisma Access. Gartner не выделяет отдельный Magic Quadrant для DNS Security — он входит в SSE/SASE.

AI/ML как стандарт. Все ведущие вендоры используют ML для обнаружения DGA, DNS-туннелирования и zero-day угроз. DNSFilter заявляет о выявлении 7 000+ вредоносных доменов, не обнаруженных другими фидами. Infoblox блокирует 82% угроз до первого DNS-запроса.

Специализированная аналитика. GigaOm выпускает единственный специализированный Radar по DNS Security — в 2024 году оценены 11 вендоров, лидеры — Cisco, Infoblox, EfficientIP, BlueCat. В 2025 году — уже 16 вендоров.

Эра подготовленных атак. По данным EfficientIP (март 2026), в 2025 году атакующие перешли к модели «индустриализированной подготовки»: массовая регистрация доменной инфраструктуры, длительное удержание в спящем состоянии и точечная активация. Фишинг составляет 30% вредоносного DNS-трафика, свежезарегистрированные домены — 11%, DGA — занимает меньшую, но постоянную долю в структуре DNS-угроз.

Российский рынок DNS Security

Регуляторное давление и рост угроз

Российский рынок DNS Security формируется под влиянием двух факторов: импортозамещение и взрывной рост кибератак.

Регуляторный фактор. Указы Президента РФ №250 и №214 запретили использование иностранного ПО на объектах КИИ с 01.01.2025. Компании обязаны перейти на решения из реестра российского ПО. Это создало окно возможностей для отечественных вендоров DNS Security. Впрочем, для создания этого типа решений не получится использовать OpenSource-компоненты, поэтому массово вендоры не пошли в эту историю (в отличие от NGFW).

Рост угроз. По данным совместного исследования Ideco и SkyDNS (2025), за первые 4 месяца 2025 года количество заблокированных DNS-атак выросло в 3 раза год к году — до 198 млн инцидентов. Из них 160 млн — попытки запросов к запаркованным доменам (+426% г/г).

DNS Security (SecDNS) признана самостоятельной категорией на карте российского рынка ИБ 2025 (TAdviser) наравне с NGFW, SWG и SEG.

Ключевые российские вендоры

На российском рынке три специализированных решения DNS Security:

SkyDNS (skydns.ru) — пионер и лидер рынка, на рынке с 2010 года (15+ лет). Облачный (SaaS) сервис. Обрабатывает 2+ млрд DNS-запросов в сутки. Собственный центр аналитики угроз на базе ML/AI с 2016 года, заявленная точность детектирования — 98%. В реестре российского ПО с 2016 года (№1084). SkyDNS является технологическим ядром DNS Security для Ideco NGFW (и нашим «старым» технологическим партнером).
В 2025 году продажи СкайДНС в бизнес-сегменте именно за счет security-функциональности выросли в 6,8 раз к 2024 году.

BI.ZONE Secure DNS (bi.zone) — решение дочерней структуры Сбербанка. Поддерживает три модели поставки: облачную, гибридную и on-premise. Акцент на Enterprise и КИИ. Использует AI-модель Anti-DGA и механизмы обнаружения DNS-туннелей для 20+ популярных инструментов атак (Cobalt Strike, Sliver, Metasploit и др.). Текущая версия — 1.12.0 (февраль 2026).

Solar DNS RADAR (ГК «Солар» / Ростелеком) — новый участник, запущен в сентябре 2025 года. Уникальное преимущество — телеметрия с сенсоров федерального оператора «Ростелеком» (10+ млрд DNS-запросов в сутки). В реестре российского ПО с октября 2025 (№30153).

Другие участники рынка

Прогноз развития: четыре сценария

Сценарий 1: Поглощение платформами (вероятность — высокая)

DNS Security становится встроенной функцией более крупных платформ — SASE/SSE, XDR, NGFW. Это уже происходит: Cisco Umbrella вошёл в Secure Access SSE, Palo Alto DNS Security — в Prisma Access, Cloudflare Gateway — в Cloudflare One. На российском рынке — SkyDNS интегрирован в Ideco NGFW.

Что это значит. Как самостоятельная рыночная категория DNS Security может сжаться, но как технология — станет обязательным компонентом любой платформы сетевой безопасности. Аналогия — IPS, который из отдельного продукта превратился в стандартную функцию NGFW.

Для российского рынка. Вендоры NGFW (Ideco, Kaspersky и другие) будут наращивать DNS Security-функциональность. Специализированные игроки (SkyDNS) могут развиваться как OEM-поставщики технологии для платформенных вендоров.

Сценарий 2: DNS Security как ядро AI-driven защиты (вероятность — средне-высокая)

AI трансформирует DNS Security из инструмента фильтрации в платформу раннего предупреждения. По данным EfficientIP (2026), DNS-аналитика становится ключевым источником threat intelligence — она видит подготовку атак за недели и месяцы до активации.

Атакующие тоже используют AI: по данным WEF Global Cybersecurity Outlook 2026, 87% респондентов назвали AI-уязвимости самым быстрорастущим киберриском. Мультимодельные атаки (5–8 LLM одновременно) сжимают цикл атаки с недель до часов.

Что это значит. DNS Security с продвинутым AI/ML (предиктивная аналитика, поведенческий анализ, автоматическая корреляция с TI) может вырасти в полноценную платформу DNS Detection & Response (DNS DR), аналогичную EDR/XDR, но на уровне DNS.

Для российского рынка. Преимущество у вендоров с собственными ML-моделями (SkyDNS — 15 лет развития и самая большая клиентская база в данном сегменте, BI.ZONE — интеграция с Threat Intelligence экосистемой). Вендоры с телеметрией федерального уровня (Solar DNS RADAR + Ростелеком) или множеством клиентов (включая физических лиц), как у SkyDNS, получают уникальные данные для обучения моделей.

Сценарий 3: Фрагментация по сегментам (вероятность — средняя)

Рынок разделяется на три чётких сегмента с разными требованиями:

• Enterprise / КИИ. On-premise или гибридные решения с глубокой интеграцией в SOC/SIEM, поддержкой Zero Trust. Игроки: BI.ZONE, Solar DNS RADAR, SkyDNS.

• Mid-market / SMB. Облачные SaaS-решения с быстрым развёртыванием, понятным интерфейсом и предсказуемым ценообразованием. Игроки: SkyDNS.

• Встроенный OEM. DNS Security как модуль в составе NGFW/UTM. Игроки: SkyDNS (как OEM для Ideco) и зарубежные вендоры.

Универсального решения «для всех» скорее всего не будет. Каждый сегмент нуждается в своей модели поставки и ценообразования.

Сценарий 4: Encrypted DNS убивает рынок (вероятность — низкая)

DoH/DoT-by-default в браузерах и ОС делает сетевую DNS-фильтрацию неэффективной. Устройства обходят корпоративные резолверы, отправляя запросы напрямую к Google, Cloudflare или Apple.

Почему маловероятен. Вендоры уже адаптируются: собственные DoH/DoT-эндпоинты, агенты для конечных устройств, интеграция с MDM/GPO для принудительной настройки. Более того, CISA/NSA в руководстве 2025 года рекомендуют организациям контролировать исходящий DoH-трафик.

Наиболее вероятный исход

Реалистичный сценарий — комбинация первого и второго: DNS Security станет обязательным встроенным компонентом платформ сетевой безопасности (как IPS стал частью NGFW), но при этом технологическое ядро — AI-аналитика DNS-трафика — будет расти в ценности и сложности. Специализированные вендоры (SkyDNS, DNSFilter, Infoblox) сохранят нишу для организаций, которым нужен глубокий анализ DNS, а не «галочка» в чеклисте NGFW.

Для российского рынка ключевой фактор — регуляторное давление (Указы №250, №214) и рост числа атак. При 198 млн заблокированных DNS-инцидентов за 4 месяца 2025 года и тройном росте год к году — игнорировать DNS Security становится не просто рискованно, а безответственно.

Итог

DNS Security — небольшой ($1,6–2 млрд), но быстрорастущий (10–14% CAGR) сегмент кибербезопасности с непропорционально высокой эффективностью и низкой относительной ценой решения: один PDNS-сервер покрывает всю сеть, включая IoT, удалённых сотрудников и неуправляемые устройства, блокируя 92% C2-каналов малвари.

За рубежом рынок зрелый — Cisco, Palo Alto, Cloudflare, Infoblox и DNSFilter конкурируют на уровне AI-детекции и платформенной интеграции. В России рынок формируется: SkyDNS (15 лет, самостоятельный пионер и лидер), BI.ZONE Secure DNS (enterprise/КИИ) и Solar DNS RADAR (телеметрия Ростелекома) замещают ушедшие Cisco Umbrella и Fortinet DNS.

Будущее DNS Security — не отдельный продукт, а обязательный слой любой архитектуры сетевой безопасности, усиленный AI для предиктивного обнаружения угроз. Вопрос не в том, нужна ли вашей организации DNS Security. Вопрос — почему она ещё не включена.